Il modo migliore di bloccare tutto il traffico P2P nella vostra rete privata è quello di installare i servizi di Routing e Accesso Remoto presenti in Windows Server dalla versione 2000 in poi.
Il server deve avere (come d'altronde è lo scenario tipico) due schede di rete: una, che chiameremo esterna collegata solo al modem ADSL (IP 10.0.0.2 ad esempio, se il modem è 10.0.0.1), e l'altra, che chiamiamo interna, collegata alla rete locale, di IP 192.168.1.x ad esempio.
Configuriamo allora le due interfacce nella console del servizio di Routing. La configurazione è semplice e guidata da un wizard molto intuitivo.
Poi attiviamo il blocco di tutti i pacchetti in uscita dalla rete interna che non siano consentiti, e cioè andiamo su Proprietà di questa rete alla voce Firewall di base/NAT nello snap-in e clicchiamo su Filtri in uscita nella prima maschera che ci compare.
Qui si clicca su aggiungi e si inserisce solo la voce Porta di origine con il numero del servizio consentito e selezioniamo il protocollo di livello 4 associato, ad esempio:
Applicando le modifiche il router software lascierà passare solo i pacchetti con origine remota in queste porte. Ricordiamo inoltre di inserire il prtocollo ICMP lasciando a 0 il numero di porta (tutte).
Per poter invece accedere a risorse della rete interna (es. access point con accesso web o telnet) bisognerà aggiungere al server la relativa porta nella lista della scheda interna come Porta di destinazione (es. aggiungere la porta 80 o 143 per accedere alla configurazione di un access point) e così via per tutte le porte che sono di servizi di reti Windows (es. 137, 138, 139 e 445 per la condivisione dei file).
Per garantire invece l'accesso al server da Internet, ad esempio se questo ospita un server web, è necessario creare delle eccezioni nel firewall di base dell'interfaccia di rete esterna, cliccando sulla relativa maschera e inserendo quando richiesto, l'indirizzo IP del server della rete interna.
Se ad esempio in queste due configurazioni una porta fosse aperta in entrambi (es. 125 TCP e UDP) , programmi come Emule non riuscirebbero comunque a connettersi tramite questa, perchè il verso di transito dei pacchetti è solo in ingresso e ne è vietata l'uscita, quindi non ha luogo nessuna richiesta.
Il server deve avere (come d'altronde è lo scenario tipico) due schede di rete: una, che chiameremo esterna collegata solo al modem ADSL (IP 10.0.0.2 ad esempio, se il modem è 10.0.0.1), e l'altra, che chiamiamo interna, collegata alla rete locale, di IP 192.168.1.x ad esempio.
Configuriamo allora le due interfacce nella console del servizio di Routing. La configurazione è semplice e guidata da un wizard molto intuitivo.
Poi attiviamo il blocco di tutti i pacchetti in uscita dalla rete interna che non siano consentiti, e cioè andiamo su Proprietà di questa rete alla voce Firewall di base/NAT nello snap-in e clicchiamo su Filtri in uscita nella prima maschera che ci compare.
Qui si clicca su aggiungi e si inserisce solo la voce Porta di origine con il numero del servizio consentito e selezioniamo il protocollo di livello 4 associato, ad esempio:
- 53 TCP
- 53 UDP, entrambe per le richieste al DNS;
- 80 TCP per il protocollo http;
- 443 TCP, per il protocollo https;
- 20 TCP per il protocollo ftp;
- 21 TCP per il protocollo ftp;
- e così via.
Applicando le modifiche il router software lascierà passare solo i pacchetti con origine remota in queste porte. Ricordiamo inoltre di inserire il prtocollo ICMP lasciando a 0 il numero di porta (tutte).
Per poter invece accedere a risorse della rete interna (es. access point con accesso web o telnet) bisognerà aggiungere al server la relativa porta nella lista della scheda interna come Porta di destinazione (es. aggiungere la porta 80 o 143 per accedere alla configurazione di un access point) e così via per tutte le porte che sono di servizi di reti Windows (es. 137, 138, 139 e 445 per la condivisione dei file).
Per garantire invece l'accesso al server da Internet, ad esempio se questo ospita un server web, è necessario creare delle eccezioni nel firewall di base dell'interfaccia di rete esterna, cliccando sulla relativa maschera e inserendo quando richiesto, l'indirizzo IP del server della rete interna.
Se ad esempio in queste due configurazioni una porta fosse aperta in entrambi (es. 125 TCP e UDP) , programmi come Emule non riuscirebbero comunque a connettersi tramite questa, perchè il verso di transito dei pacchetti è solo in ingresso e ne è vietata l'uscita, quindi non ha luogo nessuna richiesta.
Nessun commento:
Posta un commento