PDA

View Full Version : [Guida] NAT, PAT, DMZ, DHCP, Firewalling, Public servers: explained!


hmetal
16-08-2006, 10:55
[Revision Log]
17-08-2006 09:00 - modificata sezione dhcp
17-08-2006 09:40 - aggiunta sezione routing
17-08-2006 10:45 - modificata sezione introduttiva che potrebbe indurre delle incomprensioni. tnx wgator per la segnalazione


Visto che non ho un cacchio da fare e che in ufficio non c'è assolutamente nessuno in questo periodo estremamente estivo (14 gradi alle 14:00 del pomeriggio eheheh)....ed inoltre sono in vena ormai di guide come se piovesse...vi beccate il nat, pat, firewall etc... cosa che inizialmente volevo mettere nell'altra guida Cisco, ma che reputo argomento a parte.

La presente guida si riferisce solo ad un certo tipo utilizzo dei routers, cioè all'utilizzo casalingo. Molte cose sono state omesse, molti argomenti presi superficialmente. Tutte le soluzioni che do tengono conto SOLO dell'utilizzo casalingo. Per le infrastrutture business il discorso è differente, anche se la maggior parte delle cose dette qui si possono ricondurre anche a piccole reti aziendali con poche pretese.

PREMESSA
Il discorso qui è abbastanza complesso e necessiterebbe di conoscenze basilari un po ampie su alcuni aspetti. Tuttavia tenterò di essere il piu pratico possibile e di non fare una guida troppo teorica.

Tengo a sottolineare che la guida è rivolta solo ai possessori di router. I modem funzioano in tutt'altra maniera.

Inoltre le guide che ho trovato in giro sono troppo troppo tecniche e non di facile comprensione. Il mio scopo è, spero, quello di rendere la cosa digeribile alla maggior parte delle persone.

Infine tutto il discorso è solo riferito alla strutture piu comuni che usiamo tutti i giorni a casa e non al caso generale.

NAT, PAT: cos'è a cosa serve e come funziona.

Perche esiste e a che cosa serve il NAT/PAT?
La tecnica di natting/patting (Network Address Translation, Port Address Translation) nasce dal fatto che l'attuale sistema indirizzamento ip a 32 bit (ipv4), ha raggiunto infine la saturazione: vale a dire gli indirizzi ip sono finiti, o stanno finendo. La tecnica del nat consente ad intere lan di "essere viste" dall'esterno, cioe dalla rete pubblica internet, come un singolo host e quindi avere assegnato un solo indirizzo ip pubblico, invece di avere un indirizzo per ogni host pubblico.

Perche i pacchetti in Internet non possono girare con gli ip privati delle lan?
Questo è una di quelle cose che necessiterebbe la conoscenza del processo di routing. Di fatto, prendetelo come buono, in una rete con uno o piu router, tutte le reti divise da questo/i router, NON possono avere indirizzi ip che stanno sullo stesso spazio di indirizzamento, o sulla stessa subnet. ES:
Lan1: host: 192.168.1.1 255.255.255.0
Lan2: host: 192.168.1.2 255.255.255.0
Divise da un router. Questo non funzionarà. Non si puo'.

Differenza tra NAT e PAT
Il NAT modifica SOLO l'ip il PAT la porta del pacchetto. Nella maggior parte dei casi, ma soprattutto per il 99,9% dei casi nei router che usiamo a casa, il processo è ibrido NAT+PAT.
Il solo NAT presuppone di avere un pool (una serie) di indirizzi pubblici da associare all'indirizzo privato. Visto che l'indirizzo pubblico è unico ed è fornito dinamicamente dal provider, se uno a casa ha piu di un pc collegato, solo uno dei due a turno potrebbe uscire in internet.
Il NAT + PAT, permette di associare piu indirizzi lan privati, mantenendo un unico indirizzo pubblico e variando la porta. Quindi ad esempio:
lan1pc1 192.168.1.1
lan1pc2 192.168.1.2
dopo il NAT/PAT:
wanpc1: 212.1.1.1:1000
wanpc2:212.1.1.1:1001
quindi NAT (variazione dell'ip) e PAT (variazione della porta).

Come funziona?
La parola stessa lo dice: viene modificato il pacchetto ip e/o la porta, dove all'interno risiedono l'indirizzo di destinazione e l'indirizzo sorgente. In teoria possono essere modificati tutte e due gli indirizzi e porta (destinazione e sorgente), ma noi ci occuperemo solo del sorgente.
Il processo avviene creando una tabella di associazione (nat table) che accoppia le richieste in uscita dalla lan a un set di porte (scelte a caso dal router di volta in volta) ed a un indirizzo ip pubblico fornito dal provider.
ES:
Lanpc:192.168.1.1
Wanrt: 212.1.1.1
Il pc richiede una pagina web che ha indirizzo 151.1.1.1
-il pc manda il pacchetto al gateway (router), con indirizzo sorgente 192.168.1.1 e destinazione 151.1.1.1
-il router memorizza nella nat table che 192.168.1.1 ha richiesto una pagina che ha indirizzo 151.1.1.1
-il router sostituisce l'indirizzo sorgente nel pacchetto e ci mette quello pubblico del router 212.1.1.1 assegnato dal provider, e cambia la porta. Facciamo finta 212.1.1.1:1000
-viene memorizzato tutto nella nat table.
-il pacchetto torna indietro con le informazione richieste (la pagina web)
-il router controlla nella nat table se qualcuno all'interno della lan ha richiesto dei pacchetti provenienti da questo ip.
-se c'è una corrispondenza, sostituisce l'ip di destinazione con l'ip privato trovato nella tabella.
-e il pacchetto arriva all'host della lan
Questo è il funzionamento del NAT/PAT.

DMZ
Il fatto che esista una tabella di nat, fa si che tutti i pacchetti NON richiesti dalla lan (cioè pacchetti che non hanno corrispondenza nella nat table) vengano droppati (scartati) dal router e non inoltrati all'interno. Esiste pero un metodo di funzionamento, il DMZ (DemilitaredZone), che indica al router di forwardare (instradare) all'interno della lan, a tutti gli hosts, TUTTI i pacchetti in arrivo dalla rete pubblica. E' un sistema che viene di solito usato per i server pubblici, che hanno pero pool di indirizzi pubblici e comunque isolati dalle lan per ovvi motivi di sicurezza.
Ne sconsiglio vivamente l'utilizzo.

FIREWALLING
Il firewalling è una tecnica volta alla creazione di regole (rules) e all'ispezione dei pacchetti per motivi di sicurezza.
Trovo che il fatto che girino molti firewall software abbia fatto nascere delle idee distorte sul cosa siano e come funzionino tali firewall. Un firewall è un sistema che funziona a livello pachetto ip, non a livello dati.
Il modulo software dei firewall che è installato in praticamente su tutti i router è per la maggior parte dei casi assolutamente inutile. Non è assolutamente necessario perderci un secondo di tempo ma lasciate tutto come stà. Delle porte da aprire ce ne occupiamo poi.

Quand'è che ho necessita di usare un firewall?
Una delle cose che mi da piu fastidio a questo mondo, è il fatto di fregare la gente. Fare leva sull'ignoranza per vendere cose assolutamente, in certi casi ovviamente, inutili a prezzi folli. Il caso piu eclatante è quello del firewall.
Potrei elencare decine e decine di casi in cui firewall installati e configurati (male) era praticamente come se non esistessero, e nella maggior parte dei casi non sarebbero nemmeno serviti.
Quando il firewall ha un senso?
Ricordando il fatto che stiamo parlando di router e non di modem, il firewall ha senso quando:
- ho un pool di indirizzi pubblici, per cui il router non fa nat e gli host sono direttamente raggiungibili dalla rete pubblica.
- sono in DMZ
e basta. (ribadisco il fatto che stiamo considerando il sottoinsieme di utenza casalinga, per le reti lan di un certo spessore la storia è un altra...ma neanche tanto diversa)
Ma soprattutto perche?
Come vi dicevo prima, i pacchetti vengono forwardati all'interno della lan solo se esiste un match (corrispondenza) sulla nat table. Fine del discorso. Niente entra se non è rischiesto da un host interno.

PORTFORWARDING
PREMESSA: questo paragrafo dovrebbe andare su NAT ma è necessario leggersi parte del precedente paragrafo per capire meglio.
Credo che questo sia l'argomento di maggior interesse per tutti. Dando per scontato che abbiate capito (e soprattutto letto...) tutta la mia pappardella :stordita: , sfatiamo un mito:
- il portforwarding non è firewalling.
Quando uno imposta una regola di port forward (in alcuni router li chiamano virtual server... o altri nomi strani e fantasiosi, giusto per fare ancora di piu confusione) NON si creano regole di firewalling. Se qualcuno mi dicesse ma iptables? Ecco iptables è un modulo ibrido di linux (e di alcuni router/firewall linux based) e comprende anche nat.
Dicevamo: il portforward è una associazione MANUALE che si fa sulla tabella NAT. E' una specie di sottoinsieme del DMZ.
Perchè?Alle volte c'è la necessita che i pacchetti che arrivano dall'esterno, non debbano essere necessariamente richiesti prima dall'interno (tipo quando si gioca online o sul mulo). In questi casi è sufficiente indicare al router su quali porte (PAT) e su quale indirizzo ip lan interno (NAT) mandare i pacchetti che arrivano su porte che noi conosciamo a priori. La regola:
allow source: any destination: any = DMZ. Siamo daccordo?
Quindi evitate di usare any ma usate sempre ip.
Il sito http://www.portforward.com/default.htm indica la configurazione corretta per praticamente qualsiasi router in circolazione per qualsiasi programma riguradante il portforwarding.
ES:
porta pubblica di un gioco: 1050
porta privata (la stessa): 1050
ip privato : 192.168.1.1
regola:
source port:1050
private port: 1050
lan ip: 192.168.1.1
Nella maggior parte dei casi, c'è un implicito source ip address (pubblico): any. Altrimenti lo dovete specificare a meno che non siate sicuri dell'ip pubblico che vi interessa.

Corrette impostazioni di un firewall (nel caso in cui ne abbiate bisogno...)
Supponendo che ne abbiate veramente bisogno, le tecniche di firewalling sono complesse da spiegare cosi, pero esiste la regola MASTER che ogni utente amministratore, pinco pallino deve seguire come la bibbia:
PRIMA REGOLA
- porte tutte chiuse e traffico disabilitato su tutti gli indirizzi.
da qui in poi si abilitano ad uno a uno tutti i servizi necessari alla lan.
Poi ci sarebbe altra roba, ma già cosi per una piccola lan è sufficiente.

ROUTING (buttato un po lì ma per dare l'idea :D )
Ho scritto stà roba l'altro giorno per ripondere (spero poi che abbia capito... :D ) ad un utente che mi chiedeva lumi. Siccome mi è piaciuto molto quello che ho scritto (uh? :confused: :stordita: ) lo posto nella speranza che capiate qualcosa e vi facciate un idea sull'arcano argomento.

La metafora
Immagina di essere in macchina nella tua citta (nella tua LAN). Tu sei il bel pacchetto che se ne va in giro tranquillo per la città in macchine e va a trovare tutti i suoi amici hosts. Che tu sai dove abitano perche abitano nella tua città.
A sto punto pero devi andare da uno che non conosci e che abita in un punto che non sai ma di cui conosci il nome. L'unica uscita dalla tua città è l'autostrada e tu sai dov'è (che è il gateway, cioè il router), perche è sempre nella tua citta (lan). Prendi l'autostrada.
Mentre viaggi nell'autostrada vedi i cartelli (la tabella di rounting che ti dice che per andare in un certo posto devi prendere una certa via). Segui i cartelli (in realtà sono i cartelli a livello di routing che portano te ma è per fare un esempio) fino che trovi l'uscita che ti porta o su un altra autostrada, ma sempre piu vicino alla destinazione, oppure direttamente nella paese (lan) dove abita il tuo amico che non conosci. Questo è il routing.
Come si formino le tabelle di routing è un altra storia, ma è per dare l'idea.

A ip life: how does all the system works and a funny tale :eek:
credetemi che non ho mandato tutto in vacca, secondo me da molto l'idea!
L'idea è quella di far capire che non è l'ip che decide ma è il router che "obbliga". Di fatto in tutti i testi l'ip è indicato come protocollo "routed" (ruotato).
Interpreti:
pacchetto ip: IP
router: RT
switch:SW

IP:"azz , mi tocca uscire dalla lan oggi, chissà che casino sulle dorsali...vabbe, partiamo!"
IP:"ok allora devo andare qui. E' fuori la mia lan per cui mi dirigo al punto di uscita, vado sul router"
IP:"hey RT?"
RT:"uh?"
IP:"senti questo è il mio header vedi un po dove farmi uscire"
RT:"famme vedè..."
RT:"mmmm capito, tiè esci di la"
IP:"tenk iu very macc"
RT:"prego, vai piano che è un attimo a fare un collisione" (è vero ci sono anche le collisioni mauauaua e dipendono anche dalla velocita muauauu)
IP:"popopopopopopo a ecco un altro RT"
RT2:"che palle oggi tutti sti pacchetti...avanti un altro"
IP:"hey RT2 senti un po ciapa qua il mio header, mi manda, come puoi vedere dal MAC, RT"
RT2:"ah RT come sta? è da un pezzo che non ci scambiamo le tabelle di routing...sto bastardo...mah lo avranno messo in passive, boh...vabbe fammè vedè...ah sei arrivato man!Esci di lì e mostra allo switch il mac"
IP:"grassie"
SW:"bonjour"
IP:"bonjour?"
SW:"si so francese!"
IP:"vabbuo, ah ma non è che mi tiri un colpo di header vero?(asdasdasdasd), RT2 mi ha detto di mostrarti il mio MAC..."
SW:"da qua!"
IP:"ciapa"
SW:"va ben, devi consegnare lì (indicando un uscita), pussa via, ou revoire"
IP:"grassie...cmq siamo campioni del mondo, asdasdasd :Prrr: "

:eek:
:asd:



Conlusioni
Il router non "si prende cura di niente" lui ha solamente i cartelli (rotte) per dire ad un pacchetto dove andare se la l'amico (host) non si trova nella propria citta (lan).

Nel caso ci siano 2 o piu router esiste un protocollo di livello tre gestito dai comandi icmp (ora non mi ricordo il codice esatto del codice icmp) che è ingrado di comunicare all'host che richiede di uscire verso l'esterno utilizzando un router che non ha le rotte per quella determinata destinazione. L'icmp è in grado di indicare al client di dirigere i pacchetti verso un altro gateway (router) che ha le indicazioni necessarie.

Spero di essere stato chiaro.

Il routing è difficile e non intendo, a meno di richieste, trattarlo perche poco pratico e molto molto teorico inoltre bisogna partire da un po prima...cioe dal subnetting...


DHCP
Il protocollo dhcp permette di assegnare dinamicamente agli hosts che sono configurati per farlo (di default se non avete toccato niente è cosi), indirizzi ip presi da uno scope dhcp (range ip).

Quando utilizzarlo?
Il dhcp è buona norma utilizzarlo quando NON ci sono regole di forwarding attive. Questo perche le regole di forwarding si basano su ip fissi. Se per caso quella mattina il dhcp si sveglia e decide di cambiare ip al vostro un pc in lan (perche in fondo il dhcp è bastardo!) e avete regole di portforwarding attive, ebbene quelle regole non varranno piu una cippa perche si riferiscono ad ip fissi e non tengono conto delle variazione del dhcp. Quindi se usate portforwarding usate ip fissi.

Sistemi ibridi
Qui il problema sta nel fatto che se io ho una rete in dhcp (tutta) e imposto alcuni client con ip fisso, il dhcp se ne sbatte e c'è la possibilità che vada ad assegnare ad un altro client in dhcp lo stesso indirizzo, con conseguente conflitto.
Il buon gionnico mi segnala che esiste su alcuni Netgear la possibilità di implementare sistemi leggermente diversi da quelli standard. Non era mia intenzione parlarne (sincermante quello che ha segnalato non lo conoscevo neanche io :stordita: ) ma visto che è saltato fuori, faccio una veloce carrellata di come creare, a seconda delle esigenze, un sistema dhcp ibrido.
Perchè crearlo? Perche ad esempio se volete che alcuni pc in rete abbiano ip fissi mentre altri ricevano gli indirizzi automaticamente. Questi tipi di strutture sono di solito usate nelle grandi lan dove a livello core layer (diciamo sala macchine, sala server...) di solito i server sono con ip fisso mentre tutto il resto della lan è in dhcp.

Ci sono 3 sistemi (2 quelli standard + 1 quello menzionato sopra che non consocevo):

- si imposta un range di indirizzi di assegnazione piu ristretto pur mantenendosi nella stessa subnet. Questo ti permette di sapere che certi indirizzi non verrano mai assegnati automaticamente. Questi indirizzi saranno i nostri ip fissi per i nostri server, o client che dir si voglia.

- oppure se i lavori sono stati fatti da :ciapet: come spesso capita con i nostri super cazzuttissimi consulenti strafighi supercertificati che costano 1000eur/giorno, avremo spazi di indirizzamento già occupati e non contigui per cui non sara possibile impostare range di ip. In questo caso bisogna andare a manina e pescarsi ip liberi. Questi ip possono essere "esclusi" dall'autoassegnazione del dhcp, e quindi non verranno mai rilasciati.

- l'altro è diametralmente opposto (cioè il sistema che ha segnalato l'utente), ma di fatto ha lo stesso risultato. Vale a dire fa in modo che il dhcp leghi un ip in maniera fissa ad un MAC address, quindi ad una certa scheda di rete fornira sempre e solo lo stesso ip. Di per se il dhcp dovrebbe già farlo, ma nn sempre è cosi. E' un sistema che reputo interessante e molto adatto ad un utenza magari meno esperta. Qualcuno si è inventato questo sistema che viaggia parallelo al protocollo dhcp e ne influenzi le assegnazioni. Non tutti i router a quanto pare lo supportano



Server Pubblici
Ora che sappiamo tutti bene l'argomento e abbiamo studiato a casa :rolleyes: , parliamo di come rendere pubblico un bel serverino interno alla nostra lan dietro al nostro bel routerino nattato.
Dobbiamo per questo fare un set di regole di portforward in base alle nostre esigenze, e quindi andremo ad inserire a mano delle entry nella nat table.
Dunque: per evitare di scrivere da browser sempre un ip pubblico, è bello registrarsi su dyndns.org o servizi simili dove, anche con ip dinamici pubblici (cioè la quasi totalità dei casi), scriverete sempre la stessa cosa anzichè cambiare ogni volta indirizzo ip. Dove sta la fregatura? perche non posso farmi i miliardi offrendo hosting sul mio atholn64 venice a 10Ghz? Perche non potrete usare le porte standard ma dovrete usarne delle altre...e perche?Perche altrimenti le richieste interne alla lan si sovrapporebbero alle richieste in entrata.
Tuttavia il discorso appena descritto è quello piu generale possibile. In realtà funziona anche con la porta 80 singola. Il problema è che sulla lan nessun altro pc oltre al server sara in grado di usufruire di internet, perche tutte le richieste sulla porta 80 finiranno sul server e non sul client che lo ha richiesto. Le regole di portforwarding hanno la priorità delle regole dinamiche create dal router. Stessa cosa vale per il resto dei servizi tipo ftp etc...


Quindi:
ippclan: 192.168.1.1
ipwanrt: 212.1.1.1
Regola da impostare (andate sulla falsa riga delle conf che trovate sul sito segnalato sopra):

source ip public : any (implicito nella maggior parte dei router, per cui questa voce non la troverete).
source ip port: 2000 (ad esempio, cmq sopra la 1024)
dest ip port: 2000 (ad esempio, ma deve essere configurata nel webserver).
dest ip address: 192.168.1.1

per collegarsi (supponendo di aver registrato un dns pippo):
http://dyndns.pippo.org:2000

e se voglio aggiungere altri servizi e magari su un altro pc in lan? Cambiate solo la porta...
source ip public : any (implicito nella maggior parte dei router, per cui questa voce non la troverete).
source ip port: 2001 (ad esempio, cmq sopra la 1024)
dest ip port: 2001 (ad esempio, ma deve essere configurata nel webserver).
dest ip address: 192.168.1.2

ftp 212.1.1.1:2001

a presto!

REPERGOGIAN
16-08-2006, 12:01
bravo.può essere utile

thay
16-08-2006, 13:26
Perche i pacchetti non possono girare con l'ip delle lan?
Questo è una di quelle cose che necessiterebbe la conoscenza del processo di routing. Di fatto, prendetelo come buono, in una rete con uno o piu router, tutte le reti divise da questo/i router, NON possono avere indirizzi ip che stanno sullo stesso spazio di indirizzamento, o sulla stessa subnet. ES:
Lan1: host: 192.168.1.1 255.255.255.0
Lan2: host: 192.168.1.2 255.255.255.0
Divise da un router. Questo non funzionarà. Non si puo'.
a presto![/QUOTE]
Ottima iniziativa,volevo chiedere delucidazioni su questo punto,mi spiego meglio
Sulla lan principale con suo routerino e' collegato un altro router in wireless che ha ip ovviamente diverso dal primo router,le macchine che si collegano pero hanno ip con stesso indirizzamento del primo router,come mai funzionano?

hmetal
16-08-2006, 13:38
Perche i pacchetti non possono girare con l'ip delle lan

Ho visto che era forse troppo vago e ho modificato in

Perche i pacchetti in Internet non possono girare con gli ip privati delle lan?

Credo sia piu chiaro.

Ottima iniziativa,volevo chiedere delucidazioni su questo punto,mi spiego meglio
Sulla lan principale con suo routerino e' collegato un altro router in wireless che ha ip ovviamente diverso dal primo router,le macchine che si collegano pero hanno ip con stesso indirizzamento del primo router,come mai funzionano?

Grazie.

No allora calma.
Dividiamo la questione: il fatto che sia fisicamente tutto un blocco non significa che faccia routing su tutte le porte. Il routing dei pacchetti lo fa solo tra la lan (anche wireless) e la wan, che immagino sia adsl. Quindi tolta la parte di router, l'aggeggio non è altro che uno switch ibrido rete cablata-wireless.
Tra le due anche se a questi ci attacchi un altro switch funziona sempre come switch e non "ruota" niente.

Chiarito il concetto, il fatto che le due reti, se ben ho capito, non comunichino tra di loro è proprio per il fatto che hanno indirizzamento diverso e quindi stanno su 2 subnet diverse. Se mi posti gli indirizzi (non tutti ovviamente) di 2 hosts che non si vedono ti spiego il perche.

Almeno credo di aver capito cosi.

Che sia wifi o con rete cablata, tu devi considerare sempre e solo la parte switch non la parte di routing. La parte wifi-rete cablata la consideri come tutto uno switch unico.

Il routing viene fatto, nel nostro case e nalla maggior parte dei casi, tra wan (Adsl immagino) e tutto il resto della parte switch.

C'è chi ha bisogno di troncare due porzioni di lan e lo fa o con un router puramente ethernet (cioè con 2 schede di rete su cui si fa il routing), oppure piu comunemente si mette un bel pc con 2 schede di rete. Il pc è in grado di funzionare come router. Mai sentito parlare della route table?route add etcc? ecco è quella.

ciao

gionnico
16-08-2006, 15:36
Ottima guida! :)

Ha carattere.. :D

Sul DHCP si potrebbe aggiungere che invece del port forwarding si può usare la prenotazione degli indirizzi.

Ciao!

thay
16-08-2006, 15:41
Ciao,mi spiego meglio,la rete funge perfettamente
Ora da quello che ho capito ogni router reindirizza i propri client e fa routing,mi chiedevo se le macchine collegate separatamente con il ognun router fossero realmente sotto gli stessi indirizzi oppure e il router proprio a prendersi cura di farle comunicare

hmetal
16-08-2006, 16:15
Sul DHCP si potrebbe aggiungere che invece del port forwarding si può usare la prenotazione degli indirizzi.


:confused:

cos'è? :stordita:

tenx comunque.

Ora da quello che ho capito ogni router reindirizza i propri client e fa routing,mi chiedevo se le macchine collegate separatamente con il ognun router fossero realmente sotto gli stessi indirizzi oppure e il router proprio a prendersi cura di farle comunicare

eh? :confused:

Non mi è molto chiaro...ma sapevo che alla fine il routing sarebbe venuto fuori ... :rolleyes:

IL ROUTING

Immagina di essere in macchina nella tua citta (nella tua LAN). Tu sei il bel pacchetto che se ne va in giro tranquillo per la città in macchine e va a trovare tutti i suoi amici hosts. Che tu sai dove abitano perche abitano nella tua città.

A sto punto pero devi andare da uno che non conosci e che abita in un punto che non sai ma di cui conosci il nome. L'unica uscita dalla tua città è l'autostrada e tu sai dov'è (che è il gateway, cioè il router), perche è sempre nella tua citta (lan). Prendi l'autostrada.
Mentre viaggi nell'autostrada vedi i cartelli (la tabella di rounting che ti dice che per andare in un certo posto devi prendere una certa via). Segui i cartelli (in realtà sono i cartelli a livello di routing che portano te ma è per fare un esempio) fino che trovi l'uscita che ti porta o su un altra autostrada, ma sempre piu vicino alla destinazione, oppure direttamente nella paese (lan) dove abita il tuo amico che non conosci. Questo è il routing.
Come si formino le tabelle di routing è un altra storia, ma è per dare l'idea.

Il router non "si prende cura di niente" lui ha solamente i cartelli (rotte) per dire ad un pacchetto dove andare se la l'amico (host) non si trova nella propria citta (lan).

Nel caso ci siano 2 o piu router esiste un protocollo di livello tre gestito dai comandi icmp (ora non mi ricordo il codice esatto del codice icmp) che è ingrado di comunicare all'host che richiede di uscire verso l'esterno utilizzando un router che non ha le rotte per quella determinata destinazione. L'icmp è in grado di indicare al client di dirigere i pacchetti verso un altro gateway (router) che ha le indicazioni necessarie.

Spero di essere stato chiaro.

Il routing è difficile e non intendo, a meno di richieste, trattarlo perche poco pratico e molto molto teorico inoltre bisogna partire da un po prima...cioe dal subnetting...

ciao!

hmetal
16-08-2006, 16:32
Di fatto, prendetelo come buono, in una rete con uno o piu router, tutte le reti divise da questo/i router, NON possono avere indirizzi ip che stanno sullo stesso spazio di indirizzamento, o sulla stessa subnet. ES:


ah e per spiegare sta cosa un po strana forse, prendete l'esempio di prima.

Immaginate che ci siano 2 amici con lo stesso nome in 2 paesi diversi (2 host con 2 ip uguali su 2 lan diverse).

NOTA: essendo 2 lan separate da router, non c'è conflitto di ip quindi potrebbe essere tranquillamente. Il risultato è che le lan si parlano solo internamente, ma non tra di loro (internetworking...).

Se tu devi raggiungere un tuo amico il router come fa a sapere se è uno o l'altro? Sui cartelli mette la destinazione di uno o dell'altro? Non si puo.

E' un prerequisito dell'internetworking: tutte le lan devono avere indirizzamenti diversi e quindi stare su subnet diverse.

Se non fosse cosi, non ci sarebbe il problema della scarsità di indirizzi e il nat non esisterebbe.

ciao

d@vid
16-08-2006, 16:43
direi ottima guida :)

(14 gradi alle 14:00 del pomeriggio eheheh)
freddooooo.... brrrrrrr.... :p

Cikos
16-08-2006, 17:36
complimenti per il lavoro ;)

mazzy
16-08-2006, 17:50
.

FIREWALLING
Trovo che il fatto che girino molti firewall software abbia fatto nascere delle idee distorte sul cosa siano e come funzionino tali firewall. Un firewall è un sistema che funziona a livello pachetto ip, non a livello dati.
Il modulo software dei firewall che è installato in praticamente su tutti i router è per la maggior parte dei casi assolutamente inutile. Non è assolutamente necessario perderci un secondo di tempo ma lasciate tutto come stà. Delle porte da aprire ce ne occupiamo poi.

Quand'è che ho necessita di usare un firewall?
Una delle cose che mi da piu fastidio a questo mondo, è il fatto di fregare la gente. Fare leva sull'ignoranza per vendere cose assolutamente, in certi casi ovviamente, inutili a prezzi folli. Il caso piu eclatante è quello del firewall.
Potrei elencare decine e decine di casi in cui firewall installati e configurati (male) era praticamente come se non esistessero, e nella maggior parte dei casi non sarebbero nemmeno serviti.
Quando il firewall ha un senso?
Ricordando il fatto che stiamo parlando di router e non di modem, il firewall ha senso quando:
- ho un pool di indirizzi pubblici, per cui il router non fa nat e gli host sono direttamente raggiungibili dalla rete pubblica.
- sono in DMZ
e basta. (ribadisco il fatto che stiamo considerando il sottoinsieme di utenza casalinga, per le reti lan di un certo spessore la storia è un altra...ma neanche tanto diversa)
Ma soprattutto perche?
Come vi dicevo prima, i pacchetti vengono forwardati all'interno della lan solo se esiste un match (corrispondenza) sulla nat table. Fine del discorso. Niente entra se non è rischiesto da un host interno.


Rieccome... :D
Pero' questa volta solo per complimentarmi... :)
Discorso sui Firewall un po' "duro" ma che condivido appieno.
Io consiglio sempre di disabilitarli direttamente, fanno piu' casini, piu' impallamenti che altro.
La Nat protegge per quello che serve da fuori, il firewall sui i modelli consumer seriverebbe in teoria a bloccare il flusso in uscita piu' che altro, ma spesso creano piu' problemi di quelli che risolvono specie ai meno esperti magari sui programma di sharing o videoconferenza.
Disabilitato e via.

Sulla DMZ un po' meno d'accordo, se si ha un PC dedicato a fare da server a casa sarebbe meglio metterlo li, cosi da proteggere il resto. ma sono sottigliezze.

hmetal
16-08-2006, 20:47
Rieccome...

azz :eek: ancora :mbe:

Pero' questa volta solo per complimentarmi...

ahhhh :) grazie

gionnico
16-08-2006, 23:01
Sulla DMZ un po' meno d'accordo, se si ha un PC dedicato a fare da server a casa sarebbe meglio metterlo li, cosi da proteggere il resto. ma sono sottigliezze.
Mi sembra che l'abbia detto...

Ricordando il fatto che stiamo parlando di router e non di modem, il firewall ha senso quando:
- ho un pool di indirizzi pubblici, per cui il router non fa nat e gli host sono direttamente raggiungibili dalla rete pubblica.
- sono in DMZ



Sul DHCP si potrebbe aggiungere che invece del port forwarding si può usare la prenotazione degli indirizzi.
:confused:

cos'è? :stordita:

tenx comunque.

Non saprei spiegarlo tecnicamente, ma in pratica...


DHCP
PRENOTAZIONE INDIRIZZI
La prenotazione degli indirizzi è una funzione del router che permette di associare un MAC address con un indirizzo IP.
Il DHCP quindi non utilizza mai quell'indirizzo, riservandolo alla NIC scelta.
Quindi nel pc setti sempre un IP dinamico (generato da DHCP). E' quest'ultimo che si preoccupa di assegnarti sempre lo stesso indirizzo.
Si ha così come una ibridazione dei due sistemi, grazie a cui si può mantenere attivo il DHCP, pur avendo un certo numero di macchine con IP in pratica fisso.
Così si può fare il port forwarding nel modo tradizionale, essendo certi che i pacchetti saranno inviati al PC corretto.
Questa funzione non è presente in tutti i router (d'altra parte nemmeno il DHCP).
Un esempio di questa funzione è nella famiglia Netgear DG834* che ne è provvista.
Con questi router si possono prenotare gli indirizzi sotto
Avanzate --> Impostazioni IP LAN


Spero di aver chiarito un po'anche questo punto. :)

Maxcorrads
16-08-2006, 23:58
Complimenti per la guida :)

hmetal
17-08-2006, 07:39
La prenotazione degli indirizzi è una funzione del router che permette di associare un MAC address con un indirizzo IP.


Avevo il vago sospetto fosse una cosa del genere...tuttavia il fatto è che il DHCP PREVEDE GIA' che ci sia una "cache" nella quale venga associato l'ip al MAC address. Infatti se spegni e riaccendi un client qualsiasi server dhcp(Che sia router o un pc) ti riassegnerà lo stesso indirizzo che avevi prima.

Evidentemente visto che per motivi oscuri il dhcp non sempre lo fa, cioè di punto in bianco ti da un altro indirizzo, probabilmente hanno implemententao unaltro sistema parallello per semplificare ulteriormente le cose.

In ogni caso ora faccio una modifichina (sezione dhcp) nella guida grazie al tuo contributo!

Cmq tenx.
ciao!

wgator
17-08-2006, 09:31
Ciao,

molto interessante, credo che la tua guida toglierà parecchi dubbi a molte persone ;)

Vorrei solo fare una piccolissima precisazione, salvo annebbiare le idee a qualcuno. Questa frase:

ATTENZIONE che i famosi modem adsl con porta ethernet, non sono modem, ma sono ROUTERS!.

potrebbe indurre ad errate convinzioni. E' vero che quegli apparecchi come hardware sono routers, in effetti ne impiegano il medesimo front-end, ma in realtà manca l'implementazione a livello firmware (e in alcuni casi anche come spazio di memoria flash sono ridotti, per evitare modifiche)

Preciserei quindi che questi prodotti (gli esemplari più diffusi forse sono i D-Link DSL300T/302T e i Pirelli Alice disco volante col bollino rosso) devono essere considerati modem, almeno come funzionamento pratico...
Altrimenti ci troviamo schiere di persone che "ci attaccano" uno switch poi s'inca**ano perchè si collega un solo pc per volta :D

hmetal
17-08-2006, 09:48
potrebbe indurre ad errate convinzioni.

Il funzionamento a livello pacchetto è quello di un router. Per cui è un router.

Tuttavia è vero che si potrebbe effettivamente fare un po di confusione.

Quindi modifico!

tenx

gionnico
18-08-2006, 00:40
A ip life: how does all the system works and a funny tale :eek:

Figata stà parte nuova! :asd:
L'hai inventata te? :D :sofico:

nV 25
21-08-2006, 18:49
Una lettura davvero piacevole e istruttiva, condita peraltro da una buona dose di simpatia. :)

Un megacomplimento!

Spettacolare questa parte della tua firma:
"conosci veramente un argomento se lo riesci a spiegare e a far capire anche a tua nonna" A. Einstein ;)
A maggior ragione, bravo!
Hai dimostrato di conoscere la materia. ;)

littlemau
23-08-2006, 15:32
Finalmente. Complimenti. Ci voleva. M'hai tolto qualche dubbio e me ne hai creato qualcuno...ma dal tronde senza nuove sfide non si progredisce. :) Posto anche per sottoscrivere. :D

EDIT: ne approfitto già.

DMZ
Il fatto che esista una tabella di nat, fa si che tutti i pacchetti NON richiesti dalla lan (cioè pacchetti che non hanno corrispondenza nella nat table) vengano droppati (scartati) dal router e non inoltrati all'interno. Esiste pero un metodo di funzionamento, il DMZ (DemilitaredZone), che indica al router di forwardare (instradare) all'interno della lan, a tutti gli hosts, TUTTI i pacchetti in arrivo dalla rete pubblica. E' un sistema che viene di solito usato per i server pubblici, che hanno pero pool di indirizzi pubblici e comunque isolati dalle lan per ovvi motivi di sicurezza.
Ne sconsiglio vivamente l'utilizzo.

Nel Netgear (ma immagino anche in altri router) la DMZ può essere associata ad uno dei PC connessi (per esempio usato come muletto P2P). Non sembrerebbe coinvolgere TUTTI i PC della LAN. Sbaglio?

thay
23-08-2006, 15:48
Finalmente. Complimenti. Ci voleva. M'hai tolto qualche dubbio e me ne hai creato qualcuno...ma dal tronde senza nuove sfide non si progredisce. :) Posto anche per sottoscrivere. :D

EDIT: ne approfitto già.


Nel Netgear (ma immagino anche in altri router) la DMZ può essere associata ad uno dei PC connessi (per esempio usato come muletto P2P). Non sembrerebbe coinvolgere TUTTI i PC della LAN. Sbaglio?
Penso che sia cosi,io ho fatto lo stesso su d-link :)

hmetal
23-08-2006, 16:36
ciao.

Prima che qualcuno dica qualcosa, ricordo che all'inizio della guida c'è chiaramente scritto che la guida riguarda solo il discorso casalingo. Il funzionamento IN DMZ e UNA PORZIONE DI LAN IN DMZ
sono 2 cose diverse.

Nel Netgear (ma immagino anche in altri router) la DMZ può essere associata ad uno dei PC connessi (per esempio usato come muletto P2P). Non sembrerebbe coinvolgere TUTTI i PC della LAN. Sbaglio?

No è corretto. E' solo una feature in piu di alcuni router. Di fatto, a livello specifico non si tratta di dmz. E' un sottoinsieme se vogliamo dell'uso del dmz, ma non puo considerarsi dmz perche di fatto i pacchetti diretti verso altri ip vengono scartati.

ciao

thay
23-08-2006, 16:42
Comunque questa simil dmz non coinvolge TUTTI i PC della LAN,e per un uso home la funzione e' quella no?

hmetal
23-08-2006, 20:18
Comunque questa simil dmz non coinvolge TUTTI i PC della LAN,e per un uso home la funzione e' quella no?

oyes

littlemau
23-08-2006, 20:41
ciao.

Prima che qualcuno dica qualcosa, ricordo che all'inizio della guida c'è chiaramente scritto che la guida riguarda solo il discorso casalingo. Il funzionamento IN DMZ e UNA PORZIONE DI LAN IN DMZ
sono 2 cose diverse.
Non per cavillare , ma solo per pettinare le pulci :D, stiamo parlando di router prettamente soho. Perciò questa differenza IMHO andrebbe riportata tranquillamente. In alcuni casi la "porzione di lan in DMZ" potrebbe essere utile ricordando che l'utilizzo generico e generalizzato è da sconsigliare.
No è corretto. E' solo una feature in piu di alcuni router. Di fatto, a livello specifico non si tratta di dmz. E' un sottoinsieme se vogliamo dell'uso del dmz, ma non puo considerarsi dmz perche di fatto i pacchetti diretti verso altri ip vengono scartati.
ciao
Boh...ho sempre pensato che "DeMilitarized Zone" andasse proprio intesa come "zona" o "parte" di LAN DeMilitarizzata, cioè non sotto controllo. Cioè che fosse insito il concetto (dal punto di vista della sicurezza) logico di una funzione limitata ad una parte della rete. :stordita:

hmetal
24-08-2006, 07:39
Non per cavillare , ma solo per pettinare le pulci , stiamo parlando di router prettamente soho. Perciò questa differenza IMHO andrebbe riportata tranquillamente. In alcuni casi la "porzione di lan in DMZ" potrebbe essere utile ricordando che l'utilizzo generico e generalizzato è da sconsigliare.

All'inizio della guida è chiaramente indicato a chi si rivolge la guida. Non posso specificare ogni volta a cosa si riferisce un determinato termine altrimenti si rischia, come appunto adesso, di fare ancora piu confusione. Il terminte dmz che viene utilizzato nei router per farli funzionare in una certa maniera è di per se sbagliato per che esce dal concetto che in realta dmz rappresenta. Tuttavia essendo in tutti i router la funzione dmz indicata come metodo di funzionamento "particolare" ho ritenuto piu semplice spiegarlo per quello che è.

Boh...ho sempre pensato che "DeMilitarized Zone" andasse proprio intesa come "zona" o "parte" di LAN DeMilitarizzata, cioè non sotto controllo. Cioè che fosse insito il concetto (dal punto di vista della sicurezza) logico di una funzione limitata ad una parte della rete.

Appunto. Questo è una DMZ. La funzione dmz dei router è un altra cosa. Ma di fatto su tutti i router di chiama dmz. Se inizio a dire sulla guida cos'è una dmz, non ci si capisce piu. Inoltre in casa non credo ci sia assolutamente bisogno di una dmz tanto piu che sarebbe necessario un firewall all'interno della lan (tra lan e lan non tra lan e wan).

littlemau
24-08-2006, 09:56
Appunto. Questo è una DMZ. La funzione dmz dei router è un altra cosa. Ma di fatto su tutti i router di chiama dmz.
Io stavo descrivendo quello che accade sul router...uno dei PC (parte della LAN) non è sottoposto a controllo sul flusso dei pacchetti (PAT)...
Non ho proprio ben capito quale sia la differenza. Ma se ritieni che questo non sia il luogo adatto per approfondire allora non insisto ulteriormente.

hmetal
28-08-2006, 21:21
non è sottoposto a controllo sul flusso dei pacchetti (PAT)...

argh! :eek: che c'entra il pat!

Io stavo descrivendo quello che accade sul router...uno dei PC (parte della LAN) non è sottoposto a controllo sul flusso

Di fatto il nat-pat non è un "controllo" di flusso in quanto non ispeziona il pacchetto ip (se vogliamo proprio essere pignoli si chiama segmento ip ma vabeèè) cosa che fanno invece i firewall statefull.

Le Dmz sono porzioni di rete lan private nelle quali il traffico proveniente dalla rete pubblica, cioè internet, viene indiscriminatamente inoltrato.
Il metodo di funzionamento che viene indicato sul router è il funzionamento in dmz.

Boh. Prova a chiarirmi la domanda che non capisco il tuo dubbio

ciao

Stewie82
28-08-2006, 22:24
Innanzi tutto i complimenti ad hmetal per la guida: semplice ma esauriente!

Il problema è che io in ste cose sono proprio un asino: non m'interessa capire come funziona il tutto; ma giusto sapere quelle 4 cosine che servono per configurare un router.

Intendo dire che vorrei configuare il mio router in maniera ottimale..sapendo anche un pochino cosa ho fatto..per caso hai sotto mano "qualcosa" che possa aiutarmi a capire come funizonano i vari parametri?

littlemau
28-08-2006, 23:12
argh! :eek: che c'entra il pat!



Di fatto il nat-pat non è un "controllo" di flusso in quanto non ispeziona il pacchetto ip (se vogliamo proprio essere pignoli si chiama segmento ip ma vabeèè) cosa che fanno invece i firewall statefull.

Le Dmz sono porzioni di rete lan private nelle quali il traffico proveniente dalla rete pubblica, cioè internet, viene indiscriminatamente inoltrato.
Il metodo di funzionamento che viene indicato sul router è il funzionamento in dmz.

Boh. Prova a chiarirmi la domanda che non capisco il tuo dubbio

ciao
:doh:
Pardon... togli "pacchetti" e metti "porte" sulla frase....
La riscrivo vah...
Io stavo descrivendo quello che accade sul router...uno dei PC (parte della LAN) non è sottoposto a controlli sul flusso delle porte(PAT)...
Non ho proprio ben capito quale sia la differenza. Ma se ritieni che questo non sia il luogo adatto per approfondire allora non insisto ulteriormente.

Aggiungo...giusto per capire.
Un qualsiasi servizio esterno tenta di accedere alla mia LAn tramite l'IP pubblico: il router senza DMZ inoltra i pacchetti al PC solo se (il servizio) è presente nell' IPtable.
In caso contrario non inoltra nulla. Con DMZ, nello stesso caso, tale servizio accederebbe almeno al PC reso DMZ. Giusto?

La tua affermazione iniziale indicava che la DMZ spacciata dai router non è la vera DMZ come da definizione. Siccome non intuisco la differenza ero curioso di sapere quale fosse. Spero il mio dubbio sia più chiaro. (e perdona il gioco di parole :D )

REPERGOGIAN
30-08-2006, 10:29
qualcosa sulle porte del router/porte del computer c'è gia?

_porte esterne/interne

_se scanno il router in locale
vedo delle porte aperte che però sono aperte solo dall'interno e non si vedono dall'esterno


_come mai anche se non apro le porte ad emule
io riesco a scaricare lo stesso...piano ma la roba passa lo stesso
e noi crediamo di avere "tutto chiuso"...da dove passano i pacchetti?



cosette del genere insomma

cisketto
30-08-2006, 10:35
I protocolli che usano i programmi p2p sono decisamente bastardi e non esiste una tecnica particolare per eliminare del tutto il traffico, ma bensi variano da programma a programma. per comincire dovresti creare qualche regola che blocchi tutto il traffico sulle porte standard dei prog p2p poi se continua si vede cosa fare.

traste
04-09-2006, 13:03
Vabbe, a sto punto ti tocca la spiega del subnetting :fagiano: :fagiano: :D

strov
06-09-2006, 11:32
..ho fatto il contratto per una adsl busines ...ora mi chiedo, ma il mio dsl-502t puè essere configurato per questa linea pur avendo tutti i parametri??

wgator
06-09-2006, 11:37
..ho fatto il contratto per una adsl busines ...ora mi chiedo, ma il mio dsl-502t puè essere configurato per questa linea pur avendo tutti i parametri??

Ciao,

no, alice business funziona esclusivamente con il router pirelli (con smart card) che ti fornisce Telecom

mauro.c
12-09-2006, 13:37
Assolto l'obbligo di fare i complimenti a chi ha creato e chi ha contribuito a questo bellissimo thread, parto a razzo con un suggerimento ed una domanda.

Non saprei spiegarlo tecnicamente, ma in pratica...


DHCP
PRENOTAZIONE INDIRIZZI
La prenotazione degli indirizzi è una funzione del router che permette di associare un MAC address con un indirizzo IP.
Il DHCP quindi non utilizza mai quell'indirizzo, riservandolo alla NIC scelta.
Quindi nel pc setti sempre un IP dinamico (generato da DHCP). E' quest'ultimo che si preoccupa di assegnarti sempre lo stesso indirizzo.
Si ha così come una ibridazione dei due sistemi, grazie a cui si può mantenere attivo il DHCP, pur avendo un certo numero di macchine con IP in pratica fisso.
Così si può fare il port forwarding nel modo tradizionale, essendo certi che i pacchetti saranno inviati al PC corretto.
Questa funzione non è presente in tutti i router (d'altra parte nemmeno il DHCP).
Un esempio di questa funzione è nella famiglia Netgear DG834* che ne è provvista.
Con questi router si possono prenotare gli indirizzi sotto
Avanzate --> Impostazioni IP LAN


Spero di aver chiarito un po'anche questo punto. :)

Suggerimento
Si puo' ottenere la stessa cosa sui router che non hanno la funzione di prenotazione degli indirizzi, ma hanno la possibilita' di impostare il parametro "IP Address Lease Time" (se non ricordo male i D-LINK tipo DI-6X4), che definisce per quanto tempo l'IP rimarra' assegnato ad un nodo anche se questo non e' attivo.
E' sufficiente settarlo ad un valore sufficientemente alto per garantire che il server DHCP non lo assegni ad un altro PC sino al prossimo collegamento.


Domanda
Premesso che:
a) ho gia' postato la domanda in un altro thread, (Netgear DG834G Official Thread), ma senza ottenere risposta
b) ho provato sul router suddetto, non ha funzionato, ma non mi accontento, voglio capire perche'

la domanda e': si puo' assegnare la stessa regola di PAT a IP (o MAC) diversi ?

Lo scopo non e' ovviamente quello di usare le stesse porte su PC diversi (per ovviare a questo basta assegnare porte diverse al client P2P di ciascun PC in rete), ma quello di poter usare la connessione WiFi e quella Ethernet indifferentemente ed in modo trasparente sullo stesso PC.

Chi si prenota per la risposta ?

Spellsword
15-09-2006, 18:15
beh vorrei ringraziare l'autore per la guida innanzitutto, poi parto con il rafficone di cose che non mi sovvengono bene bene..
allora, ho appena installato il router dsl-g624t di d-link(l'ho ri-flashato tralaltro col FW SPA), quindi adesso disinstallo il sygate dai pc, faccio portforwarding dei videogames e posso anche spegnere il firewall del router?
adesso c'ho entrambi i firewall,router(con tutte le spunte nelle opzioni di protezione)+sygate..
ciao ciao grazie

P.S. ma messenger come fa ad andare senza portforwarding?

kyo21
02-10-2006, 22:33
Anzitutto complimenti per l'ottima guinda :)

Volevo un chiarimento riguardo l'eventuale utilizzo di un server ftp dietro router (nella fattispecie un digicom michelangelo wave).
Se non ho capito male dal tuo post, non avrei la possibilità di uscire col mio server sulla porta standard 21?

Grazie anticipatamente :)

POLiSh
04-10-2006, 11:09
scusate
io ho emule e un paio di giochi su vari pc della lan

il mio router zyxel 202
mi fa fare port foward solo su un ip specifico
come faccio a farlo per tutti i pc della lan?

POLiSh
04-10-2006, 11:28
per la serie se non sono pazzi...

mi rispondo da solo...
non si puo'
i deve associare all'applicazione porta differente
e poi fare port forward

vero?

Sholn
14-10-2006, 11:34
[Revision Log]
[I]La metafora
Immagina di essere in macchina nella tua citta (nella tua LAN). Tu sei il bel pacchetto che se ne va in giro tranquillo per la città in macchine e va a trovare tutti i suoi amici hosts. Che tu sai dove abitano perche abitano nella tua città.
A sto punto pero devi andare da uno che non conosci e che abita in un punto che non sai ma di cui conosci il nome. L'unica uscita dalla tua città è l'autostrada e tu sai dov'è (che è il gateway, cioè il router), perche è sempre nella tua citta (lan). Prendi l'autostrada.
Mentre viaggi nell'autostrada vedi i cartelli (la tabella di rounting che ti dice che per andare in un certo posto devi prendere una certa via). Segui i cartelli (in realtà sono i cartelli a livello di routing che portano te ma è per fare un esempio) fino che trovi l'uscita che ti porta o su un altra autostrada, ma sempre piu vicino alla destinazione, oppure direttamente nella paese (lan) dove abita il tuo amico che non conosci. Questo è il routing.
Come si formino le tabelle di routing è un altra storia, ma è per dare l'idea.

Come metafora è molto simpatica e anche fruibile però da una visione leggermente distorta della realtà, il personaggio del pacchetto-macchina secondo me fuorvia. Dato che non è il pacchetto che va da un posto all'altro, il pacchetto viene spostato di volta in volta secondo il percorso giusto.
Magari potresti fare un esempio più calzante cambiando la macchina con una lettera inviata.


Il pacco viene imbucato, il postino lo porta al centro di smistamento e se il destinatario appartiene al comune del centro di smistamento viene portato dal postino al destinatario. Se il Cap non corrisponde allora la lettera viene passata al centro di smistamento più vicino e via dicendo finchè non raggiunge il centro di smistamento con il cap del destinatario.
Potrebbe tornare no? (magari riscritto un po' meglio...)

beppegrillo
15-10-2006, 16:37
Come si chiama la funzionalità che al contrario del nat+pat, dinamicamente apre determinate porte agli ip dei client?
grazie

beppegrillo
16-10-2006, 21:55
Come si chiama la funzionalità che al contrario del nat+pat, dinamicamente apre determinate porte agli ip dei client?
grazie
nessuno sa niente o nessuno visita questo thread?

wgator
16-10-2006, 22:02
Ciao,

forse ti riferisci a UPnP? (Universal Plug aNd Play?

Guidooo
08-11-2006, 18:49
volevo complimentarmi con l'autore del 3d per la formidabile chiarezza esplicativa... temo di aver capito persino io! :asd:

E dire che oggi ho consigliato un utente di "integrare" il firewall del router con un firewall software :( :fagiano:
Il fatto è che ho sempre creduto che il firewall sw, potendo creare regole sui programmi avesse quello che "manca" al firewall di un router.

wgator
08-11-2006, 19:00
...Il fatto è che ho sempre creduto che il firewall sw, potendo creare regole sui programmi avesse quello che "manca" al firewall di un router.

Ciao,

in effetti, in un certo modo è così, come dici tu: i firewall software agiscono a livello applicazione ma non è sempre necessario installarli, dipende dall'utilizzo che si fa del PC. Per me, per il mio impiego, basta e avanza il nat del router :p

Guidooo
08-11-2006, 19:14
Ciao,

in effetti, in un certo modo è così, come dici tu: i firewall software agiscono a livello applicazione ma non è sempre necessario installarli, dipende dall'utilizzo che si fa del PC. Per me, per il mio impiego, basta e avanza il nat del router :p

grazie mille, adesso mi sento un pò meno cretino. :)

Ad ogni modo, sotto con l'esempio chiarificatore: se voglio impedire che un programma esca in seguito ad una effettuata richiesta, magari automatica come potrebbe essere un aggiornamento automatico, l'unico modo che ho di bloccarlo è con una firewall sw. Si certo, posso disinstallarlo 'sto programma, cercarmene un'altro ecc. :D
Mi rendo comunque conto del fatto che firewall sw in combinazione con firewall hw sia una cosa per fanatici. :p

wgator
08-11-2006, 21:22
...Mi rendo comunque conto del fatto che firewall sw in combinazione con firewall hw sia una cosa per fanatici. :p

Ciao,

mah... io ho le mie idee che in buona parte sono basate sull'esperienza e non uso firewall software...
Come ha ben spiegato l'autore della guida, un computer "nascosto" dietro ad un router non può essere raggiunto da nulla del mondo esterno che non sia stato espressamente richiesto.
Ovviamente si comprenderà che se su quel computer si fosse installato un "virus" o comunque un "malware" che tentasse di contattare il solito sito schifoso .da.ru, il "firewall" del router se ne fregherebbe e farebbe passare tranquillamente, dato che la richiesta di collegamento in effetti proviene da quel pc.

Per evitare questo ci sono due possibilità: si installa un ottimo antivirus, tipo, per esempio, KAV con "proactive defence" oppure si installa un qualsiasi antivirus e un firewall o anche una suite AV+FW.
Io ho scelto un semplice buon antivirus coadiuvato da un buon antispyware.

Perchè?

Un firewall "application level" (un FW software, insomma) necessita di essere istruito per funzionare correttamente, "spiegandogli" cosa bloccare e cosa no. Io personalmente non ne ho voglia ma un utente non smaliziato prima o poi finirebbe per "autorizzare" qualche schifezza :p

Morale: io lascerei l'uso dei firewall software solo a quelle persone che ritengono di averne la necessità, sia perchè sono molto a rischio, (porno da mane a sera, per esempio) :D e non hanno antivirus/antispy affidabilissimi, sia perchè si sentono in grado di gestirlo correttamente...

FreeMan
08-11-2006, 21:50
quoto ovviamente wgator.. io con il GT uso solo il KAV..prima usavo il modulo real time di SpyBot+altro antivirus

>bYeZ<

Guidooo
09-11-2006, 09:27
ne approfitterei per fare una domandina a questo punto.

Mi è chiaro di che si tratta quando si parla di "Port Forwarding", ma un pò meno quando si parla di Firewalling (per assurdo tra l'altro, visto che da sempre uso un firewall sw mentre solo da una settimana ho un router).

Con il P. fwding agisco a livello di NAT table chiedendo al router di far arrivare all'host tutto quello che passa per una determinata porta senza che vi sia una esplicita richiesta. Ma il firewalling allora? Potreste farmi un esempio?

Con il mio fidato firewall sw (outpost 1.0) le regole che creavo coinvolgevano:
+ l'eseguibile di un programma interessato alla connessione a internet
+ il protocollo utilizzato (TCP o UDP)
+ la porta / range di porte coinvolto nello scambio o eventualemente un indirizzo IP
+ la direzione dello scambio (in entrata / uscita)
+ il permesso o la negazione per la suddetta attività
Questo è firewalling?


G. :)

REPERGOGIAN
09-11-2006, 18:27
ci sono alcuni router che riportano
supporta fino a 1024 connessioni NAT
supporta fino a 1500 connessioni NAT

il valore di connessioni NAT è lo stesso valore di connessioni che si deve settare
nelle opzioni di emule?cioè sono la stessa cosa?

REPERGOGIAN
14-11-2006, 06:50
DMZ
Il fatto che esista una tabella di nat, fa si che tutti i pacchetti NON richiesti dalla lan (cioè pacchetti che non hanno corrispondenza nella nat table) vengano droppati (scartati) dal router e non inoltrati all'interno. Esiste pero un metodo di funzionamento, il DMZ (DemilitaredZone), che indica al router di forwardare (instradare) all'interno della lan, a tutti gli hosts, TUTTI i pacchetti in arrivo dalla rete pubblica. E' un sistema che viene di solito usato per i server pubblici, che hanno pero pool di indirizzi pubblici e comunque isolati dalle lan per ovvi motivi di sicurezza.
Ne sconsiglio vivamente l'utilizzo.



ciao
un conferma anche da voi
usare router con nat è sicuro come un pc in dmz sul quale gira un ottimo firewall software ?

avere un pc in dmz non è come usare un modem usb/ethernet?

littlemau
14-11-2006, 07:38
ci sono alcuni router che riportano
supporta fino a 1024 connessioni NAT
supporta fino a 1500 connessioni NAT

il valore di connessioni NAT è lo stesso valore di connessioni che si deve settare
nelle opzioni di emule?cioè sono la stessa cosa?
Rispondo in base a quanto appreso qui dal primo post (e per cercare di capirci di più io stesso).
In teoria emule tratta "porte" : le sue connessioni multiple riguardano porte multiple. E qui parliamo perciò di PAT e non di NAT.
Quanto ai router non saprei dire...teoricamente non hanno limiti di n° di porte. Invece per quanto riguarda il NAT di solito è il tipo di rete stessa (prendendo esempio dal 192.168.0.0-192.168.0.256) che limita il numero di nat possibili. ciao
un conferma anche da voi
usare router con nat è sicuro come un pc in dmz sul quale gira un ottimo firewall software ?

avere un pc in dmz non è come usare un modem usb/ethernet?
Ritengo di si per entrambi i quesiti. Ma attendo eventuali smentite. ;)

Guidooo
14-11-2006, 08:47
nessuno ha la risposta al mio dubbio 3 o 4 posts sopra? (n°50) :(

littlemau
14-11-2006, 09:04
In merito al firewalling ne so quanto te. Ritengo di si. La mia visione semplicistica vede il nat come un semplice controllore dell'instradamento dei pacchetti senza controllarne il contenuto. I firewall software (quello installato nel host singolo) si occupa degli applicativi e della loro accessibilità tramite le varie porte del PC alla connessione di rete. Poi ci sono i firewall hardware (quelli inseriti all'interno dei router o disposti ad hoc tra la rete e il gateway) che a seconda della complessità possono controllare più o meno approfonditamente il contenuto di tutto ciò che transita.
Questa è l'idea che mi sono fatto. Attendo sempre smentite. ;)

Guidooo
15-11-2006, 14:11
intanto grazie littlemau, se non altro ora so di non aver travisato tutto. :D

DDNS
11-12-2006, 06:12
ho un problema, devo mettere su una cam da visaulizzare via web
la cam in questione è una Hamlet IPC30W, nel menu di configurazione metto i parametri
ip statico registrato su dyndns.org

la porta di default è la 80 , io ho messo su anche la 81

ho configurato la cam via cavo impostando un ip xxx.xxx.1.20
poi facendo un scansione scopro che via wireless la vedo sia su xxx.xxx.1.20 che su xxx.xxx.1.3 (ma io 1.3 non l'ho impostato da dove l'ha preso?)

sul router che è un dsl 604 , modificato ora con il firm 3 DarkWolf
pensavo fosse la mancanza della voce Dynamics DNS
ma anche con il ddns niente fare

ho aperto i due INDIRIZZI IP 1.20 e 1.3 le porte 80 e 81 (in port fowarding)

facendo il ping del dominio registrato http://iw1gbo.dyndns.org , mi dice non raggiungibilee mi rimanda su gateway 192.168.100.1

ma il mio gateway è 192.168.1.1

chi mi spiega o aiuta a risolvere questo cruccio?
sicuramente sbaglio in qualcosa ma non so dove..

grazie

tafazio
25-12-2006, 10:36
Salve, spero questo sia il posto giusto per chiedere aiuto circa un problema che mi sta angosciando da quando ho messo il router.
Ho da poco acquistato uno zyxel P-660H-D1 ed ho fatto tutti i settaggi del caso (disabilitazione del firewall, permissione any tcp/udp, port forwarding per tutto quello che mi interessava).
Ho poi provato ad utilizzare ultraVNC per il controllo da remoto e ho notato che, a differenza di prima che avevo un classico modem dsl, se emule e' chiuso allora si connette senza problemi, ma se emule e' aperto allora sono guai, si connette solo sporadicamente.
Ho anche ridotto al minimo la banda in upload di emule.
Smanettando sul router, ho visto che attivando e disattivando in continuazione il bandwidth MGNT qualche volta riesco ad entrare, ma solo sporadicamente intendiamoci.
E' chiaro che non so quello che sto facendo giacche' non mi intendo di router all'infuori dei settaggi classici che ho studiato prima di metterlo.
A questo punto ho cercato in giro qualche altro programmino di controllo remoto per verificare se fosse un problema di ultravnc o meno.
Sono incappato in Remote Administrator, ho abilitato le sue porte (ovviamente ho settato delle porte diverse da quelle di ultraVNC) ma ahime', il problema rimane tale e quale, pertanto non e' un problema di ultraVNC ma a questo punto del router.
In ogni caso, digitando il mio ip (o il mio dynamic dns address) riesco sempre ad entrare sul mio router, pertanto la connessione c'e' ed e' attiva.
Sto diventando pazzo, non so piu' dove chiedere questa cosa.
Qualcuno di voi puo' aiutarmi?
Grazie, tafazio

towerlight2002
04-01-2007, 00:42
Buongiorno forum,
ho un problema simile @ tafazio.
Zyxel P660H-D1, Adsl PPPoE, Firewall disabilitato, Port Forwarding impostato per servizio http e ftp al server casalingo, Ip dinamico.

Ogni tentativo di accedere dalla WAN verso la LAN è bloccato. :mad:
Mi sa tanto che bisogna impostare qlk regola a manina :(

Altri hanno riscontrato questo intoppo.???

P.S: il problema nn sussiste con il Linksys WAG354G raggiungibile da http://towerlight2002.no-ip.org

Saluti
towerlight2002

filippide
27-01-2007, 18:00
La guida è bella ma se si ampliasse sarebbe meglio!!!!Complimenti!
Io però ho una domanda:
se ho un gioco che viene eseguito su due PC in rete, come configuro il nat? Il mio router mi dice, se metto due ip diversi con la stessa porta, che non si può fare perchè c'è una duplicazione di porte! Come possono usare due ip diversi la stessa porta? C'è una soluzione alternativa? La rete ha un router adsl e due PC.
Grazie

Blizzard88
07-02-2007, 13:47
complimenti per la guida..davvero ottima..mi ha chiarito molte cose..
ma non ha risolto tutti i miei problemi riguardo le firewall dmz e virtual server..


ho un sitecom WL 174..e non riesco a creare i permessi per le porte che voglio aprire..o meglio ci riescono ma non vengono ratificati..
ho letto in vrie guide e forum come fare..
ma il risultato è sempre lo stesso..
c'è qualcuno così gentile da potermi dare una mano??

The DeViL's
30-03-2007, 15:30
ragazzi dovrei realizzare un sistema di assistenza remota con VNC, ho qst router come faccio a far collegare e/o collegarmi ai pc dei clienti se anche loro sono sotto router?

Lucas Malor
22-05-2007, 14:23
DHCP
Il protocollo dhcp permette di assegnare dinamicamente agli hosts che sono configurati per farlo (di default se non avete toccato niente è cosi), indirizzi ip presi da uno scope dhcp (range ip).

Quando utilizzarlo?
Il dhcp è buona norma utilizzarlo quando NON ci sono regole di forwarding attive. Questo perche le regole di forwarding si basano su ip fissi. Se per caso quella mattina il dhcp si sveglia e decide di cambiare ip al vostro un pc in lan (perche in fondo il dhcp è bastardo!) e avete regole di portforwarding attive, ebbene quelle regole non varranno piu una cippa perche si riferiscono ad ip fissi e non tengono conto delle variazione del dhcp. Quindi se usate portforwarding usate ip fissi.

Sistemi ibridi
Qui il problema sta nel fatto che se io ho una rete in dhcp (tutta) e imposto alcuni client con ip fisso, il dhcp se ne sbatte e c'è la possibilità che vada ad assegnare ad un altro client in dhcp lo stesso indirizzo, con conseguente conflitto.
Il buon gionnico mi segnala che esiste su alcuni Netgear la possibilità di implementare sistemi leggermente diversi da quelli standard. Non era mia intenzione parlarne (sincermante quello che ha segnalato non lo conoscevo neanche io :stordita: ) ma visto che è saltato fuori, faccio una veloce carrellata di come creare, a seconda delle esigenze, un sistema dhcp ibrido.
Perchè crearlo? Perche ad esempio se volete che alcuni pc in rete abbiano ip fissi mentre altri ricevano gli indirizzi automaticamente. Questi tipi di strutture sono di solito usate nelle grandi lan dove a livello core layer (diciamo sala macchine, sala server...) di solito i server sono con ip fisso mentre tutto il resto della lan è in dhcp.

Ci sono 3 sistemi (2 quelli standard + 1 quello menzionato sopra che non consocevo):

- si imposta un range di indirizzi di assegnazione piu ristretto pur mantenendosi nella stessa subnet. Questo ti permette di sapere che certi indirizzi non verrano mai assegnati automaticamente. Questi indirizzi saranno i nostri ip fissi per i nostri server, o client che dir si voglia.

- oppure se i lavori sono stati fatti da :ciapet: come spesso capita con i nostri super cazzuttissimi consulenti strafighi supercertificati che costano 1000eur/giorno, avremo spazi di indirizzamento già occupati e non contigui per cui non sara possibile impostare range di ip. In questo caso bisogna andare a manina e pescarsi ip liberi. Questi ip possono essere "esclusi" dall'autoassegnazione del dhcp, e quindi non verranno mai rilasciati.

- l'altro è diametralmente opposto (cioè il sistema che ha segnalato l'utente), ma di fatto ha lo stesso risultato. Vale a dire fa in modo che il dhcp leghi un ip in maniera fissa ad un MAC address, quindi ad una certa scheda di rete fornira sempre e solo lo stesso ip. Di per se il dhcp dovrebbe già farlo, ma nn sempre è cosi. E' un sistema che reputo interessante e molto adatto ad un utenza magari meno esperta. Qualcuno si è inventato questo sistema che viaggia parallelo al protocollo dhcp e ne influenzi le assegnazioni. Non tutti i router a quanto pare lo supportano


Salve a tutti. Questo thread e' stato di grande aiuto per confermare la mia intenzione di comprare un router NetGear DG834GT.

Solo il discorso sul DHCP non mi e' molto chiaro. L'indirizzo ip dinamico e' l'ip al quale fanno riferimento i pacchetti ip esterni per poter dialogare con il mio pc, giusto? IL sistema ibrido semplicemente fa in modo che alcuni pc abbiano ip fisso e alcuni dinamici, e vieta a quelli con ip dinamico di avere l'ip identico ad uno che ha l'ip fisso. Quindi, a conti fatti, il DHCP e' completamente inutile all'utente "casalingo", in quanto ha solitamente un solo pc...

Per il discorso sulle tabelle di reindirizzamento e subnet, spero di aver capito bene e di non fare una figuraccia, ma volevo provare a spiegarlo in termini semplici come richiesto dalla guida.

E' come se io gestissi un negozio, Poldo, che ha 800 dipendenti. A mano a mano che divento sempre piu' grande, ho bisogno di specializzarmi e quindi di suddividere in aree di competenza il mio negozio. Quindi creo 8 aree che chiamo Poldo 1, Poldo 2 eccetera, ognuno con 100 dipendenti.

Per la subnet il discorso e' lo stesso. Mettiamo che il range di ip della mia rete vada da 207.170.32.0 a 207.170.32.255. Ho quindi a disposizione 256 ip. Mettiamo che io voglia dividere il range in 4 subnet.

Dunque le mie sottoreti o subnet avranno questi range di ip:

207.170.32.0 - 207.170.32.63
207.170.32.64 - 207.170.32.127
207.170.32.128 - 207.170.32.191
207.170.32.192 - 207.170.32.255

Piu' avanti il discorso si fa piu' complicato e non e' poi cosi' interessante. Si puo' dire comunque che il router sa se una richiesta parte da un certa subnet, come se avesse a disposizione la tabellina sopra. In realta' un router non ha bisogno di alcuna tabellina, ma gli basta un numero (la cosidetta subnet mask) e un operatore (l'AND logico). E qui se qualcuno lo sa spiegare in modo semplice mi faccia un fischio... :-P

pisto
11-07-2007, 01:05
quand'è che viene creata l'associazione nella tabella del router fra ip interno della lan, porta e ip esterno? basta un pacchetto qualsiasi o l'handshaking di una connessione tcp completo?

NintendoFan
28-08-2007, 03:24
Di fatto il nat-pat non è un "controllo" di flusso in quanto non ispeziona il pacchetto ip (se vogliamo proprio essere pignoli si chiama segmento ip ma vabeèè) cosa che fanno invece i firewall statefull.


Pienamente d'accordo sul nat-pat.. :)
Riguardo all'ip perché lo chiami segmento?:confused: E' un pacchetto! ;) Viene chiamato anche "datagram"..

NintendoFan
28-08-2007, 03:43
Ci sono 3 sistemi (2 quelli standard + 1 quello menzionato sopra che non consocevo):


- oppure se i lavori sono stati fatti da :ciapet: come spesso capita con i nostri super cazzuttissimi consulenti strafighi supercertificati che costano 1000eur/giorno, avremo spazi di indirizzamento già occupati e non contigui per cui non sara possibile impostare range di ip. In questo caso bisogna andare a manina e pescarsi ip liberi. Questi ip possono essere "esclusi" dall'autoassegnazione del dhcp, e quindi non verranno mai rilasciati.


Scusa eh ma se i supercertificati commettono questi errori non hanno capito niente di quello che hanno studiato! :rolleyes: E' ovvio che non possono dare in dhcp tutto lo spazio di indirizzamento! (specialmente in reti aziendali) Se non danno un range e gli host prendono indirizzi sparsi qua e là (rispetto a server e servizi vari) poi per creare ad esempio delle ACL's funzionanti devi fare i numeri da circo! :D

N.B.: non è un attacco ai supercertificati.. :)
N.B.2: non voglio assolutamente sminuire il lavoro (guida) di hmetal..

NintendoFan
28-08-2007, 03:50
Per la subnet il discorso e' lo stesso. Mettiamo che il range di ip della mia rete vada da 60.170.0.0 a 60.170.255.255. Ho quindi a disposizione 256*256 ip (2 elevato alla 16, che scrivero' 2^16). Mettiamo che io voglia dividere il range in 4 subnet.

