Regler på brannmur på NAS etter ruter - ved å kun tillate LAN-IPer, eksluderes eksterne IPer?

[Anterialis]

Hei,

jeg kan veldig lite om nettverk, kun hobby. Jeg har satt opp NAS med brannmur (kjører bl.a. Plex, DHCP, Drive etc.) og har satt flere regler med “tillatt IP” fra LAN-området. Jeg har da tenkt at eksterne IP-er ikke får tilgang. Men så kommer jeg jo nå på at NAS-en står etter ruter, så alle eksterne IP-er (e.g. som forsøker hacke seg inn) som evt. kommer igjennom ruteren (eg. via port forwarding), de får vel kanskje en lokal IP uansett? Ekstern tilgang som kommer seg til NAS-en får kanskje IP-en fra ruteren, og ettersom jeg tillater e.g. 192.168.x.x IP-adresser, så tillater jeg kanskje i praksis eksterne IPer (som konverters til gateway-IP i ruteren) også?

Et annet eksempel: Si jeg har åpnet ssh på NASen på port 65500, og på ruteren har jeg port forwarding av denne porten til NASen. Jeg har to brannmur-profiler på NAS; Nr. 1 (den strenge versjonen) tillater kun delnettet 192.168.1.1/24 (kilde-IP) tilgang til 65500. Profil nr. 2 tillater “alle” kilde-ip-er å nå denne porten. Er det noen forskjell på dette regelsettet i praksis?

Forklarer meg sikkert litt klønete, håper på forståelse. Dette er et eksempel på regel i brannmuren på NAS-en. 

Endret 21. juni 2021 av Anterialis

[NULL]

Ja, du er inne på noe - sagt at man skulle få tilgang til selve ruteren, så er man "på innsiden".... Skal da ellers sies at trafikk utenfra ikke får en "lokalnettverks-IP" når det går inn i ditt nettverk (man kjører med NAT, ikke proxy...).

Husk at du kanskje også har IPv6 aktivert? Og IPv6-brannmuren på ruteren er i utgangspunktet satt opp slik at alt er blokkert? Her kan det være litt forskjellige implementasjoner ute å går så vidt jeg forstår, det det i noen tilfeller er mer "de typiske tjenesteportene" bare som er blokkert. Og da for IPv6 er det ikke noe NAT-oppsett som blir nødvendig for at enhet som kjører en tjeneste kan nås utenfra.

(merker at jeg egentlig hadde trengt å lære meg mer om IPv6, og hvordan dette i praksis implementeres i en del sammenhenger...)

[Anterialis]

Ok, så da er det vel riktig tenkt av meg at ved å sette «kilde-IP»-tillatelse til LAN-området, så vil jeg i praksis nekte ekstern tilgang..

Men er det ikke det NAT gjør? Å endre ekstern IP til lokal IP? Så når jeg sender en request (nettside el.l.) så sendes dette kun til gateway (lokal IP), også er det gateway/ruter so endrer til ekstern IP og «husker» hvilken lokal IP som ønsker informasjonen?
Dette er grunnen til at jeg startet å tenke på om eksterne «hackere» eller tilsvarende får lokal IP dersom ruteren port forwarder direkte til NASen, og på den måten unngår brannmur-regelsettet som kun tillater lokal IPer..