[Mini Tutorial] Giochiamo col firewall del Netgear DG834

[wgator]

Vogliamo divertirci con i servizi in uscita del router Netgear DG834?
Quanto scritto Vale per tutte le versioni, wireless da 54 Mbps, da 108 Mbps e non wireless.
Queste configurazioni, che aumentano notevolmente la sicurezza del computer, vanno bene per uffici, figli o fratellini pestiferi e in tutte le situazioni in cui desideriamo limitare l'utilizzo di Internet alla semplice navigazione http, https, ftp e all'uso della posta tramite outlook express e simili.

Come sappiamo, tutti i router bloccano sempre i servizi in ingresso ma non tutti possono creare regole sui servizi in uscita.

Il Netgear DG834 permette anche la creazione di regole sui servizi in uscita. Come impostazione di default, il netgear permette l'outgoing verso internet di qualsiasi servizio da qualsiasi porta.

Proviamo a limitare l'utilizzo di una macchina collegata al router ai soli servizi essenziali:

- FTP
- SMTP
- DNS
- HTTP
- HTTPS
- POP3

Per fare questo, dobbiamo consentire l'outgoing dei servizi solamente dalle seguenti porte:

- 20 21 (FTP)
- 25 (SMTP)
- 53 (Risoluzione nomi dominio DNS)
- 80 (navigazione http)
- 110 (posta POP3)
- 443 (navigazione https)

Come fare? Routers più blasonati e costosi del DG834 consentono semplicemente di bloccare tutto e di creare 7 regolette che permettano l'utilizzo delle porte 20, 21, 25, 53, 80, 110 e 443 verso l'indirizzo IP della macchina che vogliamo proteggere.

Il Netgear ha un funzionamento un po' diverso, può solo bloccare porte non consentirle. Come procedere allora? Andiamo nel menu servizi e creiamo queste regole tramite "aggiungi servizio personalizzato":

Regola_1: tipo TCP/UDP Porta iniziale 1, porta finale 19
Regola_2: tipo TCP/UDP Porta iniziale 22, porta finale 24
Regola_3: tipo TCP/UDP Porta iniziale 26, porta finale 52
Regola_4: tipo TCP/UDP Porta iniziale 54, porta finale 79
Regola_5: tipo TCP/UDP Porta iniziale 81, porta finale 109
Regola_6: tipo TCP/UDP Porta iniziale 111, porta finale 442
Regola_7: tipo TCP/UDP Porta iniziale 444, porta finale 65535

Andiamo quindi in "regole del firewall" nel campo "servizi in uscita" e tramite il tasto "aggiungi" inseriamo le sei regole che abbiamo creato, selezionando una alla volta le sei regole in questo modo:

Servizio: Regola_1
Azione: blocca sempre
Utenti LAN: Indirizzo singolo
Inizio: 192.168.0.20
(io ho scelto questa macchina ma può essere una qualunque della nostra LAN)

Lasciare vuoti tutti gli altri campi e ripetere esattamente la stessa cosa per tutte le altre 5 regole (Regola_2, Regola_3 ecc.)

Cosa abbiamo combinato in questo modo? Abbiamo semplicemente bloccato tutto tranne le porte 20, 21, 25, 53, 80, 110 e 443 nei confronti del computer che nella nostra LAN ha indirizzo 192.168.0.20

Ovviamente, seguendo questo schema, possiamo personalizzare le porte secondo le nostre necessità. Se per esempio vogliamo isolare completamente il PC 192.168.0.21 da Internet, basterà creare una regola che comprenda tutte le porte TCP e UDP da 1 a 65535 e inserirla tra i servizi in uscita con riferimento alla macchina 192.168.0.21

Insomma, l'utilizzo delle regole sui servizi in uscita apre la strada ad impieghi molto avanzati dei nostri routerini che, anche se non sono dei "CISCO", non hanno poi moltissimo da invidiare agli "state of art" almeno relativamente ad impieghi non particolarmente professionali


-

[BravoGT83]

ottima idea wgator

sicuramente utile

[Manp]

Quote:

Originariamente inviato da wgator

Il Netgear ha un funzionamento un po' diverso, può solo bloccare porte non consentirle. Come procedere allora? Andiamo nel menu servizi e creiamo queste regole tramite "aggiungi servizio personalizzato":

Regola_1: tipo TCP/UDP Porta iniziale 1, porta finale 20
Regola_2: tipo TCP/UDP Porta iniziale 22, porta finale 52
Regola_3: tipo TCP/UDP Porta iniziale 54, porta finale 79
Regola_4: tipo TCP/UDP Porta iniziale 81, porta finale 109
Regola_5: tipo TCP/UDP Porta iniziale 111, porta finale 442
Regola_6: tipo TCP/UDP Porta iniziale 444, porta finale 65535

Andiamo quindi in "regole del firewall" nel campo "servizi in uscita" e tramite il tasto "aggiungi" inseriamo le sei regole che abbiamo creato, selezionando una alla volta le sei regole in questo modo:

Servizio: Regola_1
Azione: blocca sempre
Utenti LAN: Indirizzo singolo
Inizio: 192.168.0.20
(io ho scelto questa macchina ma può essere una qualunque della nostra LAN)

Lasciare vuoti tutti gli altri campi e ripetere esattamente la stessa cosa per tutte le altre 5 regole (Regola_2, Regola_3 ecc.)

forse mi sfugge qualcosa ma a me pare che si possa tranquillamente specificare una regola che consenta traffico in uscita sulle porte



si possono fare entrambe le cose, bloccare le porte a range escludendo quelle che si vogliono lasciare aperte (come scritto nella tua guida) oppure bloccare tutte le porte e poi consentirne solo alcune

metti caso che si voglia bloccare TUTTE le porte per TUTTI i pc della LAN e poi consentire solo alcune porte in uscita (non necessariamente le stesse) ad alcuni IP della LAN

col primo modo dovresti bloccare x range di porte escludendo quelle che vuoi consentire per y IP su cui vuoi specificare porte diverse
in totale x * y regole
e in questo modo non avresti ancora bloccato il traffico in uscita su tutti gli IP ma solo sugli IP per cui specifichi delle regole
si dovrebbero creare altre regole in modo da bloccare tutte le porte per i range di IP compresi tra quelli per cui hai creato le regole di prima... un casino, non stò manco a far conti sui quante regole ci vorrebbero
fino a che sono uno o due ok... ma se sono una dozzina... viene un casino e aumentano esponenzialmente le possibilità di dimenticarsi qualcosa

col secondo si potrebbe bloccare tutte le porte in uscita su tutti gli IP (1 regola) e poi scrivere x regole per ogni porta da aprire per y IP
in totale x * y + 1 regole

[BravoGT83]

no non si puo xche i servizi in uscita hanno come impostazione predefinita consenti sempre e non lo puoi cambiare


anch'io l'ho pensato prima cosi

[BravoGT83]

come noti ce consenti sempre..


quindi bisogna per forza bloccare tutto il resto delle porte

[Manp]

scusa, ma basta farne per prima una che blocchi tutto

se c'è una regola che vale per ogni porta e per ogni IP questa comprende TUTTE le possibilità, quindi a quella predefinita (che viene eseguita nel caso non si verifichino tutte le possibilità in quelle precedenti) non ci si arriva mai
le regole precedenti nell'ordine hanno prevalenza su quella predefinita... altrimenti come faresti a bloccare qualcosa se ci fosse sempre alla fine quella che consente tutto?

provare per credere



così:



tutti gli IP della mia LAN navigano in quanto la porta 80 funziona in uscita... ma ti assicurio che non possono fare nient'altro
quindi vedi che si può fare in entrambi i modi, anche se poi per la maggior parte dei casi non cambierebbe niente...

la stessa cosa si può fare anche bloccando selettivamente le porte invece che consentendo selettivamente quelle 2 dell'esempio... ma perchè andarsi a creare dei nuovi range di porte senza significato (tipo da 0 a 52 e da 54 a 79 e da 81 a 65535) nella sezione "Servizi" del router, per poi bloccarli, quando ce ne sono già di molto più significativi preimpostati nel router che basta consentire?

nell'esempio che ha fatto wgator nel primo post non cambierebbe nulla (come numero di regole) usando un modo o l'altro, a parte doversi andare a creare quei range di porte come servizi a cui sinceramente non riesco a trovare una utilità ma soprattutto un senso

sinceramente se posso fare a meno di andare a bloccare questi range di porte:

Regola_1: tipo TCP/UDP Porta iniziale 1, porta finale 20
Regola_2: tipo TCP/UDP Porta iniziale 22, porta finale 52
Regola_3: tipo TCP/UDP Porta iniziale 54, porta finale 79
Regola_4: tipo TCP/UDP Porta iniziale 81, porta finale 109
Regola_5: tipo TCP/UDP Porta iniziale 111, porta finale 442
Regola_6: tipo TCP/UDP Porta iniziale 444, porta finale 65535

e molto più semplicemente andare a bloccare tutto e consentire solo alcune semplici regole preimpostate lo preferisco tutta la vita

[Manp]

non è più bello così?

usando solo semplici servizi preimpostati ottengo lo stesso risultato che ottiene wgator nel primo post (a parte il fatto che non avevo voglia di impostare un ip e quindi le regole valgono per tutti e non solo per uno... ma cambia poco) senza andare ad inventarsi strani range di porte

se ogni volta che si vuole bloccare o consentire qualcosa si dovesse andare ad impostare dei range come nel primo post, hai voglia...

[wgator]

Quote:

Originariamente inviato da Manp

non è più bello così?

usando solo semplici servizi preimpostati ottengo lo stesso risultato che ottiene wgator nel primo post (a parte il fatto che non avevo voglia di impostare un ip e quindi le regole valgono per tutti e non solo per uno... ma cambia poco) senza andare ad inventarsi strani range di porte

se ogni volta che si vuole bloccare o consentire qualcosa si dovesse andare ad impostare dei range come nel primo post, hai voglia...

Ciao,

bello si... appena ho un minuto riprovo ero convintissimo che non si potesse fare, almeno avevo provato tempo fa e mi era parso che non funzionasse. Ora provo meglio.

P.S.

nell'elenco delle porte sopra, forse mi sono dimenticato che va aperta anche la 25 che dovrebbe servire anche per la posta in uscita (SMTP)

Gli esperimenti continuano

[Manp]

quelle le ho sparate a caso solo per fare l'immaginetta

cmq ti assicuro che così funziona... non ha senso creare dei range di porte astrusi che poi devi andare a cambiare ogni volta che vuoi consentire una porta in più... immaginiati il rischio di sbagliare, di lasiar fuori qualche porta, di non aver aggiornato una regola che sei convinto di aver aggiornato
che casino

blocca tutto e poi consenti una porta alla volta...

che poi è ovvio che la regola blocca tutto prevalga su consenti sempre...
come potresti bloccare qualcosa se poi la regola consenti sempre in fondo consentisse sempre tutto effettivamente?

le regole precedenti prevalgono sempre sulla predefinita

[BravoGT83]

Quote:

Originariamente inviato da Manp

non è più bello così?

usando solo semplici servizi preimpostati ottengo lo stesso risultato che ottiene wgator nel primo post (a parte il fatto che non avevo voglia di impostare un ip e quindi le regole valgono per tutti e non solo per uno... ma cambia poco) senza andare ad inventarsi strani range di porte

se ogni volta che si vuole bloccare o consentire qualcosa si dovesse andare ad impostare dei range come nel primo post, hai voglia...

eggià hai ragione

[wgator]

Ciao,

sto provando a creare la regola "block_all" poi sto mettendo le porte che mi servono ad una ad una ma sembrerebbe non funzionare
Non naviga proprio, come se la regola "block_all" prevalesse sulle altre.
Vado avanti con le prove poi faccio sapere.

P.S.

qui sul tavolo ho un router Atlantis Land che invece blocca tutto di default (in uscita) e che per farlo funzionare occorre specificargli le porte necessarie ad una ad una

[Manp]

Quote:

Originariamente inviato da wgator

Ciao,

sto provando a creare la regola "block_all" poi sto mettendo le porte che mi servono ad una ad una ma sembrerebbe non funzionare
Non naviga proprio, come se la regola "block_all" prevalesse sulle altre.
Vado avanti con le prove poi faccio sapere.

imposta solamente così:



la regola Block All per prima e poi le altre (edit: l'ordine è molto importante, le regole vengono eseguite da quella con numero maggiore fino alla 1. man mano che le regole vengono eseguite l'ultima prevarica quella precedente, quindi la prima prevarrà su tutte. ad esempio: impostare come regola 1 Block Any equivale a bloccare tutto il traffico in uscita anche se la regola 2 è ad esempio Allow Any)

con il firewall impostato come nell'immagine funziona solo la navigazione e nient'altro (niente ftp, niente icq), ho fatto diverse prove e funziona anche adesso, prima di postare, ho provato velocemente... navigo ma ad esempio non mi connetto via ftp a nulla
tant'è che se disabilito temporaneamente la regola HTTP (togliendo la spunta e facendo Applica) la navigazione non funziona più, ma un nslookup su un host qualsiasi va tranquillamente a buon fine, segno che invece la regola DNS fa il suo dovere

ho provato anche impostando il singolo IP invece che tutti e funziona anche in questo caso

occhio che se nn consenti le richieste ai DNS funzionano solo i siti che hai nella cache DNS

[BravoGT83]

Quote:

Originariamente inviato da wgator

Ciao,

sto provando a creare la regola "block_all" poi sto mettendo le porte che mi servono ad una ad una ma sembrerebbe non funzionare
Non naviga proprio, come se la regola "block_all" prevalesse sulle altre.
Vado avanti con le prove poi faccio sapere.

P.S.

qui sul tavolo ho un router Atlantis Land che invece blocca tutto di default (in uscita) e che per farlo funzionare occorre specificargli le porte necessarie ad una ad una

infatti anch'io...mi dà un problema con Thunderbird non riesce a collegare anche se ho aperto le porte 995 per pop3 e 587

[BravoGT83]

da quando chiuso particamente tutte le porte anche il caricamento di tutte le pagine è + veloce

[Manp]

Quote:

Originariamente inviato da BravoGT83

infatti anch'io...mi dà un problema con Thunderbird non riesce a collegare anche se ho aperto le porte 995 per pop3 e 587

quindi hai risolto?

[BravoGT83]

Quote:

Originariamente inviato da Manp

quindi hai risolto?

allora su TB da tempo ma non sul registro di netgear

[FreeMan]

thread interessante.. ho provato a bloccare il traffico in uscita



però, ho 2 prob.. con la configurazione sopra postata emule mi collassa come download mentre upload e connessione restano stabili

why??? eppure ho aperto in uscita anche emule tramite stesso servizio usato per il traffico in entrata ..dovrebbe essere giusto no?


l'altro prob con altro prog, foldershare (permette l'accesso al pc dall'esterno come se fosse in una lan, o quasi..comodo anche per se stessi se si è fuori casa e si vuole avere accesso ai dati personali un pò come un server ftp...)..

da questa situazione, cone il traffico in uscita libero



si trasforma in questa con traffico in uscita filtrato



why????

chi sa spiegarmi che cavolo di porte mi sono "dimenticato" di aprire?

>bYeZ<

[Manp]

impostare in uscita le due porte di emule nn credo serva... mentre nn riesco a capire perchè non vada in download...

forse dipende dal fatto che emule si connette in modalità passiva agli altri emule da cui scarica e questo cozza col firewall

[BravoGT83]

penso che il problema sia lo stesso identico che ho avuto con dc++

penso che anche ogni utente che ti colleghi usi una porta diversa...infatti prova a vedere nel registro cosa trovi

[FreeMan]

Quote:

Originariamente inviato da Manp

impostare in uscita le due porte di emule nn credo serva...

non lo so.. io nel dubbio le ho aperte in effetti vedo che nel to shot non ci sono in uscita

però mi sono posto lo stesso dubbio per altri prog come ICQ ecc.. devono cmq essere aperti in uscita (5190) altrimenti la vedo cmq dura ma questi prog potrebbero fare storia a se rispetto ad emule

Quote:

Originariamente inviato da Manp

mentre nn riesco a capire perchè non vada in download...

forse dipende dal fatto che emule si connette in modalità passiva agli altri emule da cui scarica e questo cozza col firewall

si ma come detto prima, a te non cozza con il firewall visti gli shot che hai messo.. o no? quindi perchè a me dovrebbe cozzare???

>bYeZ<