Buonasera,

da pochi giorni ho acquistato un nuovo modem router wireless D-LINK modello DSL-G804V.

Questo router e' installato a casa mia e ad esso si collegano 2 PC via wireless con IP statico. L'indirizzo IP del router e' 192.168.1.1, l'indirizzo IP del CLIENT1 e' 192.168.1.20 e l'indirizzo IP del CLIENT2 e' 192.168.1.40


Vorrei chiederVi per favore un aiuto sulla configurazione del firewall e del packet filtering, perche' c'e' qualcosa che mi sfugge e non sono riuscito a trovare risposta leggendo il manuale, forse perche' commetto qualche errore di interpretazione.

Esporro' prima cio' che sono riuscito a dedurre (spero correttamente) e poi esporro' il problema che non dovrebbe essere di difficile risoluzione.

Da alcune prove fatte, sono riuscito a dedurre che, a FIREWALL COMPLETAMENTE DISABILITATO, tutte le porte in ingresso al router (da Internet verso la LAN interna) sono BLOCCATE e tutte quelle in uscita (dalla LAN interna verso INTERNET) sono APERTE.

Questa cosa l'ho dedotta dal fatto che effettuando una scansione delle porte con un servizio di scanner online, tutte le porte di ingresso risultano bloccate ed inoltre, riesco tranquillamente a navigare, usare FTP, mail, etc. Da cio' deduco quindi che le porte in uscita sono tutte aperte. Se sbaglio per favore correggetemi.

A questo punto, ho l'esigenza di utilizzare un programma di peer to peer (utilizzo Emule) che richiede l'apertura in ingresso delle porte 4662 TCP e 4672 UDP. Per fare questa cosa, creo due regole di port forwarding delle porte 4662 e 4672 sull' indirizzo IP 192.168.1.20 (CLIENT1), sul quale e' installato EMULE. Se effettuo il test interno delle 2 porte aperte (utilizzando l'utility di EMULE di test delle porte), il test ha esito positivo.

I problemi iniziano se attivo il firewall. Questo router ha 4 livelli di sicurezza predefiniti (basso,medio,alto e "tutto bloccato")

Io voglio utilizzare il quarto livello, ovvero traffico completamente bloccato in ingresso e in uscita. Con questo livello devo creare quindi delle regole che definiscono i servizi che voglio abilitare sul CLIENT1 e sul CLIENT2. Per fare cio' devo utilizzare i filtri TCP/UDP (packet filtering) vero ?

Supponiamo che io voglia abilitare la navigazione WEB sul CLIENT1 (e non sul CLIENT2) e l'utilizzo dell' FTP sul CLIENT2 (e non sul CLIENT1).

Diciamo che per la navigazione WEB devo aprire le porte in uscita 80 (tcp) per http, 53(tcp+udp) per il DNS e la porta 443 (tcp) per l'https. Per l'FTP bisogna invece aprire la porta 21 (tcp) sempre in uscita.

Devo quindi creare 4 filtri per il CLIENT1 (porta 80tcp, porta 53tcp, porta 53udp e porta 443tcp) e 1 filtro per il CLIENT2 (porta 21tcp).

Mi limitero' ad illustrare le modalita' che ho utilizzato per creare un filtro del CLIENT1 e il filtro del CLIENT2.

Nel menu' di configurazione del router, i campi presenti per i filtri TCP/UDP sono i seguenti:

- Name
- Schedule
- Source IP Address con relativa NETMASK
- Destination IP Address con relativa NETMASK
- Type
- Source Port
- Destination Pot
- Inbound
- Outbound

Il filtro per la porta 80 sul CLIENT1 l' ho creato cosi':

- Name : HTTP
- Schedule : Always ON
- Source IP Address : 0.0.0.0 Netmask : 0.0.0.0
- Destination IP Address : 192.168.1.20 Netmask : 255.255.255.255 (il manuale consiglia questa quaterna)

- Type : TCP
- Source Port : 0-65535
- Destination port : 80-80
- Inbound : Block
- Outbound : Allow

Il filtro per la porta 21 sul CLIENT2 l'ho creato cosi':

- Name : FTP
- Schedule : Always ON
- Source IP Address : 0.0.0.0 Netmask : 0.0.0.0
- Destination IP Address : 192.168.1.40 Netmask : 255.255.255.255 (il manuale consiglia questa quaterna)

- Type : TCP
- Source Port : 0-65535
- Destination port : 21-21
- Inbound : Block
- Outbound : Allow

Considerando che il CLIENT1 richiede altri 3 filtri per la navigazione WEB (che non ho riportato per comodita' di lettura), i filtri creati dovrebbero in questo modo permettermi di navigare sul CLIENT1 e utilizzare l'FTP sul CLIENT2?

Poi mi chiedo ancora:

-Gli indirizzi IP (192.168.1.20 e 192.168.1.40) li ho scritti nei campi corretti oppure andavano scritti nel campo "Source IP address" ?
- Se alla voce Inbound utilizzo "BLOCK" per bloccare le porte in ingresso (visto che sto aprendo delle porte in uscita) come faccio a rendere il forward delle porte 4662 e 4672 (creato in precedenza per EMULE) ancora funzionante visto che sto bloccando tutte le porte in ingresso dalla porta 0 alla porta 65535 ? Infatti, subito dopo aver creato il primo filtro, il test delle porte di EMULE e quindi il programma stesso, non funziona piu'.

Spero di essere stato chiaro nell' esposizione

Saluti