Blog personal donde guardo mis notas sobre tecnología

Synology: Configura el firewall de tu NAS

Carlos M.

Si vas a exponer tu servidor NAS a Internet, una más que recomendable buena práctica es configurar su firewall independientemente de que tu rputer ya te ofrezca uno. Voy a explicar como lo tengo configurado, esto no quiere decir que sea ni mejor ni peor que otras configuraciones que veas en internet, simplemente es la que yo he creído más adecuada después de leer y leer mucho por los diversos artículos que he ido encontrando por la red.

Activando el firewall #

Para activar el firewall lo deberemos de realizar desde el apartado Seguridad en la pestaña Cortafuegos

Creando un perfil #

Vamos a empezar por crear un perfil nuevo para ir añadiendo nuestras reglas, desplegando y pulsando en +

Le ponemos un nombre, en mi ejemplo la voy a llamar personal

Seleccionamos el perfil que hemos creado para poder editarlo e ir añadiendo nuestras reglas

Añadiendo reglas #

Antes de empezar a crear las reglas de nuestro firewall debemos de entender como funciona.

Las reglas siguen un orden, de arriba hacia abajo, en el momento que se cumple una condición de la regla ya no sigue hacia abajo, es decir, las reglas que están debajo no se ejecutan.

La primera vez que vamos a añadir reglas a nuestro perfil recién creado la lista de reglas debería de aparecer vacía

A continuación muestro una captura de mis actuales reglas par ir explicándolas mas abajo

1. Correo #

La primera regla que evalúa el cortafuegos , es el trafico hacia ciertos puertos del NAS, en mi NAS tengo instalado un servidor de correo, así que si la petición que le llega al NAS es para aun puerto de los que tengo configurados en la regla realiza la conexión, se cumple la regla, y ya no se evalúa el resto de regalas. Si el trafico no va dirigido a esos puertos, pasa a la 2 regla.

1.1 Configuración #

Para crear esta regla, en la sección de puertos debemos pulsamos en Seleccionar

Y seleccionamos a que puertos va a afectar, en mi ejemplo los relativos al acceso al correo electrónico proporcionamos por Mailplus Server,

En IP de origen marcamos a Todo ya que quiero que la regla afecte a todo el trafico entrante, y en Accion marco permitir

2. LAN #

Todos los equipos de mi red interna (192.168.1.xxx) tiene acceso al NAS

1.1 Configuración #

Para crearla seleccionamos IP de origen

Y añadimos que direcciones ip van a tener permitido el acceso, yo tengo configurado ei DHCP de mi router para que no proporcione mas de 50 direcciones ip.

Accion marco permitir

3. VPN’s #

El acceso desde exterior las realizo mediante dos VPN’s , VPN Plus(172.22.xxx.xxx) y OpenVpn (172.17.xxx.xxx), la configuración se realiza igual que en apartado anterior

4. Geoip #

Sólo acepto conexiones desde España y sólo para determinados servicios (cámaras, correo, vídeo, musica, etc)). En IP de origen, seleccionamos el país o países permitidos a los que si no se cumplen las anteriores condiciones tienen acceso al NAS

5. Denegar al resto #

Por ultimo si las anteriores reglas no se han cumplido (como por ejemplo el acceso a mi colección de musica desde una dirección ip que no este registrada en España), les deniego el acceso.

Espero que te haya gustado, pasa un buen día… 🐧