Ufw forward

[vsphere]

Buon giorno a tutti.
Ho un server configurato con 2 schede di rete (eno3 192.168.1.200-lan e eno4 192.168.2.2-wan) con UFW perfettamente funzionante. Ora mi viene richiesto da parte del tecnico del centralino di aprire da esterno una porta, 8088 e di ridirigerla verso il device lan che ha come ip 192.168.1.250.
Come prima cosa ho aperto la porta con:

sudo ufw allow 8088/tcp
sudo ufw allow in on eno3 to any port 8088

e successivamente in /etc/ufw/sysctl.conf ho rimosso il commento alla riga:

net/ipv4/ip_forward=1

A questo punto so che manca ancora di configurare la rotta:

ufw route allow ........

ma non so bene come completare il comando.
In pratica la necessità è che da esterno, passando dall'ip pubblico, si deve arrivare al centralino 192.168.1.250 alla porta 8088 per fare assistenza allo stesso.
Se gentilmente qualcuno più ferrato di me, può dirmi se quello che ho scritto è corretto e se può suggerirmi come fare per ottenere il risultato richiesto.
Grazie mille a tutti per la disponibilità.
Buona giornata.

[DoctorStrange]

Non ho capito per quale motivo tu voglia necessariamente usare "Uncomplicated Firewall" (UFW), invece che iptables standard. Comunque se la connessione entrante dal centralino, proviene, presumibilmente da internet, o comunque da remoto, ed è veicolata tramite internet, allora il server dove ti trovi è spotto NAT. Questo potrebbe complicare un po le cose, perche il suo IP locale è 192.168.1.200 ma è raggiungibile da remoto, solo tramite l'interfaccia pubblica del router. Dovrai quindi stabilire, a livello di router un destination nat stabile, ovvero impostare un instradamento di porta, per il quale, tutti i pacchetti che provengono dall'esterno dall'indirizzo IP del centralino, e che siano destinati sul tuo server, allora il router li prende, e li destina su 192.168.1.200 sulla porta 8088.
Una volta definito sul router il destination nat, allora passerai sul server. Qui, io farei una regola sulla tabella di routing, per la quale tutti i pacchetti che arrivano sulla porta 8088 del tuo server, vengono passati su questa regola. Io la metterei sulla chain "INPUT" e questi pacchetti verranno instradati sull'interfaccia eno3 oppure eno4 in funzione delle tue esigenze..
Ricorda che gli IP apèpartenenti alla famiglia 192.168. x . x si definiscono "not routable", quindi non potrai esimerti dal fare un destination nat a livello di router.

Se invece anche il centralino appartiene alla medesima rete, e quindi ha, anche lui, un indirizzo della famiglia 192.168. x. x allora tutto quello che ho detto lo puoi ignorare e semplicemente ti basterà fare la regola della tabella di routing. In questo modo potrai stabilire la rotta statica tra il centralino ed il server. Se non sbaglio di default, le policy di instradamento sono su ACCEPT,

Mi dispiace ma mi sono sempre rifiutato di usare ufw. Non posso aiutarti per quanto riguarda la sintassi specifica di ufw.
Come detto, io userei iptables, scrivendo manualmente la regola di iptables.

[thece]

A questo punto so che manca ancora di configurare la rotta:

secondo me non devi aggiungere alcuna rotta nella tabella di routing. Devi abilitare il masquerading per il NAT, in uscita dalla scheda di rete eno4.
Su IPTables sarebbe

iptables -A POSTROUTING -t nat -o eno4 -j MASQUERADE

Questa risposta è scorretta.

[vsphere]

Intanto grazie a entrambi per le risposte e per aver cercato di farmi capire cosa fare.
Ammetto però di avere ancora qualche perplessità....
In effetti non è stata una scelta obbligata quella di UFW, ma al momento mi era sembrata quella più corretta e semplice; ma forse mi sono sbagliato.
Ad ogni modo, se possibile, vorrei provare a far funzionare il tutto completando la configurazione che ho messo in piedi, ma se secondo voi ho un strada migliore, sono aperto al cambiamento.
Volevo soltanto essere più dettagliato nella configurazione attuale:-

Server con 2 schede di rete; la lan su eno3 con ip 192.168.1.200. La wan su eno4 con ip 192.168.2.2.
Esiste un router FritzBox con ip lan 192.168.2.1 collegato direttamente alla eno4 del server e il port mapping per la porta 8088 già reindirizzata al server (192.168.2.2).
Quindi da remoto passando dall'ip pubblico:8088, arrivo al router che tramite la mappatura delle porte arriva alla eno4 (192.168.2.2).
Il mio problema è che si ferma qui!!!! Invece devo mandare la richiesta ad un centralino che si trova nella stessa lan del server su ip 192.168.1.250.

A questo punto chiedo aiuto a voi, ossia, la richiesta su porta 8088 si ferma sulla eno4 192.168.2.2 del server, mentre con una route di UFW o con qualsiasi altra cosa da voi suggerita, deve essere inviata alla eno3 192.168.1.200 e da li arrivare al centralino 192.168.1.250.
Probabilmente mi avete già risposto, ma vi chiedo la cortesia di essere un pò più dettagliati per i comandi che devo utilizzare per sistemare la situazione. Purtroppo non sono molto skillato come lo siete voi.
Vi ringrazio della pazienza e della cortesia.
Ciao

[thece]

Intanto ti posto lo schema della tua rete, verifica che sia corretto.
Appena avrò un pò di tempo aggiungerò anche le parole.

[vsphere]

Preciso e perfetto! Grazie della pazienza.
Attendo tue preziose indicazioni.
Ciao

[thece]

Le seguenti indicazioni sono funzionanti ma per te incomplete: non tengono conto del fatto che tu hai abilitato il firewall sul server. Mancano pertanto ancora le informazioni per la configurazione del firewall, ma se per il momento lo tieni disabilitato, dovrebbe funzionare tutto (l'ho testato).


Sul router FritzBox, come prima cosa devi modificare la tabella di routing inserendo la seguente rotta statica.

Rete Locale > Rete > Impostazioni di rete > Altre impostazioni > Tabella per route statica > Route IPv4 > Nuova route IPv4

Rete IPv4: 192.168.1.0
Maschera di sottorete: 255.255.255.0
Gateway: 192.168.2.2
Route IPv4 attiva: checked

> Applica


Sempre sul router FritzBox, come seconda cosa devi abilitare il port forwarding verso il centralino VoIP in questo modo

Internet > Abilitazioni > tab Abilitazioni porte > Aggiungi dispositivo per abilitazioni

Dispositivo: Inserire manualmente indirizzo IP
Indirizzo IPv4: 192.168.1.250

> Nuova abilitazione

Applicazione: Altra applicazione
Nome: Centralino VoIP
Protocollo: TCP
Porta del dispostivo: 8088 fino a porta: 8088
Porta desiderata esternamente: 8088
Attivare abilitazione: checked

> OK > Applica


Adesso - ripeto: a firewall disabilitato - da Internet dovresti essere in grado di raggiungere il centralino VoIP sulla porta 8088/TCP


[EDIT]

(Con riferimento a IPTables, come ti ho già scritto non sono pratico di UFW) Per quanto riguarda il firewall queste regole dovrebbero (non le ho provate) permettere le connessioni che ti interessano

Codice: Seleziona tutto

iptables -P FORWARD ACCEPT

Codice: Seleziona tutto

iptables -A FORWARD -i eno4 -o eno3 -p tcp --syn --dport 8088 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j DROP

[EDIT]

... purtroppo non bastano solo queste. Servono anche altre regole a corredo, altrimenti la subnet 192.168.1.0/24 sembrerà non funzionare.

Il discorso firewall è comunque sempre piuttosto spinoso poichè occorre considerare tutte le regole configurate nel loro insieme.

[vsphere]

Ciao.
Ti ringrazio per i suggerimenti e per averci perso tempo anche a testarlo. Sei stato veramente gentile!
Ad ogni modo, tu fai fare la route direttamente al FritzBox ed in questo caso arriverei al centralino, ma solo dopo aver disattivato il UFW.
Se però faccio questo, tutte le regole impostate per la protezione e per la connessione remota al programma gestionale, non sarebbero più attive e non funzionerebbe più nulla, se non replicare la conf su iptables.
Quindi purtroppo non posso disattivarlo.... Ti allego una lista delle impostazioni attuali su UFW e vedrai che, ho trovo la soluzione con esso, o lo disattivo e traslo tutto su iptables.
Grazie ancora.
To Action From
-- ------ ----
22 ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere
80 on eno3 ALLOW IN Anywhere
443 on eno3 ALLOW IN Anywhere
5632 on eno3 ALLOW IN Anywhere
5633 on eno3 ALLOW IN Anywhere
137,138/udp (Samba) on eno3 ALLOW IN Anywhere
139,445/tcp (Samba) on eno3 ALLOW IN Anywhere
10000 on eno3 ALLOW IN Anywhere
53 on eno3 ALLOW IN Anywhere
80/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
5632/tcp ALLOW IN Anywhere
8088/tcp ALLOW IN Anywhere
8088 on eno03 ALLOW IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)
22/tcp (v6) ALLOW IN Anywhere (v6)
80 (v6) on eno3 ALLOW IN Anywhere (v6)
443 (v6) on eno3 ALLOW IN Anywhere (v6)
5632 (v6) on eno3 ALLOW IN Anywhere (v6)
5633 (v6) on eno3 ALLOW IN Anywhere (v6)
137,138/udp (Samba (v6)) on eno3 ALLOW IN Anywhere (v6)
139,445/tcp (Samba (v6)) on eno3 ALLOW IN Anywhere (v6)
10000 (v6) on eno3 ALLOW IN Anywhere (v6)
53 (v6) on eno3 ALLOW IN Anywhere (v6)
80/tcp (v6) ALLOW IN Anywhere (v6)
443/tcp (v6) ALLOW IN Anywhere (v6)
5632/tcp (v6) ALLOW IN Anywhere (v6)
8088/tcp (v6) ALLOW IN Anywhere (v6)
8088 (v6) on eno03 ALLOW IN Anywhere (v6)

[thece]

Ad ogni modo, tu fai fare la route direttamente al FritzBox ed in questo caso arriverei al centralino, ma solo dopo aver disattivato il UFW.

Quindi cosa vorresti fare un doppio port forwarding (DNAT), un sul router e uno sul "server" ?

Ad ogni modo, tu fai fare la route direttamente al FritzBox ed in questo caso arriverei al centralino, ma solo dopo aver disattivato il UFW.

Le configurazioni applicate sul router servono solo per instradare la connessione tra le LAN. Queste configurazioni servono a prescindere che sul "server" sia attivo o meno un firewall.
Con il firewall attivo sul "server", le regole da eventualmente aggiungere servirebbero solo per fare in modo che la connessione verso il centralino VoIP possa attraversare il "server".

Comunque la connessione verso il centralino VoIP è una connessione che transita sulla catena di FORWARD e per quello che vedo UFW non sta applicando alcun filtraggio su tale catena.
Immagino che la default policy tu tale catena sia ALLOW.
Ho verificato: la policy di default sulla catena di FORWARD è DROP, quindi a meno di ulteriori regole la connessione verso il centralino VoIP non passa.

Codice: Seleziona tutto

ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

UFW la catena di FORWARD la chiama routed

Se però faccio questo, tutte le regole impostate per la protezione e per la connessione remota al programma gestionale, non sarebbero più attive e non funzionerebbe più nulla ...

Sinceramente dalla configurazione di UFW che hai postato non vedo "protezioni particolari" ... ma non vedo nemmeno quali servizi (tutti i servizi) sta esponendo il "server".
Da quanto hai postato non riesco a capire perchè dici che non funzionerebbe più nulla.

Non hai nemmeno chiarito da chi o da che cosa vuoi proteggere i servizi esposti sul server ...

Al momento mi sono fatto l'idea (sbagliata?) che tu abbia abilitato il firewall solo perchè ti fa sentire più sicuro per sentito dire ma non vedo una reale protezione.

Codice: Seleziona tutto

22 ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere

La prima rende inutile la seconda

Codice: Seleziona tutto

53 on eno3 ALLOW IN Anywhere

Codice: Seleziona tutto

80/tcp ALLOW IN Anywhere
80 on eno3 ALLOW IN Anywhere

La prima e la seconda sono quasi sovrapponibili
Se passo dalla eno3 è permesso sia TCP che UDP. Se passo dalla eno4 è permesso solo con TCP ... ?!? ...

Codice: Seleziona tutto

137,138/udp (Samba) on eno3 ALLOW IN Anywhere
139,445/tcp (Samba) on eno3 ALLOW IN Anywhere

Codice: Seleziona tutto

443/tcp ALLOW IN Anywhere
443 on eno3 ALLOW IN Anywhere

La prima e la seconda sono quasi sovrapponibili ...

Codice: Seleziona tutto

5632/tcp ALLOW IN Anywhere
5632 on eno3 ALLOW IN Anywhere

La prima e la seconda sono quasi sovrapponibili ...

Codice: Seleziona tutto

5633 on eno3 ALLOW IN Anywhere

Codice: Seleziona tutto

8088/tcp ALLOW IN Anywhere
8088 on eno03 ALLOW IN Anywhere

La prima e la seconda sono quasi sovrapponibili ...
Il tuo centralino VoIP non è installato sul server ...

Codice: Seleziona tutto

10000 on eno3 ALLOW IN Anywhere

A parte il permettere l'accesso al relativo servizio (perchè la policy di default sulla catena INPUT è stata impostata a DENY) tutte queste regole a cosa servono? (Ad esempio) Non stai discriminando l'accesso al servizio sulla base della LAN di provenienza della connessione


Le osservazioni le ho fatte solo per capire e animare la discussione ...


Frase di rito: come avrai sicuramente già visto in giro per il Forum, per rendere più comprensibile la discussione, dovresti formattare correttamente sia i comandi impartiti sia i relativi output racchiudendoli tra i tag [ code ] ... [ /code ] (scritti senza spazi) in modo da ottenere un qualcosa del genere

Codice: Seleziona tutto

COMANDO
...
OUTPUT
...

Puoi applicare i tag automaticamente selezionando il testo che vuoi racchiudere tra di essi e poi premendo il bottone </> (Codice) nella pulsantiera posta sopra il riquadro di scrittura.

[DoctorStrange]

Ehi @thece per quale motivo dici che sul server la catena dovrebbe essere "FORWARD"? Se il server è il target della connessione che viene dal centralino, non dovrebbe essere INPUT la catena?

[thece]

@DoctorStrange

... Se il server è il target della connessione che viene dal centralino, non dovrebbe essere INPUT la catena?

Il "server" non è il target. Il target è il centralino VoIP! Raggiungere da Internet il centralino VoIP che è collocato dietro al "server".


La catena di INPUT è quella attraversata dai pacchetti IP che sono diretti all'host (in ingresso all'host). Se il pacchetto IP deve solamente attraversare l'host, ma è diretto verso un altro host allora passa per la catena di FORWARD.
Guarda lo schema che ho allegato.

