Problema con porta TCP/UDP alta

[Marck]

Ciao a tutti,

per superare un esame all'università ho bisogno di installare un
programma di disegno CAD sul mio PC a casa. Il problema è che questo
programma richiede, per l'attivazione della licenza concessami
gratuitamente dall'università per la durata del corso, di connettersi ad
un server dell'università stessa sulla porta 28000.
Chiaramente non va un bel nulla.
Ho attivato anche una sessione temporanea di IP pubblico (ho 20 ore
gratis al mese) ma niente.
Ho scollegato il router che uso di solito dietro l'HAG e mi sono
attaccato direttamente all'hag, niente.
Ho disattivato l'antivirus, windows firewall e niente (ho Win 7 64 bit).
Pingo correttamente l'IP del server e lui mi risponde.

All'uni mi hanno assicurato che il servizio di attivazione licenze
funziona alla perfezione, che non è possibile cambiare porta e che non
esistono metodi alternativi di attivazione della licenza. Inoltre tutti
gli altri (che evidentemente non hanno fastweb) non hanno problemi.
Accusano fastweb e la mia connessione. Mi hanno detto di provare con una
chiavetta 3G ma non ce l'ho.

Avete qualche idea che possa provare a mettere in pratica?
Grazie mille, ciao.
Marck

[Tommaso Pecorella]

L'unica soluzione che mi viene in mente è un tunnel verso un computer
in facoltà su cui redirigere il traffico da e per quel sistema di
autenticazione. Oppure andare in IPv6, sempre che la tua università
abbia IPv6 :)

Tunnel IPv4: suggerisco OpenVPN, ma l'uni deve avere un OpenVPN server
da qualche parte.
IPv6: per te gogo6 o sixxs, per l'Univ... cosa, L'università non è in
IPv6 ? Cambia università !

[beppo]

"Marck" wrote in message
news:4e5f9acf$0$44198$4faf...@reader1.news.tin.it...

>Ho attivato anche una sessione temporanea di IP pubblico (ho 20 ore gratis
>al mese) ma niente.

Strano perchè questo dovrebbe risolvere qualsiasi problema di porte.
Domanda.. ma un amico che ti presta la chiavetta?

[Trip65]

e tra l'altro , non ci dovrebbero essere probelmi su qualsiasi porta in
uscita = fastweb non blocca nulla in tal senso , almeno non mi risulta .
Quindi c'è un malfunzionamento da qualche parte o sui pc utente o chissà.
Bisogna fare delle prove ad es in telnet alla porta 28000 di qualche
altro ip per capire dove sta il problema

[beppo]

"Trip65" wrote in message news:j4n4bu$kas$1...@tdi.cu.mi.it...

>e tra l'altro , non ci dovrebbero essere probelmi su qualsiasi porta in
>uscita = fastweb non blocca nulla in tal senso , almeno non mi risulta .

Corretto ma a priori, non sapendo come lavora il software, non si puň sapere
se vengono negoziate porte differenti o se il server tenti di connettersi ad
una specifica porta aperta (diversa dalla 28000) in ascolto del software.

[Gregor]

On 11 Set, 12:04, Tommaso Pecorella <tommy...@gmail.com> wrote:

> L'unica soluzione che mi viene in mente è un tunnel verso un computer
> in facoltà su cui redirigere il traffico da e per quel sistema di
> autenticazione.

Sì sì, come no, ti fanno accedere subito in VPN...nei sogni!

--
Gregor

[Marck]

On 13/09/2011 0:15, beppo wrote:

>> Ho attivato anche una sessione temporanea di IP pubblico (ho 20 ore gratis
>> al mese) ma niente.
>
> Strano perchè questo dovrebbe risolvere qualsiasi problema di porte.
> Domanda.. ma un amico che ti presta la chiavetta?

Grazie per la risposta. Ce l'ho la chiavetta (in realtà è l'Iphone4) ma
a casa prende molto male.. insomma è un pò una rottura usare la
chiavetta... ma se è l'unica soluzione me ne farò una ragione...

Marck

[Marck]

On 11/09/2011 12:04, Tommaso Pecorella wrote:

> Tunnel IPv4: suggerisco OpenVPN, ma l'uni deve avere un OpenVPN server
> da qualche parte.
> IPv6: per te gogo6 o sixxs, per l'Univ... cosa, L'università non è in
> IPv6 ? Cambia università !

