IlPuntoTecnico
Hardware e Software => Networking => Topic aperto da: sentiero - 17 Gennaio 2007, 10:57
-
ciao
ho acquistato un firewall dfl 200, purtroppo non ho molta dimestichezza con l'inglese, esiste un manuale in italiano oppure una traduzione?
oppure qualcuno che mi consigli sulle policy da adottare, diciamo abbastanza standard...
grazie
-
Ciao!
Beh, le policy vanno strutturate in base alle esigenze della tua lan... Se mi fai una bozza di ciò che intendi fare, ti illustro passo passo come ottenere il risultato prefissato.
P.S. Do per scontato che le interfacce tu le abbia già configurate e le tabelle di routing siano corrette!
Mi descriveresti brevemente com'è strutturato il tuo network?
A presto!
Ah dimenticavo, il manuale in italiano lo scarichi dal sito d-link italia (http://www.dlink.it/?go=jN7uAYLx/oIJaWVTALoZU9f8nJUIKOZTSs6ia/O31g24UoR/kP98f8p8PasSjUJRe0uKslItnv1+cM7k1KXoL04TsuI=)
-
grazie
domani ti faccio sapere
sei gentilissimo
-
Ciao. Innanzi tutto poiché l'adsl non arriva nel mio paese ho adottato questo sistema:
la rete LAN è collegata ad un router fornito dal provider di servizi a cui però non ho possibilità di accesso, il provider si chiama www.bbradio.it.
Dal lato wan il router è collegato ad un bridge wireless, che collega il provider via lan wireless ad un altro bridge posto sul campanile del paese e poi con vari link arriva alla città.
Dal lato lan ho uno switch con 2 pc collegati + 1 access point che da connettività al resto della casa.
Capirai che la sicurezza non è gran chè anche se il provider dice di avere un suo firewall.
Io ho pensato al dfl 200, mi sembra un buon prodotto dal prezzo contenuto. Purtroppo il manuale operativo è in inglese ( lo ho scaricato dal link che mi hai dato). Sono purtroppo abituato ai firewall tipo zone alarm.
La rete deve essere protetta possibilmente da attacchi dos e da intrufolamenti. Tieni presente che i figli hanno l'abitudine (sconsiderata) al peer to peer (emule) e i contenuti degli archivi sono da salvaguardare.
In futuro ho intenzione di mettere un server di posta e ftp server sulla dmz
La rete interna è configurata con ip statico 192.168.1.0/24
L'interfaccia wan del firewall ha ip 192.168.1.23
Il router fornito dal provider in comodato d'uso (che è il gateway della lan) ha ip 192.168.1.1
Il firewall come ben sai ha ip 192.168.1.1
La dmz non è configurata.
Ho intenzione di attivare il controllo remoto sul mio pc con un normale software VNC, però anche qui c'è un problema, il provider mi apre una porta sul suo firewall la quale rimanendo sempre aperta deve essere protetta, ma come?
Ah dimenticavo il provider mi assegna un ip statico.
-
Ciao!
Il concetto è questo: le interfacce WAN e LAN non possono avere la stessa classe di indirizzi, quindi, o dici al tuo provider di cambiare IP della LAN del router o cambi la classe della tua LAN.
Noi faremo così:
Supponiamo che la WAN del ROUTER BBRADIO sia dinamico pubblico
La LAN del ROUTER BBRADIO è 192.168.1.1/24 (255.255.255.0)
ne consegue che la WAN del DFL200 è 192.168.1.2/24 e punta al gateway 192.168.1.1
allora la LAN del DFL200 diventa 192.168.18.1/24
quindi i tuoi PC saranno:
IP_PC1 = 192.168.18.11/24 gateway 192.168.18.1
IP_PC2 = 192.168.18.12/24 gateway 192.168.18.1
Nota come le classi di indirizzi sono cambiate, questo per far si che il nostro firewall-router faccia il router, cioè instradi le richieste dei client lan verso 0.0.0.0/0 attraverso il gateway 192.168.1.1, che è il gateway di uscita verso internet.
Fatto ciò, applica la configurazione, dandoti il tempo suffiiente per poter cambiare l'indirizzo del client da cui programmi il firewall, così ché la configurazione venga salvata. Nota bene, che se imposti un tempo troppo breve e non riesci a cambiare l'IP entro tane termine, il firewall igniorerà le modifiche tornando alla configurazione precedente!
Una volta salvata la configurazione, vai nel menù FIREWALL -> POLICY
alla voce "Global policy parameters" togli le due spunte e imposta come TTL minimo 45ms
Applica e torna al menu POLICY
Vai alla voce "LAN to WAN"
Metti il pallino su NAT: Hide source addresses (many-to-one NAT)
Come prima voce dovresti avere una regola che dice "DROP_ALL"
premi su "EDIT" a destra della regola
Cambia il nome in "ALLOW_ALL"
alla combo box "ACTION" seleziona "ALLOW"
i 4 campi siccessivi lasciali bianchi
alla combo "SERVICE" seleizona ALL
alla combo "SCHEDULE" seleziona "ALWAYS"
lascia bianche le due spunte sottostanti
applica
Torna nel menu "POLICY" e seleziona "WAN to LAN"
dovrebbe essere già presente la regola DROP_ALL... se così non fosse, crala tu come descritto sopra.
Applica e attiva la configurazione.
Da questo momento tutto può uscire dalla lan, ma nulla può entrare!!
Ricordati che se vuoi delle regole di accesso più rigide, devi impostare come prima regola il DROP_ALL alla voce WAN to LAN, e poi consenti i servizidesiderati:
esempio:
#1 drop_all drop Any Any All Protocols D [Edit]
#2 allow_dns Allow Any Any dns-all UD [Edit]
#3 allow_http Allow Any Any http-all UD [Edit]
#4 allow_pop3 Allow Any Any pop3 UD [Edit]
#6 allow_smpt Allow Any Any smtp U [Edit]
Per quanto riguarda accesso remoto e quant'altro, dovresti, per farlo, avere un IP conosciuto e visibile sulla rete Internet.... di fatti, se io conosco l'IP pubblico del router BBRADIO, devo chiedere al gestore di programmare un port forwarding o meglio ancora una DMZ verso il192.168.1.2 (IP WANDFL200)
Sarebbe ideale avere sulla WAN del DFL200 un IP pubblico, così da poterci gestire il port forwarding da noi!
Per quest'aspetto della programmazione, fammi sapere quali sono i programmi e vedrò di darti una mano in merito.
P.S. io dal sito dlink ho scaricato ilo manuale in italiano... comunque, se non lo trovi lasciami la mail che te lo mando!
A presto!!
-
ok molto bene. tutto fatto. funziona alla grande...
grazie 1000
ora viene il bello
il provider mi ha aperto la porta 8999 verso 192.168.1.2, che è la porta wan del firewall..
quindi se sul browser io chiamo l'indirizzo "mio_ip_pubblico":8999 il port forwarding del provider mi porta sull'indirizzo locale 192.168.1.2
come faccio a forwadare da 192.168.1.2 (porta wan del fw) a 192.168.111.2 (pc locale)?
-
non riesco proprio a trovare il port forwarding sul firewall.
ciao
-
Ciao Sentiero!!
Trovi, all'interno del menù FIREWALL, la voce PORT MAPPING, dove puoi configurare i servizi di forward!
Non so se ieri hai ricevuto la mia mail, ma ad ogni modo, se devi accedere da remoto, configurati un accesso VPN PPTP che lavora sulla porta TCP 1723!
A presto!
-
Ho provato così:
ma non funziona...(prima fammi provare con il vnc, poi facciamo la vpn. dai...) ciao
dove ho sbagliato?
----------------------------------------------
Port Mapping / Virtual Servers
Edit new mapping :
Name: vnc
Source Nets:
Blank = everyone
... Users/Groups:
"Any" = Any authenticated
Destination IP:
Blank = WAN interface IP address
Service: custom tcp+udp
Custom source ports: 192.168.1.2:8999
Blank = any port
... destination ports: 192.168.18.11:8999
... pass to port: 192.168.18.1:8999
... and up. Blank=no change.
Pass To:
Schedule:
Intrusion Detection / Prevention:
Mode:
Alerting:
Enable IDS/IDP alerting via email for this rule
-
Ciao!
La regola per il port forwarding si imposta così:
-------------------------
Name: vnc
Source Nets: lasci vuoto
Users/Groups: lasci vuoto
Destination IP: lasci vuoto
Service: custom tcp
Custom source ports: 8999
destination ports: 8999
pass to port: lasci bianco
Pass To: 192.168.18.11
Schedule: always
------------------------------------
Invece di farti progeammare tanti port forwarding sul loro router, chiedi se possono configurarti il 192.168.1.2 come DMZ, in questo modo non sei vincolato alle loro programmazioni, ma tutte le richieste fatte verso l'IP pubblico sulla WAN del router BBRADIO verranno dirottate verso l'interfaccia WAN del tuo firewall!
P.S. Dato che fare il port forwarding verso un servizio di desktop remoto è abbastanza rischioso in termini di sicurezza, abilita il servizio di autenticazione a livello di firewall! Realizzi dunque un gruppo utenti dando a questo gruppo privilegi di accesso. Il DFL200 gestisce le autenticazioni tramite login da pagina HTTP o HTTPS, che ovviamente renderai accessibili si porte diverse dalla 80 o dalla 443!
In questo modo puoi impostare username o password molto complesse, e chi accede, oltre a dover conoscere tali dati, dovrebbe conoscere anche la porta che usi per l'accesso alla pagina di login!
Così renderesti tutto un po' più sicuro!
Sul sito D-Link, trovi la guida per l'autenticazione e database utenti in italiano! Prova a darci un'occhiatina!!
A presto!!
-
grazie
ora provo
ti faccio sapere
-
forse è meglio accantonare il desktop remoto con ultravnc, ora mi faccio aprire la porta 1723 come mi consigli. se non erro win xp integra un client vpn? quindi è sufficiente un solo firewall.
bene proviamo
-
ciao
ciao a tutti
ho riprovato con ultravnc... nulla
ora ripensandoci, penso che quelli di bbradio non mi abbiano aperto proprio un bel niente....
in effetti il contratto con loro prevede unicamente connettività internet.
8 ip pubblici a 32 euro l'anno è molto?
possono essere utili?
ho paura che non mi aprano neanche la 1723... proverò a chiedere.
tieni presente che ho canche una telecamerina ip, la linksys wvc54gc, wireless, ottima, ha tutto il necessario per il monitoring remoto con pochi euri. ha pure il dns dinamico con linksys stessa.
volevo usarla per il controllo remoto, ma anche le prove con quella non sono andate a buon fine...
neppure bypassando il firewall.
avevo forwardato 192.168.1.2:5009 (lan fw) su 192.168.18.58:80 (telecamera ip)
avevo il dubbio sul gateway da utilizzare, ma non credo di aver sbagliato lasciando 192.168.18.1
viso che ho un ip pubblico non volevo usare il din dns
cosa consigli?
ciao
a presto
-
Ciao!!
Scusami, ma perchè vuoi usare il DynDNS se hai un IP statico?
Il prezzo degli 8IP è ottimo.... ma a te ne basta uno solo!
Dato che tu un IP pubblico statico ce l'hai, ma è assegnato alla WAN del BBRADIO, fatti programmare da loro una DMZ (demilitarizzata) verso 192.168.1.2
Una volta che hai la DMZ attiva, puoi fare ciò che vuoi con le porte!
BBRADIO dice che non si può fare e che devi comprare gli IP pubblici??
NON è VERO loro NON lo vogliono fare perché forse fogliono venderti questo come servizio a valore aaggiunto!!
La telecamera IP funziona alla grande: io faccio questo da anni senza problemi! le IP cam per videosorveglianza hanno raggiunto un livello qualitativo e un prezzo che le rendono assolutamente rimpiazzabili alle telecamere analogiche per videosorveglianza!
Ah, il gateway impostato è giusto!
Vuoi provare se i port forwarding sono giusti??
Frapponi uno switchetto tra la WAN del DFL200 e la lan del BBRADIO, collegaci anche un portatile che sarà 192.168.1.3, non è necessario che imposti il gateway e DNS tanto non devi uscire su internet, e prova ad accedere a 192.168.1.2:5009. Se hai nattato bene la telecamera, dovresti accedervi senza problami! Almeno così sai se BBRADIO ti ha programmato i port forwarding!
Ciao, a presto!!
-
ok
ultra vnc funziona sulla porta 5900
però così come è messo non è molto sicuro.... :-[
la web cam non riesco a farla funzionare... boh
-
ciao a tutti
la webcam ip è configurata con ip pubblico, gateway è l'ip del router, il dns è quello del provider.
il web server integrato sulla web cam non dovrebbe rispondere sulla porta 80
del tipo ip_pubblico:80 ?
non funziona
-
ho avuto una folgorazione
se io ho un network pubblico con sottorete 255.255.255.248
quindi la mia sottorete ha a disposizione 8 ip pubblici
mi occore, o comunque è consigliabile, un router per fare port forwardin verso la mia rete interna ( nat e tutto il resto compreso) ???
-
posso utilizzare il firewall dfl 200 per fare il router o meglio acquistarne uno?
se si cosa consigli?
-
Ciao!!
Scusa per il ritardo con cui ti rispondo, ma sono stato poco presente ultimamente.... comunque:
Il DFL-200 è già un router.... non hai bisogno di altri router!
Ora che hai acquistato 8 IP pubblici, non ti resta che assegnare alla porta WAN del tuo firewall un IP pubblico del pool assegnatoti da BBRADIO.
Il concetto è questo in sostanza: BBRADIO ha lasciato il suo IP pubblico che già conoscevi alla WAN, mentre la lan è stata riprogrammata con un IP pubblico del pool da te acquistato con sottorete 255.255.255.248. per farti un esempio pratico:
WAN BBRADIO: 88.102.56.3 netmasy 255.255.255.255 (1host)
LAN BBRADIO: 82.1.6.1 netmask 255.255.255.248(8hosts)
Il tuo pool sarà quindi di 7 IP, cioè da 82.1.6.2 a 82.1.6.8
WAN DFL-200: 82.1.6.2 netmask 255.255.255.248
LAN DFL-200: 192.168.18.1 netmask 255.255.255.0
Ora il tuo firewall è raggiungibile dall'esterno, il chè significa che ora puoi cestirti tutti i port forwarding che vuoi! Bada bene che tu hai anche un'interfaccia DMZ (demilitarizzata) che puoi programmare con un altro IP pubblico, così da mettere la webcam direttamente sull'interfaccia pubblica.
Occhio, che la DMZ deve avere una classe privata e diversa dalla LAN
DMZ DFL-200: 192.168.81.1 netmask 255.255.255.0
IPCAM: 192.168.81.2 netmask 255.255.255.0 gateway 192.168.81.2
Per quanto riguarda la VPN, WinXP ha il client di connessione, il DFL-200 è il server, quindi, tu configuri il server, e da qualunque parte del mondo accedi alla tua lan tramite il tunnel cifrato.
La webcam non risponde al port forwarding? ha provato a collefare un pc alla WAN del DFL-200 con un IP coerente alla subnet impostata per la WAN e fare una prova di accesso?
Per quanto riguarda gli IP pubblici, ne hai 8, ma a te ne basta uno solo.... gli altri li usi a tuo piacimento se vuoi, se ti fanno comodo per altro.... ma uno è sufficiente per tutto ciò che vuoi fare!
Se non riesci a fare qualche configurazione, fammi sapere che provo a darti qualche dritta un po' più precisa!!
A presto!
-
Salve a tutti,
ho anch'io un d-link dfl-200, dovrei impostarlo x far funzionare eMule e altri programmi che richiedono l'uso dell'apertura delle loro porte sul firewall.
Sono andato anche su d-link italia ma non ho trovato neanche il manuale in italiano,
qualcuno mi può aiutare?
Grazie mille x l'attenzione
-
Ciao!!
Devi andare nel menu Firewall -> port mapping
Lì definisci tutte le regole di port forwarding! I menù ricalcano un po' quelli per la creazione di regole firewall, ma il concetto del mapping è lo stesso per ogni router!
Fammi sapere, a presto!!
-
ciao, non ho capito molto il procedimento, potresti spiegarlo meglio tu, oppure se ce l' hai puoi inviarmi, x piacere, il manuale in italiano al mio indirizzo di e-mail!
grazie
-
Ciao!!
Purtroppo non esiste un manuale in italiano, se non alcuni documenti sulla realizzazione di VPN e sull'autenticazione utenti
Ad ogni modo, per realizzare una regola di port forwarding, vai al menù PORT MAPPING. lì trovi la voce "add new" che ti permette di scrivere nuove regole.
trovi i seguenti campi:
1 Name (nome arbitrarioper la regola)
2 Source Nets (reti di destinazione da consentire)
3 Users/Groups (utenti o gruppi per il quale la regola è valida)
4 Destination IP (ip di destinazione cui arrivano le richieste, di solito è l'IP della WAN)
5 Service (trovi una lista di servizi precompilata che puoi usare se trovi ciò che ti serve)
6 Custom source ports (definisce, se in service imposti custom, da quale porta personalizzata ti attendi di ricevere richieste)
7 destination ports (definisce, se in service imposti custom, a quale porta personalizzata ti attendi di ricevere richieste)
8 pass to port (definisce su quale porta lato lan o dmz dovranno finire le richieste ricevute sull porta impostata in destination port)
9 Pass To (identifica l'IP di destinazione del port forwarding, ovvero verso quale IP della LAN o DMZ dirottare le richieste.
GLi altri campi non ti servono.
detto questo, si procede così:
1 imposti un nome arbitrario
2 lasci bianco
3 lasci bianco
4 lasci bianco a meno che non hai un pool di IP pubblici sulla WAN, altrimenti digiti l'IP che ti interessa
5 se è Emule che devi forwardare, seleziona Custom TCP+UDP
6 lascia bianco
7 imposta 24662
8 uguale al 7 quindi 24662
9 indica l'IP lato lan o dmz del pc su cui gira Emule
Applica e fai Active changes ed hai fatto la regola per Emule!
Nota bene, a seconda della versione che hai di Emule, le porte di default potrebbero variare. Che io sappia, le porte principali di default sono la TCP 4662 e la UDP 4672, mentre io ti ho fatto impostare porte differenti per semplicità, così non devi fare due regole ma te ne basta una. Con quello che ti ho fatto fare, hai aperto le porte TCP 24662 e UDP 24662 verso un pc...
Ora vai in Emule, e prima di connetterti, apri il menù OPZIONI, e dalla voce CONNESSIONE cambia le porte di Emule con quelle che ti ho indicato. Salva e riavvia Emule e alla prossima connessione, se tutto è fatto bene, dovresti avere ID ALTO!!
A presto!!