cova
19-09-2005, 16:10
Salve a tutti, vi pongo il mio problema.
Ho tirato su una VPN in IPSec fra due uffici con IP fisso e tutto funziona alla perfezione. Non ho ancora inserito politiche di Packet Filter sul firewall del router per limitare gli accessi delle singole macchine ad internet, ed innalzare possibilmente un pò la sicurezza.
Qui nascono i problemi: vorrei chiudere verso l'esterno tutti i PC della rete tranne 2 postazioni che saranno in collegamento tramite la VPN. Quindi ho instaurato una Rule di chiusura totale per tutti, preceduta dalle Rules di apertura porte da e verso i 2 pc in oggetto della VPN. Ho utilizzato anche alcuni tools di monitoraggio porte tipo "Active Ports" per trovare le porte da aprire.
Al momento la situazione è questa:
SEDE 1= VPN attiva, nessuna regola di Packet Filter su nessun PC
SEDE 2= VPN attiva, regola su 1 PC + regole di chiusura totale per tutti gli altri
Nella SEDE 2 la regola è la seguente:
Traffic: Incoming - Packet Type:TCP - Action: Forward - Source IP= tutti - Source Port: 445
Destination IP: (IP interno del pc nella LAN) Destination port: tutte
Con questa regola, trovandomi nella SEDE 2, io vedo tutti i PC della SEDE 1 (che vi ricordo non hanno regole di firewall al momento) ma loro non vedono me. La 445 mi è venuta fuori dallo scan delle porte mentre creavo un collegamento di rete verso il pc nell'altra sede, e così l'ho aperta. Quando invece mi faccio cercare in rete da un pc dell'altra sede non ho allarmi di porte in tentativo di apertura, e tutto ciò non mi è di aiuto. Sicuramente mi manca una Rule di apertura per il traffico in uscita ma non ho idea di quale possa essere. Dal port scan risulta anche la 139 per il netbios ma ho provato a nattarla insieme alla 445 sia in uscita che in entrata senza risultati.
AL momento per farli lavorare ho lasciato le due sedi senza regole di packet filter, mettendo solo le protezioni classiche di Hacker Attack e Nat.
Magari è più che sufficiente così, ma mi chiedevo se fosse meglio chiudere tutto tranne le porte di VPN per una sicurezza + mirata (tanto i pc client non hanno bisogno di Internet)
Ho tirato su una VPN in IPSec fra due uffici con IP fisso e tutto funziona alla perfezione. Non ho ancora inserito politiche di Packet Filter sul firewall del router per limitare gli accessi delle singole macchine ad internet, ed innalzare possibilmente un pò la sicurezza.
Qui nascono i problemi: vorrei chiudere verso l'esterno tutti i PC della rete tranne 2 postazioni che saranno in collegamento tramite la VPN. Quindi ho instaurato una Rule di chiusura totale per tutti, preceduta dalle Rules di apertura porte da e verso i 2 pc in oggetto della VPN. Ho utilizzato anche alcuni tools di monitoraggio porte tipo "Active Ports" per trovare le porte da aprire.
Al momento la situazione è questa:
SEDE 1= VPN attiva, nessuna regola di Packet Filter su nessun PC
SEDE 2= VPN attiva, regola su 1 PC + regole di chiusura totale per tutti gli altri
Nella SEDE 2 la regola è la seguente:
Traffic: Incoming - Packet Type:TCP - Action: Forward - Source IP= tutti - Source Port: 445
Destination IP: (IP interno del pc nella LAN) Destination port: tutte
Con questa regola, trovandomi nella SEDE 2, io vedo tutti i PC della SEDE 1 (che vi ricordo non hanno regole di firewall al momento) ma loro non vedono me. La 445 mi è venuta fuori dallo scan delle porte mentre creavo un collegamento di rete verso il pc nell'altra sede, e così l'ho aperta. Quando invece mi faccio cercare in rete da un pc dell'altra sede non ho allarmi di porte in tentativo di apertura, e tutto ciò non mi è di aiuto. Sicuramente mi manca una Rule di apertura per il traffico in uscita ma non ho idea di quale possa essere. Dal port scan risulta anche la 139 per il netbios ma ho provato a nattarla insieme alla 445 sia in uscita che in entrata senza risultati.
AL momento per farli lavorare ho lasciato le due sedi senza regole di packet filter, mettendo solo le protezioni classiche di Hacker Attack e Nat.
Magari è più che sufficiente così, ma mi chiedevo se fosse meglio chiudere tutto tranne le porte di VPN per una sicurezza + mirata (tanto i pc client non hanno bisogno di Internet)