www.MegaLab.it

Abbiamo già illustrato in molteplici occasioni il funzionamento di un firewall informatico.

Volendo fornire una semplice introduzione a questo complesso argomento, un firewall è un programma, in esecuzione su un computer oppure su un dispositivo hardware dedicato, che blocca preventivamente qualsiasi tentativo proveniente Rete di accedere alle applicazioni installate sul sistema o alle funzionalità del sistema operativo, e/o inibisce l'accesso alla rete da parte degli stessi.

Più precisamente, un firewall si occupa di inibire (o "chiudere") tutte le porte di comunicazione utilizzate dalle applicazioni per scambiare informazioni attraverso Rete.

Un firewall come quello incluso in tutte le versioni di Windows moderne è di tipo monodirezionale: significa che inibisce qualsiasi richiesta di connessione proveniente dall'esterno, rete locale LAN compresa, mentre non effettua alcun blocco sulle connessioni in uscita dal PC. (In realtà questa caratteristica è implementata nella versione di Windows Firewall distrubita con Windows Vista, ma disabilitata di default: tale caratteristica è comunque ininfluente ai fini dell'argomento qui presentato).

Appare subito evidente che, in talune circostanze, consentire l'accesso da remoto a certi programmi in esecuzione sul PC può essere una azione desiderata: si pensi solamente alla necessità di rendere raggiungibile un server Web pronto ad erogare contenuti a tutti i visitatori.

Le modalità di configurazione variano da prodotto a prodotto: in questo articolo, illustrerò la procedura necessaria per aprire le porte su Windows Firewall, il programma incluso nativamente in tutte le versioni di Windows a partire da Windows XP Service Pack 2.

In particolare, mi dedicherò alle versioni per workstation di Windows: Windows XP e Windows Vista.

Aprire una porta - da interfaccia grafica

Selezionare Start -> Pannello di Controllo -> Windows Firewall

Per Windows Vista: cliccare su Modifica impostazioni per continuare la procedura

Sincerarsi che la casella Non consentire eccezioni (Windows XP) oppure Blocca tutte le connessioni in ingresso (Windows Vista) NON si attivata: in caso contrario, tutto il traffico in ingresso sarà bloccato, e qualsiasi eccezione ignorata.

Portarsi nella linguetta Eccezioni e cliccare sul pulsante Aggiungi porta...

Digitare un nome a piacere per la regola. Personalmente, utilizzo un prefisso My_ seguito dal nome del servizio e la porta utilizzata fra parentesi: quindi My_Web (80) per il server web, My_SSH (22), My_FTP (21) e via dicendo.

Inserire quindi il numero corrispondente alla porta che si desidera aprire nel campo sottostante

Indicate che tipo di traffico accettare su tale porta: in caso di dubbio, selezionare TCP.

Notate infine il pulsante Cambia ambito: da qui, potete fare in modo che tale porta sia raggiungibile da tutta Rete (Internet compresa) oppure dalla sola rete locale (LAN). Questa opzione può rivelarsi utile, ad esempio, in caso si desiderasse ospitare un server Web dedicato allo sviluppo di pagine dinamiche sulla propria macchina, ma non voler che il servizio sia raggiungibile dall'esterno fino a quando il lavoro non sarà effettivamente finito. In linea generale comunque, vorrete scegliere Tutti i computer (compresi quelli in Internet).

Una volta espressa la propria preferenza, cliccate tutti i pulsanti OK e la regola diverrà immediatamente attiva.

Aprire una porta - da linea di comando

Gli amanti dello scripting preferiranno invece procedere da linea di comando, magari inserendo tutte le porte più importanti in uno script batch come quello allegato a questo articolo, in grado di aprire automaticamente le porte relative a numerosi servizi con un semplice doppio click.

Ad esempio, per Aprire la porta 80 a tutti i PC, compresi quelli su Internet il comando da utilizzare è il seguente:

Per Windows XP

netsh firewall add portopening protocol=TCP port=80 name="My_Web(80)" mode=ENABLE scope=ALL

In cui:

• il valore protocol può essere sostituto da UDP oppure ALL
• il valore port è il numero di porta che si desidera aprire
• il valore name è il nome da assegnare alla regola, e deve essere senza spazi
• il valore mode può diventare DISABLE, di modo da inibire esplicitamente tale porta
• il valore scope può essere SUBNET di modo da abilitare la connessione alla porta solo dai PC della rete locale

Per Windows Vista

netsh advfirewall firewall add rule name="My_Web(80)" dir=in action=allow protocol=tcp localport=80 remoteip=any

In cui:

• il valore protocol può essere sostituto da UDP oppure ALL
• il valore port è il numero di porta che si desidera aprire
• il valore name è il nome da assegnare alla regola, e deve essere senza spazi
• il valore mode può diventare DISABLE, di modo da inibire esplicitamente tale porta
• il valore remoteip può divenire LocalSubnet se si desidera accettare la connessione alla porta solo dai PC della rete locale, oppure uno specifico indirizzo IP da cui si desidera accettare la connessione

I file batch allegati all'articolo offrono numerosi esempi dei comandi appena discussi, tutti adattabili alle singole esigenze.