Skip to main content

Manuale Utente (Inglese)

Esempi di regole del firewall

Per proteggere la rete locale da attacchi e intrusioni da Internet, i router Keenetic hanno un firewall abilitato per impostazione predefinita. Nella maggior parte dei casi, le impostazioni predefinite sono sufficienti per la sicurezza e non è necessario configurare ulteriormente il firewall. Ma se è necessario per risolvere determinati problemi, qualsiasi router Keenetic fornisce opzioni flessibili per la configurazione delle regole del firewall.

In questo articolo, forniremo esempi pratici di utilizzo delle regole del firewall in Keenetic.

Alcune informazioni teoriche e descrizioni dettagliate del firewall nei router Keenetic si trovano nell'articolo  How does a firewall work?.

Importante

Il firewall non controllerà una sessione esistente se è già attiva e successivamente viene creata una regola del firewall che riguarda il traffico in quella sessione. La regola avrà effetto dopo l'interruzione della sessione corrente, forzata o dopo la scadenza della sua durata.

Per il corretto funzionamento della regola appena creata (per reimpostare le connessioni correnti/attive), è possibile disabilitare e riabilitare la corrispondente interfaccia di rete sul proprio Keenetic.

Analizziamo i seguenti esempi:

  1. Consentire l'accesso a Internet per un solo computer nella rete locale e bloccare l'accesso per tutti gli altri

  2. Bloccare l'accesso a Internet per un solo computer nella rete locale

  3. Bloccare l'accesso a un determinato sito Web da una rete locale

  4. Consentire a un determinato computer locale di accedere a un solo sito Web specificato

  5. Consentire l'accesso a Internet dalla rete locale solo tramite protocolli (servizi) specificati

  6. Consentire il controllo remoto del router Keenetic

  7. Bloccare l'accesso a Keenetic dagli indirizzi IP di una subnet Internet definita o di una rete esterna

  8. Consentire l'accesso RDP solo da uno specifico indirizzo IP esterno

  9. Bloccare l'accesso all'interfaccia web del router per alcuni host della LAN

  10. Consentire al router di rispondere alle richieste di ping da Internet

Configuriamo le regole del firewall tramite l'interfaccia web di Keenetic. È possibile farlo nella pagina  Firewall.

Nota

Per bloccare l'accesso a Internet, definiremo il protocollo TCP nelle regole del firewall perché Internet si basa sui protocolli di trasferimento dati di rete TCP/IP.

  1. Consentire l'accesso a Internet per un solo computer nella rete locale e bloccare l'accesso per tutti gli altri

    In questo esempio, è necessario creare due regole per l'interfaccia Segmento Home.

    Per prima cosa, creeremo una regola Consenti in cui si definisce l'indirizzo IP di origine (l'indirizzo IP del computer a cui consentire l'accesso) e il tipo di protocollo TCP.

    ex-firewall-01_en.png

    Successivamente, creeremo una regola Nega in cui definiremo l'indirizzo IP di origine come una subnet (192.168.1.0 con una maschera di 255.255.255.0) e il tipo di protocollo TCP.

    ex-firewall-02_en.png

    Importante

    Questa regola deve essere configurata da un computer che può accedere a Internet. In caso contrario, si perderà l'accesso all'interfaccia web di Keenetic dopo aver creato le regole sopra menzionate. In questo caso, assegnare manually l'indirizzo IP consentito nelle impostazioni della scheda di rete e connettersi all'interfaccia web.

  2. Bloccare l'accesso a Internet per un solo computer nella rete locale

    In questo esempio, è necessario creare una regola per il Segmento Home. Creeremo una regola Nega in cui imposteremo l'indirizzo IP di origine (l'indirizzo IP del computer a cui verrà negato l'accesso) e il tipo di protocollo TCP.

    ex-firewall-03_en.png

  3. Bloccare l'accesso a un determinato sito Web da una rete locale

    Questo esempio bloccherà l'accesso al sito web di Wikipedia wikipedia.org a tutti i computer della rete locale.

    Importante

    I nomi di dominio non possono essere utilizzati nelle impostazioni del firewall dei router Keenetic e possono essere impostati solo gli indirizzi IP.

    Prima di configurare le regole, è necessario individuare l'indirizzo IP del sito web che si desidera utilizzare. Un sito può avere diversi indirizzi IP (di solito si tratta di grandi risorse come amazon.com, google.com, facebook.com, ecc.).

    Il primo modo per scoprire l'indirizzo IP del sito Web è utilizzare un comando speciale nslookup <nome sito web>.

    Ad esempio, nella riga di comando del sistema operativo, eseguiremo il comando:

    nslookup wikipedia.org
    ex-firewall-04_en.png

    Il risultato del comando precedente consentirà di visualizzare gli indirizzi IP in cui si trova il sito Web (nel nostro esempio, wikipedia.org utilizza un solo indirizzo IP, 91.198.174.192).

    Il secondo modo per scoprire l'indirizzo IP del sito web è utilizzare uno dei servizi online speciali (ad esempio, 2ip.io). In un apposito campo, è necessario specificare il nome del sito web di interesse e premere il pulsante Controlla. Successivamente, si vedranno tutti gli indirizzi IP su cui funziona il sito web.

    ex-firewall-05_en.png

    Ora che si dispone dell'indirizzo IP del sito Web, è possibile iniziare a creare le regole del firewall.

    Importante

    I siti Web possono funzionare non solo su HTTP ma anche su HTTPS.

    Poiché il sito Web utilizza un unico indirizzo IP in questo esempio, creeremo due regole per il Segmento Home per bloccare il traffico per protocolli: una per HTTP e una per HTTPS. Creare regole Nega per specificare l'indirizzo IP di destinazione (l'indirizzo IP del sito a cui negare l'accesso) e il tipo di protocollo (HTTP e HTTPS).

    ex-firewall-06_en.png
    ex-firewall-07_en.png

    Ulteriori informazioni sono disponibili nell'articolo  Come bloccare l'accesso a un sito specifico.

  4. Consentire a un determinato computer locale di accedere a un solo sito Web specificato

    In questo esempio, consentiamo a un computer locale con un indirizzo IP di 192.168.0.31 di accedere solo al sito web Wikipedia.org.

    L'accesso ad altri siti Internet verrà bloccato per questo computer.

    Innanzitutto, troviamo l'indirizzo IP del sito web di cui abbiamo bisogno. Nel nostro esempio, si tratta di wikipedia.org e il suo indirizzo IP è 91.198.174.192. Informazioni dettagliate su come trovare l'indirizzo IP del sito web sono disponibili nell'Esempio 3 di questo manuale.

    In questo esempio, è necessario creare tre regole per il Segmento Home. Innanzitutto, creeremo una regola Consenti che definisce l'indirizzo IP di origine (l'indirizzo IP del computer a cui si desidera consentire l'accesso), l'indirizzo IP di destinazione (l'indirizzo IP del sito Web a cui si desidera consentire l'accesso) e i tipi di protocollo HTTP e HTTPS.

    ex-firewall-08_en.png
    ex-firewall-09_en.png

    Successivamente, creeremo una regola Nega in cui specificheremo l'indirizzo IP di origine (l'indirizzo IP del computer a cui negare l'accesso) e il tipo di protocollo TCP (per bloccare l'accesso a Internet).

    ex-firewall-10_en.png

  5. Consentire l'accesso a Internet dalla rete locale solo tramite protocolli (servizi) specificati

    Consentiamo ai computer locali di accedere a Internet solo tramite HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS e blocchiamo tutto il resto del traffico.

    In questo esempio, è necessario creare regole per il Segmento Home. Innanzitutto, creeremo regole Consenti in cui specificheremo il valore Qualsiasi nei campi IP di origine e IP di destinazione, e nel campo Protocollo selezioneremo il tipo di protocollo (servizio) necessario dall'elenco. Quindi creiamo due regole Nega, in cui impostiamo il valore Qualsiasi nei campi IP di origine e IP di destinazione e nel campo Protocollo, il valore di TCP e UDP per bloccare l'accesso a Internet.

    Importante

    Per il corretto funzionamento di Internet, è necessario disporre del servizio dei nomi di dominio (TCP/53, UDP/53), che consente di convertire i nomi simbolici di siti/domini in indirizzi IP (e viceversa).

    Nel nostro esempio, abbiamo il seguente set di regole firewall:

    ex-firewall-11_en.png

  6. Consentire il controllo remoto del router Keenetic

    Importante

    L'accesso a un router Keenetic (la sua interfaccia web) da una rete esterna (Internet) è bloccato per impostazione predefinita. Questo viene implementato per la sicurezza del dispositivo e della rete locale.

    L'accesso al dispositivo da Internet è possibile se è presente un indirizzo IP pubblico sull'interfaccia esterna (WAN), attraverso la quale il router si connette alla rete globale. Per accedere a un router con un indirizzo IP privato, è necessario utilizzare il servizio KeenDNS.

    In questo esempio, creeremo una regola del firewall per fornire il controllo remoto del router da Internet (in particolare per connettersi all'interfaccia web del dispositivo).

    Consentiremo anche le richieste di ping ICMP da Internet (ciò consentirà di verificare la disponibilità del dispositivo sulla rete).

    Per aumentare la sicurezza, consentiremo il controllo remoto e il ping dalla rete esterna solo da un indirizzo IP pubblico definito (nel nostro esempio, dall'indirizzo IP 93.94.95.96).

    Importante

    Se si utilizza un indirizzo IP pubblico, si sconsiglia di consentire l'accesso all'interfaccia web di Keenetic e di consentire le richieste di ping per tutti gli utenti dalla rete pubblica (globale).

    In questo esempio, è necessario creare regole per l'interfaccia di rete esterna ISP. Si intende l'interfaccia attraverso la quale si accede a Internet (può essere PPPoE, PPTP, USB LTE, Yota, ecc.).

    Creeremo una regola Consenti in cui inseriremo nel campo IP di origine (l'indirizzo IP pubblico del computer a cui sarà consentito l'accesso da Internet) e nel campo Protocollo selezioneremo TCP/80 (HTTP).

    ex-firewall-12_en.png

    Quindi creeremo una regola simile ma per il protocollo ICMP (per l'utilità ping).

    ex-firewall-13_en.png

    Pertanto, il ping del router Keenetic (tramite ICMP) e l'accesso alla sua interfaccia web (tramite HTTP) saranno possibili da Internet, solo da un determinato indirizzo IP.

    Importante

    In un browser web, è necessario utilizzare l'indirizzo IP WAN pubblico di Keenetic nella rete globale per accedere alla sua interfaccia web (è possibile vederlo nell'interfaccia web di Keenetic nella pagina iniziale Dashboard di sistema sul pannello informativo Internet nella riga Indirizzo IP). L'indirizzo nel browser dovrebbe iniziare con http://, cioè http://indirizzo IP (ad es. http://89.88.87.86).

  7. Bloccare l'accesso a Keenetic dagli indirizzi IP di una subnet Internet definita o di una rete esterna

    Si supponga di aver rilevato frequenti tentativi di accesso (un attacco) alla porta WAN del router da indirizzi IP sconosciuti provenienti da Internet. Ad esempio, i tentativi di connessione provengono da indirizzi IP diversi, ma appartengono tutti alla stessa subnet 115.230.121.x.

    In questo caso, sull'interfaccia esterna di Keenetic ISP (o un'altra attraverso la quale si accede a Internet), è necessario bloccare l'accesso alla porta WAN per gli indirizzi IP della subnet 115.230.121.x.

    Creiamo le regole Nega per TCP/UDP/ICMP, dove si dovrebbe impostare il valore Subnet come IP di origine e specificare l'indirizzo e la maschera della subnet. Quando si utilizza una maschera di sottorete con il prefisso /24 (255.255.255.0), l'indirizzo IP della sottorete deve terminare con 0 (in questo esempio è 115.230.121.0).

    ex-firewall-14_en.png
    ex-firewall-15_en.png
    ex-firewall-16_en.png

  8. Consentire l'accesso RDP solo da uno specifico indirizzo IP esterno

    Supponiamo che un router Keenetic utilizzi una regola di inoltro delle porte per consentire la connessione da Internet a un computer di casa tramite RDP (TCP/3389). Tuttavia, in questo caso, la porta sarà aperta per qualsiasi indirizzo IP da Internet. Si raccomanda di consentire l'accesso RDP solo da un indirizzo IP esterno specifico per motivi di sicurezza. Questo può essere fatto usando le regole del firewall sull'interfaccia esterna attraverso la quale si accede a Internet.

    Creare una regola Consenti per l'accesso da uno specifico indirizzo IP sulla porta TCP 3389 e quindi creare una regola Nega per tutti gli indirizzi IP sulla porta TCP 3389.

    Nel nostro esempio, sono consentite solo le connessioni dall'indirizzo IP pubblico 93.94.95.96.

    ex-firewall-17_en.png
    ex-firewall-18_en.png

    Importante

    Se è stata configurata la mappatura della porta di destinazione nella regola di inoltro (ad esempio da 4389 a 3389), nella regola del firewall è necessario specificare il numero di porta di destinazione effettivo utilizzato sul server nella rete locale, ovvero 3389.

  9. Bloccare l'accesso all'interfaccia web del router per alcuni host della LAN

    Se è necessario bloccare l'accesso all'interfaccia web Keenetic a 192.168.1.1 e my.keenetic.net per alcuni dispositivi sulla rete locale, è possibile farlo usando le regole Nega del firewall create sull'interfaccia LAN (che è l'interfaccia Segmento Home per impostazione predefinita).

    Di seguito un esempio di blocco dell'accesso all'interfaccia web del router per il dispositivo con indirizzo IP 192.168.1.143.

    ex-firewall-17-en.png
    ex-firewall-18-en.png

    Nel nostro esempio, abbiamo aggiunto due regole Nega. L'indirizzo di origine è l'indirizzo IP dell'host della rete locale a cui si vuole bloccare l'accesso all'interfaccia web del router. Si noti che nella regola per negare l'accesso a 192.168.1.1, la porta di destinazione deve essere impostata su TCP/80, e nella regola per Negare l'accesso a my.keenetic.net, l'indirizzo di destinazione deve essere 78.47.125.180 (che è l'IP associato al nome di dominio my.keenetic.net) e la porta TCP/443 (perché l'accesso al nome di dominio viene reindirizzato automaticamente al protocollo HTTPS).

    Abbiamo mostrato un esempio per impedire a un host di accedere all'interfaccia web del router dalla rete locale, ma in modo simile, le regole possono essere create per altri host.

  10. Consentire al router di rispondere alle richieste di ping da Internet

    Per impostazione predefinita, il router blocca le richieste di ping alla sua interfaccia WAN da Internet (per una maggiore sicurezza).

    Importante

    Il ping del router da Internet è possibile solo se è presente un indirizzo IP pubblico sull'interfaccia esterna.

    Per consentire le risposte alle richieste di ping da Internet, è necessario creare la regola appropriata nelle impostazioni del firewall.

    Selezionare l'interfaccia WAN attraverso la quale viene effettuata la connessione a Internet. Se si utilizza una connessione a tunnel (PPTP, PPPoE, L2TP), è necessario specificare quella.

    Fare clic su Aggiungi regola per creare una nuova regola del firewall.

    ex-firewall-19-en.png

    Nel campo Azione, impostare Consenti. Nei campi IP di origine e IP di destinazione, specificare Qualsiasi per consentire richieste di ping da qualsiasi host. Nel campo Protocollo, selezionare ICMP, poiché il ping utilizza il protocollo ICMP. Salvare la regola.

    ex-firewall-20-en.png

    Nel nostro esempio, è stata creata una regola per l'interfaccia ISP. Dopo queste impostazioni, il router risponderà alle richieste di ping da Internet.

Nota

Domanda: È possibile bloccare il traffico tra solo due host in una rete locale utilizzando le regole del Firewall?

  • Risposta: Il firewall non può bloccare il traffico tra due host sulla stessa LAN perché gli host si trovano nello stesso segmento e la comunicazione tra loro avviene al secondo livello del modello OSI. Il firewall funziona al livello 3 del modello OSI.

    Il traffico può essere bloccato solo tra host in diversi segmenti di rete, abilitando la funzione isolate-private (blocca tutte le comunicazioni tra i segmenti) o utilizzando regole Firewall separate, bloccando l'accesso solo per alcuni host.

In questa sezione: