Synology NAS(DiskStation DS223j)のFirewallを設定する。

はじめに
Firewallのルールを考えます
Firewallを設定します
あとがき

はじめに

Synology NAS(DiskStation DS223j)を新規にセットアップ時に、以下の設定（☑）をしました。

　☑ ファイアウォールを有効にする
　☑ ファイアウォール通知を有効にする
　ファイアウォールプロファイル　⇒　「default」

ある日、Firewallの設定を変更したいと思い、「default」のファイアウォールの「規則の編集」を開きました。
ところが、「ファイアウォールルール」の「すべてのインターフェース」に設定がありません？？？
「custom」も開きましたが、こちらも、同様に設定がありません。

「間違えて消してしまった？」「元々、デフォルトの設定はない？」と考えてもしかたがないので設定する事にしました。

Firewallのルールを考えます

ヤモリのNAS利用
　内部：NASと同一のローカルネットワーク (IPv4・IPv6)
　外部：OpenVPNでの接続（日本国内）

上記以外はすべて拒否です。

※ 外部：OpenVPNについて
　au系のモバイルルータでの接続していますので、「日本国内」でなく、auの持つIPアドレスも検討しました。
　本当は、会社とか限定したIPなら範囲が絞れて安心ですけどね。

※ ヤモリは、Quick Connectを利用しておりません。外部接続はOpenVPNのみです。

Firewallを設定します

① コントロールパネルからセキュリティを開く
② 上部のファイアウォールタブを選択する。
③ 全般
　☑ ファイアウォールを有効にする
　☑ ファイアウォール通知を有効にする
④ ファイアウォールプロファイル
　「custom」を選択します。
　「規則の編集」ボタンをクリックします。
⑤ ファイアウォールルール

「すべてのインターフェイス」で作成しました。

1番目に優先するルール
　Synology NASと同じIPv4ネットワークのアクセスを許可します。

　・「作成」ボタンをクリック
　・ポート　：　「● 全て」
　・ソースIP ：　「● 特定IP」を選択して「選択」ボタンをクリック
　　　　　　　　「ソースIP」の画面が開きますので、「● サブネット」を選択
　　　　　　　　IPアドレス　：　「例 192.168.0.0」＜Synology NASのIPv4＞
　　　　　　　　サブネット　：　「例 255.255.255.0」
　　　　　　　　「OK」ボタンをクリック
　・操作　　：　「● 許可」
　・「OK」ボタンをクリック

２番目に優先するルール
　Synology NASと同じIPv6ネットワークのアクセスを許可します。

　・「作成」ボタンをクリック
　・ポート　：　「● 全て」
　・ソースIP ：　「● 特定IP」を選択して「選択」ボタンをクリック
　　　　　　　　「ソースIP」の画面が開きますので、「● サブネット」を選択
　　　　　　　　IPアドレス　：　「例 2001:xxxx:xxxx:xxxx::」＜グローバルユニキャストアドレス＞
　　　　　　　　サブネット　：　「例 64」＜プリフィックス＞
　　　　　　　　「OK」ボタンをクリック
　・操作　　：　「● 許可」
　・「OK」ボタンをクリック

3番目に優先するルール
　Synology NASと同じIPv6ネットワークのアクセスを許可します。

　・「作成」ボタンをクリック
　・ポート　：　「● 全て」
　・ソースIP ：　「● 特定IP」を選択して「選択」ボタンをクリック
　　　　　　　　「ソースIP」の画面が開きますので、「● サブネット」を選択
　　　　　　　　IPアドレス　：　「例 fe80::」＜リンクローカルアドレス＞
　　　　　　　　サブネット　：　「例 64」＜プリフィックス＞
　　　　　　　　「OK」ボタンをクリック
　・操作　　：　「● 許可」
　・「OK」ボタンをクリック

4番目に優先するルール　不要かもしれない？
　Open VPNのダイナミックIPアドレスを利用できるようにします。

　・「作成」ボタンをクリック
　・ポート　：　「● 全て」
　・ソースIP ：　「● 特定IP」を選択して「選択」ボタンをクリック
　　　　　　　　「ソースIP」の画面が開きますので、「● サブネット」を選択
　　　　　　　　IPアドレス　：　「例 10.8.0.0」＜ダイナミックIPアドレス＞
　　　　　　　　サブネット　：　「例 255.255.255.0」＜サブネット＞
　　　　　　　　「OK」ボタンをクリック
　・操作　　：　「● 許可」
　・「OK」ボタンをクリック

5番目に優先するルール
　Open VPNを利用できるようにします。
　
　・「作成」ボタンをクリック
　・ポート　：　「● 組み込みアプリケーションリストから選択」を選択して「選択」ボタンをクリック
　　　　　　　　「組み込みアプリケーションの選択」画面が開きます。
　　　　　　　　「☑ VPN Server　例：1194　VPN Server（Opne VPN）」を選択します。
　　　　　　　　「OK」ボタンをクリック
　・ソースIP：　「● 位置」を選択して「選択」ボタンをクリック
　　　　　　　　「位置」画面が開きます。
　　　　　　　　「☑　JP　日本」を選択します。
　　　　　　　　「OK」ボタンをクリック
　・操作　　：　「● 許可」
　・「OK」ボタンをクリック

6番目に優先するルール
　1番目～5番目に優先するルール以外を全て拒否にします。

　・「作成」ボタンをクリック
　・ポート　：　「● すべて」
　・ソースIP ：　「● すべて」
　・操作　　：　「● 拒否」
　・「OK」ボタンをクリック

「OK」ボタンをクリックで完了です。

あとがき

HGW（RX-600MI）でOpenVPNを利用するためIPv6フィルタ設定UDP1194を許可したのでルールを変更しました。

「規則の編集」のファイアウォールルールで、「すべてのインターフェイス」「LAN」「PPPoE」「VPN」と個別に設定できるようです。
・「LAN」：「自宅ネットワーク」「日本国内のみ」「それ以外はすべて拒否」
・「PPPoE」：NASではPPPoEを利用してないので、「すべて拒否」
・「VPN」：「1194 VPNServer 日本国内のみ」「10.8.0.0/24許可」「それ以外はすべて拒否」
と設定しましたが、これらの各設定の優先順位の確認方法がわかりません。
「すべてのインナーフェイス」に設定が並んでいるのかと考えて開きましたが表示がありません。

結局、「すべてのインターフェイス」で設定しました。

次回、HGWのFirewallとフィルター設定も変更しましたの記事にします。