Logo Tom's Hardware

Caratteristiche di NAT

Zywall 2 e 2 plus rappresentano i prodotti entry-level della gamma Security Appliance di Zyxel, entrambi sono router a quattro porte 10/100 con firewall SPI, endpoint IPsec in grado di supportare due tunnel VPN e set di caratteristiche che ne consentono l'uso nelle reti più grandi, dietro multipli livelli di router.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Caratteristiche di NAT

In aggiunta ai servizi VPN, Filtro dei Contenuti e Firewall, il 2 Plus ha molte più funzioni di routing NAT di qualsiasi altro prodotto della concorrenza a buon mercato. Innanzi tutto, è possibile stabilire il numero massimo di sessioni contemporanee per host, di default 2048, sino ad un limite di 3000. É anche possibile disabilitare completamente ogni funzione di NAT.

Se il vostro ISP vi ha fornito indirizzi IP multipli, il 2 Plus può aiutarvi a sfruttarli al massimo. La schermata Address Mapping, infatti, supporta le tipologie di Mappatura NAT One-to-One, Many-to-One, Many-to-Many Overload, Many One-to-One e Server.

Le WAN con un singolo indirizzo IP ignoreranno la schermata Address Mapping e utilizzeranno le regole di Port Forwarding mostrate nella Figura 19. La voce "Default Server" nella parte superiore dell'immagine, corrisponde alla funzione "DMZ" presente in molti altri router NAT. É anche possibile specificare dodici regole di Port Triggering.

Figura 19: Schermata del Port Forwarding NAT (Cliccate sull'immagine per ingrandirla)

Il supporto di Universal plug And Play (UPnP) e Application Layer Gateway (ALG) rappresentano ulteriori vantaggi a disposizione di quelle applicazioni che devono gestire il firewall NAT del 2 Plus. UPnP è disabilitato di default ma quando abilitato consente ai client di eseguire modifiche alle configurazioni del router tramite UPnP e UPnP NAT Traversal. Abbiamo apprezzato il fatto che 2 Plus mostri la lista delle porte aperte dai client UPnP; la stessa schermata (UPnP Ports) permette di selezionare alcune regole e di salvarle in una memoria flash.

Le opzioni per ALG sono più semplici ed includono la possibilità di abilitare la gestione di FTP, H.323 e SIP. É anche possibile cambiare il timeout SIP dai 3600 secondi di default, o di disabilitarlo del tutto impostandone il valore a 0.

La schermata Static Route consente di impostare fino a undici differenti rotte statiche, includendo indirizzi IP destinazione, subnet mask, IP gateway e metrica.

La sezione Bandwidth Management fornisce controlli separati per il traffico WAN - LAN e LAN - WAN, utilizzando una schedulazione dei pacchetti in equità o basata su Priorità. É possibile impostare una velocità massima in entrambe le direzioni, definire classi e sottoclassi di traffico (Figura 20) con otto livelli di priorità. Le schermate Statistics e Monitor permettono di analizzare gli effetti delle regole in uso. Solitamente controlliamo come viene gestita l'ampiezza di banda ma sfortunatamente questa volta non abbiamo abbastanza tempo.

Figura 20: Schermata di Gestione Ampiezza di Banda - Modifica delle Classi (Cliccate sull'immagine per ingrandirla)

Come molte delle caratteristiche del 2 plus, anche la gestione dei DNS è abbastanza flessibile. É possibile registrare degli indirizzi e associarli a IP specifici. Server DNS differenti possono essere associati per differenti zone di dominio, scegliendo ISP, server DNS pubblici o privati. Il 2 Plus può memorizzare in una cache entrambe le risoluzioni DNS positive (abilitate di default) e negative, permette la configurazione separata dei tempi di memorizzazione (60 - 3600 secondi), di visualizzare il contenuto della cache e di svuotarla completamente. É anche possibile impostare il server DHCP così che gestisca fino a tre server DNS. Raccogliendo le funzionalità DNS si ha un client DNS dinamico integrato per dyndns.org che gestisce fino a cinque nomi di dominio.

La Figura 21 mostra l'insieme delle opzioni che permettono la gestione remota completa del 2 Plus. Notate che la gestione HTTPs è sempre abilitata, ma non vi si è mai rediretti automaticamente dal login http e che obbliga a specificare https:// quando si digita l'indirizzo IP del 2 Plus nella barra del browser. É possibile raggiungere l'interfaccia a riga di comando tramite SSH e Telnet, entrambe le opzioni sono abilitate di default per i client di entrambi i lati LAN e WAN; chiaramente non si tratta della configurazione di default più sicura. Potete però limitare l'accesso solo tramite client lato LAN o WAN, disabilitarlo completamente o consentirlo solo da indirizzi IP specifici. É anche possibile modificare la porta operativa di ciascun servizio.

Figura 21: Schermata di Gestione Remota (Cliccate sull'immagine per ingrandirla)

Se scaricare configurazioni di router e aggiornamenti di firmware tramite browser web non è pane per i vostri denti, potete usare un accesso FTP, che ha le stesse opzioni di configurazione degli accessi e delle porte di SSH e Telnet.

Se il 2 Plus entrerà a far parte di una rete molto grande, il suo supporto SNMPv1 vi tornerà molto utile, assieme all'abilità di modificarne le opzioni di accesso e le porte come fatto per i servizi precedenti. Se siete un negoziante ZyXEL e utilizzate il Server CNM Vantage come vostro sistema di gestione della rete, il 2 Plus può ricoprire anche quella funzione. Infine, se ne avete bisogno, tramite la tabulazione DNS vi sarà possibile controllare le interfacce che supportano le richieste DNS.

Leggi altri articoli