Soluzioni tecniche

Cos’è il port forwarding?

06 Novembre 2014
Il port forwarding è un processo nel quale un device di rete (router o firewall) connesso a due o più reti diverse riceve richieste di connessione da una delle due reti e le trasferisce verso un server o computer connesso all’altra rete adibito a rispondere su una particolare porta. 
E’ un procedimento molto usato per fare in modo che un server collegato a una rete privata locale sia in grado di rispondere alle richieste che arrivano da internet per una o più porte configurate, senza che il server stesso debba essere direttamente connesso alla rete pubblica.



Come funziona il port forwarding?

Vediamo come si può configurare ad esempio l’accesso web a un sito http://miosito.it, ospitato su un server in rete locale.
L’amministratore del firewall deve innanzi tutto configurare due interfacce:
  • IP pubblico 122.23.24.25;
  • IP privato 192.168.1.254 (che sarà il gateway della LAN).

Poi il server web (indirizzo IP: 192.168.1.1) deve essere collegato al gateway stesso (di norma attraverso uno switch).
L’amministratore del firewall deve a questo punto aggiungere una regola per il traffico in entrata sulla porta 80, in modo da girare tutte le richieste per l’IP 122.23.24.25 verso la porta 80 all’IP 192.168.1.1.

Chi vorrà raggiungere il sito web scriverà sul proprio browser: http://miosito.it
L’URL verrà tradotto (dai DNS) nell’indirizzo pubblico 122.23.24.25 e quindi la richiesta arriverà sull’interfaccia pubblica del firewall.
A questo punto entrerà in gioco la regola di port forwarding: la richiesta per la porta 80 verrà inoltrata (sostituendo all’interno del segmento TCP l’indirizzo IP di destinazione 122.23.24.25 con l’IP privato 192.168.1.1) al server web in rete locale, lasciando inalterata la porta di destinazione del segmento stesso.

Perchè usare il port forwarding

Il port forwarding ha una duplice finalità: di sicurezza e di semplicità di gestione.

L’indirizzo IP del web server resta nascosto e all’interno della propria rete privata.
Si trova quindi protetto dal firewall, che di norma ispeziona i pacchetti e fa passare solo quelli validi: si riducono pertanto le possibilità di attacco.
Inoltre, la regola trasmette solo la porta 80 dell’IP pubblico: è quindi possibile utilizzare lo stesso indirizzo IP pubblico per più servizi (email, web, FTP, SSH) senza doverne usare uno per ogni server.

Best practice

Il port forwarding da solo però non azzera i rischi derivanti dal fatto che la macchina diventi pubblicamente raggiungibile sul web.
Pertanto è opportuno ricordare alcune best practice che non dovrebbero mai essere trascurate.
  • Il software di gestione del firewall (o firmware) deve sempre essere aggiornato alle ultime versioni, vista la continua evoluzione delle minacce.
  • I server che si trovano sulla rete interna devono sempre e comunque essere protetti con software di sicurezza e manutenuti attraverso gestione del patch management, tanto del sistema operativo quanto del software non standard che gira su di essi.
  • E’ opportuno posizionare i server pubblicati su una rete privata (De-Militarized Zone, o DMZ) distinta dalla rete locale principale di lavoro (regolando il traffico tra le due reti attraverso opportune regole), in modo da limitare al massimo eventuali danni provenienti da intrusioni.
Hai dubbi o domande sul port forwarding?
Autore
Alessio Urban
Nasco a Milano nel 1979, mi sono sempre appassionato nel sapere come funzionassero gli oggetti, quindi dopo il liceo scientifico non potevo che finire a studiare Ingegneria.
In particolare ho scelto le telecomunicazioni per illudermi di poter controllare i devices e il loro software, ma in effetti mi sono reso subito conto fosse solo un'illusione avere il controllo di qualcosa in cui ci sia del software che vi gira :-)
Amo lo sport e mi piace fare qualche corsetta durante il weekend e sono un appassionato di piante, in particolare coltivo bonsai.
Mi trovi anche su linkedin, e su facebook anche se il secondo lo uso decisamente meno
Commenti (1)

Ho il modem fastgate e vorrei aprire la porta 5492 per un gioco,mi son fatto dare l’Ip pubblico,ho aperto la porta nella configurazione del modem,ho creato la regola nel firewall per aprire la porta ma controllando con https://www.yougetsignal.com/tools/open-ports/ risulta sempre chiusa.Controllando anche con https://whois.domaintools.com/2.238.151.52 la voce natname è netname: FASTWEB-L3-PAT_NAT.Secondo le istruzioni da web questa voce indicherebbe che l’Ip non è pubblico,potete darmi qualche istruzione in merito?Grazie

Ernesto Bonacina,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.