Assistenza


Questa pagina è predisposta per la stampa. Per stampare questo documento, clicca sul tasto stampa della barra del tuo browser. Al termine, clicca sul tasto chiudi, situato in alto a destra o in fondo alla pagina, per chiudere la finestra e tornare alla pagina precedente.

Come é possibile permettere solo a certi pc di accedere a Internet?

Quanto detto in questa nota vale sia per il 9105 che per il 9106.

Entrambi i router sono dotati di un firewall che, come impostazione predefinita (default), permette tutte le connessioni in uscita, cioé dalla rete locale verso Internet, e blocca tutte quelle in entrata.

Le note che seguono si propongono di spiegare come limitare i permessi di connessione in uscita Prenderemo in considerazione diversi casi.

Caso 1.

Si vuole impedire ad un solo pc di accedere a Internet, lasciando liberi gli altri pc locali.

Caso 2.

Si vuole permettere a un pc di leggere le pagine web di Internet, ma proibirgli l'accesso ad ogni altro servizio

Caso 3.

Si vuole permettere ad un gruppo di pc l'accesso a Internet e negarlo ad un altro gruppo di pc.

La prima fase é comune ai 3 casi. Aprite il navigatore (browser) e scrivete, nella barra degli indirizzi, l'indirizzo IP del vostro router, precisamente quello della sua interfaccia LAN. L'indirizzo predefinito é 192.168.1.1 (Fig. 1)

Fig. 1

Premete quindi il tasto "Invio". Comparirà la finestra di accesso al router (Fig. 2)

Fig. 2

Inserite nei campi vuoti il vostro nome utente e la password. Se non li avete modificati, usate quelli predefiniti che sono "admin" e "admin". A questo punto comparirà la pagina iniziale di configurazione del router. Il suo contenuto può essere diverso a seconda della linea ADSL utilizzata.
Sulla sinistra compare il menu principale delle voci di configurazione (Fig. 3)

Fig. 3

Osservazione: Il menu della figura 3 é quello del 9105. Il menu del 9106 presenta una voce aggiuntiva (Wireless AP), che però non sarà utilizzata nel seguito di questa nota.

Cliccate su "Security" (Fig. 3), compariranno delle sottovoci di configurazione. Il percorso da utilizzare per impostare il filtro del traffico in uscita é il seguente

Security > IP Filtering > Outbound Filters

La schermata che comparirà é riportata qui sotto (Fig. 4)

Fig. 4

Come indicato in cima alla Figura 4, tutto il traffico in uscita é di default permesso. I filtri permettono solo di stabilire delle regole in base alle quali certi tipi di traffico vengono bloccati.

Vediamo ora in dettaglio i 3 casi.

Caso 1.

Si vuole impedire ad un solo pc, il cui indirizzo supponiamo essere 192.168.1.21, di accedere a Internet. L'accesso é invece permesso a tutti gli altri pc della rete locale.

Premere il pulsante "Add" della Fig. 4 e compilare come segue la pagina che appare

Fig. 5

Premere quindi "Apply" (Fig. 5). Il risultato che consegue é riportato sulla Figura 6

Fig. 6

Nei campi lasciati vuoti é sottinteso "qualsiasi". Con questa regola il firewall intercetta le connessioni provenienti da qualsiasi porta TCP e UDP di 192.168.1.21 e dirette verso qualsiasi indirizzo esterno alla rete locale e qualsiasi porta TCP e UDP di destinazione.

Osservazione sulla risoluzione dei nomi. Se un pc della rete locale utilizza la funzione proxy DNS del router, ossia é configurato per avere come server DNS il router stesso (192.168.1.1), il blocco della porta UDP 53 é inefficace, in quanto i pacchetti alla porta UDP 53 vengono inviati al router e non a una destinazione esterna.

Caso 2.

Si vuole permettere al pc 192.168.1.21 di leggere le pagine web, ma proibirgli l'accesso ad ogni altro servizio su Internet. L'accesso é invece integralmente consentito a tutti gli altri pc della rete locale.

Il protocollo HTTP, utilizzato per la lettura delle pagine web, richiede connessioni verso la porta TCP 80. Inoltre, é necessario tenere aperta la porta UDP 53 per il servizio DNS di traduzione dei nomi in indirizzi IP. Siccome con i filtri in uscita si può solo proibire, invece di permettere il traffico verso TCP 80 e UDP 53, dovremo proibire tutto il resto. Per semplificare le cose, apriremo le porte 53 e 80 sia per TCP che per UDP. Procedere quindi come segue. Alla Fig. 4 premere "Add" e, nella pagina che appare, inserire un primo filtro come esemplificato nell'immagine successiva (Fig. 7)

Fig. 7

Poi premere "Apply". Comparirà la Fig. 8.

Fig. 8

Creare successivamente altri due filtri, simili al primo, ma relativi ai due intervalli di porte di destinazione 54:79 e 81:65535 (le porte TCP e UDP vanno da 1 a 65535). Il risultato finale sarà quello illustrato dalla Figura 9

Fig. 9

Osservazione sulla risoluzione dei nomi. Se un pc della rete locale utilizza la funzione proxy DNS del router, ossia é configurato per avere come server DNS il router stesso (192.168.1.1), aprire la porta UDP 53 é superfluo, in quanto i pacchetti alla porta UDP 53 vengono inviati al router e non a una destinazione esterna.

Caso 3.

Consideriamo il caso in cui il filtro debba essere esteso a più di un pc. Per fissare le idee, supponiamo di avere 4 computer cui si vuole proibire l'accesso a Internet. E' possibile scrivere un filtro per ciascuno di essi, ma l'operazione può diventare lunga. Si usa la voce "subnet mask" per rendere la configurazione più agevole. Si parte sempre dalla Fig. 4, premendo il tasto "Add". Compare la pagina in cui inserire la regola del filtro.Se si inserisce la combinazione seguente (Fig. 10)

Fig. 10

e poi si preme "Apply", si ottiene il seguente filtro

Fig. 11

Il significato é il seguente: é proibito l'accesso a Internet per tutti i pc che appartengono alla sottorete cui appartiene 192.168.1.2 e determinata dalla maschera di sottorete 255.255.255.248. Gli indirizzi bloccati vanno quindi da 192.168.1.1 a 192.168.1.7. Naturalmente, il filtro non ha nessun effetto su 192.168.1.1 che é l'interfaccia interna del router.
Tutti gli altri indirizzi, da 192.168.1.8 a 192.168.1.254, possono accedere a Internet. Basterà allora assegnare ai 4 pc da bloccare un indirizzo IP la cui ultima cifra sia compresa tra 2 e 7 (inclusi)

Se il numero di computer da bloccare é più alto, si potrà ricorrere ad una maschera di sottorete diversa. Per esempio con

Source IP address: 192.168.1.2
Source subnet mask: 255.255.255.240

si bloccano tutti i pc tra 192.168.1.2 e 192.168.1.15

Con

Source IP address: 192.168.1.2
Source subnet mask: 255.255.255.224

si bloccano tutti i pc tra 192.168.1.2 e 192.168.1.31

Osservazione sulla risoluzione dei nomi. Se un pc della rete locale utilizza la funzione proxy DNS del router, ossia é configurato per avere come server DNS il router stesso (192.168.1.1), il blocco della porta UDP 53 é inefficace, in quanto i pacchetti alla porta UDP 53 vengono inviati al router e non a una destinazione esterna.


Queste FAQ (Domande Frequenti) ti sono state d’aiuto? (1 = nessun aiuto, 5 = grande aiuto)
1   2   3   4   5  
 
Ti hanno permesso di risolvere il problema?
Si   No   Non so (non ho ancora provato)  
 
Commento facoltativo (255 caratteri al massimo)

Chiudi finestra