Veřejná IP přes ADSL, jak nastavit ?

[Aigor]

no to s tim ale nesouvisi, vzdyt blokovani obsahu muze na tom hlavnim fw fungovat i bez NATU vis?
jinak taky se Ti muze stat, ze do budoucna s tim nejake aplikace budou mit problem!

Kvuli blokovani obsahu to urcite nedelam, jen se branim reseni, kdy cast funkci prenesu na O2 krabicku a pozdeji to budu konfigurovat zase zpet. Mozna jsem paranoidni, ale preci jenom tu P660 beru jako prvni obrannou linii se zakladnim firewallem a pokud by ji nekdo napadl, je tam IMHO vetsi rizko nez na "velkem firewallu".
Blokovani obsahu je jenom bonbonek, to je nastaveno na obou prvcich, ale na venkovni krabicce mam par problemovych serveru, kde by nekteri zbytecne rvali ze jsou blokovane, takto je klid.

co bych take videl jako slabinu je, ze treba nemuzes potom na tom fw nastavit blokovani vnitrnich address protoze jednu z nich pouzivas coz znamena ze ten prechod je vice nachylny k utokum...

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

[sasha]

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

v pohode, zadny flame, vis co clovek uz ma zabehle nejake sve zvyklosti, ktere ale vychazeji z jineho prostredi....
to co jsem myslel je ochrana proti spoofingu, je to standardni konfigurace kdy na tvem routru do internetu (pripadne firewallu) nakonfigurujes pravidlo ktere zahodi jakekoliv pakety, ktere prichazeji z internetu a maji IP z privatnich rozsahu. pokud mas web server a je povoleny pristup z internetu = odkudkoliv tak na nej jednoduse mohu utocit pakety ktere maji zdrojovou adresu v tve interni siti a neprimo tak mohu utocit i na zarizeni, ktere sedi v rozsahu te zdrojove adresy.

jsem docela nevyspaly tak snad jsem to napsal srozumitelne

[Aigor]

Priznam se, ze mi to uplne jasne neni - mozna si sedim na vedeni.. Neni mi jasne, jak se dovnitr z internetu muzou dostat pakety se zdrojovou adresou z privatniho rozsahu (jako podvrzene?, netusim jak to jde..), nicmene na web server to neni, jen na https management konzolu serveru a ten po 5 neuspesnych pokusech zdrojovou adresu trvale zabanuje. Snad je tedy pro bezpecnost udelano dost.

[sasha]

zcela jednoduse, pokud pravidlo na fw nema striktne definovane zdrojove adresy je tam any - tzn ze kdokoliv muze poslat MEGA paketu, ktere budou mit cil tvoji verejnou adresu a port 443 a zdrojovou vnitrni sit na tom neni nic divneho... jedine co se stane, ze tvuj server bude posilat odpoved na tu zdrojovou adresu, ktera muze byt zcela nahodou ziva na tve vnitrni siti

zabezpecene? hmm prijde na to

[Jezevec]

Dovysvetlim:

Mejme router s verejnou IP a.b.c.d a privatni 192.168.1.1/24 a stanici s 192.168.1.2/24. Kdyz se mi povede na tvuj router zvenku poslat paket s cilovou IP 192.168.1.2, tak s nim router udela co ? No posle ho do vnitrni site, rozsah preci zna. A voiala, muzeme vesele komunikovat. Taktez pokud ti z vnitrni site budu adresovat neznamou privatni IP (rekneme 10.1.1.1), tak to router posle do internetu - na svoji default routu.

Proto bys mel mit na routeru neco takovyho:

-A FORWARD -o eth0 -j private (zevnitr ven)
-A private -d 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable
-A private -d 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable
-A private -d 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

-A FORWARD -i eth0 -j private2 (zvenku dovnitr)
-A private2 -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable
-A private2 -s 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable
-A private2 -s 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

Edit: Jop, predpokladam samo ze eth0 je rozhrani do netu, ktery ma tu verejnou IP.

[sasha]

rozsirim

Action Protocol Source Destination Port Description
Deny IP 10.0.0.0/8 Any Any RFC 1918 Private Network
Deny IP 192.168.0.0/16 Any Any RFC 1918 Private Network
Deny IP 172.16.0.0/12 Any Any RFC 1918 Private Network
Deny IP DMZ subnet Any Any DMZ network
Deny IP 127.0.0.0/8 Any Any Loopback Network
Deny IP 0.0.0.0/8 Any Any Historic Broadcast
Deny IP 224.0.0.0/4 Any Any Class D Multicast
Deny IP 240.0.0.0/5 Any Any Class E Multicast
Deny IP 248.0.0.0/5 Any Any Unallocated
Deny IP 255.255.255.255/32 Any Any Broadcast
Deny IP Any router ip Any Drop all traffic destined to the router
Deny TCP Any Any 135-139, 445 MS ports
Deny UDP Any Any 135-139, 445 MS ports
Deny TCP Any Any 23, 111, 512 -514, 2049, 6000-6063 Unix Ports
Deny UDP Any Any 111, 2049, 6000-6063 Unix Ports
Deny UDP Any Any 69, 161, 162, 514 SNMP, syslog, TFTP
Permit IP Any DMZ NET Any Allow access to DMZ
Permit IP Any NAT addresses Any Allow access to NAT address of DMZ FW
Deny IP Any Any Any Drop all other traffic

tohle je takova zakladni sablona pro prichozi interface na border routru, samozrejme co je potreba se pripadne povoli...

stejne tak existuje sablona pro vnitrni interface na routru...

koho to zajima vice viz www.sans.org

pripadne prakticky priklad z ktereho jsem si ten kousek vzal... http://www.sans.org/reading_room/whi...lyst_gcfw_1621

[HAVTOM]

Jen si dovolim k prvotnimu prolemu ...

Kdyz nastavis prvni router na Bridge, musis pres nej z druhyho stroje vytocit PPPoE spojeni se jmenem a heslem (O2/O2 , ale bere cokoliv). Jde to i z blbejch Woken. Takze presne tohle vytaceni PPPoE musis nastavit na WAN port druhyho routeru a musi to chodit.

Jinak nepsal jsi, ze mas pevnou verejnou IP, takze se muze obcas zmenit, ale to bejva opravdu jen obcas, kdyz se meni u O2 konfigurace DSLAMu a tak, rozhodne se nestane, ze po resetu modemu dostanes jinou, tak to nefunguje.

[Aigor]

koho to zajima vice viz www.sans.org

pripadne prakticky priklad z ktereho jsem si ten kousek vzal... http://www.sans.org/reading_room/whi...lyst_gcfw_1621

Dovolím si trochu OT - nějaký podobný zdroj v CZ, ať už server, nebo literatura k této problematice? Dost mě irituje, že v těchto věcech se moc neorientuju a moje angličtina není moc použitelná na studium