configurare un firewall

Tutte le risposte

• 

  

  0

  Registrati per votare

  Ciao Stefano, non è proprio la sezione giusta visto che stiamo parlando di networking e di un altro brand ma ti giro un paio di info che si applicano per linee generali e non di prodotto.

  Il concetto principale è quello di NAT ovvero quel meccanismo che ruota e maschera gli IP privati (LAN) in uno o più IP pubblici (WAN). Il NAT viene automaticamente applicato a tutte quelle connessioni che normalmente si basano su un unico IP pubblico come quello che può essere una adsl uso domestico (IP dinamico) o aziendale (IP statico).

  Il router Fastweb ruota un IP pubblico (es. 89.89.89.89) nel tuo IP privato 192.168.1.254 che è il gateway.

  Generalmente i firewall di fascia bassa non permettono di avere la stesa classe di IP (network) sia lato LAN che lato WAN quindi l'unica possibilità che hai è quella di cambiare gli IP della rete LAN.

  Potresti utilizzare lato LAN 192.168.0.0/24 configurando il firewall con l'IP 192.168.0.254 (che diverrebbe il nuovo gateway) e lato WAN per il firewall 192.168.1.253 con default gateway 192.168.1.254

  Per quanto riguarda il server, se non hai motivi specifici (es. pubblicazione servizio) puoi tranquillamente metterlo sulla LAN e non sulla DMZ. Cosi facendo probabilmente ti risparmierai alcune regole ridondanti.

  Spero di averti dato qualche info che possano esserti utili a continuare le tue prove.

  Saluti

  Nino

  
  
  

  • Proposto come risposta NinoRCTNModerator domenica 18 marzo 2012 21:11
  • Contrassegnato come risposta Stefano Pranzo domenica 18 marzo 2012 21:47
  • Modificato NinoRCTNModerator domenica 18 marzo 2012 22:35

  domenica 18 marzo 2012 21:11

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Dimenticavo, di seguito il link per scaricare il manuale del firewall Zyxel ZyWall USG 20

  • Modificato NinoRCTNModerator domenica 18 marzo 2012 21:16 cambio link

  domenica 18 marzo 2012 21:15

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Ti ringrazio Nino..

  Considera che il mio server espone all'esterno (tramite NAT del Router FastWeb) servizi come Web, TFS, Ftp e SQL.

  Oltre a questo dovrei anche gestire un sistema di "Freno" o "Filtro" dei siti web esplorati dai pc nella Lan (blocco social Network, ecc.).

  Mi consigliate altri forum?  Possibilmente in Italiano? il manuale è ok tranne che è solo in Inlgese.

  Grazie.

  ---

  Pranzo Stefano

  domenica 18 marzo 2012 21:50

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Non conosco il prodotto, ma presumo si possano applicare regole di content filtering su regole proxy.

  Per quanto riguarda la pubblicazione del server non hai la possibilità di avere direttamente l'IP pubblico da assegnare al firewall? Ti eviteresti il doppio NAT ed il campio di IP lato LAN.

  Saluti

  Nino

  domenica 18 marzo 2012 22:41

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  dovrei acquistare un secondo IP da FastWeb e vorrei evitarlo dato che fastweb vuole 10€ al mese.

  non fa niente per il doppio Nat. Sarà un lavoro da fare ogni qualvolta si rompe il Router...ma pazienza.

  Quindi dovrei fare questo "Doppio Nat"? dal router al Firewall e da Firewall al Server?

  Per il filtro ho visto che ha molte cose...

  Per avere più sicurezza e fare esperienza..sarebbe meglio dividere la rete? dividere nel senso:

  LAN1 farla 192.168.2.X (PC e Stampanti nella LAN )

  LAN4 (DMZ) 192.168.3.x (Server1 con IP 192.168.1.3.100 "Win2008R2" e Server2 192.168.3.200 "WinXP Pro")

  e poi nel Firewall faccio il Nat da 192.168.1.253 (IP WAN) verso 192.168.1.3.300

  a questo punto nei PC e nel Server devo mettere come Gateway 192.168.1.253?

  Grazie.

  ---

  Pranzo Stefano

  lunedì 19 marzo 2012 06:22

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Se non vuoi utilizzare un IP pubblico lato WAN, lato router devi lasciare le cose cosi come sono.

