[sentiero]

ciao
ho acquistato un firewall dfl 200, purtroppo non ho molta dimestichezza con l'inglese, esiste un manuale in italiano oppure una traduzione?
oppure qualcuno che mi consigli sulle policy da adottare, diciamo abbastanza standard...
grazie

[rgabriel]

Ciao!

Beh, le policy vanno strutturate in base alle esigenze della tua lan... Se mi fai una bozza di ciò che intendi fare, ti illustro passo passo come ottenere il risultato prefissato.

P.S. Do per scontato che le interfacce tu le abbia già configurate e le tabelle di routing siano corrette!
Mi descriveresti brevemente com'è strutturato il tuo network?

A presto!


Ah dimenticavo, il manuale in italiano lo scarichi dal sito d-link italia

[sentiero]

grazie
domani ti faccio sapere
sei gentilissimo

[sentiero]

Ciao. Innanzi tutto poiché l'adsl non arriva nel mio paese ho adottato questo sistema: 
la rete LAN è collegata ad un router fornito dal provider di servizi a cui però non ho possibilità di accesso, il provider si chiama www.bbradio.it.
Dal lato wan il router è collegato ad un bridge wireless, che collega il provider via lan wireless ad un altro bridge posto sul campanile del paese e poi con vari link arriva alla città.
Dal lato lan ho uno switch con 2 pc collegati  +  1 access point che da connettività al resto della casa.
Capirai che la sicurezza non è gran chè anche se il provider dice di avere un suo firewall.
Io ho pensato al dfl 200, mi sembra un buon prodotto dal prezzo contenuto. Purtroppo il manuale operativo è in inglese ( lo ho scaricato dal link che mi hai dato). Sono purtroppo abituato ai firewall tipo zone alarm.
La  rete deve essere protetta possibilmente da attacchi dos e da intrufolamenti. Tieni presente che i figli hanno l'abitudine (sconsiderata) al peer to peer (emule) e i contenuti degli archivi sono da salvaguardare.
In futuro ho intenzione di mettere un server di posta e ftp server sulla dmz
La rete interna è configurata con ip statico 192.168.1.0/24
L'interfaccia wan del firewall ha ip 192.168.1.23
Il router fornito dal provider in comodato d'uso (che è il gateway della lan) ha ip 192.168.1.1
Il firewall come ben sai ha ip 192.168.1.1
La dmz non è configurata.
Ho intenzione di attivare il controllo remoto sul mio pc con un normale software VNC, però anche qui c'è un problema, il provider mi apre una porta sul suo firewall la quale rimanendo sempre aperta deve essere protetta, ma come?
Ah dimenticavo il provider mi assegna un ip statico.

[rgabriel]

Ciao!

Il concetto è questo: le interfacce WAN e LAN non possono avere la stessa classe di indirizzi, quindi, o dici al tuo provider di cambiare IP della LAN del router o cambi la classe della tua LAN.

Noi faremo così:

Supponiamo che la WAN del ROUTER BBRADIO sia dinamico pubblico
La LAN del ROUTER BBRADIO è 192.168.1.1/24 (255.255.255.0)
ne consegue che la WAN del DFL200 è 192.168.1.2/24 e punta al gateway 192.168.1.1
allora la LAN del DFL200 diventa 192.168.18.1/24
quindi i tuoi PC saranno:
IP_PC1 = 192.168.18.11/24 gateway 192.168.18.1
IP_PC2 = 192.168.18.12/24 gateway 192.168.18.1

Nota come le classi di indirizzi sono cambiate, questo per far si che il nostro firewall-router faccia il router, cioè instradi le richieste dei client lan verso 0.0.0.0/0 attraverso il gateway 192.168.1.1, che è il gateway di uscita verso internet.

Fatto ciò, applica la configurazione, dandoti il tempo suffiiente per poter cambiare l'indirizzo del client da cui programmi il firewall, così ché la configurazione venga salvata. Nota bene, che se imposti un tempo troppo breve e non riesci a cambiare l'IP entro tane termine, il firewall igniorerà le modifiche tornando alla configurazione precedente!

Una volta salvata la configurazione, vai nel menù FIREWALL -> POLICY
alla voce "Global policy parameters" togli le due spunte e imposta come TTL minimo 45ms
Applica e torna al menu POLICY
Vai alla voce "LAN to WAN"
Metti il pallino su  NAT: Hide source addresses (many-to-one NAT)
Come prima voce dovresti avere una regola che dice "DROP_ALL"
premi su "EDIT" a destra della regola
Cambia il nome in "ALLOW_ALL"
alla combo box "ACTION" seleziona "ALLOW"
i 4 campi siccessivi lasciali bianchi
alla combo "SERVICE" seleizona ALL
alla combo "SCHEDULE" seleziona "ALWAYS"
lascia bianche le due spunte sottostanti
applica
Torna nel menu "POLICY" e seleziona "WAN to LAN"
dovrebbe essere già presente la regola DROP_ALL... se così non fosse, crala tu come descritto sopra.
Applica e attiva la configurazione.

Da questo momento tutto può uscire dalla lan, ma nulla può entrare!!

Ricordati che se vuoi delle regole di accesso più rigide, devi impostare come prima regola il DROP_ALL alla voce WAN to LAN, e poi consenti i servizidesiderati:

esempio:
#1 drop_all     drop     Any     Any     All Protocols     D     [Edit]
#2 allow_dns    Allow    Any    Any    dns-all    UD    [Edit]
#3 allow_http    Allow    Any    Any    http-all    UD    [Edit]
#4 allow_pop3    Allow    Any    Any    pop3    UD    [Edit]
#6 allow_smpt    Allow    Any    Any    smtp    U    [Edit]

Per quanto riguarda accesso remoto e quant'altro, dovresti, per farlo, avere un IP conosciuto e visibile sulla rete Internet.... di fatti, se io conosco l'IP pubblico del router BBRADIO, devo chiedere al gestore di programmare un port forwarding o meglio ancora una DMZ verso il192.168.1.2 (IP WANDFL200)
Sarebbe ideale avere sulla WAN del DFL200 un IP pubblico, così da poterci gestire il port forwarding da noi!

Per quest'aspetto della programmazione, fammi sapere quali sono i programmi e vedrò di darti una mano in merito.

P.S. io dal sito dlink ho scaricato ilo manuale in italiano... comunque, se non lo trovi lasciami la mail che te lo mando!

A presto!!   

[sentiero]

ok molto bene. tutto fatto. funziona alla grande...
grazie 1000

ora viene il bello
il provider mi ha aperto la porta 8999 verso 192.168.1.2, che è la porta wan del firewall..
quindi se sul browser io chiamo l'indirizzo "mio_ip_pubblico":8999 il port forwarding del provider mi porta sull'indirizzo locale 192.168.1.2

come faccio a forwadare da 192.168.1.2 (porta wan del fw) a 192.168.111.2 (pc locale)?

[sentiero]

non riesco proprio a trovare il port forwarding sul firewall.
ciao

[rgabriel]

Ciao Sentiero!!

Trovi, all'interno del menù FIREWALL, la voce PORT MAPPING, dove puoi configurare i servizi di forward!
Non so se ieri hai ricevuto la mia mail, ma ad ogni modo, se devi accedere da remoto, configurati un accesso VPN PPTP che lavora sulla porta TCP 1723!

A presto!

[sentiero]

Ho provato così:
ma non funziona...(prima fammi provare con il vnc, poi facciamo la vpn. dai...) ciao
dove ho sbagliato?
----------------------------------------------

Port Mapping / Virtual Servers
Edit new mapping :
 
Name: vnc
 
Source Nets:
 Blank = everyone
 
... Users/Groups:
 "Any" = Any authenticated
 
Destination IP:
 Blank = WAN interface IP address

Service: custom tcp+udp
 

Custom source ports: 192.168.1.2:8999
 Blank = any port
... destination ports: 192.168.18.11:8999
 
... pass to port: 192.168.18.1:8999
 ... and up. Blank=no change.


 
Pass To:

Schedule:
 
 Intrusion Detection / Prevention:
 
Mode:
Alerting:
 Enable IDS/IDP alerting via email for this rule

[rgabriel]

Ciao!

La regola per il port forwarding si imposta così:
-------------------------
Name: vnc

Source Nets: lasci vuoto
 
Users/Groups: lasci vuoto
 
Destination IP: lasci vuoto

Service: custom tcp

Custom source ports: 8999

destination ports: 8999

pass to port: lasci bianco

Pass To: 192.168.18.11

Schedule: always
------------------------------------


Invece di farti progeammare tanti port forwarding sul loro router, chiedi se possono configurarti il 192.168.1.2 come DMZ, in questo modo non sei vincolato alle loro programmazioni, ma tutte le richieste fatte verso l'IP pubblico sulla WAN del router BBRADIO verranno dirottate verso l'interfaccia WAN del tuo firewall!

P.S. Dato che fare il port forwarding verso un servizio di desktop remoto è abbastanza rischioso in termini di sicurezza, abilita il servizio di autenticazione a livello di firewall! Realizzi dunque un gruppo utenti dando a questo gruppo privilegi di accesso. Il DFL200 gestisce le autenticazioni tramite login da pagina HTTP o HTTPS, che ovviamente renderai accessibili si porte diverse dalla 80 o dalla 443!
In questo modo puoi impostare username o password molto complesse, e chi accede, oltre a dover conoscere tali dati, dovrebbe conoscere anche la porta che usi per l'accesso alla pagina di login!
Così renderesti tutto un po' più sicuro!
Sul sito D-Link, trovi la guida per l'autenticazione e database utenti in italiano! Prova a darci un'occhiatina!!

A presto!!

[sentiero]

grazie
ora provo
ti faccio sapere

[sentiero]

forse è meglio accantonare il desktop remoto con ultravnc, ora mi faccio aprire la porta 1723 come mi consigli. se non erro win xp integra un client vpn? quindi è sufficiente un solo firewall.
bene proviamo

[sentiero]

ciao
ciao a tutti

ho riprovato con ultravnc... nulla

ora ripensandoci, penso che quelli di bbradio non mi abbiano aperto proprio un bel niente....

in effetti il contratto con loro prevede unicamente connettività internet.

8 ip pubblici a 32 euro l'anno è molto?
possono essere utili?

ho paura che non mi aprano neanche la 1723... proverò a chiedere.

tieni presente che ho canche una telecamerina ip, la linksys wvc54gc, wireless, ottima, ha tutto il necessario per il monitoring remoto con pochi euri. ha pure il dns dinamico con linksys stessa.

volevo usarla per il controllo remoto, ma anche le prove con quella non sono andate a buon fine...
neppure bypassando il firewall.

avevo forwardato 192.168.1.2:5009 (lan fw) su 192.168.18.58:80 (telecamera ip)
avevo il dubbio sul gateway da utilizzare, ma non credo di aver sbagliato lasciando 192.168.18.1

viso che ho un ip pubblico non volevo usare il din dns

cosa consigli?

ciao
a presto

[rgabriel]

Ciao!!

Scusami, ma perchè vuoi usare il DynDNS se hai un IP statico?
Il prezzo degli 8IP è ottimo.... ma a te ne basta uno solo!
Dato che tu un IP pubblico statico ce l'hai, ma è assegnato alla WAN del BBRADIO, fatti programmare da loro una DMZ (demilitarizzata) verso 192.168.1.2
Una volta che hai la DMZ attiva, puoi fare ciò che vuoi con le porte!

BBRADIO dice che non si può fare e che devi comprare gli IP pubblici??
NON è VERO loro NON lo vogliono fare perché forse fogliono venderti questo come servizio a valore aaggiunto!!

La telecamera IP funziona alla grande: io faccio questo da anni senza problemi! le IP cam per videosorveglianza hanno raggiunto un livello qualitativo e un prezzo che le rendono assolutamente rimpiazzabili alle telecamere analogiche per videosorveglianza!

Ah, il gateway impostato è giusto!


Vuoi provare se i port forwarding sono giusti??
Frapponi uno switchetto tra la WAN del DFL200 e la lan del BBRADIO, collegaci anche un portatile che sarà 192.168.1.3, non è necessario che imposti il gateway e DNS tanto non devi uscire su internet, e prova ad accedere a 192.168.1.2:5009. Se hai nattato bene la telecamera, dovresti accedervi senza problami! Almeno così sai se BBRADIO ti ha programmato i port forwarding!

Ciao, a presto!!

[sentiero]

ok
ultra vnc funziona sulla porta 5900
però così come è messo non è molto sicuro....

la web cam non riesco a farla funzionare... boh