Zywall... ma il Firewall funziona?

[Nemesis2]

Chiedo aiuto riguardo una problematica.

Ho una connessione con Alice, attraverso il router Pirelli Discovolante, quello con la scheda.

Stò configurando un firewall Zywall 5.

L'ho configurato in modalità Router, anche se a connettersi con la rete ci pensa il Pirelli.

La configurazione è la seguente.

Pirelli:
IP: 192.168.1.1
Subnet: 255.255.255.0


Firewall:
IP lato WAN: 192.168.1.2
Subnet: 255.255.255.0
Gateway: 192.168.1.1

IP lato LAN:192.168.2.1
Subnet: 255.255.255.0


Pc della Lan:
IP: 192.168.2.x
Subnet: 255.255.255.0
Gateway: 192.168.2.1

Ho attivato il firewall ma lasciato tutto a default:

Asimmetrico attivo.
Lan to Lan Allow
Lan to Wan Allow
Lan to DMZ Allow
Wan to Lan Block
Wan to Wan Block
Wan to DMZ Allow
DMZ to Lan Allow
DMZ to Wan Block
DMZ to DMZ Block

Non sono attive VNP e non ho aggiunto alcuna rules.

Il problema è che tutto funziona, ma da test fatti in rete i pc hanno tutte le porte accessibili, aperte alcune chiuse altre... ma il firewall stà facendo qualcosa?

Grazie dell'aiuto davvero.

[BTS]

spiega meglio che test hai fatto, da che ip partono le richieste

[Nemesis2]

Ho fatto il test semplice di verifica delle porte.

Questo port scan:

http://www.hackerwatch.org/probe/


Oppure questo:

http://www.auditmypc.com/firewall-test.asp

e quello della Symantech



Le richieste vengono fatte da un pc della rete con ip:

192.168.2.2

Non c'è nulla di nattato nè sul router nè sullo zywall.


Mi aspettavo di non trovare le porte aperte, ma invisibili.
Che debba mettere qualche rules?

Di consentito c'è il ping con risposta permessa a tutti, LAN WAN DMZ VNP.

Grazie mille.

[pegasolabs]

E' normale: i risultati che vedi sono quelli del probe al pirelli business che è un router e non un modem a quanto dici. Quindi il probe viene fatto a quest'ultimo e probabilmente non arriva allo zywall che è nattato.

[Nemesis2]

Quote:

Originariamente inviato da pegasolabs

E' normale: i risultati che vedi sono quelli del probe al pirelli business che è un router e non un modem a quanto dici. Quindi il probe viene fatto a quest'ultimo e probabilmente non arriva allo zywall che è nattato.

Quindi dovrei provare a fare un attacco ad un pc della rete.

Cmq hai ragione il Pirelli è in modalità router, fa la connessione da solo una volta acceso. Lo Zywall non è nattato.

Dici che ci sia necessità di nattarlo?

Viene usato in uno studio professionale che accede ad internet per questioni professionali, per skype e per mail... ma non c'è alcun webserver o altro.

Se lo natto, debbo nattare tutto il range dei pc per tutte le porte? Non è un pò rischioso?

Grazie!

[pegasolabs]

Quote:

Originariamente inviato da Nemesis2

Quindi dovrei provare a fare un attacco ad un pc della rete.

Esatto

Quote:

Originariamente inviato da Nemesis2

Cmq hai ragione il Pirelli è in modalità router, fa la connessione da solo una volta acceso. Lo Zywall non è nattato.

Come no? Lo zywall è dietro il router Pirelli.

[pegasolabs]

Ho editato sopra avevo dimenticato di rispondere alla prima domanda

[Nemesis2]

No non ho messo alcuna regola NAT.
Ora non sono lì... ma ho messo la rete con gateway sull'ip LAN dello zywall e lo zywall lato WAN con gateway sull'ip del router che è di una classe differente con stessa subnet rispetto alla LAN interna.

Ora non ho provato tutti i servizi internet come messenger o skype ma la navigazione avveniva senza NAT.

C'è qualcosa di errato?

Se NATTO tutte le porte non creo una falla nella sicurezza?

Lasciare le impostazioni Firewall a default è sufficiente per una sicurezza media?

Grazie mille.

[pegasolabs]

Ok Ok credo che stiamo pensando alla stessa cosa ma non ci capiamo sulle parole: è tutto ok non devi fare nessuna regola. Per nattare non intendo creare delle regole di portforward. Intendo l'operazione che fa il router per permetterti di condividere l'ip pubblico:
http://www.hwupgrade.it/forum/showpo...9&postcount=15.
Quindi la rete che si trova dietro lo Zywall è dietro un doppio nat. In più c'è il firewall SPI. Quindi direi che per le connessioni in entrata stai in una botte di ferro, visto che non hai creato alcuna DMZ mi sembra di capire.
Se proprio vuoi controllare tutto puoi attivare il firewall in uscita (lan to wan), ma devi definire tutte le regole che consentano il collegamento di tutti i programmi usati e può essere un lavoro abbastanza laborioso.

[Nemesis2]

Ecco ora ci siamo capiti... scusami se ti ho fatto perdere tempo a cercare di interpretarmi.

Io direi che non essendo un laboratorio della nasa non mi metto a creare rules per il lan to wan che potrebbero creare problemi all'utenza non espertissima.

Speriamo anzi che la doppia nat non ingeneri troppi casini, si tratta di 10 pc al massimo... mi ci hai fatto pensare ora.

Ora provo e verifico se trovo problemi lo metto in bridge e stò al sicuro... è che a quel modo era più elegante e più sicuro per il router.

[pegasolabs]

Quote:

Originariamente inviato da Nemesis2

Speriamo anzi che la doppia nat non ingeneri troppi casini, si tratta di 10 pc al massimo... mi ci hai fatto pensare ora.

Ora provo e verifico se trovo problemi lo metto in bridge e stò al sicuro... è che a quel modo era più elegante e più sicuro per il router.

Mettere in bridge chi?

[Nemesis2]

Lo Zywall... il resto non lo tocco più dato la delicatezza della configurazione del disco volante di Alice.

[pegasolabs]

Ma se metti in bridge lo zywall le funzionalità di firewall permangono?

[Nemesis2]

Sì certamente.

Diventa un transparent wall... ma lavora cmq come firewall.

[pegasolabs]

Quote:

Originariamente inviato da Nemesis2

Sì certamente.

Diventa un transparent wall... ma lavora cmq come firewall.

Ottimo