Atlantis Land A02-RA MI01 Manuale d'uso

Capitolo 3 Uso dell’I-Storm Router ADSL

38

Dovreste ottenere un’immagine del genere.

Esempio 2

Anzitutto è necessario assegnare ai PC che si vogliono limitare degli indirizzi IP fissi e disabilitare
così, qualora fosse attivo, il client DHCP. In questo modo, avendo sempre i medesimi indirizzi IP
potremo operare correttamente (si ricorda che invece se fossero client DHCP l'indirizzo IP potrebbe
mutare). L'idea da seguire sono le seguenti: Utenti appartenenti al gruppo A saranno filtrati ed
Utenti appartenenti al gruppo B avranno invece accesso senza alcuna limitazione a tutti i servizi
internet. Per ottenere questo creeremo nel firewall dell'I-Storm tutta una serie di regole che
consentiranno il passaggio per i pacchetti uscenti e provenienti dagli IP dei PC del gruppo A dei vari
servizi consentiti. Creeremo poi una regola finale che eliminira tutti i pacchetti uscenti provenienti
dagli IP dei PC del gruppo A (saranno quei pacchetti che non sono passati nelle regole di sopra e che
dunque non sono autorizzati ad uscire). Vediamo adesso come scegliere gli IP del gruppo A. Anzitutto
saranno IP contigui (appartenente alla classe 192.168.1.x per esempio). Creiamo la regola 1 per
pacchetti uscenti che se soddisfatta inoltra il pacchetto (qualora un pacchetto non la soddisfa si passa
alla regola 2 e così via). Tale regola deve consentire la visione delle pagine WEB. Metteremo nel
campo Source l'indirizzo IP di un PC del gruppo A, poi come subnet metteremo 255.255.255.252 (per
4 elementi, oppure 248 per 8 elementi). Sceglieremo TCP, come azione Forward e come porta di
destinazione la 80. Faremo poi le regole che consentono il passaggio delle porte TCP 110 e TCP 25
(entrambe per la posta) ed UDP 53 per la risoluzione dei DNS. Fatto questo faremo la regola finale che
taglia tutti i pacchetti provenienti da questi IP che non hanno passato nessuna regola antecedente,
questa regola avrà come azione Drop. Dovrebbe apparire un risultato analogo alla foto di sotto:

In questo modo i pacchetti uscenti appartenenti al gruppo A e che soddisfano le regole sono inoltrati,
quelli provenienti da A e che non soddisfano le regole di inoltro sono eliminati dalla regola 5. I
pacchetti provenienti da altri IP sono semplicemente inoltrati perchè non soddisfano alcuna regola. E'
possibile creare più gruppi e per ogni gruppo consentire determinati servizi.

Scelta dei gruppi. E' opportuno per evitare errori scrivere gli indirizzi IP in binario così come la
subnet mask. Facciamo un esempio:44 in binario diviene 00101100. La subnet mask 248 è 11111000.
Quindi mettere come IP=192.168.168.44 e subnet mask=255.255.255.248 significa indicare in binario
tutti quegli IP che cambiano i soli ultimi 3 bit (000,001....111). Cioè da 192.168.1.40 sino