Veřejná IP přes ADSL, jak nastavit ?

[Jezevec]

Dovysvetlim:

Mejme router s verejnou IP a.b.c.d a privatni 192.168.1.1/24 a stanici s 192.168.1.2/24. Kdyz se mi povede na tvuj router zvenku poslat paket s cilovou IP 192.168.1.2, tak s nim router udela co ? No posle ho do vnitrni site, rozsah preci zna. A voiala, muzeme vesele komunikovat. Taktez pokud ti z vnitrni site budu adresovat neznamou privatni IP (rekneme 10.1.1.1), tak to router posle do internetu - na svoji default routu.

Proto bys mel mit na routeru neco takovyho:

-A FORWARD -o eth0 -j private (zevnitr ven)
-A private -d 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable
-A private -d 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable
-A private -d 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

-A FORWARD -i eth0 -j private2 (zvenku dovnitr)
-A private2 -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable
-A private2 -s 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable
-A private2 -s 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

Edit: Jop, predpokladam samo ze eth0 je rozhrani do netu, ktery ma tu verejnou IP.

[sasha]

rozsirim

Action Protocol Source Destination Port Description
Deny IP 10.0.0.0/8 Any Any RFC 1918 Private Network
Deny IP 192.168.0.0/16 Any Any RFC 1918 Private Network
Deny IP 172.16.0.0/12 Any Any RFC 1918 Private Network
Deny IP DMZ subnet Any Any DMZ network
Deny IP 127.0.0.0/8 Any Any Loopback Network
Deny IP 0.0.0.0/8 Any Any Historic Broadcast
Deny IP 224.0.0.0/4 Any Any Class D Multicast
Deny IP 240.0.0.0/5 Any Any Class E Multicast
Deny IP 248.0.0.0/5 Any Any Unallocated
Deny IP 255.255.255.255/32 Any Any Broadcast
Deny IP Any router ip Any Drop all traffic destined to the router
Deny TCP Any Any 135-139, 445 MS ports
Deny UDP Any Any 135-139, 445 MS ports
Deny TCP Any Any 23, 111, 512 -514, 2049, 6000-6063 Unix Ports
Deny UDP Any Any 111, 2049, 6000-6063 Unix Ports
Deny UDP Any Any 69, 161, 162, 514 SNMP, syslog, TFTP
Permit IP Any DMZ NET Any Allow access to DMZ
Permit IP Any NAT addresses Any Allow access to NAT address of DMZ FW
Deny IP Any Any Any Drop all other traffic

tohle je takova zakladni sablona pro prichozi interface na border routru, samozrejme co je potreba se pripadne povoli...

stejne tak existuje sablona pro vnitrni interface na routru...

koho to zajima vice viz www.sans.org

pripadne prakticky priklad z ktereho jsem si ten kousek vzal... http://www.sans.org/reading_room/whi...lyst_gcfw_1621

[HAVTOM]

Jen si dovolim k prvotnimu prolemu ...

Kdyz nastavis prvni router na Bridge, musis pres nej z druhyho stroje vytocit PPPoE spojeni se jmenem a heslem (O2/O2 , ale bere cokoliv). Jde to i z blbejch Woken. Takze presne tohle vytaceni PPPoE musis nastavit na WAN port druhyho routeru a musi to chodit.

Jinak nepsal jsi, ze mas pevnou verejnou IP, takze se muze obcas zmenit, ale to bejva opravdu jen obcas, kdyz se meni u O2 konfigurace DSLAMu a tak, rozhodne se nestane, ze po resetu modemu dostanes jinou, tak to nefunguje.

[Aigor]

OK, už je mi to jasnější, teď jen přijít na to, jak to nastavit na Zyxelu, ev. jak ověřit jestli to (ne)funguje.

Ohledně pevné adresy, měnit by se neměla - aspoň jim to tvrdili na O2 lince (což ještě nemusí nic znamena, že ano )

[sasha]

no jestli je potreba z internetu pristup na sluzbu ve vnitr tak by se opravdu menit nemela a nebo si nastavit aby jsi dostal sms nebo mail z routru potom co se zmeni.

[Jezevec]

Ale ne, staci mit neco jako dyndns ... tech sluzeb je hromada a kazdej rozumnej router nakou podporuje.

[Aigor]

koho to zajima vice viz www.sans.org

pripadne prakticky priklad z ktereho jsem si ten kousek vzal... http://www.sans.org/reading_room/whi...lyst_gcfw_1621

Dovolím si trochu OT - nějaký podobný zdroj v CZ, ať už server, nebo literatura k této problematice? Dost mě irituje, že v těchto věcech se moc neorientuju a moje angličtina není moc použitelná na studium

[sasha]

to se omlouvam, ale zadny cesky zdroj neznam, mozna pohledat na svetsiti.cz
heled na to ani moc anglictinu umet nemusis, naucis se par slovicek a je to

[sasha]

Ale ne, staci mit neco jako dyndns ... tech sluzeb je hromada a kazdej rozumnej router nakou podporuje.

na to jsem nepomyslel, ja tim sledoval ze administrator hned vi na jakou addressu se prihlasit, navic psat do ssh webovou addresu mi prislo trosku hmm vesely

[Aigor]

na to ani moc anglictinu umet nemusis, naucis se par slovicek a je to

Nejde o to, ze bych ji neumel vubec, odborny text si prelozim, ale tu vetu musim cist 5x a pak si to rict v cestine, abych se mohl soustredit na obsah. S mym casovym programem nez bych neco nastudoval, tak jsem spokojenej duchodce. Problem u nas dostupne prelozene literatury je zpravidla 3-5 let zpozdeni proti originalu, nevim jak moc je to akutni v oblasti sitove bezpecnosti.

[sasha]

nevim o zadnych knihach ktere by byly na urovni a prelozeny do cestiny, pokud jsou v cestine tak jsou to cesti autori.
vetsinou je literatura vazana na training a naslednou certifikaci a ty firmy si to hlidaji stejne tak lide kteri za to zaplatili balik

[Jezevec]

na to jsem nepomyslel, ja tim sledoval ze administrator hned vi na jakou addressu se prihlasit, navic psat do ssh webovou addresu mi prislo trosku hmm vesely

Neznam zanyho admina kterej by se logoval na IP, si vazne myslis ze si pamatuju 40 IPcek ? To by me z toho brzo mrsklo, specielne kdyz se cas od casu menej. A DNS s webem nema prakticky nic spolecnyho.

2Aigor: Mozna ti neudelam taky radost, ale pokud chces cokoli ohledne siti, tak EN je nutnost. V CZ najdes naprosty minimum zdroju.

[sasha]

tak samozrejme se nehlasim na ip (ikdyz dost jich mam uz v hlave ) ale pokud na te NAT ip frci web servise tak je docela vtipne se pri prekladani dozvedet zekrome ocguru.cz taky oc-rt01-guru.cz...
kdyz tak mi pisni pokud si nerozumime abychom to tu nespemovali.