hospudka
Moderátor: sysel
-
robokop
- Site Admin
- Příspěvky: 22924
- Registrován: 10. 7. 2006, 12:12
- Bydliště: Praha
- Kontaktovat uživatele:
Na pislednim verejnem nodu udelas portforwarding treba do pomocne site ktera bude vpn tunelem az k cilovemu kompu kde vyleze ven
Ipsec tunel
Jako je mozna i stovka variant jakymi to lze proroutovat kam potrebujes
Napriklad ted mam v oblibe na lehke portforwardingy ssh tuneling portu
Ipsec tunel
Jako je mozna i stovka variant jakymi to lze proroutovat kam potrebujes
Napriklad ted mam v oblibe na lehke portforwardingy ssh tuneling portu
Vsechna prava na chyby vyhrazena (E)
naco to takto komplikovat ? tunely, ipsec, znizovat si zbytocne datove priestory v MTU ? a to este v ramci mojej privatnej siete robit ipsec tunel medzi serverom a routerom ??
posledny verejny nod je v tomto pripade IP 85.59.222.50 ktory bude podla vasej doktriny na routeri, lebo ten musi byt prvy, ja si myslim ze router ti portforwarding nespravi, to robi firewall, takze ako dalej ? ako sa z posledneho verejneho nodu, ktory bude na routeri a akou adresou sa preroutuje na firewall aby sa mohol realizovat ten port forwarding ?
posledny verejny nod je v tomto pripade IP 85.59.222.50 ktory bude podla vasej doktriny na routeri, lebo ten musi byt prvy, ja si myslim ze router ti portforwarding nespravi, to robi firewall, takze ako dalej ? ako sa z posledneho verejneho nodu, ktory bude na routeri a akou adresou sa preroutuje na firewall aby sa mohol realizovat ten port forwarding ?
-
robokop
- Site Admin
- Příspěvky: 22924
- Registrován: 10. 7. 2006, 12:12
- Bydliště: Praha
- Kontaktovat uživatele:
Moc se v tom tvem popisu neorientuju jsem linej si to do podrobna cist a malovat si ty subnety abych si to predstavil
Nahazel jsem ti rafu reseni vetsina pujde vice ci mene pohodlne pouzit
Nahazel jsem ti rafu reseni vetsina pujde vice ci mene pohodlne pouzit
Vsechna prava na chyby vyhrazena (E)
pokud zakazniky poustis do sve site na ftp, tak se pouzije portforward, dns a zakaznik ti tam poleze z browseru
"do řiti se řítíme, ani o tom nevíme.."
-
robokop
- Site Admin
- Příspěvky: 22924
- Registrován: 10. 7. 2006, 12:12
- Bydliště: Praha
- Kontaktovat uživatele:
S tim ftp bych to teda nakonec resil uplne jinak (treba nejaky verejny virtual na ktery by si periodicky sahal script, parsoval by data na nejake lumparny a teprve pak ulozil u me.
Nebo nejlepe uplne bez nej.
Nebo nejlepe uplne bez nej.
Vsechna prava na chyby vyhrazena (E)
dobre , mohol by som ti napisat riesenie tych dvoch zadani, ale chcem ich od teba, pretoze moje riesenie je providerov router -> moj firewall -> moj router.
napisem ako je to z opacnej strany, nie z internetu do privatnej siete ale z mojej siete do internetu.
mam adresu 192.168.1.10 a chcem ist na web server na adrese 22.33.44.55. napisem do prehliadaca https://22.33.44.55
moja lokalna routovacia tabulka zisti, ze 22.33.44.55 nie je v mojej LAN, takze posle paket na router. ten cez svoju routovaciu tabulku zisti ze 22.33.44.55 nie je na ziadnom jeho rozhrani,
takze paket zo 192.168.1.10 preposiela dalej na svoj default gw , co je v tomto pripade 85.59.222.1 na porte kde je 85.59.222.50. problem je, ze 85.59.222.1 vobec netusi ze kde je 192.168.1.10, co je iniciator paketu, takze by odpoved nemal kam poslat.
tu nastupuje firewall, ktory spravi NAT z 192.168.1.10 na 85.59.222.50. pri komunikacii z vnutornej siete do vonkajsej (internetu) to ide teda postupnostou routing( router) -> nat (firewall) a nie naopak.
ako to teda bude ked sa paket bude vracat z 22.33.44.55? routing (router) -> nat (firewall) , alebo nat(firewall) -> routing (router) ?
priklad ftp bol v ramci mojej privatnej podnikovej siete , kde su firemne data, ziadne lumparny, len ako priklad datovych tokov. moje dve pobocky predsa nemusia byt medzi sebou routovane, verim predsa svojej sieti, nie ? kludne by som mohol medzi nimi spravit ethernet bridge, ale kedze sa chcem vyhnut broadcastom medzi pobockami a setrit priepustnost linky tak volim radsej routing. len pre upresnenie.
napisem ako je to z opacnej strany, nie z internetu do privatnej siete ale z mojej siete do internetu.
mam adresu 192.168.1.10 a chcem ist na web server na adrese 22.33.44.55. napisem do prehliadaca https://22.33.44.55
moja lokalna routovacia tabulka zisti, ze 22.33.44.55 nie je v mojej LAN, takze posle paket na router. ten cez svoju routovaciu tabulku zisti ze 22.33.44.55 nie je na ziadnom jeho rozhrani,
takze paket zo 192.168.1.10 preposiela dalej na svoj default gw , co je v tomto pripade 85.59.222.1 na porte kde je 85.59.222.50. problem je, ze 85.59.222.1 vobec netusi ze kde je 192.168.1.10, co je iniciator paketu, takze by odpoved nemal kam poslat.
tu nastupuje firewall, ktory spravi NAT z 192.168.1.10 na 85.59.222.50. pri komunikacii z vnutornej siete do vonkajsej (internetu) to ide teda postupnostou routing( router) -> nat (firewall) a nie naopak.
ako to teda bude ked sa paket bude vracat z 22.33.44.55? routing (router) -> nat (firewall) , alebo nat(firewall) -> routing (router) ?
priklad ftp bol v ramci mojej privatnej podnikovej siete , kde su firemne data, ziadne lumparny, len ako priklad datovych tokov. moje dve pobocky predsa nemusia byt medzi sebou routovane, verim predsa svojej sieti, nie ? kludne by som mohol medzi nimi spravit ethernet bridge, ale kedze sa chcem vyhnut broadcastom medzi pobockami a setrit priepustnost linky tak volim radsej routing. len pre upresnenie.
privelmi veci komplikujes, na to aby som sa dostal z jedneho pocitaca centraly na pocitac pobocky predsa nebudem robit dalsi virtualny server a virtualne siete a este aj ipsec tunely , ci ? routujem si komunikaciu interne mimo internetu.
Nobelovku ne, xenerovku
Neřeš takovýhle věci bez nákresu, já si to třeba z toho popisu ani nedovedu představit.
Nšco jinýho je řešit síť u firmy, kde si akorát vyměňujou maily, občas pár souborů a prohlížej internet a něco jinýho je síť banky, která kromě toho, že musí být pořád online, tak musí být především bezpečná. Kdyby jí někdo hacknul, tak by v ní nejdřív člověk skončil jako ajťák a následně i celá internetová banka
-
robokop
- Site Admin
- Příspěvky: 22924
- Registrován: 10. 7. 2006, 12:12
- Bydliště: Praha
- Kontaktovat uživatele:
No je to z pohledu toho ze jsem taky delal pro banku
To je prostredi kde neveris ani vlastni siti.
Jinak jsou ruzny pravidla pro prerouting a postrouting tyhlre dve slovicka to velmi zprehledni
Packet jdouci natem ven modifikujes pote co se mu urci smer routovani
Vracejici se packet na pozadavek vyse musis modifikovat pred routingem protoze mu menis cilovou adresu tj. Aby router ve firewallu mohl urcit smer.
Takze vlastne ten firewall je sada pravidel nasazenych na konvencnim routeru nekdy pted nim nekdy za nim nekdy na forwardu a nekdy na jeho vlastnim interface
To je prostredi kde neveris ani vlastni siti.
Jinak jsou ruzny pravidla pro prerouting a postrouting tyhlre dve slovicka to velmi zprehledni
Packet jdouci natem ven modifikujes pote co se mu urci smer routovani
Vracejici se packet na pozadavek vyse musis modifikovat pred routingem protoze mu menis cilovou adresu tj. Aby router ve firewallu mohl urcit smer.
Takze vlastne ten firewall je sada pravidel nasazenych na konvencnim routeru nekdy pted nim nekdy za nim nekdy na forwardu a nekdy na jeho vlastnim interface
Vsechna prava na chyby vyhrazena (E)
no mily moj, presne ako pises, siet musi byt predovsetkym bezpecna, a kedze bezpecnost nerobi router ale firewall, tak logicky dam dopredu firewall, az potom ked je to bezpecne tak budem routovat, teda aspon u bacov to tak funguje a v dalsich civilizovanych krajinachpafik píše: ↑15. 1. 2021, 5:31Nobelovku ne, xenerovku
Neřeš takovýhle věci bez nákresu, já si to třeba z toho popisu ani nedovedu představit.
Nšco jinýho je řešit síť u firmy, kde si akorát vyměňujou maily, občas pár souborů a prohlížej internet a něco jinýho je síť banky, která kromě toho, že musí být pořád online, tak musí být především bezpečná. Kdyby jí někdo hacknul, tak by v ní nejdřív člověk skončil jako ajťák a následně i celá internetová banka
Pokud to bereš tak, že když mu to aspoň nějak funguje, tak to má správně, tak máš pravdu.
Pokud se zamyslíš nad funkcí jenotlivých komponent sítě (FW má především firewalovat, router má především routovat), tak už to tak být nemusí. Když koupíš do malé sítě firewall do korporátních sítí, tak stihne určitě oboje. Ale z hlediska bezpečnosti nic moc.
Ale je zbytečné se tím nadále zabývat, za mě s tím končím. HOWG.
nie si nahodou dislektik? ci len probleem citania s porozumenim?