[successivo]
[precedente]
[inizio]
[fine]
[indice generale]
[indice ridotto]
[indice analitico]
[volume]
[parte]
Capitolo 365. Esempi astratti per il filtro del traffico IP e annotazioni
-
Si impedisce l'ingresso a ogni pacchetto proveniente dagli indirizzi 192.168.*.*:
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
blocco | ingr. | | 192.168.0.0/16 | | 0/0 | | | | |
|
-
Si impedisce l'ingresso ai pacchetti ICMP provenienti dagli indirizzi 192.168.*.*:
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
blocco | ingr. | ICMP | 192.168.0.0/16 | | 0/0 | | | | |
|
-
Si impedisce l'ingresso dei pacchetti provenienti dall'interfaccia x, contenenti come mittente indirizzi tipici delle reti private. In pratica, si presume che sia impossibile ricevere pacchetti di questo tipo da tale interfaccia, perché la rete privata è connessa su un'altra interfaccia; pertanto, pacchetti del genere possono essere solo contraffatti.
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
blocco | ingr. | | 10.0.0.0/8 | | 0/0 | | | x | |
blocco | ingr. | | 172.16.0.0/12 | | 0/0 | | | x | |
blocco | ingr. | | 192.168.0.0/16 | | 0/0 | | | x | |
|
-
Si impedisce l'attraversamento di pacchetti della classe D e E:
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
blocco | transito | | 224.0.0.0/3 | | 0/0 | | | | |
|
-
Consente l'attraversamento ai pacchetti TCP per raggiungere presumibilmente un servizio TELNET:
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
consente | transito | TCP | 0/0 | | 0/0 | 23 | | | |
|
-
Blocca il transito delle comunicazioni riferite alla gestione remota di applicazioni X. Si presume si possano gestire un massimo di 10 serventi grafici simultaneamente.
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
blocco | transito | TCP | 0/0 | 6000-6009 | 0/0 | | | | |
blocco | transito | TCP | 0/0 | | 0/0 | 6000-6009 | | | |
|
-
Blocca l'ingresso e l'uscita delle comunicazioni riferite alla gestione remota di applicazioni X. In questo caso, si protegge il nodo che funge da firewall.
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
blocco | ingr. | TCP | 0/0 | | 0/0 | 6000-6009 | | | |
blocco | uscita | TCP | 0/0 | 6000-6009 | 0/0 | | | | |
|
Non si deve bloccare il transito dei pacchetti del protocollo ICMP. Il messaggio di tipo 3 (destinazione irraggiungibile), è indispensabile nei protocolli TCP e UDP per sapere che un certo indirizzo non è raggiungibile; bloccandolo, si attende senza sapere il perché.
|
Il protocollo ICMP viene usato anche nella determinazione automatica della dimensione massima dei pacchetti (MTU discovery). Mancando la possibilità di ricevere questi pacchetti ICMP, il funzionamento delle comunicazioni potrebbe essere compromesso seriamente.
I protocolli che si basano su UDP sono usati frequentemente nell'ambito di servizi locali, come NIS e NFS. Tra le altre cose, questi servizi tendono a fare viaggiare informazioni particolarmente delicate che non dovrebbero essere accessibili dall'esterno. Per questa ragione, è normale che venga impedito il transito dei pacchetti UDP. Tuttavia, capita che proprio il servizio DNS (per la risoluzione dei nomi), possa averne bisogno.
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
blocco | transito | UDP | 0/0 | | 0/0 | | | | |
|
Il servizio DNS può usare pacchetti UDP o connessioni TCP, a seconda della dimensione di questi. Così, il blocco eventuale di tale servizio si avvertirebbe solo in modo intermittente, complicando l'individuazione del problema.
Generalmente, un servizio DNS collocato in una posizione tale per cui non possa inviare o ricevere pacchetti UDP dall'esterno, si deve avvalere necessariamente di un altro collocato al di fuori di tale blocco. Infatti, in questo modo userebbe solo il protocollo TCP.
Eventualmente, il firewall potrebbe essere configurato espressamente per consentire il transito di questi pacchetti legati al servizio DNS. Nell'esempio seguente si suppone che il servizio DNS in questione sia collocato nel nodo 196.1.2.3:
Azione | Pos. | Prot. | IP srg | | IP dst | | ICMP | Int. | |
accetta | transito | UDP | 0/0 | 53 | 196.1.2.3 | | | | |
accetta | transito | TCP | 0/0 | 53 | 196.1.2.3 | | | | |
accetta | transito | UDP | 196.1.2.3 | | 0/0 | 53 | | | |
accetta | transito | TCP | 196.1.2.3 | | 0/0 | 53 | | | |
|
Appunti di informatica libera 2007.02 --- Copyright © 2000-2007 Daniele Giacomini -- <daniele (ad) swlibero·org>
Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome esempi_astratti_per_il_filtro_del_traffico_ip_e_annotazioni.htm
[successivo]
[precedente]
[inizio]
[fine]
[indice generale]
[indice ridotto]
[indice analitico]