Atlantis Land A02-RA MI01 manual Dovreste ottenere un’immagine del genere

Capitolo 3 Uso dell’I-Storm Router ADSL

Dovreste ottenere un’immagine del genere.

Esempio 2

Anzitutto è necessario assegnare ai PC che si vogliono limitare degli indirizzi IP fissi e disabilitare così, qualora fosse attivo, il client DHCP. In questo modo, avendo sempre i medesimi indirizzi IP potremo operare correttamente (si ricorda che invece se fossero client DHCP l'indirizzo IP potrebbe mutare). L'idea da seguire sono le seguenti: Utenti appartenenti al gruppo A saranno filtrati ed Utenti appartenenti al gruppo B avranno invece accesso senza alcuna limitazione a tutti i servizi internet. Per ottenere questo creeremo nel firewall dell'I-Storm tutta una serie di regole che consentiranno il passaggio per i pacchetti uscenti e provenienti dagli IP dei PC del gruppo A dei vari servizi consentiti. Creeremo poi una regola finale che eliminira tutti i pacchetti uscenti provenienti dagli IP dei PC del gruppo A (saranno quei pacchetti che non sono passati nelle regole di sopra e che dunque non sono autorizzati ad uscire). Vediamo adesso come scegliere gli IP del gruppo A. Anzitutto saranno IP contigui (appartenente alla classe 192.168.1.x per esempio). Creiamo la regola 1 per pacchetti uscenti che se soddisfatta inoltra il pacchetto (qualora un pacchetto non la soddisfa si passa alla regola 2 e così via). Tale regola deve consentire la visione delle pagine WEB. Metteremo nel campo Source l'indirizzo IP di un PC del gruppo A, poi come subnet metteremo 255.255.255.252 (per 4 elementi, oppure 248 per 8 elementi). Sceglieremo TCP, come azione Forward e come porta di destinazione la 80. Faremo poi le regole che consentono il passaggio delle porte TCP 110 e TCP 25 (entrambe per la posta) ed UDP 53 per la risoluzione dei DNS. Fatto questo faremo la regola finale che taglia tutti i pacchetti provenienti da questi IP che non hanno passato nessuna regola antecedente, questa regola avrà come azione Drop. Dovrebbe apparire un risultato analogo alla foto di sotto:

In questo modo i pacchetti uscenti appartenenti al gruppo A e che soddisfano le regole sono inoltrati, quelli provenienti da A e che non soddisfano le regole di inoltro sono eliminati dalla regola 5. I pacchetti provenienti da altri IP sono semplicemente inoltrati perchè non soddisfano alcuna regola. E' possibile creare più gruppi e per ogni gruppo consentire determinati servizi.

Scelta dei gruppi. E' opportuno per evitare errori scrivere gli indirizzi IP in binario così come la subnet mask. Facciamo un esempio:44 in binario diviene 00101100. La subnet mask 248 è 11111000. Quindi mettere come IP=192.168.168.44 e subnet mask=255.255.255.248 significa indicare in binario tutti quegli IP che cambiano i soli ultimi 3 bit (000,001....111). Cioè da 192.168.1.40 sino

38