Help configurazione firewall

[Tsof]

Ho qualche problema con la configurazione del firewall e del router.

La mia rete è così strutturata:

router => switch => pc xp professional=> stampanti
                       => pc linux
                       => access point => notebook Xp
                                                 
con questi ip:
IP                Descrizione   
192.168.1.1    Router
192.168.1.2    PC XP professional   
192.168.1.3    Notebook Xp home         
192.168.1.10   PC Linux
192.168.1.12   Access point 3com           

Come devo configurare il firewall sulle tre macchine e il port forwarding nel router? Per ora so che il client ftp mi da errore, come se fosse bloccato dal firewall. Ma io ho aperto la porta 21 sia sul router che sul firewall, puntandola all'ip della singola macchina (es. 192.168.1.2).

Qualcuno mi aiuti!!!!

[Gna]

Fa il router da firewall e port forwarding? Dovresti agire su quello, controlla pure se lo switch ti blocca qualcosa (ma lo escludo).
Disattiva il firewall di Win XP e attiva solo quello sul router.

[Tsof]

Fa il router da firewall e port forwarding? Dovresti agire su quello, controlla pure se lo switch ti blocca qualcosa (ma lo escludo).
Disattiva il firewall di Win XP e attiva solo quello sul router.

Come faccio ad attivare il firewall sul router? Anche secondo me sarebbe la cosa più logica, ma non so se si possa ...

Ma al di là di questo, la configurazinoe delle porte è corretta?

Thanks

[Gna]

hai provato con il browser a caricare l'IP del router, in genere ti compare una pagina da cui puoi configurare tutto.

[TestaLucente]

per la configurazione del firewall del router segui i consigli di gna...
e poi, a seconda del modello che hai, apri le porte e stabilisci le rotte...
intanto individua il tipo di router.

su XP butta il firewall e non dovresti avere problemi.
in ogni caso il software che usi per l'ftp su windows deve essere correttamente configurato altrimenti non ti risponde nessuno.
se provi le rotte e le diverse configurazioni del router con la macchina linux fai decisamente prima.

per quassicosa... scrivi.

[Tsof]

Allora, il router è un Aethra Starbridge-e.

Il problema è proprio l'apertura delle porte in port forwarding, direi. Ma non mi pare un problema Windows o Linux.

Devo aprire la singola porta e fornire come ip quello della singola macchina? e sia in tcp che in udp?

Se stacco il firewall sulla macchina windows non rischio poi di essere esposto su quella? Comunque la macchina linux è in parallelo, dunque in presa diretta sullo switch che è a sua volta connesso al router.

[Tsof]

Ho anche provato ad abilitare il dmz sull'ip della macchina linux, è corretto?

Infine in Administration remote settings ho messo enable ftp.

Spero solo di non sconfigurare troppo il sistema ...

[Gna]

non so se ti puo` servire come esempio ma lo scrivo lo stesso:
io ho settato sul mio router il firewall aprendo le porte di emule e poi quando lo uso, apro le porte sul pc linux con una serie di comandi iptables che faccio girare quando mi serve eRmulo. Per windows, non so,
dovrebbe bastare il firewall del router. Meglio gestire un solo cancello che doverne gestire 2 o 3 in sequenza, rischi di non capire dove sta l'inghippo. Come prova zero puoi disabilitare il firewall dovunque e vedere se cosi` funziona, poi chiudi con il firewall del router per es. Di default il port forwarding su linux e` disabilitato. Il comando sudo iptables -L da terminale ti da un riassunto delle porte abilitate a fare qualcosa.

[Tsof]

#####@####:~$ sudo iptables -L
[sudo] password for ######: ******
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.1.1          anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT     udp  --  192.168.1.1          anywhere
ACCEPT     0    --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
DROP       0    --  anywhere             255.255.255.255
DROP       0    --  anywhere             192.168.1.255
DROP       0    --  BASE-ADDRESS.MCAST.NET/8  anywhere
DROP       0    --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       0    --  255.255.255.255      anywhere
DROP       0    --  anywhere             0.0.0.0
DROP       0    --  anywhere             anywhere            state INVALID
LSI        0    -f  anywhere             anywhere            limit: avg 10/min burst 5
INBOUND    0    --  anywhere             anywhere
LOG_FILTER  0    --  anywhere             anywhere
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
LOG_FILTER  0    --  anywhere             anywhere
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.1.10         192.168.1.1         tcp dpt:domain


E tradotto in italiano corrente cosa significa?

[TestaLucente]

allora...
innanzi tutto se usi il firewall di windows per sentirti "protetto" commetti un errore di fondo.
forse non tutti sanno che... il firewall di windows non, e ripeto NON, agisce su TUTTO il traffico outbond (ovvero in uscita).
come se non bastasse non puoi fare regole su MAC, il filtro TCP/UDP è parziale, NATting ridicolo... e blah blah blah.
il firewall di windows va ELIMINATO appena installi il so.

se vuoi farti una bella lettura, che ti consiglio vivamente, eccoti un bel linkino...
http://en.wikipedia.org/wiki/Comparison_of_firewalls




per la configurazione del router vedi se qui trovi qualcosa di utile che ti possa aiutare...
http://www.puntoadsl.net/router/install_bri_nuovo.html

e poi nelle faq di emule.it ho trovato l'howto per impostare la rotta del mulo per il tuo router...
è la stessa cosa che devi fare per qualsiasi servizio tu voglia aprire...
incollo...

Aethra starbridge e (eu)
Eseguite DSLCOM e nel tab Line Configuration cliccate su Inbound
inserire i seguenti parametri:
Port = 4662
Host IP = 192.168.1.2
Protocol = TCP
Cliccare su ADD
Eseguire lo stesso procedimento per la porta UDP inserendo i seguenti parametri
Port = 4672
Host IP = 192.168.1.2
Protocol = UDP
CLiccare su ADD

Altra procedura:
aprite il vostro web browser e sulla barra degli indirizzi scrivete 10.0.0.2
vi apparira' una finestra che vi richiede nome utente e password se nn avete variato i settaggi di default sono admin e password
andate su port forwarding troverete add new rule
Nei primi due campi mettete 4662 selezionate tcp e nell'ultimo campo mettete l'ip del vostro computer
ripetete la stessa procedura x la porta 4672 ma selezionando udp
poi cliccate su save settings

ah! lascia perdere la DMZ 

[Tsof]

Quindi ciò significa che essendo già dietro il router, è il router stesso che provvede a chiudere l'accesso? e che quindi il firewall non mi serve a nulla?

[Tsof]

Peraltro il mio vero problema non è quello di aprire la porta in inbound al mulo, che non sto usando, ma in outbound al server ftp (che sta sulla macchina linux), e anche in inbound sempre per l'ftp.

[Gna]

la porta da utilizzare per l'ftp dovrebbe essere la 21 http://it.wikipedia.org/wiki/FTP,
ti ho parlato di emule come esempio di applicazione client che richiede di utilizzare una o piu` porte prestabilite e che devono essere rese disponibili dal firewall, quest'ultimo basta settarlo solo sul router.

[TestaLucente]

la porta da utilizzare per l'ftp dovrebbe essere la 21 http://it.wikipedia.org/wiki/FTP,
ti ho parlato di emule come esempio di applicazione client che richiede di utilizzare una o piu` porte prestabilite e che devono essere rese disponibili dal firewall, quest'ultimo basta settarlo solo sul router.

ed io ho continuato l'esempio del mulo perchè c'è la guida che ti spiega passo passo come fare.
devi semplicemente sostituire al mulo la tua applicazione, quindi protocollo utilizzato, porta, ip...

Quindi ciò significa che essendo già dietro il router, è il router stesso che provvede a chiudere l'accesso? e che quindi il firewall non mi serve a nulla?

questo vale se, e solo se, il router ha anche la possibilità di fare da firewall...
considera che un firewall 'normale' parte in ALL DENY quindi, senza opportuna configurazione, non riuscirai neanche a navigare (http porta 80)

[Gna]

parrebbe configurabile:
http://www.puntoadsl.net/router/install_bri_nuovo.html
c'e` una sezione port forwarding

[TestaLucente]

parrebbe configurabile:
http://www.puntoadsl.net/router/install_bri_nuovo.html
c'e` una sezione port forwarding

per la configurazione del router vedi se qui trovi qualcosa di utile che ti possa aiutare...
http://www.puntoadsl.net/router/install_bri_nuovo.html

anfatti

[Tsof]

Allora, comincio ad avere le idee un po' più chiare.

Intanto sulla macchina Linux ho disattivato il firewall, almeno temporaneamente, anche per capire dove sta l'inghippo.

Ho aperto la DMZ su ftp (è il servizio che mi serve) per essere certo che il router non mi blocca, e ho aperto anche le porte corrispondenti, con i relativi indirizzi delle singole macchine, in particolare la 21 - che è appunto quella per l'ftp - per la macchina linux che nella mia rete è 192.168.1.10.

Duqnue, a questo punto non dovrei avere + problemi specifici di fw, perchè pur lasciando il firewall attivo sulla macchina winzoz (interessanti le informazioni fornite al proposito da TL, con più calma mi sa che davvero lo elimino) il router attraverso lo switch punta direttamente alla macchina Linux, che quindi è indipendente nell'accesso alla rete, e non avendo il firewall non dovrebbe filtrare nulla.

Ora, il mio problema è che ho attivato un ip esterno e non riesco a reindirizzarlo sulla macchina linux.

Faccio uno schemino per spiegare meglio:

Ip esterno 84.222.210.139 - INTERNET - Router => Switch => PcLinux 192.168.1.10

Io voglio chiamare l'ip esterno e accedere al server ftp (proftpd) che sta su Pclinux... Dalla rete, anche se ancora con qualche problema ci riesco, almeno il client ftp vede il server, e questo già è un primo passo. Dall'esterno, invece nulla.

Probabilmente devo configurare meglio i DNS nel router, visto che i DNS via DHCP fanno il reindirizzamento degli ip dinamici di rete privata verso l'esterno...

[Gna]

ovviamente dall'esterno (cioe` da qualsiasi pc al mondo) non fai ftp verso: 192.168.1.10 che e` un indirizzo
locale della tua lan? vero eh? L'ftp da fuori lo devi fare verso il tuo indirizzo fisso 'esterno' cioe` se ho capito
bene: 84.222...etc. Poi deve essere il router a indirizzare sul 'socket' 192.168.1.10:21 (IP + porta) i pacchetti ftp in entrata e uscita dal server ftp che risiede all'IP locale 192.168.1.10,
giusto TL?
io a questo punto mi fermo perche` non ho mai studiato informatica 

[Tsof]

Ovviamente l'accesso in rete posso farlo, come dici tu sul mio ip interno di rete, che evidentemente non è visibile dall'esterno, cioè ftp://192.168.1.10 (più la porta, come dici tu)

Per accedere dall'esterno ho bisogno di un ip fisso, o comunque di un sistema che mi reindirizzi al mio ip, visto che io non ho un ip dinamico, dunque "l'indirizzo della mia porta di accesso" (diciamo così) varia continuamente.

Se non ho capito male no-ip.com funziona così, cioè ti da un ip (free) che funziona come un ip statico (se pure non lo è) e "vede" il tuo ip dinamico. Non ho del tutto capito come il router reindirizza dall'ip esterno al mio ip ...

[Gna]

Non ho del tutto capito come il router reindirizza dall'ip esterno al mio ip ...
Quello e` proprio il compito del router, che da una parte mostra solo un indirizzo pubblico
e poi distribuisce  i pacchetti ai vari IP sulla LAN, sulla porta 80 per http e sulla 21 per l'ftp, forse
devi settare in modo che tutti i pacchetti che da esterno vogliono accedere alla porta 21 vengono presi
solo dal server ftp con linux.

[Tsof]

Non sono molto convinto, se fosse come dici alllora tutti i thread ftp arriverebbero su una macchina sola, cosa che almeno in outcoming non dovrebbe essere.

[TestaLucente]

Poi deve essere il router a indirizzare sul 'socket' 192.168.1.10:21 (IP + porta) i pacchetti ftp in entrata e uscita dal server ftp che risiede all'IP locale 192.168.1.10, giusto TL?

cristallino! 

Non ho del tutto capito come il router reindirizza dall'ip esterno al mio ip ...
Quello e` proprio il compito del router, che da una parte mostra solo un indirizzo pubblico
e poi distribuisce  i pacchetti ai vari IP sulla LAN[...]

esatto!
Tsof, i router ed i firewall "seri" fanno il NATTING...
http://it.wikipedia.org/wiki/Network_address_translation




per quanto riguarda l'IP dinamico che ti assegna il tuo ISP, se ben ricordi, fu una delle prime cose che ti dissi quando iniziammo a parlare del tuo progetto ftp. con l'ip dinamico non puoi fare niente (servizi di redirect a parte) ed è il motivo per il quale un ip statico costa decisamente di più.

in questo caso, come hai detto tu, il redirect te lo fanno quelli di no-ip... funziona, ma è bene comprendere il meccanismo del loro servizio. ogni volta che ti colleghi usi un programmino che invia il tuo IP a NO-IP e loro aggiornano l'associazione nuovoIP-nome_dominio (quello che comunemente fa un DNS).

detto così è facile ma ocio! di solito chi ti fornisce la connessione non gradisce questo tipo di soluzioni (altrimenti gli ip statici che li vende a fà?) e ogni tot ore cambia IP.

