Nebyl nalezen subjekt
Neděle Červen 13 18:57:35 CEST 2004
1000
from greta.stromc.cz (gw.stromc.cz [193.85.231.42])
by mrsk.klfree.net (Postfix) with SMTP id 8DA9F40043
for <kladno na klfree.net>; Mon, 6 Nov 2000 13:37:50 +0100 (CET)
Received: from stromc.cz ([192.168.1.8]) by greta.stromc.cz with Microsoft
SMTPSVC(5.0.2195.6713); Thu, 6 Nov 2003 13:37:51 +0100
Message-ID: <3FAA4096.5030008 na stromc.cz>
From: Jan Mracek <mracek na stromc.cz>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US;
rv:1.5) Gecko/20031007
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: Darth Moula <darth_moula na atlas.cz>
References:
<mailman.0.973498177.2638.kladno na klfree.net><3EeNjcEpDHA.2444 na redwarf><mailman.1.973505537.2638.kladno na klfree.net>
<$4GqWGFpDHA.2444 na redwarf> <011d01c3a45d$742b1480$0552a8c0 na colsys.cz>
In-Reply-To: <011d01c3a45d$742b1480$0552a8c0 na colsys.cz>
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-OriginalArrivalTime: 06 Nov 2003 12:37:51.0848 (UTC)
FILETIME=[CB255E80:01C3A462]
cc: kladno na klfree.net
Subject: Re: WiFi to small Ethernet
X-BeenThere: kladno na klfree.net
X-Mailman-Version: 2.1
Precedence: list
List-Id: =?iso-8859-2?q?kladensk=E1_s=ED=BB_obecn=EC?= <kladno.klfree.net>
List-Unsubscribe: <http://mrsk.klfree.net/mailman/listinfo/kladno>,
<mailto:kladno-request na klfree.net?subject=unsubscribe>
List-Archive: <http://mrsk.klfree.net/mailman/private/kladno>
List-Post: <mailto:kladno na klfree.net>
List-Help: <mailto:kladno-request na klfree.net?subject=help>
List-Subscribe: <http://mrsk.klfree.net/mailman/listinfo/kladno>,
<mailto:kladno-request na klfree.net?subject=subscribe>
Date: Mon, 06 Nov 2000 12:37:51 -0000
X-Original-Date: Thu, 06 Nov 2003 13:37:42 +0100
X-List-Received-Date: Mon, 06 Nov 2000 12:37:51 -0000
Darth Moula wrote:
>>NAT (preklad adres) je zakazan, pokud stim nesouhlasis nepripojuj se
>>Routuj a nasad si na branu/router firewall a nech prochazet jenom porty
>>ICMP[8] tim splnis dalsi z provoznich pravidel
>>nikdo se ti tam nedostane
>>....
>>dostanes novy rozssah adres
>>
>>
>dobrá, pochopil jsem, že všechny počítače musí mít vámi přidělenou
>IP adresu a musí odpovídat na PING.
>
>
>
ano
>>dej si na pudu pocitac.
>>
>>
>tolik jich zase nemám
>
>
>
nejake plečky máme :)
>>clovece, pokud mas takove obavy tak se nepripojuj, do teto diskuze si
>>vstoupil jako cestinar a taky jako srab :)
>>
>>
>a co bys chtěl po Moulovi? Nemám důvod mít sám před sebou v mé dvou
>až tří počítačové domácí síti nějak extra zabezpečené disky, takže je mám
>celé nasdílené bez hesla, protože mi to tak vyhovuje, ale po připojení
>na klfree by mě tenhle stav asi brzy zabil.
>
>
>
mno to se řeší tím firewallem, protože 1) sdílení probíhá pře určité
port třeba 135 , no a ty zakážeš a nikdo se ti na ty disky nedostane
>>>>6) - pokud si připlatím za veřejnou IP adresu, půjde to zařídit tak,
>>>>
>>>>
>aby
>
>
>>>>na ní byl vidět z venčí jeden z mých počítačů?
>>>>
>>>>
>>pokud budes prekladat tak asi ne
>>pokud routovat tak ano
>>ale jak vyplyva z radu, neni mozne abys natoval
>>
>>rekl bych to takhle, protirecis si, nejdriv rikas chci se tam skovat, ale
>>pak chces dostat verejnou ip na konkretni stroj za tou tvoji krabickou ?
>>
>>
>pak
>
>
>>rikas mam strach, skovam se, ale verejnou ip bys rad dal na stroj.
