Brannmur-spørsmål: Hvorfor slipper en "allow established/related" regel igjennom ny trafikk?

[Anterialis]

Hei,

jeg har satt opp følgende regler (WAN/Internett INN) på min UDM-pro:

Dette trodde jeg skulle gi en svært sikker FW, som jeg kan åpne opp etterhvert som jeg trenger at ny trafikk går fra WAN --> LAN. MEN, kun med denne éne allow-regelen, slippes ny trafikk inn på LAN. Hva er grunnen til dette?

Kanskje er det noe feil med testoppsettet mitt? Jeg tester ved å sette min iPhone i LTE/5G og disable WiFi. Så tester jeg to ting for å se om jeg kan nå min Synology NAS som er på LAN. 

1. Synology Quickconnect i browseren på iPhone
2. Appen "Synology Drive" som er en filtjeneste lignende iCloud. Denne appen gir meg tilgang til filer på et hjemmeområde på NASen. 

Så lenge denne éne allow-regelen (Rule Index 2000 i bildet over) er aktiv, får jeg koblet til Synology NASen både med quickconnect og via appen Synology Drive. Slår jeg Rule Index 2000 av (da er det kun Rule Index 2002 aktiv som skal droppe alt), så mister jeg tilgangen fra WAN --> LAN. 

Hvorfor slipper denne regelen (Rule Index 2000) igjennom ny trafikk fra WAN --> LAN? Dette gjør meg veldig usikker og jeg lurer på om all slags ny trafikk slippes igjennom. Er det noe med oppsettet mitt som gjør at brannmuren gjenkjenner trafikken fra QuickConnect og Drive-appen som "related" og at jeg derfor blir lurt??

 

Rule Index 2000 ser slik ut (obs, gammelt tema i UDM-pro):

 

Takk for hjelpen 😃

[Gjest]

QuickConnect for Synology har en forbindelse med Synology sine tjenester som starter FRA SERVEREN derfor vil allow Related / Establish gå igjennom FORDI det er en aktiv sessjon FRA SERVER som etableres MOT KLIENT (din telefon).

Les Whitepaper her: https://global.download.synology.com/download/Document/Software/WhitePaper/Firmware/DSM/All/enu/Synology_QuickConnect_White_Paper.pdf

 

se illustrasjon under.

 

[Anterialis]

Aha! Da forstår jeg jo hvorfor det fungerer, tusen hjertelig takk, @ColdIce. Da er det kanskje noe tilsvarende som skjer når jeg bruker Synology Drive? 

Da er det som jeg mistenkte, min egen uvitenskap som er den skyldige.

Har du forresten et tips til hva slags verktøy jeg kan bruke for å teste ut Firewall-en? Jeg skal få tak i en Raspberry Pi som kan stå mellom fiberboks og UDM-pro med nmap (prøver å lære meg dette) for å teste ut brannmuren, men i påvente av dette; hvordan vil du anbefale en nybegynner som meg å "teste" brannmuren for å se hva som slippes igjennom og hva som stoppes?

Jeg har forstått at loggingen av brannmuren på UDM-pro er dårlig og jeg får visst ikke sett hva slags regel som evt. er aktuell på trafikk som møter muren..