LAN za linux firewallem

Dan Lukes dan at obluda.cz
Thu Sep 11 17:22:44 CEST 2003 

Zdeněk Sejček wrote:

> prosím o pomoc správce sítě. Jsem na LAN připojené k inetu pomocí
> linuxového serveru(RH 6.2). HTTP zajišťujě proxy, POP3 a SMTP funguje,
> telnet ven také, ale vše ostatní už je bez šance. Předpokládám, že je to
> na tom linuxu zakázané. Mám možnost se příští týden dohodnout se
> správcem na nastavení a chci vědět, co všechno můžu vymáčknout!
> 
> Jednoduše mě zajímá, co všechno za služby a protokoly mi může pomocí
> linuxového routeru fungovat. Jde konkrétně také o protokoly UDP, které
> potřebuju.

	Linux je plnohodnotny IP router, takze je schopny routovat kompletni 
rodinu IP protokolu - UDP, pochopitelne, nevyjimaje.

	Z rispevku jsem ale vyrozumel, ze tento stroj provadi take NAT, coz 
veci trochu komplikuje - nicmene, prinejmensim TCP a UDP Vam v odchozim 
smeru fungovat bude nebude-li to konfiguraci explicitne omezeno.

	Predpokladam, ze ona omezeni na routeru dosud implementovana maji 
bezpecnostni duvody - takze odvracenou minci jejich odstraneni bude to, 
ze vase vnitrni sit bude plne otevrena vnejsimu svetu, coz musite 
zohlednit pri spravne a zabezpeceni vnitrnich stanic.

	Nicmene - psal jste, ze se setkate se spravcem toho Linuxu - snad 
nejsem prilis naivni, kdyz vyslovim predpoklad, ze on je ten, kdo vecem 
roumi a tak s nim budete moci veci probrat a dohodnout se na 
nejrozumnejsim kompromisu mezi funkcnosti a zabezpecenim.

	Jste snad platicim klientem toho, kdo Vam toto pripojeni poskytuje a 
jako klient snad muzete doufat v kvalitni sluzzby odborneho personalu.

	Bez znalosti zcela konkretnich pomeru vasi site Vam nikdo takhle na 
dalku nedokaze rozumne nastaveni poradit.

> Dále specifická otázka. Ten server má vnější adresu 195.bla.bla.bla a já
> mám pouze vnitřní 192.168.1.205. Jde o to, jestli nelze nastavit server,
> aby mi routoval také vnější adresu, pokud si ji doumluvím s ISP, čímž by
> mi mělo fungovat vše.


	Asi tomu zcela nerozumim - vy mate LAN, pripojuje Vas ISP - a ten Linux 
je ci ?

	Jestli je vas, tak mate moznost tam nechat nastavit cokoliv co uznate a 
vhodne - tedy i ti, po cem se ptate. Jestli Vam Vas spravce nechce 
vyhovet, mate vzdy moznost vymenit ho (i kdyz si nemyslim, ze byste, 
jelikoz veci nerozumite, mel vystupovat z pozice sily). Jestli Vas 
spravce veci dostatecne nerozumi, pak je to v kazdem pripade dobry duv 
od ho vymenit - od ceho byste ho pak jinak mel ?

	Jestli ten Linux patri ISP, pak to nechte na nem - pokud se s nim 
domluvite na dalsi regulerni adrese, pak je to jeho prace, aby vam ji 
"dovnitr" dotlacil. Nesnazte se starat o detaily nastaveni nejakeho 
stroje po ceste, obzvlast kdyz to evidentne neni vase parketa - to neni 
vase starost jako klienta. Objednejte od ISP sluzbu a nechte si ji 
dodat. Pokud to nas ISP udelat nechce nebo neumi - zmente ISP.

						Dan

More information about the net mailing list