Buonasera a tutti e in primis buone feste. Espongo brevemente il problema, se tale puo' definirsi visto che non son molto pratico di queste cose :D :( : ho acquistato da poco un router modello D-Link DIR-300 ed avrei bisogno di sapere, o se esiste una guida, per poter impostare al meglio le porte per averle tutte stealth durante i controlli con siti specifici.

Qui -> http://www.hwupgrade.it/forum/showpost.php?p=30204606&postcount=826
il post precedentemente postato in sezione sbagliata nel quale espongo il problema.

In firma c'e' il link alla mia configurazione di sicurezza per avere eventualmente informazioni su cosa gira nelle mie macchine.

Concludo dicendo che non mi interesa avere id alto con emule (il perche' e' dato dal fatto che molte guide su internet si prefiggono questo obiettivo nella spiegazione delle configurazioni dei router) ma riavere tutte le porte stealth come prima che utilizzassi il router usufruendo del solo modem.

Spero di esser stato chiaro e di non aver sbagliato sezione oppure non aver scritto cavolate dato che, come ho scritto all'inizio, di configurazioni router non son pratico per nulla :stordita:

Un grazie anticipato a tutti quelli che vorranno/potranno rispondermi :)

Se hai un muletto sempre acceso, instalati un firewall tipo IPCOP o SMOOTHWALL (tramite software divirtualizzazione) , forwardi tutto verso la sk rete su WAN e da li vedrai che avrai tutto in stealth.

Altrimenti, non conoscendo il modello specifico di router, devi trovare qualche parametro che imposti come considerare le connessioni in ingresso, e quindi impostare per le risposte non il "DENY" ma il "DROP" packet.

Ciao

Se hai un muletto sempre acceso, instalati un firewall tipo IPCOP o SMOOTHWALL (tramite software divirtualizzazione) , forwardi tutto verso la sk rete su WAN e da li vedrai che avrai tutto in stealth.

Altrimenti, non conoscendo il modello specifico di router, devi trovare qualche parametro che imposti come considerare le connessioni in ingresso, e quindi impostare per le risposte non il "DENY" ma il "DROP" packet.

Ciao

:stordita:
Il muletto lo uso poco e niente quindi l'id alto o basso mi interessa relativamente.
Il secondo capoverso non l'ho capito bene scusami :( se gentilmente potresti spiegarmelo brevemente :help:

Impostare un ip statico aiuterebbe o e' ininfluente? :stordita:

Leggevo qualcosa per le regole di drop, ma la maggior parte degli scritti si riferisce a sistemi linux...
A me interesserebbe invece per windows... :)

Ok allora tagliamo la testa al toro: qualcuno sa dirmi come disabilitare il firewall nel router di cui all'oggetto? ;)
Grazie! :)

nulla di piu semplice:basta eliminare qualsiasi regola di forward, il router è un firewall hardware naturale.

nulla di piu semplice:basta eliminare qualsiasi regola di forward, il router è un firewall hardware naturale.

Quindi basta che elimino le regole create per emule ed avro' il computer che si affaccia direttamente ad internet senza il firewall router? :confused:

Leggevo su internet che potrei utilizzare la dmz... ma penso che seguiro' prima il tuo consiglio....
Come dicevo prima, avere l'id alto o basso del mulo non mi interessa, piuttosto riavere tutte le porte stealth nei controlli di sicurezza ;)

Quindi basta che elimino le regole create per emule ed avro' il computer che si affaccia direttamente ad internet senza il firewall router? :confused:

no dietro router(leggasi server NAT) un computer non sarà mai esposto direttamente ad internet, ma questo è solo che un bene.

Leggevo su internet che potrei utilizzare la dmz... ma penso che seguiro' prima il tuo consiglio....
Come dicevo prima, avere l'id alto o basso del mulo non mi interessa, piuttosto riavere tutte le porte stealth nei controlli di sicurezza ;)

la dmz è una cosa ben precisa, con un altro utilizzo ovvero quando si hostano servizi pubblici.

nulla di piu semplice:basta eliminare qualsiasi regola di forward, il router è un firewall hardware naturale.


In realtà non è vero quello che dici.

Lui vuole avere un router configurato in modo che da un "port analyzer" tutte le sue porte non usate siano viste in modalità STEALT e non in CLOSED.

Questo vuol dire , che ad oggi se un programma tenta di connettersi ad una porta XXX, la quale non risulta sottosta a nessuna regola di port_forwararding, il router risponde alle richieste con un bel DENY.

Lui ha bisogno semplicemente che il router NON RISPONDA per nessun motivo.

Quindi , il mio commento di diceva :

1) - Fai forward di tutto verso un sistema firewall , configurato in modo adeguato.
2) - Cerchi su internet se il tuo router puo comportarsi in modo adeguato (non conosco il tuo router) , ovvero non rispondendo a richieste su porte non forwardate.


Ciao

E' da stasera che leggo guide su guide ed altro, e purtroppo per il mio router non c'e' la possibilita' mettere il tutto in drop... da solo la possibilita' di permettere oppure no l'accesso ad internet...
Probabilmente ci capisco poco anche io, ma come diceva l'utente maddoctor, io avrei bisogno che le porte mi ritornino stealth e non closed poiche' anche se chiuse sono comunque visibili in rete...

In firma c'e' la mia configurazione di sicurezza, sembra incredibile ma il tutto sarebbe messo in discussione dal comportamento del router :(

Sto cercando ogni possibile soluzione al problema per ovviare alle porte closed ricevute dai test (shields up, pc flank ecc.) :doh:

La mia idea e' che disabilitando il firewall del router e quindi bypassandolo (ecco il perche' della dmz :rolleyes: ), la protezione verrebbe poi presa in carico dai miei software installati sulla macchina...

Avete idee al riguardo? :)

Grazie a tutti quanti comunque.

Una porta chiusa è tale perchè sull host raggiunto non esiste alcun servizio in ascolto e quindi c'è una reply icmp di porta irraggiungibile. Una porta stealth è una porta cui il traffico viene ignorato, ed è questo quello che fa un router senza regole di forward.

E' da stasera che leggo guide su guide ed altro, e purtroppo per il mio router non c'e' la possibilita' mettere il tutto in drop... da solo la possibilita' di permettere oppure no l'accesso ad internet...
Probabilmente ci capisco poco anche io, ma come diceva l'utente maddoctor, io avrei bisogno che le porte mi ritornino stealth e non closed poiche' anche se chiuse sono comunque visibili in rete...

In firma c'e' la mia configurazione di sicurezza, sembra incredibile ma il tutto sarebbe messo in discussione dal comportamento del router :(

Sto cercando ogni possibile soluzione al problema per ovviare alle porte closed ricevute dai test (shields up, pc flank ecc.) :doh:

La mia idea e' che disabilitando il firewall del router e quindi bypassandolo (ecco il perche' della dmz :rolleyes: ), la protezione verrebbe poi presa in carico dai miei software installati sulla macchina...

Avete idee al riguardo? :)

Grazie a tutti quanti comunque.

ma il senso di dare quest' onere eleborativo agli hosts?

ma il senso di dare quest' onere eleborativo agli hosts?

Parli della dmz? Scusa ma in questo campo sono completamente niubbo :rolleyes: :stordita:

Parli della dmz? Scusa ma in questo campo sono completamente niubbo :rolleyes: :stordita:

parlo di far controllare le connessioni ai firewall dei pc. Per altro potresti anche farlo, ma dovresti avere un solo pc sulla lan: a quel punto utilizza un modem.

parlo di far controllare le connessioni ai firewall dei pc. Per altro potresti anche farlo, ma dovresti avere un solo pc sulla lan: a quel punto utilizza un modem.

Connessi ho 2 pc: un lap ed un desk.
Entrambi con una configurazione (a mio parere) ottimale (vedasi firma).
Sino a quando non c'era il router ed avevo solo il modem (e quindi un solo pc) tutti i test erano superati brillantemente, ora invece con 2 pc ed il router, ho questa defaillance...
Scusami ma su queste cose sono un po fissato :rolleyes:

Connessi ho 2 pc: un lap ed un desk.
Entrambi con una configurazione (a mio parere) ottimale (vedasi firma).
Sino a quando non c'era il router ed avevo solo il modem (e quindi un solo pc) tutti i test erano superati brillantemente, ora invece con 2 pc ed il router, ho questa defaillance...
Scusami ma su queste cose sono un po fissato :rolleyes:

Parli di sicurezza e poi utilizzi windows XP? oltre al fatto che nella tua configurazione di sicurezza c'è un minestrone di roba inutile.
Poi ti fa sentire sicuro avere tutte le porte non raggiungibili (avere porte in forward senza servizi in ascolto è la medesima cosa), bene fai come ti ho detto:togli qualsiasi regola di forward e hai raggiunto il tuo scopo: il perchè puoi capirlo pensando a come funziona un router domestico.

Parli di sicurezza e poi utilizzi windows XP? oltre al fatto che nella tua configurazione di sicurezza c'è un minestrone di roba inutile.
Poi ti fa sentire sicuro avere tutte le porte non raggiungibili (avere porte in forward senza servizi in ascolto è la medesima cosa), bene fai come ti ho detto:togli qualsiasi regola di forward e hai raggiunto il tuo scopo: il perchè puoi capirlo pensando a come funziona un router domestico.

Per non uscire dal seminato: il desk ce l'ho in dual boot con ubuntu linux e il lap lo faccio partire (non sempre) con puppy linux da live cd.
Windows xp sino ad oggi lo ritengo migliore di svista da poco uscito "fuori produzione", ed il minestrone a cui ti riferisci e' una discussione piu' o meno opinabile a seconda dei gusti e della preparazione che ognuno puo' avere...

Il mio rammarico e' notare come usando un firewall router, una certa configurazione di sicurezza venga messa in discussione anche se gia' qui mi correggo da solo poiche' qualsiasi cosa sfuggisse al firewall router verrebbe intercettato dai software installati.

Semplicemente la mia richiesta era come tornare ad avere le porte stealth nei vari test ;) tutto qui....

Ti ringrazio comunque del consiglio che prontamente effettuero' domani.

Ti auguro buon proseguimento di serata.

Il mio rammarico e' notare come usando un firewall router, una certa configurazione di sicurezza venga messa in discussione anche se gia' qui mi correggo da solo poiche' qualsiasi cosa sfuggisse al firewall router verrebbe intercettato dai software installati.

no mi spiace ma qui dimostri di non conoscere come funziona un router che effettua ip-masquerading (ovvero NAT).

no mi spiace ma qui dimostri di non conoscere come funziona un router che effettua ip-masquerading (ovvero NAT).

Ed infatti l'ho detto che di router e connessioni ne capisco poco e nulla :(

Nulla da fare.
Ho provato a seguire il tuo consiglio ma alcune porte rimangono chiuse e visibili.
Vedro' domani a mente fresca di riuscire a combinare qualcosa...

Grazie ancora e buona notte :)

sono le porte dei servizi esposti dal router, è normale che sia cosi.Una porta visibile ma senza servizio in binding non è nociva in alcun modo, se ci credi bene, se no assumi 2 guardie armate pronte a sparare su ogni pacchetto.

sono le porte dei servizi esposti dal router, è normale che sia cosi.Una porta visibile ma senza servizio in binding non è nociva in alcun modo, se ci credi bene, se no assumi 2 guardie armate pronte a sparare su ogni pacchetto.

HiHi .... concordo ..... troppa paranoia può far male.

X Kohai : L'unico modo per essere completamente stealth : spegnere tutto. (HiHi)

sono le porte dei servizi esposti dal router, è normale che sia cosi.Una porta visibile ma senza servizio in binding non è nociva in alcun modo, se ci credi bene, se no assumi 2 guardie armate pronte a sparare su ogni pacchetto.

HiHi .... concordo ..... troppa paranoia può far male.

X Kohai : L'unico modo per essere completamente stealth : spegnere tutto. (HiHi)

:D :D
Bhe' in effetti....

Un'ultima domanda e poi chiudo: se per caso creassi una regola dentro il firewall del router per consentire tutto il traffico in entrata, che effetto sortirei? :stordita:

:D :D
Bhe' in effetti....

Un'ultima domanda e poi chiudo: se per caso creassi una regola dentro il firewall del router per consentire tutto il traffico in entrata, che effetto sortirei? :stordita:

nullo, perchè l' inoltro non dipende dal firewall, ma da come lavora in se un router_natter, ed è la terza volta che te lo dico.

