Pirelli AGE-UB -> Safecom: NAT + Firewall: impossibile [RISOLTO]

bautzen · « **il:** 09 Febbraio 2007, 13:37 »

Salve a tutti ragazzi, sono un novizio qui e interpello la vostra esperienza su un problema che non mi f� dormire!!!! Avendo per le mani un vecchissimo Pirellone (Pirelli AGE-uB) e prima di gettarlo, ho voluto vedere se poterne fare un buon uso anche magari per sostituire il mio Alcatel STP@Alcatel 510v3 con firewall. Insomma per cercare di farla breve, usando il Origo/Safecom router repair CD 5.4 ho caricato tramite USB il firmware Safecom-041025 e non JMK in quanto una volta caricato non era possibile accederci in alcun modo.

Il risultato da me cercato � il seguente:
- Abilitare il firewall interno (SPI) con questa politica: blocco tutto eccetto ......
- Abilitare il "Virtual Server" per girare alcuni servizi tipo VNC

Scenario:
- Alice FLAT da 4Mbit (IP dinamico)
- PC: Windows 2000 SP4 (nessun firewall caricato)

Passaggi:
- Router Pirelli@Safecom: 192.168.0.251/24
� � �
� � � �Router Information:
� � � �BootCode Version:� � � � � � � � � �BC_CX82xxx_4.1.0.21
� � � �Firmware Version:� � � � � � � � � � CX82xxx_4.1.0.21
� � � �Customer Software Version:� � � safecom.cn 04-21-05

- PC: 192.168.0.253/24
- DNS Usati: 151.99.125.2 e 151.99.125.3 (Telecom Interbusiness)
- DHCP disabilitato
- NAT abilitata come "Dynamic NAPT"
- Connessione con PPPoE LLC, MTU 1500 (standard)

A questo punto se lascio DISABILITATO il Firewall e creo la regola sotto Virtual Server in questa forma:
- AnyIP:5900~5900 -> 192.168.0.253:5900
Tutto funziona perfettamente e dall'esterno riesco a raggiungere ed aprire il mio PC con VNC

Se per� io voglio ABILITARE il firewall e fare funzionare la regola del Virtual Server, ecco che le regole del firewall funzionano ma il port forwarding del VNC non pi�.
In particolare il firewall l'ho configurato come segue (solo navigazione WEB e VNC per fare dei test)

Outbound Policy:

LAN:Anyport -> AnyIP:53 (UDP) = allow� � � � � � � � � � � (richieste DNS)
LAN:Anyport -> AnyIP:80 (TCP) = allow� � � � � � � � � � � (richieste HTTP)
LAN:Anyport -> AnyIP:5900 (TCP) = allow� � � � � � � � � (richieste VNC verso esterno)
LAN:Anyport -> AnyIP:Anyport (all protocol) = deny� � �(default policy)

Inbound Policy:

AnyIP:53 -> LAN:Anyport (UDP) = allow� �� (risposte DNS)
AnyIP:80 -> LAN:Anyport (TCP) = allow� �� (risposte HTTP)
AnyIP:5900 -> LAN:Anyport (TCP) = allow�� (risposte VNC)
AnyIP:Anyport -> LAN:Anyport (All protocols) = deny� �(default policy)

in questo modo per� il PC interno non � raggiungibile dall'esterno. Ho creato diverse altre regole indicando come PC di destinazione l'IP del PC al posto di LAN ma senza alcun risultato.

Ho anche provato ad abilitare la DMZ inserendo come indirizzo quello del PC (192.168.0.253) ma nulla.
Ho provato ad usare semplicemente la funzione NAT e NAPT ma non � cambiato nulla

Mi chiedo dove st� sbagliando!!! E' forse un bacco del firmware? Io non credo che lo sia in quanto leggendo qua e l� anche in questo forum, lo stesso firmware � applicabile anche ad altri router (basati su Connexant) ed � in commercio da un bel p�. Se fosse baccato in una sua semplicissima funzione di port forwarding, i produttori avrebber� gi� cambiato lavoro�

Quindi ne deduco che sia io a sbagliare da qualche parte. Tuttavia stento a credere che l'unica soluzione sia quella di usare o il Virtual Server o il Firewall.

Vi prego, voialtri guri, aiutatemiiiiiiiiiiii

Grazie a tutti della vostra attenzione (visto che ho scritto un papiro, ma ho voluto essere il + chiaro possibile)
e non abbandonatemi�

bautzen · « **Risposta #1 il:** 10 Febbraio 2007, 13:45 »

Ciao a tutti, dopo altri tentativi, sono riuscito finalmente a capire come fare correttamente il nat con il firewall attivo. In pratica bisogna ragionare (era cos� semplice alla fine) nella direzione inversa quando si tratta di Virtual Server quindi in breve:

Configurazione NON funzionante:

Virtual Sever:

- AnyIP:5900~5900 -> 192.168.0.253:5900

Outbound Policy:

LAN:Anyport -> AnyIP:53 (UDP) = allow� � � � � � � � � � � (richieste DNS)
LAN:Anyport -> AnyIP:80 (TCP) = allow� � � � � � � � � � � (richieste HTTP)
LAN:Anyport -> AnyIP:5900 (TCP) = allow� � � � � � � � � (richieste VNC verso esterno)
LAN:Anyport -> AnyIP:Anyport (all protocol) = deny� � �(default policy)

Inbound Policy:

AnyIP:53 -> LAN:Anyport (UDP) = allow� � � � � � � � � � �(risposte DNS)
AnyIP:80 -> LAN:Anyport (TCP) = allow� � � � � � � � � � �(risposte HTTP)
AnyIP:5900 -> LAN:Anyport (TCP) = allow� � � � � � � � � (risposte VNC)
AnyIP:Anyport -> LAN:Anyport (All protocols) = deny� �(default policy)

IN QUESTO MODO STIAMO RAGIONANDO PER LE RICHIESTE GENERATE DAL PC NELLA LAN VERSO L'ESTERNO E LE RELATIVE RISPOSTE A QUESTE RICHIESTE.
SICCOME OVVIAMENTE IL VIRTUAL SERVER OPERA DALL'ESTERNO VERSO L'INTERNO (DALLA WAN ALLA LAN) BISOGNA AGGIUNGERE 2 REGOLE NUOVE SUL FIREWALL COME SEGUE:

Inbound Policy:

AnyIP:Anyport -> LAN:5900 (TCP) = allow� � � � � � � � � (richieste dall'esterno verso l'interno sulla porta del VNC)

**** ALTERNATIVE ********************************
* AnyIP:Safeport (>1024) -> LAN:5900 (TCP) = allow� � � �
* oppure� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �
* AnyIP:safeport (>1024) -> IP_del_PC:5900 (TCP) = allow
*************************************************

Outbound Policy:

LAN:5900 -> AnyIP:Anyport (TCP) = allow� � � � � � � � � �(risposte alle richieste generate dall'esterno sulla porta VNC)

**** ALTERNATIVE ********************************
* LAN:5900 -> AnyIP:Safeport (>1024) (TCP) = allow� � � �
* oppure� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �
* IP_del_PC:5900 -> AnyIP:Safeport (>1024) = allow
*************************************************

Quindi riassumendo, una configurazione tipo FUNZIONANTE � del tipo che riporto sotto (Permette SOLO: DNS,HTTP e VNC)

Virtual Sever:

- AnyIP:5900~5900 -> 192.168.0.253:5900

Outbound Policy:

LAN:Anyport -> AnyIP:53 (UDP) = allow� � � � � � � � � � � (richieste DNS)
LAN:Anyport -> AnyIP:80 (TCP) = allow� � � � � � � � � � � (richieste HTTP)
LAN:Anyport -> AnyIP:5900 (TCP) = allow� � � � � � � � � (richieste VNC verso esterno)
LAN:5900 -> AnyIP:Anyport (TCP) = allow� � � � � � � � � (risposte alle richieste generate dall'esterno sulla porta VNC)
LAN:Anyport -> AnyIP:Anyport (all protocol) = deny � � �(default policy)

Inbound Policy:

AnyIP:53 -> LAN:Anyport (UDP) = allow� � � � � � � � � � �(risposte DNS)
AnyIP:80 -> LAN:Anyport (TCP) = allow� � � � � � � � � � �(risposte HTTP)
AnyIP:5900 -> LAN:Anyport (TCP) = allow� � � � � � � � � (risposte VNC)
AnyIP:Anyport -> LAN:5900 (TCP) = allow� � � � � � � � � (richieste dall'esterno verso l'interno sulla porta del VNC)
AnyIP:Anyport -> LAN:Anyport (All protocols) = deny � �(default policy)

A questo punto sono partito come un treno a creare le mie varie regole in uscita ed entrata (porte: 21,22,23,25,110,443,443,3389,4125) ed il mio Virtual Server (anche con regole per il P2P) ma con mio immensa sorpresa

ho notato che alla decima regola (in uscita cos� come in entrata, quindi 20 totali) si impianta tutto oppure non mi lascia salvare pi�, oppure (con firmware del 2004) mi dice che � stato raggiunto il limite delle regole. Ma come � possibile?

?? solo 10 regole (quindi 9 se togliamo la policy di default). Ma � una cosa verosimile? E' un problema di memoria e quindi magari togliendo qualche file che non utilizzer� mai, riesco a recuperare qualcosina (tipo togliendo il logo.gif della Safecom che mi occupa uno spazio pari al file delle regole in uscita). Insomma � una limitazione aggirabile, ne avete sentito parlare � vera?

Grazie a tutti dell'attenzione

Patrick

Pirelli AGE-UB -> Safecom: NAT + Firewall: impossibile [RISOLTO]

bautzen

Pirelli AGE-UB -> Safecom: NAT + Firewall: impossibile [RISOLTO]

bautzen

Re: Pirelli AGE-UB -> Safecom: NAT + Firewall: impossibile