Grazie per la risposta. E' una Univ telematica... ma non credo di
potergli parlare di IPV6...ne sono praticamente sicuro.

Marck

[Marck]

On 13/09/2011 10:30, Trip65 wrote:

> e tra l'altro , non ci dovrebbero essere probelmi su qualsiasi porta in
> uscita = fastweb non blocca nulla in tal senso , almeno non mi risulta .
> Quindi c'è un malfunzionamento da qualche parte o sui pc utente o chissà.
> Bisogna fare delle prove ad es in telnet alla porta 28000 di qualche
> altro ip per capire dove sta il problema

Grazie per la risposta. Allora in realtà ho monitorato le connessioni
con uno sniffer ed ho scoperto che la porta remota è la 1025, la 28000
non viene per niente usata (sebbene nelle impostazioni del programma si
chieda di digitare 28...@xxx.xxx.xxx.xxx dove le x sono l'IP del server
di autenticazione).

Quindi la porta che Fastweb chiude è la 1025, il TCP Status rimane
sempre in "SYN_SENT" e non arriva mai a "ESTABLISHED". Lo stesso mio
identico PC, collegato all'Iphone in tethering con la TRE trova senza
indugio il server della licenza e mi fa usare il programma. Avevo
pensato a quel punto di lasciare il programma aperto e riconnettermi a
Fastweb (a casa la TRE prende malissimo), ma il problema è che il
programma stesso ogni 5 minuti fa un check della licenza e chiude il
programma se non trova il server... Quindi non si può fare.

Nessuno ha sentito di problemi con la porta 1025 con Fastweb? Problemi
che NEMMENO usando l'IP pubblico si risolvono?

Marck

[lorenzodes]

Il 15/09/2011 15:01, Marck ha scritto:

> Nessuno ha sentito di problemi con la porta 1025 con Fastweb? Problemi
> che NEMMENO usando l'IP pubblico si risolvono?

Tradizionalmente FW blocca le connessioni ad alcune porte esterne fra
cui la 1025. Il blocco riguarda esclusivamente le utenze residenziali
ed è motivato da "ragioni di sicurezza". Se ricordo bene altre porte
bloccate sono la 139 e la 445. E' ragionevole pensare che tali blocchi
persistano anche nel caso di utilizzo di IP pubblico.

[Marck]

Ah ecco, quindi non c'è speranza! Ma perchè queste "ragioni di
sicurezza" ci sarebbero solo per Fastweb e non per tutti gli altri
operatori nazionali?
Sai per caso se è possibile chiedere, motivandola, una deroga? Mi
basterebbero anche un paio di mesi finchè dò l'esame all'uni. Poi amen...

E' abbastanza pesante come limitazione e oltretutto non è scritta da
nessuna parte nel contratto...

Grazie mille!

Marck

[lorenzodes]

Il 15/09/2011 16:08, Marck ha scritto:

> Ah ecco, quindi non c'è speranza! Ma perchè queste "ragioni di
> sicurezza" ci sarebbero solo per Fastweb e non per tutti gli altri
> operatori nazionali?
> Sai per caso se è possibile chiedere, motivandola, una deroga? Mi
> basterebbero anche un paio di mesi finchè dò l'esame all'uni. Poi amen...
>
> E' abbastanza pesante come limitazione e oltretutto non è scritta da
> nessuna parte nel contratto...

Le limitazioni risalgono ai tempi in cui la WAN Fastweb era una cloaca
di worm che si propagavano attraverso exploit collegati ai servizi in
ascolto, su macchine Windows, sulle suddette porte.

Al fine di arginare i contagi, FW chiuse le suddette porte. E chiuse
sono rimaste fino ad oggi, anche se il rischio ormai è praticamente
trascurabile.

Dubito che FW faccia personalizzazioni nella configurazioni dei suoi
apparati residenziali. Non le fa neanche con quelli business.

[Marck]

Il 15/09/2011 16:25, lorenzodes ha scritto:

> Dubito che FW faccia personalizzazioni nella configurazioni dei suoi
> apparati residenziali. Non le fa neanche con quelli business.

