di thema3x » 27 dicembre 2011, 15:28
Ciao,
il discorso non mi è chiaro...o meglio...non capisco il problema; scusate sarà l effetto Natale..
Immagino che la NSM5 in oggetto funga da STA client WAN verso un operatore che distribuisce connettività. Quindi il lato LAN, mezzo CAT5e o CAT6, finisca in una scheda "red" del firewall interno.
Immagino quindi che l' esigenza possa essere CHIUDERE delle porte o fare del portforwarding dall interno verso la WAN in modo da rendere dei servizi interni accessibili all esterno.
Escludo l esigneza di aprire delle porte, in quanto di default sono sempre tutte aperte sugli apparati UBNT.
Quindi, come variabile, mi manca da capire se la NS è settata in bridge o router: tendenzialmente direi router ( e questo ci complica la vita ) in quanto con un firewall a valle potrebbe tranquilamente funzionare come bridge, con l indirizzo pubblico WAN direttamente assegnato al firewall interno che magari in autonomia sia gestisce anche il discorso PPPoE o PPPoA.
Se al cliente si assegna un Ip statico e una subnet da 8 a lui dedicata, il problema non dovrebbe esistere in quanto l' antenna ha un IP WAN ( riservato al WISP per telecontrollo con le sue porte girate ) e un altro indirizzo IP WAN viene poi assegnato al cliente per uscire.
Ammettiamo cmq che sia in modalità router con un singolo IP WAN a disposizione:
- per chiudere le porte non esiste il problema, in quanto se le chiude dal suo firewall sono cmq chiuse sia da un lato che dall' altro ( dal firewall alla LAN interna, dal firewalla alla lan della NS )
- bisogna liberare sulla NS tutte le porte standard al cliente, quindi mantere solo la porta dell interfaccia web sicuro attiva sull antenna curandosi di portarla fuori dal range standard ( es. la porta 10666 è decisamente un buon compromesso tra porte standard libere, sicurezza e tracciabilità del percorso ).
- sulla NS si disattiva il firewall
- per fare gli inbound NAT ( portforwarding ) la regola sul firewall del cliente potrebbe essere:
IP LAN NS:443 --> IP LAN interno:443
in questo modo --> qualsiasi chiamata che arriva all' antenna dall esterno ( lato wan ) viene routata in automatico ( se il nat sul routing della NS è stato attivato ) alla LAN locale della NS. La LAN locale della NS, che finsice nel firewall, gli propone sul suo indirizzo locale una richiesta inoltrata dall' esterno: attraverso la regola di sopra il firwall del cliente accetterà la richiesta sulla specifica porta che inoltrerà all' indirizzo IP interno della rete.
E' chiaro che il firwall, per quanto assunto fin ora, non maneggierà mai l IP WAN, ma avrà come suo riferimento per andare all esterno l' IP lato LAN della ns. NSM5.
La NS in modalità router completamente attiva, dovrebbe fare in autonomia il resto, cioè inoltrare tutte le richieste in trasparenza dal lato WAN al lato LAN che, per assunto, avrà un solo indirizzo di riferimento al quale inoltrare le richieste: l' IP LAN RED del firewall.
Se cosi non fosse prova a creare una regola sul firewall della NS dove inoltri forzatamente tutto il traffico wan ( meno la 10666 o cmq la porta che ti riservi per il telecontrollo ) all 'indirizzo IP LAN del firwall.
OK?
Se non ci siamo, fornisci per favore maggiori info.
GRAZIE
The Ma3x
