Porte TCP/UDP dei servizi di rete

Guida rapida per configurazioni e ACL estese

Dal livello Trasporto (TCP/UDP) ai servizi applicativi: quali porte usare e perché.
TCP vs UDP: cosa serve sapere (per scegliere la porta giusta)
Nel modello TCP/IP, il livello Trasporto usa principalmente TCP e UDP. I protocolli del livello Applicazione (DNS, HTTP, SMTP, …) “si appoggiano” a TCP o UDP e utilizzano porte standard per farsi riconoscere.
TCP (Transmission Control Protocol)
  • Orientato alla connessione (3-way handshake).
  • Affidabile: ritrasmissioni, numeri di sequenza, controllo errori.
  • Tipico per servizi dove la perdita di dati è un problema: HTTP/HTTPS, SMTP/IMAP/POP3, SSH, FTP.
UDP (User Datagram Protocol)
  • Non orientato alla connessione (niente handshake).
  • Non affidabile di default: meno overhead, più veloce.
  • Tipico per richieste brevi o traffico time-sensitive: DNS (di solito), DHCP, NTP, streaming, VoIP.
Attenzione: alcuni servizi possono usare sia UDP che TCP (es. DNS). La scelta dipende dal tipo di scambio: query “normali” spesso su UDP; trasferimenti più grandi o particolari possono passare a TCP.
Porte “ben note” e porte dinamiche
Come leggere “TCP/UDP + porta”
  • Server: resta in ascolto su una porta standard (es. DNS su 53).
  • Client: usa una porta sorgente temporanea (ephemeral) scelta dal sistema operativo.
  • Quindi in un’ACL spesso ti interessa la porta di destinazione verso il server.
Classi di porte (idea generale)
  • 0–1023: porte “ben note” (servizi standard).
  • 1024–49151: registrate (molti servizi/app).
  • 49152–65535: dinamiche/effimere (client).
In Packet Tracer e nei laboratori, ragioniamo così: “Qual è il servizio?” → “TCP o UDP?” → “Qual è la porta del server?”. Poi costruiamo l’ACL (o le regole del firewall) con protocollo e porta corretti.
Tabella porte principali (per DNS, web, mail e servizi comuni)
Tabella “da ACL”: usa protocollo + porta di destinazione. Le porte qui sotto sono quelle che incontrerete più spesso nelle esercitazioni.
Servizio Protocollo applicativo Trasporto Porta Note operative (cosa filtrare)
DNS Domain Name System UDP (tipico) 53 Query/risposte standard. In ACL: spesso permit udp ... eq 53.
DNS Domain Name System TCP 53 Zone transfer o risposte grandi. Se blocchi TCP 53 potresti “rompere” casi particolari.
DHCP Dynamic Host Configuration UDP 67/68 Server: 67, Client: 68. Utile in lab quando DHCP è su altra rete (relay).
HTTP Web TCP 80 Navigazione non cifrata. In ACL: permit tcp ... eq 80.
HTTPS Web sicuro (TLS) TCP 443 Navigazione cifrata. In ACL: permit tcp ... eq 443.
SMTP Invio posta TCP 25 Trasferimento mail tra server o invio “classico”.
SMTP Submission Invio posta (client→server) TCP 587 Invio autenticato moderno. Spesso al posto di 25 per i client.
SMTPS SMTP su TLS TCP 465 Variante cifrata “storica”, ancora diffusa in alcuni contesti.
POP3 Ricezione posta TCP 110 Download dei messaggi. In ACL: consentire verso il server mail.
POP3S POP3 su TLS TCP 995 Versione cifrata di POP3.
IMAP Ricezione/sincronizzazione posta TCP 143 Mailbox sincronizzata (molto usato). Alternativa a POP3.
IMAPS IMAP su TLS TCP 993 Versione cifrata di IMAP.
SSH Remote shell TCP 22 Gestione remota sicura. Spesso da consentire solo da LAN Admin.
Telnet Remote shell (non sicuro) TCP 23 Da evitare in produzione. In lab può comparire, ma meglio SSH.
FTP File Transfer Protocol TCP 21 (ctrl) Protocollo complesso per ACL (canale dati separato). In lab spesso si limita l’uso.
TFTP Trivial FTP UDP 69 Usato spesso per immagini/config su apparati (attenzione: non autenticato).
NTP Network Time Protocol UDP 123 Sincronizzazione oraria. Utile in reti con log/servizi.
SNMP Monitoraggio UDP 161/162 161 query, 162 trap. In genere si restringe a host di monitoraggio.
ICMP Ping/diagnostica (non TCP/UDP) Non usa porte: in ACL si gestisce con permit icmp e i type/code.
Nota importante per ACL: se blocchi “tutto” e vuoi far funzionare il web, non basta permettere TCP 80/443; devi anche permettere la risposta. Su Cisco si risolve spesso con established (per TCP) oppure con ACL più ragionate per direzione/interfaccia.
Esempi pratici: come trasformare “servizio + porta” in una ACL extended
Gli esempi sono generici (IP di esempio). L’idea è sempre la stessa: scegli protocollo (tcp/udp), scegli la porta (eq 53, eq 80, …), e applica l’ACL nel punto corretto (di solito in vicino alla sorgente).
Consentire DNS verso un server DNS

LAN utenti 192.168.10.0/24 → DNS server 192.168.100.10

access-list 110 permit udp 192.168.10.0 0.0.0.255 host 192.168.100.10 eq 53
access-list 110 permit tcp 192.168.10.0 0.0.0.255 host 192.168.100.10 eq 53
access-list 110 deny   ip any any
Perché anche TCP? Per coprire i casi in cui DNS usa TCP.
Consentire POP3 e SMTP verso un mail server

LAN admin 10.10.30.0/24 → Mail server 10.10.100.10 (DMZ)

access-list 120 permit tcp 10.10.30.0 0.0.0.255 host 10.10.100.10 eq 110
access-list 120 permit tcp 10.10.30.0 0.0.0.255 host 10.10.100.10 eq 587
access-list 120 permit tcp 10.10.30.0 0.0.0.255 host 10.10.100.10 eq 25
access-list 120 deny   ip any any
Se usi versioni “S” cifrate: POP3S 995, IMAPS 993, SMTP(S) 465/587.
Consentire solo Web (HTTP/HTTPS)

LAN studenti 172.16.10.0/24 → Internet (qualsiasi destinazione)

access-list 130 permit tcp 172.16.10.0 0.0.0.255 any eq 80
access-list 130 permit tcp 172.16.10.0 0.0.0.255 any eq 443
access-list 130 deny   ip any any
È un filtro “didattico” molto restrittivo: tutto il resto (DNS, NTP, ecc.) viene bloccato.
Consentire SSH solo da una LAN specifica

LAN admin 192.168.50.0/24 → apparati/servers (rete 192.168.200.0/24)

access-list 140 permit tcp 192.168.50.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 22
access-list 140 deny   ip any any
Buona pratica: gestione remota consentita solo da LAN amministrativa.
Applicazione su interfaccia (esempio):
interface GigabitEthernet0/0
 ip access-group 110 in
Scegli sempre l’interfaccia e la direzione coerenti con la tua topologia (vicino alla sorgente = più efficiente).
Riepilogo rapido
  • Le porte servono a identificare il servizio a livello applicativo (es. DNS = 53).
  • TCP = affidabile (web, mail, ssh). UDP = leggero/veloce (dns, dhcp, ntp).
  • In ACL extended di solito filtri protocollo + porta di destinazione.
  • DNS può essere UDP 53 ma anche TCP 53: occhio ai casi particolari.
  • Servizi web: HTTP 80, HTTPS 443. Mail: SMTP 25/587, POP3 110, IMAP 143.