| View previous topic :: View next topic |
| Author |
Message |
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
 Posted: Mon Nov 19, 2007 3:57 pm Post subject: Nas+wifi+internet [OK] |
 |
|
Ok,
la situazione è questa:
- 3 pc con accesso wifi
- 1 disco NAS ethernet (non wifi)
- 1 AP
- 1 router ethernet
Ora, con questi elementi è possibile secondo voi fare in modo che i 3 pc possano - esclusivamente via wifi - collegarsi sia al NAS che ad internet, senza che il NAS, sia pubblicato sulla stessa rete che accede ad internet tramite il router ?
Coda
Last edited by codadilupo on Tue Nov 20, 2007 8:19 am; edited 1 time in total |
|
| Back to top |
|
 |
IlGab
Guru
Joined: 26 Nov 2004
Posts: 486
|
| Posted: Mon Nov 19, 2007 4:46 pm Post subject: |
|
|
Dipende da che apparati hai.
Puoi mettere il nas su una sottorete a cui fai conoscere solo la subnet su cui stanno i pc e non gli dai invece un default gateway per internet, in questo modo i pacchetti che arrivano sulla rete del nas da internet non avranno una rotta di ritorno e non sarà possibile comunincare col nas dall'esterno... non so se mi sono spiegato.
Però un firewall sarebbe utile. |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Mon Nov 19, 2007 5:35 pm Post subject: |
|
|
| IlGab wrote: | | Dipende da che apparati hai. |
ehe, beh, certo: se il router fosse un cisco_vattelapesca, la domanda sarebbe anche fuori luogo  Purtroppo, pero', tutti gl'apparati di cui sopra possono essere considerati di fascia consumer
| Quote: | | Puoi mettere il nas su una sottorete a cui fai conoscere solo la subnet su cui stanno i pc e non gli dai invece un default gateway per internet, in questo modo i pacchetti che arrivano sulla rete del nas da internet non avranno una rotta di ritorno e non sarà possibile comunincare col nas dall'esterno... |
perfetto. Ora questo pero' prevede che io abbia almeno un ulteriore apparato rispetto ai citati, giusto ? Almeno uno switch, altrimenti niente VLAN, e quindi niente reti separate, corretto ?
| Quote: | | Però un firewall sarebbe utile |
a questo pensavo di ovviare con un d-link, o un router di fascia SOHO
Coda |
|
| Back to top |
|
|
X-Act!
Apprentice
Joined: 22 Nov 2004
Posts: 245
Location: /home/xact/
|
| Posted: Mon Nov 19, 2007 11:18 pm Post subject: |
|
|
Non mi è del tutto chiaro il problema: perché non mettere i client e il nas sulla stessa rete? Se hai un unico indirizzo ip pubblico (tipo l'adsl di casa) e sei dietro un nat non fai nessun forward verso l'ip del nas e sei apposto; se invece ogni macchina ha un ip pubblico anche un qualsiasi apparato consumer ti permette di definire un'access list per bloccare il traffico esterno verso il nas.
Poi puoi tranquillamente metterli su sottoreti diverse senza bisogno di vlan, ma mi sembra sparare ad una mosca con un cannone...
Banalmente ti basta non configurare il default gateway sul nas e sei sicuro che sarà raggiungibile solo dalla tua rete e da nessun'altra.
_________________
"Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Nov 20, 2007 8:18 am Post subject: |
|
|
| X-Act! wrote: | | Poi puoi tranquillamente metterli su sottoreti diverse senza bisogno di vlan, ma mi sembra sparare ad una mosca con un cannone... |
beh, posso anche collegare due pc con un cavo e definire due reti differenti, ma non si parlano
O intendi che si possano anche parlare ? Probabilmente, ma allora si' che stiamo preparando un bazooka di troppo
| Quote: | | Banalmente ti basta non configurare il default gateway sul nas e sei sicuro che sarà raggiungibile solo dalla tua rete e da nessun'altra |
faro' cosi', mi sembra la soluzione piu' semplice
Coda |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Nov 20, 2007 12:51 pm Post subject: |
|
|
Spero non ti secchi se ti faccio qualche domanda anche se hai risolto ma non ho ben capito la tua problematica ...
Perchè non vuoi che il nas sia nella stessa rete dei pc ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Nov 20, 2007 3:01 pm Post subject: |
|
|
piu' che altro, non volevo il NAS sulla stessa rete che accede a internet, proprio per evitare che da internet si potesse accedere al NAS. Ma, visto che inibire le risposte del NAS al di fuori dela rete di cui fa parte è una soluzione sufficiente, direi che l'eventuale DMZ diventa solo fonte di ulteriori problemi, e - soprattutto - renderebbe necessario l'uso di ulteriori apparati e cavi (che è poi quello che vorrei evitare )
Coda |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Nov 20, 2007 3:32 pm Post subject: |
|
|
| codadilupo wrote: | piu' che altro, non volevo il NAS sulla stessa rete che accede a internet, proprio per evitare che da internet si potesse accedere al NAS. Ma, visto che inibire le risposte del NAS al di fuori dela rete di cui fa parte è una soluzione sufficiente, direi che l'eventuale DMZ diventa solo fonte di ulteriori problemi, e - soprattutto - renderebbe necessario l'uso di ulteriori apparati e cavi (che è poi quello che vorrei evitare )
Coda |
Scusa ma se a internet accedi tramite un router (come mi pare di aver capito) a meno che tu non abiliti esplicitamente un accesso al NAS da internet questo risulta irraggiungibile da fuori ...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Nov 20, 2007 3:52 pm Post subject: |
|
|
| Kernel78 wrote: | | Scusa ma se a internet accedi tramite un router (come mi pare di aver capito) a meno che tu non abiliti esplicitamente un accesso al NAS da internet questo risulta irraggiungibile da fuori ... |
Mica detto Altrimenti i firewall non servirebbero a nulla, no ? Invece inibendo le risposte del NAS al di fuori della sua propria rete, ho l'ulteriore sicurezza che un eventuale attaccante deve bucare il firewall e successivamente acchiapparsi un client della rete, prima di poter accedere al NAS
Coda |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Nov 20, 2007 4:03 pm Post subject: |
|
|
| codadilupo wrote: | | Kernel78 wrote: | | Scusa ma se a internet accedi tramite un router (come mi pare di aver capito) a meno che tu non abiliti esplicitamente un accesso al NAS da internet questo risulta irraggiungibile da fuori ... |
Mica detto Altrimenti i firewall non servirebbero a nulla, no ? Invece inibendo le risposte del NAS al di fuori della sua propria rete, ho l'ulteriore sicurezza che un eventuale attaccante deve bucare il firewall e successivamente acchiapparsi un client della rete, prima di poter accedere al NAS
|
Capisco e approvo la paranoia estrema ma se tu non istruisci il router su quale porta aprire in ascolto su internet e su quale ip e porta della rete interna deve forwardarla non esiste ne in cielo ne in terra che da fuori possano collegarsi a quella macchina.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Nov 20, 2007 4:51 pm Post subject: |
|
|
| Kernel78 wrote: | | Capisco e approvo la paranoia estrema ma se tu non istruisci il router su quale porta aprire in ascolto su internet e su quale ip e porta della rete interna deve forwardarla non esiste ne in cielo ne in terra che da fuori possano collegarsi a quella macchina. |
D'accordo su tutto, ma non se so abbastanza per potermi sentire sicuro di quel che faccio: ergo, preferisco ridondare le soluzioni; sopratutto quando non significa aggiungere, ma togliere Inoltrei potrei aver bisogno di aprire il router su internet per qualunque motivo, certo pero' che aprirei un varco - temporaneo - , ma non stenderei per questo anche un tappeto rosso
Coda |
|
| Back to top |
|
|
X-Act!
Apprentice
Joined: 22 Nov 2004
Posts: 245
Location: /home/xact/
|
| Posted: Tue Nov 20, 2007 5:36 pm Post subject: |
|
|
| codadilupo wrote: | | Mica detto Altrimenti i firewall non servirebbero a nulla, no ? |
Giusto così per chiacchierare, se sei (come mi pare) con un router domestico e hai un solo ip pubblico, il tuo router prima che da firewall fa da nat: n ip interni che vanno su internet come uno solo. In questa situazione nessuna delle tue macchine è mai raggiungibile da internet (anche se non hai nessun firewall) a meno che tu non imposti manualmente e con cognizione di causa una regola apposita di port forwarding.
Suppongo che a questo si riferisse Kernel78 ed è questo il motivo per cui senza sapere assolutamente nulla di informatica e di sicurezza, stando dietro ad un router si sta meglio che con un modem!
Diverso è il caso in cui tu abbia un router che fa solo da router cioè ha un'intera classe (pubblica) da una parte e un'altra (sempre pubblica) dall'altra e di suo non fa nessun nat. Allora si che tutte le macchine sono esposte su internet e devi mettere un firewall che ti protegga oppure sei nei guai.
Questo però è uno scenario ben diverso dai collegamenti internet casalinghi ed anche da quelli per le piccole aziende, ed è ben più vicino ad un livello enterprise.
_________________
"Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Nov 20, 2007 6:09 pm Post subject: |
|
|
| codadilupo wrote: | D'accordo su tutto, ma non se so abbastanza per potermi sentire sicuro di quel che faccio: ergo, preferisco ridondare le soluzioni; sopratutto quando non significa aggiungere, ma togliere Inoltrei potrei aver bisogno di aprire il router su internet per qualunque motivo, certo pero' che aprirei un varco - temporaneo - , ma non stenderei per questo anche un tappeto rosso
|
se natti più macchine anche se aprissi il router su internet non otterresti nulla, devi specificare per forza una porta del router e un ip/porta della rete locale affinchè qualcosa venga visto.
es. io ho tre macchine nella mia rete locale nattate dietro un router, tutte le macchine hanno tutte le 65536 porte aperte con servizi che consento a chiunque di ottenere accesso di root tranne una delle macchine che sulla porta 12345 ha in ascolto ssh (con chiavi e sicurezza varia).
nessuna dei servizi di nessuna di queste macchine è raggiungibile da internet.
Se io voglio potermi collegare da fuori sul server ssh devo dire esplicitamente al router di aprirmi una porta in ascolto (diciamo la 22) e di inoltrare tutto quello che gli arriva li sulla porta 12345 della macchina con ssh.
Fatto questo da fuori potrei collegarmi al mio ip pubblico sulla porta 22 e collegarmi ad ssh, tutte le altre porte sarebbero chiuse in maniera completa ed assoluta.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Tue Nov 20, 2007 6:40 pm Post subject: |
|
|
| X-Act! wrote: | | Suppongo che a questo si riferisse Kernel78 ed è questo il motivo per cui senza sapere assolutamente nulla di informatica e di sicurezza, stando dietro ad un router si sta meglio che con un modem! |
poichè tutti i router a basso costo hanno una accoppiata login/password "di recupero" non modificabile non è troppo difficile reimpostarli. Non vado girando per warez da una vita ma mi ricordo che c'era un elenco in giro.
Di mio preferisco impostare gli arp statici in iptables, rifiutare tutto quello che viene dall'arp del router, ed appena ho tempo devo provare arpwatch o come diavolo si chiama.
Il nat non è per niente una garanzia.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Tue Nov 20, 2007 7:40 pm Post subject: |
|
|
| djinnZ wrote: | | poichè tutti i router a basso costo hanno una accoppiata login/password "di recupero" non modificabile non è troppo difficile reimpostarli. Non vado girando per warez da una vita ma mi ricordo che c'era un elenco in giro. |
se non si permette l'accesso remoto al router qualsiasi coppi utente/password viene tenuta lontano dal router ...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
X-Act!
Apprentice
Joined: 22 Nov 2004
Posts: 245
Location: /home/xact/
|
| Posted: Tue Nov 20, 2007 9:19 pm Post subject: |
|
|
| djinnZ wrote: | | poichè tutti i router a basso costo hanno una accoppiata login/password "di recupero" non modificabile non è troppo difficile reimpostarli. Non vado girando per warez da una vita ma mi ricordo che c'era un elenco in giro. |
Questo non è del tutto vero: i router che forniscono possibilità di recupero note, relativamente semplici e utilizzabili da internet sono davvero pochi (bug e security issues a parte). Certo sono arcinote liste molto lunge di utenti/password di default su praticamente tutti i modelli, ma se lasci le chiavi di casa sotto lo zerbino non puoi prendertela con chi fa le porte blindate.
| djinnZ wrote: | | Di mio preferisco impostare gli arp statici in iptables, rifiutare tutto quello che viene dall'arp del router, ed appena ho tempo devo provare arpwatch o come diavolo si chiama. |
E' tutta una questione di rapporti costo/benficio: se avessi tempo e voglia, ma soprattutto necessità di proteggere seriamente una rete, questo sarebbe solo un buon punto di partenza, ma per proteggere che cosa e da chi?
Non so se è il tuo caso, ma almeno per il 95% degli utenti internet, le cose più preziose di cui qualcuno possa volersi impadronire sono una connessione ad internet a scrocco e uno zombie per mandare spam...
| djinnZ wrote: | | Il nat non è per niente una garanzia. |
Questo è fuori dubbio, ma vale il discorso precedente: non parliamo di server!
_________________
"Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Tue Nov 20, 2007 10:23 pm Post subject: |
|
|
tanto per chiudere il cerchio, il mio punto di vista è quello di djinnZ: certo che se posso controllare tutto e so farlo, posso star relativamente sicuro. Ma che ne so io di quanto è robusto il routerino casalingo che uso ? E proprio perchè non si tratta di proteggere un'azienda di enterprise, non mi metto certo ad acquistare hw da svariate migliaia di euro, no ? Quindi, date queste premesse, tutto fa ciccia. Inoltre, dal mio punto di vista il discorso del "ma che avrai mai da nascondere ?" - posso garantirlo - non ha alcun senso, oltre che essere assolutamente pericoloso: e non tanto per chi lo fa, ma per tutti gl'altri
Coda |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Nov 21, 2007 11:06 am Post subject: |
|
|
"ma che avrai da nascondere?", prima della famigerata 675/98 e del garante aveva un senso, ora no. Se consideri che già una semplice busta paga rientra nella piena tutela.
E poi non sto dicendo di mettere chissà cos, un banale -A INPUT -m mac -s xxx.xxx.xxx.xxx ! --mac-source xx:xx:xx:xx:xx -j LOG/DROP e variazioni sul tema, mi pare più che sufficiente, tanto il firewall/proxy/printserver fa sempre comodo e basta un vecchio pc.
Soprattutto su piccole reti che non vengono controllate e vengono usate da utonti docg.
Va da se che se i client sono linux basta attivare iptables con questi minimi accorgimenti, non serve un firewall.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
