Veřejná IP přes ADSL, jak nastavit ?

[sasha]

co myslis dvojitym NAT forwardem preci pokud zustala verejna adresa na prvnim boxu tak na tom firewalu staci static NAT ne?

[Aigor]

co myslis dvojitym NAT forwardem preci pokud zustala verejna adresa na prvnim boxu tak na tom firewalu staci static NAT ne?

Myslím tím, že na krabičce od O2 je první forward a na firewallu je druhej - už na server.

[monsoon]

Ten dvojity NAT je proste pro me nepochopitelna prasarna.
PPP user/heslo je o2/o2, ale tos tu jiz sam psal, takze me nenapada v cem by mohl byt jeste problem.

[Aigor]

Ten dvojity NAT je proste pro me nepochopitelna prasarna.
PPP user/heslo je o2/o2, ale tos tu jiz sam psal, takze me nenapada v cem by mohl byt jeste problem.

Uznávám, ale problém je v tom, že to co jsem psal prostě nefunguje

PS: Byť je to čuňárna, tak přiznávám, že toto řešení má jednu sympatickou featurku - když nastavuju blokování obsahu na hlavním firewallu, postiženému se objeví hláška, že stránka/obsah je blokovaný. Pokud to nastavím na O2 krabičce, všechno se chová jako by server měl výpadek, takže uživatelé tak nenadávají

[sasha]

no to s tim ale nesouvisi, vzdyt blokovani obsahu muze na tom hlavnim fw fungovat i bez NATU vis?
jinak taky se Ti muze stat, ze do budoucna s tim nejake aplikace budou mit problem!
co bych take videl jako slabinu je, ze treba nemuzes potom na tom fw nastavit blokovani vnitrnich address protoze jednu z nich pouzivas coz znamena ze ten prechod je vice nachylny k utokum... ale to uz je preci jenom detail.
jinak souhlas s monsoonem, kazdopadne dulezite je ze ti to funguje

[Aigor]

no to s tim ale nesouvisi, vzdyt blokovani obsahu muze na tom hlavnim fw fungovat i bez NATU vis?
jinak taky se Ti muze stat, ze do budoucna s tim nejake aplikace budou mit problem!

Kvuli blokovani obsahu to urcite nedelam, jen se branim reseni, kdy cast funkci prenesu na O2 krabicku a pozdeji to budu konfigurovat zase zpet. Mozna jsem paranoidni, ale preci jenom tu P660 beru jako prvni obrannou linii se zakladnim firewallem a pokud by ji nekdo napadl, je tam IMHO vetsi rizko nez na "velkem firewallu".
Blokovani obsahu je jenom bonbonek, to je nastaveno na obou prvcich, ale na venkovni krabicce mam par problemovych serveru, kde by nekteri zbytecne rvali ze jsou blokovane, takto je klid.

co bych take videl jako slabinu je, ze treba nemuzes potom na tom fw nastavit blokovani vnitrnich address protoze jednu z nich pouzivas coz znamena ze ten prechod je vice nachylny k utokum...

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

[sasha]

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

v pohode, zadny flame, vis co clovek uz ma zabehle nejake sve zvyklosti, ktere ale vychazeji z jineho prostredi....
to co jsem myslel je ochrana proti spoofingu, je to standardni konfigurace kdy na tvem routru do internetu (pripadne firewallu) nakonfigurujes pravidlo ktere zahodi jakekoliv pakety, ktere prichazeji z internetu a maji IP z privatnich rozsahu. pokud mas web server a je povoleny pristup z internetu = odkudkoliv tak na nej jednoduse mohu utocit pakety ktere maji zdrojovou adresu v tve interni siti a neprimo tak mohu utocit i na zarizeni, ktere sedi v rozsahu te zdrojove adresy.

jsem docela nevyspaly tak snad jsem to napsal srozumitelne

[Aigor]

Priznam se, ze mi to uplne jasne neni - mozna si sedim na vedeni.. Neni mi jasne, jak se dovnitr z internetu muzou dostat pakety se zdrojovou adresou z privatniho rozsahu (jako podvrzene?, netusim jak to jde..), nicmene na web server to neni, jen na https management konzolu serveru a ten po 5 neuspesnych pokusech zdrojovou adresu trvale zabanuje. Snad je tedy pro bezpecnost udelano dost.