Il concetto di "zones"

Un saluto a tutti, sono appena arrivato dopo aver installato nel mio sistema CPF in sostituzione a Sygate, che ha subito la patetica messa a tacere da parte del pessimo Symantec.
Il firewall mi ha fatto da subito un’ottima impressione, ma ho alcune perplessità che spero possiate risolvermi.
Il mio sistema consiste in un router Wireless Sitecom collegato wired all’HUG di Fastweb.
Al router sono collegati: un PC wired (sul quale è installato CPF), due portatili wireless ed un palmare wireless. Il tutto settato con IP dinamici.
A quanto vedo il software, andando su Task->Add/Remove/Modify a Zone, rileva autonomamente le differenti zone operative del sistema, nel mio caso rileva la scheda di rete, Hamachi (un software che emula una rete LAN in internet), Windows Mobile (per quando collego il palmare al PC con l’USB anzichè collegarlo wireless direttamente al router) ed una fantomatica “Local Area Network”.
Editanto le zone scopro che gli unici dati che le contraddistinguono sono un range di IP ed un nome; tale range è coerente con le zone conosciute descritte; quello che mi lascia interdetto è questa “Local Area Network” il cui range corrisponde a 0.0.0.0/255.255.255.255.
La mia conoscenza di reti & co. è veramente scarsa, ma mi viene da pensare che questo range di IP suoni più o meno come “il resto del mondo”, o sbaglio? Andando per logica, creando una serie di regole che trattino questa “Local Area Network” come una Trusted Zone non è come se non avessi affatto il firewall? (questa idea è confermata dal fatto che Emule funziona a dovere malgrado io non abbia creato alcuna regola specifica, oltre a dare i permessi all’applicazione).
Seguendo questo principio, ho provato ad eliminare le regole relative a “Local Area Network” e ne ho create di nuove che rendono Trusted Zone la zona relativa alla mia scheda di rete (che ha un range di IP coerente con le impostazioni dei mio router, ovvero 192.168.0.0/192.168.0.255). Tutto quello che ho ottenuto è di inibire l’accesso ad internet al mio browser. Mi rendo conto che questo ha una sua logica, l’IP di un sito web, poniamo Google, non è compreso nel range suddetto, quindi non viene fatto passare.
L’unica soluzione che mi viene in mente è che con la zona “Local Area Network” venga inteso quel range totale di IP provenienti solo dalla mia rete locale, ma dove è stata definita questa cosa, nel semplice nome della zona?

Spero di non avervi annoiato troppo con le mie richieste, e approfitto per fare i miei auguri a tutti.

Per errore avevo eliminato una regola importante di default:


5 Allow TCP UDP Out [Any] [Any] WHERE SOURCE PORT IS [Any] AND DESTINATION PORT IS [Any ]
Credo fosse l'assenza di questa che mi bloccava il browser quando utlizzavo come [i]Trusted Zone[/i] la zone relativa alla mia scheda di rete. Dopo averla ripristinata, posso navigare tranquillamente senza problemi, come pure interagire con gli altri PC all'interno della mia LAN. Malgrado mi sia evidente che una [i]trusted zone[/i] limitata a 255 IP sia decisamente più sicura rispetto a quella compresa tra 0.0.0.0. e 255.255.255.255 che ho citato nel post qui sopra, mi resta il dubbio riguardo la definizione della zona...per fare un esempio banale: chi impedisce a qualcuno che esca in internet con l'IP 192.168.0.200 di entrare nel mio sistema? I "confini" della mia LAN sono definiti da qualcosa, e se sì, dove su CPF è riportato questo dato?

Beh, esposti i miei dubbi da ignorantone in materia, vorrei passare a sottoporvi le mie regole attuali, in modo da vedere se riuscite a risolvermi un problema con Emule Adunanza e uno con Hamachi.


http://img295.imageshack.us/img295/1152/comodo01pf8.th.jpg

Le regole 1 e 2 creano la trusted Zone della mia LAN.

Le regole 3 e 4 creano una trusted Zone per Hamachi e la regola 5 serve sempre per Hamachi, perchè sull’applicazione e sul ruoter ho impostato un port forwarding della porta 12345 per aggirare il NAT di Fastweb (facendo altrimenti, la connessione con altri utenti Fastweb mi risulta limitata e non diretta, non chiedetemi perchè, anzi, se potete, spiegatemelo :-)) Primo dubbio: non è un po’ estrema come apertura, rendere “trusted” tutta la rete Hamachi? Dovrei forse andare cercare le altre porte utilizzate dal software e limitare la regola a quelle singole porte?

La regola 6 è quella che avevo erroneamente cancellato ed ora ripristinato.

Le regole 7, 8 e 9 sono di default e non le ho toccate.

Le regole 10 e 11 mi servono per Emule Adunanza. Secondo problema: mi connetto ai server normali e alla rete Kad, faccio ricerche e scarico senza nessun problema. La connessione a Kad risulta firewalled, ma è sempre stato così e non mi ha mai dato alcun problema. Il guaio è che nessuno è in grado di scaricare da me, e i log dicono:


Description: Inbound Policy Violation (Access Denied, ICMP = PORT UNREACHABLE) Protocol: ICMP Incoming Source: 83.131.9.118 Destination: 192.168.0.101 Message: PORT UNREACHABLE Reason: Network Control Rule ID = 12
Tra l'altro mi accorgo ora che sto continuando a ricevere questo tipo di messaggi nel log anche se ho chiuso [i]Emule[/i], ma con molta meno frequenza. (aggiornamento: dopo 3 minuti ha smesso).

Edit: Ho provato a seguire un consiglio trovato nel forum, ovvero quello di togliere i permessi concessei a Emule, riavviare il sistema e ridarli quando li chiede…l’esito è che ora qualcuno riesce anche a collegarsi per scaricare, ma sembrano pochi, solo della rete Kad (non so se sia un caso) e i messaggi nel log continuano ad arrivare, tutti identici a quelli che ho riportato qui sopra.

La regola 12 è quella essenziale di default.

Spero che possiate darmi una mano su questa cosa…so che siamo in periodo festivo e spero che vi stiate tutti divertendo un mondo, ma se trovate un minuto da dedicarmi ve ne sarei davvero grato, mi sento un po’ con il culo scoperto e non mi piace ;-]

Per favore elimina la tua trusted zone haimachi. Con una zona sicura cosi vasta e come disattivare il network monitor.

ps. scusa se non ho risposto prima ma questi giorni non mi sono collegato al forum.

edit: non alarmarti e non pensare che non eri per niente protetto usando una zona cosi vasta. 1. Per fortuna eri dietro un router che ti protegge comunque. 2. Anche se disattivi il network monitor CFP continuera a proteggerti nello stesso modo che fanno la maggior parte degli altri software firewalls.

Ciao Pandlouk e grazie mille per la risposta, aspettavo proprio te, e ci mancherebbe altro che sotto le feste io pretendessi una risposta immediata (forse dovevo aspettare io per cambiare il firewall in effetti ;-]).

Eliminando la Trusted Zone Hamachi mi è impossibile utilizzarlo, ci sono altri metodi, oltre ad inserire manualmente gli IP dei terminali con cui intendo collegarmi?
In ogni caso è una Trusted Zone che creo solo per quando uso Hamachi, ed elimino immediatamente dopo, ma è un po’ scomodo e resto vulnerabile per tutto il tempo.

Mi rimane il dubbio riguardo il concetto di “zone”, so che è una mia ignoranza in materia di reti, ma non è che se io creo una trusted zone 192.168.0.1/192.168.0.255 posso ricevere gli attacchi di chi è in internet con un IP compreso in quel range? Non c’è un modo di definire “solo i computer dentro la mia LAN” ed escludendo quindi quelli collegati via Internet?
Su Sygate avevo impostato gli accessi su base MAC.

Riguardo il router, il firewall del router è disabilitato, non vorrei dover configurare anche quello e dover stare dietro alle varie compatibilità tra lui e CPF. Sbaglio?

Cosa mi dici su quei messaggi da Emule?

Per hamachi:
non ti serve creare una zona sicura. Devi solo aprire le porte che hamachi usa per connetersi. Se non sbaglio devono essere 2 porte per comunicare con i server di hamachi e una per il tunel udp che serve per fare comunicare i sistemi tra di loro.

per emule dai un occhiata alla guida https://forums.comodo.com/index.php/topic,411.0.html che avevo creato.
ps. nello stesso modo devi creare le regole per hamachi.

Per quanto riguarda il router. E meglio che attivi il firewall. Aumenta la tua protezione. E sempre meglio avere multipli strati di protezione.
ps. devi solo trovare la opzione NAT o “port forwarding” dell router ed aprire anche la le stesse porte per l’ IP dell tuo pc. Piu o meno funziona nello stesso modo del “Network Monitor” del CFP.

Ti ringrazio Pandlouk, al posto di una temporanea abilitazione di una zona sicura in corrispondenza della zona Hamachi, ho provveduto a creare una regola cumulativa per aprire le porte 12975 e 32976 più la porta 12345 che ho impostato come tunnel per il port forwarding. Non ho ancora avuto modo di verificarne il funzionamento, ma ti terrò aggiornato.

Per quanto riguarda Emule, in effetti ho notato che tutto funziona come ha sempre fatto: scarico piuttosto velocemente ed ho una discreta velocità in upload. Le ricerche funzionano perfettamente e tutto il resto è ok. Ho impostato tutto precisamente come descritto qui nel forum. Le uniche anomalie sono che la connessione kadu mi risulta firewalled (ma non crea nessun problema) e che continuo a ricevere nel log parecchi messaggi (medium) come questo:


Description: Inbound Policy Violation (Access Denied, ICMP = PORT UNREACHABLE) Protocol: ICMP Incoming Source: 83.131.9.118 Destination: 192.168.0.101 Message: PORT UNREACHABLE Reason: Network Control Rule ID = 12

Insisto sul concetto di “zone” che continuo a non capire…

Tra un po’ ti invio un nuovo screenshot delle mie regole, spero che potrai darci un’occhiata.

Eccomi, purtroppo la regola porposta nello scorso post per quanto riguarda Hamachi non funziona, mi vengono continuamente richieste di utilizzo di porte differenti da quelle elencate. L’unica soluzione che ho trovato è creare temporaneamente una trusted zone coincidente con la zona “hamachi” da cancellare appena ho terminato di usarlo.

Ecco lo screenshot delle mie regole attuali (quella per Hamachi non c’è, dato che non lo sto usando), vorrei sapere se sono corrette e se l’ordine è quello giusto.
Grazie ancora.


http://img401.imageshack.us/img401/2773/1oe0.th.jpg

la regola #0 a cosa ti serve? Meglio eliminarla

per le altre tutto ok.

Accidenti, pensavo fosse una regola di default…la tolgo subito.
Ciao e grazie.