  Non puoi avere la stessa classe di IP sulle porte del firewall, quindi il tuo schema precedente diventa:

  WAN: Router 192.168.1.254 - Firewall 192.168.1.253 con Gateway 192.168.1.254

  LAN1: Firewall 192.168.2.254 - PC 192.168.2.x con Gateway 192.168.2.254

  LAN4: Firewall 192.168.0.254 - PC 192.168.0.x con Gateway 192.168.0.254

  L'unica cosa da verificare e se quel firewall effettua in automatico il routing tra LAN1-LAN4 altrimenti devi creare a manina le regole.

  Il doppio NAT lo gestiscono gli apparati in automatico.

  Ovviamente quanto ti ho scritto non è una regola assoluta, ci sono firewall che permettono di gestire direttamente gli IP pubblici sulla LAN privata, ma generalmente questo tipo di configurazione si utilizza in unarete un pò più complessa (non credo sia il tuo caso).

  Saluti

  Nino 

  lunedì 19 marzo 2012 07:37

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Ciao Stefano, non è proprio la sezione giusta visto che stiamo parlando di networking e di un altro brand ma ti giro un paio di info che si applicano per linee generali e non di prodotto.

  Ciao Nino, le problematiche di networking gestiamole pure in questo forum, grazie.

  ---

  Edoardo Benussi
  Microsoft MVP - Management Infrastructure
  edo[at]mvps[dot]org

  lunedì 19 marzo 2012 07:46

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Ciao Stefano, non è proprio la sezione giusta visto che stiamo parlando di networking e di un altro brand ma ti giro un paio di info che si applicano per linee generali e non di prodotto.

  Ciao Nino, le problematiche di networking gestiamole pure in questo forum, grazie.

  ---

  Edoardo Benussi
  Microsoft MVP - Management Infrastructure
  edo[at]mvps[dot]org

  Ciao Edoardo, intendevo problemi di networking non inerenti a configurazioni di sistema operativo. Ma se mi dici che va bene è tutto OK :)

  Saluti

  Nino

  lunedì 19 marzo 2012 07:55

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  qui si trovano molte info in Italiano per le varie configurazioni:

  http://www.zyxel.it/support_ita/cerca_faqapn.php?indexflag=20061025094730&p=

  ora ho tutto funzionante: Server dall'esterno, Server sulla DMZ, ecc....

  il solo problema che sto incontrando è che il Server non lo vedo dalla mia rete se lo chiamo col nome; cioè se scrivo \\192.168.3.200 lo raggiungo.. se scrivo \\paserver no

  per semplicemente arrivare sul server con Esplora risorse.. mi sta bene cambiare ...ma ho il problema del TFS che ha bisogno di http:\\paserver:80.......

  non mi va di cambiare i Patch di tutti i progetti...ecc..ecc...Ora provo a vedere se posso sostuire in Visual Studio paserver con il numero IP...ma vorrei anche risolvere il problema...

  Sicuramente i DNS non risolvono il nome.. la scheda di rete del mio PC ha impostati i  DNS manuli e il primo DNS è l'indirizzo IP del Firewall (della porta a cui sono collegato).

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 08:42

  Risposta

  |

  Citazione
• 

  

  1

  Registrati per votare

  Cioè dalla rete LAN1 stai cercando di accedere al server sulla LAN4 giusto? Per risolvere quel nome mi vengono subito in mente due alternative: implementare un server DNS vero e proprio o abilitare sul firewall il passaggio della risoluzione dei nomi netBIOS.

  Servizio datagrammi NetBIOS	UDP	138
  Risoluzione dei nomi NetBIOS	UDP	137
  Servizio sessioni NetBIOS	TCP	139

  
  
  

  • Modificato Fabrizio GiammariniMVP, Moderator martedì 20 marzo 2012 09:09

  martedì 20 marzo 2012 09:05

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Grazie Fab88.

  Considera che il Server che ho in casa e precisamente quello che voglio aprire con suo nome NetBios ha il ruolo DNS. A dire il vero l'ho messo su un Anno fa..quindi non ricordo come sta messo e ora non ricordo come metterci mano..

  ho provato ad impostare al mio PC il DNS primario l'indirizzo IP del Server ma non ha cambiato nulla.

  Provo a vedere il Firewall come abilitare questo passaggio della risuluzione dei nomi.

  Grazie.

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 09:21

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Ho visto il DNS del server 2008 e ha una serie di errori tra cui questo:

  Nome registro: DNS Server
  Origine:       Microsoft-Windows-DNS-Server-Service
  Data:          20/03/2012 07:47:49
  ID evento:     408
  Categoria attività:Nessuna
  Livello:       Errore
  Parole chiave: Classico
  Utente:        N/D
  Computer:      PAServer.localpanatronic.it
  Descrizione:
  Server DNS: impossibile aprire il socket per l'indirizzo 192.168.3.200.
  Verificare che l'indirizzo IP sia valido per il server. Se NON è valido, utilizzare la finestra di dialogo Interfacce nelle proprietà del server in Gestore DNS per rimuovere l'indirizzo dall'elenco delle interfacce IP. Arrestare e riavviare il server DNS (se si tratta dell'unica interfaccia IP nel computer e il server DNS non è stato avviato a causa dell'errore. In questo caso rimuovere il valore DNS\Parameters\ListenAddress nella sezione Servizi del Registro di sistema e riavviare).
   
  Se l'indirizzo IP è valido per il computer, assicurarsi che non ci siano altre applicazioni (ad esempio un altro server DNS) in esecuzione che tenteranno di utilizzare la porta DNS. 
  

  ho riavviato il server ed ora non ho errori:
  Il caricamento in background delle zone da parte del server DNS è stato completato. Tutte le zone sono ora disponibili per gli aggiornamenti del DNS e i trasferimenti di zona, in base a quanto consentito dalla rispettiva configurazione di zona.

  Come scritto sopra, ho messo al mio PC (192.168.1.131) il DNS primario l'IP del Server: 192.168.3.200, comunque non va..Qualche consiglio?

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 09:47

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Se esegui dal client il comando "nslookup PAServer.localpanatronic.it" cosa ottieni?

  • Contrassegnato come risposta Stefano Pranzo martedì 20 marzo 2012 14:20

  martedì 20 marzo 2012 10:29

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  DNS request timed out.

  timeout was 2 seconds.

  Server: UnKnown

  Address: 192.168.3.200

  Nome: PAServer.localpanatronic.it

  Address: 192.168.3.200

  ---

  Pranzo Stefano

  • Contrassegnato come risposta Stefano Pranzo martedì 20 marzo 2012 14:20
  • Contrassegno come risposta annullato Stefano Pranzo martedì 20 marzo 2012 14:20

  martedì 20 marzo 2012 10:44

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Con \\PAServer.localpanatronic.it lo riesci a raggiungere dal client?
  
  

  • Modificato Fabrizio GiammariniMVP, Moderator martedì 20 marzo 2012 11:32

  martedì 20 marzo 2012 11:30

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Grazie ancora Fab88 ma nulla, non riesco a raggiungerlo.

  nel Server 2008 nel ruolo DNS ho un nodo sotto DNS chiamato PASERVER dove ho le Zone di ricerca e i Server d'inoltro.

  Qui dentro mettendo un DNS server di Telecom o FastWeb.. non riesce ad eseguire la risoluzione.

  sarà che devo aprire qualcosa sul Firewall? Sul Firewall ho disabilitato il Firewall e nelle impostazioni DNS del Firewall ho queste voci:

  - Adress/PTR Record dove non c'è nessuna impostazione

  - Domain Zone Forwarder dove c'è una sola impostazione  con DNS Server = N/A e Query via = N/A

  - MX Record (for My FQDN) con nessuna impostazione

  - Service Control con Zone = All, Adress = All, Action = Accept

  cosa posso provare ancora.

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 12:06

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Scusate la mia ignoranza sulla materia. Ho notato che se scrivo:

  \\localpanatronic.it entro nel server.

  Nel DNS del server ho nella Zona di ricerca diretta 2 zone:

  localpanatronic.it e _msdcs.localpanatronic.it

  non è che devo aggiungere anche : paserver? ho visto che ci sono tante "Zone". quale devo usare:

  Primaria? Secondaria? di Stub?...ecc...

  Grazie.

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 12:25

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Ciao Stefano, la zona LAN1 dovrebbe avere un suo DNS e la zona DMZ un suo DNS.

  Aggiungi al file host le due righe:

  192.168.3.200 PAServer.localpanatronic.it

  192.168.3.200 PAServer

  ed esegui nuovamente i test.

  Saluti 

   Nino

  • Contrassegnato come risposta Stefano Pranzo martedì 20 marzo 2012 14:19

  martedì 20 marzo 2012 13:58

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Scusa Nino.. quale file host?

  dovrei avere un DNS per ogni LAN? quindi devo guardare meglio il Firewall.

  Provvedo

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 14:03

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  In un qualsiasi PC della LAN1 vai sotto c:\windows\system32\drivers\etc

  trovi un file host e lo apri con notepad, aggiungi le righe e provi

  • Contrassegnato come risposta Stefano Pranzo martedì 20 marzo 2012 14:19

  martedì 20 marzo 2012 14:12

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  si. mettendo le due righe riesco a collegarmi con \\paserver

  anche se non mi piace...dato che dovrei mettere queste righe in tutti i pc della rete..

  Magari apro un nuovo Thread sull'argomento..dato che vorrei capirlo meglio..

  Se per voi va bene...lo apro ora così useremo un oggetto più appropriato.

  Grazie.

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 14:19

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Con il file HOSTS del client (che trovi in c:\windows\system32\drivers\etc) risolvi il problema alla radice perchè imposti manualmente la risoluzione del nome senza passare per i DNS o per i nomi netBIOS.
  

  • Modificato Fabrizio GiammariniMVP, Moderator martedì 20 marzo 2012 14:22

  martedì 20 marzo 2012 14:22

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  si. mettendo le due righe riesco a collegarmi con \\paserver

  anche se non mi piace...dato che dovrei mettere queste righe in tutti i pc della rete..

  Magari apro un nuovo Thread sull'argomento..dato che vorrei capirlo meglio..

  Se per voi va bene...lo apro ora così useremo un oggetto più appropriato.

  Grazie.

  ---

  Pranzo Stefano

  Il test del file host era giusto per farti verificare che in effetti è un problema di risoluzione nome. In effetti era quello che già ti aveva scritto Fab88_.
  

  Non mi è chiara una cosa, il server che utilizzi su DMZ è il server di dominio dei client di LAN1?

  martedì 20 marzo 2012 14:28

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Si. è di dominio ma non tutti i pc nella lan1 si collegano al Dominio. Alcuni sono semplici pc che accedono al server su una cartella condivisa e a SQL che sta sul server.

  Ho aperto un nuovo Thread.

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 14:34

  Risposta

  |

  Citazione
• 

  

  1

  Registrati per votare

  Si. è di dominio

  
  che senso ha mettere in DMZ un domain controller ?

  ---

  Edoardo Benussi
  Microsoft MVP - Management Infrastructure
  edo[at]mvps[dot]org

  martedì 20 marzo 2012 14:53

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  In effetti nella DMZ un domain controller è piuttosto esposto....

  martedì 20 marzo 2012 15:01

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Si. è di dominio

  
  che senso ha mettere in DMZ un domain controller ?

  ---

  Edoardo Benussi
  Microsoft MVP - Management Infrastructure
  edo[at]mvps[dot]org

  
  Penso per pubblicare www

  martedì 20 marzo 2012 18:35

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Si giusto. per pubblicare www e FTP.

  Nell'altro Thread ho spiegato anche i motivi per i quali ho un solo server..se le cose migliorano...e imparo più cose...metto su un secondo Server..così mia moglie mi caccia di casa...:-) :-)...

  seguite sull'altro Thread.

  Grazie a tutti.

  ---

  Pranzo Stefano

  martedì 20 marzo 2012 20:58

  Risposta

  |

  Citazione
• 

  

  0

  Registrati per votare

  Secondo me è sconsigliato utilizzare un domain controller come web-server...a questo punto secondo me sarebbe meglio virtualizzare il tutto se non puoi proprio utilizzare due macchine fisiche. E' vero che su un ambiente di test non servono tutti questi accorgimenti, però può essere una buona occasione per sfruttare meglio il server (con la virtualizzazione potresti creare un ambiente di test più complesso).

  Inoltre non è sempre necessario inserire un server nella DMZ se serve solo pubblicare HTTP e FTP, basta configurare bene il NAT e il firewall.

  martedì 20 marzo 2012 23:08

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Si. è di dominio

  
  che senso ha mettere in DMZ un domain controller ?

  ---

  Edoardo Benussi
  Microsoft MVP - Management Infrastructure
  edo[at]mvps[dot]org

  
  Penso per pubblicare www

  
  questa risposta merita la fucilazione :)

  ---

  Edoardo Benussi
  Microsoft MVP - Management Infrastructure
  edo[at]mvps[dot]org

  mercoledì 21 marzo 2012 07:31

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  Si giusto. per pubblicare www e FTP.

  se ci si vuole proprio far male e dover rifare tutto il dominio allora si mette un dc in DMZ.

  le best practices dicono che:

  1) i domain controllers (mai uno solo) sono il cuore della sicurezza dell'infrastruttura informatica e devono essere protetti il più possibile

  2) il punto 1 impone quindi che i domain controllers siano interni alla lan, o meglio ancora dietro un firewall di back-end

  3) anche i dbms devono essere solitamente collocati in una posizione analoga ai domain controllers ed essere "acceduti" (perdona il francesismo) solo in maniera sicuraper via applicativa

  4) nella DMZ (quella porzione di rete che sta tra firewall di front-end e firewall di back-end) si collocano i server che erogano i servizi direttamente su internet come un web server, un ftp server, un smtp server

  5) poichè l'esposizione su internet di uno dei servizi elencati al punto 4 amplia la superficie d'attacco esposta a dei possibili attaccanti, non si mettono mai i servizi del punto 4 su un domain controller del punto 1.

  poi, se vogliamo fregarcene delle best practices e permettere a qualche script kiddies (http://en.wikipedia.org/wiki/Script_kiddie) di buttarci giù tutto, siamo liberissimi di farlo ;-)

  my two cents.

  ---

  Edoardo Benussi
  Microsoft MVP - Management Infrastructure
  edo[at]mvps[dot]org

  mercoledì 21 marzo 2012 07:44

  Risposta

  |

  Citazione

  Moderatore
• 

  

  0

  Registrati per votare

  hahahahaha.

  Come descritto sopra.. sono un programmatore e non un Sistemista.. quindi ... tutti i miei ragionamenti vanno fucilati... :-))

  A quanto sto capendo, sbaglio proprio ad avere un DC su un server che fa anche da WWW e da FTP. Ma come spiegato prima, sono tutti test.

  l'unica cosa che utilizzo per il lavoro è il TFS ed un DB SQL.

  Capisco molto bene i vostri consigli sulla sicurezza. Certamente fare una cosa del genere presso un cliente non esiste proprio..ma qui in casa.."Ufficio in casa", e con le poche risorse che ho... mi devo adattare in questo modo..con tutte le conseguenze che comporta.

  Appena ho 1000€ da investire.. faccio un secondo server e separo le due cose.

  So che ora in queste condizioni non sto affatto "Sicuro" ma purtroppo le condizioni sono queste. è come andare da Lecce a Zurigo con una Fiat Uno..non è certo il meglio...anche se io l'ho fatto per 4 Anni...20 volte l'Anno...ma dopo 4 Anni ho buttato la macchina...Certo.. ho rischiato..

  Ora con questo UNICO server devo fare tutto... Considerate anche che questi "Esperimenti" mi servono proprio per imparare toccando con mano e non solo a teoria coi libri..per proporre ai clienti... una cosa sicura..e creare "Lavoro". Non voglio sostituirmi ai Sistemisti...assolutamente..ma come spiegato nel Thread "Configurare un DNS", qui dalle mie parti.. devi saper fare tutto per lavorare.. Il solo problema è che se una cosa non la so fare bene...io non la faccio..e quindi devo imparare..imparare e testare.

  Grazie per i preziosi consigli.
  

  ---

  Pranzo Stefano

  mercoledì 21 marzo 2012 07:53

  Risposta

  |

  Citazione