Alessio Paravati ha scritto:
Scusate il lungo quoting.
Secondo me si sta facendo un po' di confusione.
Stefano, ma tu cosa vuoi filtrare? Il traffico che viene da Internet o
il traffico che va verso Internet?
Allora, l'idea originale era quella di filtrare il traffico da Internet,
solamente perchè mi sembrava la cosa più ovvia da fare. Dato che
lavorativamente parlando mi occupo di altro (sono un sistemista
Microsoft, la rete non è -purtroppo- affar mio) non ho conoscenze adatte
(a parte il corso ccna di ormai troppi anni fa) a fare dei
ragionamenti sensati al 100%.. :)
L'idea, anche se so che non ho per le mani un firewall in senso stretto,
è quella di far entrare e (se serve) uscire solo quello che voglio,
insomma, rendere più sicura in qualche modo la mia rete.
E' per questo che ho tracciato tutte le porte che uso! Poi, come dicevo
prima non ho ancora la capacità per capire dove piazzare le acl!
Ho visto che con i consigli fino a qui dati ho raggiunto dei risultati,
ma da qui a dire che è la soluzione migliore ce ne passa..
Nel primo caso, l'acl andrebbe applicata in Dialer0 in, ma andrebbero
modificate alcune righe (esempio quella dell'FTP non è necessaria a meno
che tu non abbia un server interno).
E' quello che pensavo io. Solo che dato che non ho ben chiaro il
meccanismo dei pacchetti, non so dove e come filtrarli.
Nel secondo caso, è corretto applicarla a vlan1 in, ma e-mule non ti
funziona perchè a fine lista c'è il deny any implicito e tu non lo hai
abilitato (e-mule) ad uscire. Attenzione, le righe:
150 permit tcp any any eq 4663
160 permit udp any any eq 4673
in questo caso non servono ad un bel nulla.
Allora andrebbero modificate cosi:
150 permit tcp any eq 4663 any
160 permit udp any eq 4673 any
?
In ogni caso ed IMHO, filtrare il traffico (casalingo) che esce verso
Internet non ha molto senso a meno che non si tratti di un'ambiente di
produzione di cui si vuole limitare il traffico in uscita. In questo
caso però Prevederei anche un filtro in ingresso (che qui, secondo i
ragionamenti fatti e secondo la tua conf, non è del tutto previsto...)
Ripeto, secondo me, dalla tua espressione nella prima mail "Sto cercando
di configurare l'apparato in oggetto per rendere un po più sicura la mia
rete casalinga", deduco che sia tu, che i consigli dati sino ad ora
siano completamente fuori pista.
Fossi al mio posto, quante e quali acl faresti?
Ti ringrazio!
Sbaglio? :O)
Un saluto.
Alessio.
Stefano
_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug
