Internet e LAN

[hunte888]

Salve a tutti avrei la seguente problematica: attualmente ho portato un cavo LAN nella casa di mio zio che abita di fianco a me. Ho bisogno di escludere internet dal suo pc che è connesso con la mia LAN. Il collegamento alla mia LAN gli serve per potersi collegare al mio NAS per poter vedere i film.

Ho bisogno che il suo pc riconosca gli indirizzi ip della mia LAN.

Attualmente possiedo un router dg834 che fa da server dhcp e da altri router apple (airport e time capsule) che in cascata estendono la mia linea adsl in casa.

Il pc di mio zio avrà poi una chiavetta Usb per collegarsi in wifi al suo router adsl.

Se serve saperlo possiedo anche un moudem router alice gate 2 plus wifi con firmware modificato che tengo li nel cassetto nel caso debba fare delle prove di networking di vario genere....al limite potrei usarlo come switch router per tenere aperta la mia LAN solo verso il NAS.

Attendo istruzioni e o consigli.

Grazie in anticipo.

[anubbio]

Ciao,
grosso modo i passi da fare dovrebbero essere due.

A)
devi in qualche modo far riconoscere al tuo router (dg834) il pc di tuo zio. Puoi seguire una di queste due strade:

1. o assegni al pc di tuo zio un IP statico che sia, ovviamente, nella stessa rete usata dai tuoi pc
2. oppure se lo vuoi far assegnare via dhcp devi far in modo che l'IP dato dal tuo router sia "sempre quello". Questo lo ottieni riservando quell'IP tramite il MAC address del pc di tuo zio (questo però devi verificare che sia consentito dal tuo router, non ho controllato)

Fatto questo, il pc di tuo zio si deve poter connettere sia al tuo NAS sia ad internet (cosa che invece vuoi escludere, ma andiamo per gradi). Verifica che sia così prima di procedere.

B)
Infine per bloccare il collegamento internet, devi impostare una regola sul tuo router per bloccare in uscita le porte tcp 80/443 SOLO per l'IP del pc di tuo zio.
Non sono sicurissimo che il tuo router lo permetta, ma la sezione nella quale guardare è quella del menù "Outbound Rules (service blocking)" (sezione 3-8 del manuale).

Ciao

[hunte888]

Quote:

Originariamente inviato da anubbio

Ciao,
grosso modo i passi da fare dovrebbero essere due.

A)
devi in qualche modo far riconoscere al tuo router (dg834) il pc di tuo zio. Puoi seguire una di queste due strade:

1. o assegni al pc di tuo zio un IP statico che sia, ovviamente, nella stessa rete usata dai tuoi pc
2. oppure se lo vuoi far assegnare via dhcp devi far in modo che l'IP dato dal tuo router sia "sempre quello". Questo lo ottieni riservando quell'IP tramite il MAC address del pc di tuo zio (questo però devi verificare che sia consentito dal tuo router, non ho controllato)

Fatto questo, il pc di tuo zio si deve poter connettere sia al tuo NAS sia ad internet (cosa che invece vuoi escludere, ma andiamo per gradi). Verifica che sia così prima di procedere.

B)
Infine per bloccare il collegamento internet, devi impostare una regola sul tuo router per bloccare in uscita le porte tcp 80/443 SOLO per l'IP del pc di tuo zio.
Non sono sicurissimo che il tuo router lo permetta, ma la sezione nella quale guardare è quella del menù "Outbound Rules (service blocking)" (sezione 3-8 del manuale).

Ciao

Ciao, si il netgear ha un firewall e può gestire le porte, ho provato ed effettivamente così funziona.

Dato che oramai ci sono volevo fare una cosa un pò più seria ossia evitare che qualcuno che vada in casa da mio zio, possa mettere uno switch per cuccarsi la mia linea adsl.
A tal proposito ho un secondo router cioè quello di alice e precisamente il modello alice gate 2 plus wifi con firmware modificato.
Il firmware che monta è della usb robotics.

Attualmente sono riuscito a metterlo in cascata nella mia rete, ma non riesco a configurarlo per farlo andare parzialmente ossia o passa tutta la rete compreso internet oppure non passa nulla.

Tra gateway e ip fissi non ci sto capendo più nulla.

In pratica come posso configurare questo secondo router (collegato fisicamente al netgar) affinchè possa far passare solo la LAN senza internet ?

