[batagy]

Idézet: Dr. Szöszi - Dátum: 2012. 02. 05. 14:42

Be. És?
A tűzfalszabályokat is átnézed, vagy csak a be/ki kapcsolóig foglalkozol vele?

Hú vazze, ennyire amatőrnek nézek ki?

Persze átnézem.
Linux szervereket adminisztrálok, na jó, azért nem vagyok űber-expert, de egy időben egy Juniper SSG-140 tűzfalat is konfigoltam, CLI-ből, nem GUI-val (mert az túl könnyű lenne).
Így már télleg hülyének érzem magam, hogy egyáltalán feltettem a kérdést...
De kösz a válaszokat!

Szerkesztette: batagy 2012. 02. 05. 16:01 -kor

[Warrior]

Idézet: batagy - Dátum: 2012. 02. 05. 13:32

... ismerem a router működését , azt is, hogy csak befele szűr ...

A szűrés talán nem is jó fogalom, mert tulajdonképpen nincs kimondott szűrés, hanem a belső IP-k elérhetetlenek, címezhetetlenek, mivel alapból nincs oda szabály, ergo dobódnak a routeren a csomagok. Tehát nincs szűrés valójában, hanem NAT-olás van, a router NAT-táblája szerint.
Viszont a kifelé menő csomagokra érkező válaszokat beengedi (a NAT tábla így működik, kifelé maszkol, befelé "forwardol") az azt küldő belső IP-re.

Voltaképpen én is rossz fogalmat írtam, mert fentebb a router működésére hivatkoztam, aztán ez csak a soho eszközökre igaz általában. Valójában a NAT-ról beszélgetünk, ami a soho routerek egyik funkciója. Amúgy a router valójában definíció szerint nem azonos a NAT-oló eszközzel. De nyilván otthoni router esetén úgyis a NAT-ra terelődik a kérdés.

[batagy]

Idézet: Warrior - Dátum: 2012. 02. 05. 17:19

A szűrés talán nem is jó fogalom, mert tulajdonképpen nincs kimondott szűrés, hanem a belső IP-k elérhetetlenek, címezhetetlenek, mivel alapból nincs oda szabály, ergo dobódnak a routeren a csomagok.

Mondjuk én is kevertem kicsit a fogalmakat .... mert én meg a szűrést úgy értettem, hogy a routerben van egy minimál beépített tűzfal. Úgy nevezi a TP-Link hogy "SPI Firewall". Mondjuk fogalmam sincs, ez mit szűr, mert szabályokat nem lehet megadni benne, csak ki vagy bekapcsolni. A Flood védelemre be lehet kapcsolni benne a "DoS Protection"-t, valamint ICMP, UDP és TCP-SYN flood szűrést. De szándékosan nem kapcsoltam be, mert a statisztika gyűjtést is be kell hozzá kapcsolni. A statisztika gyűjtésre meg az a félelmem van, hogy akkor gyakrabban ír a router belső FLASH-jére, és akkor hamarabb tönkremegy a gyakori írástól. Aztán lehet nincs igazam...., de a flood szűrést nem kapcsoltam be.

Na igen, a NAT-olás az amiről igazából beszéltünk.
Igazából most csak a torrent 1 db portja van befelé forwardolva. Majd még lehet SSH-t és egy HTTP portot is forwardolok, de azt csak meghatározott forrástartományból (cégből el tudjam érni).

[Warrior]

Idézet: batagy - Dátum: 2012. 02. 05. 17:39

Mondjuk én is kevertem kicsit a fogalmakat .... mert én meg a szűrést úgy értettem, hogy a routerben van egy minimál beépített tűzfal. Úgy nevezi a TP-Link hogy "SPI Firewall". Mondjuk fogalmam sincs, ez mit szűr, mert szabályokat nem lehet megadni benne, csak ki vagy bekapcsolni. A Flood védelemre be lehet kapcsolni benne a "DoS Protection"-t, valamint ICMP, UDP és TCP-SYN flood szűrést. De szándékosan nem kapcsoltam be, mert a statisztika gyűjtést is be kell hozzá kapcsolni. ...

Az SPI az a Stateful Packet Inspection.

SPI wiki

Idézet

A statisztika gyűjtésre meg az a félelmem van, hogy akkor gyakrabban ír a router belső FLASH-jére, és akkor hamarabb tönkremegy a gyakori írástól.

Ebben biztos vagy, vagy csak sejtés? Utána kéne nézni. Nagyon nem hinném, hogy (mivel ez amúgy üzemszerű állapot) olyan a konstrukció, hogy hamar tönkremenjen. Inkább RAM-ba kerülnek azok az adatok, s lehet, hogy csak időnként tolja ki flash-be, stb. De nem tudjuk!

