problemi di accesso tramite firewall
Marco
problema è il seguente,possiedo due rete gestite da un firewall hardware
zyxel modello ZyWall 2 Plus,gli indirizzi di rete assegnati sono per il
primo blocco di pc 10.0.0.X e per il secondo gruppo di PC 10.0.10.X,ho
ovviamente abilitato le varie regole di autorizzazione sul firewall come ad
esempio dare il permesso che dal pc 10.0.0.10 possa andare al pc 10.0.10.50
per entrare in desktopo remote aprendo la porta 3389 e tutto funziona
perfettamente.Il mio problema però nasce dal momento in cui dalla rete
10.0.0.X vorrei andare su un NAS WesternDigital con indirizzo 10.0.10.200,ho
provato ad aprire solo le porte 445,139 ed ho provato a dirgli di permettere
il traffico su qualunque porta verso l'indirizzo ip del nas,ma non c'è nulla
da fare,riesco ad entrare nella pagina di gestione http ma non nelle
cartelle condivise,ovviamente inutile dire che dal pc che appartiene allo
stesso gruppo di indirizzo ip riesco tranquillamente ad accedere al nas.
Dove sbaglio?Ovviamente il nas western digital monta un sistema operativo
Linux,ma non credo sia quello il problema,non riesco proprio a venirne a
capo,qualcuno di voi sarebbe così gentile da darmi una mano?
Grazie.
Slowhand
Ciao, cosa dicono a riguardo i log del firewall? Potresti provare a
tracciare la connessione per vedere lui cosa blocca.
Daniele
Marco
un'altro messaggio con un pacchetto sempre sulla 445 dropped,ma la cosa
strana è che cmq non c'è presente nessuna limitazione,piena autorizzazione a
tutto il traffico diretto verso quell'indirizzo e da
quell'indirizzo,mettendo sui servizi ANY sia su TCP,UDP e ICMP. Non
comprendo cosa sbaglio. :-(
Mirko Borsari
> salve a tutti,spero di riuscire ad avere una vostra mano di aiuto,il mio
> problema è il seguente,possiedo due rete gestite da un firewall hardware
> zyxel modello ZyWall 2 Plus,gli indirizzi di rete assegnati sono per il
> primo blocco di pc 10.0.0.X e per il secondo gruppo di PC 10.0.10.X,ho
Non ho capito.
Usi lo zywall solo per dividere le due reti (una sulla lan e una sulla
wan) oppure anche per farle navigare?
Perchè nel secondo caso non capisco come fai a farlo visto che ha due
interfacce (e gli ipalias fanno routing tra loro)
> perfettamente.Il mio problema però nasce dal momento in cui dalla rete
> 10.0.0.X vorrei andare su un NAS WesternDigital con indirizzo 10.0.10.200,ho
> provato ad aprire solo le porte 445,139 ed ho provato a dirgli di permettere
> il traffico su qualunque porta verso l'indirizzo ip del nas,ma non c'è nulla
> da fare,riesco ad entrare nella pagina di gestione http ma non nelle
hai provato a fare anche una regola opposta che permette il traffico
da nas a pc?
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Nera...
L'indirizzo em@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente.
Marco
rete,non so se conosci i firewall Zyxel (o se sono tutti cosě),ma questo
firewall dispone di una Wan e di quattro porte Lan a cui poter
assegnare,volendo, 4 indirizzi ip diversi,bene io ho inserito sulla wan il
modem dlink (l'apertura della navigazione avviene proprio dal firewall) e
poi una porta lan ha una classe di indirizzi e l'altra porta lan ha un'altra
classe di indirizzi (chiamiamo per convenzione lan2),i pc sulle due lan
navigano regolarmente,ma non si vedono tra di loro a meno che io definisca
la relativa regola,stile porta 3389 per il desktop remote o 20-21 per l'ftp
e cosě via e tutto funziona a regola d'arte,l'unico a dare problemi č questo
nas,sulla classe di indirizzi a cui sono collegati anche due pc si vede e le
risorse sono regolarmente accessibili,mentre dall'altra classe,anche se io
ho abilitato tutto il traffico da e per il nas,autorizzando tutte le
porte,l'unica cosa che mi permette di fare e accedere dalla pagina web alla
configurazione dello stesso ,ma quando provo a mapparlo windows mi
restituisce un'errore e se clicco su risoluzione errore,mi dice che ha
trovato il servizio di condivisione file e stampante ma che questo non
risponde.Guardando i log risulta prima un messaggio di permitted sulla porta
445 avente come origine il mio PC e come destinazione il NAS e subito dopo
un'altro messaggio in cui mi viene detto che la stessa richiesta riportante
sempre la porta 445 č stata dropped.
Spero che adesso sia piů chiaro.
Mirko Borsari
> Ciao Mirko,io uso il firewall proprio per dividere fisicamente le due
> rete,non so se conosci i firewall Zyxel (o se sono tutti così),ma questo
anni fa mi ero certificato zyxel, poi vista la schifosaggine che sono
li ho abbandonati.
> firewall dispone di una Wan e di quattro porte Lan a cui poter
> assegnare,volendo, 4 indirizzi ip diversi,bene io ho inserito sulla wan il
lo zywall 2 ha la possibilità di definire 5 interfacce indipendenti?
Sono diventati matti in zyxel... :-)
> Spero che adesso sia più chiaro.
esattamente come prima.
Ripeto quello che ti ho detto inizialmente: hai provato aggiungendo
una regola che permette il traffico dal nas al pc?
Marco
>esattamente come prima.
>Ripeto quello che ti ho detto inizialmente: hai provato aggiungendo
>una regola che permette il traffico dal nas al pc?
si certo,totale accesso dal nas al pc e dal pc al nas,inizialmente avevo
creato la regola usando la porta TCP della condivisione samba,poi vedendo
che non funzionava ho sostituito l'autorizzazione per la singola porta con
l'autorizzazione per tutte le porte.Ma niente continua a non mostrarmi la
condivisione.
Mirko Borsari
> si certo,totale accesso dal nas al pc e dal pc al nas,inizialmente avevo
> creato la regola usando la porta TCP della condivisione samba,poi vedendo
> che non funzionava ho sostituito l'autorizzazione per la singola porta con
> l'autorizzazione per tutte le porte.Ma niente continua a non mostrarmi la
> condivisione.
ma sei sicuro che quel NAS permetta di fare quello che vuoi tu? Magari
non puň gestire richieste smb che provengono da una rete diversa.
Prova ad abilitare il nat cosě ti presenti con un ip della sua stessa
subnet. Prima puoi anche provare se con l'accesso ftp funziona.
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Nera...
L'indirizzo em@il non č da considerarsi pubblico,
Marco
>ma sei sicuro che quel NAS permetta di fare quello che vuoi tu? Magari
>non puň gestire richieste smb che provengono da una rete diversa.
posso usarlo questo nas non lo prevede,posso perň provare tramite nat.
Ti faccio sapere piů tardi.
Grazie.
Marco
configurazione del nat l'abbia fatta corretta.
Sono andato a impostare il nat da SUA a Full Featurel,poi sono andato alla
voce address mapping e ho scelto ONE to ONE,poi local start ip (quello del
mio pc) e su Global Start IP (l'ip del nas),così facendo quando vado a
mappare l'unità non mi risponde più che non riesce a trovare la condivisione
ma chiede direttamente il nome utente e la password,stranamente però pur
inserendo i dati corretti me li richiede sempre come se fossero errati
(inutile dire che ho la certezza che siano valide visto che sul pc della
stessa classe funziona perfettamente).
Qualche altra dritta da darmi per favore?
Grazie.
Mirko Borsari
> Ciao Mirko ho appena fatto la prova e qualcosa sembra cambiata,sempre che la
> configurazione del nat l'abbia fatta corretta.
> Sono andato a impostare il nat da SUA a Full Featurel,poi sono andato alla
> voce address mapping e ho scelto ONE to ONE,poi local start ip (quello del
> mio pc) e su Global Start IP (l'ip del nas),così facendo quando vado a
ho mal di testa quindi non riesco a focalizzare... ma qualcosa non mi
torna (e non ho degli zyxel accesi in giro per verificare).
Direi che così l'ip del pc viene traslato nell'ip del nas. Non mi
convince, io metterei un IP libero della rete del nas al posto dell'ip
del nas. In quel modo il pc dovrebbe presentarsi con un ip sulla
stessa subnet. Tutto da prendere con le molle!
> mappare l'unità non mi risponde più che non riesce a trovare la condivisione
> ma chiede direttamente il nome utente e la password,stranamente però pur
è già qualcosa.
> inserendo i dati corretti me li richiede sempre come se fossero errati
> (inutile dire che ho la certezza che siano valide visto che sul pc della
> stessa classe funziona perfettamente).
> Qualche altra dritta da darmi per favore?
se non va con la modifica di prima, prova anche impostando il nat alla
rovescia rispetto ad ora. Pubblica il nas sull'altra rete (sempre
usando un ip libero)...
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Nera...
L'indirizzo em@il non è da considerarsi pubblico,
Marco
Prova appena fatta,se metto un ip libero e non quello del nas il risultato
non cambia,a parte ovviamente rispondermi con l'indirizzo libero e non più
con quello del nas,mentre se inverto la situazione,mettendo su local ip
quello del nas e su global un indirizzo ip libero della mia rete,appena
provo a mappare la rete utilizzando la stessa sintassi ma stavolta
sostituendo l'ip con quello libero appartenente alla mia stessa classe non
mi risponde proprio,non mi chiede neppure nome utente e password.
Capisco che hai mal di testa,anche io quando mi vengono i mal di testa,vado
Offline :-) di conseguenza,ci riaggiorniamo domani.
Grazie ancora per l'aiuto.
Valerio Vanni
Un consiglio: se tu usassi meglio la punteggiatura e tu dividessi il
testo in paragrafi con linee vuote sarebbero più comprensibili i tuoi
post.
E' difficile leggere un flusso di testo con 15 righe intervallate solo
da virgole.
>Ciao Mirko,io uso il firewall proprio per dividere fisicamente le due
>rete,non so se conosci i firewall Zyxel (o se sono tutti così),ma questo
>firewall dispone di una Wan e di quattro porte Lan a cui poter
>assegnare,volendo, 4 indirizzi ip diversi,
A dire il vero lo Zywall2plus (ho controllato in questo momento) non
ha la possibilità di impostare un indirizzo IP a una porta.
E' un po' differente, ogni porta può essere assegnata a una delle tre
interfacce disponibili (LAN - DMZ - WLAN), poi ognuna di queste tre
interfacce può avere due IP aggiuntivi.
Mi pare sia importante chiarirlo per capire come è organizzato il tuo.
A quali porte sono collegate le macchine che stai cercando di fare
vedere?
Quali sono i ruoli di queste due porte? (LAN - DMZ - WLAN)?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Marco
>Quali sono i ruoli di queste due porte? (LAN - DMZ - WLAN)?
Il nas sta sulla Wlan e il pc da cui voglio accedere al nas sta sulla LAN.
Valerio Vanni
>>Quali sono i ruoli di queste due porte? (LAN - DMZ - WLAN)?
>
>Il nas sta sulla Wlan e il pc da cui voglio accedere al nas sta sulla LAN.
E le regole nelle direzioni LANtoWLAN e viceversa come sono impostate?
Sia le regole di default che quelle aggiute.
Di default sono LANtoWLAN=tutto permesso e WLANtoLAN=tutto bloccato.
Ricorda anche che, in aggiunta al firewall, gli Zywall hanno un filtro
specifico sulle porte Netbios (di default attivo).
Se vuoi rimuoverlo devi farlo sotto Network-LAN, marcando "allow
between LAN and WLAN".
Marco
>Se vuoi rimuoverlo devi farlo sotto Network-LAN, marcando "allow
>between LAN and WLAN".
Ciao e grazie per prima cosa,allora comincio da qui,se rimuovo il filtro
(attualmente è attivo) le regole sotto il firewall mi faranno sempre da
sbarramento nella comunicazione dei due pc collegati rispettivamente tra
Wlan e Lan giusto?Nel senso che sarà sempre valida la regola in cui gli dico
che l'unica comunicazione che deve passare è quella sulla porta 3389 sull'IP
X.
Mentre per quanto riguarda i permessi,ho dato "tutto permesso" sia da Lan a
Wlan e viceversa e per quanto riguarda quelle aggiunte come indicato in
qualche post sopra,ho autorizzato il Nas a poter andare verso qualunque IP
della rete LAN su qualunque porta TCP/UDP e ho autorizzato qualunque PC
della rete LAN a poter andare specificatamente solo verso l'indirizzo IP del
NAs appartenente alla rete Wlan,sempre ovviamente autorizzazione valida su
tutte le porte TCP/UDP.
PS. Il tempo di pranzare e poi faccio qualche prova disabilitando il filtro
netbios. (PS. Nello specifico a che serve il filtro netbios nel momento in
cui tutte le regole passano dal firewall con gli indirizzi IP e dunque dal
TCP?)
Marco
Troppa curiosità non ho atteso neppure la fine del pranzo.
GRAZIE MILLE,mi hai risolto il problema,senza neppure bisogno di utilizzare
il nat,semplicemente era la regola di blocco sul netbios,solo una
perplessità mi rimane,avendo disabilitato questo blocco ma lasciato tutto
invariato le regole impostate precedentemente sul firewall,posso cmq stare
tranquillo che non possa esistere comunicazione tra i pc della Wlan e quelli
della LAN (a meno che io li autorizzi con regole apposite,giusto),se non ti
chiedo troppo e potresti darmi una piccolissima spiegazione sulla funzione
blocco netbios ti sarò enormemente grato.
Grazie ancora di tutto e ovviamente grazie anche a Mirko per i consigli che
mi aveva dato precedentemente.
Valerio Vanni
>GRAZIE MILLE,mi hai risolto il problema,senza neppure bisogno di utilizzare
>il nat, >semplicemente era la regola di blocco sul netbios,solo una
>perplessitŕ mi rimane,avendo disabilitato questo blocco ma lasciato tutto
>invariato le regole impostate precedentemente sul firewall,
Sě, il blocco Netbios riguarda solo il netbios.
Rimuovere il blocco Netbios non sblocca nulla sul firewall che non sia
giŕ sbloccato dall'interfaccia apposita (quella del firewall).
>posso cmq stare
>tranquillo che non possa esistere comunicazione tra i pc della Wlan e quelli
>della LAN (a meno che io li autorizzi con regole apposite,giusto)
Nel firewall, in direzione WLANtoLAN non c'č bisogno che tu metta
eccezioni, puoi lasciare il default "blocca tutto". A meno che,
ovviamente, non ti serva un'eccezione per un fondato motivo.
>se non ti
>chiedo troppo e potresti darmi una piccolissima spiegazione sulla funzione
>blocco netbios ti sarň enormemente grato.
Il blocco netbios non influisce sulla configurazione del firewall,
sono due muri da superare in successione.
La tua domanda č "perché ci hanno messo un blocco specifico se la cosa
era tranquillamente gestibile dal firewall?".
A mio avviso hanno voluto mettere una barriera in piů, dato che in una
rete Windows le comunicazioni Netbios rappresentano un punto
abbastanza critico per la sicurezza. Come a dire "se proprio volete
sbloccare questo tipo di comunicazione fatelo in maniera esplicita e
cosciente".
E' solo una mia ipotesi, perň.
Marco
grazie della spiegazione,effettivamente ho fatto alcune prove di attacco dai
pc della wlan verso i pc della lan ed il risultato è stato identico a prima
di disabilitare la regola netbios.
Grazie ancora.