Dunque le mie sottoreti o subnet avranno questi range di ip:
60.170.0.0 - 60.170.63.255
60.170.64.0 - 60.170.127.255
60.170.128.0 - 60.170.191.255
60.170.192.0 - 60.170.255.255

Piu' avanti il discorso si fa piu' complicato e non e' poi cosi' interessante. Si puo' dire comunque che il router sa se una richiesta parte da un certa subnet, come se avesse a disposizione la tabellina sopra. In realta' un router non ha bisogno di alcuna tabellina, ma gli basta un numero (la cosidetta subnet mask) e un operatore (l'AND logico). E qui se qualcuno lo sa spiegare in modo semplice mi faccia un fischio... :-P
Il tuo discorso va bene.. :) Ma fai attenzione che stai usando un indirizzo IP di classe A per l'esempio! Così non è molto corretto e può generare confusione! ;)

Lucas Malor
02-09-2007, 09:47
Uops, si, correggo :-P

hmetal
14-09-2007, 16:28
E qui se qualcuno lo sa spiegare in modo semplice mi faccia un fischio...

http://www.hwupgrade.it/forum/showthread.php?t=1309353&highlight=subnetting

prova a dare un occhio qua...magari ci capisci qualcosa eheheh


Ma fai attenzione che stai usando un indirizzo IP di classe A

il 67.170. etcc.. è in classe A? no

Se non danno un range e gli host prendono indirizzi sparsi qua e là (rispetto a server e servizi vari) poi per creare ad esempio delle ACL's funzionanti devi fare i numeri da circo!

Lo so vecchi mio ma credimi che quando parti con 100 hosts e poi arrivi a 1000 e non hai uno con esperienza che pensi ad una cosa scalabile, ti assicuro che vedi di quei "mostri" crescere. Di castelli di carte in giro ce ne sono (e anche di aziende di livello nazionale): li aspetto al varco per ridergli in faccia quando esploderà tutto. Ma si sa Dio ama gli stupidi e i coraggiosi...

Riguardo all'ip perché lo chiami segmento? E' un pacchetto! Viene chiamato anche "datagram"..

Perche i pdu di livello 4 sono i segments, mentre i pdu di livello 3 sono i packets. Cerco sempre di mantenere un linguaggio corretto rispetto al modello per generare meno confusione possibile.
Il 95% dei sistemisti che ho incontrato (o spacciati per tali) non sanno nemmeno cos'è il modello osi. Poi sono io che sono molto pignolo.

hmetal
14-09-2007, 16:30
quand'è che viene creata l'associazione nella tabella del router fra ip interno della lan, porta e ip esterno

qualsiasi roba che esce dalla lan verso fuori ed è di livello dal 3 in poi verrà convertita.

Per la cronaca tutti gli apparati pubblici NON accettano (e quindi droppano) i pacchetti che hanno come sorgente un indirizzo privato.

ciao

Lucas Malor
15-09-2007, 12:26
http://www.hwupgrade.it/forum/showthread.php?t=1309353&highlight=subnetting

prova a dare un occhio qua...magari ci capisci qualcosa eheheh

Dici questo? http://www.hwupgrade.it/forum/showpost.php?p=14301448&postcount=12

Preferivo qualcosa di ancora piu' semplice ^_______^

buglis
21-09-2007, 10:02
provo a chiedere qua!

innanzitutto complimenti per la guida :)

Dunque mi sono registrato a dyndns.org, ho settato il mio router linksys wag54gx2 e collegandomi a mionome.dyndns.org mi viene fuori la pagina del router, quindi posso dire che funziona (ovviamente poi ho disabilitato il controllo da remoto). Vorrei controllare il mio desktop da remoto quindi necessito di un programma come vnc o simili? in più vorrei che digitando l'indirizzo dyndns si colleghi al desktop direttamente senza dover inserire nessuna porta, è possibile?
basta che dal sito di dyndns metto la porta nell'indirizzo?

grazie ciao!

Caterpillar86
27-12-2007, 11:35
Vorrei sapere dal relatore del post qualche dettaglio in più sul fatto che il portforwarding non è una sorta di firewall. Più o meno sò perchè, ma vorrei saperlo da qualcuno più esperto di me, in quanto a networking sto in po' a terra e solo ora che ho comprato un router sto iniziando ad istruirmi sul serio

secerot
29-12-2007, 10:32
Salve
Spero di trovare una risposta, ma altrimenti non fa niente..
il mio problema è che ho un modem alice disco volante,
dopo aver connesso un SOLO router Hercules, la connessione se lascio non presidiati i client dopo un poco mi cade,tipo una 1/2 ora! se invece sono lì presente rimane attiva.
ho collegato sula stessa rete: un imac, una x360 e una ps3.
Inoltre se attivo il wifii il modem ad intervalli regolari si resetta da solo e non c'è verso! devo solo spegnere!! sarà un problema del firmware? di fatto ddevo usarlo solo con la lan, oltre al problema citato prima.
grazie

filemone82
26-05-2008, 16:47
FIREWALLING
Il firewalling è una tecnica volta alla creazione di regole (rules) e all'ispezione dei pacchetti per motivi di sicurezza.
Trovo che il fatto che girino molti firewall software abbia fatto nascere delle idee distorte sul cosa siano e come funzionino tali firewall. Un firewall è un sistema che funziona a livello pachetto ip, non a livello dati.
Il modulo software dei firewall che è installato in praticamente su tutti i router è per la maggior parte dei casi assolutamente inutile. Non è assolutamente necessario perderci un secondo di tempo ma lasciate tutto come stà. Delle porte da aprire ce ne occupiamo poi.

Quand'è che ho necessita di usare un firewall?
Una delle cose che mi da piu fastidio a questo mondo, è il fatto di fregare la gente. Fare leva sull'ignoranza per vendere cose assolutamente, in certi casi ovviamente, inutili a prezzi folli. Il caso piu eclatante è quello del firewall.
Potrei elencare decine e decine di casi in cui firewall installati e configurati (male) era praticamente come se non esistessero, e nella maggior parte dei casi non sarebbero nemmeno serviti.
Quando il firewall ha un senso?
Ricordando il fatto che stiamo parlando di router e non di modem, il firewall ha senso quando:
- ho un pool di indirizzi pubblici, per cui il router non fa nat e gli host sono direttamente raggiungibili dalla rete pubblica.
- sono in DMZ
e basta. (ribadisco il fatto che stiamo considerando il sottoinsieme di utenza casalinga, per le reti lan di un certo spessore la storia è un altra...ma neanche tanto diversa)
Ma soprattutto perche?
Come vi dicevo prima, i pacchetti vengono forwardati all'interno della lan solo se esiste un match (corrispondenza) sulla nat table. Fine del discorso. Niente entra se non è rischiesto da un host interno.

************


Ciao a tutti. Leggo soltanto ora questo -a dir poco- encomiabile post che suscita non poco la mia curiosità........ma mi fa capire anche quanto poco io ne capisca di reti......

Avrei, in particolare, una perplessità, in merito alla disquisizione relativa all'utilità / inutilità del firewall.

Se ho ben capito, è stato detto che il modulo software dei firewall installati sui router sono sostanzialmente inutili, poiché normalmente mal configurati (ad es., poiché non "filtrano" alcun pacchetto) o, più in generale, perché il sistema NAT provvede già ad una sorta di "selezione dei pacchetti".

Perdonate l'ignoranza, ma non sono un informatico, però se ho ben capito il semplice router, ovviamente senza DMZ e/o virtual server attivati, consentirebbe di stare "al riparo" da possibili intrusioni esterne.

E' quindi corretto -oppure è sbagliato, o semplicemente troppo imprudente- pensare di proteggere una rete locale (3 pc, altrettanti stampanti ed un NAS) di un piccolo ufficio tramite un semplice router (USR 9108) dotato di NAS, anche in assenza di firewall software?

Scusate se ho detto delle castronerie, ma pur non essere un informatico la questione mi interessa moltissimo.......

Federico

malocchio
17-07-2008, 11:45
PORTFORWARDING
PREMESSA: questo paragrafo dovrebbe andare su NAT ma è necessario leggersi parte del precedente paragrafo per capire meglio.
Credo che questo sia l'argomento di maggior interesse per tutti. Dando per scontato che abbiate capito (e soprattutto letto...) tutta la mia pappardella :stordita: , sfatiamo un mito:
- il portforwarding non è firewalling.
Quando uno imposta una regola di port forward (in alcuni router li chiamano virtual server... o altri nomi strani e fantasiosi, giusto per fare ancora di piu confusione) NON si creano regole di firewalling. Se qualcuno mi dicesse ma iptables? Ecco iptables è un modulo ibrido di linux (e di alcuni router/firewall linux based) e comprende anche nat.
Dicevamo: il portforward è una associazione MANUALE che si fa sulla tabella NAT. E' una specie di sottoinsieme del DMZ.
Perchè?Alle volte c'è la necessita che i pacchetti che arrivano dall'esterno, non debbano essere necessariamente richiesti prima dall'interno (tipo quando si gioca online o sul mulo). In questi casi è sufficiente indicare al router su quali porte (PAT) e su quale indirizzo ip lan interno (NAT) mandare i pacchetti che arrivano su porte che noi conosciamo a priori. La regola:
allow source: any destination: any = DMZ. Siamo daccordo?
Quindi evitate di usare any ma usate sempre ip.
Il sito http://www.portforward.com/default.htm indica la configurazione corretta per praticamente qualsiasi router in circolazione per qualsiasi programma riguradante il portforwarding.
ES:
porta pubblica di un gioco: 1050
porta privata (la stessa): 1050
ip privato : 192.168.1.1
regola:
source port:1050
private port: 1050
lan ip: 192.168.1.1
Nella maggior parte dei casi, c'è un implicito source ip address (pubblico): any. Altrimenti lo dovete specificare a meno che non siate sicuri dell'ip pubblico che vi interessa.

[cut]

Server Pubblici
Ora che sappiamo tutti bene l'argomento e abbiamo studiato a casa :rolleyes: , parliamo di come rendere pubblico un bel serverino interno alla nostra lan dietro al nostro bel routerino nattato.
Dobbiamo per questo fare un set di regole di portforward in base alle nostre esigenze, e quindi andremo ad inserire a mano delle entry nella nat table.
Dunque: per evitare di scrivere da browser sempre un ip pubblico, è bello registrarsi su dyndns.org o servizi simili dove, anche con ip dinamici pubblici (cioè la quasi totalità dei casi), scriverete sempre la stessa cosa anzichè cambiare ogni volta indirizzo ip. Dove sta la fregatura? perche non posso farmi i miliardi offrendo hosting sul mio atholn64 venice a 10Ghz? Perche non potrete usare le porte standard ma dovrete usarne delle altre...e perche?Perche altrimenti le richieste interne alla lan si sovrapporebbero alle richieste in entrata.
Tuttavia il discorso appena descritto è quello piu generale possibile. In realtà funziona anche con la porta 80 singola. Il problema è che sulla lan nessun altro pc oltre al server sara in grado di usufruire di internet, perche tutte le richieste sulla porta 80 finiranno sul server e non sul client che lo ha richiesto. Le regole di portforwarding hanno la priorità delle regole dinamiche create dal router. Stessa cosa vale per il resto dei servizi tipo ftp etc...

[cut]

Penso che questo discorso sia errato.
Bisogna capire bene come funziona il sistema client-server di una richiesta http.

Io sto su un computer client e voglio una pagina html o qualsiasi altro file dipsonibile dietro protocollo http su un server remoto (lasciamo stare per ora il discorso NAT/PAT).
Per cui inserisco l'indirizzo di rete nel browser e invio la richiesta. Apro una connessione tra me e il server. Siccome sto utilizzando il protocollo http (http:// ...) la connessione avviene sulla porta 80 DEL SERVER, ma non SUL CLIENT. La porta che viene aperta sul client è una porta presa a caso, tra tutte quello non well-known, cioè sopra la 1024.

Dunque se io ho un server http (ma anche qualsiasi tipo di servizio che abbia bisogno di connessioni in entrata e quindi di una porta ben specifica) dietro un NAT è sufficiente fare il forwarding della porta 80 sulla porta 80 di quel computer (oppure della porta sulla quale è in ascolto il servizio che mi interessa rendere pubblico).