Impostare un ip statico aiuterebbe o e' ininfluente? :stordita:

Ciao Kohai :D

Per me IP statico o dinamico non fa differenza almeno nel tuo caso.
Io ho IP dinamico e tutte le porte stealthed :D quindi non credo dipenda da quello :)

Ciao ciao ;)

Premetto che mi piacerebbe capire perché secondo te una porta in stealth è più sicura di una porta chiusa.
In ogni caso, se vuoi che un certo range di porte sia in stealth, è sufficiente fare il forward di quelle porte verso un host inesistente.
Se poi vuoi farlo per tutte le porte allora (come credo ti abbiamo già) è sufficiente mettere in DMZ il solito host.

Premetto che mi piacerebbe capire perché secondo te una porta in stealth è più sicura di una porta chiusa.
In ogni caso, se vuoi che un certo range di porte sia in stealth, è sufficiente fare il forward di quelle porte verso un host inesistente.
Se poi vuoi farlo per tutte le porte allora (come credo ti abbiamo già) è sufficiente mettere in DMZ il solito host.

In verita' questo dmz mi era stato sconsigliato...
Approfitto della tua gentilezza e pazienza: avendo 2 pc nella lan, da quanto ho capito, posso metterne solo uno in dmz giusto? O entrambi? :stordita:

Ciao Kohai :D

Per me IP statico o dinamico non fa differenza almeno nel tuo caso.
Io ho IP dinamico e tutte le porte stealthed :D quindi non credo dipenda da quello :)

Ciao ciao ;)

In effetti nulla di fatto... porte visibili anche con ip statico...

Il bello e' che ste' porte mi cambiano in continuazione... non son sempre le stesse... ma ad ogni test effettuato le porte chiuse variano... :doh:

Premetto che mi piacerebbe capire perché secondo te una porta in stealth è più sicura di una porta chiusa.
In ogni caso, se vuoi che un certo range di porte sia in stealth, è sufficiente fare il forward di quelle porte verso un host inesistente.
Se poi vuoi farlo per tutte le porte allora (come credo ti abbiamo già) è sufficiente mettere in DMZ il solito host.

Ciao slowped,
scusa se te lo chiedo, ma leggendo la prima pagina mi era parso di capire che la DMZ servisse a tutt'altro scopo :D
La cosa mi incuriosisce perchè io ho un router simile a quello del mio amico Kohai e non ho dovuto cambiare niente per superare quei test a pieni voti.
Non è che c'è qui in sezione una guida a prova di utonta (me lo dico da sola :asd:) da leggere per capire bene come funziona la DMZ?
E sopratutto .... qual'è il solito host? :D :D :stordita:

Ciao ciao ;)

Ciao slowped,
scusa se te lo chiedo, ma leggendo la prima pagina mi era parso di capire che la DMZ servisse a tutt'altro scopo :D
La cosa mi incuriosisce perchè io ho un router simile a quello del mio amico Kohai e non ho dovuto cambiare niente per superare quei test a pieni voti.
Non è che c'è qui in sezione una guida a prova di utonta (me lo dico da sola :asd:) da leggere per capire bene come funziona la DMZ?
E sopratutto .... qual'è il solito host? :D :D :stordita:

Ciao ciao ;)

Per solito host penso si riferisca all'indirizzo del mio computer....
Cioe' bypassare tutto il traffico dal router direttamente alla mia macchina... leggevo pero' in giro che e' un po sconsigliato oppure per chi fa uso di server ed affini...

Fra le tante altre cose leggevo questo:
-> http://www.hwupgrade.it/forum/showthread.php?t=1260123
-> http://www.usr.com/support/9107/9107-it-ug/wui_security.htm

Ma in internet ci sono un sacco di esempi e di consigli.

Mi spiace sopratutto di non trovar nulla al mio "problema" diciamo cosi'.... perche' l'attenzione e' poggiata specialmente nell'ottenere id alto con emule :(

Mi rispondo da solo: la funzione dmz puo' essere sfruttata/usata da un solo pc nella lan poiche' l'indirizzo ip e' univoco per ogni computer...
Almeno questo e' quanto ho capito :stordita:

Mi rispondo da solo: la funzione dmz puo' essere sfruttata/usata da un solo pc nella lan poiche' l'indirizzo ip e' univoco per ogni computer...
Almeno questo e' quanto ho capito :stordita:

Ti rispondo io ....

La funzione DMZ viene usata da chi possiede un device (anche computer) firewall da porre tra il router e la LAN.

Tutto il traffico viene passato al firewall, il quale risulta configurato nei più svariati modi , e quindi non serve a chi a solo un PC dietro il router !!!!

Il firewall può anche gestire connessioni con IP multipli , destinando un IP alla navigazione tramite NAT, altri IP per altri servizi in hosting facendo mapping a livello di porte e/o a livello di IP.

Spero di essere stato chiaro. Ciao.

Fino a "Ti rispondo io...." è tutto chiaro, poi mi sono persa :stordita:

No scherzo :asd:
E' tutto chiaro, grazie :D

Visto che ci sei, mi spiegheresti anche questo :D


1) - Fai forward di tutto verso un sistema firewall , configurato in modo adeguato.
2) - Cerchi su internet se il tuo router puo comportarsi in modo adeguato (non conosco il tuo router) , ovvero non rispondendo a richieste su porte non forwardate.


Ciao

Mi accontento anche di una guida da leggere come ha fatto Kohai, non ho grandi pretese :D

Ciao ciao ;)

Per solito host penso si riferisca all'indirizzo del mio computer....
Cioe' bypassare tutto il traffico dal router direttamente alla mia macchina... leggevo pero' in giro che e' un po sconsigliato oppure per chi fa uso di server ed affini...

Ho dato un'occhiata alle impostazioni del mio router ed io l'opzione DMZ non ce l'ho abilitata. Proprio sotto l'opzione da spuntare c'è una bella nota che dice che è pericoloso attivarla e che è meglio farlo solo quando se ne ha veramente bisogno :asd:

Fra le tante altre cose leggevo questo:
-> http://www.hwupgrade.it/forum/showthread.php?t=1260123
-> http://www.usr.com/support/9107/9107-it-ug/wui_security.htm

Ma in internet ci sono un sacco di esempi e di consigli.

Grazie Kohai :D
Avevo guardato in giro per internet, ma se ci sono guide qui nel forum io le preferisco, perchè mi fido più di queste rispetto al materiale che si trova in giro :D

Ciao ciao ;)

Ti rispondo io ....

La funzione DMZ viene usata da chi possiede un device (anche computer) firewall da porre tra il router e la LAN.

