Discussione:
windows server 2016 non blocca certi accessi da fuori
(troppo vecchio per rispondere)
Ammammata
2024-03-05 09:06:02 UTC
Permalink
vorrei bloccare un IP remoto (141.98.11.132) che sta tentando di
accedere al server
ho creato una regola che dovrebbe bloccarlo, ci sono diversi esempi sul
web, tutti uguali, ma lui continua imperterrito
c'è qualche cosa che mi sfugge?

p.s. sono in attesa del nuovo firewall fortinet che risolverà il
problema, ma per adesso devo arrangiarmi con quel che passa il convento
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Mirko Borsari
2024-03-05 11:16:50 UTC
Permalink
Post by Ammammata
vorrei bloccare un IP remoto (141.98.11.132) che sta tentando di
accedere al server
ho creato una regola che dovrebbe bloccarlo, ci sono diversi esempi sul
web, tutti uguali, ma lui continua imperterrito
bhe... tu avrai una regola che gli impedisce di entrare... però
chiaramente lui continuerà a provarci...
se non vuoi che ci provi devi spubblicare il server.
oppure non ho capito cosa vuoi dire.
Post by Ammammata
p.s. sono in attesa del nuovo firewall fortinet che risolverà il
problema, ma per adesso devo arrangiarmi con quel che passa il convento
bhe diciamo che con il fortigate lo fermi prima che arrivi al server,
ma lui ci proverà comunque. ti ritroverai i log sul fortigate invece
che sul server.
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Valerio Vanni
2024-03-05 11:25:45 UTC
Permalink
Post by Mirko Borsari
Post by Ammammata
vorrei bloccare un IP remoto (141.98.11.132) che sta tentando di
accedere al server
ho creato una regola che dovrebbe bloccarlo, ci sono diversi esempi sul
web, tutti uguali, ma lui continua imperterrito
bhe... tu avrai una regola che gli impedisce di entrare... però
chiaramente lui continuerà a provarci...
se non vuoi che ci provi devi spubblicare il server.
oppure non ho capito cosa vuoi dire.
Mi associo al non aver capito.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Ammammata
2024-03-05 12:05:22 UTC
Permalink
Post by Valerio Vanni
Post by Mirko Borsari
Post by Ammammata
vorrei bloccare un IP remoto (141.98.11.132) che sta tentando di
accedere al server
ho creato una regola che dovrebbe bloccarlo, ci sono diversi esempi sul
web, tutti uguali, ma lui continua imperterrito
bhe... tu avrai una regola che gli impedisce di entrare... però
chiaramente lui continuerà a provarci...
se non vuoi che ci provi devi spubblicare il server.
oppure non ho capito cosa vuoi dire.
Mi associo al non aver capito.
rispondo qui per tutti, e mi scuso per la poca chiarezza

c'è questo server a cui due utenti accedono con RDP
in attesa del fortigate ho aperto una porta sul router che permette
loro di usarlo (lo, so, me lo avete già detto tempo fa, pessima idea)
ci sono però solo due licenze attive per cui questi personaggi ignoti
che provano a collegarsi, ricevendo continui dinieghi, mi occupano le
due licenze: i tentativi sono spesso anche due-tre al secondo e solo
casualmente i due autorizzati riescono a infilarsi in mezzo, stabilendo
la connessione
nota anche che ogni tanto questo flusso di tentativi si interrompe,
probabilmente il computer zombie viene spento...

tornando all'OP, ObiWan scrive:

La regola "deny" sul firewall windows DEVE essere specifica per avere
priorità sulla regola "allow"

io vedo nelle regole quella creata da Windows quando ho attivato
l'accesso RDP, che dice lascia passare cani e porci per RDP, poi ne ho
creata una dove dico blocca tutto (programmi, porte, sarca) quello che
arriva da questi due IP, qualsiasi cosa si tratti

ma evidentemente non la ho fatta giusta: ho seguito la guida
passo-passo, non ci sono cose che ho messo a caso, eppur NON si muove

vabbè, mi è appena arrivata dall'operatore telefono/internet la
comunicazione che i 4 IP fissi necessari al Fortigate sono stati
configurati e verranno attivati non appena mi installano la parte
hardware, spero che facciano in fretta
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Mirko Borsari
2024-03-05 14:02:38 UTC
Permalink
Post by ObiWan
La regola "deny" sul firewall windows DEVE essere specifica per avere
priorità sulla regola "allow"
io vedo nelle regole quella creata da Windows quando ho attivato
l'accesso RDP, che dice lascia passare cani e porci per RDP, poi ne ho
creata una dove dico blocca tutto (programmi, porte, sarca) quello che
arriva da questi due IP, qualsiasi cosa si tratti
ok, ma ammesso ovviamente che la regola sia corretta, ha la priorità
(viene letta prima) rispetto a quella che fa passare?
perchè se prima processi lascia passare e poi il blocco, capisci bene
che non serve a niente...
prima devi bloccare i due e poi lasci passare il resto.
Altrimenti nella regola dove lasci passare dovresti fare un "tranne
quei due li..." ma non so se su windows si può fare.
Post by ObiWan
vabbè, mi è appena arrivata dall'operatore telefono/internet la
comunicazione che i 4 IP fissi necessari al Fortigate sono stati
configurati e verranno attivati non appena mi installano la parte
hardware, spero che facciano in fretta
non vorrei deluderti, ma poi il concetto di firewall è sempre lo
stesso... se sbagli le regole, nemmeno il fortigate ti salva.
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Ammammata
2024-03-05 14:23:53 UTC
Permalink
Post by Mirko Borsari
Post by ObiWan
La regola "deny" sul firewall windows DEVE essere specifica per avere
priorità sulla regola "allow"
io vedo nelle regole quella creata da Windows quando ho attivato
l'accesso RDP, che dice lascia passare cani e porci per RDP, poi ne ho
creata una dove dico blocca tutto (programmi, porte, sarca) quello che
arriva da questi due IP, qualsiasi cosa si tratti
ok, ma ammesso ovviamente che la regola sia corretta, ha la priorità
(viene letta prima) rispetto a quella che fa passare?
perchè se prima processi lascia passare e poi il blocco, capisci bene
che non serve a niente...
prima devi bloccare i due e poi lasci passare il resto.
Altrimenti nella regola dove lasci passare dovresti fare un "tranne
quei due li..." ma non so se su windows si può fare.
l'ordine con cui vengono visualizzate nella lista corrisponde
all'ordine delle priorità? la mia regola era la prima in alto, in
teoria dovrebbe dire no subito, senza lasciar fare altro
Post by Mirko Borsari
non vorrei deluderti, ma poi il concetto di firewall è sempre lo
stesso... se sbagli le regole, nemmeno il fortigate ti salva.
beh, su quell'accrocchio ci metterà mano solo il tecnico della ditta
che ne curerà la manutenzione e l'aggiornamento, che ha competenze di
gran lunga superiore alle mie, così tranquillizziamo ObiWan e Allen :-)
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Mirko Borsari
2024-03-05 14:35:00 UTC
Permalink
Post by Ammammata
Post by Mirko Borsari
ok, ma ammesso ovviamente che la regola sia corretta, ha la priorità
(viene letta prima) rispetto a quella che fa passare?
perchè se prima processi lascia passare e poi il blocco, capisci bene
che non serve a niente...
prima devi bloccare i due e poi lasci passare il resto.
Altrimenti nella regola dove lasci passare dovresti fare un "tranne
quei due li..." ma non so se su windows si può fare.
l'ordine con cui vengono visualizzate nella lista corrisponde
all'ordine delle priorità? la mia regola era la prima in alto, in
teoria dovrebbe dire no subito, senza lasciar fare altro
onestamente non mi sono mai iteressato a come lavora il firewall di
windows (che per me è disabilitato di default), quindi non so se
ragiona come gli altri (dall'alto verso il basso).
Post by Ammammata
beh, su quell'accrocchio ci metterà mano solo il tecnico della ditta
bhe io con uno che chiama un fortigate "accrocchio", non ci parlo!!
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Ammammata
2024-03-05 14:49:16 UTC
Permalink
Post by Mirko Borsari
Post by Ammammata
beh, su quell'accrocchio ci metterà mano solo il tecnico della ditta
bhe io con uno che chiama un fortigate "accrocchio", non ci parlo!!
p.s.
un cliente ha "rottamato" il modello 50A, dopo il passaggio alla fibra
era diventato il collo di bottiglia

