Scusa i tempi, ma è un periodo molto
pieno.
La mia idea è quella di mettere una ACL sull'interfaccia WAN in direzione IN dove butto via tutto quello che sicuramente non serve, e faccio passare il resto.
Per esempio, se nella mia lan non ci sono server (di quelli tradizionali, che richiedono l'apertura di porte da
root) direi che un bel:
Codice: Seleziona tutto
deny tcp any any lt 1024
deny udp any any lt 1024
permit ip any any
potrebbe essere un inizio. Nulla ti vieta, primadel permit, di negare altre cose che non ti interessano, per esempio protocolli interi o limitare gli ICMP ai messaggi di interesse (tipo echo ed echo-reply).
In seconda battuta, lavorerei sulla interfaccia LAN in direzione OUT.
Qui le possibilità sono varie. In generale, visto le attuali specifiche, nessun client sembra essere perentoriamente limitato. In generale, per far funzionare una LAN domestica, mi limiterei a dare una:
Codice: Seleziona tutto
permit udp host <dns_primario> eq domain any
permit udp host <dns_secondario> eq domain any
permit tcp any host <macchina_con_mulo> eq 4662
permit udp any host <macchina_con_mulo> eq 4762
permit tcp any any established
In questo modo permetti a tutti di ottenere le risposte dei DNS e di ricevere i dat TCP che
sono stati richiesti dall'interno e in più permetti ai dati in direzzione di <macchina_con_mulo>TCP/4662 e <macchina_con_mulo>UDP/4762 di ricevere i dati
non sollecitati verso le suddette porte.
Nulla ti vieta di giocare con la riga che contempla l'established per limitare i dati sollecitati.
Se, come dicevi all'inizio, volessi fare in modo che la macchina MULO riceva SOLAMENTE il traffico destinato al mulo, la cosa potrebbe cambiare in questo modo.
Codice: Seleziona tutto
permit udp host <dns_primario> eq domain any
permit udp host <dns_secondario> eq domain any
permit tcp any host <macchina_con_mulo> eq 4662
permit udp any host <macchina_con_mulo> eq 4762
deny tcp any host <macchina_con_mulo>
deny udp any host <macchina_con_mulo>
permit tcp any any established
Così fai in modo che i pacchetti con destinazione <macchina_con_mulo> che non abbiano come dest.port TCP/4662 e UDP/4762 vengano falciati ancor prima di raggiungere l'established.
A questo punto, se è quello che ti serve, non rimane che inserire una ACL all'interfaccia LAN in direzione IN. Qui qualsiasi soluzione è possibile, dipende solo da te.
Sperando di non aver scritto qualche bagianata (sono molto stanco...) attendo tue eventuali domande