Zywall2 Chiudere L'accesso Alle Porte Logiche

[Sgiandes]

Buon giorno a tutti. Oggi pongo una questione succosa.

Come posso filtrare le porte logiche in entrata/uscita con questo firewall?

io vorrrei lasciare aperte solo quelle per la navigazione internet, e-mail e ftp.

Il manuale ce l'ho, ma è in inglese (e sarebbe il meno) e tutto scritto per acronimi che, essendo io autodidatta, fatico a capire.

Come sempre vi ringrazio gia da ora

[Lorenz]

Ciao Sgiandes, per fare quello che desideri, devi bloccare tutto quanto nella sezione WAN to LAN (che è l'impostazione predefinita), mentre nella sezione LAN to WAN, devi permettere l'accesso solo alle connessioni in uscita sulle porte TCP 80 (HTTP, cioé navigazione in Internet), TCP 25 (SMTP, invio di messaggi di posta), TCP 110 (POP3, scaricamento di messaggi di posta), TCP 21 (FTP), tutto il resto lo devi bloccare. Credo ci sia qualche programma di file sharing (ma non sono per niente sicuro) che sfrutti la porta 80, ma comunque già in questo modo si fa una restrizione importante. ;-)

[Sgiandes]

Come sempre gentilissimi e velocissimi.

Proverò a fare come dici, sperando di non combinare pasticci. :angel_not:

Per lo sharing su porta 80, purtroppo, ti confermo l'esistenza di piu di un programma. Ma quelli li blocco in altro modo (proprio li disinstallo dai vari pc).

Ti farò sapere il risultato.

Grazie ancora

[archim3de]

agggiungo ...consenti il traffico in uscita anche sulla porta 20 (sempre servizoi ftp)...... addirittura se nno hai particolari necessità, lascia aperte in uscita le porte standard (dalla 0 alla 1024) e chiudi in uscita le porte superiori! (1024-65535)

[Sgiandes]

agggiungo ...consenti il traffico in uscita anche sulla porta 20 (sempre servizoi ftp)...... addirittura se nno hai particolari necessità, lascia aperte in uscita le porte standard (dalla 0 alla 1024) e chiudi in uscita le porte superiori! (1024-65535)

DA 0 a 1024 aperte solo per ftp anche per gli altri servizi? E da 1024 a 65535 per tutti i servizi?

Grazie ancora. Siete gentilissimi

[Lorenz]

Ciao Sgiandes, in effetti dimenticavo qualche particolare... Intanto, le prime 1024 porte sono le porte dei servizi più usati, le cosidette "well-known" port. Tutte le altre porte le puoi chiudere tranquillamente, con le prime 1024 porte invece c'è da andare un po' cauti, e in effetti prima mi sono sbagliato... a parte il discorso (giustissimo) della porta 20, mi ero dimenticato di dirti di aprire almeno la porta 53 (sia UDP che TCP) per il servizio DNS, perché altrimenti non ti avrebbe funzionato nulla... praticamente, avresti potuto navigare o mandare e-mail solo utilizzando gli indirizzi IP...

Quindi, in sostanza, se vuoi essere sicuro di non avere problemi, apri le prime 1024 porte, se invece vuoi chiudere in modo drastico il rubinetto, puoi utilizzare le porte che ti ho indicato, a cui vanno appunto aggiunte la porta TCP 20 e le porte TCP 53 e UDP 53 per la risoluzione dei nomi (DNS). Anche nel modo che ti ho indicato non dovrebbero esserci problemi, ma non escludo di essermi dimenticato qualcosa come stamattina...

[Sgiandes]

Ottimo!! Perfetto!! Come sempre siete dei grandi .

Qua in ufficio il mal'umore regna sovrano e mi guardano di storto, ma chi se ne frega

Tutto blindato come la rocca di Gibilterra!

Grazie ancora

Sgiandes

[Lorenz]

Se vuoi blindare in modo ancora più :andy: puoi sempre usare un proxy... tipo Squid, se non vuoi spendere nulla, o MS ISA Server, ma questo costa parecchio... :dia: :dia: