Connettivita' Internet - Dettagli

Da NetWiki.

AREA offre ai propri insediati la connettivita' Internet normalmente attraverso presa RJ45 collegata in ethernet presente negli uffici dati in locazione. Di norma ad ogni insediato e' offerta una rete privata con PAT esterno, ma e' possibile farsi assegnare una corrispondenza diretta tra IP privato e un IP pubblico (NAT statico), oppure e' possibile farsi assegnare direttamente un IP pubblico. Consigliamo l'assegnazione di IP pubblici solo se e' effettivamente necessario, ovverosia nel caso di server o comunque di servizi offerti all'esterno.

Configurazione della rete

Per poter usare la rete di AREA Science Park al momento dell'abilitazione delle prese nelle stanze vengono consegnati anche i parametri IP di accesso. Le impostazioni dipendono dalla tipologia di connessione:

  • Tipo privato, dedicato all' utenza alla quale interessa di piu' il traffico in uscita (ad esempio navigazione web e spedizione di mail) piuttosto che la fornitura di servizi erogati via Internet. Questi indirizzi hanno il formato 10.x.y.z in un range usabile da 10.x.y.2 a 10.x.y.254
  • Tipo pubblico, riservato all' utenza con esigenze particolari e identificata dal formato 195.14.103.w

Impostare il propio dispositivo in base alle seguenti informazioni sostituendo x y w con i valori che vi sono stati assegnati

Tipo privato Tipo pubblico
Indirizzo IP 10.x.y.z 195.14.103.w
Netmask 255.255.255.0 255.255.254.0
Default Gateway 10.x.y.1 195.14.102.1
DNS Primario 195.14.102.24 195.14.102.24
DNS Secondario 195.14.102.25 195.14.102.25

Policy della rete

Nell’ottica di protezione e prevenzione del traffico proveniente da Internet a partire dal 1 Maggio 2019 le policy di rete di Area Science Park prevedono che tutto il traffico non richiesto sia bloccato di default.
Se si necessita di avere accesso da Internet verso gli IP pubblici esposti, una richiesta esplicita dovra' essere fornita indicando le regole da applicare.
Qui di seguito forniamo una tabella come esempio per la realizzazione del file CSV da inviare al consueto indirizzo che trovate nella homepage.


I campi descrizione e note sono facoltativi ma permettono di individuare meglio i vari elementi in caso di dubbi.
Ad esempio la descrizione sorgente potrebbe essere "MI_HQ" e il campo note "Traffico permesso da Milano sede centrale"
I campi IP possono essere espressi in notazione CIDR (x.y.z.w/nn) ed indicare un singolo host a.b.c.d/32, una subnet a.b.c.d/nn, oppure un range da un ip di inizio ad un ip finale a.b.c.n-a.b.c.m

Le regole vengono applicate nell'ordine descritto dal campo indice e l'esecuzione termina alla prima occorrenza trovata.

Indice IP Sorgente Descrizione Sorgente IP Destinazione Descrizione Destinazione Servizio Azione Note
1 x.y.z.w/32 singolo host sorgente 195.14.103.x srv1 TCP/80 Permit Accesso http verso il server srv1
2 x.y.z.w/32 singolo host sorgente 195.14.103.x srv1 TCP/443 Permit Accesso https verso il server srv1
3 x.y.z.n-x.y.z.m range di IP da n a m 195.14.103.x srv1 ICMP Permit ICMP Echo Reply abilitato da qualsiasi sorgente all'interno del range
4 any qualsiasi IP 195.14.103.y router1 IP Permit Di fatto tutto il traffico viene inoltrato
5 x.y.z.w/32 singolo host sorgente 195.14.103.z srv2 IP Deny Il traffico da un determinato IP viene bloccato
6 any qualsiasi IP 195.14.103.z srv2 TCP/443 Permit Il traffico https viene abilitato da tutti gli IP
  • Le regole da 1 a 3 permettono al server descritto come srv1 di ricevere traffico http da un singolo host, https da un'intera subnet e ICMP da qualsiasi indirizzo IP all'interno del range estremi inclusi
  • La regola 4 e' un esempio d'uso di un router/firewall al quale Area Science Park affida a voi l'intera gestione
  • Le regole da 5 a 6 permettono di bloccare qualsiasi tipo di traffico (Servizio=IP) da uno specifico host verso il server srv2 mentre permette di ricevere connessioni https da qualsiasi altro indirizzo IP diverso da quello della regola 5


La tabella sopra genera il file CSV cosi' riportato:

 Indice,IP_Sorgente,Descrizione_Sorgente,IP_Destinazione,Descrizione_Destinazione,Servizio,Azione,Note
 1,x.y.z.w/32,"singolo host sorgente",195.14.103.x,"srv1",TCP/80,Permit,"Accesso http verso il server srv1"
 2,x.y.z.w/32,"singolo host sorgente",195.14.103.x,"srv1",TCP/443,Permit,"Accesso https verso il server srv1"
 3,x.y.z.n-x.y.z.m,"range di IP da n a m",195.14.103.x,"srv1",ICMP,Permit,"ICMP Echo Reply abilitato da qualsiasi sorgente all'interno del range"
 4,any,"qualsiasi IP",195.14.103.y,"router1",IP,Permit,"Di fatto tutto il traffico viene inoltrato"
 5,x.y.z.w/32,"singolo host sorgente",195.14.103.z,"srv2",IP,Deny,"Il traffico da un determinato IP viene bloccato"
 6,any,"qualsiasi IP",195.14.103.z,"srv2",TCP/443,"Il traffico https viene abilitato da tutti gli IP"

Si richiede gentilmente di denominare il file con il seguente schema: acronimoAzienda_yyyymmdd_ACL.csv

L'acronimoAzienda e' un identificativo univoco interno che Area Science Park vi ha assegnato e di norma e' un valore espresso tutto in maiuscolo senza spazi. In caso non si conosca tale valore potete richiederlo con la consueta modalita' via support.

Se l'azienda si chiamasse "Acme SPA" e l'acronimo e' "ACME" il file CSV inviato il giorno 6 Marzo 2019 dovrebbe avere il nome: ACME_20190306_ACL.csv

Utilizzo di software peer to peer

Il software peer to peer permette di scaricare piu' o meno rapidamente grandi quantita' di dati da fonti esterne. Normalmente l'utilizzo di questo software e' tollerato se per motivi lavorativi, ma sconsigliato per fini diversi da quelli canonici, sia per motivi legali che di fair play nei confronti degli altri insediati, dato che la banda e' condivisa da tutti, Consorzio e Tenants.

L'utilizzo della banda durante gli orari lavorativi (8:00 - 18:00) viene costantemente monitorato e in caso di attivita' in rete che utilizzino grosse quantita' di banda provvediamo a telefonare direttamente all' Azienda assegnataria degli IP in questione per dei chiarimenti. Nel caso di impossibilita' nel contattare qualcuno provvediamo a limitare temporaneamente l'utilizzo della banda. Queste temporanee restrizioni impediscono che, per esempio, un sistema mal configurato possa saturare tutta l'ampiezza di banda disponibile ad AREA, rallentando quindi anche gli altri Tenants.

Durante l'orario 08:00 - 18:00 preghiamo l'utenza che necessiti comunque l'utilizzo di software P2P di abilitare le feature di limitazione di banda in download presente in quasi tutti i client.

Fuori orario di lavoro, nei week end e durante le festivita' non effettuiamo controlli sull' utilizzo della banda, e quindi consigliamo, se possibile, di utilizzare questi periodi per effettuare download corposi di qualsiasi tipo e da qualsiasi rete.

Strumenti personali