adesso lo ho io a casa, lo ho salvato dal cassonetto, inutilizzato:
dato che viaggio al massimo a 40-50 mega potrei usarlo, basta studiare
e capire come funziona
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Mirko Borsari
2024-03-05 15:27:55 UTC
Permalink
Post by Ammammata
p.s.
un cliente ha "rottamato" il modello 50A, dopo il passaggio alla fibra
era diventato il collo di bottiglia
e ci credo... ne ha degli anni quell'oggetto.
Post by Ammammata
dato che viaggio al massimo a 40-50 mega potrei usarlo, basta studiare
e capire come funziona
ok al salvarlo dal cassonetto, ok che i concetti di base non sono
cambiati, ma ha un firmware che se passi dall'A alla F attuale, ti
sembrerà di usare un firewall completamente diverso.
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Valerio Vanni
2024-03-05 15:07:53 UTC
Permalink
Post by Mirko Borsari
Post by Ammammata
l'ordine con cui vengono visualizzate nella lista corrisponde
all'ordine delle priorità? la mia regola era la prima in alto, in
teoria dovrebbe dire no subito, senza lasciar fare altro
onestamente non mi sono mai iteressato a come lavora il firewall di
windows (che per me è disabilitato di default), quindi non so se
ragiona come gli altri (dall'alto verso il basso).
Non ha l'alto e il basso.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Valerio Vanni
2024-03-05 15:17:24 UTC
Permalink
On Tue, 05 Mar 2024 16:07:53 +0100, Valerio Vanni
Post by Valerio Vanni
Post by Mirko Borsari
Post by Ammammata
l'ordine con cui vengono visualizzate nella lista corrisponde
all'ordine delle priorità? la mia regola era la prima in alto, in
teoria dovrebbe dire no subito, senza lasciar fare altro
onestamente non mi sono mai iteressato a come lavora il firewall di
windows (che per me è disabilitato di default), quindi non so se
ragiona come gli altri (dall'alto verso il basso).
Non ha l'alto e il basso.
Ho dato invio senza finire il discorso.
Se lui crea una regola esplicita di blocco su un indirizzo IP questa
deve avere la precedenza su quella predefinita che consente l'accesso
a RDP.

Però non so cos'abbia fatto, di preciso.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Allen
2024-03-06 15:22:28 UTC
Permalink
Post by Ammammata
così tranquillizziamo ObiWan e Allen
Ma non ero nel kill file? O_o

P.s. il sistema te l'ho suggerito involontariamente io e funziona/sta
funzionando, stai solo sbagliando (ad usual) qualcosa.
--
ObiWan <***@mvps.org> wrote in news:***@mvps.org:
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.

Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
ObiWan
2024-03-06 07:56:41 UTC
Permalink
:: On Tue, 5 Mar 2024 15:02:38 +0100
:: (it.comp.reti.locali)
Post by Mirko Borsari
ok, ma ammesso ovviamente che la regola sia corretta, ha la priorità
(viene letta prima) rispetto a quella che fa passare?
perchè se prima processi lascia passare e poi il blocco, capisci bene
che non serve a niente...
Mirko, nel firewall di Windows, le regole hanno priorità in base alla
specificità delle stesse, per chiarire, supponi di avere una regola che
permette l'accesso alla 3389/TCP al mondo intero, e poi di creare una
seconda regola che nega l'accesso alla 3389/TCP sempre al mondo intero,
in questo caso la prima regola, ossia quella ALLOW avrà la precedenza
sulla seconda

Se però cambiamo la regola DENY specificando che si applica SOLO a
connessioni provenienti da ben determinati IP, allora la regola DENY
avrà la precedenza sulla ALLOW

Per maggiori dettagli suggerisco di leggere qui

https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/rules
Mirko Borsari
2024-03-06 09:56:20 UTC
Permalink
Post by ObiWan
Mirko, nel firewall di Windows, le regole hanno priorità in base alla
specificità delle stesse, per chiarire, supponi di avere una regola che
permette l'accesso alla 3389/TCP al mondo intero, e poi di creare una
seconda regola che nega l'accesso alla 3389/TCP sempre al mondo intero,
in questo caso la prima regola, ossia quella ALLOW avrà la precedenza
sulla seconda
non volevo andarci a vedere ehhh... mi è venuta un po' di orticaria,
ma visto che hai messo il link... :-)

in questo caso è il contrario la block ha la precedenza:
Explicit block rules take precedence over any conflicting allow rules

le allow hanno precedenza sulla block di default, ma non su una block
esplicita identica ad una allow.
Post by ObiWan
Se però cambiamo la regola DENY specificando che si applica SOLO a
connessioni provenienti da ben determinati IP, allora la regola DENY
avrà la precedenza sulla ALLOW
questo invece è corretto.
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
ObiWan
2024-03-06 11:11:54 UTC
Permalink
:: On Wed, 6 Mar 2024 10:56:20 +0100
:: (it.comp.reti.locali)
Post by Mirko Borsari
Explicit block rules take precedence over any conflicting allow rules
Si, scusa, ho fatto confusione; comunque per quanto mi riguarda
preferisco usare "netsh" per configurare il firewall, dato che da shell
si possono creare script ed il tutto è molto più flessibile

Poi se uno preferisce usare un firewall diverso, ci sarebbe questo

https://wipfw.sourceforge.net/

che è il porting di BSD IPFW in ambiente Windows

https://wipfw.sourceforge.net/doc.html#examples

:)
Mirko Borsari
2024-03-06 16:06:59 UTC
Permalink
Post by ObiWan
Post by Mirko Borsari
Explicit block rules take precedence over any conflicting allow rules
Si, scusa, ho fatto confusione; comunque per quanto mi riguarda
preferisco usare "netsh" per configurare il firewall, dato che da shell
si possono creare script ed il tutto è molto più flessibile
Poi se uno preferisce usare un firewall diverso, ci sarebbe questo
io rimango fedele a Fortinet e a Palo Alto...
:-)
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
ObiWan
2024-03-07 09:27:19 UTC
Permalink
:: On Wed, 6 Mar 2024 17:06:59 +0100
:: (it.comp.reti.locali)
Post by Mirko Borsari
io rimango fedele a Fortinet e a Palo Alto...
:-)
Beh... ci mancherebbe, ma stiamo parlando di cose diverse e di scopi
diversi :)
Meddix
2024-03-05 21:32:17 UTC
Permalink
Post by Ammammata
vabbè, mi è appena arrivata dall'operatore telefono/internet la
comunicazione che i 4 IP fissi necessari al Fortigate sono stati
configurati e verranno attivati non appena mi installano la parte
hardware, spero che facciano in fretta
non so, ma con queste premesse un fortinet sarà un incubo....
ObiWan
2024-03-06 07:52:53 UTC
Permalink
:: On Tue, 05 Mar 2024 13:05:22 +0100
:: (it.comp.reti.locali)
Post by Ammammata
c'è questo server a cui due utenti accedono con RDP
in attesa del fortigate ho aperto una porta sul router che permette
loro di usarlo (lo, so, me lo avete già detto tempo fa, pessima idea)
ci sono però solo due licenze attive per cui questi personaggi ignoti
che provano a collegarsi, ricevendo continui dinieghi, mi occupano le
due licenze: i tentativi sono spesso anche due-tre al secondo e solo
casualmente i due autorizzati riescono a infilarsi in mezzo,
stabilendo la connessione
nota anche che ogni tanto questo flusso di tentativi si interrompe,
probabilmente il computer zombie viene spento...
Non si tratta di "tizi ignoti" ma, banalmente di "bot" che tentano di
forzare l'accesso RDP, a prescindere dal fatto che pubblicare RDP
"liscio" su WAN non è una buona idea, un modo per ridurre i tentativi
di accesso è quello di cambiare la porta sulla quale è in ascolto RDP
dalla 3389 "classica" a qualcosa di diverso, per farlo basta leggere
quanto riportato qui

https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/change-listening-port

basterebbe cambiare la porta da 3389 a (es.) 12345 per ridurre il
numero di tentativi di connessione, ovviamente sarà poi necessario
variare anche la regola di port forwarding, a questo punto per la
connessione RDP sarà necessario specificare anche la porta in MSTSC
ossia il nome o IP host sarà seguito da :porta ossia ad esempio

11.22.33.44:12345

di nuovo, NON è una soluzione ma soltanto una "pezza" temporanea
Ammammata
2024-03-06 13:42:57 UTC
Permalink
Post by ObiWan
un modo per ridurre i tentativi
di accesso è quello di cambiare la porta sulla quale è in ascolto RDP
dalla 3389 "classica" a qualcosa di diverso
cosa che fu fatta a suo tempo proprio in base alle vs segnalazioni
magari l'IA ha migliorato che il ragionamento dei bot che adesso non si
intestardiscono su una sola porta e si rompono le corna :)
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Skywalker Senior
2024-03-13 10:06:46 UTC
Permalink
Post by ObiWan
Post by Ammammata
Post by ObiWan
On Tue, 05 Mar 2024 13:05:22 +0100
(it.comp.reti.locali)
c'è questo server a cui due utenti accedono con RDP
in attesa del fortigate ho aperto una porta sul router che permette
loro di usarlo (lo, so, me lo avete già detto tempo fa, pessima idea)
ci sono però solo due licenze attive per cui questi personaggi ignoti
che provano a collegarsi, ricevendo continui dinieghi, mi occupano le
due licenze: i tentativi sono spesso anche due-tre al secondo e solo
casualmente i due autorizzati riescono a infilarsi in mezzo,
stabilendo la connessione
nota anche che ogni tanto questo flusso di tentativi si interrompe,
probabilmente il computer zombie viene spento...
Non si tratta di "tizi ignoti" ma, banalmente di "bot" che tentano di
forzare l'accesso RDP, a prescindere dal fatto che pubblicare RDP
"liscio" su WAN non è una buona idea, un modo per ridurre i tentativi
di accesso è quello di cambiare la porta sulla quale è in ascolto RDP
dalla 3389 "classica" a qualcosa di diverso, per farlo basta leggere
quanto riportato qui
https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/change-listening-port
basterebbe cambiare la porta da 3389 a (es.) 12345 per ridurre il
numero di tentativi di connessione, ovviamente sarà poi necessario
variare anche la regola di port forwarding, a questo punto per la
connessione RDP sarà necessario specificare anche la porta in MSTSC
ossia il nome o IP host sarà seguito da :porta ossia ad esempio
11.22.33.44:12345
di nuovo, NON è una soluzione ma soltanto una "pezza" temporanea
L'avevo fatto da un cliente, come misura temporanea in attesa di
mettere su la VPN.
Risultato: bucato dopo 2 giorni.
Dal momento che con una scansione (con un banale nmap per esempio)
viene trovata aperta una porta, anche se non standard, e si individua
il protocollo che ci sta dietro, magari si trova qualche vulnerabilità
che fa passare
ObiWan
2024-03-13 11:47:26 UTC
Permalink
:: On Wed, 13 Mar 2024 11:06:46 +0100
:: (it.comp.reti.locali)
Post by Skywalker Senior
L'avevo fatto da un cliente, come misura temporanea in attesa di
mettere su la VPN.
Risultato: bucato dopo 2 giorni.
Dal momento che con una scansione (con un banale nmap per esempio)
viene trovata aperta una porta, anche se non standard, e si individua
il protocollo che ci sta dietro, magari si trova qualche
vulnerabilità che fa passare
il discorso non è quello di non far identificare la porta, ma
banalmente di evitare rotture di scatole da bot programmati per
controllare soltanto certi range di porte "standard"; credevo di averlo
scritto chiaramente
ObiWan
2024-03-13 14:05:41 UTC
Permalink
:: On Wed, 13 Mar 2024 12:47:26 +0100
:: (it.comp.reti.locali)
Post by ObiWan
il discorso non è quello di non far identificare la porta, ma
banalmente di evitare rotture di scatole da bot programmati per
controllare soltanto certi range di porte "standard"; credevo di
averlo scritto chiaramente
E poi, ovviamente, è anche necessario impostare gli account che si
possono connettere tramite RDP e, tra questi, non ci sarà l'account
"administrator" (niente di che, si risolve senza problemi); se si
lascia RDP con accesso "a chiunque"... beh, se ne subiscono le
conseguenze, del resto, capire come configurare bene le cose, fa parte
di quanto ci si aspetta da un "admin" degno di tale nome

