Author |
Message |
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 12.04.2012 - 22:00 #98114
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
paci sa mi ako si tu strielaju komplimenty jofo s najvyssim sefom alpi , ale nie o tom som chcel
som rad, ze aj mikrotikaci prisli na chut vlankam a nechcem verit vlastnym ociam, ze sa tu naozaj rozbehol "naucny" serial, ako nieco niekde nove nastavit a naucit sa
nenechajte sa rusit, a mudrujte , dobre sa to cita |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 12.04.2012 - 22:29 #98115
|
|
Majster
Joined: Feb 14, 2011
Posts: 2544
|
|
Misove riesenie siete s priradovanim verejnych IP je fajn riešenie. Už davno zmýšlam nad tým postaviť sa k tomu podobne..nakoľko je to aj do IPV6 krasne "prechodné" Ale mišo, tiez ip adresu dostane len tupý TP link router položeny na chladničke. Dnes keď máš doma 3-4 PC sa to ináč ani neda.
Stojim za tym, ze verejna IP nepatri klientom do PC, ani tým..čo si myslia, že to vedia. Dôvody snáď ani netreba menovať...Ale ak niekoho baví písať maily na správu blacklistov, aby vašu IP odblokovali tak prosím.
Správne tu niekto poznamenal že verejná IP patrí len do strojov na to určených, poskytujúcich výhradne nejaké služby. Nie klientom do PC. |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 12.04.2012 - 22:49 #98117
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
vsetko to prave ide tym smerom, 1ip - 1osoba(resp. osoba viac ip registrovanych na seba), cim vlastne sa umozni aj lepsia kontrola osob....(sopa, pipa...) |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 12.04.2012 - 23:20 #98118
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
kiwi, sranda musi byt... |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 12.04.2012 - 23:22 #98119
|
|
Majster
Joined: Okt 31, 2006
Posts: 2062
Location: TT
|
|
midnight_man wrote: ›Misove riesenie siete s priradovanim verejnych IP je fajn riešenie. Už davno zmýšlam nad tým postaviť sa k tomu podobne..nakoľko je to aj do IPV6 krasne "prechodné" Ale mišo, tiez ip adresu dostane len tupý TP link router položeny na chladničke. Dnes keď máš doma 3-4 PC sa to ináč ani neda.
Stojim za tym, ze verejna IP nepatri klientom do PC, ani tým..čo si myslia, že to vedia. Dôvody snáď ani netreba menovať...Ale ak niekoho baví písať maily na správu blacklistov, aby vašu IP odblokovali tak prosím.
Správne tu niekto poznamenal že verejná IP patrí len do strojov na to určených, poskytujúcich výhradne nejaké služby. Nie klientom do PC.
ale čo nepatrí ako to robia velký ISP ? dsl, wimax ... ?
tiež dávaju verejnu ip priamo klientovi a koľko krát priamo na PC bez nejakého routra ?
a čo budeš hovoriť potom pri IPv6 ked klientovi nejako či už pppoe alebo dhcp natlačíš do routra subnet /64 ktorý bude napriamo routovaný bez akéhokoľvek natu ? klient bude mať hovadsky moc verejných ip adries |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 00:20 #98164
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
ewew wrote: ›S správne nastavením firewallom na klientskom PC nie je problém. Len s čo s systémom, ktorý nemá správne nastavený firewall alebo neaktualizovaný systém ?
Iste si počul o probléme s RDP. Iná vec je, že samba tiež posiela broadcasty do Internetu.
chapem co hovoris. pri planovani migracia userov na verejne IP som vychadzal z toho ze bezny user je laik, a ked sa mu nepostaram o zakladnu ne/zranitelnost PC z internetu ja ako provider ale necham to alibisticky na neho, tak to dostanem naspat ako boomerang zasranim pocitacov klientskych pocitacov, nahlasovanim poruch, zahlcovanim liniek wormami, atd.
pretoze skutocne pri migracii beznych userov z neverejnych na verejne IP vystavime usera vacsiemu riziku utoku z internetu, vytvorime beznym frantom uzivatelom default firewall na nasej strane. masina ktora ich teraz NATuje, ich bude namiesto NATu firewallovat. pricom firewall je koncipovany tak ze bude zmenitelny alebo vypnutelny pre kazdeho usera osobitne. takze defaultne bude samba, RDP, atd zakazana (resp nielen tieto, ale vsetky spojenia z internetu na PC) ak dotycny nie je BFU a chce to pouzit, tak si to bude moct na vlastnu zodpovednost povolit.
ewew wrote: ›Môj názor je, že priama verejná IP je vhodná len pre dobre zabezpečený serve s verejnými službami.
to by som si ja tvrdit nedovolil, pretoze inymi slovami to znamena, ze vsetci internet provideri (okrem dsl zdielacov a wifickarov) nevedia co robia, ked davaju zakaznikom verejne IPky. |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 01:21 #98165
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
midnight_man wrote: ›Misove riesenie siete s priradovanim verejnych IP je fajn riešenie. Už davno zmýšlam nad tým postaviť sa k tomu podobne..nakoľko je to aj do IPV6 krasne "prechodné" Ale mišo, tiez ip adresu dostane len tupý TP link router položeny na chladničke. Dnes keď máš doma 3-4 PC sa to ináč ani neda.
pozor, ja som netvrdil (alebo ak nahodou ano tak som to tak nemyslel) ze verejna IP do kazdeho PC..... to ani nie. tvrdim ze verejna IP kazdemu klientovi (zakaznikovi, ucastnikovi). ak ma len jeden pocitac, tak mu ta IPka bude rovno v pocitaci. ak ma TPlink na chladnicke, tak ta verejna IPka bude dam. proste tvrdim ze to treba v tejto veci robit presne tak, ako sa to bezne robi u strednych a velkych operatorov.
midnight_man wrote: ›
Stojim za tym, ze verejna IP nepatri klientom do PC, ani tým..čo si myslia, že to vedia. Dôvody snáď ani netreba menovať...Ale ak niekoho baví písať maily na správu blacklistov, aby vašu IP odblokovali tak prosím.
pred blacklistami a spamlistami mame naskok, sme rychlejsi.... useri u nas maju ratelimit na odosielanie mailov cez SMTP, ak ho prekrocia (pocas nejakeho casoveho intervalu) tak sa im SMTP blokne. odblokne sa automaticky ked prestanu pribudat dalsie pokusy o odoslanie mailu.... clovek pocka, a za chvilu mail odosle.. no spambot bude busit dalej aj do firewallu a udrzi ho tak zavrety. ked sa ozve user ze nemoze odoslat postu, pozrieme ci nie je bloknuty a ak ano, je to jasne. staci najst v pocitaci pricinu a za chvilu je blokovanie prec a posta fici. tie limity su take, ze user ich normalnym pouzivanim nedosiahne, ale bordel to chyta uspesne. |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 10:20 #98167
|
|
Ucen
Joined: Júl 15, 2011
Posts: 769
|
|
tiez som toho nazoru ze verejna ip nepatri do kazdej masiny.... Ja aj ked naplno prepukne ipv6 aj tak nadalej budem pouzivat nat pre ochranu svojich pc a aj uzivatelov to im lahko pojde vysvetlit ze je to pre nich riziko a ti co teda silou mocou to budu chciet tak budis ale nech si pak znasaju nasledky... |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 13:09 #98170
|
|
Guru
Joined: Okt 23, 2005
Posts: 1031
Location: /etc/bin/ladin
|
|
pedro4444 wrote: ›tiez som toho nazoru ze verejna ip nepatri do kazdej masiny.... Ja aj ked naplno prepukne ipv6 aj tak nadalej budem pouzivat nat pre ochranu svojich pc a aj uzivatelov to im lahko pojde vysvetlit ze je to pre nich riziko a ti co teda silou mocou to budu chciet tak budis ale nech si pak znasaju nasledky...
A ako budes natovat ipv6?
IPv6 od zakladu pocitala s tym ze NAT tu je a nerobi dobrotu mnohym protokolom a preto bola navrhnuta tak ako je teda kazda domacnost /64 (18446744073709551616) verejnych IP. A uzivatelom to nevysvetlis jedine si narobis robotu sam sebe.
Routre ktore podporuju ipv6 si veselo cez link local pokecaju s najblizsim routrom a dhcp serverom cez link local nafasuje /64 prefix a naladuje ho rovno na svoje LAN rozhranie a routuje o zivot.Ziadne naty paty dnaty snat a ine aty zvrhlosti. |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 14:52 #98172
|
|
Majster
Joined: Feb 14, 2011
Posts: 2544
|
|
zelmar, teda pocita sa s tym ze klient dostane IPV6 do TP linku? alebo sa budu pridelovat IP kazdemu zariadeniu ktore ma zakaznik pripojene k sieti? Tym padom sa zas dostavame k rieseniu centralneho radiusu alebo teda PPPOE...ako to vidiš ty? |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 17:04 #98173
|
|
Ucen
Joined: Júl 15, 2011
Posts: 769
|
|
to mas pravdu klientov riesit nebudem to by som sii veru dal zbytocnu robotu nech si tu verejnu uziju ale pre ochranu seba,lebo ja som niekde cital ze aj ipv6 bude mat nejaky ten nat... ale zodraznujem len so mto cital rad sa encham poucit.. |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 18:48 #98177
|
|
Majster
Joined: Okt 31, 2006
Posts: 2062
Location: TT
|
|
zelmar wrote: ›
A ako budes natovat ipv6?
IPv6 od zakladu pocitala s tym ze NAT tu je a nerobi dobrotu mnohym protokolom a preto bola navrhnuta tak ako je teda kazda domacnost /64 (18446744073709551616) verejnych IP. A uzivatelom to nevysvetlis jedine si narobis robotu sam sebe.
Routre ktore podporuju ipv6 si veselo cez link local pokecaju s najblizsim routrom a dhcp serverom cez link local nafasuje /64 prefix a naladuje ho rovno na svoje LAN rozhranie a routuje o zivot.Ziadne naty paty dnaty snat a ine aty zvrhlosti.
Mno koncom minuleho roka vyšla sprava že linuxovy kernel by mal obsahovať NAT aj pre IPv6 , ale v akom je to štádiu neviem moc som to nesledoval . |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 18:56 #98178
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
Thomas wrote: ›Mno koncom minuleho roka vyšla sprava že linuxovy kernel by mal obsahovať NAT aj pre IPv6 , ale v akom je to štádiu neviem moc som to nesledoval .
NAT sa pouziva nielen na skrytie celej siete za jednu verejnu IP, ale aj (vo svojej prapodstate) na zmenu zdroja alebo ciela paketu... skratka leti mi cez router nejaky paket a chcem ho presmerovat niekde inde, lebo bager. transparentne proxy, a tak podobne. uplne zahodit NAT je blbost, ale pouzivat ho na kazdom routeri je tiez trochu blbost. extremy su skodlive |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 19:19 #98181
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
co som cital, tak NAT ma v ipv6 sluzit len na komunikaciu s ipv4, iny vyznam, resp. pouzitie v ipv6 ma nenapada.... |
|
|
|
|
|
|
Post subject: RE: AirOS 5.5 final je von....
Posted: 14.04.2012 - 22:42 #98185
|
|
Majster
Joined: Feb 14, 2011
Posts: 2544
|
|
IPV4 ako vsetci vieme je hodne stare....vtedy nik netušil ako to bude dnes. V tej dobe sa podla mna nepocitalo s tym ze bude tolko osobny PC na svete...myšlienka verejných IP adries pre klientov nebola vtedy "in". Tak tu bol NAT. Dnes sa doba mení, pri internete sa tlačí na nutnosť vedieť identifikovať zdroj packetu..prišlo IPV6 a vela problemov je vyriešenych.
Mna by zaujimalo kedy bude totalna nutnost prejst s IPV4 na 6?? NA kedy to vidite. |
|
|
|
|
|
|