Perfetto! :-( Da un lato non posso chiedere a Fastweb (figurati se
possono mettere a repentaglio la sicurezza della loro rete...),
dall'altro non posso chiedere a Siemens (produttore del software,
figurati se non è colpa di Fastweb visto che succede solo con loro)....

Sono schiacciato in una gigantesca pressa ed io sono piccolo piccolo... :-(

Marck

[beppo]

"Marck" wrote in message
news:4e7206c3$0$44208$4faf...@reader1.news.tin.it...

On 15/09/2011 15:43, lorenzodes wrote:

>Ah ecco, quindi non c'� speranza! Ma perch� queste "ragioni di sicurezza"

>ci sarebbero solo per Fastweb e non per tutti gli altri operatori
>nazionali?

Conseguenza dalla struttura della rete. Effettivamente la porta 1025, come
dice lorenzodes, � stata sfruttata come attacco al protocollo rcp di
microsoft. Quindi pu� anche essere che sia in qualche modo bloccata.

>Sai per caso se � possibile chiedere, motivandola, una deroga? Mi
>basterebbero anche un paio di mesi finch� d� l'esame all'uni. Poi amen...
Non saprei. Tentare non nuoce... Probabilemente � meglio se apri una
segnalazione dalla myfastpage cos� scrivi tu ed � pi� difficile
fraintendere.

>E' abbastanza pesante come limitazione e oltretutto non � scritta da
>nessuna parte nel contratto...
Non vorrei dire fesserie ma credo che si tratti di una porta come la 139 e
la 445 citate da lorenzodes che hanno senso e un'utilit� in reti locali ma
rappresentano solo una vulnerabilit� nel mondo di internet.

[Marc Serafino]

Il Thu, 15 Sep 2011 23:28:12 +0200, beppo ha scritto:

>>E' abbastanza pesante come limitazione e oltretutto non è scritta da

>>nessuna parte nel contratto...

> Non vorrei dire fesserie ma credo che si tratti di una porta come la 139 e

> la 445 citate da lorenzodes che hanno senso e un'utilità in reti locali ma
> rappresentano solo una vulnerabilità nel mondo di internet.

Il senso non glielo devi dare ne' tu ne' Fastweb, che ha il dovere di
fornire - come per altro fanno tutti gli altri gestori tra cui pare persino
la 3 che e' nattata - una connessione che non comporta i limiti e i
problemi che sta comportando al cliente Marck.

[beppo]

"Marc Serafino" wrote in message news:j4v4c9$72b$1...@dont-email.me...

Sul fatto che a Marck stia creando problimi è fuori dubbio. Non è certo mia
intenzione minimizzare.
Non devo decidere io se una porta ha un senso o meno? Mi sta bene (per la
1025, per la 445 è un altro discorso a meno che non mi spieghi quale utilità
possa avere al di fuori di una intranet). Certo se una porta non viene usata
per servizi in internet ma è fonte quasi esclusivamente di exploit fai tu
se ha senso o meno. Tant'e' che tu ti sei mai accorto che è bloccata? Io no.
Comunque come detto da Marck io un tentativo spiegando bene la situazione lo
farei.

[Marc Serafino]

Il Sat, 17 Sep 2011 09:57:43 +0200, beppo ha scritto:

>>Il senso non glielo devi dare ne' tu ne' Fastweb, che ha il dovere di
>>fornire - come per altro fanno tutti gli altri gestori tra cui pare persino
>>la 3 che e' nattata - una connessione che non comporta i limiti e i
>>problemi che sta comportando al cliente Marck.
>
> Sul fatto che a Marck stia creando problimi è fuori dubbio. Non è certo mia
> intenzione minimizzare.
> Non devo decidere io se una porta ha un senso o meno? Mi sta bene (per la
> 1025, per la 445 è un altro discorso a meno che non mi spieghi quale utilità
> possa avere al di fuori di una intranet).

IL punto e' che la sicurezza NON DEVE in alcum modo riguardare il provider
che e' TENUTO a fornire al cliente piena connettivita', senza alcun tipo di
limitazione.

[Trip65]

Il 17/09/2011 10.22, Marc Serafino ha scritto:

> IL punto e' che la sicurezza NON DEVE in alcum modo riguardare il provider
> che e' TENUTO a fornire al cliente piena connettivita', senza alcun tipo di
> limitazione.

tanto è che è la bandiera di alcuni provider :)

bisogna tuttavia dire che , per come era strutturata prima fastweb con
piena visibilità tra gli utenti sulle MAN , quel blocco poteva avere un
senso , ora non saprei ma suppongo che se per il mio isp il blocco di
qualsiasi porta non è un problema (nel senso che non ne blocca manco
una)e non mi risultano problemi di sicurezza sulla rete del medesimo ,
non capisco come essere un problema per gli altri .

[Marc Serafino]

Il Sat, 17 Sep 2011 12:10:16 +0200, Trip65 ha scritto:

>> IL punto e' che la sicurezza NON DEVE in alcum modo riguardare il provider
>> che e' TENUTO a fornire al cliente piena connettivita', senza alcun tipo di
>> limitazione.
>

> bisogna tuttavia dire che , per come era strutturata prima fastweb con
> piena visibilità tra gli utenti sulle MAN , quel blocco poteva avere un
> senso

No! Non era giustificato neppure in quella situazione. Fastweb doveva
essere in grado di proteggere la propria rete, ma senza limitare in alcun
modo la connettivita' degli utenti. Che poi, sia chiaro, con i nuovi
indirizzamenti routed non e' che sia cambiato nulla: tutti i clienti
passano comunque sempre attraverso la rete metropolitana locale di Fastweb.

[Trip65]

Il 17/09/2011 15.22, Marc Serafino ha scritto:
non e' che sia cambiato nulla: tutti i clienti
> passano comunque sempre attraverso la rete metropolitana locale di Fastweb.

Essendo nattati pero' dal router , se non si aprono le porte , i danni
non sono automatici come prima quando i pc prendevano ip direttamente
dalla man . Difatti i virus si propagavano alla velocità della luce e
non era difficile trovare files e stampanti di chissà chi a disposizione
"pubblica"
Cmq la vecchia architettura era veramente scandalosa al limite di ogni
decenza (anche ai fini della sicurezza)e li ha costretti alla mentalità
blocca di qua, blocca di la, inibisci questo , proibisci quello ...
Non giustifico nessuno : se telecom,tiscali,infostrada e quanti altri
riescono almeno in uscita a non avere nessun blocco , non vedo perchè
fastweb non ci riesca : è ora di equipararsi agli altri : per ora con ip
pubblico,routed, eliminazione dei blocchi sulle vpn sono sulla buona
strada ... forza che ce la fanno :)

[Marc Serafino]

Il Sat, 17 Sep 2011 20:28:07 +0200, Trip65 ha scritto:

> Cmq la vecchia architettura era veramente scandalosa al limite di ogni
> decenza (anche ai fini della sicurezza)e li ha costretti alla mentalità
> blocca di qua, blocca di la, inibisci questo , proibisci quello ...
> Non giustifico nessuno : se telecom,tiscali,infostrada e quanti altri
> riescono almeno in uscita a non avere nessun blocco , non vedo perchè
> fastweb non ci riesca : è ora di equipararsi agli altri : per ora con ip
> pubblico,routed, eliminazione dei blocchi sulle vpn sono sulla buona
> strada ... forza che ce la fanno :)

Insomma, 25 porte al massimo da dividersi tra uno o piu' pc/dispositivi non
mi sembra proprio un granche' considerando che le porte sono 65.000 e rotti
e tutti gli altri le offrono tutte aperte anche in ingresso. :-(((

[beppo]

"Marck" wrote in message
news:4e71f59b$0$44205$4faf...@reader1.news.tin.it...

Come già detto segnala. Magari una soluzione la trovano. In alternativa, se
hai un attimo di tempo per fare una prova, dai un occhio a qualche vpn free:
giusto un paio di nomi project loki o ultravpn. Ti scarichi il software,
attivi il tunnel e vede se riesci (la teoria è una cosa ma trattandosi di
servizi free bisogna per forza provare per capire se non applicano qualche
tipo di limitazione) .

[beppo]

"Marc Serafino" wrote in message news:j51lbs$311$1...@dont-email.me...

Vedila un po' come ti pare. Per quel che mi riguarda se per qualche ragione
viene bloccata una porta che non da nessun servizio la cosa non mi urta. Se
poi viene bloccata una porta che veicola solo virus, personalmente, ben
venga.

[Marc Serafino]

Il Sun, 18 Sep 2011 12:20:17 +0200, beppo ha scritto:

>>IL punto e' che la sicurezza NON DEVE in alcum modo riguardare il provider
>>che e' TENUTO a fornire al cliente piena connettivita', senza alcun tipo di
>>limitazione.
>
> Vedila un po' come ti pare. Per quel che mi riguarda se per qualche ragione
> viene bloccata una porta che non da nessun servizio la cosa non mi urta. Se
> poi viene bloccata una porta che veicola solo virus, personalmente, ben
> venga.

A me urta eccome. Il provider e' uno che - viste anche le cifre assurde che
si pagano in Italia rispetto agli altri paesi - mi DEVE fornire
connettivita' completa, come la utilizzo sono affati miei che non lo devono
riguardare. E, per Dio, si allieano tutti a questa sacrosanta esigenze,
possibile che gli unici che vogliono imporre le proprie regole siano quei
barboni di Fastweb??? :-((((

[lorenzodes]

Il 18/09/2011 12:20, beppo ha scritto:
>
> Vedila un po' come ti pare. Per quel che mi riguarda se per qualche ragione
> viene bloccata una porta che non da nessun servizio la cosa non mi urta. Se
> poi viene bloccata una porta che veicola solo virus, personalmente, ben
> venga.
>

Che discorso del piffero...

[Marc Serafino]

Se n'e' accorta persino la vekkia DES, zekkona apparentemente iper
tecnologica. Cose da pazzi si leggono qui firmate da quel tal Beppo.

[Marck]

On 18/09/2011 12:20, beppo wrote:
> Se
> poi viene bloccata una porta che veicola solo virus, personalmente, ben
> venga.

Il fatto � che non veicola solo virus... a me serviva per la licenza di
un sw di CAD che uso, non riesco ad usarlo su connessione Fastweb
proprio perch� RICHIEDE la verifica della licenza ogni tot minuti sulla
porta 1025 e non si pu� cambiare il numero di porta in nessun modo.

Oltretutto � l'unico provider italiano (e forse mondiale) a chiudere
questa porta, come mai?

Marck

[Marc Serafino]

Il Fri, 23 Sep 2011 11:34:42 +0200, Marck ha scritto:

>> Se
>> poi viene bloccata una porta che veicola solo virus, personalmente, ben
>> venga.
>

> Il fatto è che non veicola solo virus... a me serviva per la licenza di

> un sw di CAD che uso, non riesco ad usarlo su connessione Fastweb

> proprio perchè RICHIEDE la verifica della licenza ogni tot minuti sulla
> porta 1025 e non si può cambiare il numero di porta in nessun modo.
>
> Oltretutto è l'unico provider italiano (e forse mondiale) a chiudere
> questa porta, come mai?
>
Perche' vogliono i nostri soldi per venderci a caro prezzo una connessione
da utilizzare come dicono loro. E i loro scagnozzi vengono pure qui a
prenderci per i fondelli.

[beppo]

"Marck" wrote in message
news:4e7c52af$0$15668$4faf...@reader2.news.tin.it...

On 18/09/2011 12:20, beppo wrote:
>> Se
>> poi viene bloccata una porta che veicola solo virus, personalmente, ben
>> venga.
>

>Il fatto è che non veicola solo virus... a me serviva per la licenza di un

>sw di CAD che uso, non riesco ad usarlo su connessione Fastweb proprio

>perchè RICHIEDE la verifica della licenza ogni tot minuti sulla porta 1025
>e non si può cambiare il numero di porta in nessun modo.
>
>Oltretutto è l'unico provider italiano (e forse mondiale) a chiudere questa
>porta, come mai?