Szerkesztette: Warrior 2012. 02. 05. 21:05 -kor

[batagy]

Idézet: Warrior - Dátum: 2012. 02. 05. 21:02

Ebben biztos vagy, vagy csak sejtés? Utána kéne nézni. Nagyon nem hinném, hogy (mivel ez amúgy üzemszerű állapot) olyan a konstrukció, hogy hamar tönkremenjen. Inkább RAM-ba kerülnek azok az adatok, s lehet, hogy csak időnként tolja ki flash-be, stb. De nem tudjuk!

Nem vagyok biztos! Csak sejtés. Ezt írtam is. Lehet hogy nem írja a flash-re.

[-STALKY-]

Sziasztok, nem tudom hogy jó helyen teszem-e fel a kérdésemet, de olyan problémám lenne, hogy Linux Mint 12 alatt szeretnék egy hálózati híd kapcsolatot létrehozni wlan és ethernet port között. Windows-ban ezt elég egyszerűen meg lehet oldani, viszont linuxnál nem láttam ilyen (grafikai) megoldást. Akár terminal parancs is jöhet, csak neten nem találtam használható oldalt, ami érhetően leírná számomra ennek a menetét. Cél az volna, hogy az ethernet porton keresztül az xbox-mat szeretném rákötni, így használni a live-ot. Router-től nem szeretnék 6m kábelt elhozni ezért. Windowsban működik, csak váltani szeretnék linux-ra.



Válaszokat előre is köszönöm

Üdv, -STALKY-



ui.: Amennyiben rossz helyre írtam elnézést kérek.

[xclusiv]

Idézet: -STALKY- - Dátum: 2012. 02. 12. 20:55

Cél az volna, hogy az ethernet porton keresztül az xbox-mat szeretném rákötni, így használni a live-ot. Router-től nem szeretnék 6m kábelt elhozni ezért. Windowsban működik, csak váltani szeretnék linux-ra.

Itt a "Ubuntu Internet Gateway Method (iptables)" alatti rész. Esetleg még upnp-hez is kell még valami cucc, dunno. DHCP nélkül, fix beállításokkal.
De ha rám hallgatsz, akkor inkább a 6m kábelt javaslom.

Idézet

ui.: Amennyiben rossz helyre írtam elnézést kérek.

Hja, itt nem sok linuxos okoskodás volt eddig

[-STALKY-]

Idézet: xclusiv - Dátum: 2012. 02. 13. 14:57

Itt a "Ubuntu Internet Gateway Method (iptables)" alatti rész. Esetleg még upnp-hez is kell még valami cucc, dunno. DHCP nélkül, fix beállításokkal.
De ha rám hallgatsz, akkor inkább a 6m kábelt javaslom.


Hja, itt nem sok linuxos okoskodás volt eddig

Mindenesetre köszönöm szépen a választ. Régen volt linux szekció itt a fórumon, ha jól emlékszem, most viszont nem találom sehol.

[xclusiv]

Idézet: -STALKY- - Dátum: 2012. 02. 14. 17:42

Mindenesetre köszönöm szépen a választ. Régen volt linux szekció itt a fórumon, ha jól emlékszem, most viszont nem találom sehol.

Operációs rendszerek alatt Más világ téma. De elég karcsú. Ha komoly kérdésed van akkor hup...

[hmouse]

Üdv.
Dlink dap-1353-as készüléke van.
Problémám a több ssid-nél keletkezik, mert a főn jelszó lenne, a másodikon pedig mac cím szerinti szűrés.
Mihelyst újra lesz indítva a másodiknál beállított mac szűrés lesz aktív mindkét ssid-ra. Hogyan lehetne ez megoldani.

Köszönöm.

[Predog]

Sziasztok!
Nem szeretnék új témát nyitni így itt teszem fel hülye kérdésemet:
Azt tervezem hogy egy 10 gépből és kb ugyanennyi vezetéknélküli ezközből álló hálózatot megrendszebályozzak azaz a hálózatban lévő vezetékkel összekötött asztali gépeken tiltva legyenek a közösségi oldalak és pl a gmail chat része de minden más elérhető legyen. Ez egyrészről nem is bajos merthogy a bejövő internet kapcsolatot egy Draytec Vigor 2910 router osztja el és a parental controll tiltaná is ezeket az oldalakat hibátlanul. DE én azt szeretném hogy a vezeték nélkül kapcsolódó pl okostelefonokon meg lehessen nyitni ezeket korlátozás nélkül. Több router is rendelkezésre áll (Dlink DIR-300, Vigor 2910)szükség esetére. Kérem irjon valaki építő jellegü megoldás javaslatot, milyen IP-t állítsak hova, mit hol tiltsak le. Az asztali gépek fix IP-vel dolgoznak x.x.x.1-200-ig. Fontos hogy megmaradjon a fájl és nyomtatómegosztás ugyanis 4 hálózati nyomtató is szerepel a repertoárban. Ha van ötlet az IP alapú tiltásra arra is vevő vagyok.

Köszönöm: P

[xclusiv]

Idézet: Predog - Dátum: 2012. 02. 28. 21:19

Azt tervezem hogy egy 10 gépből és kb ugyanennyi vezetéknélküli ezközből álló hálózatot megrendszebályozzak azaz a hálózatban lévő vezetékkel összekötött asztali gépeken tiltva legyenek a közösségi oldalak és pl a gmail chat része de minden más elérhető legyen.