Ecco subito pronto un facile esempio completo di indirizzi e porte.

IP privato del gateway (router):
192.168.0.1

IP privato PC1:
192.168.0.10

IP privato PC2:
192.168.0.11

IP pubblico del gateway (router):
88.32.100.134


Il PC1 esegue un webserver Apache in ascolto sulla porta 80.
Per rendere visibile il webserver dall'esterno dovrei configurare il router in modo che faccia port-forwarding dalla porta esterna 80 all'indirizzo privato 192.168.0.10 porta 80.

In questo modo con un computer collegato ad internet posso contattare questo indirizzo http://88.32.1001.34 e mi collegherei direttamente con il webserver del PC1.
In dettaglio a tabella delle connessioni sarebbe:

IP del copmuter collegato a internet, una porta qualsiasi sopra la 1024 -> 88.32.100.134, porta 80 (ho fatto richiesta sul protocollo http).

Il router 88.32.100.134 ha il port-forwarding della porta 80 per cui instrada il pacchetto (cambiando l'IP di destinazione a 192.168.0.10, porta 80 e l'IP di sorgente al proprio indirizzo privato) al PC1.

Il webserver PC1 esuadisce la richiesta e ri-invia il pacchetto all'indirizzo privato del router 192.168.0.1, il quale, leggendo la tabella di NAT/PAT, si ricorda della connessione tra il PC1 e il computer che aveva inoltrato la richiesta e cambia l'IP di sorgente al suo indirizzo pubblico 88.32.100.134, porta 80 (destinazione della prima richiesta dall'esterno) e l'IP di destinazione all'indirizzo del computer esterno, porta già usata per la connessione precedente.

Tutti i computer dietro lo stesso NAT del webserver possono cmq accedere al web, perché la loro richiesta ha come DESTINAZIONE un indirizzo IP pubblico con porta 80, ma la porta aperta sul client è una a caso sopra la 1024, senza quindi andare ad utilizzare la 80, già forwardata, dal router, al webserver PC1.

Marco_
31-08-2008, 16:39
Ciao a tutti,
probabilmente per molti sarà una cosa banale ma ho un problema che non
riesco a risolvere.
Vorrei rendere disponibile sul mio PC dello spazio ftp per uso personale.
Il mio scenario è
ADSL alicebusiness ip statico -- la telecom mi ha dato un modem/router ethernet
ho collegato a router un access point ed ho 3 PC (win XP pro) in wireless LAN configurati con IP statico.
Navigazione, condivisione file tutto ok da anni.
Ora mi sono incaponito con questo ftp ed ho seguito questa procedura:
1) installato IIS, inserito un file di testo nella cartella ftproot
2) ho istrutito il router che la porta 21 pubblica deve finire sulla porta 21 sull'indirizzo del PC dove gira il server FTP.
Sia con IE che tramite telnet accedo alla cartella ftp attraverso l'indirizzo ip "locale" ma non riesco ad accedere passando dall'indirizzo pubblico.
Cioe se da promt faccio telnet 192.168.1.7 21
taaak --> 220 Microsoft FTP Service
Ma se faccio invece telnet 87.xxx.xxx.113 21
non da errore ma cancella la schermata e mi restituisce il prompt quando digito un carattere.
Ora se provo verso altre porte mi dice invece "impossibile aprire una connessione con l'host. sulla porta ..." quindi cosa manca ?
3) A me è venuto in mente solo il firewall e quindi ho dapprima provato diligentemente a creare delle regole che non hanno portato frutti; quindi ho disabilitato tutto ... "nende".

In definitiva la mia domanda è:
Quello che voglio fare è fattibile ? (a me piace digitare l'indirizzo IP ogni volta).
SI o NO.
Se SI come?
Grazie

gionnico
31-08-2008, 21:34
Brrr! Tremendo IIS.

Sappi che l'FTP usa la porta 20 per i dati, apri anche quella.

Poi googla un po'per ftp attivo e passivo e anche per "ftp connection tracking".
Non sicuro che il routeraccio telecom sappia tenerne traccia.


Io a casa ho tenuto un server FTP, in DMZ con vsFTPd e iptables.

stefano_62
01-09-2008, 11:40
Ciao a tutti, non essendo esperto in materia,
vi chiedo un consiglio su come configurare il mio router/firewall linksys.
Lato WAN ip ??? (pubblico se serve)
Lato LAN 4 ip pubblici (obbligati)
IP eventuali ulteriori disponibili
necessità di firewall con regole tra internet e intranet.
come devo configurarlo per fare si che da internet le macchine siano accessibili con le regole, mantenendo il loro IP pubblico? ovviamente anche le macchine devono poter uscire. Non posso creare sottoreti. a monte ci sono sicuro altri router.
Ho provato a mettere l'indirizzo wan e lan del ruouter identici, ma chiaramente non va. Il router ha l'opzione gateway e router.
Grazie per l'aiuto.

gionnico
01-09-2008, 12:56
Ciao a tutti, non essendo esperto in materia,
vi chiedo un consiglio su come configurare il mio router/firewall linksys.
Ciao stefano_62 e benvenuto!

Questo non è il thread adatto per parlarne, dovresti conoscere la versione del router e poi controllare nei thread ufficiali (http://www.hwupgrade.it/forum/showthread.php?t=1674815) se trovi la guida. :)

Marco_
01-09-2008, 21:01
Brrr! Tremendo IIS.

Sappi che l'FTP usa la porta 20 per i dati, apri anche quella.

Poi googla un po'per ftp attivo e passivo e anche per "ftp connection tracking".
Non sicuro che il routeraccio telecom sappia tenerne traccia.


Io a casa ho tenuto un server FTP, in DMZ con vsFTPd e iptables.

Ho aperto anche la 20 ma la situazione permane stabile.
Grazie mille per l'aiuto... se ti viene in mente qualcosa sbirra.
Ciao
Marco

stefano_62
02-09-2008, 08:09
Ciao stefano_62 e benvenuto!

Questo non è il thread adatto per parlarne, dovresti conoscere la versione del router e poi controllare nei
se trovi la guida. :)

Il ruoter è l'RVS4000 e purtroppo per ora non trovo nulla di specifico; ho postato qui perchè credo che il discorso possa essere generalizzato a tutti i router/gateway.
Grazie

giuseppesole
15-10-2010, 18:48
Io possiedo un Netgear FVS336G. Non trovo un thread ufficiale, per cui domando qui.
Quando, in Internet Explorer 7 (con Firefox non capita) digito 192.168.1.1 per loggarmi ed accedere alla console, mi viene detto che c' è un problema col certificato (Netgear): esso è stato rilasciato da un sito web differente (evidentemente, www.netgear.com). Come posso disabilitare tale messaggio di errore?
Grazie infinite.

lupin 3rd
15-10-2010, 22:15
Io possiedo un Netgear FVS336G. Non trovo un thread ufficiale, per cui domando qui.
Quando, in Internet Explorer 7 (con Firefox non capita) digito 192.168.1.1 per loggarmi ed accedere alla console, mi viene detto che c' è un problema col certificato (Netgear): esso è stato rilasciato da un sito web differente (evidentemente, www.netgear.com). Come posso disabilitare tale messaggio di errore?
Grazie infinite.

prova un altro browser oppure ignora l' avviso questo si riferisce ad una scadenza..cmq ti consiglio di aprire una nuova discussione,qui siamo off topic...

giuseppesole
15-10-2010, 22:35
OK.

jegger
20-12-2010, 17:40
Salve a tutti.

Il mio non è un "vero" problema, ma una curiosità.
Ho sempre usato il mio router (un huawei WDR834g, non proprio il massimo dello stato dell'arte ma funziona) per lo stretto indispensabile senza sapere cosa non fanno molti parametri che sono descritti quando mi collego ad esso via browser.

Ora volevo capirli una volta per tutte.

Premesso che prima di aprire il thread, ho letto le guide qui (http://www.hwupgrade.it/forum/showthread.php?t=1283399) e qui (http://www.hwupgrade.it/forum/showthread.php?t=1260123), semplici e ben fatte.

Però c'è qualche termine che non capisco ancora.

Tipo:

- che significa PVC Connection?

- riguardo il firewalling, premesso che ho attivato NAT, come opzioni mi da solo la possibilità di bloccare/sbloccare: proxy, activex, cookies, java applets e Block Anonymous Internet Requests.
Dato che l'unico router che possiedo, è normale avere un firewall hw così scarno? O di solito ci sono più opzioni?

- nel mio router ho le seguenti opzioni da settare:
Virtual Server
Forwarding
Trigger
ma sono bene o male la stessa cosa?

- io ho disattivato il DHCP. Ora, noto che ci sono 3 tipi di routing:
Dynamic routing
static routing.
PVC Routing Policy
Sono 3 modi di settare il routing quando il DHCP è disattivato?

Felix
23-10-2012, 13:48
Vediamo un po', ho cercato piu' o meno dove postare questo problema, indicatemi se sbaglio thread che sposto la domanda.

Ho un problema che in sintesi si puo' descrivere cosi':
scenario: un modem router wifi adsl puo' vedere uno dei client collegarsi attraverso la porta wlan o attraverso la lan (in questo caso xche' si e' conneso ad un altro ap sulla stessa lan). Quindi in sostanza i pacchetti con l'ip del client possono presentarsi a seconda dei casi su wlan o su lan.

Piu' in dettaglio: il client (chiamiamolo C1) e' solitamente connesso alla wlan, il router in questione e' configurato come AP (AP1 per non confondere). All'accesione di un secondo AP (diciamo AP2) connesso alla lan del router AP1, il client C1 decide che il segnale e' migliore su AP2 e si collega a questo.
Un altro client (es C2) connesso alla lan su AP1 smette di pingare C1. Lo stesso C2 anche se connesso alla wlan di AP1 smette di pingare C1.
Ora cambio configurazione connetto C2 alla lan direttamente su AP2 e vedo C1, oppure connetto C2 alla wlan di AP2 e riesco lo stesso a pingare C1.


Ed ora il tocco finale: Con C2 connesso ad AP1, spengo e riaccendo AP1 e magicamente torno a pingare C1 anche se connesso a AP2.

Le considerazioni che mi vengono in mente e' che:
- il routing dovrebbe farlo solo tra WAN e W/LAN
- il fatto che spegnendo e riaccendendo l'apparato il comportamento cambi il problema e' legato a qualche tabella dinamica interna
- nel router le porte WLAN e LAN dovrebbero essere bridged ed invece pare non sia cosi'

dove sto sbagliando?

Ora se pensate che sia possibile un difetto di uno degli apparati in questione:
AP1 e' un modem router adsl TP-Link TD-W8961ND v1
AP2 e' un router usato come switch AP (dhcp disabilitato, porta WAN inutilizzata) TP-link TL-WR543G

grazie in anticipo

[Forse ho sbagliato thread, sposto la domanda qui: http://www.hwupgrade.it/forum/showthread.php?p=38357290#post38357290]

Diablo-IT
05-06-2013, 19:11
Scopro solo ora questa discussione.
Complimenti all'autore, sapere le cose e' un discorso, ma saperle pure spiegare agli altri in maniera semplice e "divertente" e' cosa da pochi! Bravo!

iobi
24-06-2013, 21:22
Appena scoperta anche io questa guida, molto interessante.
Pongo subito una domanda: possibile che il server DHCP scleri?
Mi spiego: ho una rete così composta:
Modem/router Netgear DG834GT a cui sono collegati
1 Router wifi D-link Dir-655
1 Access point Netgear WS640.

Alcuni apparecchi hanno indirizzo fisso (stampante, nas, lettore bluray), altri invece se lo fanno assegnare (notebook e cellulari)

L'unico server dhcp attivo è quello del modem.

Ecco, sono un paio di giorni che i dispositivi che se lo fanno assegnare prendono indirizzi improbabili come 169.254.16.43 e subnet mask 255.255.0.0.

Cosa diamine può essere?

Benci76
06-03-2016, 12:08
Bellissima guida complimenti, mi ha tolto molti dubbi. Ti chiederei se puoi anche parlare del QoS.

grazie mille.