Filtrovani provozu

Z KHnetWiki

(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(NAT)
(NAT)
Řádka 17: Řádka 17:
Překlady adres způsobují i jiné problémy (typicky s torrenty, FTP, obecně se všemi službami, co považují počítač za server). A může to být problém i v případě, kdy je na bráně vytvořen i opačný překlad adresy a počítač je v podstatě z internetu dostupný.
Překlady adres způsobují i jiné problémy (typicky s torrenty, FTP, obecně se všemi službami, co považují počítač za server). A může to být problém i v případě, kdy je na bráně vytvořen i opačný překlad adresy a počítač je v podstatě z internetu dostupný.
 +
 +
''Poznámka: veškeré možné problémy si většinou způsobují uživatelé i sami. Skoro každý má doma nějaký wi-fi router. A ten s adresami provádí naprosto to samé, co brána do Internetu v KHnetu.''
=Firewall=
=Firewall=

Verze z 11. 9. 2014, 16:40

rozepsáno

Preambule

Občanské sdružení KHnet.info není poskytovatelem Internetu. Je to jenom spolek lidí, jdoucí si za svým cílem - viz. Stanovy. Základní cíl je výstavba počítačové sítě mezi jednotlivými členy sdružení a teprve tuto síť jako celek je cílem připojit k Internetu. A hlavním důvodem tohoto cíle je vzájemná úspora nákladů, hromadný nákup konektivity a jiných technologických služeb a jejich používání všemi členy za náklady.

Obdobou sítě sdružení jsou rozlehlejší sítě ve firmách. Pospojované počítače a přes jeden (či několik) centrální prvek vše připojeno k Internetu. Je to sice zjednodušený popis, ale sedí.

Proto se nemůže připojení do sítě KHnet považovat za připojení do Internetu.

NAT

Aby bylo možno považovat počítač připojený k internetu, musel by mít přímo v sobě nastavenou tzv. veřejnou IP adresu a být tak i přímo a bez různých obezliček dostupný z celého světa, z každého koutu Internetu. Jednu takovou adresu může mít jen jeden jediný počítač na světě, musí být unikátní.

To ovšem u nás není. Síť jako taková funguje na tzv. privátních IP adresách, které nejsou z internetu dostupné. Právě proto, že jsou privátní, soukromé. Může je použít kdokoliv kdekoliv a nebylo by ani teoreticky možné rozhodnout, kam data z webových stránek poslat.

Tedy naše síť funguje jako jeden celý mrňavounký internet sám pro sebe. Aby bylo možno komunikovat i s okolním světem, musí na bráně do Internetu probíhat překlad adres. V každém kousku dat se vymění privátní adresa za veřejnou. Zkratka je NAT (resp. PAT). Až potud by to nemuselo ničemu vadit, lze to udělat tak, aby každá privátní adresa měla svůj vlastní protějšek ve veřejné. Jenže se naráží na technické limity - zjednodušeně řečeno, veřejných adres máme málo a ani není možno získat další. Na světě (resp. v Evropě, např. v Africe ještě lze) již žádné volné neexistují.

Takže to funguje tak, že všechny počítače jednoho člena sdružení sdílí jen jednu veřejnou IP. A klidně může být sdílená s více členy naráz. Proto se nedá považovat připojení do sítě KHnet za připojení k Internetu. Není technicky možné udělat to, aby byl každý počítač dostupný přímo z Internetu, to lze vždy jen pro jeden.

Překlady adres způsobují i jiné problémy (typicky s torrenty, FTP, obecně se všemi službami, co považují počítač za server). A může to být problém i v případě, kdy je na bráně vytvořen i opačný překlad adresy a počítač je v podstatě z internetu dostupný.

Poznámka: veškeré možné problémy si většinou způsobují uživatelé i sami. Skoro každý má doma nějaký wi-fi router. A ten s adresami provádí naprosto to samé, co brána do Internetu v KHnetu.

Firewall

Další důvod, proč nepovažovat síť KHnet za Internet. Ne úplně každý typ provozu naší sítí "projde". Z bezpečnostních důvodů jsou některé služby zakázány. Ať už na bráně, nebo na zařízení člena sdružení.

Není toho moc, nelíbí se nám to, ale museli jsme to zavést.

  • NetBios,RPC - porty 135-139 oběma směry. Ale je povolen (možná ne všude, ale to již není naschvál) port 445, takže sdílení souborů windows funguje.
  • DoS služby, aneb ty co mohou způsobit problémy někomu jinému. Porty 1900 (SSDP), 19 (CharGen) a 17 (Quote of the day).
  • SSH - z historických důvodů je zakázán přístup z Internetu. Lze na žádost odblokovat, ale lepší je si službu překonfigurovat na jiný port.
  • DNS - blokováno pouze na uživatelských zařízeních. Opět je nutno povolit, chce-li někdo u sebe provozovat legitimní DNS server (což ovšem stejně nedoporučujeme)
  • NTP - platí to, co o DNS.
  • SMTP - odesílání e-mailu. To sice zablokované není, ale je prováděno počítání pokusů o odeslání emailů a teprve při vyšších počtech je takový počítač zablokován.
Osobní nástroje