Tutto il traffico viene passato al firewall, il quale risulta configurato nei più svariati modi , e quindi non serve a chi a solo un PC dietro il router !!!!

Il firewall può anche gestire connessioni con IP multipli , destinando un IP alla navigazione tramite NAT, altri IP per altri servizi in hosting facendo mapping a livello di porte e/o a livello di IP.

Spero di essere stato chiaro. Ciao.

Peccato che il significato di DMZ non sia questo: la DMZ è una zona "demilitarizzata", ovvero una zona entro cui confinare gli hosts pubblici ovvero quelli che espongono servizi che devono essere raggiungibili dall' esterno.Confinarli nella DMZ vuol dire evitare che tali hosts, se attaccati possono consentire l' accesso alla LAN, il che si traduce con il traffico LAN-DMZ consentito, ma non al contrario.
Per chi fosse interessato all' argomento ne ho parlato ampiamente nella seguente discussione.
http://www.hwupgrade.it/forum/showthread.php?t=2034785&highlight=dmz

Premetto che mi piacerebbe capire perché secondo te una porta in stealth è più sicura di una porta chiusa.
In ogni caso, se vuoi che un certo range di porte sia in stealth, è sufficiente fare il forward di quelle porte verso un host inesistente.
Se poi vuoi farlo per tutte le porte allora (come credo ti abbiamo già) è sufficiente mettere in DMZ il solito host.

ma in realtà una porta è nascosta perchè a nessuno interessa intercettarne le connessioni entranti, ed è quello che fa un router senza forward o particolari regole di firewalling. Una porta è chiusa se non vi è nessun servizio in ascolto e quindi viene segnalata tale situazione. Con un router si hanno gia le porte (tranne quelle per cui esiste una regola di loopback sull' interfaccia wan)in stealth.

Avevo trovato anche questo... mi piace allargare il campo di vedute ;)

-> http://telemat.die.unifi.it/book/Internet/Security/Firewall/fwfw.htm#dmz

Peccato che il significato di DMZ non sia questo: la DMZ è una zona "demilitarizzata", ovvero una zona entro cui confinare gli hosts pubblici ovvero quelli che espongono servizi che devono essere raggiungibili dall' esterno.Confinarli nella DMZ vuol dire evitare che tali hosts, se attaccati possono consentire l' accesso alla LAN, il che si traduce con il traffico LAN-DMZ consentito, ma non al contrario.
Per chi fosse interessato all' argomento ne ho parlato ampiamente nella seguente discussione.
http://www.hwupgrade.it/forum/showthread.php?t=2034785&highlight=dmz

Ciao nuovoUtente86 :)
Molto interessante, grazie per il link

ma in realtà una porta è nascosta perchè a nessuno interessa intercettarne le connessioni entranti, ed è quello che fa un router senza forward o particolari regole di firewalling. Una porta è chiusa se non vi è nessun servizio in ascolto e quindi viene segnalata tale situazione. Con un router si hanno gia le porte (tranne quelle per cui esiste una regola di loopback sull' interfaccia wan)in stealth.

Ora capisco perchè io, che non ho toccato quasi niente delle impostazioni di default del router, ho tutte le porte stealthed, mentre Kohai che è uno smanettone (:Prrr: ) ha problemi.

Ciao ciao ;)

Del router non ho toccato assolutamente nulla, impostate solo le porte per emule e messo ip statico.
Ho solo eseguito la configurazione automatica per la prima connessione e basta...

Io scherzavo :D

Parli della configurazione automatica che ti aiuta ad impostare i parametri della connessione del tuo gestore?
Se hai fatto solo quella, allora decisamente ho smanettato più io :D

Notte Kohai ;)

Peccato che il significato di DMZ non sia questo: la DMZ è una zona "demilitarizzata", ovvero una zona entro cui confinare gli hosts pubblici ovvero quelli che espongono servizi che devono essere raggiungibili dall' esterno.Confinarli nella DMZ vuol dire evitare che tali hosts, se attaccati possono consentire l' accesso alla LAN, il che si traduce con il traffico LAN-DMZ consentito, ma non al contrario.
Per chi fosse interessato all' argomento ne ho parlato ampiamente nella seguente discussione.
http://www.hwupgrade.it/forum/showthread.php?t=2034785&highlight=dmz
Verissimo , nulla da eccepire.
Però dse contestualizziamo il termine, sui router di solito con la funzione DMZ si specifica un indirizzo IP a cui fare forward di tutto il traffico in ingresso nel router.

Ciao

Verissimo , nulla da eccepire.
Però dse contestualizziamo il termine, sui router di solito con la funzione DMZ si specifica un indirizzo IP a cui fare forward di tutto il traffico in ingresso nel router.

Ciao

Non c'è nulla da contestualizzare: quella che implementano i router è una DMZ pura, come spiegato nel link che ho postato.

La funzione DMZ viene usata da chi possiede un device (anche computer) firewall da porre tra il router e la LAN.

non ha nulla di specifico rispetto al concetto di DMZ.


Tutto il traffico viene passato al firewall, il quale risulta configurato nei più svariati modi , e quindi non serve a chi a solo un PC dietro il router !!!!

Il firewall può anche gestire connessioni con IP multipli , destinando un IP alla navigazione tramite NAT, altri IP per altri servizi in hosting facendo mapping a livello di porte e/o a livello di IP.

anche questo è spiegato nel link, ma è anche indicato come in tal caso sia un abuso del termine DMZ.

Siamo li' li....

-> http://www.hwupgrade.it/forum/showthread.php?t=2088779

Ho visto che c'e' un upgrade del firmware per il mio router (D-Link DIR 300), ma non son convinto di farlo per paura di incasinare il tutto... :stordita:

Allora facciamo chiarezza una volta per tutte: mettere un pc in DMZ è una cosa insicura e di certo non aumenta la sicurezza.

Allora facciamo chiarezza una volta per tutte: mettere un pc in DMZ è una cosa insicura e di certo non aumenta la sicurezza.

Scusami ma non ho capito una cosa: se un pc lo si mette in dmz (imho), verra' bypassato il firewall del router o comunque la sicurezza che questo offre, giusto?
Quindi l'unica barriera che si interporrebbe fra il pc in questione e internet, sarebbero i software di sicurezza installati sulla macchina, giusto? :stordita:

si è cosi.

