[Thread Ufficiale] USRobotics USR9108 WiFi MAXg & USR9107 [LEGGERE PRIMA PAGINA]

[spidertop]

Ciao a tutti.

Sto cercando di implementare le regole del firewal, per abilitare un server solo ad un determinato IP

Uso ppoa, e il firewall è attivo
(ho provato a mettere delle regole in outbound, ed effettivamente blocca il traffico verso l'ip indicato)

Ora vorrei abilitare (solo) un IP X.X.X.X a raggiungere il mio PC locale 192.168.0.5 su porta 400

Ho attivato il virtual server, e la porta 400 viene correttamente forwardata all'IP interno, ma a tutti.

Allora ho messo la regola Inbound

Source X.X.X.X
mask 255.255.255.255
Dest 192.168.0.5
mask 255.255.255.255
port 400

Il fatto è che la porta 400 continua a rimanere aperta a tutti, e non solo a X.X.X.X.
Dove sbaglio ??

grazie in anticipo

[OldBlackEagle]

Quote:

Originariamente inviato da spidertop

Ciao a tutti.

Sto cercando di implementare le regole del firewal, per abilitare un server solo ad un determinato IP

...

Ho attivato il virtual server, e la porta 400 viene correttamente forwardata all'IP interno, ma a tutti.

...

Il fatto è che la porta 400 continua a rimanere aperta a tutti, e non solo a X.X.X.X.
Dove sbaglio ??

Il Firewall del Router, non agisce all'interno della LAN. Blocca solo ed esclusivamente richieste provenienti dalla WAN...


Saluti...

[annoni]

ho la connessione che va' a rilento ho fatto il test ma nn ci capisco,ora ve lo spedisco cosi mi date qualche info,pppoa_8_35_1
Your modem is capable of testing your DSL connection. The individual tests are listed below. If a test displays a fail status, click Rerun Diagnostic Tests at the bottom of this page to make sure the fail status is consistent. If the test continues to fail, click Help and follow the troubleshooting procedures.

Test the connection to your local network

Test your Ethernet Connection: PASS Help
Test your Wireless Connection: PASS Help

Test the connection to your DSL service provider

Test ADSL synchronization: PASS Help
Test ATM OAM F5 segment ping: FAIL Help
Test ATM OAM F5 end-to-end ping: FAIL Help

Test the connection to your Internet service provider

Test PPP server connection: PASS Help
Test authentication with ISP: PASS Help
Test the assigned IP address: PASS Help
Ping default gateway: PASS Help
Ping primary Domain Name System Server: FAIL Help




© 2004-2006 U.S. Robotics Corporation.

[spidertop]

Quote:

Originariamente inviato da OldBlackEagle

Il Firewall del Router, non agisce all'interno della LAN. Blocca solo ed esclusivamente richieste provenienti dalla WAN...


Saluti...

Grazie per la risposta.
Pero' quello che intendevo era proprio quello: X.X.X.X è un indirizzo esterno (WAN).
Non mi riesce di aprire una porta interna ad un solo Ip esterno. E' sempre visibile a tutti

[OldBlackEagle]

Quote:

Originariamente inviato da spidertop

Grazie per la risposta.
Pero' quello che intendevo era proprio quello: X.X.X.X è un indirizzo esterno (WAN).
Non mi riesce di aprire una porta interna ad un solo Ip esterno. E' sempre visibile a tutti

Allora probabilmente devi controllare meglio la regola creata sul Menu Inbound IP Filters...


Saluti...

[Marinelli]

Quote:

Originariamente inviato da spidertop

Grazie per la risposta.
Pero' quello che intendevo era proprio quello: X.X.X.X è un indirizzo esterno (WAN).
Non mi riesce di aprire una porta interna ad un solo Ip esterno. E' sempre visibile a tutti

Hai tolto la voce da "Virtual servers"?

Ah... il subnet mask interno dovrebbe essere 255.255.255.0 e non 255.255.255.255.

Ciao

[spidertop]

Quote:

Originariamente inviato da Marinelli

Hai tolto la voce da "Virtual servers"?

Ah... il subnet mask interno dovrebbe essere 255.255.255.0 e non 255.255.255.255.

Ciao

Se tolgo Virtual server, la porta non è più raggiungibile dall'esterno. Ho provato.
Per puntare ad una sola macchina, la mask dovrebbe essere 255.255.255.255.
255.255.255.0 punta a tutta la mia rete interna. Corretto?

Ricapitolando ho messo
a) virtual server
Internal Ip: 192.168.0.2
porta 22000:22000 TCP mapped to 22000:22000

b) filtro inbound
protocol Tcp/IP
source address X.X.X.X/255.255.255.255 (dove X.X.X.X è un ip pubblico, esterno)
Source port vuoto
Dest address: 192.168.0.2/255.255.255.255
Dest port: 22000


Non capisco dove sbaglio.
la mia porta 22000 è visibile da tutta Internet, e non solo dall'ip X.X.X.X

Se tolgo completamente le regole inbound, comunque la 22000 è visibile da tutto internet.
E' come se il firewall in ingresso non sta funzionando...

[OldBlackEagle]

Quote:

Originariamente inviato da spidertop

Se tolgo Virtual server, la porta non è più raggiungibile dall'esterno. Ho provato.
Per puntare ad una sola macchina, la mask dovrebbe essere 255.255.255.255.
255.255.255.0 punta a tutta la mia rete interna. Corretto?

Non è corretto... La Subnet MASK deve essere IDENTICA a quella dell'indirizzo di Rete (IP PUBBLICO) proveniente dalla WAN. Normalmente tale MASK viene definita di classe "C". Solo in alcuni casi può variare ed essere ancora più restrittiva. Non mi risulta che venga utilizzata una MASK con 255 finale. Esistono MASK con 240 finale. Oppure possono essere anche utilizzate Subnet MASK di classe "B" o "A"...

Quote:

Ricapitolando ho messo
a) virtual server
Internal Ip: 192.168.0.2
porta 22000:22000 TCP mapped to 22000:22000

b) filtro inbound
protocol Tcp/IP
source address X.X.X.X/255.255.255.255 (dove X.X.X.X è un ip pubblico, esterno)
Source port vuoto
Dest address: 192.168.0.2/255.255.255.255
Dest port: 22000


Non capisco dove sbaglio.
la mia porta 22000 è visibile da tutta Internet, e non solo dall'ip X.X.X.X

Se tolgo completamente le regole inbound, comunque la 22000 è visibile da tutto internet.
E' come se il firewall in ingresso non sta funzionando...

Dopo ogni creazione o cancellazione di REGOLE nella Sezione SECURITY del ROUTER, è NECESSARIO RIAVVIARE IL ROUTER!!!

Secondo me la TUA REGOLA non è corretta...


Saluti...

[spidertop]

Quote:

Originariamente inviato da OldBlackEagle

Dopo ogni creazione o cancellazione di REGOLE nella Sezione SECURITY del ROUTER, è NECESSARIO RIAVVIARE IL ROUTER!!!

Secondo me la TUA REGOLA non è corretta...


Saluti...

Ciao ho provato a restartare il router, niente, la porta 22000 è aperta a tutto il mondo.

Ho cambiato la regola anche in
protocol Tcp/IP
source address X.X.X.X (dove X.X.X.X è un ip pubblico, esterno)
Source port vuoto
Dest address: 192.168.0.2
Dest port: 22000

Senza specificare niente sul netmask, ma il firewall sembra non attivo. E' sempre aperta a tutto il mondo.

Se entro in telnet, qual'è il processo che si occupa del firewall, per verificare se effettivamente è attivo?


Ho fatto la seguente prova:
iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- X.X.X.X 192.168.0.2 udp dpt:22000
ACCEPT tcp -- X.X.X.X 192.168.0.2 tcp dpt:22000
ACCEPT udp -- anywhere anywhere udp dpts:7070:7079
ACCEPT udp -- anywhere anywhere udp dpt:5060
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:500
ACCEPT esp -- anywhere anywhere
ACCEPT !esp -- anywhere anywhere MARK match 0x10000000/0x10000000
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

ACCEPT udp -- X.X.X.X 192.168.0.2 udp dpt:22000
ACCEPT tcp -- X.X.X.X 192.168.0.2 tcp dpt:22000
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:22000
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT !esp -- anywhere anywhere MARK match 0x10000000/0x10000000
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere 239.255.255.250


Credo che il problema provenda proprio dalla linea
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:22000
Che mi apre le porte a tutto il mondo. Come la levo?
Purtroppo vedo che viene introdotta dal Virtual server, ma se non lo metto la porta è chiusa a tutti...


A ulteriore conferma, se cancello la riga indicata
(iptables -D FORWARD 3) (terza riga)
la cosa funziona.
Il problema è che la linea viene inserita automaticamente appena attivo il virtual server, ma se non lo attivo, il traffico (anche se proveniente da X.X.X.X) non viene ruotato verso la 192.168.0.2

Help please ...

[OldBlackEagle]

Quote:

Originariamente inviato da spidertop

Ciao ho provato a restartare il router, niente, la porta 22000 è aperta a tutto il mondo.
[...]
Help please ...

Probabilmente con la versione di Firmware caricata sul Tuo 9108 non potrai mai fare quello che chiedi, (sinceramente non so neanche se esistono versioni di Firmware più recenti che lo permettano).

Con il 9113 e con l'ultima versione ufficiale le cose cambiano!!! Perchè viene implementata una Voce sul Virtual Servers: Remote Host che sul 9108 non è presente...

Incollo due immagini che lo dimostrano:

Virtual Servers:



Inbound IP Filters:



Fammi sapere se con il 9108 riuscirai a risolvere, perchè da me con il 9113 riesco a fare quello che chiedi...


Saluti...

[f12004]

Ciao a tutti!

ho un quesito: da poco tempo mi hanno attivato Alice 20 mega ed ho il seguenti valori :
sul mio USR9108 ultimo firmware beta

Mode: ADSL2+
Line coding: Trellis On
Status: No Defect
Link power state: L0

Downstream Upstream
SNR margin (dB): 12.8 12.9
Attenuation (dB): 33.5 16.4
Output power (dBm): 12.4 19.1
Attainable rate (Kbps): 11924 997
Rate (Kbps): 9867 1004


ho provato anche a impostare snr al 50 ma non mi cambia molto la cosa arrivo a 11 scarsi con SNR down a 8.

Dite che sono al massimo possibile sul mio doppino?


Grazie a tutti

[OldBlackEagle]

Quote:

Originariamente inviato da f12004

Dite che sono al massimo possibile sul mio doppino?

Affermativo...


Saluti...

[Marinelli]

Quote:

Originariamente inviato da spidertop

Credo che il problema provenda proprio dalla linea
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:22000
Che mi apre le porte a tutto il mondo. Come la levo?
Purtroppo vedo che viene introdotta dal Virtual server, ma se non lo metto la porta è chiusa a tutti...


A ulteriore conferma, se cancello la riga indicata
(iptables -D FORWARD 3) (terza riga)
la cosa funziona.
Il problema è che la linea viene inserita automaticamente appena attivo il virtual server, ma se non lo attivo, il traffico (anche se proveniente da X.X.X.X) non viene ruotato verso la 192.168.0.2

Help please ...

Come hai già notato le voci presenti in virtual server aprono una porta indipendentemente dall'ip di chi vuole entrare, quindi non devi aggiungerla.

Prova a scrivere la regola così:

Protocol: TCP
Source IP address: X.X.X.X
Source subnet mask: 255.255.255.255
Source port: 1025:65536
Destination IP address: 192.168.0.2
Destination subnet mask: 255.255.255.0
Dest port: 22000

Ciao!

[spidertop]

Quote:

Originariamente inviato da Marinelli

Come hai già notato le voci presenti in virtual server aprono una porta indipendentemente dall'ip di chi vuole entrare, quindi non devi aggiungerla.

Prova a scrivere la regola così:

Protocol: TCP
Source IP address: X.X.X.X
Source subnet mask: 255.255.255.255
Source port: 1025:65536
Destination IP address: 192.168.0.2
Destination subnet mask: 255.255.255.0
Dest port: 22000

Ciao!

Grazie per l'interessamento.
Niente , anche mettendola cosi', purtroppo rimane la regola
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:22000
introdotta dal Virtual Server.

@OldblackEagle:
penso che quello che mi occorre è proprio il Remote Host sul virtual server...


In alternativa, cancello la entry dall'iptables a mano, ma ogni volta che reboot, perdo la modifica.

Esiste un metoto per memorizzare qualche variazione post reboot (es anche il valore dell'snr impostato con adsl -- configure...). Una sorta di /etc/rc3.d o autoexec.bat....
????

[OldBlackEagle]

Quote:

Originariamente inviato da spidertop

Esiste un metoto per memorizzare qualche variazione post reboot (es anche il valore dell'snr impostato con adsl -- configure...). Una sorta di /etc/rc3.d o autoexec.bat....
????

Puoi modificare il programmino consigliato anche in Prima Pagina per variare l'SNR MARGIN ed adattarlo alle Tue esigenze! Funziona con un Click! Potresti metterlo in Esecuzione Automatica ad ogni riavvio del Tuo Server... E' semplicissimo da configurare!!!



http://www.hwupgrade.it/forum/showpo...postcount=8202


Saluti...

[spidertop]

Quote:

Originariamente inviato da OldBlackEagle

Puoi modificare il programmino consigliato anche in Prima Pagina per variare l'SNR MARGIN ed adattarlo alle Tue esigenze! Funziona con un Click! Potresti metterlo in Esecuzione Automatica ad ogni riavvio del Tuo Server... E' semplicissimo da configurare!!!



http://www.hwupgrade.it/forum/showpo...postcount=8202


Saluti...

Grazie, è una buona idea

[spidertop]

Mi sono ricompilato il firmware, a partire dai sorgenti dell'1.5
nel tentativo di mettere qualche procedura in startup automatico.

Solo che ho paura a flashare il router...

Esiste una procedura di recovery se il nuovo fw non partisse?

tipo tftp o altro?

[Marinelli]

Quote:

Originariamente inviato da spidertop

Grazie per l'interessamento.
Niente , anche mettendola cosi', purtroppo rimane la regola
ACCEPT tcp -- anywhere 192.168.0.2 tcp dpt:22000
introdotta dal Virtual Server.

Ma non dovevi rimuovere la voce dalla schermata "Virtual server"? Se la rimuovi quella regola dovrebbe scomparire.

Ciao!

[spidertop]

Quote:

Originariamente inviato da Marinelli

Ma non dovevi rimuovere la voce dalla schermata "Virtual server"? Se la rimuovi quella regola dovrebbe scomparire.

Ciao!

Si, ho provato, ma viene tolta anche la regola di Nat, necessaria al port forward. Quindi poi non funziona più: risultato la mia porta interna non viene vista da nessuno...

[Marinelli]

Quote:

Originariamente inviato da spidertop

Si, ho provato, ma viene tolta anche la regola di Nat, necessaria al port forward. Quindi poi non funziona più: risultato la mia porta interna non viene vista da nessuno...

Mi hai incuriosito... appena ho l'occasione faccio qualche prova e ti faccio sapere

Ciao!