Atlantis Land A02-RA MI01 Manuale d'uso
Pagina 42
Capitolo 3 Uso dell’I-Storm Router ADSL
36
Action When Matched:Quando un pacchetto soddisfa la regola, bisogna dire se eliminare (drop) o
far passare il pacchetto in questione (forward).
Source IP Address: Introdurre l’indirizzo IP sorgente dei pacchetti (che possono essere entranti o
meno).
Source IP Mask: Introdurre la Subnet Mask sorgente dei pacchetti.
Source Port: Numero di porta sorgente da controllare per TCP o UDP.
Destination IP Address: : Introdurre l’indirizzo IP destinatario dei pacchetti (che possono essere
entranti o meno).
Destination IP Mask: Introdurre la Subnet Mask degli IP di destinazione dei pacchetti.
Destination Port:
Numero di porta di destinazione da controllare per TCP o UDP
Bisogna prestare particolare attenzione alle porte in funzione della tipologia di
pacchetti (entranti o uscenti). Se si desidera filtrare l’http è possibile farlo impostando
un filtro tanto per i pacchetti entranti che per quelli uscenti. Se il filtro è applicato ai
pacchetti uscenti bisognerà selezionare come porta di destinazione (Destination) la 80.
Se il filtro invece è applicato ai pacchetti entranti la porta di provenienza (Source)
sarà la 80. Per ulteriore documentazione si faccia riferimento ad una guida sull’uso
delle porte nel TCP/IP.
Qualora nelle regoledel firewall si scegliesse di filtrare, come protocollo, ICMP o
ANY, non sono disponibili (non facendone uso questi protocolli) le porte.
Vediamo adesso in pratica questi concetti tramite un paio di esempi:
Esempio 1
Costruiremo adesso una serie di regole utilizzando un approccio di tipo conservativo, faremo cioè
entrare solo quello che riterremo sicuro (usando il NAT nessuna chiamata originata dall’esterno
sarebbe passata, ma si potrebbe desiderare che nessuna applicazioni comunque passi per determinate
porte), con una serie di regole, e limiteremo tutto il resto del traffico in ingresso con una regola finale.
Filtro Passa FTP. Faremo una nuova regola con le seguenti caratteristiche evidenziate: Incoming,
Active=Yes, Log=Yes, Racket Type=TCP, Action When Matched=Forward, lasceremo vuoti i campi
Source IP e Destination IP per non ledere in generalità, Source Port From=20 e Source Port to=21,
Destination Port From=0, Destination Port to=65535. In questo modo ogni richiesta entrante sulla
porta 20 e 21 sarà inoltrata. Qualora non dovesse funzionare è possibile nel browser la modalità
passiva (strumenti-opzioni internet-avanzate e selezionare la voce usa un FTP passivo).