Stefano Villa ha scritto:
L'idea, anche se so che non ho per le mani un firewall in senso
stretto, è quella di far entrare e (se serve) uscire solo quello che
voglio, insomma, rendere più sicura in qualche modo la mia rete.
Non pensare al firewall in senso stretto. Comincia a pianificare quello
che hai intenzione di fare.
Voglio dire, schiarisciti le idee e poi prendi carta e penna e comincia
a scrivere quello che vuoi far passare con "origine" da Internet verso
l'interno e viceversa.
E' per questo che ho tracciato tutte le porte che uso! Poi, come
dicevo prima non ho ancora la capacità per capire dove piazzare le acl!
Consiglio: per la pianificazione, momentaneamente, non ragionare in
termini di "porte", ma in termini di applicazioni. Ci vuole poco,
successivamente, a fare una ricerca su google per capire quali porte
un'applicazione usi.
Quando avrai finito la pianificazione saprai cosa filtrare in ingresso e
cosa filtrare in uscita.
A quel punto ti creerai una acl (named si gestisce meglio) per
l'ingresso ed una per l'uscita e le applicherai, rispettivamente a dia0
in ed a vlan1 in
Nel secondo caso, è corretto applicarla a vlan1 in, ma e-mule non ti
funziona perchè a fine lista c'è il deny any implicito e tu non lo
hai abilitato (e-mule) ad uscire. Attenzione, le righe:
150 permit tcp any any eq 4663
160 permit udp any any eq 4673
in questo caso non servono ad un bel nulla.
Allora andrebbero modificate cosi:
150 permit tcp any eq 4663 any
160 permit udp any eq 4673 any
?
Neanche. Il problema è che per come hai applicato le acl, e-mule non
riesce del tutto a connettersi e se non si connette, i server non sanno
della tua esistenza e di conseguenza il software è morto.
Inoltre, le porte che hai indicato sono le porte che e-mule usa per
"ricevere" le connessioni dagli altri client. Queste porte devono essere
disponibili all'esterno e qui, come hai correttamente fatto, ti viene in
aiuto il nat source static.
Se tu volessi, lasciando le acl così cme le hai, far connettere e-mule
con internet dovresti applicare una regola tipo
150 permit tcp tuoip any porta_usata_dai_server_emule
Io non so quale sia e dunque non so consigliarti. Prova a cercare, ma
poi dovresti cercare anche quella dei server Kademilia e applicare una
regola simile ;O)
Ricordati: valuta bene se filtrare il traffico che deve uscire verso
Internet (quindi quello da applicare a vlan1 in). Potresti infilarti in
un ginepraio!
Ti ringrazio!
Ma che scherzi?
Dovere!
:O)
Ciao.
Alessio
_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug
