Filtrovani provozu

Z KHnetWiki

(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(Firewall)
(Firewall)
 
(Není zobrazena jedna mezilehlá verze.)
Řádka 41: Řádka 41:
** také viz [[Verze_Mikrotik]]
** také viz [[Verze_Mikrotik]]
** v důkladně odůvodněných případech lze udělit výjimku
** v důkladně odůvodněných případech lze udělit výjimku
 +
** platné i v 2021. Chybou v konfiguraci jsme to na pár dnů měli povolené a byl to naprostý děs a běs ...
** rada jak to obejít je shodná s SSH - buď lze změnit port služby (v ''/ip/services''), nebo použít DNAT a mít možnost používat porty dva (nebo i více, dle chuti)
** rada jak to obejít je shodná s SSH - buď lze změnit port služby (v ''/ip/services''), nebo použít DNAT a mít možnost používat porty dva (nebo i více, dle chuti)
  /ip firewall nat
  /ip firewall nat
  add action=redirect chain=dstnat dst-port=''NEJAKE_CISLO'' protocol=tcp to-ports=8291
  add action=redirect chain=dstnat dst-port=''NEJAKE_CISLO'' protocol=tcp to-ports=8291
 +
 +
* DNS, NTP, 10001, protokol udp.
 +
** na novějších routerech (cca od 2014) je aplikováno omezení těchto služeb. Je to konfigurováno na routeru nejblíže uživateli. Není to na všech, doplňuje se to postupně.
 +
** ve výchozím stavu je povolen jen provoz klienta (tedy člena spolku) směrem ven (do khnetu i internetu)
 +
** opačně, z internetu je provoz blokován. Jsou to dost zneužitelné služby. A obecně je nikdo běžně nepoužívá
 +
*** pokus o použití z internetu je zablokován a taková IP je kompletně blokována na jednu hodinu. Je považována za útočníka.
 +
** regulérní provoz je samozřejmě možno povolit. Ale na písemnou žádost. Kdo se nezeptá ...
=Cenzura=
=Cenzura=

Aktuální verze z 16. 5. 2021, 15:19

rozepsáno

Obsah

Preambule

Spolek KHnet.info není poskytovatelem Internetu. Je to jenom spolek lidí, jdoucí si za svým cílem - viz. Stanovy. Základní cíl je výstavba počítačové sítě mezi jednotlivými členy spolku a teprve tuto síť jako celek je cílem připojit k Internetu. A hlavním důvodem tohoto cíle je vzájemná úspora nákladů, hromadný nákup konektivity a jiných technologických služeb a jejich používání všemi členy za náklady.

Obdobou sítě spolku jsou rozlehlejší sítě ve firmách. Pospojované počítače a přes jeden (či několik) centrální prvek vše připojeno k Internetu. Je to sice zjednodušený popis, ale sedí.

Proto se nemůže připojení do sítě KHnet považovat za připojení do Internetu.

NAT

Aby bylo možno považovat počítač připojený k internetu, musel by mít přímo v sobě nastavenou tzv. veřejnou IP adresu a být tak i přímo a bez různých obezliček dostupný z celého světa, z každého koutu Internetu. Jednu takovou adresu může mít jen jeden jediný počítač na světě, musí být unikátní.

To ovšem u nás není. Síť jako taková funguje na tzv. privátních IP adresách, které nejsou z internetu dostupné. Právě proto, že jsou privátní, soukromé. Může je použít kdokoliv kdekoliv a nebylo by ani teoreticky možné rozhodnout, kam data z webových stránek poslat.

Tedy naše síť funguje jako jeden celý mrňavounký internet sám pro sebe. Aby bylo možno komunikovat i s okolním světem, musí na bráně do Internetu probíhat překlad adres. V každém kousku dat se vymění privátní adresa za veřejnou. Zkratka je NAT (resp. PAT). Až potud by to nemuselo ničemu vadit, lze to udělat tak, aby každá privátní adresa měla svůj vlastní protějšek ve veřejné. Jenže se naráží na technické limity - zjednodušeně řečeno, veřejných adres máme málo a ani není možno získat další. Na světě (resp. v Evropě, např. v Africe ještě lze) již žádné volné neexistují.

Takže to funguje tak, že všechny počítače jednoho člena spolku sdílí jen jednu veřejnou IP. A klidně může být sdílená s více členy naráz. Proto se nedá považovat připojení do sítě KHnet za připojení k Internetu. Není technicky možné udělat to, aby byl každý počítač dostupný přímo z Internetu, to lze vždy jen pro jeden.