Non sono molto convinto, se fosse come dici alllora tutti i thread ftp arriverebbero su una macchina sola, cosa che almeno in outcoming non dovrebbe essere.

ovvero?

[Gna]

Penso che in uscita vengono indirizzati dal router agli IP esterni che ne ha fatto richiesta.
In ingresso devono arrivare tutti al server ftp.
PS: rispondevo a Tsof

[Tsof]

Ok, grazie, sto cominciando a capire... faccio alcune altre prove, poi vi faccio sapere ...

[Nessuno]

MafDiMer

[TestaLucente]

Nessù, concordo.

ma il caso che riportavo io è quello di un router perennemente connesso con lo stesso IP...
controlla tu stesso se ogni tanto cambia.

per la singola sessione, che può durare un tempo limitato, è valido tutto quello che hai detto tu...
solo fastweb esula da questi discorsi.

[Tsof]

TL, credo che quello che tu dici sia vero in alcuni casi.

Ora, può benissimo essere che qualcuno ti dia un servizio con maggiori limitazioni.

I provider, visto che ti danno in genere una connessione base tendono certamente a preferire che tu ne faccia un utilizzo base, e ti pongono delle limitazioni. Ho trovato un post di un tizio che si lamentava perchè il provider gli aveva bloccato una porta (non ricordo quale, ma non era la 21).

Se tutti si abilitassero dei server ftp o anche http sui propri pc domestici forse i provider avrebbero qualche problema in più (anche perchè lo stesso servizio preferiscono vendercelo).

Se però il provider non ti blocca intenzionalmente porte in entrata, no-ip (o anche dyndns) ti forniscono un dominio di terzo livello su un loro dominio (es testalucente.dyndns.org), che associano al tuo ip. Se il tuo ip non è statico (come è il mio caso) per poter reindirizzare (lavoro dei DNS) il dominio testalucente.dyndns al tuo ip devi tenere in funzione un client che comunica al server (e al DNS in particolare) il tuo ip, che cambia nel tempo (e soprattutto quando spegni il router).

[TestaLucente]

TL, credo che quello che tu dici sia vero in alcuni casi.

Ora, può benissimo essere che qualcuno ti dia un servizio con maggiori limitazioni.

I provider, visto che ti danno in genere una connessione base tendono certamente a preferire che tu ne faccia un utilizzo base, e ti pongono delle limitazioni. Ho trovato un post di un tizio che si lamentava perchè il provider gli aveva bloccato una porta (non ricordo quale, ma non era la 21).

Se tutti si abilitassero dei server ftp o anche http sui propri pc domestici forse i provider avrebbero qualche problema in più (anche perchè lo stesso servizio preferiscono vendercelo).

Se però il provider non ti blocca intenzionalmente porte in entrata, no-ip (o anche dyndns) ti forniscono un dominio di terzo livello su un loro dominio (es testalucente.dyndns.org), che associano al tuo ip. Se il tuo ip non è statico (come è il mio caso) per poter reindirizzare (lavoro dei DNS) il dominio testalucente.dyndns al tuo ip devi tenere in funzione un client che comunica al server (e al DNS in particolare) il tuo ip, che cambia nel tempo (e soprattutto quando spegni il router).

a Tsof che me stai a spiegà quello che t'ho spiegato io qualche post fa?
vabbè che il neurone è solo e rincojonito però fino a sto punto ancora non ce sò arrivato...

[Tsof]

Ok, l'importante è che ci capiamo e che diciamo tutt'e due la stessa cosa ...

[Nessuno]

MafDiMer

[Tsof]

Intanto non era un ftp quindi non sulla 21, era un altro servizio. Poi credo che il tizio si sia lamentato e gliel'abbiano abilitata. D'altronde i provider cercano di tirare l'acqua al loro mulino ...

Poi non stavo parlando di ip fisso esterno, ma di ip dinamico "richiamato" da dns ad un dominio fisso.

Non ricordo, se ho un po' di tempo sabato faccio una ricerca e ti faccio sapere.