|
|||||||
|
|
|
 |
|
|
Strumenti |
18-04-2012, 22:32
|
#1 |
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
DNS per accesso server dall'esterno
Ciao!
Ho un muletto che utilizzo per varie cose. Siccome in futuro dovrò spostarmi da casa, avrò la necessità di accedere al muletto. Siccome scriversi da qualche parte l'indirizzo ip della mia rete all'esterno non è molto sicuro in caso di caduta della connessione, ho impostato tramite No-Ip.com un servizio di dynamic DNS. Ho 2 dubbi:
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
|
|
|
|
19-04-2012, 00:01
|
#2 |
|
Senior Member
![L'Avatar di Gimli[2BV!2B]](customavatars/avatar128392_3.gif){kind=avatar}
Iscritto dal: Feb 2006
Città: Parma
Messaggi: 3010
|
__________________
~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...) |
|
|
|
|
19-04-2012, 03:33
|
#3 |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Una soluzione relativamente semplice e molto linux-like e' smettere di far gestire la connessione (e firewall / NAT) al tuo router. La fai gestire direttamente dal tuo muletto tramite pppoe (pppoeconf) e dopo da fuori vedi solo lui, e poi con due / tre regole di iptables base (sulle quale possiamo aiutarti) te la dovresti cavare.
|
|
|
|
|
19-04-2012, 13:24
|
#4 | |||
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Quote:
Quote:
Credo comunque che non risolva il problema. Il mio cruccio principale è che ora come ora si può accedere mettendo una password al pannello del router. Tutavia la connessioni avviene tramite la porta 80, che chiaramente non si può chiudere. Non vedo soluzione... Quote:
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
|
|||
|
|
|
|
19-04-2012, 14:47
|
#5 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
19-04-2012, 15:33
|
#6 |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Guarda e' piu' semplice di quanto credi: il tuo router ADSL fa solo da 'modem' adsl (o se vuoi vedilo come un bridge) completamente gestito dal muletto, per il qualo in pratica e' un device di rete (il coso ADSL e' collegato diretto a una scheda di rete sul muletto, che con un'altra scheda e' collegato allo switch | hub.
Il tuo muletto gestisce il ppp fa da router (ip forwarding), NAT e firewall. Il modem non fa un bel niente e non ha nessuna interfaccia web, l'indirizzo IP pubblico dinamico che ti assegna il provider finisce diretto sulla scheda di rete del muletto. Codice:
# ifconfig
adsl Link encap:Ethernet HWaddr 00:1c:c0:5e:2d:2a
inet6 addr: fe80::21c:c0ff:fe5e:2d2a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:15564120 errors:0 dropped:0 overruns:0 frame:0
TX packets:10983549 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:18953745439 (17.6 GiB) TX bytes:2616041740 (2.4 GiB)
Interrupt:27 Base address:0xa000
lan Link encap:Ethernet HWaddr f4:ec:38:80:9f:95
inet addr:192.168.0.254 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::f6ec:38ff:fe80:9f95/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:7000 Metric:1
RX packets:21184764 errors:0 dropped:0 overruns:0 frame:0
TX packets:27737468 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10000
RX bytes:13238050737 (12.3 GiB) TX bytes:30916723165 (28.7 GiB)
Interrupt:21 Base address:0xe000
ppp0 Link encap:Point-to-Point Protocol
inet addr:**.***.**.** P-t-P:192.168.100.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:15531009 errors:0 dropped:0 overruns:0 frame:0
TX packets:10950413 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:18610068710 (17.3 GiB) TX bytes:2374105103 (2.2 GiB)
|
|
|
|
|
19-04-2012, 15:57
|
#7 |
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Scusate eh, ma questa è la mia configurazione: ho 2 dispositivi collegati in cascata: 1 modem adsl e 1 router wifi+cavo multiporta. Il primo è collegato alla porta apposita del secondo.
Al primo è collegato il cavo adsl. Al secondo è attaccato anche il muletto, assieme al mio pc ( via cavo ) e poi tutti gli altri pc della casa che generalmente sono connessi wifi. Al di la del fatto che sono interessato a vedere come funziona questa configurazione, non sarei intenzionato ad utilizzarla perchè se il muletto mi muore, mi muore l'intera rete, cosa che non deve succedere, soprattuto se non sono a casa ( visto che sono l'unico che sa metterci le mani  ).Inoltre, il problema che attualemente voglio risolvere è impedire l'accesso al pannello di controllo del router dall'esterno. Questa configurazione può risolvere il problema?
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
|
|
|
|
|
19-04-2012, 16:23
|
#8 |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Tutto si puo' fare in tanti modi.
Cosi' ad occhio direi che la soluzione piu' semplice per te sarebbe di dire al tuo router ADSL di non stare in ascolto con la sua interfaccia web sull'ip pubblico ma solo su quello privato. Sempre se si puo' fare. Se no se hai un firewall chiudigli la porta 443 tcp / udp sulla (scheda di rete pubblica | ip pubblico | ethernet) . ---- Nella configurazione da me proposta come hai notato se il muletto va giu' va giu' la connesione a internet. Pero' il muletto e' always on e sempre raggiungibile dall'esterno con ssh, come i filesystem che ospita e gli eventuali servizi che ospita sia per la intranet (proxy, file server, dns, smtp, SAN, ...) che eventualmente all'esterno (ssh, filesystem via ftp / webdav, backup remoto, server web, torrent, smtp, dns, i tuoi robots...). |
|
|
|
|
19-04-2012, 16:29
|
#9 | |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Quote:
Se invece c'e' qualo che gira a livello di applicazione (tipo un proxy | server web ) allora in base ad HTTP 1.1 puo' accedere all'HEADER e vedere che dominio e' richiesto (il principio in base al quale funzionano i virtual hosts). |
|
|
|
|
|
19-04-2012, 20:06
|
#10 | |
|
Senior Member
Iscritto dal: Feb 2006
Città: Parma
Messaggi: 3010
|
Quote:
Se vuoi avere il massimo controllo sottoscrivo la proposta ppp di eaman, il contro è che il muletto diventa l'anello fondamentale della rete, senza il quale si ferma tutto. Personalmente ho adottato la seconda topologia suggerita da wizard1993: modem non bridged -> micro-server con più schede di rete -> pc, switch, ecc... Nei rarissimi casi in cui il server mi fa dannare posso velocemente disconnetterlo ed accedere alla rete direttamente dal modem (principale motivo per cui ho optato per questa configurazione). Il modem è costretto a fare elaborazioni più onerose, però vende cara la pelle; il server fa da router e ci posso applicare qualsiasi regola, essendo l'unico punto di accesso al modem e quindi ad internet. Resta che il mio modem, equipaggiato con firmware RouterTech, offre una marea di configurazioni e servizi, tra cui Advanced -> Access Control, che mi risulta sia appunto il controllo di quali interfacce di configurazione siano accessibili e da quali rete (LAN/WAN: All LAN access allowed, all WAN access denied). @eaman, yes, campo Host dell'header http, se non sbaglio. Però, appunto, si sale di livello.
__________________
~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...) |
|
|
|
|
|
19-04-2012, 21:05
|
#11 |
|
Senior Member
Iscritto dal: Jul 2003
Città: Civis Romanus Sum
Messaggi: 7618
|
però se qualche maleintezionato riesce bucare il modem poi se lo riconfigura come vuole e al quel punto se ne va a spasso per la rete.
credo che per una rete accessibbile dall'estero murare tramite un firewall sia obbligatorio.
__________________
Asrock Q1900M , SSD 1TB, Pico Psu 90W, No Fans , No HD, zero meccanica, zero rumore! |
|
|
|
|
19-04-2012, 21:09
|
#12 | ||
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Quote:
Quote:
Cmq quello che vorrei riuscire a fare è impedire l'accesso al router. L'unica cosa che posso vare è attivare il virtual server ( con il quale impostare una porta e un ip fisso della rete LAN ) oppure disattivare il NAT.. Non so se serve, cmq... @Gimli[2BV!2B]: Io ho un Sitecom 300N, pessimo come configurazioni disponibili a mio avviso... 
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
|
||
|
|
|
|
19-04-2012, 23:40
|
#13 | |||
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Quote:
Prova a collegarti e dacci un'occhiata, sara' bene in https... Quote:
 Quote:
Oppure si potra' mettere un firewall in entrata sulla porta WAN, per quanto se non sono state fatte modifiche suppongo che non esponga all'esterno la ethernet privata, che e' inraggiungibile dall'esterno se non c'e' una qualche forma di DNAT (vserver ?) verso l'interno. E stai (un po' piu' ) tranquillo che non esiste il "mi bucano il router": ti si buca un eventuale servizio in esecuzione sul router (l'inerfaccia web, un eventuale condivisione file...), se tu non hai servizi in esecuzione sul router in ascolto sull'IP pubblico (fai un portscan da fuori verso il tuo IP) non c'e' niente da bucare. E manco si arriva sugli ip privati (tipo 192.168.*.0) interni da fuori senza DNAT. Ultima modifica di eaman : 19-04-2012 alle 23:43. |
|||
|
|
|
|
20-04-2012, 20:49
|
#14 | ||||
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Quote:
Quote:
Quote:
Quote:
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
Ultima modifica di kwb : 20-04-2012 alle 20:52. |
||||
|
|
|
|
21-04-2012, 03:12
|
#15 |
|
Senior Member
Iscritto dal: Feb 2002
Messaggi: 2511
|
Forse ho capito: hai un client torrent Deluge con interfaccia web che gira su un muletto dietro al tuo router che fa DNAT.
