Dubbi sul routing

[billiejoex]

Ciao a tutti. Mi chiedevo.. se io ho un router a capo di una LAN e volessi che gli utenti della LAN accedessero solo ed esclusivamente alla navigazione in internet, che porte dovrei aprire?

Browser come internet explorer, ad es, utilizzano range di porte molto variabili. A volte si parla anche di centinaia di porte.


Inoltre, aprendo tanto porte in uscita, come posso evitare che un utente all'interno della LAN faccia un tunnelling per utilizzare altre applicazioni, come ad es un p2p.

Saluti.

[seclimar]

devi aprire in uscita la porta 80

ovviamente puoi fare passare anche altri programmi sulla 80!

dovresti mettere un proxy a questo punto


ma tieni presente che anche la 443 (HTTPS)
dovresti tenerla aperta

un proxy e' in grado di filtrare le richieste http guardando cosa c'e' dentro
ma le HTTPS sono criptate....
le https le dovresti filtrare per ip...
insomma... non e' semplice .. ma puoi rendere la vita difficile agli utenti...

se pero' passa il browser... anche altri programmi possono passare usando gli stessi comandi (la sicurezza al 100% non l'avrai... ma ti avvicini ad avere tutto sicuro)

[billiejoex]

Scusa ma la porta 80 è quella utilizzata dai web server.
I browser, per visualizzare una pagina web, escono su ben altre porte, e con range variabili, sopratutto.

Esempio di netstat lanciato pochi secondi dopo aver aperto la pagina web di google:

codice:

Proto  Indirizzo locale      Indirizzo remoto       Stato
TCP    5.255.4.89:2259       66.102.9.99:80         ESTABLISHED

come vedi Internet explorer esce sulla 2259 e si connette alla 80 del server di google. Se io apro solo la porta 80, a livello di router, IE non può uscire in rete!

[seclimar]

Originariamente inviato da billiejoex
Scusa ma la porta 80 è quella utilizzata dai web server.
I browser, per visualizzare una pagina web, escono su ben altre porte, e con range variabili, sopratutto.

Esempio di netstat lanciato pochi secondi dopo aver aperto la pagina web di google:

codice:

Proto  Indirizzo locale      Indirizzo remoto       Stato
TCP    5.255.4.89:2259       66.102.9.99:80         ESTABLISHED

come vedi Internet explorer esce sulla 2259 e si connette alla 80 del server di google.

la 2259 e' la porta di risposta !
funziona cosi':
il tuo client chiede al server sulla porta 80 qualcosa
il server ti manda la risposta sulla tua 2259

in questo caso si deve aprire IN USCITA LA PORTA 80



se tu hai un web server devi aprire la porta 80 in entrata (ma non e' questo il caso)

[billiejoex]

Io ti ripeto. Ho osservato con molta attenzione (ho usato tcp view) cosa succede a livello di rete quando apri un browser e la porta 80, a livello locale, non l'ho mai vista aprirsi!

Per sicurezza, sul mio personal firewall, ho persino creato una regola che blocca qualunque tipo di traffico sulla porta 80 in uscita. Risultato: posso navigare ugualmente.

[billiejoex]

Questo è uno sniffing di una semplice connessione tramite Internet Explorer alla pagina di www.google.it. Negli indirizzi locali non viene specificata neanche una volta la porta 80.
Tengo a precisare che non voglio darti addosso ma solo fare luce su questo mio dubbio discutendone.

[Habanero]

devi avere molto chiaro il lato su cui ti metti....

Tu hai chiesto che porte devi aprire per fare in modo che gli utenti della lan possano SOLO navigare. Questo significa aprire porte in USCITA... si ragiona sempre in termini di porte del destinatario.

Normalmente si fanno considerazioni sulle porte in INGRESSO perchè ci si vuole difendere da chi sta fuori. Tu hai chiesto di difendarti da chi sta dentro...

Quindi abilitare in USCITA porte TCP 80, TCP 443 e TCP-UDP 53 (il DNS è essenziale!!!!)

Nelle ultime tue considerazioni hai ragionato dal punto di vista esterno e non interno... è logico che se non hai web server blocchi la 80 in ingresso...

[billiejoex]

E quelle porte che compaiono nello sniffing?
Ovvero: 2548 UDP, 2549/2550 HTTP?
Quelle sono porte in uscita che si aprono sulla macchina LOCALE o sbaglio? Come posso visualizzare una pagina web se le chiudo sul router?
Inoltre, ripeto, dallo sniffing non noto nessuna porta 80 riferita alla macchina locale.

[internet]

dunque, vediamo i pacchetti uno per uno



Gli indirizzi 127.0.0.1 (loopback)si riferiscono al tuo pc (in cui stai usando esplorer), i pacchetti UDP ID 1, 2, 4, 5
vengono usati dal browser (anche mozilla fa lo stesso), per accedere alla sua cache locale, infatti basta un netstat per vedere IE che si mette in ascolto per ricevere pacchetti udp su una certa porta (2548 nel tuo caso). Al router questi pacchetti non arriveranno mai, quindi non ti curar di loro.

Il 3 e il 7 sono pacchetti in uscita dal tuo pc al router, il 6, 8 e 9 sono pacchetti in ingresso dal router al tuo pc, in ogni caso la tua porta locale (assegnata dal SO) è una porta variabile (dette anche porte effimere), l'unica cosa da fare sul router è aprire in uscita la porta 80.

[internet]

Dimenticavo, oltre alla porta 80 è necessario aprire anche altre porte:
può capitare di dover scaricare dei programmi e questi siano su un server ftp, quindi devi aprire le porte 20, 21

https per le connessione protette quindi 443

alcuni siti usano la porta 8080 (proxy)

se vuoi far funzionare i vari protocolli di streaming (quindi real, windows media, quicktime, ecc) integrati nel browser (sono dei plugin), devi aprire altre porte.