ciao,

devo impedire a mia sorella di entrare con il suo pc in rete per scaricare.

ho una lan di 4 pc con router US Robotics 9107. gli ip al momento sono assegnati in DHCP, ma sto un attimo ad assegnare quelli fissi.

come posso fare per impedire l'accesso dei sw di P2P sulla rete? devo per forza agire a livello di router, mi piacerebbe sradicarle via tutti i sw e cambiare i privilegi di windows ma poi andrebbe a protestare con i miei.... :muro:

ditemi, ditemi..:D

meravigliosa creatura...

potresti bloccare tutte le porte verso il suo ip esclusa la 80 e quelle della posta, così almeno navigherebbe, ma senza fare altro.


ovviamente le porte vanno chiuse anche in uscita.

sul router crea un' access-list dove gli permit le porte che ti interessano tipo 80 x il web, 20 e 21 per ftp, 23 smtp, vedi un po tu, e poi deny tutto il resto!
sicuramente un pò di difficoltà la troverà e tu avrai un bel pò di lavoro da fare :)

meravigliosa creatura...

potresti bloccare tutte le porte verso il suo ip esclusa la 80 e quelle della posta, così almeno navigherebbe, ma senza fare altro.


ovviamente le porte vanno chiuse anche in uscita.
mi hai fragato sul time :D

si a questo ci avevo pensato... ed avevo creato una regola che consentiva il traffico sulla 80 per il suo IP e bloccava il resto... solo che non so quale intervallo di porte considerare...

nessun intervallo...
solo porte singole

ah...

conosci un sito dove sono elencate le porte utilizzate dai sw P2P? ne ha parecchi installati sul pc.. :rolleyes: :muro:

ah...

conosci un sito dove sono elencate le porte utilizzate dai sw P2P? ne ha parecchi installati sul pc.. :rolleyes: :muro:
Le porte dei programmi p2p possono essere modificate, così non ne esci.
Devi fare come già ti ha consigliato BTS (e saurodino): imho consenti l'uscita solo sulle tcp 80, 443 , 21, (eventualmente 3128, 8080), 110, 25. Tutto il resto bloccalo in ingresso e in uscita IMHO.

http://www.usr.com/support/9107/9107-it-ug/wui_security.htm

questa è la pagina di riferimento per il mio router per quanto riguarda la sicurezza...

non riesco a capire come fare.. :muro:

http://www.usr.com/support/9107/9107-it-ug/wui_security.htm

questa è la pagina di riferimento per il mio router per quanto riguarda la sicurezza...

non riesco a capire come fare.. :muro:
Azz l'outbound è consentito di default,
allora devi mettere in outbound regole che ti blocchino tutte le porte tranne quelle che ti ho detto, mettendo come origine l'IP incriminato.
Inbound basta non aggiungere nessuna regola, perché di default è tutto bloccato.
Disattiva upnp.

vediamo se ho capito:

per l'ip xxx.xxx.xxx.xxx devo bloccare le porte usate dai p2p, creando una regola per ogni porta, giusto?

oppure creo degli intervalli tipo 1:79, 81:xx e via così fino a coprire tutte le porte disponibili? :confused:

vediamo se ho capito:

per l'ip xxx.xxx.xxx.xxx devo bloccare le porte usate dai p2p, creando una regola per ogni porta, giusto?

oppure creo degli intervalli tipo 1:79, 81:xx e via così fino a coprire tutte le porte disponibili? :confused:
La seconda che hai detto, quei range li devi bloccare, il primo metodo è aggirabile facilmente.
Anche se non so come la prenderà il router, non ti resta che provare.

non mi è chiara una cosa..

nel campo "source ip address" devo mettere il suo ip, giusto?

il campo "destination ip address" posso lasciarlo vuoto? :mbe:

non mi è chiara una cosa..

nel campo "source ip address" devo mettere il suo ip, giusto?

Si

il campo "destination ip address" posso lasciarlo vuoto? :mbe:
si se è vuoto lascialo vuoto (in alcuni router puoi indicare 0.0.0.0), dovrebbe voler dire tutti

ok fatto..;)

grazie 1000!:D

niente da fare... cosi facendo mi blocca tutto.. :confused:

a lei o a te?

a lei o a te?
a lei..

anche il traffico http pur essendo fuori dal range di porte bloccate.. :mbe: :confused:

tu hai bloccato tutto... tranne?

devi lasciare aperta la 53 che è quella dei DNS

ah ecco cosa mancava...:D la 53!:D

ah ecco cosa mancava...:D la 53!:D
:doh: scusa la dimenticanza, grazie BTS :muro:

pensavo di aver risolto ma non è così...

questo è lo schema delle porte bloccate: aiutatemi a capire cosa c'è che non va...

http://img145.imageshack.us/img145/6679/senzatitolo1kj2.th.jpg (http://img145.imageshack.us/my.php?image=senzatitolo1kj2.jpg)

pensavo di aver risolto ma non è così...

questo è lo schema delle porte bloccate: aiutatemi a capire cosa c'è che non va...

http://img145.imageshack.us/img145/6679/senzatitolo1kj2.th.jpg (http://img145.imageshack.us/my.php?image=senzatitolo1kj2.jpg)
I range provali a mettere in destination port, lascia vuoto source port.

ok, e lascio l'ip nel campo source o lo metto in quello destination? :stordita: :mbe:

grazie..

è cannato tutto..

allora, metti una regola sola: permetti il traffico tcp/udp da ip 192.168.1.5, con destination port da 1 a 1024
chiudi tutto il resto.

nel pannello di controllo del router ho due menù: Outbound Filters e Inbound Filters. Nel primo caso, per default, tutto il traffico in uscita è permesso, ma posso bloccarlo con appositi filtri. Il traffico in ingresso è invece bloccato ed è possibile aprire alcune porte.

"By default, all outgoing IP traffic from LAN is allowed, but some IP traffic can be BLOCKED by setting up filters."

"By default, all incoming IP traffic from WAN is blocked when firewall is enabled, but some IP traffic can be ACCEPTED by setting up filters."

Premesso questo, come devo creare le regole? :confused:

nel pannello di controllo del router ho due menù: Outbound Filters e Inbound Filters. Nel primo caso, per default, tutto il traffico in uscita è permesso, ma posso bloccarlo con appositi filtri. Il traffico in ingresso è invece bloccato ed è possibile aprire alcune porte.

"By default, all outgoing IP traffic from LAN is allowed, but some IP traffic can be BLOCKED by setting up filters."

"By default, all incoming IP traffic from WAN is blocked when firewall is enabled, but some IP traffic can be ACCEPTED by setting up filters."

Premesso questo, come devo creare le regole? :confused:

quello che a te deve interessare è il traffico IN USCITA.

devi mettere una semplicissima regola che blocca tutto il traffico in uscita generato dal 192.168.1.5 per tutte le porte > 1024.

è cannato tutto..

allora, metti una regola sola: permetti il traffico tcp/udp da ip 192.168.1.5, con destination port da 1 a 1024
chiudi tutto il resto.

si può far di meglio...

si può far di meglio...

certo che si può, questa è quella che crea meno casini nel caso alla sorellina salti in mente di usare qualcosa che non sia standard100%.
tipo qua ho letto di lasciare aperta la 80 e "la posta".
oltre a dimenticarsi il dns e l'ftp, consiglio sempre di lasciare aperte tutte le porte fino a 1024 per due motivi: il primo è che nessun p2p da quanto mi risulta usa porte<1024, il secondo è che messenger o skype o roba di quel tipo in genere non hanno casini.
visto che l'utente che ha aperto il topic non mi sembra abbia conoscenze approfondite di quello che sta facendo, e visto che non le hanno nemmeno quelli che gli hanno risposto fino ad ora, ho dato una risposta semplice per "tagliare la testa al toro" senza troppi sbattimenti e senza creare danni.

ok, e lascio l'ip nel campo source o lo metto in quello destination? :stordita: :mbe:

grazie..
nel source comunque

e visto che non le hanno nemmeno quelli che gli hanno risposto fino ad ora, ho dato una risposta semplice per "tagliare la testa al toro" senza troppi sbattimenti e senza creare danni.

e senza offendere?

e senza offendere?

e chi ho mai offeso?

un utente che dice che basta aprire l'80 e "la posta" secondo te ha conoscenze approfondite?
mi spieghi, di grazia e visto che sei competente, a cosa serve aprire la 80 se la 53 è chiusa?
sono tutto orecchi.

si parlava in maniera simbolica, infatti poi, per quel che mi riguarda ho specificato.

si parlava in maniera simbolica, infatti poi, per quel che mi riguarda ho specificato.

e te la passo per "la posta".

ora non ti rimane che spiegarmi a cosa serve aprire l'80 se la 53 è chiusa.

e te la passo per "la posta".
ora non ti rimane che spiegarmi a cosa serve aprire l'80 se la 53 è chiusa.La 53 l'avevo omessa io (una distrazione può capitare) mentre avevo suggerito di aprire 80, 443 , 21, 3128, 8080, 110, 25, semplicemente per stare più stretti possibile. Comunque a me non interessa far polemiche né ostentare conoscenze che posso non avere, sta di fatto che sono d'accordo con BTS che una "taratina" al linguaggio non sarebbe una cattiva idea: scendere sul campo del "lei non sa chi sono io" imho non è mai una cosa edificante...
:cool:

La 53 l'avevo omessa io (una distrazione può capitare) mentre avevo suggerito di aprire 80, 443 , 21, 3128, 8080, 110, 25, semplicemente per stare più stretti possibile. Comunque a me non interessa far polemiche né ostentare conoscenze che posso non avere, sta di fatto che sono d'accordo con BTS che una "taratina" al linguaggio non sarebbe una cattiva idea: scendere sul campo del "lei non sa chi sono io" imho non è mai una cosa edificante...
:cool:

una distrazione può capitare a tutti, capita anche a me, la differenza è che non me la prendo se me la si fa notare ;)
per quanto riguarda il resto, bisogna stare attenti perchè in questo campo a fare danni ci si mette un attimo pur di far vedere agli altri che "si sà", quindi il mio consiglio, forse troppo implicito, era di andarci cauti prima di dire a qualcuno di usare procedure lette chissà dove su altri forum senza avere la cognizione di quello che si sta dicendo.
questo per il semplice motivo che do a un utente un'informazione sbagliata su quale codec divx usare al massimo non si guarda un video, se gli dico di segare delle porte che invece sono essenziali, quello non esce più sulla rete. è un po come sbagliare a fare il proprio lavoro di fruttivendolo, o sbagliare a fare il proprio lavoro di chirurgo insomma :D
ah, la 3128 e la 8080 non servono a niente a meno che non stai usando un proxy, che comunque è interno alla rete, non serve aprirlo sul fw.

una distrazione può capitare a tutti, capita anche a me, la differenza è che non me la prendo se me la si fa notare ;)

Non me la sono mica presa, solo che stavi attribuendo a BTS un mio errore, altrimenti nota che prima non avevo proprio risposto. Di più BTS mi ha corretto e mi sembra di averlo ringraziato, altro che prendermela :D .
Ti ho solo fatto notare che c'è modo e modo di dire le cose e quello che tu usi non mi sembra il migliore in un forum. :cool:

per quanto riguarda il resto, bisogna stare attenti perchè in questo campo a fare danni ci si mette un attimo pur di far vedere agli altri che "si sà", quindi il mio consiglio, forse troppo implicito, era di andarci cauti prima di dire a qualcuno di usare procedure lette chissà dove su altri forum senza avere la cognizione di quello che si sta dicendo.

Quello che vuole far vedere che sa di certo non sono io :boh:
Ripeto comunque che a me non piace rimarcare quelle che possono essere le mie conoscenze, che possono essere più specifiche in alcuni settori e meno in altre, ma che ti assicuro non provengono dai forum in ogni caso ;)
Comunque ti faccio notare che il tono delle tue affermazioni si è solo leggermente edulcorato ma non è cambiato nella sostanza.

questo per il semplice motivo che do a un utente un'informazione sbagliata su quale codec divx usare al massimo non si guarda un video, se gli dico di segare delle porte che invece sono essenziali, quello non esce più sulla rete. è un po come sbagliare a fare il proprio lavoro di fruttivendolo, o sbagliare a fare il proprio lavoro di chirurgo insomma :D

Postare su un forum non mi sembra un lavoro. Le impostazioni non sono irreversibili e le conseguenze in un contesto di rete "familiare" non mi sembrano paragonabili a quelle professionali in campo medico, per cui si può stare anche un pò più sereni. D'altra parte si leggono cantonate ben più grandi di quelle delle quali stiamo qui a disquisire e l'alternativa sarebbe consentire i post solo a un ristretto gotha ben selezionato. E questo sarebbe la negazione di un forum.

ah, la 3128 e la 8080 non servono a niente a meno che non stai usando un proxy, che comunque è interno alla rete, non serve aprirlo sul fw.
Sulla 8080 non sarei d'accordo: https://www.grc.com/port_8080.htm
In ogni caso non voglio creare un flame quindi mi tiro fuori definitivamente da questa discussione e per quanto mi riguarda la chiudo.

Non me la sono mica presa, solo che stavi attribuendo a BTS un mio errore, altrimenti nota che prima non avevo proprio risposto. Di più BTS mi ha corretto e mi sembra di averlo ringraziato, altro che prendermela :D .


no se leggi il secondo messaggio di questo thread ;)


Ti ho solo fatto notare che c'è modo e modo di dire le cose e quello che tu usi non mi sembra il migliore in un forum. :cool:

boh giovani mica ho insultato la vostra mamma! ho detto che le conoscenze di chi postava non mi sembrava fossero così approfondite, e che diamine a me sembra la pura e semplice verità....


Postare su un forum non mi sembra un lavoro. Le impostazioni non sono irreversibili e le conseguenze in un contesto di rete "familiare" non mi sembrano paragonabili a quelle professionali in campo medico, per cui si può stare anche un pò più sereni. D'altra parte si leggono cantonate ben più grandi di quelle delle quali stiamo qui a disquisire e l'alternativa sarebbe consentire i post solo a un ristretto gotha ben selezionato. E questo sarebbe la negazione di un forum.

era un esempio per dire come informazioni sbagliate possano portare a sbagli abbastanza fastidiosi. non era minimamente mia intenzione affermare che cannare una porta in un firewall mette a repentaglio la vita degli utenti sulla lan :D


Sulla 8080 non sarei d'accordo: https://www.grc.com/port_8080.htm
In ogni caso non voglio creare un flame quindi mi tiro fuori definitivamente da questa discussione e per quanto mi riguarda la chiudo.

onestamente di server che girano sulla 8080 non ne ho ancora trovati, ed è una cosa abb. stupida fare un server web sulla 8080 a meno che la tua intenzione non sia RESTRINGERE L'ACCESSO AL SERVER.
ad ogni modo grazie per il link, se poi vuoi toglierti dalla discussione sei liberissimom di farlo ;)

onestamente di server che girano sulla 8080 non ne ho ancora trovati, ed è una cosa abb. stupida fare un server web sulla 8080 a meno che la tua intenzione non sia RESTRINGERE L'ACCESSO AL SERVER.
Qualcuno c'è, quindi in ottica navigazione imho era meglio lasciarla aperta :cool: ad es.:
http://stud.unifi.it:8080/
http://sol.cib.unibo.it:8080/SebinaOpac/Opac
http://bsi.soc.unitn.it:8080/bsi/
http://www.giornaletecnologico.it:8080/scienza/200611/17/455c772105653/

ad ogni modo grazie per il link, se poi vuoi toglierti dalla discussione sei liberissimo di farlo ;)Figurati, il sito di Gibson è sicuramente interessante.
Cmq intendevo dire che ci siamo spiegati quindi non intendevo andare più OT. :D
:mano:

riaw, ce l'hai con sta porta 53, vero?

allora senti. Tu la blocchi in WAN in funzione del suo Ip, ma fai rimbalzare le richieste DNS da un altro pc, stile NAT... ecco che la 53 al pc della sorella non serve più.
oppure crei un DNS in un pc nella lan... tanto ci vuol poco.

riaw, ce l'hai con sta porta 53, vero?

allora senti. Tu la blocchi in WAN in funzione del suo Ip, ma fai rimbalzare le richieste DNS da un altro pc, stile NAT... ecco che la 53 al pc della sorella non serve più.
oppure crei un DNS in un pc nella lan... tanto ci vuol poco.

guarda che la questione non è "serve o no la porta 53 a sua sorella" ma che se gli dici solo di bloccare tutto, lasciare aperto 80 e "posta" i casi son due:
o gli dici anche di aprire la 53
o gli dici di installare un dns server nella lan
se non fai una di queste due cose (perchè non lo sai, perchè te lo dimentichi, perchè quello che vuoi) combini un danno.

saluti.