[分享]DSM的防火牆設定

[注意]
1.防火牆設定不當，可能會導致您的NAS網路連線不順暢或發生錯誤！
2.更新DSM之前，建議先取消或刪除防火牆的設定。
3.防火牆無法百分之百阻擋預期外的連線。

[前言]
因為有網友希望小弟可以分享一下DSM的防火牆設定，所以小弟就簡單的介紹一下。
(上次好像還有一篇PLEX的還沒有分享完)
以下分幾種情況來說明防火牆的適用時機：

1.NAS透過分享器（NAT）對外連線：
這個情況下，NAS沒有直接暴露在WAN（網際網路）裡。
所有NAS與WAN間來往的連線都必須透過分享器轉接。
如果沒在分享器中指明NAS port的轉接，那麼從WAN是無法連到LAN（區網）的NAS。
也因此有人說分享器是"天然的防火牆"，但這天然的防火牆是防外不防內。
NAS接在分享器後面時，NAS防火牆的設定就沒有那麼的必要。

2.NAS不透過分享器，直接對外連線：
這個情況下，NAS的資料安全有很大風險，因為NAS直接暴露在WAN中。
如果你希望某些服務只有LAN可以使用，但WAN無法使用時，就可以利用防火牆來做區隔。
又如果你希望可以增加NAS的安全性，那麼可以利用防火牆來設定哪些IP或網段可以連上NAS。
防火牆規則可以彈性的調整與交叉設定，達到很精細的控管。

3.很無聊的人：
這就是指小弟了，或者是常在01出沒的同好們。
小弟的NAS雖然是透過分享器來對外連線，但心想多些關卡限制總是可以提升一點心安。
所以我還是習慣在NAS上設定防火牆。

[方法]
DSM的防火牆有兩種模式（小弟自己取的名稱）：
1.白名單模式：就是"只允許"規則裡的連線放行，其他通通阻擋，這模式比較嚴格。
2.黑名單模式：就是"只不允許"規則裡的連線放行，其他通通放行，這模式比較寬鬆。

既然想要嚴格些，那麼以下就來介紹白名單模式的設定方法：

1.先設定區網的電腦可以無限制的存取NAS，對區網通通開放NAS的服務。
這條規則很重要，因為我們希望區網與網際網路內外有區別，所以要先設這個區網的規則。
大家可以依照自己區網的IP網段來做設定，以下面這個例子來說：
就是所有192.168.1.x的IP都可以無限制的存取NAS。
操作記得選"允許"，因為我們現在是在設白名單^^


2.再來是設定WAN的連線規則，來源IP選擇全部（也可以指明某些網段）。


勾選開放的服務，原則就是只勾要開放的，用不到的不要勾。
這就像是在防火牆上開洞一樣，洞越多就越有風險。


3.如果您在WAN有固定IP來對NAS連線的話，那麼可以只針對某個IP做設定。
這方法蠻適合用在點對點，例如公司與分公司之間。
也很適合用來搭配VPN使用，DSM有內建的VPN client，可以自動連上另一部VPN Server。


4.全部弄完之後再檢查一下，規則越前面的優先權越高。
所以建議把區網通通開放這條設在第一排，如果順序弄錯的話，可能會達不到您預期的效果。
再來如果有開VPN的話，也可以一併把VPN的區網網段給設定進來。
最下面的"若上述規則皆不符合時"，這勾選"拒絕存取"。
因為我們上面的規則設定的是允許存取的清單，所以清單以外的通通要拒絕，這就是白名單模式。


[結語]
以上是簡單的介紹，如果是Dual LAN的機種，那麼可以玩的規則又更多了。
現在DSM的防火牆還可以搭配流量限制作控管，所以會越來越有趣。
雖然不知道積分有什麼用，但如果您看的開心的話，還是幫小弟加個幾分吧^^