>>
>>routuju, otevru se pouze cca 500pc
>>mam verejnou ip , potencialnich utocniku : 4mliardy
>>tal neblbni, a premyslej :)
>>
>>
>vycházím z toho co znám: počítačová síť připojená k internetu,
>některé počítače router na internet pustí, jiné ne a jeden počítač
>má veřejnou IP, aby byl vidět z venku, zatím co ostatní vidět nejsou.
>Nevidím v tom protimluv. Ale to už neřešme.
>
>
ano , zde je ten zasadni problem, protoze ty se k internetu nepripojujes
ale pripojujes se do regionalni site pocitacu , ktere jsou pripojeny do
internetu vsechny spolecne
>
>
>>řády:
>>nat zakazan, povolenou routovani a pruchodnost ICMP8 ping musi byt splnena
>>(je to na webu)
>>zabezpeceni tvoji site: umistnit firewall na routr pred domaci siti , ci
>>nejakou tu krabici, ale abych se priznal neznam zatim zadn
1000
ou krabici co
>>
>>
>umi
>
>
>>routovat s firewallem, tedy vsechny umy uplne pitomej NAT a nat neni zase
>>
>>
>az
>
>
>>tak bezpecna vec jak sy myslis :))
>>
>>
>vždy a všude mě ubezpečovali, že NAT je naprosto jednoduchý a účinný
>způsob jak oddělit LAN od WAN, a ve spojení s firewallem i bezpečný.
>Jestli to tak není, tak holt není., ale nevěřím, že je bezbečnější, aby byl
>každý
>můj počítač v rámci sítě klfree viditelný. Počítač s XPčkama si umím
>zabezpečit
>firewallem (ač známe bezpečnostní díry ála Microsoft), počítač
>s W98 už ale ne, a do firemního notebooku bych "vrtat" neměl.
>A taky si nemyslím, že jsem jediný, kdo si nosí práci domů a tudíž mu
>není jedno, jestli se mu ve firemních datech nevrtá někco cizí.
>
>
>
ten preklad je zakazan z technickych duvodu, ale neni problem routovat a
nechat projit pouze to ICMP.
tim sem vyresil i druhou cast tveho odstavce
>>>>7) - pokud neseženu WL-1100, půjde použít WL-5420?
>>>> Co jsem videl tak hlavni rozdil byl v podpore 54 Mb takze proc
>>>>
>>>>
>ne.
>
>
>>>no on je tam rozdíl i v dalších funkcích, WL-5420 umí běžet v režimu
>>>client, což je to, co by se mi líbilo, WL-1100 běžet jako klient neumí
>>>(resp. po update firmware to prý umí taky)
>>>
>>>
>>si to klidne kup, ale na 802.11g (tvych 54Mb) to stejne nepojede, AP jedou
>>
>>
>v
>
>
>>rezimech 802.11b (tedy 11Mb)
>>g ma maly dosah a veme hodne kanalu nez 11b
>>
>>
>já na 802.11g nijak nelpím, ale problém je, že jinou "krabičku" než s 54Mb
>už asi neseženu. Stačila by mi pochopitelně s jedním ethernet portem, ale
>když k nebude sehnání, tak nebude a budu se muset spokojit s tím co je.
>
>s pozdravem DM
>
>
>
jo mne je to jedno, ale neni to otestovano a nikdo ti nezaruci jestli to
funguje. mohl bys narazit , je to risk.
ty dva eth mne spise pripadaly jako zajimavost, nevim co tim autor toho
zarizeni myslel :)
nemnel sem jeste cas procist datasheet.
stim sdilenim to chapu, myslim to bez hesel. Doufam ze se nepripojujes k
internetu modemem !! :) aby te nekdo nevysal :)
jak odstranit port 135 v iptables na tvym routeru
iptables -A FORWARD -p ICMP -j ACCEPT
iptables -A FORWARD -p TCP --dport 135 -j REJECT reject-with
icmp-net-prohibited
je to jenom orientacne, ale defakto sem na prvni racce rekl ze icmp muzu
forwardit
a na druhy sem zakazal jakykoliv pokus pres port 135 do my site
mam to tak podobne osefovany.
ma to vyhodu, chci si zahrat counterstrike a nemusim resit to jak se
pripojim na server kdyz sem za prekladem
muzu vesele sipovat s klukama (windows messanger) a neresim nat
dostanu verenjnou ip v pohode
muzu si zavolat odkukoliv ze site i zvenku domu na pecko ci tel
jestli nejak trvas na tom natu, tak ja si tady o tom promluvim v rade, a
mohly by sme to projednat, treba ze by jsme za nejakych podminek udelaly
vyjimku. Ale znas to , vyjimka vytvari pravidlo.
Jenik
Další informace o konferenci Kladno