LAN za linux firewallem

[Hynek Los]

Zdeněk Sejček wrote:
> Děkuji za obsýhlou odpověď.
> Jsem v podstatě student školy a za mé služby v oblasti IT nechci po
> škole nic víc, než abych měl ze svého PC plný přístup na iNET. Ostatní
> Pc ve škole jsou připojeny pouze pomocí proxyny + server routuje POP a
> SMTP, to je vše.
> Jde o nastavení serveru pro mě, pro jedinnou IP 192.168.1.205.
> Přístup z venčí nechci a nebo chci opravdu jen pro mé PC.
> Konkrétní problém: Jde mi o to, že potřebuju k práci program, který
> vyžaduje fungování protokolu UDP na portu 1400. Když ho chci použít,
> nevrací se odpověď. Dále potřebuju pro studium ping a traceroute atd. a
> ty mně také nejdou.
> 
> Potřebuji zjistit, jestli lze pro jedno PC v síťi zajistit taková
> privilegia a potřebuju alespoň pár hesel, kterých se můžu chytit při
> hledání podrobností na NETu(google...).
> 
> V routování atd. mám mezeru ve vzdělání, linux mi ale není cizí a
> nebojím se hledat odpověď, abych dosáhl svého.
> Ano, správce zřejmě ví, co dělá, ale když to budu vědět i já, nemusím
> mít strach, že dělá jen to, co chce.
> 
> Není nic špatného chtít po ISP maximum.
> 
> Zdeněk Sejček
> 
> P.S: Pokud existuje nějaká lit. o routování a NAT atd. v PDF/HTML na
> netu, rád bych, kdyby mi někdo něco doporučil, google vyhodí spoustu
> věcí, ale né podle kvality
> 
> *** -----Původní zpráva-----
> *** Od: owner-net at cs.felk.cvut.cz
> *** [mailto:owner-net at cs.felk.cvut.cz] za uživatele Dan Lukes
> *** Odesláno: 11. září 2003 17:23
> *** Komu: net at cs.felk.cvut.cz
> *** Předmět: Re: LAN za linux firewallem
> ***
> ***
> *** Zdeněk Sejček wrote:
> ***
> *** > prosím o pomoc správce sítě. Jsem na LAN připojené k inetu pomocí
> *** > linuxového serveru(RH 6.2). HTTP zajišťujě proxy, POP3 a
> *** SMTP funguje,
> *** > telnet ven také, ale vše ostatní už je bez šance.
> *** Předpokládám, že je
> *** > to na tom linuxu zakázané. Mám možnost se příští týden
> *** dohodnout se
> *** > správcem na nastavení a chci vědět, co všechno můžu vymáčknout!
> *** >
> *** > Jednoduše mě zajímá, co všechno za služby a protokoly mi
> *** může pomocí
> *** > linuxového routeru fungovat. Jde konkrétně také o
> *** protokoly UDP, které
> *** > potřebuju.
> ***
> *** 	Linux je plnohodnotny IP router, takze je schopny
> *** routovat kompletni
> *** rodinu IP protokolu - UDP, pochopitelne, nevyjimaje.
> ***
> *** 	Z rispevku jsem ale vyrozumel, ze tento stroj provadi
> *** take NAT, coz
> *** veci trochu komplikuje - nicmene, prinejmensim TCP a UDP
> *** Vam v odchozim
> *** smeru fungovat bude nebude-li to konfiguraci explicitne omezeno.
> ***
> *** 	Predpokladam, ze ona omezeni na routeru dosud
> *** implementovana maji
> *** bezpecnostni duvody - takze odvracenou minci jejich
> *** odstraneni bude to,
> *** ze vase vnitrni sit bude plne otevrena vnejsimu svetu, coz musite
> *** zohlednit pri spravne a zabezpeceni vnitrnich stanic.
> ***
> *** 	Nicmene - psal jste, ze se setkate se spravcem toho
> *** Linuxu - snad
> *** nejsem prilis naivni, kdyz vyslovim predpoklad, ze on je
> *** ten, kdo vecem
> *** roumi a tak s nim budete moci veci probrat a dohodnout se na
> *** nejrozumnejsim kompromisu mezi funkcnosti a zabezpecenim.
> ***
> *** 	Jste snad platicim klientem toho, kdo Vam toto
> *** pripojeni poskytuje a
> *** jako klient snad muzete doufat v kvalitni sluzzby odborneho
> *** personalu.
> ***
> *** 	Bez znalosti zcela konkretnich pomeru vasi site Vam
> *** nikdo takhle na
> *** dalku nedokaze rozumne nastaveni poradit.
> ***
> *** > Dále specifická otázka. Ten server má vnější adresu
> *** 195.bla.bla.bla a
> *** > já mám pouze vnitřní 192.168.1.205. Jde o to, jestli
> *** nelze nastavit
> *** > server, aby mi routoval také vnější adresu, pokud si ji
> *** doumluvím s
> *** > ISP, čímž by mi mělo fungovat vše.
> ***
> ***
> *** 	Asi tomu zcela nerozumim - vy mate LAN, pripojuje Vas
> *** ISP - a ten Linux
> *** je ci ?
> ***
> *** 	Jestli je vas, tak mate moznost tam nechat nastavit
> *** cokoliv co uznate a
> *** vhodne - tedy i ti, po cem se ptate. Jestli Vam Vas spravce nechce
> *** vyhovet, mate vzdy moznost vymenit ho (i kdyz si nemyslim,
> *** ze byste,
> *** jelikoz veci nerozumite, mel vystupovat z pozice sily). Jestli Vas
> *** spravce veci dostatecne nerozumi, pak je to v kazdem
> *** pripade dobry duv
> *** od ho vymenit - od ceho byste ho pak jinak mel ?
> ***
> *** 	Jestli ten Linux patri ISP, pak to nechte na nem -
> *** pokud se s nim
> *** domluvite na dalsi regulerni adrese, pak je to jeho prace,
> *** aby vam ji
> *** "dovnitr" dotlacil. Nesnazte se starat o detaily nastaveni nejakeho
> *** stroje po ceste, obzvlast kdyz to evidentne neni vase
> *** parketa - to neni
> *** vase starost jako klienta. Objednejte od ISP sluzbu a nechte si ji
> *** dodat. Pokud to nas ISP udelat nechce nebo neumi - zmente ISP.
> ***
> *** 						Dan
> ***
> ***
> 
Ahoj

takto jak popisujete by mela vypadat sit s firewallem - byt tim spravcem 
ja tak moc sanci nemate ,protoze vsechny tyto veci jsou riziko - a to 
nese dotycny spravce - vy ne. proto se firewaly nastavuji stylem - 
vsechno se zakaze a povoluje se nezbytne nutne  - pro studium je urcite 
mozne vytvorit podminky primo na lokalni siti