| Prethodna tema :: Sljedeća tema |
| Autor/ica |
Poruka |
SickJedi
Moderator
Pridružen/a: 01. 10. 2004. (16:41:56)
Postovi: (3BC)16
Spol: 
Lokacija: Esperantija
|
|
| [Vrh] |
|
veky
Forumaš(ica)
Pridružen/a: 09. 12. 2002. (19:59:43)
Postovi: (5B0)16
Lokacija: negdje daleko...
|
|
| [Vrh] |
|
Grof
Forumaš(ica)
Pridružen/a: 26. 11. 2002. (17:15:33)
Postovi: (44)16
|
|
| [Vrh] |
|
vsego
Site Admin
Pridružen/a: 06. 10. 2002. (22:07:09)
Postovi: (3562)16
Spol: 
Lokacija: /sbin/init
|
|
| [Vrh] |
|
Grof
Forumaš(ica)
Pridružen/a: 26. 11. 2002. (17:15:33)
Postovi: (44)16
|
|
| [Vrh] |
|
HijenA
Forumaš(ica)
Pridružen/a: 23. 01. 2004. (16:46:04)
Postovi: (3D2)16
Spol:
Lokacija: Prazan skup ;-)
|
|
| [Vrh] |
|
ZELENIZUBNAPLANETIDO
SADE
Forumaš(ica)
Pridružen/a: 04. 03. 2004. (19:56:15)
Postovi: (54F)16
Lokacija: hm?
|
 Postano: 14:08 sri, 12. 1. 2005 Naslov: |
    |
|
|
[code:1] $ traceroute 161.53.29.70
traceroute to 161.53.29.70 (161.53.29.70), 30 hops max, 38 byte packets
1 * * *
2 cat01-vl2.net.iskon.hr (213.191.132.161) 211.913 ms 269.451 ms 269.783 ms
3 193.192.15.65 (193.192.15.65) 270.739 ms 268.571 ms 269.756 ms
4 * * *
5 193.198.229.6 (193.198.229.6) 222.167 ms 283.642 ms 283.752 ms
6 student (161.53.8.14) 271.753 ms 270.076 ms 270.488 ms[/code:1]
:shock:
:-k
traceroute je potrazio tu ip adresu i dobio odgovor naseg studenta. DNS, dakle, ne laze.
My guess, da postoje dva network interfacea? Postavlja se logicna pretpostavka da ako se icmp moze routati kroz taj interface do interfacea vezanog uz 161.53.8.14, zasto se to ne bi moglo i sa httpom, sshom, ... itd :?:
:shock: djiiz
| Kod: | $ traceroute 161.53.29.70
traceroute to 161.53.29.70 (161.53.29.70), 30 hops max, 38 byte packets
1 * * *
2 cat01-vl2.net.iskon.hr (213.191.132.161) 211.913 ms 269.451 ms 269.783 ms
3 193.192.15.65 (193.192.15.65) 270.739 ms 268.571 ms 269.756 ms
4 * * *
5 193.198.229.6 (193.198.229.6) 222.167 ms 283.642 ms 283.752 ms
6 student (161.53.8.14) 271.753 ms 270.076 ms 270.488 ms |
traceroute je potrazio tu ip adresu i dobio odgovor naseg studenta. DNS, dakle, ne laze.
My guess, da postoje dva network interfacea? Postavlja se logicna pretpostavka da ako se icmp moze routati kroz taj interface do interfacea vezanog uz 161.53.8.14, zasto se to ne bi moglo i sa httpom, sshom, ... itd 
djiiz
_________________ 
Pupoljak nije negiran. Rekao sam to i ponovit cu to jos jedanput. Pupoljak NIJE negirAn.
MADD
(Mothers Against Dirty Dialectics)
Based on a true story. NOT.
Ko ih sljivi, mi sviramo punk  |
|
| [Vrh] |
|
HijenA
Forumaš(ica)
Pridružen/a: 23. 01. 2004. (16:46:04)
Postovi: (3D2)16
Spol:
Lokacija: Prazan skup ;-)
|
| Postano: 14:24 sri, 12. 1. 2005 Naslov: |
|
|
|
[quote="ZELENIZUBNAPLANETIDOSADE"]
traceroute je potrazio tu ip adresu i dobio odgovor naseg studenta. DNS, dakle, ne laze.[/quote]
ma...DNS ni ne moze lagati. jel moguce da imamo [b]DVA[/b] :?: :!: DNS servera na istom kompu?!
