Ciao a tutti,
vedo che i vari modem degli Internet provider supportano la modalità Host DMZ che il port mapping, ma ho dei dubbi sul meccansimo di funzionamento.
In particolare, nelle impostazioni del modem, oltre ad avere la possibilità di impostare un host DMZ, si può anche impostare il port mapping verso un dispositivo a valle del modem. Ma se è già attivo l'host DMZ, questo non riceve "di default" il traffico dati inoltrato a qualsiasi porta? Oppure non ho capito io come funziona il tutto?
Modem, host DMZ e port mapping - Come funziona?
[cancellato]
IdolR Ma se è già attivo l'host DMZ, questo non riceve "di default" il traffico dati inoltrato a qualsiasi porta?
Sì, ma tranne quello gestito da altri port mapping. Perciò se ad esempio hai la porta 21 mappata sulla macchina A, mentre l'host DMZ è la macchina B, il router manderà sempre il traffico in ingresso sulla porta 21 alla macchina A, mentre quello che non ha un mapping alla macchina B.
Altrimenti una volta impostato l'host DMZ sarebbe impossibile usare altre macchine se necessario. I port mapping espliciti sono da preferire all'host DMZ, quest'ultimo rimane completamente esposto. Se non si fa attenzione quali porte sono effettivamente aperte sull'host si potrebbe finire per esporre servizi vulnerabili.
Può essere utile quando si ha a che fare con applicazioni che usano le porte molto dinamicamente ed è difficile fare un port mapping - se però supportano tecniche come UPnP per aprire le porte dinamicamente pur con tutti i rischi di UPnP è IMHO oggi preferibile ad avere una macchina completamente esposta, specialmente se la macchina non è opportunamente "hardenizzata".
[cancellato]
Grazie della risposta. l'host DMZ è un router con firewall che gestisce autonomamente le porte da aprire.
Che tu sappia c'è una differenza di prestazioni fra un host DMZ e un port mapping?
[cancellato]
IdolR Che tu sappia c'è una differenza di prestazioni fra un host DMZ e un port mapping?
Molto piccole - nel senso che il router deve controllare la sua tabella di port mapping per decidere cosa fare e se non trova match manda all'host DMZ. Quindi dipende da quante regole deve gestire, ma sono check molto veloci.
Un router in cascata con firewall si può tranquillamente impostare come host DMZ.
Ottimo, al momento allora va bene così, perché ho configurato solamente l'host DMZ
Facevo la domanda sulle prestazioni perché ieri sera dopo aver cambiato la configurazione del router a valle, da dialup PPPoE relay verso il modem (e ip pubblico assegnato al router) a DHCP (e conseguente IP privato al router e configurazione Host DMZ nel modem), l'app Panasonic che usiamo per il VOIP (che si collega al centralino che si trova a valle del nostro router) sembrava essere meno reattiva... non credo che questo dipenda dall'avere un hop in più nella attuale configurazione DHCP e Host DMZ?
[cancellato]
Tieni presente che così c'è un doppio NAT, rispetto alla configurazione precedente. Se passi in bridge come da altro thread elimini un NAT, così come se configuri per fare routing invece di NAT sul router interno, ma richiede di poter impostare le tabelle di routing sui router esterni, e ovviamente di poter non fare NAT sulle interfacce di quello interno.
[cancellato]
mi pare che la soluzione migliore sia il bridge, che risolverebbe tutti i problemi. Grazie mille
[cancellato] Se passi in bridge
Io ho un router in cascata...se metto in bridge la CPE esterna, non riesco più a navigare...
[cancellato]
Camel90 Io ho un router in cascata...se metto in bridge la CPE esterna, non riesco più a navigare...
Hai configurato la connessione PPPoE/DHCP sul router in cascata?
[cancellato] stasera provo. Ma avere il doppio Nat cosa comporta?
[cancellato]
Se devi fare port forwarding devei farlo su entrambi i dispositivi, a meno che non metti il router in cascata come default host (DMZ). Alcuni protocolli poco NAT_friendly non lo gradiscono molto. A seconda del traffico e della potenza di calcolo dei router può introdurre un piccolo calo di prestazioni, e diventa più complesso fare QoS.
[cancellato] meno che non metti il router in cascata come default host (DMZ
E così facendo non ci sarebbe doppio Nat perché verrebbe tutto inoltrato al router in cascata?
[cancellato]
Il doppio NAT c'è sempre perché anche se metti il default host (DMZ) l'indirizzo viene sempre traslato da pubblico esterno a quello privato interno del router, prima di essere inoltrato, perché non c'è modo di poter ruotare un indirizzi privato su internet.
Altrimenti per eliminarlo o si fa PPPoE passthrough se supportato, e si fa un bidge. Questi non hanno problemi perché avvengono a layer 2, non a livello 3 (IP) - anche se ovviamente ciò avviene solo un segmento di rete, oltre è necessario il livello IP.
[cancellato] ok capito grazie mille. Ma se metto PPPoE nel router in cascata quale nome e password devo usare? Ho Wind 4g... è possibile farlo?
[cancellato]
Camel90 Ma se metto PPPoE nel router in cascata quale nome e password devo usare?
Le stesse che useresti sul router principale. Attenzione però che se il router principale già instaura la sua connessione PPPoE, o l'ISP supporta connessioni multiple, o la seconda fallirà.
[cancellato] Attenzione però che se il router principale già instaura la sua connessione PPPoE, o l'ISP supporta connessioni multiple, o la seconda fallirà.
Ecco infatti non posso fare PPPoE sul router in cascata... niente lo lascio in dmz. Grazie comunque molto gentile