Salve
ho settato uno zyxel 660 per emule andando a scrivere le porte per il forward e andando a fare le regole per il firewall che prima mi bloccava le porte facendo fallire il test.

Ho settato cosi il firewall:

wan to lan
sorgete ip any
destinazione ip 192.168.1.x(insomma il mio Host)
porta tcp 4662

e funziona correttamente
La mia curiosità è questa:
quando qualcuno chiede una tcp verso il mio ip pubblico sulla 4662 il firewall dovrebbe cmq bloccarla dato che il controllo dovrebbe avvenire prima del forward verso il mio host è quindi la regolaè inconsistente ovvero

richiesta dall' esterno
ip pubblico 4662
regola firewall
192.168.1.x 4662

qualcuno che mi illumini.

non sei stato chiarissimo.

intendi sapere se una regola messa in wan-to-lan fatta con

source: any
dest.: 192.x.x.x
port: 4662

è giusta?
questa è la tua domanda?

la regola è giusta perchè funziona.Mi chiedevo come mai fosse giusta??Lo so è un po strano ma è cosi..
IN pratica come dicevo la regola dice che ogni connessione proveniente dall esterno e diretta verso il mio host(192.168.1.x) sulla porta 4662 è autorizzata a passare.Fin qui Ok?

Però chi dall' esterno chiede la tcp sulla 4662 lo fa verso il mio ip pubblico e non verso il mio host.

Allora c' è un incongruenza tra i pacchetti ip e la regola nel firewall??oppure il controllo avviene dopo il forward?

... chi dall' esterno chiede la tcp sulla 4662 lo fa verso il mio ip pubblico e non verso il mio host.

Esatto. Dal pubblico non e' direttamente raggiungibile un host interno; per questo si imposta la regola sul firewall.


wan to lan
sorgete ip any
destinazione ip 192.168.1.x(insomma il mio Host)
porta tcp 4662

quando qualcuno chiede una tcp verso il mio ip pubblico sulla 4662 il firewall dovrebbe cmq bloccarla dato che il controllo dovrebbe avvenire prima del forward ...

hai appena impostato il firewall per lasciar passare tutti i pacchetti pubblici TCP, che arrivano sulla porta 4662, verso un host interno senza altri controlli.


La regola wan->lan, che imposti sul firewall, serve proprio a creare un ponte tra l'IP pubblico e l'IP privato. Tutte le richieste arrivano sempre sull'IP pubblico sulla porta prescelta e il firewall le fa passare diritte come un siluro verso il tuo PC interno. Vedi di non farti affondare ... ;)

però nel mio router zyxel 660 il forward si imposta in NAT sua only,perchè a queso punto vanno impostate 2 volte?
Vi dirò di piu:se abbasso il firewall il test delle porte di emule funziona cmq.

Quindi alla fine se ho capoto bene,il firewall fa il controllo solo sulla porta,infatti se nella regola del firewall sostituisco l' ip del mio host con any(tutti i computer) funziona tranquillamente.