Skip to main content

Manuale Utente (Inglese)

Come funziona un firewall?

Un firewall è progettato per proteggere i dispositivi della rete locale da attacchi esterni. Per impostazione predefinita, tutti i computer della rete domestica sono nascosti agli utenti di Internet da un firewall integrato e dal traduttore di indirizzi di rete NAT.

Il meccanismo NAT, traduzione degli indirizzi di rete, maschera gli indirizzi dei computer della LAN dietro un unico indirizzo dell'interfaccia esterna. Funziona direttamente con il contenuto del frame, sostituendo gli indirizzi di origine e di destinazione.

Un firewall interagisce con il traffico dopo la traduzione degli indirizzi e l'instradamento, controllando e filtrando il traffico in base alle regole specificate basate sugli indirizzi IP.

Il firewall integrato del router consente le connessioni dalle interfacce domestiche (LAN) alle reti pubbliche (WAN) e le proibisce nella direzione opposta. Le impostazioni personalizzate possono essere utilizzate per modificare le opzioni di sicurezza: consentire o negare l'accesso a host o servizi di rete specifici.

Per impostazione predefinita, l'interfaccia progettata per connettersi a reti esterne o accedere a Internet è pubblica (esterna). Ad esempio, tali interfacce sono:

  • connessione Ethernet dedicata;

  • connessione wireless tramite un modem USB per Internet mobile 3G/4G/LTE;

  • connessione con autenticazione basata su protocolli PPPoE/PPTP/L2TP.

Private (locali, domestiche) sono le interfacce di rete domestica (client connessi al dispositivo Keenetic tramite Ethernet e Wi-Fi) e le interfacce di rete wireless guest.

firewall-01_en.png

Per impostazione predefinita, un router Keenetic accetta le connessioni di rete solo da interfacce private. Dalle interfacce private, è consentito stabilire connessioni a interfacce pubbliche e al dispositivo stesso per la gestione e l'accesso ai servizi abilitati sul router (FTP, Transmission, uso in rete di USB). Per i client della rete guest, l'accesso al router e ai suoi servizi è negato.

La connessione tra interfacce private non è consentita per impostazione predefinita, ma l'accesso può essere concesso se necessario.

È vietato stabilire connessioni a qualsiasi altra interfaccia e al dispositivo stesso da interfacce pubbliche.

Importante

Per impostazione predefinita, l'accesso alla gestione del dispositivo (interfaccia web) dalla rete esterna è bloccato.

1. Come è implementato il firewall?

Per semplificare, un firewall può essere rappresentato come un insieme di filtri preconfigurati e definiti dall'utente, in cui le regole definite dall'utente hanno una priorità di esecuzione più alta.

Il firewall funziona con le seguenti impostazioni:

  • Parametri IP (criteri di base delle regole di filtraggio): Indirizzo IP/Sottorete, Protocollo, Numero di porta;

  • le azioni di queste regole (Nega o Consenti) sui pacchetti di traffico di rete;

  • associazione di regole a un'interfaccia specifica.

La parte utente del Keenetic firewall implementa le regole di filtraggio create per un'interfaccia specifica. Quando si crea una regola del firewall, è molto importante definire correttamente l'interfaccia per la quale verrà creata. Il fatto è che l'associazione delle regole all'interfaccia definisce anche la direzione del flusso di traffico a cui queste regole verranno applicate. Le regole possono essere eseguite per il traffico in entrata o in uscita di un'interfaccia WAN o LAN.

Direzione in entrata (in) — sempre verso il dispositivo, in uscita (out) — da esso.

Per quanto riguarda l'interfaccia, la direzione del flusso è definita come:

  • direzione in entrata (in) per il traffico dalla rete esterna a quella locale su una porta WAN, per le interfacce LAN, questa direzione è in uscita (out);

  • il flusso dalla rete locale a quella esterna per le interfacce WAN è in uscita (out), e per le interfacce LAN è in entrata (in).

firewall-02_en.png

Secondo lo schema dato, un pacchetto in entrata dalla rete esterna a quella locale sull'interfaccia WAN ha una direzione in entrata per una regola del firewall. Tuttavia, sull'interfaccia LAN, una regola per controllare questo traffico è in uscita (out).

Importante

Nei router Keenetic, le regole del firewall non sono 'basate su pacchetti', ma vengono applicate all'interno di una sessione (connessione). Pertanto, quando si blocca l'accesso a un determinato indirizzo, è necessario vietare il movimento dei pacchetti dall'iniziatore della richiesta piuttosto che le risposte a queste richieste. Ad esempio, per negare l'accesso tramite HTTP dagli host locali all'indirizzo esterno 77.88.99.10, è necessario creare una regola sull'interfaccia LAN locale perché l'iniziatore della sessione (traffico in entrata) si trova sulla rete locale.

Va inoltre notato che se una sessione è già stata stabilita, e successivamente viene applicata la configurazione della regola del firewall al traffico in questa sessione, questa sessione esistente non sarà controllata dal firewall. La regola avrà effetto dopo la terminazione della sessione corrente, forzata o al termine del suo ciclo di vita.

Affinché la regola appena creata funzioni correttamente (per reimpostare le connessioni correnti/attive), l'interfaccia a cui si applica deve essere disabilitata e riabilitata.

2. Configurazione delle regole del firewall

Le regole del firewall vengono eseguite nell'ordine in cui sono specificate nell'elenco: prima quella in alto e poi via via le altre. Per qualsiasi regola (in realtà, per qualsiasi gruppo di regole o Elenco di Controllo Accessi), deve essere definita l'interfaccia su cui verranno eseguite.

Ogni regola deve specificare:

  • una rete di origine e destinazione del traffico (indirizzi IP di host o sottoreti);

  • un protocollo per la configurazione (TCP, UDP, ICMP);

  • è richiesto un numero di porta per i protocolli TCP e UDP;

  • un'azione da eseguire su un pacchetto: negare o consentire.

Importante

Nei dispositivi Keenetic, le regole del firewall vengono elaborate dopo le regole di traduzione degli indirizzi di rete (NAT). Pertanto, durante la creazione delle regole del firewall, è necessario specificare l'indirizzo IP dell'host dopo la traduzione dell'indirizzo.

3. Configurazione delle regole dall'interfaccia web

L'interfaccia web del router fornisce il modo più comodo per gestire le regole del firewall. Ma c'è una limitazione: le regole create tramite l'interfaccia web si applicano solo alla direzione in entrata (in). Non è possibile configurare regole per la direzione in uscita (out). È possibile creare regole per qualsiasi direzione tramite l'interfaccia a riga di comando (CLI) di un Keenetic router.

Le regole del firewall vengono impostate nella pagina Firewall. Quando si aggiunge o si modifica una regola, si seleziona l'azione Consenti o Nega nella finestra Impostazioni e si specificano i criteri e le condizioni in base ai quali tali azioni verranno eseguite.

Suggerimento

  • Le regole devono essere create per l'interfaccia in cui il traffico filtrato avvia la sessione;

  • Quando si creano filtri di rifiuto, le regole di autorizzazione devono essere posizionate sopra le regole di negazione;

  • Durante l'impostazione delle regole, è possibile utilizzare solo gli indirizzi IP (non è possibile utilizzare i nomi di dominio quando si specifica l'indirizzo di origine o di destinazione).

Per informazioni sulla configurazione delle regole del firewall dall'interfaccia web, fare riferimento all'istruzione Firewall.

4. Eccezioni del firewall

Alcune applicazioni (servizi) nei router Keenetic modificano autonomamente le policy di sicurezza per il loro funzionamento. Tra queste, ad esempio, i server VPN e FTP, l'impostazione dell'inoltro di porta in NAT da un'interfaccia esterna a un computer nella rete locale o il servizio UPnP (un meccanismo che apre automaticamente le porte agli host nella rete locale). Non sono richieste impostazioni aggiuntive da parte dell'utente e le autorizzazioni necessarie vengono aggiunte automaticamente (ad esempio, quando si configura l'inoltro di porta in NAT, non è necessario creare regole aggiuntive nel firewall, le autorizzazioni per l'accesso vengono create automaticamente).

Ma se necessario, è possibile utilizzare regole personalizzate per limitare il traffico che passa attraverso i percorsi aperti automaticamente, lasciando solo quello richiesto. La logica generale di tali limitazioni è 'consenti ciò che è necessario, vieta tutto il resto'.

Ad esempio, un server VPN PPTP abilitato apre automaticamente la porta in entrata TCP/1723 su ogni interfaccia attiva del dispositivo. Se è necessario limitare le connessioni da indirizzi specifici su Internet, sull'interfaccia esterna, è necessario creare regole che consentano il protocollo TCP sulla porta di destinazione 1723 dagli indirizzi di origine necessari e quindi — vietino il protocollo TCP sulla porta 1723 da qualsiasi altro host.

È possibile configurare le regole del firewall dall'interfaccia della riga di comando (CLI) di Keenetic.

Per ulteriori informazioni, consultare l'articolo: Configurazione delle regole del firewall dall'interfaccia della riga di comando.

Suggerimento

Si consiglia di leggere il manuale Esempi di regole del firewall.