Il riferimento era alla 445 e non la 1025. Hai segnalato? Risposte?. Come ti
ho detto potresti anche provare con una vpn per vedere se riesci a far
funzionare tutto. Capisco che non è la cosa più corretta però...
Come mai è già stato accennato. Non mi interessa giustificare ma il perchè è
abbastanza palese (giusto o sbagliato è un altro discorso). Fino a poco fa
(prima che fossero inseriti apparati con funzioni di router, ora sta pian
piano cambiando) con fastweb era come essere in una grande rete, i pc al suo
interno avevano piena visibilità tra di loro. Questo comportava vari aspetti
positivi e vari negativi. In caso di virus che sfruttavano una qualche
vulnerabilità di windows ti lascio immaginare cosa succedeva visto che ogni
pc infetto poteva raggiungere altri pc sulla porta vulnerabile e infettarli.
Da qui immagino la scelta che è poi quello che viene fatto spesso ad esempio
in una rete aziendale di medie dimensioni. E' ancora attuale? Penso di no ma
considerando il numero di pc con ancora xp... altri provider non hanno
questo meccanismo per cui non hanno nessuna necessità, non solo perchè
avendo modem che fanno nat eventuali richieste su porte non aperte non
passano ma perchè l'indirizzamento tra lan interna (quella tua, dietro il
modem) e lan "pubblica" è differente ed eventuali tentativi di contagio del
virus rimangono diciamo in casa tua.

[lorenzodes]

Il 23/09/2011 23:24, beppo ha scritto:

> Il riferimento era alla 445 e non la 1025.

E' la stessa identica cosa. Esistevano dei malware che sfruttavano
vulnerabilità del servizio RPC su porta 1025, come ne esistevano altri
che sfruttavano le vulnerabilità del servizio SMB/Netbios su porta 445.

L'idea di bloccarle è comunque una cazzata.

[Trip65]

E' una cazzata l'idea di bloccare *QUALSIASI COSA* possa provocare una
menomazione della connettività : dalle porte ai protocolli ecc ecc

[Marck]

On 03/10/2011 14:11, Trip65 wrote:

> E' una cazzata l'idea di bloccare *QUALSIASI COSA* possa provocare una
> menomazione della connettività : dalle porte ai protocolli ecc ecc

Già, anche perchè il risultato è che poi chi vuole far danni smetterà di
usare le porte e i protocolli chiusi e passerà a quelli aperti... finchè
anche questi verranno chiusi.... finchè tutto verrà chiuso :-)

Marck

[beppo]

"Marck" wrote in message
news:4e89b899$0$44211$4faf...@reader1.news.tin.it...

>
>Già, anche perchè il risultato è che poi chi vuole far danni smetterà di
>usare le porte e i protocolli chiusi e passerà a quelli aperti... finchè
>anche questi verranno chiusi.... finchè tutto verrà chiuso :-)

Non ritorno sul tema giusto o sbagliato perchè ho già detto la mia.
Non funziona comunque così la questione. Non è che bloccata la 445 chi
"vuole far danni" inizia ad usare la 446.
Storicamente ci sono state porte che in certi periodi e con certi sistemi
operativi sono state facilmente attaccabili tramite virus e utilizzate per
ridiffonderli. Se una porta non può essere violata tramite exploit il
problema non sussiste.

[Marc Serafino]

Il Tue, 4 Oct 2011 19:50:28 +0200, beppo ha scritto:

>>Già, anche perchè il risultato è che poi chi vuole far danni smetterà di
>>usare le porte e i protocolli chiusi e passerà a quelli aperti... finchè
>>anche questi verranno chiusi.... finchè tutto verrà chiuso :-)
>
> Non ritorno sul tema giusto o sbagliato perchè ho già detto la mia.
> Non funziona comunque così la questione. Non è che bloccata la 445 chi
> "vuole far danni" inizia ad usare la 446.
> Storicamente ci sono state porte che in certi periodi e con certi sistemi
> operativi sono state facilmente attaccabili tramite virus e utilizzate per
> ridiffonderli. Se una porta non può essere violata tramite exploit il
> problema non sussiste.

Resta comunque il fatto che come uso la mia connessione non devono essere
cazzi di Fastweb.

[Trip65]

Il 05/10/2011 11:14, Marc Serafino ha scritto:

> Resta comunque il fatto che come uso la mia connessione non devono essere
> cazzi di Fastweb.

A quanto pare invece si preoccupano "parecchio" ..
hanno ri-bloccato qualcosa sulle 1723/500 o sul protocollo GRE dopo
aver tenuto aperto per un periodo .
Viene da pensare che il funzionamento delle vpn sia stato un errore di
cfg e adesso (magari a leggere qua..) hanno ri-blindato la faccenda .

In ogni caso , sono veramente dei fanghi