Stránka 432 z 748
Re: hospudka
Napsal: 15. 1. 2021, 4:34
od xener
skus to prosim napisat tak ako som chcel, kde bude portforwarding ? na routeri ? co bude v tomto pripade router routovat ? aky bude sled ip adries a zariadeni od mojej ip 22.33.44.55 po web sluzbu na 192.168.1.10 ?
Re: hospudka
Napsal: 15. 1. 2021, 4:38
od robokop
Na pislednim verejnem nodu udelas portforwarding treba do pomocne site ktera bude vpn tunelem az k cilovemu kompu kde vyleze ven
Ipsec tunel
Jako je mozna i stovka variant jakymi to lze proroutovat kam potrebujes
Napriklad ted mam v oblibe na lehke portforwardingy ssh tuneling portu
Re: hospudka
Napsal: 15. 1. 2021, 4:45
od xener
naco to takto komplikovat ? tunely, ipsec, znizovat si zbytocne datove priestory v MTU ? a to este v ramci mojej privatnej siete robit ipsec tunel medzi serverom a routerom ??
posledny verejny nod je v tomto pripade IP 85.59.222.50 ktory bude podla vasej doktriny na routeri, lebo ten musi byt prvy, ja si myslim ze router ti portforwarding nespravi, to robi firewall, takze ako dalej ? ako sa z posledneho verejneho nodu, ktory bude na routeri a akou adresou sa preroutuje na firewall aby sa mohol realizovat ten port forwarding ?
Re: hospudka
Napsal: 15. 1. 2021, 4:47
od robokop
Moc se v tom tvem popisu neorientuju jsem linej si to do podrobna cist a malovat si ty subnety abych si to predstavil
Nahazel jsem ti rafu reseni vetsina pujde vice ci mene pohodlne pouzit
Re: hospudka
Napsal: 15. 1. 2021, 4:51
od filla
xener píše: ↑15. 1. 2021, 4:31
prepac , doplnil som aj sluzbu na ktoru sa chcem dostat. asi nebudem chciet kazdemu mojmu zakaznikovi prikazovat aby si instaloval moju vpn.
pokud zakazniky poustis do sve site na ftp, tak se pouzije portforward, dns a zakaznik ti tam poleze z browseru
Re: hospudka
Napsal: 15. 1. 2021, 4:55
od robokop
S tim ftp bych to teda nakonec resil uplne jinak (treba nejaky verejny virtual na ktery by si periodicky sahal script, parsoval by data na nejake lumparny a teprve pak ulozil u me.
Nebo nejlepe uplne bez nej.
Re: hospudka
Napsal: 15. 1. 2021, 5:13
od xener
dobre , mohol by som ti napisat riesenie tych dvoch zadani, ale chcem ich od teba, pretoze moje riesenie je providerov router -> moj firewall -> moj router.
napisem ako je to z opacnej strany, nie z internetu do privatnej siete ale z mojej siete do internetu.
mam adresu 192.168.1.10 a chcem ist na web server na adrese 22.33.44.55. napisem do prehliadaca
https://22.33.44.55
moja lokalna routovacia tabulka zisti, ze 22.33.44.55 nie je v mojej LAN, takze posle paket na router. ten cez svoju routovaciu tabulku zisti ze 22.33.44.55 nie je na ziadnom jeho rozhrani,
takze paket zo 192.168.1.10 preposiela dalej na svoj default gw , co je v tomto pripade 85.59.222.1 na porte kde je 85.59.222.50. problem je, ze 85.59.222.1 vobec netusi ze kde je 192.168.1.10, co je iniciator paketu, takze by odpoved nemal kam poslat.
tu nastupuje firewall, ktory spravi NAT z 192.168.1.10 na 85.59.222.50. pri komunikacii z vnutornej siete do vonkajsej (internetu) to ide teda postupnostou routing( router) -> nat (firewall) a nie naopak.
ako to teda bude ked sa paket bude vracat z 22.33.44.55? routing (router) -> nat (firewall) , alebo nat(firewall) -> routing (router) ?
priklad ftp bol v ramci mojej privatnej podnikovej siete , kde su firemne data, ziadne lumparny, len ako priklad datovych tokov. moje dve pobocky predsa nemusia byt medzi sebou routovane, verim predsa svojej sieti, nie ? kludne by som mohol medzi nimi spravit ethernet bridge, ale kedze sa chcem vyhnut broadcastom medzi pobockami a setrit priepustnost linky tak volim radsej routing. len pre upresnenie.
