TL-ER6120 regole Firewall

Virgilio

Nuovo membro
Salve,
Vorrei sottoporre una mio dubbio.

Ho fatto acquistare in ufficio un Tp-Link TL-ER6120 per regolamentare il traffico ip dall’interno verso l’esterno.
Le regole sembrano configurate in modo appropriato, ma su alcuni siti web fa un pochino fatica sulla navigazione, ad esempio Wikipedia, perchè vi dico questo?
stavo cercando i protocolli tcp e udp più comuni per far funzionare la rete escludendo tutte le porte tcp e udp inutili, ed anche per evitare di far scaricare da internet i più furbi.

vi lascio un screen shot della mia configurazione

fk5k.jpg


Spero che qualcuno riesca a capire il motivo, purtroppo venendo dal mondo Zyxel qui le regole sembrano un pochino differenti.
Grazie.
 
Vi rendo partecipi di una cosa stranissima.
in attesa di una risposta, stavo facendo delle prove di regole di filtro pacchetti tcp e udp, dalla lan verso la wan.

sembra come se il firewall non accetti prima un blocco totale dei servizi e poi l’apertura dei singoli protocolli che interessano.

esempio:

1 192.168.1.0/24 ANY Block All Services LAN Always Blocco Tutto
2 192.168.1.0/24 ANY Allow HTTP LAN Always —

In questo caso, per rigor di logica, non dovrebbe funzionare assolutamente nessun protocollo tranne il Web, ma non sembra essere così, in effetti se tento di andare su www.repubblica.it non ci va.
secondo voi è possibile che la prima regola non possa essere sorpassata dalle successive?

a voi l’ardua sentenza
 
Ciao devi abilitare anche il DNS porta UDP 53 altrimenti non può funzionare.
Ho visto l’emulatore del TL-ER6120, stai l’Access Controll (Access Rules) o l’application controll?
Va benissimo come ha fatto tu, blocchi tutto e poi abiliti solo quello che ti serve ricordandoti sempre il dns.
Molto utile è anche la funzione Session Limit 😉
 
non ci avevo provato a mettere il dns, cmq aimè ti do una brutta notizia, anche mettendo il dns non funziona.

1 192.168.1.0/24 ANY Block All Services LAN Always Blocco Tutto
2 192.168.1.0/24 ANY Allow DNS LAN Always —
3 192.168.1.0/24 ANY Allow ICMP LAN Always —
4 192.168.1.0/24 ANY Allow HTTP LAN Always —

Ho provato anche a mettere ICMP, questo perchè ad esempio zeroshel lo richiede, ma il problema persiste.
ho provato anche a mettere 213.92.16.191, Indirizzo ip Repubblica.it.
ti do conferma che mi trovo nella sezione Access Controll (Access Rules)
 
Molto strano… allora fai il contrario, cancella le vecchie regole!
Vai su Access Rules → Service e crea dei nuovi servizi, a te servono le porte 53,80 e 443 (https)

Poi vai su Access Rules, come Policy metti Block e su Service metti quelli che hai appena creato
 
Ci avevo pensato anche io, sicurmanete funaziona.
ma non è normale una situazione del genere 🙂

facendo queste regole diciamo che la regola allow mi sembra un pochino inutile 🙂

ma una domanda mi sorge spontanea, ma voi di questo forum siete di supporto ufficiale alla tp-link? cioè se ci accorgiamo di problemi realitivi al firmware di qualsiasi apparato, viene poi sistemato?

Grazie
 
Ciao non conosco questo modello ma perchè blocchi LAN? Prova con WAN
Questo forum non è ufficiale ma tranquillo tutti i bug vengono segnati a TP-LINK
 
Blocco i servizi dall’interno verso l’esterno per rendere la connettività il più leggera possibile, anche xkè non avendo in azienda installato un antivirus serio, inibendo i protocolli tcp e udp verso l’esterno se dovesse esserci qualche programma malevolo non potrà comunicare con il proprio server in modo semplice.
in più essendoci anche un centralino voip, rendere la linea “leggera” ne aumenta la qualità audio (anche se si possono usare le regole di qos).

Le pucurialità di questo apparato sono molto interessanti, è possibile configurare il Loadbalance e/o il Failower in caso di down di una delle due linee Internet.
in più è possibile configurare delle vpn site to site tra il TL-ER6120 e il Router Adsl TD-W8970 (Ottimo prodotto), posso dire che da quando me lo sono installato a casa mi ha dato moltissime soddisfazioni, da quel momento in poi mi sono innamorato dei prodotti TP-Link.

Tutto qua 🙂
 
Capito, è la stessa cosa che faccio io con il firewall di openwrt 😃
Prendi in considerazione anche i filtri di OpenDNS.
Hai già aggiornato il firmware o cambiato la priorità (ordine) delle regole?
 
Al di la del fatto che sicuramente sia funzionante questo tipo di configurazione che tu mi dici, ma non vi sembra strano che una regola che blocca qualcosa poi non posso essere sorpassata da una regola che sblocca un determinato protocollo?
da come dici tu, la regola “allow” sarebbe anche di troppo nel menù a tendina!!! 🙂
 
Si è molto strano, sicuramente è un bug.
Ma se su Access Rules cancelli tutte le regole riesci a navigare?
 
si si, certamente
ma la cosa stranissima è che se metto un blocco per tutto e poi sblocco “icmp” e “http” (che è un regola stupidissima) non mi fa navigare in modo corretto, come se andasse a singhiozzo.
Sto aspettando un pochino prima di metterlo in opera in ufficio, purtroppo non poche regole da gestire ma molte e spesso e volentieri le esigenze in ufficio cambiano e ricreare mi stressa molto, se funzionasse la prima regola in modo corretto posso dire che è un attimo prodotto, se riesco a sorpassare questo problema non vedo l’ora di vedere il load balance almeno non sentirò tutte quelle vocine stridule delle colleghe che urlano perchè va piano internet.
 
perdonami la domanda stupida ma in questo campo non sono ferrato… per dove passerebbero le richieste DNS?
 
Il primo DNS è active directory, il secondario è un DNS di google e altri di altri provider normalissimi, ma il problema dell’usare un opendns mi comporta che qualche collega riesce comunque a sorpassarlo e fa quello che vuole.
 
no ok io intendevo solo a livello di protocollo, siccome son richieste UDP sulla porta 53, non mi pareva normale sbloccare solo ICMP e HTTP 😉

se sto dicendo una cavolata e hai voglia di spiegarmi perche’ te ne sarei grato!
 
Domani in giornata provo anche se mi sembra di averolo già provato e ti faccio sapere come è andata
 
per dove passerebbero le richieste DNS?
Le richieste DNS dovrebbero essere gestite e controllate dal router, se su Access Rules si attiva anche il servizio DNS il filtro di OpenDNS non servirà a molto perchè sarà sufficiente cambiare i dns nei pc client e tutti vanno dove vogliono.
I PC client dovranno avere come dns l’indirizzo ip del router e basta.
Il primo DNS è active directory, il secondario è un DNS di google e altri di altri provider normalissimi,
Impostati nella sezione WAN vero?
Ma se su Access Rules cancelli tutte le regole riesci a navigare?
si si, certamente
ma la cosa stranissima è che se metto un blocco per tutto e poi sblocco “icmp” e “http” (che è un regola stupidissima) non mi fa navigare in modo corretto, come se andasse a singhiozzo.
Quindi di default tutto il traffico in uscita è abilitato…
1 192.168.1.0/24 ANY Block All Services LAN Always Blocco Tutto
Blocco i servizi dall’interno verso l’esterno per rendere la connettività il più leggera possibile
Non ho ben presente l’interfaccia ma mi sembra di capire che devi fare il contrario:
1 192.168.1.0/24 (Source) ANY (Destination) Block All Service WAN
In questo modo nessun servizio potrà uscire senza un altra regola di autorizzazione.
 
Indietro
Alto Basso