Non c'è nulla da contestualizzare: quella che implementano i router è una DMZ pura, come spiegato nel link che ho postato.


non ha nulla di specifico rispetto al concetto di DMZ.


anche questo è spiegato nel link, ma è anche indicato come in tal caso sia un abuso del termine DMZ.

Sembra che stiamo a dire la stessa cosa ma non ci capiamo ;)

Ciao

Sembra che stiamo a dire la stessa cosa ma non ci capiamo ;)

Ciao

non credo proprio

si è cosi.

Perfetto, mi hai dissolto il dubbio, grazie :D
Era quello che mi interessava sapere :)

Tutto il traffico viene passato al firewall, il quale risulta configurato nei più svariati modi , e quindi non serve a chi a solo un PC dietro il router !!!!

Il firewall può anche gestire connessioni con IP multipli , destinando un IP alla navigazione tramite NAT, altri IP per altri servizi in hosting facendo mapping a livello di porte e/o a livello di IP.
anche questo è spiegato nel link, ma è anche indicato come in tal caso sia un abuso del termine DMZ.

Scusami se vorrei spiegarmi.

Io suggerivo il metodo di utilizzo che tu giustamente indichi come abuso del termine DMZ. Non ho mai detto che DMZ significhi qualcosa di diverso da quello che tutto il mondo sostiene.

In cosa "non credi proprio" che stiamo a dire la stessa cosa ?

Grazie in anticipo per la spiegazione. ;)

Scusami se vorrei spiegarmi.

Io suggerivo il metodo di utilizzo che tu giustamente indichi come abuso del termine DMZ. Non ho mai detto che DMZ significhi qualcosa di diverso da quello che tutto il mondo sostiene.

In cosa "non credi proprio" che stiamo a dire la stessa cosa ?

Grazie in anticipo per la spiegazione. ;)

In queste quattro parole Tutto il traffico viene passato al firewall
nell' implementazione letteraria della DMZ, il firewall divide unicamente il segmento LAN da quello DMZ solo nel verso DMZ-LAN e non analizza, ne filtra il resto del traffico pubblico.
Esistono diverse implementazioni come la Double-firewalled ma non sono DMZ pure.

nell' implementazione letteraria della DMZ, il firewall divide unicamente il segmento LAN da quello DMZ solo nel verso DMZ-LAN e non analizza, ne filtra il resto del traffico pubblico.

Esistono diverse implementazioni come la Double-firewalled ma non sono DMZ pure.

Sarà che per tutte le DMZ che conosco/uso/imposto .... applico regole di filtraggio anche tra WAN e DMZ in ingresso, tanto il traffico attraversa il firewall, quindi blocchiamo tutto quello che non server. Seguo il principio ... demilitarizzate si, ma mai reti completamente aperte .... non so io ... io non lo faccio e non lo consiglio a nessuno. Aumenti la attack surface senza motivo.

Faccio un esempio .... server WEB linux ..... IP dedicato .... io farei passare solo le connessioni sulla porta 80 e 443 .... la 22 la eviterei con cura. Sarà protetto SSH, ma se evito connessioni dall'esterno sono più tranquillo.

Ciao

Provato stamattina a scollegare il router ed effettuare una connessione col solo modem: test pcflank e shields up superati brillantemente, compreso il comodo test...

Purtroppo ragazzi di connessioni, router e compagnia bella ne capisco poco, anche se da 2 giorni mi sto facendo una scorpacciata di guide... il problema pero' permane... se a miei due amici collegati col router le porte risultano stealth a prescindere, non capisco perche' il mio router debba rispondere e far vedere la porta... il guaio peggiore e' che non son sempre le stesse ma variano, ad ogni nuovo test effettuato su shieldsup le porte visibili non son sempre le stesse ma variano in continuazione. E' questo comportamento che non riesco a capire..

Due son le cose:
- o rifaccio la configurazione per la connessione ad internet oppure
- effettuo la guida per una connessione wireless e metterci le pasword anche se questo tipo di connessione non la uso, difatti non ho nemmeno messo l'antennina sul router ;)

Ho provato anche usando la funzione dmz senza alcun risultato, o meglio, le porter visibili erano nettamente inferiori ma persistevano....

Ringrazio tutti comunque.

Sarà che per tutte le DMZ che conosco/uso/imposto .... applico regole di filtraggio anche tra WAN e DMZ in ingresso, tanto il traffico attraversa il firewall, quindi blocchiamo tutto quello che non server. Seguo il principio ... demilitarizzate si, ma mai reti completamente aperte .... non so io ... io non lo faccio e non lo consiglio a nessuno. Aumenti la attack surface senza motivo.

Faccio un esempio .... server WEB linux ..... IP dedicato .... io farei passare solo le connessioni sulla porta 80 e 443 .... la 22 la eviterei con cura. Sarà protetto SSH, ma se evito connessioni dall'esterno sono più tranquillo.

Ciao

fai bene a proteggere il server, ma il come lo proteggi non è parte integrante della DMZ e della sua topologia.

Provato stamattina a scollegare il router ed effettuare una connessione col solo modem: test pcflank e shields up superati brillantemente, compreso il comodo test...

Purtroppo ragazzi di connessioni, router e compagnia bella ne capisco poco, anche se da 2 giorni mi sto facendo una scorpacciata di guide... il problema pero' permane... se a miei due amici collegati col router le porte risultano stealth a prescindere, non capisco perche' il mio router debba rispondere e far vedere la porta... il guaio peggiore e' che non son sempre le stesse ma variano, ad ogni nuovo test effettuato su shieldsup le porte visibili non son sempre le stesse ma variano in continuazione. E' questo comportamento che non riesco a capire..

Due son le cose:
- o rifaccio la configurazione per la connessione ad internet oppure
- effettuo la guida per una connessione wireless e metterci le pasword anche se questo tipo di connessione non la uso, difatti non ho nemmeno messo l'antennina sul router ;)

Ho provato anche usando la funzione dmz senza alcun risultato, o meglio, le porter visibili erano nettamente inferiori ma persistevano....

Ringrazio tutti comunque.

Credo che questa discussione stia scadendo nel ridicolo: stare dietro router senza alcun forward ti crea un firewall hardware naturale, fatti bastare questo: che poi un test ti dica nascosta o chiusa poco importa.

Di ridicolo c'e' il comportamento del router.

Se non ricordo male, avevi creato delle regole per eMule :D
Hai provato a cancellarle e vedere se cambia qualcosa?


Possibile che non incuriosisce nessuno il fatto che le porte chiuse cambiano ad ogni test!?? :eek:

Se non ricordo male, avevi creato delle regole per eMule :D
Hai provato a cancellarle e vedere se cambia qualcosa?


Possibile che non incuriosisce nessuno il fatto che le porte chiuse cambiano ad ogni test!?? :eek:

Ho fatto diverse prove... con e senza regole... attivato e disattivato lo SPI, attivata e disattivata la DMZ, rifatta la configurazione lan e wireless ma niente... col solo modem le porte risultano stealth ma appena interviene il router le porte sono visibili e randomizzate... non posso quindi nemmeno chiuderle manualmente o creare delle regole specifiche.
In rete non trovo nulla riguardo al drop dei pacchetti del mio router, ergo, suppongo che non effettui tale scelta oppure c'e' da modificare una qualche regola specifica non contemplata in questa discussione.

Visto e considerato poi che non mi va piu' di disquisire se sia sicuro o meno la funzione dmz, che il router e' anche un nat con funziona spi attivabile, se effettuare forwarding di tutto il traffico o parte di esso ecc. ecc. ecc. e per non correre il rischio di essere nuovamente ripreso (come in questo (http://www.hwupgrade.it/forum/showpost.php?p=30211058&postcount=27) caso) e/o di non cadere nel ridicolo (non certo per colpa mia), ringrazio tutti quanti e chiudo qui.

Saluti.

Di ridicolo c'e' il comportamento del router.

Un router è un computer che esegue un programma e, secondo la Legge di Greer:
Un programma per computer fa quello che gli dici, non quello che vuoi.

Di conseguenza, soprattutto considerando che chi ha il tuo stesso router non ha i tuoi problemi, la causa non può che essere una configurazione inadeguata.

Domanda: hai per caso attivo UPnP? Se è così disattivalo e riprova i tuoi test.

Concludo con una precisazione relativamente alla DMZ. Dal punto di vista teorico il buon nuovoUtente86 ha già detto tutto. Vorrei solo puntualizzare una questione: quando ti ho dato il suggerimento di utilizzare la DMZ intendevo: "metti in DMZ un indirizzo IP non utlizzato nella tua LAN". In questo modo il tuo router farebbe il forward di tutte le porte verso un host inesistente e tutte le porte risulterebbero in stealth.

Buona giornata.

4 pagine di post e nessuno sa cosa c'è a monte del router WAN D-Link DIR-300....

se c'è un altro router con Firewall\NAT a monte del D-Link bisogna lavorare con quello per avere tutte le porte stealth

in ogni caso non vedo l'utilità di questa cosa... nemmeno alla NASA si fanno queste paranoie

.....Concludo con una precisazione relativamente alla DMZ. Dal punto di vista teorico il buon nuovoUtente86 ha già detto tutto. Vorrei solo puntualizzare una questione: quando ti ho dato il suggerimento di utilizzare la DMZ intendevo: "metti in DMZ un indirizzo IP non utlizzato nella tua LAN". In questo modo il tuo router farebbe il forward di tutte le porte verso un host inesistente e tutte le porte risulterebbero in stealth.

Buona giornata.

Ciao slowped,
in effetti questo chiarimento ci voleva proprio :D
Quando hai scritto di mettere in DMZ il solito host, abbiamo pensato all'IP del pc di Kohai e non ad un IP non utilizzato in LAN :D :D :stordita:

Per curiosità ti chiedo ancora una cosa, tanto per vedere se le parole degli utenti Maddoctor e nuovoUtente86 sono servite a farmi capire come funziona una DMZ o se io sono proprio una causa persa :asd:
Mettere nella DMZ un IP non utilizzato è come dirottare il traffico dall'esterno verso un pc che non esiste e quindi le richieste dall'esterno non avranno risposta (il che mi da come risultato che le porte risulatano stealthed). I pc della LAN portanno tranquillamente connettersi ad internet per navigare o per gli aggiornamenti, perchè questo tipo di traffico è permesso. Creare una DMZ serve principalmente a bloccare il traffico che viene dall'esterno nella DMZ (da lì non si può entrare nella LAN), se poi dovesse servire saranno i pc della LAN a collegarsi con i pc della DMZ

Sorvolando sul linguaggio molto molto poco tecnico (:D ), come sono andata?
Ho capito qualcosa o sono irrecuperabile? :D :D :stordita:

Grazie
Roby

Si è corretto, ma creare una DMZ serve principalmente per mantenere la convivenza, in sicurezza, tra server su cui sono hostati servizi pubblici e la lan privata.

Mia mancanza, ho omesso di dire come mi connetto ad internet, chiedo scusa. Allora:

- al muro ho il filtro per dividere il segnale adsl dal telefono
- cavo della linea adsl che arriva al modem D-Link DSL-320T
- cavetto ethernet che parte dal modem per arrivare al mio router wireless D-Link DIR 300
- 2 pc collegati ad esso non in wireless ma con altrettanti cavi.

Configurazione del router effettuata dopo i vostri consigli:
- funzione UPnP disattivata (era attiva di default)
- Wan Ping disattivato (era attivo di default, questo l'ho disattivato su "consiglio" del router stesso leggendo le varie informazioni)
- DMZ disattivata
- SPI attivato (era disattivato di default)
- uniche regole create per le 2 porte di emule.

Situazione:
http://img52.imageshack.us/img52/4324/immaginefj.th.png (http://img52.imageshack.us/i/immaginefj.png/)

Le uniche porte che non variano mai sono la "zero" e la "uno", le altre variano in continuazione.... e' questo cio' che non mi spiego sorvolando il fatto che risultino visibili ma chiuse...

Come ho gia' detto all'inizio della discussione, e ce l'ho pure scritto in firma che nessuno nasce imparato, di connessioni non ne capisco molto ma se qualcosa mi intriga cerco di approfondire leggendo anche altre guide poste in internet...

Purtroppo (e vi posso capire), date per scontato che chi scrive in questa sezione e' una persona abbastanza preparata, ma spesso non e' cosi', altrimenti l'errore di porre nella DMZ l'indirizzo del mio pc piuttosto che uno inesistente non lo avrei fatto.

Cosa posso dire: lascio le cose cosi' come stanno.... vorra' dire che faro' pace con me stesso e lascero' le porte visibili ma chiuse... solo due unici favori ho da chiedervi:
1) cosi' come e' configurato il mio router va bene o devo bloccare/sbloccare qualche regola? (tipo il wan, lo spi ecc..)
2) bisognerebbe comunque impostare delle regole per delle porte specifiche come ho fatto per il mio firewall con hips integrato oppure no?

Mi dicevano che potrebbe dipendere anche da quest'ultimo che non riesce a dialogare bene col router; nel firewall Comodo infatti c'e' un'opzione proprio per far si che le regole di entrambi vadano in simbiosi l'uno con l'altro...

L'upnp mi sa che lo lascio disattivato -> http://punto-informatico.it/2162171/PI/News/flash-upnp-accoppiata-cracca-router.aspx

Te l'avevo detto che l'UPnP era robaccia :asd:
Ne avevamo parlato nella discussione sui servizi di XP :D
Visto che ci sei, disabilita pure il servizio su entrambi i pc ;)

Ciao ciao ;)

Te l'avevo detto che l'UPnP era robaccia :asd:
Ne avevamo parlato nella discussione sui servizi di XP :D
Visto che ci sei, disabilita pure il servizio su entrambi i pc ;)

Ciao ciao ;)

Corro :D

4 pagine di post e nessuno sa cosa c'è a monte del router WAN D-Link DIR-300....

se c'è un altro router con Firewall\NAT a monte del D-Link bisogna lavorare con quello per avere tutte le porte stealth

in ogni caso non vedo l'utilità di questa cosa... nemmeno alla NASA si fanno queste paranoie

Ciao Harry_Callahan,
ora che Kohai ha descritto come si connette, cosa ci dici?
Secondo te dove potrebbe essere il problema?

Ciao ciao ;)

Si è corretto, ma creare una DMZ serve principalmente per mantenere la convivenza, in sicurezza, tra server su cui sono hostati servizi pubblici e la lan privata.

Grazie per la precisazione ;)
Quindi usarla come volevamo fare noi è un abuso delle sue funzioni?! :D
Alla fine serve giusto in una rete aziendale, in una LAN domestica ha poco senso.

Vorrei approfittare delle tue conoscenze e disponibilità per chiedere chiarimenti sull'UPnP.
Per quel che so io è un protocollo di rete che permette a più pc di condividere dati creando una rete P2P tra i pc della rete.
Leggendo in giro mi ero fatta l'idea che fosse un protocollo piuttosto vecchio e quindi superato e che potesse essere utile in una rete aziendale, ma non in una rete domestica.
Mi interessa soprattutto sapere se è utile in una rete domestica per via dei problemi di sicurezza legati a questo protocollo.

Grazie
Roby

ora che Kohai ha descritto come si connette, cosa ci dici?


se il 320T ha il firmware originale allora lavora come modem puro, dunque il problema è a valle

se il 320T è stato moddato con un firmware particolare, cioè se è stato trasformato in router allora bisogna approfondire i settaggi del 320T

Grazie per la precisazione ;)
Quindi usarla come volevamo fare noi è un abuso delle sue funzioni?! :D
Alla fine serve giusto in una rete aziendale, in una LAN domestica ha poco senso.

Vorrei approfittare delle tue conoscenze e disponibilità per chiedere chiarimenti sull'UPnP.
Per quel che so io è un protocollo di rete che permette a più pc di condividere dati creando una rete P2P tra i pc della rete.
Leggendo in giro mi ero fatta l'idea che fosse un protocollo piuttosto vecchio e quindi superato e che potesse essere utile in una rete aziendale, ma non in una rete domestica.
Mi interessa soprattutto sapere se è utile in una rete domestica per via dei problemi di sicurezza legati a questo protocollo.

Grazie
Roby

L' UpNP (http su udp) è un protocolli che semplifica le fasi di installazione e setup all' interno di una rete. Lo scopo piu conosciuto è quello di settare in maniera automatica e randomica le porte per i software p2p dietro router e/o firewall. Il protocollo è vulnerabile ma i maggiori rischi sono sempre legati all' applicazione che su quelle porte fanno binding.

Scusa se rompo ancora :D
Ti riferisci all'uso di questo servizio in una LAN domestica?
E che vuol dire che un'applicazione fa banding su una porta, che fa delle chiamate verso l'esterno?

Scusa se approfitto, ma non capisco proprio tutto quello che scrivete, allora meglio confessare la propria ignoranza e chiedere spiegazioni :D

Grazie
Roby

Scusa se rompo ancora :D
Ti riferisci all'uso di questo servizio in una LAN domestica?
E che vuol dire che un'applicazione fa banding su una porta, che fa delle chiamate verso l'esterno?

Scusa se approfitto, ma non capisco proprio tutto quello che scrivete, allora meglio confessare la propria ignoranza e chiedere spiegazioni :D

Grazie
Roby

Si l' utilizzo principale che se ne fa nelle Lan domestiche è legato principalmente a software p2p o altri servizi come voip, remoteDesktop,ecc.
Un' applicazione che fa binding su una porta, è un programma che accetta connessioni entranti su quella porta e se tale software è vulnerabile lo diventa il sistema.
Le connessioni uscenti, per una serie di meccanismi legati al livello trasporto, che ora qui sarebbe complicato spiegare, sono abbastanza sicure anche se non invulnerabili.

ora che Kohai ha descritto come si connette, cosa ci dici?
Secondo te dove potrebbe essere il problema?


Anche se non sono il buon Harry_Callahan, mi permetto di intervenire. Mancano due informazioni fondamentali: come sono configurati il modem e il router. In particolare se la connessione (PPPoE o PPPoA) viene negoziata dal modem o dal router.

Sul lato WAN il D-Link DSL-320T può essere configurato sia in PPPoE/PPPoA sia in "Bridge Mode" ("1483 Bridged IP").

Nel primo il modem agirebbe come un router e la wan del router D-Link DIR 300 sarebbe configurata in DHCP (se sul modem è attivo il server DHCP) o con IP statico (compatibile con quello dell'interfaccia LAN del modem).

Nel secondo caso invece il modem agirebbe come modem "puro" e la wan del router sarebbe configurata in PPPoE.

Secondo me la configurazione migliore è la seconda. In assenza di indicazioni riguardo questi aspetti non è possibile (a mio giudizio, ovviamente) fare alcuna ipotesi sensata sul perché si verifica il fenomeno indicato dall'utente e su come rimuoverlo.

EDIT: avevo scritto il messaggio diverse ore fa, ma poi ho ricevuto una telefonata e ho dimenticato di inviarlo. Quando l'ho fatto non mi sono reso conto che Harry_Callahan aveva già risposto. Sorry.

se il 320T ha il firmware originale allora lavora come modem puro,

se il 320T è stato moddato con un firmware particolare, cioè se è stato trasformato in router allora bisogna approfondire i settaggi del 320T

Non conosco direttamente il modem in questione, ma ho dato un'occhiata al manuale e lì è riportato (come ho indicato nel mio precedente messaggio) che può lavorare sia in PPPoE/PPPoA sia in bridged mode. Dato che il manuale l'ho scaricato dal sito D-Link, presumo che anche con il firmware originale abbia la possibilità di funzionare come una sorta di router.

se il 320T ha il firmware originale allora lavora come modem puro, dunque il problema è a valle

se il 320T è stato moddato con un firmware particolare, cioè se è stato trasformato in router allora bisogna approfondire i settaggi del 320T

Data la mia assoluta ignoranza in materia, e quindi nell'incapacita' assoluta di gestire eventuali problemi, non ho mai fatto l'update con firmware originali, figurarsi con quelli moddati :rolleyes: ... no no, tutto originale e mai toccato nulla o updatato dal giorno che l'ho acquistato cioe' circa 2 anni fa :D

Anche se non sono il buon Harry_Callahan, mi permetto di intervenire. Mancano due informazioni fondamentali: come sono configurati il modem e il router. In particolare se la connessione (PPPoE o PPPoA) viene negoziata dal modem o dal router.

Sul lato WAN il D-Link DSL-320T può essere configurato sia in PPPoE/PPPoA sia in "Bridge Mode" ("1483 Bridged IP").

Nel primo il modem agirebbe come un router e la wan del router D-Link DIR 300 sarebbe configurata in DHCP (se sul modem è attivo il server DHCP) o con IP statico (compatibile con quello dell'interfaccia LAN del modem).

Nel secondo caso invece il modem agirebbe come modem "puro" e la wan del router sarebbe configurata in PPPoE.

Secondo me la configurazione migliore è la seconda. In assenza di indicazioni riguardo questi aspetti non è possibile (a mio giudizio, ovviamente) fare alcuna ipotesi sensata sul perché si verifica il fenomeno indicato dall'utente e su come rimuoverlo.

EDIT: avevo scritto il messaggio diverse ore fa, ma poi ho ricevuto una telefonata e ho dimenticato di inviarlo. Quando l'ho fatto non mi sono reso conto che Harry_Callahan aveva già risposto. Sorry.

Allora: se non erro sono in PPPoE (anche se effettivamente il modem puo' operare sia in PPPoA che PPPoE)... se ricordo bene con Telecom (ho alice 7 mega) ho la connessione in PPPoE.

Anche quando ho fatto la configurazione automatica del router, andando a rivedere le pagine compilate, la spunta e' su connessioni PPPoE.

Non ho la funzione bridge attivata mentre ho abilitato l'ip statico sia dentro il desk con windows xp e ubuntu e sia dentro il lap (naturalmente con 2 indirizzi diversi ;) )...

Altro non saprei dirvi, nel senso di cosa possa interessarvi....

Le uniche cose che mi vengono in mente sono:
1) o e' colpa del firewall, nel senso che le regole impostate dentro di esso vanno in un qualche modo in conflitto con quelle del router, oppure
2) il router non ha "diciamo" la funzione drop e risponde con una porta chiusa alle richieste dall'esterno per una precisa direttiva costruttiva dello stesso... ma come ho gia' detto, il tutto imho perche' non ne capisco tanto anzi leggendo questi post insieme ad altri mi sto "acculturando" anche stotto questo aspetto...

Anche se la regola del silenzio di norma non e' rilevante, cioe' silenzio/assenzio, penso e credo che la configurazione attuale del mio router (quella posta qualche messaggio su) dovrebbe andare comunque bene, permanendo il difetto delle porte stealth... e mi riferisco all' upnp, al wan ping e alla funzione spi...

Eventualmente dovessi modificare qualcosa, vi saro' grato se me lo farete notare, grazie! :D

se c'è il firmware originale allora sta lavorando in half bridge mode, dunque niente NAT e Firewall, il modem sta lavorando semplicemente in PPPoE con half bridge

il "problema"(diciamo problema) è a valle del 320T

se c'è il firmware originale allora sta lavorando in half bridge mode, dunque niente NAT e Firewall, il modem sta lavorando semplicemente in PPPoE con half bridge

il "problema"(diciamo problema) è a valle del 320T

Quindi se ho capito bene (in verita' sto' bridge non so nemmeno cosa sia :D ) il modem sta fungendo da modem, il router e da router ed il resto della storia si sa ;)

Insomma il problema è nei pc?! :D
Disabilitato l'UPnP su entrambi i pc?

Ciao ciao ;)

Insomma il problema è nei pc?! :D
Disabilitato l'UPnP su entrambi i pc?

Ciao ciao ;)

Si si :)
Da quel che ho capito e come mi e' stato riferito, quelle porte aperte sono le comunicazioni che intercorrono fra router e modem...

perchè non fai una bella cosa?

fai un reset del 320T, poi fai un reset del DIR-300 e poi segui la mia guida(consigliata): http://www.hwupgrade.it/forum/showthread.php?t=1569950

colleghi poi 1 solo PC al DIR-300 e fai il test da grc
meglio ancora se ti scarichi una distro Live Ubuntu e fai il test con Ubuntu(disabilitando UPnP dal DIR)

perchè non fai una bella cosa?

fai un reset del 320T, poi fai un reset del DIR-300 e poi segui la mia guida(consigliata): http://www.hwupgrade.it/forum/showthread.php?t=1569950

colleghi poi 1 solo PC al DIR-300 e fai il test da grc
meglio ancora se ti scarichi una distro Live Ubuntu e fai il test con Ubuntu(disabilitando UPnP dal DIR)

Allora, prove similari le avevo gia' fatte: sul desk ho in dual boot ubuntu linux installato tramite wubi ed anche provando da li il risultato e' lo stesso... staccando i due computer e collegandone uno solo tramite il solo modem, i test vengono tutti superati...
Probabilmente (da come sono stato informato) le porte visibili in random sarebbero le varie comunicazioni fra router e modem...

Ringrazio te e tutti quanti per la santissima pazienza che mi state portando :)