❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Jakým způsobem řešíte povolení lidí směrem na Internet.
Jakým způsobem řešíte povolení lidí směrem na Internet.
Ano je to blbá otázka a je na ni jednoduchá odpoved a to, ze pomoci firewallu. Jeden ze zpusobu je napr. vypsat vsechny povolene IP a pod tyto radky dat drop pravidlo pro vsechny ostatni, vcetne logovani, aby mel clovek prehled, kdo se snazi dostat na Internet, popr. do site. Tohle je sice vsechno pekne, ale jiste uznate ze kdyz je takovych lidi hodne, spatne se to vypisuje a taky je firewal dost pak neprehledny. Jak to tedy resite Vy, tak aby tam byli jen ti co tam maji delat. Diky.
0 x
-
StoupaLutin
- Příspěvky: 211
- Registrován: 20 years ago
- Bydliště: Lutín
- Kontaktovat uživatele:
Ve firewallu mám vytvořeno několik chains, kde v jedné např. i ověřuju MAC adresy proti IP adresám, jinde filtruju jen DMZ, jinde zase něco jiného, apod. Neshodné kombinace IP/MAC jsou zahozeny...
A je to přehledné podle mě dost...
A je to přehledné podle mě dost...
0 x
Overovanie IP/mac je dobra vec ale kedze pouzivame aj DHCP nepouzitelna 
takze prihlasovanie robime cez mac a od klienta sa nepozaduje prihlasenie pri pripojeni do internetu a v hotspote v hosts je pekne videt kto je pripojeny a kto aktivny (ma nahodenu mac a IP adresu, pri DHCP bez IP) pred kazdym pripojenym mate "A" , kto ho tam nema nie je v zozname uzivatelov, a je presmerovany na stranku s info, kde sa moze informovat na pripojenie a pod. Ked nahodite aj binding s pokecom ku kazdemu nad kazdym pripojenim uvidite aj meno alebo co si tam nahodite. Kedze hotspot prideluje kazdemu pripojenemu svoju IP adresu mozte v users v profile nahodit viac profilov a kazdemu profilu nastavit dhcp a rozsah IP v IP-POOLs a aplikovat pravidla firevalu na tento rozsah IP. napriklad mame nastavene na sietovke LOCAL IP adresy 192.168.1.254, 192.168.2.254, 192.168.3.254 atd takze cez jednu sietovku bezi viac podsieti a nie je problem s obmedzenim IP adries, teda kym sa nezapcha potrubie 
ale zatial to bezi v pohode, skoda ze sme to nezistili skorej, kym sa zaplo DHCP 
. Ja si myslim ze sa to da urobit viac sposobmi a kazdy by si to mal nastavit podla toho ako mu to najlepsie vyhovuje, hlavne aby to fungovalo, a spolahlivo.
Este k hotspotu, ked sa vam ukazu pod sebou rovnake mac adresy s roznymi IP tak to ukazuje aj dalsiu lan(podsiet) na pripojenom uzivatelovi, ale aj to sa da nastavit v profile kolko shared z daneho pripojenia povolite (za mikrotikom s o zapnutym masquarade mozte mat aj 100pc a bude ukazovat iba jednu mac
) AP so zapnutym WDS alebo
vypnutym mac clone sice neukazuje zdrojovu mac ale klonuje svoju pre kazdeho pripojeneho (skusenost z Planetom a firmware kde to zmenili ked nam nabehlo niekolko rovnakych mac s inymi IP adresami ) Nak som sa rozpisal tak neham priestor aj dalsim, ak som nieco napisal zavadzajuco tak sry, s MT robim len par mesiacov, tak nech vam funguje spolahlivo 
takze prihlasovanie robime cez mac a od klienta sa nepozaduje prihlasenie pri pripojeni do internetu a v hotspote v hosts je pekne videt kto je pripojeny a kto aktivny (ma nahodenu mac a IP adresu, pri DHCP bez IP) pred kazdym pripojenym mate "A" , kto ho tam nema nie je v zozname uzivatelov, a je presmerovany na stranku s info, kde sa moze informovat na pripojenie a pod. Ked nahodite aj binding s pokecom ku kazdemu nad kazdym pripojenim uvidite aj meno alebo co si tam nahodite. Kedze hotspot prideluje kazdemu pripojenemu svoju IP adresu mozte v users v profile nahodit viac profilov a kazdemu profilu nastavit dhcp a rozsah IP v IP-POOLs a aplikovat pravidla firevalu na tento rozsah IP. napriklad mame nastavene na sietovke LOCAL IP adresy 192.168.1.254, 192.168.2.254, 192.168.3.254 atd takze cez jednu sietovku bezi viac podsieti a nie je problem s obmedzenim IP adries, teda kym sa nezapcha potrubie ale zatial to bezi v pohode, skoda ze sme to nezistili skorej, kym sa zaplo DHCP . Ja si myslim ze sa to da urobit viac sposobmi a kazdy by si to mal nastavit podla toho ako mu to najlepsie vyhovuje, hlavne aby to fungovalo, a spolahlivo.Este k hotspotu, ked sa vam ukazu pod sebou rovnake mac adresy s roznymi IP tak to ukazuje aj dalsiu lan(podsiet) na pripojenom uzivatelovi, ale aj to sa da nastavit v profile kolko shared z daneho pripojenia povolite (za mikrotikom s o zapnutym masquarade mozte mat aj 100pc a bude ukazovat iba jednu mac
) AP so zapnutym WDS alebovypnutym mac clone sice neukazuje zdrojovu mac ale klonuje svoju pre kazdeho pripojeneho (skusenost z Planetom a firmware kde to zmenili ked nam nabehlo niekolko rovnakych mac s inymi IP adresami
) Nak som sa rozpisal tak neham priestor aj dalsim, ak som nieco napisal zavadzajuco tak sry, s MT robim len par mesiacov, tak nech vam funguje spolahlivo
0 x
Nepouzitelna? Ja vam dam, ze nepouzitelna !8ball píše:Overovanie IP/mac je dobra vec ale kedze pouzivame aj DHCP nepouzitelna
A ako pisete, ak neprikazete, aby hotspot neprekladal ip klientov na svoje interne, vami nastavene, hraci a bojovnici v lokalnej sieti mozu zabudnut na hry predpokladam...8ball píše:Kedze hotspot prideluje kazdemu pripojenemu svoju IP adresu mozte v users v profile nahodit viac profilov a kazdemu profilu nastavit dhcp a rozsah IP v IP-POOLs a aplikovat pravidla firevalu na tento rozsah IP.
0 x
-
StoupaLutin
- Příspěvky: 211
- Registrován: 20 years ago
- Bydliště: Lutín
- Kontaktovat uživatele: