Abbiamo già illustrato in molteplici occasioni il funzionamento di un firewall informatico.
Volendo fornire una semplice introduzione a questo complesso argomento, un firewall è un programma, in esecuzione su un computer oppure su un dispositivo hardware dedicato, che blocca preventivamente qualsiasi tentativo proveniente Rete di accedere alle applicazioni installate sul sistema o alle funzionalità del sistema operativo, e/o inibisce l'accesso alla rete da parte degli stessi.
Più precisamente, un firewall si occupa di inibire (o "chiudere") tutte le porte di comunicazione utilizzate dalle applicazioni per scambiare informazioni attraverso Rete.
Un firewall come quello incluso in tutte le versioni di Windows moderne è di tipo monodirezionale: significa che inibisce qualsiasi richiesta di connessione proveniente dall'esterno, rete locale LAN compresa, mentre non effettua alcun blocco sulle connessioni in uscita dal PC. (In realtà questa caratteristica è implementata nella versione di Windows Firewall distrubita con Windows Vista, ma disabilitata di default: tale caratteristica è comunque ininfluente ai fini dell'argomento qui presentato).
Appare subito evidente che, in talune circostanze, consentire l'accesso da remoto a certi programmi in esecuzione sul PC può essere una azione desiderata: si pensi solamente alla necessità di rendere raggiungibile un server Web pronto ad erogare contenuti a tutti i visitatori.
Le modalità di configurazione variano da prodotto a prodotto: in questo articolo, illustrerò la procedura necessaria per aprire le porte su Windows Firewall, il programma incluso nativamente in tutte le versioni di Windows a partire da Windows XP Service Pack 2.
In particolare, mi dedicherò alle versioni per workstation di Windows: Windows XP e Windows Vista.
Aprire una porta - da interfaccia grafica
Selezionare Start -> Pannello di Controllo -> Windows Firewall
Per Windows Vista: cliccare su Modifica impostazioni per continuare la procedura
Sincerarsi che la casella Non consentire eccezioni (Windows XP) oppure Blocca tutte le connessioni in ingresso (Windows Vista) NON si attivata: in caso contrario, tutto il traffico in ingresso sarà bloccato, e qualsiasi eccezione ignorata.
Portarsi nella linguetta Eccezioni e cliccare sul pulsante Aggiungi porta...
Digitare un nome a piacere per la regola. Personalmente, utilizzo un prefisso My_ seguito dal nome del servizio e la porta utilizzata fra parentesi: quindi My_Web (80) per il server web, My_SSH (22), My_FTP (21) e via dicendo.
Inserire quindi il numero corrispondente alla porta che si desidera aprire nel campo sottostante
Indicate che tipo di traffico accettare su tale porta: in caso di dubbio, selezionare TCP.
Notate infine il pulsante Cambia ambito: da qui, potete fare in modo che tale porta sia raggiungibile da tutta Rete (Internet compresa) oppure dalla sola rete locale (LAN). Questa opzione può rivelarsi utile, ad esempio, in caso si desiderasse ospitare un server Web dedicato allo sviluppo di pagine dinamiche sulla propria macchina, ma non voler che il servizio sia raggiungibile dall'esterno fino a quando il lavoro non sarà effettivamente finito. In linea generale comunque, vorrete scegliere Tutti i computer (compresi quelli in Internet).
Una volta espressa la propria preferenza, cliccate tutti i pulsanti OK e la regola diverrà immediatamente attiva.
Aprire una porta - da linea di comando
Gli amanti dello scripting preferiranno invece procedere da linea di comando, magari inserendo tutte le porte più importanti in uno script batch come quello allegato a questo articolo, in grado di aprire automaticamente le porte relative a numerosi servizi con un semplice doppio click.
Ad esempio, per Aprire la porta 80 a tutti i PC, compresi quelli su Internet il comando da utilizzare è il seguente:
Per Windows XP
netsh firewall add portopening protocol=TCP port=80 name="My_Web(80)" mode=ENABLE scope=ALL
In cui:
- il valore protocol può essere sostituto da UDP oppure ALL
- il valore port è il numero di porta che si desidera aprire
- il valore name è il nome da assegnare alla regola, e deve essere senza spazi
- il valore mode può diventare DISABLE, di modo da inibire esplicitamente tale porta
- il valore scope può essere SUBNET di modo da abilitare la connessione alla porta solo dai PC della rete locale
Per Windows Vista
netsh advfirewall firewall add rule name="My_Web(80)" dir=in action=allow protocol=tcp localport=80 remoteip=any
In cui:
- il valore protocol può essere sostituto da UDP oppure ALL
- il valore port è il numero di porta che si desidera aprire
- il valore name è il nome da assegnare alla regola, e deve essere senza spazi
- il valore mode può diventare DISABLE, di modo da inibire esplicitamente tale porta
- il valore remoteip può divenire LocalSubnet se si desidera accettare la connessione alla porta solo dai PC della rete locale, oppure uno specifico indirizzo IP da cui si desidera accettare la connessione
I file batch allegati all'articolo offrono numerosi esempi dei comandi appena discussi, tutti adattabili alle singole esigenze.
Arrivati a questo punto, non rimane che verificare che la porta sia effettivamente raggiungibile.
Lanciare quindi il programma server sul PC di cui abbiamo precedentemente aperto la porta e tentare una connessione da un client remoto. Se tutto andrà come previsto, la procedura è andata a buon fine.
Telnet per verificare la porta
In caso di problemi, la prima cosa da verificare è che la porta sia effettivamente raggiungibile. Il modo più semplice per farlo è utilizzare telnet, disponibile immediatamente sotto Windows XP, e, previa installazione, anche sotto Windows Vista.
Selezionate Start -> Esegui e digitate cmd
Da qui, digitate telnet nomepc numeroporta
Nell'immagine sopra riportata ad esempio, sto verificando la disponibilità della porta 80 (web server) sul PC denominato srv-rettore.
Se la porta sarà stata correttamente aperta, il cursore inizierà a lampeggiare su sfondo nero, e dopo qualche secondo verrà ritornato il prompt dei comandi. In caso di problemi invece, verrà restituita una notifica Connessione non riuscita
Attenti al router!
In caso il vostro PC fosse collegato ad Internet mediante un router e cercaste di accettare connessioni in entrata, ricordate che non è sufficiente configurare il solo firewall: in tale scenario è indispensabile rilanciare la porta in questione dal router verso il vostro PC.
La procedura si chiama port forwarding, ma sfortunatamente è differente in ogni modello di router in circolazione: dovrete quindi fare riferimento alla guida del vostro router, o, in alternativa, al sito PortFowarding.com per ultimare la procedura.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati