abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Intel propustí 15 % zaměstnanců a opouští plán na továrny v Německu a Polsku
    25.7. 19:55 | IT novinky

    Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.

    Ladislav Hagara | Komentářů: 18
    MDN slaví 20 let
    25.7. 17:33 | Komunita

    MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.

    Ladislav Hagara | Komentářů: 0
    Wayback 0.1
    25.7. 14:55 | Nová verze

    Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    Tails 6.18
    25.7. 13:33 | Nová verze

    Byla vydána nová verze 6.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově se lze k síti Tor připojit pomocí mostu WebTunnel. Tor Browser byl povýšen na verzi 14.5.5. Thunderbird na verzi 128.12.0. Další změny v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    Náramek pro ovládaní počítače využívající povrchovou elektromyografii
    24.7. 14:33 | IT novinky

    Meta představila prototyp náramku, který snímá elektrickou aktivity svalů (povrchová elektromyografie, EMG) a umožňuje jemnými gesty ruky a prstů ovládat počítač nebo různá zařízení. Získané datové sady emg2qwerty a emg2pose jsou open source.

    Ladislav Hagara | Komentářů: 1
    OPNsense 25.7 Visionary Viper
    24.7. 14:22 | Nová verze

    Byla vydána (𝕏) nová verze 25.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 25.7 je Visionary Viper. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    Před 40 lety byla představena první Amiga
    24.7. 13:33 | IT novinky

    Před 40 lety, 23. července 1985, společnost Commodore představila první počítač Amiga. Jednalo se o počítač "Amiga od Commodore", jenž byl později pojmenován Amiga 1000. Mělo se jednat o přímou konkurenci počítače Apple Macintosh uvedeného na trh v lednu 1984.

    Ladislav Hagara | Komentářů: 2
    T‑Mobile USA spustil službu T-Satellit
    24.7. 06:00 | IT novinky

    T‑Mobile USA ve spolupráci se Starlinkem spustil službu T-Satellite. Uživatelé služby mohou v odlehlých oblastech bez mobilního signálu aktuálně využívat satelitní síť s více než 650 satelity pro posílání a příjem zpráv, sdílení polohy, posílání zpráv na 911 a příjem upozornění, posílání obrázků a krátkých hlasových zpráv pomocí aplikace Zprávy Google. V plánu jsou také satelitní data.

    Ladislav Hagara | Komentářů: 9
    Proxmox věnoval 10 000 eur nadaci Perl a Raku
    23.7. 21:55 | Komunita

    Společnost Proxmox Server Solutions stojící za virtualizační platformou Proxmox Virtual Environment věnovala 10 000 eur nadaci The Perl and Raku Foundation (TPRF).

    Ladislav Hagara | Komentářů: 2
    Apache HTTP Server (httpd) 2.4.65 řeší bezpečnostní chybu CVE-2025-54090
    23.7. 21:22 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.65 svobodného multiplatformního webového serveru Apache (httpd). Řešena je bezpečnostní chyba CVE-2025-54090.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (25%)
     (5%)
     (4%)
     (4%)
     (1%)
     (3%)
     (27%)
    Celkem 135 hlasů
     Komentářů: 17, poslední včera 20:08
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Prosba o kontrolu nastavenia firewallu
    Štítky: příklady, server, skript

    Dotaz: Prosba o kontrolu nastavenia firewallu

    18.12.2012 12:11 Ján Petrík
    Prosba o kontrolu nastavenia firewallu
    Přečteno: 508×
    Příloha:
    Dobrý deň.

    Dostal som (bohužiaľ) nechcene do správy jeden malý firemný server (prakticky absolútne nezabezpečený), tak som si naskriptoval (mimo iné) firewall a touto cestou by som chcel poprosiť tunajších odborníkov o kontrolu, že čo by som v ňom ešte mal pridať/zmeniť. To čo som si naskriptoval funguje presne tak ako má, ale keď som pozeral na rôzne príklady, tak tam bolo ešte niečo ohľadom SYN a iné srandy čomu nerozumiem. SH skript je v prílohe.

    Veľmi pekne vám ďakujem

    Ján Petrík
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    18.12.2012 17:21 j
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Strelba - musel bych si to vygenerovat a to se mi nechce. Predpokladam, ze je to NATujici firewall, pak ti tam chybi related,established ve forwardu a prebejva ten accept (kterej, pokud ho tam chces, vyresi policy accept). Pokud to chces striktne omezit, tak potrebujes povolit pouze forward toho, co se routuje (napr ten tunel, viz niz) + propustit navazany pripojeni. Napr si nastavim ze povolim z eth1 + z tun0 state NEW (navazat pripojeni).

    Neni od veci zahodit state invalid pakety(input, forward).

    ICMP(ping) se povoluje s nejakym omezenim typu 5 paketu + 1/s (icmptype 8 limit: avg 1/sec burst 5). Pokud nechces dovolit zevnitr pripojeni na zadne mailserver, tak tam nema co delat drop, ale reject (vyrazne tim zkratis reakci aplikace). Maskarada ma smysl, pokud mas dynamickou a predem neznamou IP, pokud ne, nema tam co delat, ma tam bejt nat. Taky neni od veci souvisejici pravidla rozhodit do samostatnych chainu. Lip se to pak cte i adminuje. Pokud davas do outputu pravidlo accept, je blbost ho mit na policy drop. Prepni to na accept a pravidlo nepotrebujes. Tunel natovat je zoufalstvi, pokud to jen trochu lze (= z nejakyho nepredstavitelnyho duvodu nepouziva stejnej rozsah), tak ho normalne odroutuj.

    To by bylo k tomu scriptu (coz neznamena, ze sem neco nepochopil spravne). Co ti tam uplne chybi, je ochrana proti prolezeni NATu a pripadne zabordelovani netu. Mel bys terminovat veskerej provoz z venku, kterej ma src/dst na privatnich prefixech + bys mel terminovat totez zevnitr (pokud je dst na privatnim rozsahu, jinym nez pouzivas, mel by to firewall rejectnout). Da se to zaridit i pravidlem v routovaci tabulce (opet, nikoli drop, ale v pripade provozu zevnitr vzdy reject).

    Ty "jiny srandy" = existujou ruzne zabugovany aplikace, ktery reagujou na nestandardni sestaveni priznaku paketu (trebas zhroucenim ...), tak jako tak, vsechno nevyresis.
    18.12.2012 17:55 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Bolo by možné prosím rozpísať sa obšírnejšie?

    Tak napríklad: RELATED,ESTABLISHED som všade čítal, že ide do INPUT-u, takže prečo vlastne FORWARD?

    Ďalej, aký je vlastne technický, výkonnostný a čo ja viem aký ešte rozdiel medzi maškarádou a klasickým nat-om?

    Ten tunel, no neviem, že či to dobre chápem, ale nat-ujem ho kvôly "redirect-gateway", alebo sa to dá aj ináč?

    A nakoniec: dalo by sa obšírnejšie popísať (najlepšie kompletným príkladom) tá ochrana na "prelezenie" nat-u?

    Veľmi pekne ďakujem.
    18.12.2012 22:25 j
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Related, established = pres toto pravidlo projdou navazana spojeni. Jednoduse pokud nekde povoluju neco (port, ip, ...), nemusim pokazdy zkoumat kazdy paket. Hodi se samo predevsim v pripade, ze hodlas (a to bys ve firme asi mel) nejak omezovat provoz na net (= nenechas tam accept). Napr je velmi vhodne omezit provoz jen na vybrany porty (i odchozi). Ne ze by to malware jako je skype zabranilo projit (dela neuveritelnej bordel v siti, jak zkousi vsechny mozny porty), ale precijen ne kazda aplikace(nebo uzivatel) si stim poradi = ponekud to zvedne bezpecnost.

    Neni rozdil ve vykonu, ale bezpecnosti - pokud nastavis NAT na konkretni IP, je to proste bezpecnejsi, nez kdyz tam ma maskaradu, ktera se spokoji s libovolnou IP. Jednoduse to ber jako kosticka ke kosticce, cihla k cihle ...

    Ad tunel, mas jednoduse (trebas) a.b.c.d/24 a k.l.m.n/24. Prvni je rozsah LAN, druhy tunelu. Z hlediska toho routeru je to sit jako sit. Natujes na 1.2.3.4 (eth0) => -A POSTROUTING -s a.b.c.d/24 -o eth0 -j SNAT --to-source 1.2.3.4, pro druhou sit pridas totez -A POSTROUTING -s k.l.m.n/24 -o eth0 -j SNAT --to-source 1.2.3.4 (muzes dat jinou IP, pokud mas). Pokud pominu pripadna dalsi pravidla, tak v tenhle okamzik ti bude uplne normalne komunikovat sit A se siti K, a pakety s cilem mimo tyhle dve site se znatujou a poslou do netu. Ale, site A a K se vidi primo => mezi nima se nic nenatuje (ale mozna sem jen blbe precet ten tvuj script - zarazil me tam ten DNAT). Samo pocitam, ze mas verejnou adresu primo na tom stroji - delat dvojitej nat je napikacu (jde to, ale dre to ...).

    Ad ten zbytek: -A FORWARD -i eth0 -j privatein -A privatein -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable -A privatein -s 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable -A privatein -s 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

    => z verejnyho internetu NESMI NIKDY prijit paket s privatnim sourcem (opet, eth0 ma verejnou IP, jinak by bylo treba to upravovat).

    -A privatein -d 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable -A privatein -d 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable -A privatein -d 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

    => dtto s privatnim cilem (v obou pripadech by mohl byt drop, je vhodnejsi pokud ti hrozi nejaky DOS)

    Pokud tam toto nedas, jednoduse ti na router dorucim takovy paket (cest je vicero) a router s nim udela presne to, co se od routeru ceka = odroutuje ho. Jakmile se trefim do tvyho rozsahu, muzu navazat spojeni s libovolnym strojem uvnitr (NAT NENI absolutne ZADNA ochrana).

    Mno a protoze pres router by nemelo totez projit do netu ven (neb sme hodni a chovame se podle RFC) -A FORWARD -o eth0 -j privateout -A privateout -d 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable -A privateout -d 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable -A privateout -d 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

    => pokud by se nam stalo(bezna vec), ze se nase vnitrni stroje budou chtit domluvit s nekym na nejakem privatnim rozsahu, ktery ale nezname (nepouzivas ho), tak to router samo taky odroutuje, ale podle RFC ma takovy pakety zahodit. Tady v kazdym pripade reject, protoze to je vnitrni sit = nechces cekat na timeout.
    19.12.2012 03:23 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    OK, myslím, že som to pochopil. Len ešte jednu malú otázočku.

    Bohužiaľ používame "dvojitý NAT" (viem, že to nie je príliš kóšer, ale ten sprostý DSL router, čo máme nič iné ako NAT neovláda a šéf odmieta kúpiť nový), ktorý vyzerá asi takto:

    ve.rej.na.ip -> 10.0.0.138 -> 10.0.0.254 -> 192.168.1.254 (DSL WAN -> DSL LAN -> Server eth0 -> Server eth1)

    Čiže (ak to správne chápem) stačí ohľadom FORWARD niečo také: 
    /sbin/iptables --table filter --append FORWARD --destination 0/0 --protocol TCP --match multiport --destination-port 25,465 --jump DROP

/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 192.168.0.0/16 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 172.16.0.0/12 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 10.0.0.0/8 --jump DROP

/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 192.168.0.0/16 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 172.16.0.0/12 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 10.0.0.0/8 --jump DROP

/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 192.168.0.0/16 --jump REJECT --reject-with icmp-net-unreachable
/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 172.16.0.0/12 --jump REJECT --reject-with icmp-net-unreachable
/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 10.0.0.0/8 --jump REJECT --reject-with icmp-net-unreachable

/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 10.0.0.138 --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 10.0.0.138 --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 10.0.0.138 --jump ACCEPT

/sbin/iptables --table filter --append FORWARD --match state --state ESTABLISHED,RELATED --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --in-interface eth1 --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --in-interface tun0 --jump ACCEPT
    ?

    Ďakujem.
    19.12.2012 03:56 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Pardón, ešte raz: 
    /sbin/iptables --table filter --append FORWARD --destination 0/0 --protocol TCP --match multiport --destination-port 25,465 --jump DROP

/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 192.168.0.0/16 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 172.16.0.0/12 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 10.0.0.0/8 --jump DROP

/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 192.168.0.0/16 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 172.16.0.0/12 --jump DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 10.0.0.0/8 --jump DROP

/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 192.168.0.0/16 --jump REJECT --reject-with icmp-net-unreachable
/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 172.16.0.0/12 --jump REJECT --reject-with icmp-net-unreachable
/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 10.0.0.0/8 --jump REJECT --reject-with icmp-net-unreachable

/sbin/iptables --table filter --append FORWARD --in-interface eth0 --source 10.0.0.138 --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --in-interface eth0 --destination 10.0.0.138 --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --out-interface eth0 --destination 10.0.0.138 --jump ACCEPT

/sbin/iptables --table filter --append FORWARD --in-interface eth1 --match state --state NEW,ESTABLISHED,RELATED --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --in-interface tun0 --match state --state NEW,ESTABLISHED,RELATED --jump ACCEPT
    19.12.2012 04:04 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    A vlastne ako nad tým rozmýšľam, tak nestačilo by toto: 
    /sbin/iptables --policy FORWARD DROP
/sbin/iptables --table filter --append FORWARD --in-interface eth1 --match state --state NEW,ESTABLISHED,RELATED --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --in-interface tun0 --match state --state NEW,ESTABLISHED,RELATED --jump ACCEPT
    ?

    Nemalo by to "automaticky" už z princípu policy poriešiť ten "útok" na NAT?
    19.12.2012 04:53 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Aby som bol úplne presný, tak myslím útok na NAT na strane eth0.
    19.12.2012 09:07 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Fakt posledná (pre mňa konečne funkčná) konfigurácia: 
    /sbin/iptables --policy FORWARD DROP

/sbin/iptables --table filter --append FORWARD --match state --state NEW --in-interface eth1 --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --match state --state NEW --in-interface tun0 --jump ACCEPT

/sbin/iptables --table filter --append FORWARD --match state --state ESTABLISHED,RELATED --jump ACCEPT
/sbin/iptables --table filter --append FORWARD --match state --state INVALID --jump DROP
    Ono pri tomto nastavení som musel pridať aj príslušný FORWARD k PREROUTING-u (pre VNC klientov vo vnútri sieti), čiže moja logika hovorí, že nech sa ktokoľvek bude snažiť využiť prelezenie NAT-u, tak pri tomto nastavení by mu to "automaticky" nemalo fungovať. Alebo sa mýlim?
    21.12.2012 09:12 j
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Co se tejce dvojnatu, tak tam by bylo treba samo povolit ten rozsah, kterej je mezi prvnim a druhym natem, nebo ta pravidla nastavit na ty krabce primo ... ale jestli resite krabku za litr ... tak resit bezpecnost takovy site ...
    19.12.2012 00:22 NN
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Na to co to ve finale vyplodi je to dost hnuj. Tristakrat echo a co to je boha jeho za napad, oddelovat vsechno trikilometrovou hasi? Take subnety ti asi nic nerikaji, usetril by si totiz spoustu zbytecnych cyklu. Proc s toho delas jeste funkci uz vubec nechapu a pritom to mohl byt krasny a jednoduchy skript. Takze az to preformatujes a bude to citelne, tzn. promenne a okometovana jednotliva pravidla a NIC VIC. Tak se muzeme bavit o tom co to vlastne dela.
    19.12.2012 01:27 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Ale, ale, prečo toľko síry v takúto nočnú hodinu? Urobilo Vám to aspoň dobre? Cítite sa teraz väčší geroj? Tak to som rád, že som Vám dopomohol k väčšiemu sebavedomiu. Idem sa pokorne kajať a kydať ten svoj hnoj - oooooo veľký pán hacker.
    19.12.2012 01:54 l4m4
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Pěkné ad hominem.

    Nicméně v případě něčeho tak dlouhého, nečitelného a zamotaně zkonstruovaého je skutečně na obecný dotaz ‚prosím zkontrolovat‘ bez specifikace, co to vlastně má dělat, přiměřená odpověd, že to není k přečtení. Je to chyba, která je vidět na první pohled -- a nezávisí na tom neznámém, co to vlastně má dělat.
    19.12.2012 03:31 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Súhlasím, ale dá sa to povedať aj slušnejšie (napríklad: radšej tu postni /etc/sysconfig/iptables), alebo sa dokonca dá aj mlčať. Čo sa týka kódu, tak uznávam, nie som žiadny hacker, ale mne to čo som spatlal vyhovuje. Čo sa týka komentárov uznávam, ale stále si myslím, že ten skript je tak jednoduchý, že keď si ho pozrie odborník (čiže nie ten, ktorý ma pre mna v podstate jedinú informáciu a síce, že som polodebil), tak hned tuší, že o čo ide.
    19.12.2012 10:34 Ivan Vecera | skóre: 6
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Mozna trosku off-topic, ale proc radeji nepouzijes shorewall? Je to odladene, funkcni a relativne jednoduche na konfiguraci. Navic ma vybornou dokumentaci a HOWTOs.
    19.12.2012 11:13 Ján Petrík
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Súhlasím, ale ja to nechcem len používať, ale rád by som tomu aj rozumel.
    19.12.2012 15:33 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Na porozumění je poměrně dost dobré nastudovat, co vygeneruje grafické prostředí.
    19.12.2012 18:35 scott | skóre: 15
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Přesně tak, taky bych doporučil shorewall. Je o něm i poměrně hodně napsáno(články,dokumentace). Něco málo jsem o něm psal i na blogu
    21.12.2012 09:14 j
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    Ja bych ho zase vrele nedoporucil, protoze to "cosi" generuje... Osobne nepouzivam zadny scripty, ale pisu si FW primo (samo s komentama, co a proc tam je). Nemusim zkoumat, co se mi kde vygenerovalo, aniz sem to tak chtel ...
    20.12.2012 22:38 ondro
    Rozbalit Rozbalit vše Re: Prosba o kontrolu nastavenia firewallu
    DBohužiaľ používame "dvojitý NAT" (viem, že to nie je príliš kóšer, ale ten sprostý DSL router, čo máme nič iné ako NAT neovláda a šéf odmieta kúpiť nový), ktorý vyzerá asi takto:

    ve.rej.na.ip -> 10.0.0.138 -> 10.0.0.254 -> 192.168.1.254 (DSL WAN -> DSL LAN -> Server eth0 -> Server eth1)
    Ten DSL router nieje mozne nastavit do rezimu Bridge? Aj tie blbsie routre sa daju nastavit do daneho modu. Tym by si sa vyhol dvojnasobnemu NAT-u a celu komunikaciu by mal na starosti ten server a firewall.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.