# Nas+wifi+internet [OK]

## codadilupo

Ok,

la situazione è questa:

- 3 pc con accesso wifi

- 1 disco NAS ethernet (non wifi)

- 1 AP

- 1 router ethernet

Ora, con questi elementi è possibile secondo voi fare in modo che i 3 pc possano - esclusivamente via wifi - collegarsi sia al NAS che ad internet, senza che il NAS, sia pubblicato sulla stessa rete che accede ad internet tramite il router ?

CodaLast edited by codadilupo on Tue Nov 20, 2007 8:19 am; edited 1 time in total

----------

## IlGab

Dipende da che apparati hai.

Puoi mettere il nas su una sottorete a cui fai conoscere solo la subnet su cui stanno i pc e non gli dai invece un default gateway per internet, in questo modo i pacchetti che arrivano sulla rete del nas da internet non avranno una rotta di ritorno e non sarà possibile comunincare col nas dall'esterno... non so se mi sono spiegato.

Però un firewall sarebbe utile.

----------

## codadilupo

 *IlGab wrote:*   

> Dipende da che apparati hai.

 

ehe, beh, certo: se il router fosse un cisco_vattelapesca, la domanda sarebbe anche fuori luogo  :Wink:  Purtroppo, pero', tutti gl'apparati di cui sopra possono essere considerati di fascia consumer  :Wink: 

 *Quote:*   

> Puoi mettere il nas su una sottorete a cui fai conoscere solo la subnet su cui stanno i pc e non gli dai invece un default gateway per internet, in questo modo i pacchetti che arrivano sulla rete del nas da internet non avranno una rotta di ritorno e non sarà possibile comunincare col nas dall'esterno...

 

perfetto. Ora questo pero' prevede che io abbia almeno un ulteriore apparato rispetto ai citati, giusto ? Almeno uno switch, altrimenti niente VLAN, e quindi niente reti separate, corretto ?

 *Quote:*   

> Però un firewall sarebbe utile

 

a questo pensavo di ovviare con un d-link, o un router di fascia SOHO

Coda

----------

## X-Act!

Non mi è del tutto chiaro il problema: perché non mettere i client e il nas sulla stessa rete? Se hai un unico indirizzo ip pubblico (tipo l'adsl di casa) e sei dietro un nat non fai nessun forward verso l'ip del nas e sei apposto; se invece ogni macchina ha un ip pubblico anche un qualsiasi apparato consumer ti permette di definire un'access list per bloccare il traffico esterno verso il nas.

Poi puoi tranquillamente metterli su sottoreti diverse senza bisogno di vlan, ma mi sembra sparare ad una mosca con un cannone...

Banalmente ti basta non configurare il default gateway sul nas e sei sicuro che sarà raggiungibile solo dalla tua rete e da nessun'altra.

----------

## codadilupo

 *X-Act! wrote:*   

> Poi puoi tranquillamente metterli su sottoreti diverse senza bisogno di vlan, ma mi sembra sparare ad una mosca con un cannone...

 

beh, posso anche collegare due pc con un cavo e definire due reti differenti, ma non si parlano  :Wink: 

O intendi che si possano anche parlare ? Probabilmente, ma allora si' che stiamo preparando un bazooka di troppo  :Wink: 

 *Quote:*   

> Banalmente ti basta non configurare il default gateway sul nas e sei sicuro che sarà raggiungibile solo dalla tua rete e da nessun'altra

 

faro' cosi', mi sembra la soluzione piu' semplice

Coda

----------

## Kernel78

Spero non ti secchi se ti faccio qualche domanda anche se hai risolto ma non ho ben capito la tua problematica ...

Perchè non vuoi che il nas sia nella stessa rete dei pc ?

----------

## codadilupo

piu' che altro, non volevo il NAS sulla stessa rete che accede a internet, proprio per evitare che da internet si potesse accedere  al NAS. Ma, visto che inibire le risposte del NAS al di fuori dela rete di cui fa parte è una soluzione sufficiente, direi che l'eventuale DMZ diventa solo fonte di ulteriori problemi, e - soprattutto - renderebbe necessario l'uso di ulteriori apparati e cavi (che è poi quello che vorrei evitare  :Wink: )

Coda

----------

## Kernel78

 *codadilupo wrote:*   

> piu' che altro, non volevo il NAS sulla stessa rete che accede a internet, proprio per evitare che da internet si potesse accedere  al NAS. Ma, visto che inibire le risposte del NAS al di fuori dela rete di cui fa parte è una soluzione sufficiente, direi che l'eventuale DMZ diventa solo fonte di ulteriori problemi, e - soprattutto - renderebbe necessario l'uso di ulteriori apparati e cavi (che è poi quello che vorrei evitare )
> 
> Coda

 

Scusa ma se a internet accedi tramite un router (come mi pare di aver capito) a meno che tu non abiliti esplicitamente un accesso al NAS da internet questo risulta irraggiungibile da fuori ...

----------

## codadilupo

 *Kernel78 wrote:*   

> Scusa ma se a internet accedi tramite un router (come mi pare di aver capito) a meno che tu non abiliti esplicitamente un accesso al NAS da internet questo risulta irraggiungibile da fuori ...

 

Mica detto  :Wink:  Altrimenti i firewall non servirebbero a nulla, no ?  :Wink:  Invece inibendo le risposte del NAS al di fuori della sua propria rete, ho l'ulteriore sicurezza che un eventuale attaccante deve bucare il firewall e successivamente acchiapparsi un client della rete, prima di poter accedere al NAS

Coda

----------

## Kernel78

 *codadilupo wrote:*   

>  *Kernel78 wrote:*   Scusa ma se a internet accedi tramite un router (come mi pare di aver capito) a meno che tu non abiliti esplicitamente un accesso al NAS da internet questo risulta irraggiungibile da fuori ... 
> 
> Mica detto  Altrimenti i firewall non servirebbero a nulla, no ?  Invece inibendo le risposte del NAS al di fuori della sua propria rete, ho l'ulteriore sicurezza che un eventuale attaccante deve bucare il firewall e successivamente acchiapparsi un client della rete, prima di poter accedere al NAS
> 
> 

 

Capisco e approvo la paranoia estrema ma se tu non istruisci il router su quale porta aprire in ascolto su internet e su quale ip e porta della rete interna deve forwardarla non esiste ne in cielo ne in terra che da fuori possano collegarsi a quella macchina.

----------

## codadilupo

 *Kernel78 wrote:*   

> Capisco e approvo la paranoia estrema ma se tu non istruisci il router su quale porta aprire in ascolto su internet e su quale ip e porta della rete interna deve forwardarla non esiste ne in cielo ne in terra che da fuori possano collegarsi a quella macchina.

 

D'accordo su tutto, ma non se so abbastanza per potermi sentire sicuro di quel che faccio: ergo, preferisco ridondare le soluzioni; sopratutto quando non significa aggiungere, ma togliere  :Wink:  Inoltrei potrei aver bisogno di aprire il router su internet per qualunque motivo, certo pero' che aprirei un varco - temporaneo - , ma non stenderei per questo anche un tappeto rosso  :Wink: 

Coda

----------

## X-Act!

 *codadilupo wrote:*   

> Mica detto  Altrimenti i firewall non servirebbero a nulla, no ? 

 

Giusto così per chiacchierare, se sei (come mi pare) con un router domestico e hai un solo ip pubblico, il tuo router prima che da firewall fa da nat: n ip interni che vanno su internet come uno solo. In questa situazione nessuna delle tue macchine è mai raggiungibile da internet (anche se non hai nessun firewall) a meno che tu non imposti manualmente e con cognizione di causa una regola apposita di port forwarding.

Suppongo che a questo si riferisse Kernel78 ed è questo il motivo per cui senza sapere assolutamente nulla di informatica e di sicurezza, stando dietro ad un router si sta meglio che con un modem!

Diverso è il caso in cui tu abbia un router che fa solo da router cioè ha un'intera classe (pubblica) da una parte e un'altra (sempre pubblica) dall'altra e di suo non fa nessun nat. Allora si che tutte le macchine sono esposte su internet e devi mettere un firewall che ti protegga oppure sei nei guai.

Questo però è uno scenario ben diverso dai collegamenti internet casalinghi ed anche da quelli per le piccole aziende, ed è ben più vicino ad un livello enterprise.

----------

## Kernel78

 *codadilupo wrote:*   

> D'accordo su tutto, ma non se so abbastanza per potermi sentire sicuro di quel che faccio: ergo, preferisco ridondare le soluzioni; sopratutto quando non significa aggiungere, ma togliere  Inoltrei potrei aver bisogno di aprire il router su internet per qualunque motivo, certo pero' che aprirei un varco - temporaneo - , ma non stenderei per questo anche un tappeto rosso 
> 
> 

 

se natti più macchine anche se aprissi il router su internet non otterresti nulla, devi specificare per forza una porta del router e un ip/porta della rete locale affinchè qualcosa venga visto.

es. io ho tre macchine nella mia rete locale nattate dietro un router, tutte le macchine hanno tutte le 65536 porte aperte con servizi che consento a chiunque di ottenere accesso di root tranne una delle macchine che sulla porta 12345 ha in ascolto ssh (con chiavi e sicurezza varia).

nessuna dei servizi di nessuna di queste macchine è raggiungibile da internet.

Se io voglio potermi collegare da fuori sul server ssh devo dire esplicitamente al router di aprirmi una porta in ascolto (diciamo la 22) e di inoltrare tutto quello che gli arriva li sulla porta 12345 della macchina con ssh.

Fatto questo da fuori potrei collegarmi al mio ip pubblico sulla porta 22 e collegarmi ad ssh, tutte le altre porte sarebbero chiuse in maniera completa ed assoluta.

----------

## djinnZ

 *X-Act! wrote:*   

> Suppongo che a questo si riferisse Kernel78 ed è questo il motivo per cui senza sapere assolutamente nulla di informatica e di sicurezza, stando dietro ad un router si sta meglio che con un modem!

 

poichè tutti i router a basso costo hanno una accoppiata login/password "di recupero" non modificabile non è troppo difficile reimpostarli. Non vado girando per warez da una vita ma mi ricordo che c'era un elenco in giro.

Di mio preferisco impostare gli arp statici in iptables, rifiutare tutto quello che viene dall'arp del router, ed appena ho tempo devo provare arpwatch o come diavolo si chiama.

Il nat non è per niente una garanzia.

----------

## Kernel78

 *djinnZ wrote:*   

> poichè tutti i router a basso costo hanno una accoppiata login/password "di recupero" non modificabile non è troppo difficile reimpostarli. Non vado girando per warez da una vita ma mi ricordo che c'era un elenco in giro.

 

se non si permette l'accesso remoto al router qualsiasi coppi utente/password viene tenuta lontano dal router ...

----------

## X-Act!

 *djinnZ wrote:*   

> poichè tutti i router a basso costo hanno una accoppiata login/password "di recupero" non modificabile non è troppo difficile reimpostarli. Non vado girando per warez da una vita ma mi ricordo che c'era un elenco in giro.

 

Questo non è del tutto vero: i router che forniscono possibilità di recupero note, relativamente semplici e utilizzabili da internet sono davvero pochi (bug e security issues a parte). Certo sono arcinote liste molto lunge di utenti/password di default su praticamente tutti i modelli, ma se lasci le chiavi di casa sotto lo zerbino non puoi prendertela con chi fa le porte blindate.

 *djinnZ wrote:*   

> Di mio preferisco impostare gli arp statici in iptables, rifiutare tutto quello che viene dall'arp del router, ed appena ho tempo devo provare arpwatch o come diavolo si chiama.

 

E' tutta una questione di rapporti costo/benficio: se avessi tempo e voglia, ma soprattutto necessità di proteggere seriamente una rete, questo sarebbe solo un buon punto di partenza, ma per proteggere che cosa e da chi?

Non so se è il tuo caso, ma almeno per il 95% degli utenti internet, le cose più preziose di cui qualcuno possa volersi impadronire sono una connessione ad internet a scrocco e uno zombie per mandare spam...

 *djinnZ wrote:*   

> Il nat non è per niente una garanzia.

 

Questo è fuori dubbio, ma vale il discorso precedente: non parliamo di server!

----------

## codadilupo

tanto per chiudere il cerchio, il mio punto di vista è quello di djinnZ: certo che se posso controllare tutto e so farlo, posso star relativamente sicuro. Ma che ne so io di quanto è robusto il routerino casalingo che uso ? E proprio perchè non si tratta di proteggere un'azienda di enterprise, non mi metto certo ad acquistare hw da svariate migliaia di euro, no ? Quindi, date queste premesse, tutto fa ciccia. Inoltre, dal mio punto di vista il discorso del "ma che avrai mai da nascondere ?" - posso garantirlo - non ha alcun senso, oltre che essere assolutamente pericoloso: e non tanto per chi lo fa, ma per tutti gl'altri  :Wink: 

Coda

----------

## djinnZ

"ma che avrai da nascondere?", prima della famigerata 675/98 e del garante aveva un senso, ora no. Se consideri che già una semplice busta paga rientra nella piena tutela.

E poi non sto dicendo di mettere chissà cos, un banale -A INPUT -m mac -s xxx.xxx.xxx.xxx ! --mac-source xx:xx:xx:xx:xx -j LOG/DROP e variazioni sul tema, mi pare più che sufficiente, tanto il firewall/proxy/printserver fa sempre comodo e basta un vecchio pc.

Soprattutto su piccole reti che non vengono controllate e vengono usate da utonti docg.

Va da se che se i client sono linux basta attivare iptables con questi minimi accorgimenti, non serve un firewall.

----------

