TL-ER6120 regole Firewall

Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

TL-ER6120 regole Firewall

Messaggioda Virgilio » 05/08/2013, 17:56

Salve,
Vorrei sottoporre una mio dubbio.

Ho fatto acquistare in ufficio un Tp-Link TL-ER6120 per regolamentare il traffico ip dall'interno verso l'esterno.
Le regole sembrano configurate in modo appropriato, ma su alcuni siti web fa un pochino fatica sulla navigazione, ad esempio Wikipedia, perchè vi dico questo?
stavo cercando i protocolli tcp e udp più comuni per far funzionare la rete escludendo tutte le porte tcp e udp inutili, ed anche per evitare di far scaricare da internet i più furbi.

vi lascio un screen shot della mia configurazione
Immagine

Spero che qualcuno riesca a capire il motivo, purtroppo venendo dal mondo Zyxel qui le regole sembrano un pochino differenti.
Grazie.



Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

Re: TL-ER6120 regole Firewall

Messaggioda Virgilio » 07/08/2013, 11:11

Vi rendo partecipi di una cosa stranissima.
in attesa di una risposta, stavo facendo delle prove di regole di filtro pacchetti tcp e udp, dalla lan verso la wan.

sembra come se il firewall non accetti prima un blocco totale dei servizi e poi l'apertura dei singoli protocolli che interessano.

esempio:

1 192.168.1.0/24 ANY Block All Services LAN Always Blocco Tutto
2 192.168.1.0/24 ANY Allow HTTP LAN Always ---

In questo caso, per rigor di logica, non dovrebbe funzionare assolutamente nessun protocollo tranne il Web, ma non sembra essere così, in effetti se tento di andare su www.repubblica.it non ci va.
secondo voi è possibile che la prima regola non possa essere sorpassata dalle successive?

a voi l'ardua sentenza

Avatar utente
Loop
Messaggi: 961
Iscritto il: 27/09/2011, 22:38
Ha ringraziato: 2 volte
Ringraziato: 19 volte

Re: TL-ER6120 regole Firewall

Messaggioda Loop » 07/08/2013, 14:32

Ciao devi abilitare anche il DNS porta UDP 53 altrimenti non può funzionare.
Ho visto l'emulatore del TL-ER6120, stai l'Access Controll (Access Rules) o l'application controll?
Va benissimo come ha fatto tu, blocchi tutto e poi abiliti solo quello che ti serve ricordandoti sempre il dns.
Molto utile è anche la funzione Session Limit ;)

Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

Re: TL-ER6120 regole Firewall

Messaggioda Virgilio » 07/08/2013, 15:48

non ci avevo provato a mettere il dns, cmq aimè ti do una brutta notizia, anche mettendo il dns non funziona.

1 192.168.1.0/24 ANY Block All Services LAN Always Blocco Tutto
2 192.168.1.0/24 ANY Allow DNS LAN Always ---
3 192.168.1.0/24 ANY Allow ICMP LAN Always ---
4 192.168.1.0/24 ANY Allow HTTP LAN Always ---

Ho provato anche a mettere ICMP, questo perchè ad esempio zeroshel lo richiede, ma il problema persiste.
ho provato anche a mettere 213.92.16.191, Indirizzo ip Repubblica.it.
ti do conferma che mi trovo nella sezione Access Controll (Access Rules)

Avatar utente
Loop
Messaggi: 961
Iscritto il: 27/09/2011, 22:38
Ha ringraziato: 2 volte
Ringraziato: 19 volte

Re: TL-ER6120 regole Firewall

Messaggioda Loop » 07/08/2013, 18:31

Molto strano... allora fai il contrario, cancella le vecchie regole!
Vai su Access Rules -> Service e crea dei nuovi servizi, a te servono le porte 53,80 e 443 (https) quindi fai qualcosa del genere
Immagine
Immagine
Immagine
Immagine

Poi vai su Access Rules, come Policy metti Block e su Service metti quelli che hai appena creato :mrgreen:

Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

Re: TL-ER6120 regole Firewall

Messaggioda Virgilio » 09/08/2013, 13:19

Ci avevo pensato anche io, sicurmanete funaziona.
ma non è normale una situazione del genere :)

facendo queste regole diciamo che la regola allow mi sembra un pochino inutile :)

ma una domanda mi sorge spontanea, ma voi di questo forum siete di supporto ufficiale alla tp-link? cioè se ci accorgiamo di problemi realitivi al firmware di qualsiasi apparato, viene poi sistemato?

Grazie

Avatar utente
effeti
Moderatore globale
Messaggi: 1650
Iscritto il: 02/06/2010, 15:32
Ha ringraziato: 5 volte
Ringraziato: 12 volte

Re: TL-ER6120 regole Firewall

Messaggioda effeti » 09/08/2013, 15:11

Ciao non conosco questo modello ma perchè blocchi LAN? Prova con WAN
Questo forum non è ufficiale ma tranquillo tutti i bug vengono segnati a TP-LINK
Immagine

Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

Re: TL-ER6120 regole Firewall

Messaggioda Virgilio » 09/08/2013, 15:28

effeti ha scritto:Ciao non conosco questo modello ma perchè blocchi LAN? Prova con WAN
Questo forum non è ufficiale ma tranquillo tutti i bug vengono segnati a TP-LINK



Blocco i servizi dall'interno verso l'esterno per rendere la connettività il più leggera possibile, anche xkè non avendo in azienda installato un antivirus serio, inibendo i protocolli tcp e udp verso l'esterno se dovesse esserci qualche programma malevolo non potrà comunicare con il proprio server in modo semplice.
in più essendoci anche un centralino voip, rendere la linea "leggera" ne aumenta la qualità audio (anche se si possono usare le regole di qos).

Le pucurialità di questo apparato sono molto interessanti, è possibile configurare il Loadbalance e/o il Failower in caso di down di una delle due linee Internet.
in più è possibile configurare delle vpn site to site tra il TL-ER6120 e il Router Adsl TD-W8970 (Ottimo prodotto), posso dire che da quando me lo sono installato a casa mi ha dato moltissime soddisfazioni, da quel momento in poi mi sono innamorato dei prodotti TP-Link.

Tutto qua :)

Avatar utente
effeti
Moderatore globale
Messaggi: 1650
Iscritto il: 02/06/2010, 15:32
Ha ringraziato: 5 volte
Ringraziato: 12 volte

Re: TL-ER6120 regole Firewall

Messaggioda effeti » 09/08/2013, 17:28

Capito, è la stessa cosa che faccio io con il firewall di openwrt :D
Prendi in considerazione anche i filtri di OpenDNS.
Hai già aggiornato il firmware o cambiato la priorità (ordine) delle regole?
Immagine

Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

Re: TL-ER6120 regole Firewall

Messaggioda Virgilio » 26/08/2013, 11:44

Loop ha scritto:Molto strano... allora fai il contrario, cancella le vecchie regole!
Vai su Access Rules -> Service e crea dei nuovi servizi, a te servono le porte 53,80 e 443 (https) quindi fai qualcosa del genere
Immagine
Immagine
Immagine
Immagine

Poi vai su Access Rules, come Policy metti Block e su Service metti quelli che hai appena creato :mrgreen:


Al di la del fatto che sicuramente sia funzionante questo tipo di configurazione che tu mi dici, ma non vi sembra strano che una regola che blocca qualcosa poi non posso essere sorpassata da una regola che sblocca un determinato protocollo?
da come dici tu, la regola "allow" sarebbe anche di troppo nel menù a tendina!!! :)

Avatar utente
Loop
Messaggi: 961
Iscritto il: 27/09/2011, 22:38
Ha ringraziato: 2 volte
Ringraziato: 19 volte

Re: TL-ER6120 regole Firewall

Messaggioda Loop » 26/08/2013, 15:15

Virgilio ha scritto:ma non vi sembra strano che una regola che blocca qualcosa poi non posso essere sorpassata da una regola che sblocca un determinato protocollo?

Si è molto strano, sicuramente è un bug.
Ma se su Access Rules cancelli tutte le regole riesci a navigare?

Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

Re: TL-ER6120 regole Firewall

Messaggioda Virgilio » 29/08/2013, 17:04

Loop ha scritto:
Virgilio ha scritto:ma non vi sembra strano che una regola che blocca qualcosa poi non posso essere sorpassata da una regola che sblocca un determinato protocollo?

Si è molto strano, sicuramente è un bug.
Ma se su Access Rules cancelli tutte le regole riesci a navigare?


si si, certamente
ma la cosa stranissima è che se metto un blocco per tutto e poi sblocco "icmp" e "http" (che è un regola stupidissima) non mi fa navigare in modo corretto, come se andasse a singhiozzo.
Sto aspettando un pochino prima di metterlo in opera in ufficio, purtroppo non poche regole da gestire ma molte e spesso e volentieri le esigenze in ufficio cambiano e ricreare mi stressa molto, se funzionasse la prima regola in modo corretto posso dire che è un attimo prodotto, se riesco a sorpassare questo problema non vedo l'ora di vedere il load balance almeno non sentirò tutte quelle vocine stridule delle colleghe che urlano perchè va piano internet.

nebbia88
Supporter
Messaggi: 3698
Iscritto il: 26/11/2010, 17:15
Contatta:

Re: TL-ER6120 regole Firewall

Messaggioda nebbia88 » 29/08/2013, 19:51

Virgilio ha scritto:ma la cosa stranissima è che se metto un blocco per tutto e poi sblocco "icmp" e "http" (che è un regola stupidissima) non mi fa navigare in modo corretto, come se andasse a singhiozzo.


perdonami la domanda stupida ma in questo campo non sono ferrato... per dove passerebbero le richieste DNS?

Virgilio
Messaggi: 15
Iscritto il: 05/08/2013, 17:35

Re: TL-ER6120 regole Firewall

Messaggioda Virgilio » 29/08/2013, 21:09

nebbia88 ha scritto:
Virgilio ha scritto:ma la cosa stranissima è che se metto un blocco per tutto e poi sblocco "icmp" e "http" (che è un regola stupidissima) non mi fa navigare in modo corretto, come se andasse a singhiozzo.


perdonami la domanda stupida ma in questo campo non sono ferrato... per dove passerebbero le richieste DNS?


Il primo DNS è active directory, il secondario è un DNS di google e altri di altri provider normalissimi, ma il problema dell'usare un opendns mi comporta che qualche collega riesce comunque a sorpassarlo e fa quello che vuole.

nebbia88
Supporter
Messaggi: 3698
Iscritto il: 26/11/2010, 17:15
Contatta:

Re: TL-ER6120 regole Firewall

Messaggioda nebbia88 » 29/08/2013, 22:24

no ok io intendevo solo a livello di protocollo, siccome son richieste UDP sulla porta 53, non mi pareva normale sbloccare solo ICMP e HTTP ;)

se sto dicendo una cavolata e hai voglia di spiegarmi perche' te ne sarei grato!


Torna a “TP-LINK”

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti