Fibra TIM e DMZ

[Matteo Mabesolani]

Buongiorno amici,

 

mi trovo a chiedere una delucidazione riguardo a questa situazione: a casa ho la FTTC TIM e utilizzo un router in cascata a quello di TIM. In pratica il TIM ha indirizzo IP 192.168.0.1 sulla lan, DHCP disattivato, wifi disattivato, NAT attivo, firewall disattivato. Il mio router ha ip WAN 192.168.0.2, mentre IP LAN 192.168.1.1. Tutto funziona benissimo, ho però un dubbio: nel modem tim (baffo rosso) non ho la voce che mi permette di attivare la DMZ e infatto ho spento il suo firewall, ma qualora lo cambiassi col Sercomm, il quale ha la DMZ mi consigliereste di attivarla su ip del router e lasciare acceso il firewall, oppure di disattivare il firewall e basta? A rigor di logica non dovrebbe fare differenza, ma chiedo consigli. Ciao e buona domenica a tutti.

[Andrea Annoni]

Puoi fare la DMZ oppure NAT 1:1 che è un po’ la stessa cosa ma realizzata in modi differenti.

Ai fini IP avrai sempre e comunque una doppia NAT (fastidiosa in alcune applicazioni).

[Matteo Mabesolani]

1 minuto fa, Andrea Annoni scrisse:

Ai fini IP avrai sempre e comunque una doppia NAT (fastidiosa in alcune applicazioni).

ciao andrea e grazie della rapidissima risposta!!! allora del fatto che ci sia il doppio nat lo so, ma preferisco che il provider veda solo l'IP del suo apparato in modo da poterlo telegestire, preferisco non ci siano due ppoe con ip differenti visibili su internet. Per il fatto del doppio nat poi il ping è sempre bassissimo e non ho mai riscontrato problemi ne con apllicazioni ne con multiplayer.

 

3 minuti fa, Andrea Annoni scrisse:

oppure NAT 1:1 che è un po’ la stessa cosa ma realizzata in modi differenti.

realizzata con apertura manuale delle porte? quindi una "DMZ artigianale"?

 

ad ogni modo nel mio caso ho dovuto disattivare il firewall, ottengo lo stesso effetto di una dmz, apparte il fatto che non agisce su un solo ip ,ma su tutti oppure c'è differenza? 

in presenza sia della opzione DMZ che Firewall on/off cosa consigli? lasciare attivo il firewall e mettere dmz oppure spengo il firewall e buonanotte (che dovrebbe essere una sorta di apertura porte per tutti? o sbaglio?

[Andrea Annoni]

Senza firewall non hai DMZ e quindi dall’esterno come fai a raggiungere il tuo router o una periferica della rete? 

[Matteo Mabesolani]

@Andrea Annoni forse non mi sono spiegato bene: a casa mia il modem tim non ha l'opzione DMZ e dato che ad esso c'è collegato il router in cascata ho disattivato il firewall del modem TIM. Qualora avessi necessità di aprire una particolare porta la devo aprire solo sul router in cascata poichè sul TIM il firewall è OFF, corretto?

 

seconda domanda: qualora cambiassi modem TIM e prendessi un modello che nel firmware ha la DMZ, per usarlo col router in cascata meglio disattivare il suo firewall e quindi renderlo aperto, oppure lasciarlo attivo e mettere la DMZ?

[Andrea Annoni]

Mi sembra srano che non abbia la DMZ. Probabilmente è tra le avanzate. Ma comunque è possibile realizzarla tramite NAT 1:1

Se non fai la DMZ o comunque un NAT 1:1 verso il tuo router come fa il pacchetto a sapere dove deve andare? Arriva al tuo modem TIM e poi dove va se non c'è scritto da nessuna parte cosa fare?

 

Il firewall ON/OFF applica delle regoline della "sciura Maria" per prevenire attacchi brutali; a mio sindacabile parere completamente inutile.  In ogni caso qualsiasi cosa messa in DMZ non è soggetta a regole di firewall o di altro genere. Altrimenti non sarebbe una DMZ.

[Matteo Mabesolani]

Ciao, innanzitutto grazie per la risposta. 

15 ore fa, Andrea Annoni scrisse:

Mi sembra srano che non abbia la DMZ. Probabilmente è tra le avanzate.

Ho guardato ancora, ma non c'è traccia. c'è solo il port mapping.

15 ore fa, Andrea Annoni scrisse:

Ma comunque è possibile realizzarla tramite NAT 1:1

come dovrei procedere?

 

15 ore fa, Andrea Annoni scrisse:

Se non fai la DMZ o comunque un NAT 1:1 verso il tuo router come fa il pacchetto a sapere dove deve andare? Arriva al tuo modem TIM e poi dove va se non c'è scritto da nessuna parte cosa fare?

in questo caso il modem tim comunque sa da dove è partita la richiesta o sbaglio? 

 

15 ore fa, Andrea Annoni scrisse:

Il firewall ON/OFF applica delle regoline della "sciura Maria" per prevenire attacchi brutali; a mio sindacabile parere completamente inutile.  In ogni caso qualsiasi cosa messa in DMZ non è soggetta a regole di firewall o di altro genere. Altrimenti non sarebbe una DMZ.

infatti, ma non capisco una cosa: disattivare il firewall non sarebbe come aprire tutte le porte su verso tutti i dispositivi? quindi creare una "mega DMZ?"

 

abbi pazienza ma devo un poco schiarirmi le idee su come agisce la dmz e il firewall. ciao

[Andrea Annoni]

In base al tipo di firmware per fare il NAT 1:1 devi mettere come porta esterna e interna * e protocolli ALL.

 

Quote

in questo caso il modem tim comunque sa da dove è partita la richiesta o sbaglio?

Sbagli; come fa a instradare il pacchetto entrante? Tu avrai solo un router dietro ma se ci fossero più periferiche?

 

 

Quote

infatti, ma non capisco una cosa: disattivare il firewall non sarebbe come aprire tutte le porte su verso tutti i dispositivi? quindi creare una "mega DMZ?"

 

No, disattivarte il firewall vuol dire che il tuo IP risponde a determinate richieste dall'esterno; ad esempio il banale ping.

La DMZ avviene sempre,  solo ed esclusivamente ad un determinato IP che va specificato.

Concedere eventuali richieste entranti e propagarli a tutta la rete vuol dire fare un PORT-MIRRORING, che però trova poche applicazioni se non a servizi broadcast.

[Matteo Mabesolani]

Grazie mille Andrea sei veramente molto gentile e disponibile. Quindi per ricapitolare: spegnere il firewall significa disattivare delle regolette di sicurezza che agiscono su tutti i dispositivi collegati al modem tim, eccetto quelli messi sotto DMZ, la quale si può creare artificialmente con la tecnica del NAT 1:1 (che voglio provare a configurare). detto questo, come mai allora non avendo la DMZ (poichè non è proprio presente nel modem) non ho mai avuto problemi di navigazione? le richieste sono sempre andate al giusto client. non capisco questa tua affermazione: 

2 ore fa, Andrea Annoni scrisse:

Sbagli; come fa a instradare il pacchetto entrante? Tu avrai solo un router dietro ma se ci fossero più periferiche?

il fatto che tutto abbia funzionato bene è legato al fatto che ho un solo dispositivo collegato al modem TIM oppure c'è altro?

 

comunque, al di la di ciò che ti chiedo ti confesso che ho la mezza idea di sostituire il "baffo rosso" della TIM con un modem più recente, anche comprandolo su internet a mie spese (il costo è contenuto), ma sono indeciso se comprare il sercomm oppure il technicolor bianco a scolapasta. Hai per caso esperienze? (su questi due si può fare almeno la DMZ )

 

grazie della attenzione, non voglio seccarti ma è un argomento che mi interessa, ciao

[Matteo Mabesolani]

ho appena fatto come dici tu, spero di avere fatto bene:

 

1- ho riattivato il firewall del modem tim;

2- ho provveduto a recarmi nella sezione port mapping e dove c'è scritto virtual server ho creato una regola verso l'ip del router in cascata denominata DMZ, mettendo come protocolli ALL e come porta interna ed esterna il simbolo * (asterisco).

 

ho fatto bene? da come ho capito ora il modem tim provvederà a inviare tutte le richieste provenienti dall'esterno al router in cascata il quale deciderà cosa farne. così facendo il router TIM è praticamente trasparente, resta solo il "problema" del doppio NAT, che è quasi ininfluente.

ecco una foto: 

 

 

 

 

[Andrea Annoni]

Quote

l fatto che tutto abbia funzionato bene è legato al fatto che ho un solo dispositivo collegato al modem TIM oppure c'è altro?

 

Il fatto che abbia funzionato e che funzioni è corretto; la DMZ o il NAT1:1 serve solo per entrare; non per uscire (che nei modem tradizionali è sempre tutto aperto in uscita).

Te ne saresti accorto nel momento in cui avevi una periferica da raggiungere all'interno della rete.

 

 

L'impostazione del virtual server è corretta

 

[Matteo Mabesolani]

19 ore fa, Andrea Annoni scrisse:

L'impostazione del virtual server è corretta

perfetto!!! sei stato molto gentile e disponibile.

 

per fare una prova oggi mi faccio prestare da un amico il suo modem TIM sercomm (lui ha la 200 mega e quindi gli hanno dato quello nero, quindi il sercomm non gli serve più) e faccio una prova per vedere quanto aggancia di portante poichè molti dicono che il baffo rosso non sia eccellente come aggancio. vi farò sapere.  se non disturbo mi piacerebbe ricevere un parere sui modem anche da @Domenico Maschio

[Andrea Annoni]

A parità di protocolli non ritengo ci siano differenze sostanziali tra un modem e l'altro.

[Domenico Maschio]

Quote

 non ritengo ci siano differenze sostanziali tra un modem e l'altro.

Concordo ( sono entrambi cinesate !!! )

[Matteo Mabesolani]

@Andrea Annoni @Domenico Maschio ho appena configurato il sercomm datomi dal mio amico e la portante è più alta, la linea più stabile e il voip è molto più pulito come suono. credo quindi che il mio vecchio technicolor avesse qualche problemino. Adesso ho richiesto la sostituzione dell'apparato a TIM, mi dicono che dovrebbero spedirmelo. Credo che sia un technicolor "scolapasta", vi tengo aggiornati. Siete stati entrambi molto gentili, a presto.