[Guida] NAT, PAT, DMZ, DHCP, Firewalling, Public servers: explained!

[Blizzard88]

complimenti per la guida..davvero ottima..mi ha chiarito molte cose..
ma non ha risolto tutti i miei problemi riguardo le firewall dmz e virtual server..


ho un sitecom WL 174..e non riesco a creare i permessi per le porte che voglio aprire..o meglio ci riescono ma non vengono ratificati..
ho letto in vrie guide e forum come fare..
ma il risultato è sempre lo stesso..
c'è qualcuno così gentile da potermi dare una mano??

[The DeViL's]

ragazzi dovrei realizzare un sistema di assistenza remota con VNC, ho qst router come faccio a far collegare e/o collegarmi ai pc dei clienti se anche loro sono sotto router?

[Lucas Malor]

Quote:

Originariamente inviato da hmetal

DHCP
Il protocollo dhcp permette di assegnare dinamicamente agli hosts che sono configurati per farlo (di default se non avete toccato niente è cosi), indirizzi ip presi da uno scope dhcp (range ip).

Quando utilizzarlo?
Il dhcp è buona norma utilizzarlo quando NON ci sono regole di forwarding attive. Questo perche le regole di forwarding si basano su ip fissi. Se per caso quella mattina il dhcp si sveglia e decide di cambiare ip al vostro un pc in lan (perche in fondo il dhcp è bastardo!) e avete regole di portforwarding attive, ebbene quelle regole non varranno piu una cippa perche si riferiscono ad ip fissi e non tengono conto delle variazione del dhcp. Quindi se usate portforwarding usate ip fissi.

Sistemi ibridi
Qui il problema sta nel fatto che se io ho una rete in dhcp (tutta) e imposto alcuni client con ip fisso, il dhcp se ne sbatte e c'è la possibilità che vada ad assegnare ad un altro client in dhcp lo stesso indirizzo, con conseguente conflitto.
Il buon gionnico mi segnala che esiste su alcuni Netgear la possibilità di implementare sistemi leggermente diversi da quelli standard. Non era mia intenzione parlarne (sincermante quello che ha segnalato non lo conoscevo neanche io ) ma visto che è saltato fuori, faccio una veloce carrellata di come creare, a seconda delle esigenze, un sistema dhcp ibrido.
Perchè crearlo? Perche ad esempio se volete che alcuni pc in rete abbiano ip fissi mentre altri ricevano gli indirizzi automaticamente. Questi tipi di strutture sono di solito usate nelle grandi lan dove a livello core layer (diciamo sala macchine, sala server...) di solito i server sono con ip fisso mentre tutto il resto della lan è in dhcp.

Ci sono 3 sistemi (2 quelli standard + 1 quello menzionato sopra che non consocevo):

- si imposta un range di indirizzi di assegnazione piu ristretto pur mantenendosi nella stessa subnet. Questo ti permette di sapere che certi indirizzi non verrano mai assegnati automaticamente. Questi indirizzi saranno i nostri ip fissi per i nostri server, o client che dir si voglia.

- oppure se i lavori sono stati fatti da come spesso capita con i nostri super cazzuttissimi consulenti strafighi supercertificati che costano 1000eur/giorno, avremo spazi di indirizzamento già occupati e non contigui per cui non sara possibile impostare range di ip. In questo caso bisogna andare a manina e pescarsi ip liberi. Questi ip possono essere "esclusi" dall'autoassegnazione del dhcp, e quindi non verranno mai rilasciati.

- l'altro è diametralmente opposto (cioè il sistema che ha segnalato l'utente), ma di fatto ha lo stesso risultato. Vale a dire fa in modo che il dhcp leghi un ip in maniera fissa ad un MAC address, quindi ad una certa scheda di rete fornira sempre e solo lo stesso ip. Di per se il dhcp dovrebbe già farlo, ma nn sempre è cosi. E' un sistema che reputo interessante e molto adatto ad un utenza magari meno esperta. Qualcuno si è inventato questo sistema che viaggia parallelo al protocollo dhcp e ne influenzi le assegnazioni. Non tutti i router a quanto pare lo supportano

Salve a tutti. Questo thread e' stato di grande aiuto per confermare la mia intenzione di comprare un router NetGear DG834GT.

Solo il discorso sul DHCP non mi e' molto chiaro. L'indirizzo ip dinamico e' l'ip al quale fanno riferimento i pacchetti ip esterni per poter dialogare con il mio pc, giusto? IL sistema ibrido semplicemente fa in modo che alcuni pc abbiano ip fisso e alcuni dinamici, e vieta a quelli con ip dinamico di avere l'ip identico ad uno che ha l'ip fisso. Quindi, a conti fatti, il DHCP e' completamente inutile all'utente "casalingo", in quanto ha solitamente un solo pc...

Per il discorso sulle tabelle di reindirizzamento e subnet, spero di aver capito bene e di non fare una figuraccia, ma volevo provare a spiegarlo in termini semplici come richiesto dalla guida.

E' come se io gestissi un negozio, Poldo, che ha 800 dipendenti. A mano a mano che divento sempre piu' grande, ho bisogno di specializzarmi e quindi di suddividere in aree di competenza il mio negozio. Quindi creo 8 aree che chiamo Poldo 1, Poldo 2 eccetera, ognuno con 100 dipendenti.

Per la subnet il discorso e' lo stesso. Mettiamo che il range di ip della mia rete vada da 207.170.32.0 a 207.170.32.255. Ho quindi a disposizione 256 ip. Mettiamo che io voglia dividere il range in 4 subnet.

Dunque le mie sottoreti o subnet avranno questi range di ip:

Codice:

207.170.32.0   - 207.170.32.63
207.170.32.64  - 207.170.32.127
207.170.32.128 - 207.170.32.191
207.170.32.192 - 207.170.32.255

Piu' avanti il discorso si fa piu' complicato e non e' poi cosi' interessante. Si puo' dire comunque che il router sa se una richiesta parte da un certa subnet, come se avesse a disposizione la tabellina sopra. In realta' un router non ha bisogno di alcuna tabellina, ma gli basta un numero (la cosidetta subnet mask) e un operatore (l'AND logico). E qui se qualcuno lo sa spiegare in modo semplice mi faccia un fischio... :-P

quand'è che viene creata l'associazione nella tabella del router fra ip interno della lan, porta e ip esterno? basta un pacchetto qualsiasi o l'handshaking di una connessione tcp completo?

[NintendoFan]

Quote:

Originariamente inviato da hmetal

Di fatto il nat-pat non è un "controllo" di flusso in quanto non ispeziona il pacchetto ip (se vogliamo proprio essere pignoli si chiama segmento ip ma vabeèè) cosa che fanno invece i firewall statefull.

Pienamente d'accordo sul nat-pat..
Riguardo all'ip perché lo chiami segmento? E' un pacchetto! Viene chiamato anche "datagram"..

[NintendoFan]

Quote:

Originariamente inviato da hmetal

Ci sono 3 sistemi (2 quelli standard + 1 quello menzionato sopra che non consocevo):


- oppure se i lavori sono stati fatti da come spesso capita con i nostri super cazzuttissimi consulenti strafighi supercertificati che costano 1000eur/giorno, avremo spazi di indirizzamento già occupati e non contigui per cui non sara possibile impostare range di ip. In questo caso bisogna andare a manina e pescarsi ip liberi. Questi ip possono essere "esclusi" dall'autoassegnazione del dhcp, e quindi non verranno mai rilasciati.

Scusa eh ma se i supercertificati commettono questi errori non hanno capito niente di quello che hanno studiato! E' ovvio che non possono dare in dhcp tutto lo spazio di indirizzamento! (specialmente in reti aziendali) Se non danno un range e gli host prendono indirizzi sparsi qua e là (rispetto a server e servizi vari) poi per creare ad esempio delle ACL's funzionanti devi fare i numeri da circo!

N.B.: non è un attacco ai supercertificati..
N.B.2: non voglio assolutamente sminuire il lavoro (guida) di hmetal..

[NintendoFan]

Quote:

Originariamente inviato da Lucas Malor

Per la subnet il discorso e' lo stesso. Mettiamo che il range di ip della mia rete vada da 60.170.0.0 a 60.170.255.255. Ho quindi a disposizione 256*256 ip (2 elevato alla 16, che scrivero' 2^16). Mettiamo che io voglia dividere il range in 4 subnet.

Dunque le mie sottoreti o subnet avranno questi range di ip:
60.170.0.0 - 60.170.63.255
60.170.64.0 - 60.170.127.255
60.170.128.0 - 60.170.191.255
60.170.192.0 - 60.170.255.255

Piu' avanti il discorso si fa piu' complicato e non e' poi cosi' interessante. Si puo' dire comunque che il router sa se una richiesta parte da un certa subnet, come se avesse a disposizione la tabellina sopra. In realta' un router non ha bisogno di alcuna tabellina, ma gli basta un numero (la cosidetta subnet mask) e un operatore (l'AND logico). E qui se qualcuno lo sa spiegare in modo semplice mi faccia un fischio... :-P

Il tuo discorso va bene.. Ma fai attenzione che stai usando un indirizzo IP di classe A per l'esempio! Così non è molto corretto e può generare confusione!

[Lucas Malor]

Uops, si, correggo :-P

[hmetal]

Quote:

E qui se qualcuno lo sa spiegare in modo semplice mi faccia un fischio...

http://www.hwupgrade.it/forum/showth...ght=subnetting

prova a dare un occhio qua...magari ci capisci qualcosa eheheh

Quote:

Ma fai attenzione che stai usando un indirizzo IP di classe A

il 67.170. etcc.. è in classe A? no

Quote:

Se non danno un range e gli host prendono indirizzi sparsi qua e là (rispetto a server e servizi vari) poi per creare ad esempio delle ACL's funzionanti devi fare i numeri da circo!

Lo so vecchi mio ma credimi che quando parti con 100 hosts e poi arrivi a 1000 e non hai uno con esperienza che pensi ad una cosa scalabile, ti assicuro che vedi di quei "mostri" crescere. Di castelli di carte in giro ce ne sono (e anche di aziende di livello nazionale): li aspetto al varco per ridergli in faccia quando esploderà tutto. Ma si sa Dio ama gli stupidi e i coraggiosi...

Quote:

Riguardo all'ip perché lo chiami segmento? E' un pacchetto! Viene chiamato anche "datagram"..

Perche i pdu di livello 4 sono i segments, mentre i pdu di livello 3 sono i packets. Cerco sempre di mantenere un linguaggio corretto rispetto al modello per generare meno confusione possibile.
Il 95% dei sistemisti che ho incontrato (o spacciati per tali) non sanno nemmeno cos'è il modello osi. Poi sono io che sono molto pignolo.

[hmetal]

Quote:

quand'è che viene creata l'associazione nella tabella del router fra ip interno della lan, porta e ip esterno

qualsiasi roba che esce dalla lan verso fuori ed è di livello dal 3 in poi verrà convertita.

Per la cronaca tutti gli apparati pubblici NON accettano (e quindi droppano) i pacchetti che hanno come sorgente un indirizzo privato.

ciao

[Lucas Malor]

Quote:

Originariamente inviato da hmetal

http://www.hwupgrade.it/forum/showth...ght=subnetting

prova a dare un occhio qua...magari ci capisci qualcosa eheheh

Dici questo? http://www.hwupgrade.it/forum/showpo...8&postcount=12

Preferivo qualcosa di ancora piu' semplice ^_______^

[buglis]

provo a chiedere qua!

innanzitutto complimenti per la guida

Dunque mi sono registrato a dyndns.org, ho settato il mio router linksys wag54gx2 e collegandomi a mionome.dyndns.org mi viene fuori la pagina del router, quindi posso dire che funziona (ovviamente poi ho disabilitato il controllo da remoto). Vorrei controllare il mio desktop da remoto quindi necessito di un programma come vnc o simili? in più vorrei che digitando l'indirizzo dyndns si colleghi al desktop direttamente senza dover inserire nessuna porta, è possibile?
basta che dal sito di dyndns metto la porta nell'indirizzo?

grazie ciao!

[Caterpillar86]

Vorrei sapere dal relatore del post qualche dettaglio in più sul fatto che il portforwarding non è una sorta di firewall. Più o meno sò perchè, ma vorrei saperlo da qualcuno più esperto di me, in quanto a networking sto in po' a terra e solo ora che ho comprato un router sto iniziando ad istruirmi sul serio

[secerot]

Salve
Spero di trovare una risposta, ma altrimenti non fa niente..
il mio problema è che ho un modem alice disco volante,
dopo aver connesso un SOLO router Hercules, la connessione se lascio non presidiati i client dopo un poco mi cade,tipo una 1/2 ora! se invece sono lì presente rimane attiva.
ho collegato sula stessa rete: un imac, una x360 e una ps3.
Inoltre se attivo il wifii il modem ad intervalli regolari si resetta da solo e non c'è verso! devo solo spegnere!! sarà un problema del firmware? di fatto ddevo usarlo solo con la lan, oltre al problema citato prima.
grazie