Szerintem ezek a dobozok ehhez kevesek. Ha ezekkel akarsz operálni, akkor wan - router1 - router2 - lan megoldást csinálnék, a madzagosok kapnák router2-ről, amin wifi ki lenne kapcsolva és a kívánt oldalak tiltva lennének, míg a wifi-s cuccok mennének a router1-en keresztül, ahol nem lenne tiltás. Ez a legegyszerűbb, és ha eszköz is van rá akkor a dupla NAT nem kellene, hogy problémát okozzon.
Ha megoldható az eszközökön, hogy csak egy adott szegmensnek tilts, akkor az is járható út. Én egyébként a fix IP helyett egy szűkebb tartományba tenném a madzagos gépeket dhcp reservation-nel, hacsak nincs különösebb oka ennek a "szétszórtságnak"

[MisterY]

Idézet: Predog - Dátum: 2012. 02. 28. 21:19

Azt tervezem hogy egy 10 gépből és kb ugyanennyi vezetéknélküli ezközből álló hálózatot megrendszebályozzak azaz a hálózatban lévő vezetékkel összekötött asztali gépeken tiltva legyenek a közösségi oldalak és pl a gmail chat része de minden más elérhető legyen.
...
DE én azt szeretném hogy a vezeték nélkül kapcsolódó pl okostelefonokon meg lehessen nyitni ezeket korlátozás nélkül.

Ha nem te menedzseled é így nem tudod korlátozni a wifis gépeket és telefonokat is, akkor ez így nem fog menni, mert a userek szépen átteszik a gépeket is a telefonok hálózatára és ugyanúgy neteznek tovább.

[Fireblade]

Sziasztok,

szeretnék egy kis segítséget kérni switch vásárlásban. Lenne egy kb 20 gépből álló hálózat. A probléma az hogy, ha egyik gépről elkezdenek másolni valamit a szerverre, akkor az iszonyuan belassítja a hálózatot. A megoldás gondolom egy menedzselhető switch lenne, és QoS beállítsokkal leheten megoldani a sáv szélesség problémát, ha jól gondolom.
Milyen switch beszerzését javasolnátok?

Előre is köszönöm a segítséget!

[VKP]

Akármilyet. A probléma ennél sokkal bonyolultabb, valószínűleg nem(csak) a hálózat lassítja a történetet, hanem a server sem bírja.
Kellene tudni, hogy milyen server, milyen diskek, mekkora a lan, mit másolsz, mennyien másolnak egy időben, stb.

Mert most hiába mondom, hogy vegyél X márkát, ha nem oldja meg a bajod, akkor én leszek a kocsog....

[Jahno]

Idézet: VKP - Dátum: 2012. 03. 05. 15:37

Akármilyet. A probléma ennél sokkal bonyolultabb, valószínűleg nem(csak) a hálózat lassítja a történetet, hanem a server sem bírja.

Vagy félrenyomott aljzat, Realtek kártya, egyéb lófasz driver, ki tudja, láttunk mi már sok mindent, kérdés mennyi az I/O a szerveren, mekkora a forgalom 1-1 munkaállomás felé, valamint ugyanez sok kics ésvagy sok nagy filével?

[Doky586]

Idézet: Fireblade - Dátum: 2012. 03. 05. 16:24

Lenne egy kb 20 gépből álló hálózat. A probléma az hogy, ha egyik gépről elkezdenek másolni valamit a szerverre, akkor az iszonyuan belassítja a hálózatot.

Főleg az lassít ha csak HUB-ot használsz. switcheknél ennyi végpontal a topológia se mindegy (egy db vagy több switch), gigás? honnan hova másolva mi és hol lassul? meg szokták adni mekkora a belső sín max sebessége. ebből kiderül mit bír az adott eszköz.

[Jahno]

Idézet: Doky586 - Dátum: 2012. 03. 06. 01:05

Főleg az lassít ha csak HUB-ot használsz.

Bízom benne, hogy azok 10 éve kihaltak.

[Doky586]

Az is lassíthat ha a 20gép 4db szobában van szétszórva és egyszerű kábelezés okán 4db SW-et raktak. szobánként 1db 8-as SW szépen sorbafűzve. nyilván ez nem túl optimális sebesség szempontjából.
Árkategóriáról se volt szó. Még a lighosnak számító tplink is ad 25e és 50e ért is gigás 24portos SW-et, de egy komolyabb cisco-ért akár félmilkát is elkérnek. nyilván más a célközönség..

Szerkesztette: Doky586 2012. 03. 06. 01:42 -kor

[Warrior]

Idézet: Fireblade - Dátum: 2012. 03. 05. 15:24

... akkor az iszonyuan belassítja a hálózatot. ...

Ez konkrétan miben nyilvánul meg? Kénének számértékek ha lehet.