P.S: grazie per l'aiuto

[anubbio]

Ciao,
ehm.... scusa ma non ho capito cosa vuoi fare.
Prima dici che vuoi evitare che un terzo possa attaccare un proprio pc con uno switch dov'è collegato il pc di tuo zio, poi dici che vorresti usare il router alice per far passare solo la LAN senza internet? ma quindi lo vuoi usare da te ? e il problema di tuo zio dove vuoi negare accessoa terzi?
Descrivi meglio ciò che vuoi ottenere, per favore, così se riesco ti aiuto.

Ciao
p.s. leggo solo fino alle 22 circa, poi ci si risente domani....

[trottolino1970]

Per risolvere in modo semplice e veloce puoi mettere un ip statico al pc di tuo zio omettendo gateway e DNS. In alternativa puoi mettere il gateway e non i dns , limitando più che puoi il range del dhcp.
Altra osservazione: se il tuo router ha un firewall puoi creare una regola specificando che un determinato indirizzo ip deve avere bannato l'accesso ad internet.


sent from my iPhone usando Tapatalk

[hunte888]

Quote:

Originariamente inviato da anubbio

Ciao,
ehm.... scusa ma non ho capito cosa vuoi fare.
Prima dici che vuoi evitare che un terzo possa attaccare un proprio pc con uno switch dov'è collegato il pc di tuo zio, poi dici che vorresti usare il router alice per far passare solo la LAN senza internet? ma quindi lo vuoi usare da te ? e il problema di tuo zio dove vuoi negare accessoa terzi?
Descrivi meglio ciò che vuoi ottenere, per favore, così se riesco ti aiuto.

Ciao
p.s. leggo solo fino alle 22 circa, poi ci si risente domani....

Ciao, hai ragione scusa, come al solito scrivo troppo e in modo confusionevole.

Dato che il mio netgear dg834 supporta l'inserimetno di alcune regole firewall, ho provato personalmente che dando un indirizzo ip fisso al pc di mio e settando la regola nel firewall del netgear e cioè bloccando le porte 80 (http) e 443 (https) per codesto ip, la prova va a buon fine e diciamo che per quello che serve veramente a me, mi basterebbe.

In questo modo però la soluzione non è sicura al 100%, vale a dire che un domani se in casa da mio zio, magari ad insaputa sua o magari anche per errore, andasse qualche persona terza e si attaccasse con uno switch al cavo di rete LAN che gli do io, in quel caso, codesta persona avrebbe totale accesso alla mia rete, perchè la mia rete ha il dhcp attivo e così deve essere con sistema di ip fissi solo per quello che voglio io.
Ergo in tutta sto "bordello" mi chiedevo se ci fosse il modo attraverso un secondo router, appunto quello di alice con firmware "us robotic", di settarlo appositamente in modo che chiunque dalla casa di mio zio, anche con uno switch alla mia LAN, se vuole avere accesso alla mia linea deve richiederlo a me, questo ovviamente preclude il fatto che qual'ora io acconsenta la cosa, debba prima configurare il o i pc che si collegheranno alla mia LAN tramite switch dalla casa di mio zio.

In poche parole vorrei settare questo secondo router affinchè qualsiasi persona ci si attaccasse con il proprio pc, se non configurato per esempio a livello di indirizzo ip fisso, questi non vadano ne in internet e ne vedano la mia LAN o magari solo poter andare su internet....spero di essermi spiegato, anche se ho scritto molto ugualmente

Grazie e a domani.

[hunte888]

Quote:

Originariamente inviato da trottolino1970

Per risolvere in modo semplice e veloce puoi mettere un ip statico al pc di tuo zio omettendo gateway e DNS. In alternativa puoi mettere il gateway e non i dns , limitando più che puoi il range del dhcp.
Altra osservazione: se il tuo router ha un firewall puoi creare una regola specificando che un determinato indirizzo ip deve avere bannato l'accesso ad internet.


sent from my iPhone usando Tapatalk

Ciao e grazie anche a te per l'aiuto.

In effetti per il momento oltre alle regole del firewall del mio router avevo provato anche a settare il pc direttamente proprio come hai consigliato tu e cioè con ip statico e omettendo i dns e così in effetti come livello di sicurezza nella rete questa sarebbe al TOP se non per il fatto che tolto un pc, per esempio quello di mio zio e messo un altro, il mio router facendo da server dhcp non riconoscerebbe l'intruso a meno che non veda io, nel caso fortuito che in quel momento c'è un macchina sconosciuta a me fra le periferiche di rete collegate.
Stavo appunto cercando di configurare questo secondo router per far si che prendesse solo i parametri della LAN omettendo i dns e o il gateway ma ho notato che non so per quale motivo o passa tutto e quindi pure internet oppure non va un tubo.

Mi spiegheresti a grandi linee quali parametri devo settare affinchè il secondo router veda la LAN del mio primo router e allo stesso tempo impedire che passi anche la linea internet ?

Grazie mille per l'aiuto !

[trottolino1970]

Quote:

Originariamente inviato da hunte888

Ciao e grazie anche a te per l'aiuto.

In effetti per il momento oltre alle regole del firewall del mio router avevo provato anche a settare il pc direttamente proprio come hai consigliato tu e cioè con ip statico e omettendo i dns e così in effetti come livello di sicurezza nella rete questa sarebbe al TOP se non per il fatto che tolto un pc, per esempio quello di mio zio e messo un altro, il mio router facendo da server dhcp non riconoscerebbe l'intruso a meno che non veda io, nel caso fortuito che in quel momento c'è un macchina sconosciuta a me fra le periferiche di rete collegate.
Stavo appunto cercando di configurare questo secondo router per far si che prendesse solo i parametri della LAN omettendo i dns e o il gateway ma ho notato che non so per quale motivo o passa tutto e quindi pure internet oppure non va un tubo.

Mi spiegheresti a grandi linee quali parametri devo settare affinchè il secondo router veda la LAN del mio primo router e allo stesso tempo impedire che passi anche la linea internet ?

Grazie mille per l'aiuto !

Il secondo router è un Alice wifi? Se si puoi fare ben poco.
Tornando alla mia proposta puoi disabilitare il dhcp e mettere io fissi su tutti i dispositivi oppure limitare lo stesso al solo numero dei dispositivi in tuo possesso.


sent from my iPhone usando Tapatalk

[hunte888]

Quote:

Originariamente inviato da trottolino1970

Il secondo router è un Alice wifi? Se si puoi fare ben poco.
Tornando alla mia proposta puoi disabilitare il dhcp e mettere io fissi su tutti i dispositivi oppure limitare lo stesso al solo numero dei dispositivi in tuo possesso.


sent from my iPhone usando Tapatalk

Il secondo router è un alice gate 2 plus wifi, e si con il suo firmware originale non si potrebbe fare nulla, ma gli ho montato su un altro firmware totalmente diverso. Il firmware cheg li ho messo che poi è quello che consigliavano in una guida è il "U.S. RObotics Wireless MAXg ADSL". Per quanto ne so, con questo si può fare di tutto, unica cosa, è la lingua che è tutta in inglese e a seconda di come lo setti all'inizio e cioè se devi configurarlo come se avessi un'adsl veramente, di conseguenza compaiono o meno certe funzionalità.
Per il momento penso di aver trovato il "profilo" giusto in cui posso dire il rage di indirizzi ip con cui il router deve partire, esempio 192.168.0.1 o 192.168.1.1, funzionalità da dhcp, e può dare anche un secondo livello di indirizzi diverso dal primo. Ha anche delle funzionalità extre relative a linux e a samba in particolare ma non c'ho capito molto....lo uso per lo più per fare prove di base.

Per quanto riguarda la tua proposta è una possibilità ma in questo modo limiterei la mia linea in casa mia che per forza di cose la devo lasciare così com'è perchè un gran via vai di gente che quando vengono da me hanno sempre bisogno di internet e quindi ogni volta dovrei dare degli indirizzi ip fissi a mano, etc etc, questo poi sempre se ci sono io in casa, altrimenti non se ne parla nemmeno, ergo non posso adottare questa opzione purtroppo, già così non ne esco più fuori, se poi mi chiamano quando sono a lavoro chiedendomi come fare mia mamma per far collegare qualche sua amica alla mia rete o mio padre, aiuto, mi sparo un colpo in testa e via

[trottolino1970]

Quote:

Originariamente inviato da hunte888

Il secondo router è un alice gate 2 plus wifi, e si con il suo firmware originale non si potrebbe fare nulla, ma gli ho montato su un altro firmware totalmente diverso. Il firmware cheg li ho messo che poi è quello che consigliavano in una guida è il "U.S. RObotics Wireless MAXg ADSL". Per quanto ne so, con questo si può fare di tutto, unica cosa, è la lingua che è tutta in inglese e a seconda di come lo setti all'inizio e cioè se devi configurarlo come se avessi un'adsl veramente, di conseguenza compaiono o meno certe funzionalità.
Per il momento penso di aver trovato il "profilo" giusto in cui posso dire il rage di indirizzi ip con cui il router deve partire, esempio 192.168.0.1 o 192.168.1.1, funzionalità da dhcp, e può dare anche un secondo livello di indirizzi diverso dal primo. Ha anche delle funzionalità extre relative a linux e a samba in particolare ma non c'ho capito molto....lo uso per lo più per fare prove di base.

Per quanto riguarda la tua proposta è una possibilità ma in questo modo limiterei la mia linea in casa mia che per forza di cose la devo lasciare così com'è perchè un gran via vai di gente che quando vengono da me hanno sempre bisogno di internet e quindi ogni volta dovrei dare degli indirizzi ip fissi a mano, etc etc, questo poi sempre se ci sono io in casa, altrimenti non se ne parla nemmeno, ergo non posso adottare questa opzione purtroppo, già così non ne esco più fuori, se poi mi chiamano quando sono a lavoro chiedendomi come fare mia mamma per far collegare qualche sua amica alla mia rete o mio padre, aiuto, mi sparo un colpo in testa e via

che firmware è?

[hunte888]

U.s robotics, il modello esatto o almeno la dicitura esatta che compare nel software è quella che ti ho scritto su.

Inviato dal mio GT-I9100 con Tapatalk 2

[trottolino1970]

Quote:

Originariamente inviato da hunte888

U.s robotics, il modello esatto o almeno la dicitura esatta che compare nel software è quella che ti ho scritto su.

Inviato dal mio GT-I9100 con Tapatalk 2

Il firmware non l'hardware


sent from my iPhone usando Tapatalk

[anubbio]

Quote:

Originariamente inviato da hunte888

In poche parole vorrei settare questo secondo router affinchè qualsiasi persona ci si attaccasse con il proprio pc, se non configurato per esempio a livello di indirizzo ip fisso, questi non vadano ne in internet e ne vedano la mia LAN o magari solo poter andare su internet....spero di essermi spiegato, anche se ho scritto molto ugualmente

Ciao,
ti rispondo per la parte che stavo suggerendo io.
Se l'esigenza è questa non credo si possa fare con il dg834 e l'alice non lo conosco.
Infatti l'idea sarebbe qualcosa di simile alla soluzione A-2 della mia prima risposta.
Ovvero lasci attivo il dhcp ma facendo in modo che l'IP venga assegnato (e sempre quello) solo a determinati MAC ben conosciuti (nel tuo caso quello del pc di tuo zio).
Qualunque altro pc si dovesse collegare avrebbe un mac differente (a meno di mascherarlo, cosa che però bisognerebbe saper fare, non so se gli amici di tuo zio.... ) e di conseguenza non riceverebbe un IP.

Questa funzione però di sicuro il dg834 non ce l'ha, e probabilmente nemmeno i router di fascia bassa......

Senza questa sinceramente non ti saprei aiutare.

Ciao

[hunte888]

Quote:

Originariamente inviato da trottolino1970

Il firmware non l'hardware


sent from my iPhone usando Tapatalk

Hai ragione scusami, allora guardando dal pannello di controllo del menù sotto il modello non c'è scritto firmware ma c'è scritto version, che potrebbe corrispondere alla versione del firmware che in questo caso è: 3.04L.01.-100727_2130

Dimmi se ti serve qualche altra info.

[hunte888]

Quote:

Originariamente inviato da anubbio

Ciao,
ti rispondo per la parte che stavo suggerendo io.
Se l'esigenza è questa non credo si possa fare con il dg834 e l'alice non lo conosco.
Infatti l'idea sarebbe qualcosa di simile alla soluzione A-2 della mia prima risposta.
Ovvero lasci attivo il dhcp ma facendo in modo che l'IP venga assegnato (e sempre quello) solo a determinati MAC ben conosciuti (nel tuo caso quello del pc di tuo zio).
Qualunque altro pc si dovesse collegare avrebbe un mac differente (a meno di mascherarlo, cosa che però bisognerebbe saper fare, non so se gli amici di tuo zio.... ) e di conseguenza non riceverebbe un IP.

Questa funzione però di sicuro il dg834 non ce l'ha, e probabilmente nemmeno i router di fascia bassa......


Senza questa sinceramente non ti saprei aiutare.

Ciao

Ciao, si il netgear 834 avrebbe la funzionalità che dici, ma purtroppo come dicevo a trottolino1970, non posso sfruttare questa funzionalità sul dg834 perchè limiterei la rete anche in casa mia che è piena di gente che va e che viene, amici compresi e quindi ogni volta che arriverebbe qualcuno con un telefono o un pc nuovo o qualsiasi altro dispositivo nuovo che richieda l'accesso a internet, dovrei entrare nel netgear e assegnargli di volta in volta un indirizzo ip fisso associato al relativo mac address.
Questa idea sarebbe applicabile al secodno router, che in quel caso lo utilizzerei solo per la rete di mio zio ergo, li si che il DHCP lo posso tenere più sotto controllo e limitato, però non sto riuscendo a configurarlo

[Braveheart84rm]

Quote:

Originariamente inviato da hunte888

Ciao, hai ragione scusa, come al solito scrivo troppo e in modo confusionevole.

Dato che il mio netgear dg834 supporta l'inserimetno di alcune regole firewall, ho provato personalmente che dando un indirizzo ip fisso al pc di mio e settando la regola nel firewall del netgear e cioè bloccando le porte 80 (http) e 443 (https) per codesto ip, la prova va a buon fine e diciamo che per quello che serve veramente a me, mi basterebbe.

In questo modo però la soluzione non è sicura al 100%, vale a dire che un domani se in casa da mio zio, magari ad insaputa sua o magari anche per errore, andasse qualche persona terza e si attaccasse con uno switch al cavo di rete LAN che gli do io, in quel caso, codesta persona avrebbe totale accesso alla mia rete, perchè la mia rete ha il dhcp attivo e così deve essere con sistema di ip fissi solo per quello che voglio io.
.

Potresti semplicemente dare il permesso solo al tuo pc o altri che selezioni tu per navigare su internet. Non so però dal tuo router come puoi fare, per es sui Cisco si scrive una semplice ACL indicando quali ip possono navigare, bloccando tutto il resto.

[hunte888]

Quote:

Originariamente inviato da Braveheart84rm

Potresti semplicemente dare il permesso solo al tuo pc o altri che selezioni tu per navigare su internet. Non so però dal tuo router come puoi fare, per es sui Cisco si scrive una semplice ACL indicando quali ip possono navigare, bloccando tutto il resto.

Però in questo caso se nella tua rete arrivano 3-4 dispositivi nuovi che si devono connettere e sono autorizzati da te, tu non devi andare modificare le impostazioni ?

[Braveheart84rm]

Quote:

Originariamente inviato da hunte888

Però in questo caso se nella tua rete arrivano 3-4 dispositivi nuovi che si devono connettere e sono autorizzati da te, tu non devi andare modificare le impostazioni ?

modifichi le regole e il gioco è fatto. Oppure definisci un certo range per autorizzare l'accesso, escludendo il resto.

[hunte888]

Quote:

Originariamente inviato da Braveheart84rm

modifichi le regole e il gioco è fatto. Oppure definisci un certo range per autorizzare l'accesso, escludendo il resto.

Ossia in che senso modifichi le regole ? Ogni volta che viene qualcuno con un dispositivo nuovo modifichi a mano le regole ?

Possibile che non ci sia il un modo per dire al secondo router si leggere dal primo solo la LAN escludendo internet ?

Ho provato a riconfigurare il secondo router da capo, come parametri adsl come dns c'è una spunta su dns automatico, vale a dire che lo prende in automatico, ma posso mettergliene uno io in manuale, ma non so cosa mettere.

[Braveheart84rm]

Quote:

Originariamente inviato da hunte888

Ossia in che senso modifichi le regole ? Ogni volta che viene qualcuno con un dispositivo nuovo modifichi a mano le regole ?

P

Metti sul Firewall l'ip che desideri navighi in Internet