[filemone82]

FIREWALLING
Il firewalling è una tecnica volta alla creazione di regole (rules) e all'ispezione dei pacchetti per motivi di sicurezza.
Trovo che il fatto che girino molti firewall software abbia fatto nascere delle idee distorte sul cosa siano e come funzionino tali firewall. Un firewall è un sistema che funziona a livello pachetto ip, non a livello dati.
Il modulo software dei firewall che è installato in praticamente su tutti i router è per la maggior parte dei casi assolutamente inutile. Non è assolutamente necessario perderci un secondo di tempo ma lasciate tutto come stà. Delle porte da aprire ce ne occupiamo poi.

Quand'è che ho necessita di usare un firewall?
Una delle cose che mi da piu fastidio a questo mondo, è il fatto di fregare la gente. Fare leva sull'ignoranza per vendere cose assolutamente, in certi casi ovviamente, inutili a prezzi folli. Il caso piu eclatante è quello del firewall.
Potrei elencare decine e decine di casi in cui firewall installati e configurati (male) era praticamente come se non esistessero, e nella maggior parte dei casi non sarebbero nemmeno serviti.
Quando il firewall ha un senso?
Ricordando il fatto che stiamo parlando di router e non di modem, il firewall ha senso quando:
- ho un pool di indirizzi pubblici, per cui il router non fa nat e gli host sono direttamente raggiungibili dalla rete pubblica.
- sono in DMZ
e basta. (ribadisco il fatto che stiamo considerando il sottoinsieme di utenza casalinga, per le reti lan di un certo spessore la storia è un altra...ma neanche tanto diversa)
Ma soprattutto perche?
Come vi dicevo prima, i pacchetti vengono forwardati all'interno della lan solo se esiste un match (corrispondenza) sulla nat table. Fine del discorso. Niente entra se non è rischiesto da un host interno.

************


Ciao a tutti. Leggo soltanto ora questo -a dir poco- encomiabile post che suscita non poco la mia curiosità........ma mi fa capire anche quanto poco io ne capisca di reti......

Avrei, in particolare, una perplessità, in merito alla disquisizione relativa all'utilità / inutilità del firewall.

Se ho ben capito, è stato detto che il modulo software dei firewall installati sui router sono sostanzialmente inutili, poiché normalmente mal configurati (ad es., poiché non "filtrano" alcun pacchetto) o, più in generale, perché il sistema NAT provvede già ad una sorta di "selezione dei pacchetti".

Perdonate l'ignoranza, ma non sono un informatico, però se ho ben capito il semplice router, ovviamente senza DMZ e/o virtual server attivati, consentirebbe di stare "al riparo" da possibili intrusioni esterne.

E' quindi corretto -oppure è sbagliato, o semplicemente troppo imprudente- pensare di proteggere una rete locale (3 pc, altrettanti stampanti ed un NAS) di un piccolo ufficio tramite un semplice router (USR 9108) dotato di NAS, anche in assenza di firewall software?

Scusate se ho detto delle castronerie, ma pur non essere un informatico la questione mi interessa moltissimo.......

Federico

[malocchio]

Quote:

