Quando devono essere utilizzate le regole di port forwarding e firewall?
I router Keenetic dispongono di un meccanismo integrato di Firewall e Traduzione degli indirizzi di rete (NAT) per nascondere e proteggere i dispositivi della rete domestica da utenti e minacce esterne di Internet. Entrambe le funzioni sono elementi importanti per la sicurezza della LAN.
Tuttavia, è importante ricordare che la Traduzione degli indirizzi di rete e il Firewall non sono le stesse funzioni.
Per capire quando utilizzare le regole di Port Forwarding in NAT e quando utilizzare le regole di Firewall, esaminiamo innanzitutto lo scopo di ciascuna di queste funzioni.
Traduzione degli indirizzi di rete
La Traduzione degli indirizzi di rete (NAT) è un meccanismo che consente a tutti i dispositivi LAN (computer, tablet, smartphone) di utilizzare un unico indirizzo IP sull'interfaccia esterna attraverso la quale si connettono a Internet o a una rete esterna. Il caso più comune: al router viene assegnato un indirizzo IP pubblico (che viene utilizzato per raggiungere la rete esterna), dietro il quale i dispositivi della rete domestica con indirizzi IP locali/interni (per impostazione predefinita dalla sottorete 192.168.1.x) funzionano e hanno accesso.
Nel caso più semplice di NAT, gli indirizzi IP di origine e di destinazione vengono sostituiti nei pacchetti di rete. I pacchetti provenienti dalla rete esterna cambiano l'indirizzo di destinazione e i pacchetti provenienti dalla rete interna cambiano l'indirizzo di origine. Nello specifico, il NAT modifica l'indirizzo IP di origine (indirizzo locale/privato interno) in un pacchetto di rete ricevuto da un dispositivo LAN nell'indirizzo globale/esterno prima di trasmettere il pacchetto alla rete esterna. Quando viene ricevuta una risposta, il NAT converte l'indirizzo di destinazione (indirizzo esterno) di nuovo nell'indirizzo locale/interno prima di trasmetterlo all'host di origine della rete interna.
Per impostazione predefinita, il meccanismo NAT è impostato per impedire o limitare l'accesso esterno (dalla rete esterna) ai dispositivi LAN, pur consentendo l'accesso dalla LAN alla rete esterna. Il NAT consente di nascondere i servizi interni di computer/server sulla LAN dall'accesso da Internet.
Con le regole personalizzate di port forwarding, è possibile rendere visibili (accessibili) agli utenti esterni da Internet determinati servizi interni (ad es. un server Web o FTP) situati nella rete locale (LAN) dietro un NAT. Per fare ciò, è necessario creare regole NAT per traslare porte specifiche tramite un router a un computer/server di rete locale (operazione denominata anche Port Forwarding). In sostanza, tali regole definiscono la traslazione del traffico dalla rete esterna alla rete interna (questo tipo di regola NAT è chiamato Destination NAT).
Importante
Il Port Forwarding funzionerà solo se l'ISP utilizza un indirizzo IP pubblico per accedere a Internet. Per ulteriori informazioni, consultare l'articolo Qual è la differenza tra un indirizzo IP pubblico e uno privato?.
Di seguito sono riportati alcuni esempi di quando deve essere utilizzato il port forwarding:
Fornire accesso da Internet a un NAS, una telecamera IP o un server (WWW, FTP, ecc.) su una rete locale;
Fornire accesso da Internet a un computer della rete domestica, utilizzando servizi dedicati per la connessione desktop remoto. Ad esempio, utilizzando Remote Desktop (da Windows) o tramite Radmin, VNC, ecc.;
Eseguire la sostituzione del numero di porta (
mappatura) per indirizzare una porta diversa. Ad esempio, mappare il controllo remoto del router da Internet a un'altra porta (nel caso in cui l'ISP blocchi la porta standard80e si desideri utilizzare la porta8080per accedere all'interfaccia web);Aprire le porte per torrent, console di gioco e altre applicazioni che utilizzano il traffico in entrata da una rete esterna per alcune funzioni.

Maggiori informazioni:
Importante
Sui router Keenetic, NON è necessario impostare una regola di autorizzazione del firewall in aggiunta alla regola di port forwarding. È sufficiente creare una regola di port forwarding nel NAT.
Quando si utilizzano alcuni servizi del router (ad es. server VPN PPTP, server VPN L2TP/IPsec, server FTP, servizio UPnP), le regole di port forwarding vengono abilitate automaticamente per inoltrare gli indirizzi dalla rete interna a quella esterna. Queste regole non vengono visualizzate nell'interfaccia web del router.
Firewall
Un firewall è progettato per proteggere i dispositivi di rete locali da attacchi esterni. In generale, un firewall agisce sul traffico dopo la traduzione e l'instradamento degli indirizzi. Controlla e filtra il traffico secondo regole predefinite basate su indirizzi IP. Il firewall è progettato principalmente per la sicurezza e il controllo degli accessi. Per impostazione predefinita, il firewall nel router consente le connessioni dalle interfacce domestiche (LAN) alle interfacce pubbliche (WAN) e blocca le connessioni nella direzione opposta. Le regole definite dall'utente consentono o negano l'accesso a host o servizi specifici sulla rete (bloccando porte o protocolli). Di fatto, le regole del firewall eseguono una verifica per decidere se autorizzare (consentire) un pacchetto di rete o scartarlo (negare).
Di seguito sono riportati alcuni esempi di quando utilizzare le regole del firewall:
Consentire solo a determinati computer della LAN di accedere a Internet e bloccare l'accesso a tutti gli altri o, viceversa, bloccare solo a determinati computer della LAN l'accesso a Internet e consentirlo a tutti gli altri;
Bloccare l'accesso a determinati siti web dalla rete locale;
Consentire a computer specifici sulla LAN di accedere solo a uno o più siti web specificati;
Consentire l'accesso dalla LAN a Internet solo tramite protocolli specificati (servizi);
Bloccare (negare) il traffico su porte o protocolli specifici;
Bloccare l'accesso da particolari indirizzi IP al punto di accesso a Internet da Internet o dalla rete esterna;
Consentire il controllo remoto del router da Internet solo da indirizzi IP specifici.

Maggiori informazioni:
Importante
In Keenetic, le regole di traduzione degli indirizzi (NAT) vengono implementate prima delle regole del firewall.
Nota
Alcuni ISP non consentono ai clienti sulla loro rete di eseguire e utilizzare applicazioni server (come server web, server FTP, server VPN PPTP o server di posta). L'ISP potrebbe bloccare il traffico dell'utente tramite protocolli e porte standard (ad es. 21/FTP, 80/HTTP, 25/SMTP e altre porte) o eseguire controlli periodici della rete per i server attivi (se rilevati, l'accesso può essere successivamente bloccato o addirittura sospeso). Per ulteriori informazioni sull'utilizzo dei servizi server e sul blocco di determinato traffico, contattare il proprio provider di servizi Internet.