Překlady adres způsobují i jiné problémy (typicky s torrenty, FTP, obecně se všemi službami, co považují počítač za server a ne jenom za klienta). A může to být problém i v případě, kdy je na bráně vytvořen i opačný překlad adresy a počítač je v podstatě z internetu dostupný.

Poznámka: veškeré možné problémy si většinou způsobují uživatelé i sami. Skoro každý má doma nějaký wi-fi router. A ten s adresami provádí naprosto to samé, co brána do Internetu v KHnetu.

Překlad adres se netýká provozu z a do sítí podporujících projekt CZFree.Net. Zaručené je to sice jen do takových sítí zároveň spolek do NFX a s podmínkou, že provoz jde po adresách začínajících na 10., ale je to tak.

Je to jeden z důvodů, proč má u nás větší smysl než jinde používání DNS místo čistých IP pro definování přístupu ke službám. Jelikož jmeno.khnet.info je přeloženo vždy správně na IP adresu - jsem-li uvnitř sítě KHnet.info, je to 10.106.x.y, a pokud jsem jinde, tak na správnou veřejnou IP. A provoz na takový počítač jde tou optimálnější trasou. Aneb proč z Uhlířských Janovic komunikovat s Onomyšlí přes Kutnou Horu, když to jde i napřímo.

Firewall

Další důvod, proč nepovažovat síť KHnet za Internet. Ne úplně každý typ provozu naší sítí "projde". Z bezpečnostních důvodů jsou některé služby zakázány. Ať už na bráně, nebo na zařízení člena spolku.

Není toho moc, nelíbí se nám to, ale museli jsme to zavést.

  • NetBios,RPC - porty 135-139 oběma směry. Ale je povolen (možná ne všude, ale to již není naschvál) port 445, takže sdílení souborů windows funguje.
  • DoS služby, aneb ty co mohou způsobit problémy někomu jinému. Porty 1900 (SSDP), 19 (CharGen), 17 (Quote of the day), 179 (BGP).
  • SSH - z historických důvodů je zakázán přístup z Internetu. Lze na žádost odblokovat, ale lepší je si službu překonfigurovat na jiný port.
  • DNS - je nutno povolit, chce-li někdo u sebe provozovat legitimní DNS server (což ovšem stejně nedoporučujeme)
  • NTP - platí to, co o DNS.
  • SMTP - odesílání e-mailu. To sice zablokované není, ale je prováděno počítání pokusů o odeslání emailů a teprve při vyšších počtech je takový počítač zablokován.
  • SMB/CIFS (port 445) je zablokován od 15.5.2017, doufejme dočasně. Jde o částečné řešení problému s ransomware WannaCry. Směrem ven do internetu lze povolit.
    • 7.6.2019 směrem ven povoleno, zůstává jen zákaz směrem dovnitř (z internetu).
  • Winbox (port TCP/8291) směrem z internetu od 1.4.2018. Snad jen dočasně, než odezní největší vlna "virů" na systémech Mikrotik ([1])
    • také viz Verze_Mikrotik
    • v důkladně odůvodněných případech lze udělit výjimku
    • platné i v 2021. Chybou v konfiguraci jsme to na pár dnů měli povolené a byl to naprostý děs a běs ...
    • rada jak to obejít je shodná s SSH - buď lze změnit port služby (v /ip/services), nebo použít DNAT a mít možnost používat porty dva (nebo i více, dle chuti)
/ip firewall nat
add action=redirect chain=dstnat dst-port=NEJAKE_CISLO protocol=tcp to-ports=8291
  • DNS, NTP, 10001, protokol udp.
    • na novějších routerech (cca od 2014) je aplikováno omezení těchto služeb. Je to konfigurováno na routeru nejblíže uživateli. Není to na všech, doplňuje se to postupně.
    • ve výchozím stavu je povolen jen provoz klienta (tedy člena spolku) směrem ven (do khnetu i internetu)
    • opačně, z internetu je provoz blokován. Jsou to dost zneužitelné služby. A obecně je nikdo běžně nepoužívá
      • pokus o použití z internetu je zablokován a taková IP je kompletně blokována na jednu hodinu. Je považována za útočníka.
    • regulérní provoz je samozřejmě možno povolit. Ale na písemnou žádost. Kdo se nezeptá ...

Cenzura

Bohužel současné právní prostředí již neumožňuje neomezený a necenzurovaný přístup k internetu. A to ani ve svobodomyslných spolcích, sdruženích nebo dokonce školách. Viz prichazicenzor.cz.

Popsáno na stránce DNS.

Osobní nástroje