Re: hospudka
Napsal: 15. 1. 2021, 5:21
od xener
robokop píše: ↑15. 1. 2021, 4:55
S tim ftp bych to teda nakonec resil uplne jinak (treba nejaky verejny virtual na ktery by si periodicky sahal script, parsoval by data na nejake lumparny a teprve pak ulozil u me.
Nebo nejlepe uplne bez nej.
privelmi veci komplikujes, na to aby som sa dostal z jedneho pocitaca centraly na pocitac pobocky predsa nebudem robit dalsi virtualny server a virtualne siete a este aj ipsec tunely , ci ? routujem si komunikaciu interne mimo internetu.
Re: hospudka
Napsal: 15. 1. 2021, 5:31
od pafik
robokop píše: ↑15. 1. 2021, 4:32
dostanu za kazde jedno reseni jednu nobelovku?
Nobelovku ne, xenerovku
Neřeš takovýhle věci bez nákresu, já si to třeba z toho popisu ani nedovedu představit.
Nšco jinýho je řešit síť u firmy, kde si akorát vyměňujou maily, občas pár souborů a prohlížej internet a něco jinýho je síť banky, která kromě toho, že musí být pořád online, tak musí být především bezpečná. Kdyby jí někdo hacknul, tak by v ní nejdřív člověk skončil jako ajťák a následně i celá internetová banka
Re: hospudka
Napsal: 15. 1. 2021, 5:37
od robokop
No je to z pohledu toho ze jsem taky delal pro banku
To je prostredi kde neveris ani vlastni siti.
Jinak jsou ruzny pravidla pro prerouting a postrouting tyhlre dve slovicka to velmi zprehledni
Packet jdouci natem ven modifikujes pote co se mu urci smer routovani
Vracejici se packet na pozadavek vyse musis modifikovat pred routingem protoze mu menis cilovou adresu tj. Aby router ve firewallu mohl urcit smer.
Takze vlastne ten firewall je sada pravidel nasazenych na konvencnim routeru nekdy pted nim nekdy za nim nekdy na forwardu a nekdy na jeho vlastnim interface
Re: hospudka
Napsal: 15. 1. 2021, 5:43
od xener
o tom sa to stale toci dokola odvtedy ako som napisal ze charon to ma spravne
teda odvtedy ako tu niekto , kto nema rad bacov napisal, ze ked to neni ako v banke tak to nemoze byt spravne
:D:D
Re: hospudka
Napsal: 15. 1. 2021, 5:45
od xener
pafik píše: ↑15. 1. 2021, 5:31
robokop píše: ↑15. 1. 2021, 4:32
dostanu za kazde jedno reseni jednu nobelovku?
Nobelovku ne, xenerovku
Neřeš takovýhle věci bez nákresu, já si to třeba z toho popisu ani nedovedu představit.
Nšco jinýho je řešit síť u firmy, kde si akorát vyměňujou maily, občas pár souborů a prohlížej internet a něco jinýho je síť banky, která kromě toho, že musí být pořád online, tak musí být především bezpečná. Kdyby jí někdo hacknul, tak by v ní nejdřív člověk skončil jako ajťák a následně i celá internetová banka
no mily moj, presne ako pises, siet musi byt predovsetkym bezpecna, a kedze bezpecnost nerobi router ale firewall, tak logicky dam dopredu firewall, az potom ked je to bezpecne tak budem routovat, teda aspon u bacov to tak funguje a v dalsich civilizovanych krajinach
Re: hospudka
Napsal: 15. 1. 2021, 5:52
od pafik
xener píše: ↑15. 1. 2021, 5:43
o tom sa to stale toci dokola odvtedy ako som napisal ze charon to ma spravne
teda odvtedy ako tu niekto , kto nema rad bacov napisal, ze ked to neni ako v banke tak to nemoze byt spravne
:D:D
Pokud to bereš tak, že když mu to aspoň nějak funguje, tak to má správně, tak máš pravdu.
Pokud se zamyslíš nad funkcí jenotlivých komponent sítě (FW má především firewalovat, router má především routovat), tak už to tak být nemusí. Když koupíš do malé sítě firewall do korporátních sítí, tak stihne určitě oboje. Ale z hlediska bezpečnosti nic moc.
Ale je zbytečné se tím nadále zabývat, za mě s tím končím. HOWG.
Re: hospudka
Napsal: 15. 1. 2021, 6:00
od xener
ja som pisal ze mu to funguje , nie ze funguje ako tak. nevsimol som si ze by sa charon na nieco stazoval ze mu nefunguje okrem dhcp na starom routery
nie si nahodou dislektik? ci len probleem citania s porozumenim?
Re: hospudka
Napsal: 15. 1. 2021, 6:19
od pafik
A nedělal ty jsi v sedmdesátých létech v Praze na ministerstvu slováka?