[MontelLUG] Domanda da n00b su firewall e reti

[Samuele]

  Il 21/02/2011 13:49, Daneel Olivaw ha scritto:
> Il 21 febbraio 2011 13:19, Samuele<samuele.zanin a tiscali.it>  ha scritto:
>>   Il 21/02/2011 11:42, Daneel Olivaw ha scritto:
>>> Il 21 febbraio 2011 11:33, Manuel Trentin<vinilex a gmail.com>    ha scritto:
>>>> Ma non basta cambiargli il pirellone Telecozz con un linksys? Magari
>>>> prendi quello con le VPN e spendi sicuramente meno di un firewall
>>> Quale parte di "NON vuoi sapere cosa c'è" non era chiara? :-)
>>> NON hanno telecom, NON ci sono altri dispositivi,
>> E se io voglio sapere? Sai che ho la "Hall of horror". Una cosa simile l'ho
>> vista da uno che aveva un provider il cui nome inizia con A e finisce con O.
> Ti saprò dire una volta che ho portato là le mie macchine e ho visto
> meglio cosa c'è.
> Per ora resta pure nella beata e sicura ignoranza.
>
Pfuuuuuu....
>> Però se non hai accesso fisico al router, e lato lan del router hai solo ip
>> privati, non so come puoi impostare il port forward.
> Se proprio devo, farò a botte col provider per avere una risposta su
> cosa e come fare... e già immagino che sarà "Compra IP statico a
> $costo_spropositato", con somma gioia di tutti.
>
Ecco, mi sono dimenticato prima, hai due possibilità, a seconda quanto 
hai voglia di divertirti.
1) OpenVpn: basta che ci sia una qualsiasi porta udp/tcp aperta perché 
tu riesca ad uscire da li (es.: in caso di $IspBastardo che rallenta 
volutamente le connessioni vpn per farti acquistare linee a 
$CostoSpropoistato, basta che configuri openvpn che si connetta ad un 
server su porta 80, 25, 110 ecc, oppure firewall del cliente che blocca 
QUASI tutto).
Quindi non è necessario che tu acquisti ip pubblico a cifra assurda.
2) SixxS (www.sixxs.net), sta calmo, non è un sito porno (eventualmente 
cerca qualche altro tunnel broker). Anche qui ti fai un tunnel ipv6 
(così ti impari anche qualcos'altro), a sto punto hai tutti gli ip che 
vuoi (ovvio che devi poter uscire sulla porta usata per il tunnel, vedi 
aiccu, puoi anche già configurarlo su openwrt e probabilmente anche 
ddwrt; avrai qualche latenza più alta del normale, dipende da che devi 
fare; ah, le applicazioni dovranno essere ipv6 ready. Però una volta che 
hai un collegamento diretto con ipv6, puoi sempre su questo cacciarci 
dentro ipv4 o tramite ssh o vpn ecc. e vai di ricorsione). Ocio che in 
questo caso dovrai configurare per benino il firewall sul pc che fa da 
gateway.
3) Qualche tempo fa, avevo ricercato dei software che potessero fare 
tunnel usando come protocollo di trasporto ICMP. Purtroppo quel poco che 
avevo trovato era in fase molto alfa. Non so se la cosa sia cambiata.
>> Altrimenti devi fare che il tuo server chiama casa. Anche qui, di sistemi ne
>> trovi finché vuoi.
> E.T. docet.
>
:-) Il concetto è lo stesso.
>> Concordo anche io sull'idea di mettere un tuo ddwrt che ti isola la rete da
>> quella del cliente.
> Così si evitano eventuali casini tipo: "AAARGH!!! CI AVETE INFETTATO
> LA DITTA!!!"
> Comunque rimane la possibilità che ci sia un consumo "anomalo" di
> banda che dovrò chiedere di limitare... speriamo capiscano...
>
Esatto.
>> Ma perché non dyndns? Alla fine è la stessa cosa, anzi, hai l'ip aggiornato quasi in tempo reale.
> Perché lui è un Vero Sysadmin/Programmatore, quindi si fa tutto a mano
> perché non si fida delle cose automatiche fatte con linguaggi diversi
> dall'Assembly.
Ricordo anche che il sysadmin è per definizione pigro, se qualcosa 
esiste già non la reimplementa.