E contemporaneamente sull'IP del router da fuori si raggiunge l'interfaccia web del router, che mi sembra strano: manco questa e' in https? Comunque bisognerebbe dire al router ADSL di NON ascoltare con la sua interfaccia web sulla porta WAN, questo a prescindere dal resto. E non mi spiego come tu possa arrivare sia all'interfaccia web del router sulla 80 che alla webgui sempre sull'80 ma su un host diverso: come fai (url) ad andar su uno piuttosto che su un altro? Poi resterebbe il web gui deluge che e' in chiaro, e non e' bello. Senti ma visto che con le porte http sei un po' sfigato (lo dico scherzando ) usare rtorrent via ssh come fan in tanti non sarebbe un'opzione viabile?Sempre meglio che far girare un server web + una interfaccia web in chiaro... Ma siamo sicuri di non avere dei DNAT / port forwarding inutili messi su senza tanta cognizione? Xche ne l caso parliamo di niente... ;-) Ultima modifica di eaman : 21-04-2012 alle 03:15. |
|
|
|
|
21-04-2012, 09:59
|
#16 | |||||
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Quote:
Quote:
Quote:
Quote:
 Mettere rtorrent non mi va. L'avevo provato in passato. Gestirlo tramite ssh non mi piace perchè non su tutti i pc ho accesso ad un programma per ssh. Questo quindi richiede il setup di un'interfaccia grafica web ( ruTorrent ) che è veramente uno sbatti impostare. Inoltre richiederebbe il risettaggio delle impostazioni e quello che mi spaventa di più è quando c'è la necessità di fare un aggiornamento: infatti l'ultima volta, facendo un aggiornamento del software, rTorrent ha smesso di funzionare. Con deluge mi basta scaricare 2 pacchetti con APT, si installano si configurano e tutto torna come prima, senza perdermi nemmeno i torrent caricati. Quote:
 Uhm... Ammetto di essermi informato poco sulla questione, anche perchè il router, non so come mai, ha una codifica caratteri incompatibile con tutti i nuovi browser: I caratteri o non vengono visualizzati ( come succede su Safari, Opera e Chrome ) oppure si vedono punti di domanda e caratteri a caso ( Firefox ). L'unico che ho attualmente installato e funzionante è IE6, posto alcune schermate che secondo me sono le uniche che possono cercare di risolvere il mio problema:Virtual Server:  Accesso Remoto: 
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
|
|||||
|
|
|
|
21-04-2012, 14:33
|
#17 |
|
Senior Member
Iscritto dal: Feb 2006
Città: Parma
Messaggi: 3010
|
L'interfaccia web del router funziona solo con IE6?!
Tu però hai scritto di avere un modem ed un router, uno in cascata all'altro. Se l'interfaccia del router è accessibile dall'esterno *attraverso il modem* allora occorre agire nelle impostazioni del modem. Avrà impostata una regola che farà DNAT/server virtuale/ecc... delle connessioni in ingresso al modem sulla porta 80 dell'ip del router. Nel modem hai impostato qualcosa? Modello preciso del modem e del router?
__________________
~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...) |
|
|
|
|
21-04-2012, 16:34
|
#18 | |
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Quote:
Cmq il router ( quello di cui si vedono le impostazioni ): Sitecom WL-183 L'altro il: Sitecom DC-223 Ahimè si, l'interfaccia funziona con pochi browser. Attualmente sul portatile ( il macbook in firma ) è l'unico su cui funziona. Non so se è colpa del sistema operativo o che, fatto sta che è chiaro che è stato mal programmato.
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
|
|
|
|
|
|
26-04-2012, 21:45
|
#19 |
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Boh, alla fine la situazione si è risolta magicamente da sola:
L'https dell'interfaccia web ora funziona, un riavvio accidentale del muletto ha risolto. Il router non è più accessibile dall'esterno tramite alcuna porta, e non ho toccato niente... Benone direi...
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
|
|
|
|
|
09-05-2012, 21:45
|
#20 |
|
Senior Member
Iscritto dal: Jul 2003
Città: Alessandria
Messaggi: 10167
|
Domanda (finale, spero ): Siccome quando sono fuori succede che mi connetta da una rete che ha tutte le porte bloccate ( almeno credo tutte ), ho cercato di accedere al muletto tramite porta 80. Su LAN, ci sono riuscito, ma dall'esterno risulta irraggiungibile, credo a causa del fatto che la 80 è comunemente usata dal www. C'è modo di risolvere?
Posso scoprire quali sono le porte bloccate, magari trovando una porta diversa dall'80 aperta? EDIT: Siccome ora accedo al muletto tramite https, perchè la porta 80 non funziona? Il servizio https non usa la 443? EDIT2: Ho testa usando un'altra porta diversa ( quella dell'IMAP secure, 993 ) che sono certo funzioni anche da dove mi connetto, ma non riesco a connettermi nemmeno da casa.. Quindi immagino la 80 sia l'unica...
__________________
Dell XPS 13 (9350) :: i5-2500K - HD6870 - AsRock Z68 Pro3 - Corsair Vengeance 8GB (4x2) DDR3 :: Samsung Galaxy S4 GT-i9505
Ultima modifica di kwb : 09-05-2012 alle 22:07. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:17.