Adriano
2024-03-06 13:26:00 UTC
Permalink
ci sono però solo due licenze attive per cui questi personaggi ignoti che
provano a collegarsi, ricevendo continui dinieghi, mi occupano le due
licenze: i tentativi sono spesso anche due-tre al secondo e solo casualmente
i due autorizzati riescono a infilarsi in mezzo, stabilendo la connessione
nota anche che ogni tanto questo flusso di tentativi si interrompe,
probabilmente il computer zombie viene spento...
ma se quell'ip non puo' collegarsi, come fanno ad occuparti una
licenza?
mi sa che mi sfugge qualcosa.
La regola "deny" sul firewall windows DEVE essere specifica per avere
priorità sulla regola "allow"
quindi nelle regole relative a rdp potresti escludere per esempio tutta
la subnet 149.98.11.xxx che appartiene allo stesso provider (.lt
immagino sia la lituania)
Potresti anche scrivere all'Abuse ***@serveroffer.lt segnalando la
cosa. https://www.whois.com/whois/141.98.11.132
Ammammata
2024-03-06 13:45:13 UTC
Permalink
ma se quell'ip non puo' collegarsi, come fanno ad occuparti una licenza?
mi sa che mi sfugge qualcosa.
eh boh, non saprei, magari la sola negoziazione dell'utente/password
(specificatamente per RDP) va a occuparla subito e non invece dopo aver
accettato la connessione
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Adriano
2024-03-06 13:56:37 UTC
Permalink
Post by Ammammata
eh boh, non saprei, magari la sola negoziazione dell'utente/password
(specificatamente per RDP) va a occuparla subito e non invece dopo aver
accettato la connessione
se il firewall non accetta quell'IP, non dovrebbe nemmeno arrivare alla
negoziazione
probabilmente c'e' qualche dettagio che ci sfugge
Ammammata
2024-03-06 15:37:41 UTC
Permalink
Post by Adriano
Post by Ammammata
eh boh, non saprei, magari la sola negoziazione dell'utente/password
(specificatamente per RDP) va a occuparla subito e non invece dopo aver
accettato la connessione
se il firewall non accetta quell'IP, non dovrebbe nemmeno arrivare alla
negoziazione
probabilmente c'e' qualche dettagio che ci sfugge
probabile, ma domani c'è lo switch per cui al server arriveranno solo
le connessioni autorizzate dal firewall e le due licenze RDP saranno
più che sufficienti
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Valerio Vanni
2024-03-06 15:41:34 UTC
Permalink
Post by Adriano
Post by Ammammata
eh boh, non saprei, magari la sola negoziazione dell'utente/password
(specificatamente per RDP) va a occuparla subito e non invece dopo aver
accettato la connessione
se il firewall non accetta quell'IP, non dovrebbe nemmeno arrivare alla
negoziazione
Da lui il firewall lo accetta, il problema che lamenta è proprio
questo. Che col firewall di Windows non è riuscito a bloccare quegli
IP.

Piuttosto, io pensavo che la sessione fosse occupata solo in caso di
autenticazione riuscita.
Almeno il conteggio delle licenze.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Ammammata
2024-03-06 16:14:41 UTC
Permalink
Post by Valerio Vanni
Da lui il firewall lo accetta, il problema che lamenta è proprio
questo. Che col firewall di Windows non è riuscito a bloccare quegli
IP.
Piuttosto, io pensavo che la sessione fosse occupata solo in caso di
autenticazione riuscita.
Almeno il conteggio delle licenze.
ecco, almeno siamo in 10 ad averlo capito o supposto ;-)
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
Allen
2024-03-06 15:22:28 UTC
Permalink
Post by Adriano
Potresti anche scrivere all'Abuse
Se vuoi meterli di buon'umore fai pure. :-(
--
ObiWan <***@mvps.org> wrote in news:***@mvps.org:
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.

Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
ObiWan
2024-03-05 11:53:04 UTC
Permalink
:: On Tue, 05 Mar 2024 10:06:02 +0100
:: (it.comp.reti.locali)
Post by Ammammata
vorrei bloccare un IP remoto (141.98.11.132) che sta tentando di
accedere al server
Accedere a cosa ?

Ad un webserver ?
Ad un mailserver ?
Alle share ?

da come hai descritto il problema NON si capisce a cosa tu ti stia
riferendo
Post by Ammammata
ho creato una regola che dovrebbe bloccarlo, ci sono diversi esempi
sul web, tutti uguali
La regola "deny" sul firewall windows DEVE essere specifica per avere
priorità sulla regola "allow"
Post by Ammammata
ma lui continua imperterrito
Cosa dovrebbe significare ? Che vedi nei log del firewall nuovi
tentativi o che si connette comunque al server ?

Nel primo caso è normale, nel secondo hai creato la regola in modo
errato, per cui la stessa non sta funzionando
Post by Ammammata
c'è qualche cosa che mi sfugge?
Si, ti mancano le basi
Post by Ammammata
p.s. sono in attesa del nuovo firewall fortinet che risolverà
la soluzione del problema è capire come funziona una rete e come
funziona un firewall.
Allen
2024-03-05 12:41:53 UTC
Permalink
Post by ObiWan
Post by Ammammata
c'è qualche cosa che mi sfugge?
Si, ti mancano le basi
LOL!!!!! ^_^
--
ObiWan <***@mvps.org> wrote in news:***@mvps.org:
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.

Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
Ammammata
2024-03-08 15:35:58 UTC
Permalink
sono in attesa del nuovo firewall fortinet che risolverà il problema
firewall arrivato e installato: connessioni indesiderate scomparse :)

quando avrò tempo e voglia indagherò sui problemi delle regole del
firewall di windows, per il momento vi ringrazio per la partecipazione
al thread e per aver portato in superficie la cosa
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
ObiWan
2024-03-08 16:22:14 UTC
Permalink
:: On Fri, 08 Mar 2024 16:35:58 +0100
:: (it.comp.reti.locali)
Post by Ammammata
quando avrò tempo e voglia indagherò sui problemi delle regole del
firewall di windows
beh... per indagare ci vuole veramente poco, ti basta soltanto
scaricare "netcat" o "ncat" come si chiama ora

https://nmap.org/ncat/

fatto questo copi il programma sulla macchina server che, per questo
esempio supporremo abbia IP 192.168.1.10 e su un'altra macchina che
userai per testare il tutto

quindi, sulla macchina server configuri il firewall con una regola che
permetta l'accesso alla porta 12345/TCP a qualsiasi host

a questo punto, sulla macchina "da filtrare" (il server) apri un prompt
comandi e lanci il comando

ncat -v -l -C -k 12345

mettendo "ncat" in ascolto sulla porta 12345 (la stessa aperta sul
firewall di windows)

quindi sull'altra macchina nella quale hai copiato ncat, sempre al
prompt, lanci il commando

ncat -v -C 192.168.1.10 12345

per connetterti alla porta 12345 ddel server dove ncat è in ascolto, se
tutto funziona come dovrebbe e se il firewall del server è configurato
correttamente, scrivendo qualcosa alla console e premendo invio, vedrai
il testo apparire sulla console "ncat" del server

Premi Ctrl-C per terminare ncat sia sul client che sul server, quindi
procedi alla creazione della regola di blocco e ripeti il test di cui
sopra, se hai configurato la regola correttamente, il client non sarà
più in grado di connettersi al server
Valerio Vanni
2024-03-08 17:24:34 UTC
Permalink
Post by ObiWan
a questo punto, sulla macchina "da filtrare" (il server) apri un prompt
comandi e lanci il comando
ncat -v -l -C -k 12345
mettendo "ncat" in ascolto sulla porta 12345 (la stessa aperta sul
firewall di windows)
quindi sull'altra macchina nella quale hai copiato ncat, sempre al
prompt, lanci il commando
ncat -v -C 192.168.1.10 12345
Quando arriva Schwarzenegger sfascia il computer ;-)
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Allen
2024-03-08 18:13:36 UTC
Permalink
Post by Valerio Vanni
Quando arriva Schwarzenegger sfascia il computer ;-)
Server, il server. La precisione è tutto. ;-)
--
ObiWan <***@mvps.org> wrote in news:***@mvps.org:
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.

Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
Lorenz
2024-03-08 18:10:21 UTC
Permalink
Post by Ammammata
sono in attesa del nuovo firewall fortinet che risolverà il problema
firewall arrivato e installato: connessioni indesiderate scomparse :)
quando avrò tempo e voglia indagherò
Piu' la seconda temo... lol
Mirko Borsari
2024-03-08 19:10:33 UTC
Permalink
Post by Ammammata
sono in attesa del nuovo firewall fortinet che risolverà il problema
firewall arrivato e installato: connessioni indesiderate scomparse :)
scommetti che le ritrovi tra i log del firewall?
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Allen
2024-03-08 22:23:43 UTC
Permalink
Post by Mirko Borsari
scommetti che le ritrovi tra i log del firewall?
MA LOL!!!

p.s. ti piace sparare facile sulla croce rossa? ^_^
--
ObiWan <***@mvps.org> wrote in news:***@mvps.org:
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.

Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
Lorenz
2024-03-09 10:13:51 UTC
Permalink
Post by Mirko Borsari
Post by Ammammata
sono in attesa del nuovo firewall fortinet che risolverà il problema
firewall arrivato e installato: connessioni indesiderate scomparse :)
scommetti che le ritrovi tra i log del firewall?
Almeno non gli frega altre licenze... :D
Loading...