Originariamente inviato da hmetal

PORTFORWARDING
PREMESSA: questo paragrafo dovrebbe andare su NAT ma è necessario leggersi parte del precedente paragrafo per capire meglio.
Credo che questo sia l'argomento di maggior interesse per tutti. Dando per scontato che abbiate capito (e soprattutto letto...) tutta la mia pappardella , sfatiamo un mito:
- il portforwarding non è firewalling.
Quando uno imposta una regola di port forward (in alcuni router li chiamano virtual server... o altri nomi strani e fantasiosi, giusto per fare ancora di piu confusione) NON si creano regole di firewalling. Se qualcuno mi dicesse ma iptables? Ecco iptables è un modulo ibrido di linux (e di alcuni router/firewall linux based) e comprende anche nat.
Dicevamo: il portforward è una associazione MANUALE che si fa sulla tabella NAT. E' una specie di sottoinsieme del DMZ.
Perchè?Alle volte c'è la necessita che i pacchetti che arrivano dall'esterno, non debbano essere necessariamente richiesti prima dall'interno (tipo quando si gioca online o sul mulo). In questi casi è sufficiente indicare al router su quali porte (PAT) e su quale indirizzo ip lan interno (NAT) mandare i pacchetti che arrivano su porte che noi conosciamo a priori. La regola:
allow source: any destination: any = DMZ. Siamo daccordo?
Quindi evitate di usare any ma usate sempre ip.
Il sito http://www.portforward.com/default.htm indica la configurazione corretta per praticamente qualsiasi router in circolazione per qualsiasi programma riguradante il portforwarding.
ES:
porta pubblica di un gioco: 1050
porta privata (la stessa): 1050
ip privato : 192.168.1.1
regola:
source port:1050
private port: 1050
lan ip: 192.168.1.1
Nella maggior parte dei casi, c'è un implicito source ip address (pubblico): any. Altrimenti lo dovete specificare a meno che non siate sicuri dell'ip pubblico che vi interessa.

[cut]

Server Pubblici
Ora che sappiamo tutti bene l'argomento e abbiamo studiato a casa , parliamo di come rendere pubblico un bel serverino interno alla nostra lan dietro al nostro bel routerino nattato.
Dobbiamo per questo fare un set di regole di portforward in base alle nostre esigenze, e quindi andremo ad inserire a mano delle entry nella nat table.
Dunque: per evitare di scrivere da browser sempre un ip pubblico, è bello registrarsi su dyndns.org o servizi simili dove, anche con ip dinamici pubblici (cioè la quasi totalità dei casi), scriverete sempre la stessa cosa anzichè cambiare ogni volta indirizzo ip. Dove sta la fregatura? perche non posso farmi i miliardi offrendo hosting sul mio atholn64 venice a 10Ghz? Perche non potrete usare le porte standard ma dovrete usarne delle altre...e perche?Perche altrimenti le richieste interne alla lan si sovrapporebbero alle richieste in entrata.
Tuttavia il discorso appena descritto è quello piu generale possibile. In realtà funziona anche con la porta 80 singola. Il problema è che sulla lan nessun altro pc oltre al server sara in grado di usufruire di internet, perche tutte le richieste sulla porta 80 finiranno sul server e non sul client che lo ha richiesto. Le regole di portforwarding hanno la priorità delle regole dinamiche create dal router. Stessa cosa vale per il resto dei servizi tipo ftp etc...

[cut]

Penso che questo discorso sia errato.
Bisogna capire bene come funziona il sistema client-server di una richiesta http.

Io sto su un computer client e voglio una pagina html o qualsiasi altro file dipsonibile dietro protocollo http su un server remoto (lasciamo stare per ora il discorso NAT/PAT).
Per cui inserisco l'indirizzo di rete nel browser e invio la richiesta. Apro una connessione tra me e il server. Siccome sto utilizzando il protocollo http (http:// ...) la connessione avviene sulla porta 80 DEL SERVER, ma non SUL CLIENT. La porta che viene aperta sul client è una porta presa a caso, tra tutte quello non well-known, cioè sopra la 1024.

Dunque se io ho un server http (ma anche qualsiasi tipo di servizio che abbia bisogno di connessioni in entrata e quindi di una porta ben specifica) dietro un NAT è sufficiente fare il forwarding della porta 80 sulla porta 80 di quel computer (oppure della porta sulla quale è in ascolto il servizio che mi interessa rendere pubblico).

Ecco subito pronto un facile esempio completo di indirizzi e porte.

IP privato del gateway (router):
192.168.0.1

IP privato PC1:
192.168.0.10

IP privato PC2:
192.168.0.11

IP pubblico del gateway (router):
88.32.100.134


Il PC1 esegue un webserver Apache in ascolto sulla porta 80.
Per rendere visibile il webserver dall'esterno dovrei configurare il router in modo che faccia port-forwarding dalla porta esterna 80 all'indirizzo privato 192.168.0.10 porta 80.

In questo modo con un computer collegato ad internet posso contattare questo indirizzo http://88.32.1001.34 e mi collegherei direttamente con il webserver del PC1.
In dettaglio a tabella delle connessioni sarebbe:

IP del copmuter collegato a internet, una porta qualsiasi sopra la 1024 -> 88.32.100.134, porta 80 (ho fatto richiesta sul protocollo http).

Il router 88.32.100.134 ha il port-forwarding della porta 80 per cui instrada il pacchetto (cambiando l'IP di destinazione a 192.168.0.10, porta 80 e l'IP di sorgente al proprio indirizzo privato) al PC1.

Il webserver PC1 esuadisce la richiesta e ri-invia il pacchetto all'indirizzo privato del router 192.168.0.1, il quale, leggendo la tabella di NAT/PAT, si ricorda della connessione tra il PC1 e il computer che aveva inoltrato la richiesta e cambia l'IP di sorgente al suo indirizzo pubblico 88.32.100.134, porta 80 (destinazione della prima richiesta dall'esterno) e l'IP di destinazione all'indirizzo del computer esterno, porta già usata per la connessione precedente.

Tutti i computer dietro lo stesso NAT del webserver possono cmq accedere al web, perché la loro richiesta ha come DESTINAZIONE un indirizzo IP pubblico con porta 80, ma la porta aperta sul client è una a caso sopra la 1024, senza quindi andare ad utilizzare la 80, già forwardata, dal router, al webserver PC1.

[Marco_]

Ciao a tutti,
probabilmente per molti sarà una cosa banale ma ho un problema che non
riesco a risolvere.
Vorrei rendere disponibile sul mio PC dello spazio ftp per uso personale.
Il mio scenario è
ADSL alicebusiness ip statico -- la telecom mi ha dato un modem/router ethernet
ho collegato a router un access point ed ho 3 PC (win XP pro) in wireless LAN configurati con IP statico.
Navigazione, condivisione file tutto ok da anni.
Ora mi sono incaponito con questo ftp ed ho seguito questa procedura:
1) installato IIS, inserito un file di testo nella cartella ftproot
2) ho istrutito il router che la porta 21 pubblica deve finire sulla porta 21 sull'indirizzo del PC dove gira il server FTP.
Sia con IE che tramite telnet accedo alla cartella ftp attraverso l'indirizzo ip "locale" ma non riesco ad accedere passando dall'indirizzo pubblico.
Cioe se da promt faccio telnet 192.168.1.7 21
taaak --> 220 Microsoft FTP Service
Ma se faccio invece telnet 87.xxx.xxx.113 21
non da errore ma cancella la schermata e mi restituisce il prompt quando digito un carattere.
Ora se provo verso altre porte mi dice invece "impossibile aprire una connessione con l'host. sulla porta ..." quindi cosa manca ?
3) A me è venuto in mente solo il firewall e quindi ho dapprima provato diligentemente a creare delle regole che non hanno portato frutti; quindi ho disabilitato tutto ... "nende".

In definitiva la mia domanda è:
Quello che voglio fare è fattibile ? (a me piace digitare l'indirizzo IP ogni volta).
SI o NO.
Se SI come?
Grazie

[gionnico]

Brrr! Tremendo IIS.

Sappi che l'FTP usa la porta 20 per i dati, apri anche quella.

Poi googla un po'per ftp attivo e passivo e anche per "ftp connection tracking".
Non sicuro che il routeraccio telecom sappia tenerne traccia.


Io a casa ho tenuto un server FTP, in DMZ con vsFTPd e iptables.

[stefano_62]

Ciao a tutti, non essendo esperto in materia,
vi chiedo un consiglio su come configurare il mio router/firewall linksys.
Lato WAN ip ??? (pubblico se serve)
Lato LAN 4 ip pubblici (obbligati)
IP eventuali ulteriori disponibili
necessità di firewall con regole tra internet e intranet.
come devo configurarlo per fare si che da internet le macchine siano accessibili con le regole, mantenendo il loro IP pubblico? ovviamente anche le macchine devono poter uscire. Non posso creare sottoreti. a monte ci sono sicuro altri router.
Ho provato a mettere l'indirizzo wan e lan del ruouter identici, ma chiaramente non va. Il router ha l'opzione gateway e router.
Grazie per l'aiuto.

[gionnico]

Quote:

Originariamente inviato da stefano_62

Ciao a tutti, non essendo esperto in materia,
vi chiedo un consiglio su come configurare il mio router/firewall linksys.

Ciao stefano_62 e benvenuto!

Questo non è il thread adatto per parlarne, dovresti conoscere la versione del router e poi controllare nei thread ufficiali se trovi la guida.