Tornando alla rete in oggetto, i pacchetti IP in ingresso dal router, dopo il port forwarding (DNAT), avranno i seguenti indirizzi IP:

Codice: Seleziona tutto

SRC: <INDIRIZZO_IP_PUBBLICO_CLIENT>:<PORTA_RANDOM>
DST: 192.168.1.250:8088

In virtù delle configurazioni applicate sul routing (quelle che ho proposto io) questi pacchetti IP devono attraversare il server, ma sono diretti verso il centralino VoIP, pertanto sul server attraverseranno la catena di FORWARD (più PREROUTING e POSTROUTING).

[vsphere]

Ciao.
Innanzi tutto chiedo scusa per non aver utilizzato correttamente la formattazione di uso corrente del forum,
ma come per l'altro argomento, anche in questo caso non sono molto ferrato.
Spero questa volta di aver scritto correttamente!
Ad ammettere i propri limiti, si fa sempre bella figura.
Premesso questo, credo che dovrò dilungarmi un pò per essere più preciso e per tentare di capirci qualcosa, quindi non me ne vogliate.....
Il server in oggetto, oltre ad avere 2 schede di rete per poter utilizzare la funzione di firewall, funge anche da server DHCP, da GATEWAY per la lan e da server WEB
per un gestionale aziendale. Le porte necessarie per poter utilizzare il gestionale da esterno (wan) sono la 80, 443, 5632, 5633 e differentemente da quello da te indicato,
nel mio UFW la route è abilitata:-

Codice: Seleziona tutto

root@serverlinux:~# ufw status verbose
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), allow (routed)
New profiles: skip

Quindi cosa vorresti fare un doppio port forwarding (DNAT), un sul router e uno sul "server" ?

Come ho fatto per le porte necessarie al gestionale, ho aggiunto la 8088 nella tabella del port forwarding del router per far arrivare la stessa alla scheda di rete eno4 (wan) del server (192.168.2.2).
Differentemente dalle altre porte, che una volta reindirizzate dal router atterrano nel server e li trovano i corrispondenti servizi che rispondono, la 8088 arriva si al server, ma si ferma li.
Questo perchè l'host che è in attesa su quella porta non è il server stesso, ma un altro server con ip 192.168.1.250 (voip) che si trova nella stessa lan della eno3 (192.168.1.200)
A mio modesto parere, la configurazione funzionante che mi hai gentilmente prospettato, di creare un route nel router, ma solo se il firewall è disattivo, in questo caso non va bene, in quanto il firewall c'è,
funziona e deve restare.

Con il firewall attivo sul "server", le regole da eventualmente aggiungere servirebbero solo per fare in modo che la connessione verso il centralino VoIP possa attraversare il "server".

E' esattamente quello che devo fare, in quanto da remoto agendo solo su "allow" o "deny" posso abilitare o inibire l'accesso al centralino a seconda della richiesta del cliente.

Sinceramente dalla configurazione di UFW che hai postato non vedo "protezioni particolari" ... ma non vedo nemmeno quali servizi (tutti i servizi) sta esponendo il "server".

Questa tua affermazione mi sembra strana, in quanto oltre alle porte che ho elencato prima e altre, sono attive la 22 con la quale mi collego da remoto all'host e al bisogno la 10000 che attivo o no a seconda delle operazioni che devo svolgere sempre da remoto. Non mi interessa negare il traffico dalla lan verso la wan, ma solo impedire il contrario.

Al momento mi sono fatto l'idea (sbagliata?) che tu abbia abilitato il firewall solo perchè ti fa sentire più sicuro per sentito dire ma non vedo una reale protezione.

Probabilmente non è configurato capillarmente come dovrebbe essere, non lo metto in dubbio, ma le funzioni per il quale è stato messo in piedi le svolge egregiamente; tutto ciò che prova ad accedere al di fuori
delle porte specificate, non riesce.

Ora, il tecnico dell'host voip (centralino 192.168.1.250), da remoto puntando su ip pubblico xxx.xxx.xxx.xxx:8088, deve arrivare al router, passare dal port forwarding del FritzBox, atterrare su eno4 dell'host Ubuntu (192.168.2.2) collegata direttamente alla porta rete del router e in qualche modo ( e qui siamo al mio problema ) deve arrivare alla eno3 dell'host Ubuntu che fisicamente è collegata allo switch lan e atterrare sul voip che è sempre in attesa sulla porta 8088.

Questa è l'attuale situazione e mi auguro che ci possa essere una risoluzione per ottenere la possibilità di gestire da remoto questo maledetto centralino.
Grazie a tutti.

[thece]

@vsphere

Mi sono messo un pò a giocare con la rete simulata, abilitando anche il firewall e usando UFW.
Queste regole (sicuramente migliorabili) funzionano, se applicate al mio "server"

Codice: Seleziona tutto

ufw allow 22/tcp comment 'Allow SSH'
ufw allow in on eth1 from any to any port 67:68 proto udp comment 'Allow DHCP'
ufw route allow 53/tcp comment 'Allow DNS'
ufw route allow 53/udp comment 'Allow DNS'
ufw route allow from any to any port 80,443 proto tcp comment 'Allow HTTP/HTTPS'
ufw route allow from any to any port 8088 proto tcp comment "Allow Centralino VoIP"

[vsphere]

Grazie.
Ho appena fatto quello suggerito per la porta 8088:

Codice: Seleziona tutto

[13] 8088/tcp                   ALLOW FWD   Anywhere                   # Allow Centralino VoIP

ma facendo poi un test da esterno, risulta ancora chiusa.

Codice: Seleziona tutto

Identify Open Ports on Your Internet Connection
your external address
188.xxx.xxx.xxx

open port finder
Remote Address 
79.xxx.xxx.xxx
 
Use Current IP
Port Number 
8088
 
Closed Port 8088 is closed on 79.xxx.xxx.xxx

[thece]

Come ho fatto per le porte necessarie al gestionale, ho aggiunto la 8088 nella tabella del port forwarding del router per far arrivare la stessa alla scheda di rete eno4 (wan) del server (192.168.2.2).

E questo, come ti ho indicato in precedenza, è sbagliato perchè il centralino VoIP non è sull'host (server) di indirizzo IP 192.168.2.2 ma sull'host di indirizzo IP 192.168.1.250

Ora, il tecnico dell'host voip (centralino 192.168.1.250), da remoto puntando su ip pubblico xxx.xxx.xxx.xxx:8088, deve arrivare al router, passare dal port forwarding del FritzBox, atterrare su eno4 dell'host Ubuntu (192.168.2.2) collegata direttamente alla porta rete del router e in qualche modo ( e qui siamo al mio problema ) deve arrivare alla eno3 dell'host Ubuntu che fisicamente è collegata allo switch lan e atterrare sul voip che è sempre in attesa sulla porta 8088.

No, da remoto puntando su ip pubblico xxx.xxx.xxx.xxx:8088, il tecnico del centralino VoIP deve arrivare direttamente sul centralino VoIP

A mio modesto parere, la configurazione funzionante che mi hai gentilmente prospettato, di creare un route nel router, ma solo se il firewall è disattivo, in questo caso non va bene, in quanto il firewall c'è,
funziona e deve restare.

Funziona anche con il firewall attivo, basta configurarlo a dovere

Non mi interessa negare il traffico dalla lan verso la wan, ma solo impedire il contrario.

A livello di firewall, non lo stai facendo.

... e differentemente da quello da te indicato, nel mio UFW la route è abilitata

Codice: Seleziona tutto

root@serverlinux:~# ufw status verbose
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), allow (routed)
New profiles: skip

Probabilmente non è configurato capillarmente come dovrebbe essere, non lo metto in dubbio, ma le funzioni per il quale è stato messo in piedi le svolge egregiamente; tutto ciò che prova ad accedere al di fuori
delle porte specificate, non riesce.

Quindi c'è qualche servizio attivo sul server che non è stato reso raggiungibile tramite il firewall?

Cerco di spiegarti la mia precedente affermazione in questo modo.
Supponiamo che io abbia un server sul quale è installato il solo servizio SSH. E' del tutto inutile installare il firewall per bloccare tutte le connessioni in ingresso a tale server se poi vado ad aprire indiscriminatamente l'accesso al servizio SSH. Il firewall sta bloccando inutilmente connessioni verso ... nulla ... non ci sono altri servizi installati.
Molto meglio configurare a dovere il servizio SSH per accettare solo il login tramite chiavi e magari affiancargli fail2ban per bloccare gli accessi non autorizzati ripetuti (a tal scopo fail2ban si appoggia su IPTables)
Insomma, si installa il firewall per fargli fare dei filtraggi più raffinati.


[Nota a margine]

Non vorrei complicarti ulteriormente le cose, ma il fatto che qualcuno possa accedere direttamente a questo centralino da Internet mi inquieta un pò.
Non sarebbe il caso di nasconderlo dietro una VPN?

Come ho fatto per le porte necessarie al gestionale, ho aggiunto la 8088 nella tabella del port forwarding del router per far arrivare la stessa alla scheda di rete eno4 (wan) del server (192.168.2.2).

Il gestionale è un'applicazione Web? Nel caso, è stata adeguatamente protetta da un WAF (Web Application Firewall) ?
Anche il gestionale, non sarebbe il caso di nasconderlo dietro a una VPN?

[thece]

Ho appena fatto quello suggerito per la porta 8088:

Sono molto confidente che tu abbia sbagliato qualche configurazione

FIdati, a meno del centralino VoIP che non ho ed ho simulato con un server Apache, della tua rete, con la mia configurazione proposta, ne ho verificato il funzionamento sia con che senza UFW, sia con la catena di FORWARD (di default) bloccata (io) che sbloccata (tu).


E' un pò che covavo questa domanda, ma poi non te l'ho mai posta. Nella subnet 192.168.2.0/24 a parte il server e il router FritzBox, c'è qualche altro host?

[vsphere]

E' un pò che covavo questa domanda, ma poi non te l'ho mai posta. Nella subnet 192.168.2.0/24 a parte il server e il router FritzBox, c'è qualche altro host?

No, anche perchè come ti ho descritto il FritzBox è collegato direttamente alla eno4 del server con un cavo lan dedicato, senza passare dallo switch di rete, quindi:

wan ---> fritzboz 192.168.2.1 ---> eno4 192.168.2.2 ---> ufw ---> eno3 192.168.1.200 ---> switch ---> lan 192.168.1.xxx

[vsphere]

Per la Vpn, hai ragione e sarebbe indubbiamente più sicura, ma come ti accennavo la gestione del centralino da remoto verrebbe abilitata a discrezione del cliente a seguito di "allow" o "deny" del ufw per la porta 8088. Vuole sapere quando e quanto c'è necessità di interventi da parte del tecnico voip.
Il gestionale è una applicazione in cobol che si appoggia ad un portale web Apache; e no, non è protetto da un WAF.
Ha un suo certificato di sicurezza e ci si accede in https.

[thece]

No, anche perchè come ti ho descritto il FritzBox è collegato direttamente alla eno4 del server con un cavo lan dedicato ...

Ops, mi sono perso questo dettaglio

Ha un suo certificato di sicurezza e ci si accede in https.

Certificato di sicurezza lato client?


Tutto quello che avevo da dirti o che potevo provare da me mi sembra di averlo fatto. Se posso aiutarti ancora, chiedi.

[vsphere]

Ciao.

Certificato di sicurezza lato client?

No certificato lato server, caricato direttamente nel portale del gestionale.

Tutto quello che avevo da dirti o che potevo provare da me mi sembra di averlo fatto. Se posso aiutarti ancora, chiedi

.

Si, lo credo e ti ringrazio per la pazienza e il tempo dedicatomi.
Ciao