Se, come me, esponete servizi del vostro NAS Synology su Internet, sapete bene che il web è una giungla. Botnet russe, scanner cinesi e script automatici bussano alla vostra porta digitale migliaia di volte al giorno.
Non serve essere paranoici, basta essere previdenti. Oggi vi spiego come configurare il firewall del Synology per accettare connessioni solo dall'Italia (e dai paesi che vi servono davvero), rendendo il vostro NAS invisibile al 99% del globo.
È una configurazione che ho testato personalmente sul mio NAS Synology e che mi permette di dormire sonni "abbastanza" tranquilli senza dover gestire VPN complicate quando non posso.
Perché il Geo-Blocking?
Il concetto è semplice: se abito a Varese e lavoro a Varese, perché il mio NAS dovrebbe rispondere a un IP proveniente da Taiwan o dal Kansas?
Bloccando intere nazioni a livello di firewall, riduciamo drasticamente la "superficie d'attacco". Il firewall scarta i pacchetti malevoli prima che arrivino al servizio specifico o DSM, risparmiando CPU e rischi.
La Regola d'Oro: "Prima la LAN, poi il resto"
Attenzione: Prima di toccare qualsiasi cosa, dobbiamo creare una "scialuppa di salvataggio". Se sbagliate le regole e vi chiudete fuori, ma avete permesso l'accesso alla rete locale, potrete sempre entrare da casa per correggere.
Guida Passo-Passo
Ecco come configurare il DSM (funziona sia su DSM 6 che 7):
1. Abilitare il Firewall
Andate in Pannello di Controllo > Sicurezza > Firewall.
Assicuratevi che la spunta "Attiva firewall" sia presente.
Sotto "Profilo firewall", cliccate su Modifica regole.
2. Regola 1: Salva te stesso (Accesso LAN)
Questa regola deve essere sempre IN CIMA alla lista.
Crea nuova regola
Porte: Tutte
IP Sorgente: Seleziona "IP Specifico" > "Sottorete".
Inserisci la tua classe IP locale (es.
192.168.1.0o192.168.178.0per i fan del Fritzbox).Subnet mask:
255.255.255.0
Azione: Consenti.
3. Regola 2: L'Italia (e gli amici)
Ora apriamo la porta solo a chi vogliamo.
Crea nuova regola
Porte: Seleziona "Seleziona da un elenco...".
Scegliete i servizi da esporre (es. WebDAV porta 5005/5006 o la vostra porta personalizzata tipo 7234).
IP Sorgente: Seleziona Posizione (Location).
Nella lista, cercate e spuntate Italia.
Tip: Se avete operatori mobili particolari (come Spusu o Fastweb che a volte usano IP esteri), potreste voler aggiungere anche Austria o Svizzera per evitare falsi positivi.
Azione: Consenti.
4. Regola 3: Il Muro Finale
Ora diciamo al firewall cosa fare con "tutti gli altri".
In basso a destra nella finestra, trovate l'opzione: "Se nessuna regola è soddisfatta:".
Impostate su: Nega Accesso.
L'ordine finale deve essere:
✅ LAN Locale (Consenti)
✅ Italia - Porte del Servizio che vuoi attivare (Consenti)
⛔ Tutto il resto del mondo (Nega - Implicito dall'impostazione finale)
Come testare se funziona?
Non fidatevi sulla parola. Usate un tool esterno come Check-Host.net (selezionando "TCP Port").
Inserite il vostro IP:PORTA.
Dovreste vedere una sfilza di "Connection timed out" (Rosso) da New York, Mosca, Londra... e un bel "Connected" (Verde) solo sul nodo di Milano.
Oppure usate una VPN come Proton VPN gratuita e selezionate un Paese diverso dall'Italia!
Conclusione
Con 5 minuti di configurazione avete trasformato il vostro NAS da un bersaglio pubblico a una fortezza accessibile solo da casa nostra. Comodità e sicurezza possono convivere, basta configurarle bene.
Buon setup a tutti!
