Skip to main content

Manuale Utente (Inglese)

Esempio di configurazione del firewall per consentire solo a determinati client di accedere a Internet quando si passa al canale di backup

Uno dei modi standard per utilizzare un router è quando è collegato tramite cavo al canale Internet principale e utilizza anche una connessione di backup tramite un modem 5G/4G/3G.

La logica di questa configurazione è la seguente: il router controlla costantemente la disponibilità di Internet sul canale principale (connessione Ethernet a un ISP) e, in assenza di connessione, passa automaticamente all'utilizzo della connessione Internet di backup tramite un modem 5G/4G/3G. Quindi, quando la connessione Internet viene ripristinata sulla connessione principale, il router tornerà a funzionare con il canale principale. Tuttavia, in questo schema, tutti i dispositivi collegati al router passeranno alla connessione di backup. E poiché la connessione di backup che stiamo considerando avviene tramite la rete dell'operatore di telefonia mobile, si pone la questione del risparmio di traffico.

Di seguito, vedremo un esempio di configurazione di un firewall su un router in modo che, quando si passa a una connessione di backup, solo specifici client di rete possano accedere a Internet, mentre l'accesso è bloccato per tutti gli altri.

Nelle impostazioni del firewall, dobbiamo creare delle regole per l'interfaccia di backup. Nel nostro esempio, viene utilizzato un modem 5G/4G/3G integrato come connessione di backup, ma potrebbe anche essere un modem USB. Quando si collega un modem 5G/4G/3G al router, viene creata per impostazione predefinita un'interfaccia di tipo UsbLte0 (il nome dell'interfaccia può variare a seconda del tipo di modem collegato). Su questa interfaccia, creeremo tre regole: due per consentire l'accesso ai dispositivi client con indirizzi IP 192.168.1.142 e 192.168.1.143 e una regola per negare l'accesso a tutti gli altri client.

fw-rules-out-01-en.png

Per prima cosa, creiamo una regola di autorizzazione in cui specifichiamo l'indirizzo IP di origine (l'indirizzo IP del client a cui sarà consentito l'accesso) e il tipo di protocollo TCP.

fw-rules-out-02-en.png

Se si desidera consentire l'accesso a più client di rete, creare regole simili anche per loro.

Quindi creiamo una regola di blocco, specificando la sottorete (192.168.1.0 con una maschera di 255.255.255.0) come indirizzo IP di origine e TCP come tipo di protocollo.

fw-rules-out-03-en.png

L'ulteriore configurazione è possibile in due modi: modificando il file di configurazione del router o dall'interfaccia della riga di comando (CLI) del router.

Metodo 1. Modifica del file di configurazione del router.

1.1 Andare alla pagina Impostazioni generali del sistema nella sezione File di sistema. Trovare il file startup-config. Questo è un file di testo con le impostazioni dell'utente che vengono eseguite all'avvio del router. Salvarlo sul computer per un'ulteriore modifica.

Fare clic sulla voce del file startup-config e quindi fare clic su Salva su computer. Il file verrà scaricato dal browser web. Se viene visualizzata una finestra di salvataggio del file, specificare la posizione (la cartella in cui verrà salvato il file) e fare clic su Salva o OK.

fw-rules-out-04-en.png

1.2 Aprire il file di configurazione startup-config in un qualsiasi editor di testo, come Notepad. Quindi, individuare la sezione di configurazione dell'interfaccia del provider di backup (nel nostro esempio, è UsbLte0) e sostituire la parola in con out nella riga ip access-group. Quindi salvare il file.

Nel nostro esempio, nella riga

ip access-group _WEBADMIN_UsbLte0 in

la parola in è stata sostituita con out, ottenendo la seguente riga:

ip access-group _WEBADMIN_UsbLte0 out
fw-rules-out-05-en.png
fw-rules-out-06-en.png

Assicurarsi di salvare le modifiche al file.

1.3 Ora il file di sistema startup-config modificato deve essere scritto (caricato) nel router. Per fare ciò, fare clic sul pulsante Sostituisci file e specificare il percorso del file di configurazione modificato.

fw-rules-out-07-en.png

Dopo aver caricato il file startup-config, il router si riavvierà automaticamente. Attendere fino a quando il dispositivo non sarà completamente acceso.

Ora, quando la connessione di backup è attivata, il firewall del router consentirà solo a client specifici di accedere a Internet e bloccherà l'accesso per il resto.

Metodo 2. Configurazione dall'interfaccia della riga di comando (CLI) del router o da webcli.

La stessa configurazione mostrata nel Metodo 1 può essere eseguita utilizzando i comandi.

Collegarsi all'interfaccia della riga di comando o a webcli. Per prima cosa, eseguire il comando:

no interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 in
fw-rules-out-08-en.png

Quindi eseguire il comando:

interface UsbLte0 ip access-group _WEBADMIN_UsbLte0 out
fw-rules-out-09-en.png

Il parametro in e out specifica la direzione del traffico a cui verrà applicata l'ACL.

in — applica il filtraggio ai pacchetti in entrata

out — applica il filtraggio ai pacchetti in uscita

Per risolvere il nostro problema, dobbiamo impostare il filtraggio per i pacchetti di rete in uscita sull'interfaccia di backup.

Per ulteriori informazioni, consultare l'articolo How does a firewall work?

Per salvare le impostazioni, assicurarsi di eseguire il comando:

system configuration save

Per la sintassi completa dei comandi, consultare la guida di riferimento dell'interfaccia della riga di comando in Download center.

In questa sezione: