VPN con due Router e Packet Filter

cova · 19-09-2005, 17:10

Salve a tutti, vi pongo il mio problema.

Ho tirato su una VPN in IPSec fra due uffici con IP fisso e tutto funziona alla perfezione. Non ho ancora inserito politiche di Packet Filter sul firewall del router per limitare gli accessi delle singole macchine ad internet, ed innalzare possibilmente un pò la sicurezza.

Qui nascono i problemi: vorrei chiudere verso l'esterno tutti i PC della rete tranne 2 postazioni che saranno in collegamento tramite la VPN. Quindi ho instaurato una Rule di chiusura totale per tutti, preceduta dalle Rules di apertura porte da e verso i 2 pc in oggetto della VPN. Ho utilizzato anche alcuni tools di monitoraggio porte tipo "Active Ports" per trovare le porte da aprire.

Al momento la situazione è questa:

SEDE 1= VPN attiva, nessuna regola di Packet Filter su nessun PC
SEDE 2= VPN attiva, regola su 1 PC + regole di chiusura totale per tutti gli altri

Nella SEDE 2 la regola è la seguente:
Traffic: Incoming - Packet Type:TCP - Action: Forward - Source IP= tutti - Source Port: 445
Destination IP: (IP interno del pc nella LAN) Destination port: tutte

Con questa regola, trovandomi nella SEDE 2, io vedo tutti i PC della SEDE 1 (che vi ricordo non hanno regole di firewall al momento) ma loro non vedono me. La 445 mi è venuta fuori dallo scan delle porte mentre creavo un collegamento di rete verso il pc nell'altra sede, e così l'ho aperta. Quando invece mi faccio cercare in rete da un pc dell'altra sede non ho allarmi di porte in tentativo di apertura, e tutto ciò non mi è di aiuto. Sicuramente mi manca una Rule di apertura per il traffico in uscita ma non ho idea di quale possa essere. Dal port scan risulta anche la 139 per il netbios ma ho provato a nattarla insieme alla 445 sia in uscita che in entrata senza risultati.

AL momento per farli lavorare ho lasciato le due sedi senza regole di packet filter, mettendo solo le protezioni classiche di Hacker Attack e Nat.

Magari è più che sufficiente così, ma mi chiedevo se fosse meglio chiudere tutto tranne le porte di VPN per una sicurezza + mirata (tanto i pc client non hanno bisogno di Internet)

cova · 20-09-2005, 08:03

Up

19-09-2005, 17:10	#1
cova Senior Member Iscritto dal: Oct 2000 Città: Alessandria (AL) Messaggi: 959	VPN con due Router e Packet Filter Salve a tutti, vi pongo il mio problema. Ho tirato su una VPN in IPSec fra due uffici con IP fisso e tutto funziona alla perfezione. Non ho ancora inserito politiche di Packet Filter sul firewall del router per limitare gli accessi delle singole macchine ad internet, ed innalzare possibilmente un pò la sicurezza. Qui nascono i problemi: vorrei chiudere verso l'esterno tutti i PC della rete tranne 2 postazioni che saranno in collegamento tramite la VPN. Quindi ho instaurato una Rule di chiusura totale per tutti, preceduta dalle Rules di apertura porte da e verso i 2 pc in oggetto della VPN. Ho utilizzato anche alcuni tools di monitoraggio porte tipo "Active Ports" per trovare le porte da aprire. Al momento la situazione è questa: SEDE 1= VPN attiva, nessuna regola di Packet Filter su nessun PC SEDE 2= VPN attiva, regola su 1 PC + regole di chiusura totale per tutti gli altri Nella SEDE 2 la regola è la seguente: Traffic: Incoming - Packet Type:TCP - Action: Forward - Source IP= tutti - Source Port: 445 Destination IP: (IP interno del pc nella LAN) Destination port: tutte Con questa regola, trovandomi nella SEDE 2, io vedo tutti i PC della SEDE 1 (che vi ricordo non hanno regole di firewall al momento) ma loro non vedono me. La 445 mi è venuta fuori dallo scan delle porte mentre creavo un collegamento di rete verso il pc nell'altra sede, e così l'ho aperta. Quando invece mi faccio cercare in rete da un pc dell'altra sede non ho allarmi di porte in tentativo di apertura, e tutto ciò non mi è di aiuto. Sicuramente mi manca una Rule di apertura per il traffico in uscita ma non ho idea di quale possa essere. Dal port scan risulta anche la 139 per il netbios ma ho provato a nattarla insieme alla 445 sia in uscita che in entrata senza risultati. AL momento per farli lavorare ho lasciato le due sedi senza regole di packet filter, mettendo solo le protezioni classiche di Hacker Attack e Nat. Magari è più che sufficiente così, ma mi chiedevo se fosse meglio chiudere tutto tranne le porte di VPN per una sicurezza + mirata (tanto i pc client non hanno bisogno di Internet) __________________ CPU: Core2Duo E6750 <> MB: Gigabyte P35C-DS3R <> RAM: 4x1024MB DDR2 <> HD: 2x320gb WD RE3 Raid0 su ICH9 <> ALI: CORSAIR CMPSU-650TX <> VIDEO: GAINWARD GTX260 896MB GS <> S.O.: Windows 7 Ultimate 32bit ITA

20-09-2005, 08:03	#2
cova Senior Member Iscritto dal: Oct 2000 Città: Alessandria (AL) Messaggi: 959	Up __________________ CPU: Core2Duo E6750 <> MB: Gigabyte P35C-DS3R <> RAM: 4x1024MB DDR2 <> HD: 2x320gb WD RE3 Raid0 su ICH9 <> ALI: CORSAIR CMPSU-650TX <> VIDEO: GAINWARD GTX260 896MB GS <> S.O.: Windows 7 Ultimate 32bit ITA

Strumenti
Mostra una versione stampabile Invia questa pagina per email