Firewall router

Ho notato che disabilitando l'opzione "spi and anti-dos firewall protection"
non mi da più problemi il gioco in rete tipo su Unreal III e alcuni siti li carico molto più velocemente tipo tom's hardware...

Io posseggo un router Belkin e facendo una ricerca in giro ho trovato che anche altri rilevano problemi lasciando questa opzione attiva...(sembra sia un problema dei router belkin forse troppo selettivi)

Volevo sapere da qualche esperto se togliendo questa opzione è come avere il firewall disabilitato e se il mio pc corre rischi...


(da notare che invece sull'altro mio router Linksys invece anche se la lascio attiva funziona tutto)

Grazie ;.

Il problema con questi firewall "da scatoletta" è più che altro il finto senso di sicurezza che danno (cioè tu CREDI d'essere al sicuro da tutto, cosa che è peggio che mettere un cartellone "fatemi male").
Di firewall (specie se sei in NAT) ne basta uno, possibilmente sul PC... meglio ancora se non è quello standard di XP, ma anche quello, se tenuto bene, funziona a dovere.

Ma se tolgo questo filtro...va bene secondo te?

Guarda... le console (XBox 360, Playstation 3 e Wii) non possono hackartele ed i PC di solito hanno il loro firewall.
Tenere un firewall sul router è solo controproducente.

Quindi alla fine il firewall del router e una schifezzuola... meglio mettere un outpost o cose simili nel pc....

Di solito i firewall sui router sono i filtri di iptables (perché di solito i router montano linux).
Nulla di male in questo ma un router in genere ha 16Mb di RAM da spartirsi fra nat e cacchiatine varie, ed un processore a 200-300 MHz (e parlo di router buoni).
Ne consegue che da un lato il firewall ha pochissime funzioni realmente attive e dall'altro attivarlo significa zavorrare del tutto un sistema che, di suo, è già molto sotto pressione.

Considerando che una macchina d'oggi ha, di suo, un firewall decisamente più "pompato" (per potenza di calcolo e memoria disponibile) è quantomeno inutile affidarsi ai router, inoltre l'effetto "doppio preservativo" (firewall sul router + firewall sulla macchina) degrada la connessione...

Thanks per la spiegazione..vedro di disattivare. Ho la rete winzoz-linux

Guarda, di base siamo tutti in NAT.
In pratica c'è un IP pubblico ed una sottorete privata, il router fa questo:

(apertura di connessione dalla rete interna)
1. "conserva" l'IP privato della macchina, nella LAN, che ha aperto la connessione (salva l'IP "remoto" e la porta).
2. sovrascrive nel pacchetto il campo "origine", mettendo al suo posto l'IP pubblico dato dall'ISP.
3. invia il pacchetto "verso" internet

(arrivo di un pacchetto dalla rete interna)
1. sovrascrive il campo "origine" mettendo al suo posto l'IP pubblico dato dall'ISP
2. invia il pacchetto "verso" internet

(arrivo di un pacchetto da internet)
1. controlla (cercando nella tabella "IP/Porta") a chi è diretto il pacchetto
2. sovrascrive nel pacchetto il campo "destinazione" mettendo l'IP recuperato dalla tabella
3. invia il pacchetto verso la LAN locale

(arrivo di una richiesta di connessione dall'esterno)
1. vede qual'è la macchina designata per ricevere le connessioni entranti
2. sovrascrive nel pacchetto il campo "destinazione" mettendo l'IP recuperato dalla tabella
3. invia il pacchetto verso la LAN locale

---

Due sono le considerazioni...

La prima, meno ovvia, è che il NAT è molto più dispendioso del routing classico, e questo perché per ogni pacchetto in ingresso o in uscita, bisogna effettuare un operazione su una tabella di lookup, cosa che:
1. appesantisce il sistema in modo direttamente proporzionale al numero delle connessioni.
2. richiede memoria in modo proporzionale al numero di connessioni (ogni connessione richiede un certo numero di byte per il lookup.

La seconda è che (guardando la riga evidenziata in grassetto) le connessioni entranti (quelle da cui in genere arrivano i tentativi di hacking) sono dirette secondo regole fissate sul router... tali regole possono essere fisse o dinamiche (uPnP) ed in genere basta configurare tutto a dovere per fare in modo che il "bersaglio" delle connessioni entranti sia una macchina discretamente schermata (e/o "nessuna macchina") per risolvere in modo efficiente il problema senza appesantire il router.

questo concetto mi sfugge (per mia ignoranza ovviamente)

le connessioni entranti "cercano" una macchina, sia nel modo corretto (stai scaricando qualcosa dal PC) sia in modo scorretto (hack): come faccio io a configurare il router perchè filtri gli accessi senza appesantirlo ?
Verifico solo gli accessi al PC ?
Apro solo le porte necessarie ?
Altro ?

Chiunque sia su internet non vede la tua rete locale, vede solo un IP, quello che il provider t'ha assegnato quando ti sei collegato.
Il NAT è una tecnica che ti permette di far navigare diverse macchine avendo un solo IP, ma dal punto di vista di internet l'IP è sempre e solo uno.
Tutte le connessioni entranti sono "dirette" al router, è il router ad avere quell'unico IP; i computer "di casa" funzionano come se non fosse così, ma solo perché il router sta nel mezzo e sistema le cose.
Lo rispiego con una similitudine.

Fai conto che a casa tua ci sia solo una persona che può ricevere e mandare la posta.
Quando tu mandi una lettera lui la prende, si segna il destinatario ed il mittente e sostituisce la voce "mittente" (i tuoi dati) coi suoi dati.
Quando arriva la lettera di risposta arriva a lui (perché lui ha messo le sue generalità); lui controlla chi è il mittente di questa lettera, vede che sei stato tu a mandare la lettera a quella persona e si limita a sostituire il destinatario con i tuoi dati, dopodiché te la consegna.

Stringendo, tu mandi la lettera con le tue generalità e ti ritornano le lettere indirizzate a te; il NAT funziona.
Ora immagina che arrivi una busta pubblicitaria (che, ovviamente, non è di risposta a nessuna lettera "in uscita").
Ovviamente arriva con, come destinatario, il nome dell'unico "vero" destinatario... a quel punto lui (il router) vede che è una lettera "nuova" (non corrisponde a nessuna relazione epistolare preesistente) e decide, secondo regole arbitrarie decise da lui, se cestinarla o a chi mandarla.

Il discorso è tutto qui, tu hai anche millemila IP privati nella tua rete locale, ma dal punto di vista "internet" tutti questi IP privati sono "mappati" come un unico IP pubblico.
Quando qualcuno inizia una connessione verso quell'IP pubblico non ha modo di dire con quale macchina della tua LAN vuole comunicare, semplicemente perché lui "vede" solo l'IP "pubblico".
E'il router a decidere il da farsi.

Nel caso più "semplice" la cosa migliore da farsi è designare come "DMZ" (è così che spesso viene chiamato l'IP a cui vengono mandate tutte le connessioni in ingresso) un IP non usato o direttamente non impostare una DMZ (cioè dire al router di scartare tutte le richieste di connessione) e poi imporre regole che forwardano determinati intervalli di porta (o IP) a determinate macchine.
Il caso più comune è uPnP, quando si usa uPnP è il programma che dice al router "ehi, io ho l'IP X, accetto tutte le connessioni entranti sulle porte da Y a Z", in alternativa è possibile impostare manualmente delle regole di "port forwarding" in cui si assegnano alcune porte (e/o intervalli di porte) ad alcuni IP specifici (cioè qualcosa tipo "manda all'IP X tutte le connessioni entranti sulla porta Y" o "manda all'IPX tutte le connessioni entranti sulle porte da X a Y" o ancora "manda all'IP X tutte le connessioni entranti dalle porte da X a Y, trasportandole sulle porte da A a B").

bene, dovrei aver capito

a questo punto è necessario "insegnare" al router le regole del cestino. Come si fà?
Potrei disabilitare tutti i controlli del router e fornire il PC di programmi adeguati.
Non capisco invece come si può far fare il lavoro sporco al router e contemporaneamente non appesantirlo.

Senza firewall o simili il router si limita a rigirare i pacchetti.
Se non definisci un "DMZ" il router scarterà le connessioni che non riesce a gestire, definisci un DMZ non esistente il router si limiterà a girare i pacchetti verso un IP non usato con risultati simili.
Per il resto il port forwarding manuale o tramite uPnP si occuperà di "connettere" le porte che ti occorrono.

Farò un po' di esperimenti.

Avevo impostato il port-fwd per emule ma poi ho disabilitato tutto (sul router) perchè ho avuto dei problemi... probabilmente mal configurato.

farò degli esperimenti thx

Condivido pienamente, inutile tenere più firewall attivi.. ultimamente ho fatto intervenire più volte i tecnici dell'isp fornitore per degrado di linea, alla fine si è arrivati ad una conclusione: Un pc è gia sotto pressione di suo, mettiamo in più il firew. del router, un windows firewall ed un custom firewall di Kaspersky e la linea dimostra un degrado fisico inesistente quando invece bastava disattivare uno o più dei tre serv. firewall. Io decisi di disattivare quello del netgear in modo parziale, ricercando e abilitando tutti i numeri di porta che mi servivano "liberi" per vari servizi, da windows mail alle connessioni wireless.

io ho zone alarm pro e il secondo sul chipset nvidia 680i, active armor o come si chiama

Quello nVidia è famoso come firewall perché, essendo kernel-space, molte versioni (almeno le prime, di quando io avevo nForce 3 prima e nForce 4 dopo) quando avevi "traffico variegato" (P2P) andavano in buffer overflow, con conseguente blue screen.