[分享] 有關 Synology DHCP Server 及 Firewall rules

因有網友詢問了一些 Synology DHCP Server (click here) 的問題, 小弟遂試著安裝看看, 之前提到在安裝 Synology DHCP Server 後, 該服務一直無法正常運作, 今天總算有時間去思考此一問題.

其發生的原因為啟用 Synology firewall 後, 才產生此一狀況. 小弟家中的 IP 分享器和外點是有建立 site-to-site VPN, 但為了加強 NAS 上的安全性, 所以做了一些設定, 以防止其他網段的 User 連線至 NAS.

原 firewall 設定如下:


其大意為:
允許 192.168.3.0/24 & 192.168.22.0/24 網段連上 NAS.
禁止其他 192.168.0.0/16 網段連上 NAS (這是為了防止 VPN 網段直接連上此台 NAS)
允許一些 Synology NAS 上的服務.

這樣的設定平常運作很正常, 但如果啟用此台 NAS 上 DHCP Server, 則 LAN 端 client 發出的 DHCP Discover packets 由於完全不符合 firewall rules, 則這些封包全部被 deny 掉了. 這就是造成 DHCP Server 無法正常運作的原因, 把 DSM Filewall disable 後就正常了.

ps: 細心的網友會發覺, 原本建立 site-to-site VPN 不就是為了讓各個 site 的網路互通嗎? 小弟之前並未啟用 DSM firewall, 上面所提供的各項服務也需要帳號密碼才能連的上, 但因為啟用 NAS DLNA Server 後, 造成一些上鎖的相簿全部被公開了(請參見這裡), 所以不得不建立更嚴謹的 firewall rule.