[quote]
My guess, da postoje dva network interfacea? Postavlja se logicna pretpostavka da ako se icmp moze routati kroz taj interface do interfacea vezanog uz 161.53.8.14, zasto se to ne bi moglo i sa httpom, sshom, ... itd :?:
:shock: djiiz[/quote]
a zasto bi se moralo uopce reroutati sve (http, ssh, ftp itd.) a ne napraviti ocitu stvar: ubiti jednu od IP adresa studenta?
i to ovu: 161.53.29.70 :?:
mislim da bi to bilo puno jednostavnije nego sve rucno reroutati (pretpostavljam da je server pod Linuxom) :?
| ZELENIZUBNAPLANETIDOSADE (napisa): |
traceroute je potrazio tu ip adresu i dobio odgovor naseg studenta. DNS, dakle, ne laze. |
ma...DNS ni ne moze lagati. jel moguce da imamo DVA  DNS servera na istom kompu?!
| Citat: |
My guess, da postoje dva network interfacea? Postavlja se logicna pretpostavka da ako se icmp moze routati kroz taj interface do interfacea vezanog uz 161.53.8.14, zasto se to ne bi moglo i sa httpom, sshom, ... itd
djiiz |
a zasto bi se moralo uopce reroutati sve (http, ssh, ftp itd.) a ne napraviti ocitu stvar: ubiti jednu od IP adresa studenta?
i to ovu: 161.53.29.70
mislim da bi to bilo puno jednostavnije nego sve rucno reroutati (pretpostavljam da je server pod Linuxom) 
|
|
| [Vrh] |
|
Grof
Forumaš(ica)
Pridružen/a: 26. 11. 2002. (17:15:33)
Postovi: (44)16
|
| Postano: 14:32 sri, 12. 1. 2005 Naslov: |
|
|
|
[quote="ZELENIZUBNAPLANETIDOSADE"][code:1] $ traceroute 161.53.29.70
traceroute to 161.53.29.70 (161.53.29.70), 30 hops max, 38 byte packets
1 * * *
2 cat01-vl2.net.iskon.hr (213.191.132.161) 211.913 ms 269.451 ms 269.783 ms
3 193.192.15.65 (193.192.15.65) 270.739 ms 268.571 ms 269.756 ms
4 * * *
5 193.198.229.6 (193.198.229.6) 222.167 ms 283.642 ms 283.752 ms
6 student (161.53.8.14) 271.753 ms 270.076 ms 270.488 ms[/code:1]
:shock:
:-k
traceroute je potrazio tu ip adresu i dobio odgovor naseg studenta. DNS, dakle, ne laze.
My guess, da postoje dva network interfacea? Postavlja se logicna pretpostavka da ako se icmp moze routati kroz taj interface do interfacea vezanog uz 161.53.8.14, zasto se to ne bi moglo i sa httpom, sshom, ... itd :?:
:shock: djiiz[/quote]
Hm... a mozda daemoni slusaju samo na interfaceu 161.53.8.14...
| ZELENIZUBNAPLANETIDOSADE (napisa): | | Kod: | $ traceroute 161.53.29.70
traceroute to 161.53.29.70 (161.53.29.70), 30 hops max, 38 byte packets
1 * * *
2 cat01-vl2.net.iskon.hr (213.191.132.161) 211.913 ms 269.451 ms 269.783 ms
3 193.192.15.65 (193.192.15.65) 270.739 ms 268.571 ms 269.756 ms
4 * * *
5 193.198.229.6 (193.198.229.6) 222.167 ms 283.642 ms 283.752 ms
6 student (161.53.8.14) 271.753 ms 270.076 ms 270.488 ms |
traceroute je potrazio tu ip adresu i dobio odgovor naseg studenta. DNS, dakle, ne laze.
My guess, da postoje dva network interfacea? Postavlja se logicna pretpostavka da ako se icmp moze routati kroz taj interface do interfacea vezanog uz 161.53.8.14, zasto se to ne bi moglo i sa httpom, sshom, ... itd
djiiz |
Hm... a mozda daemoni slusaju samo na interfaceu 161.53.8.14...
|
|
| [Vrh] |
|
ZELENIZUBNAPLANETIDO
SADE
Forumaš(ica)
Pridružen/a: 04. 03. 2004. (19:56:15)
Postovi: (54F)16
Lokacija: hm?
|
| Postano: 15:29 sri, 12. 1. 2005 Naslov: |
|
|
|
[quote="Grof"]Hm... a mozda daemoni slusaju samo na interfaceu 161.53.8.14...[/quote]
Mozda :)
Hijeno :)
a) nije linux sve sto sija :) a ovdje su admini od tradicionalnijih uvjerenja ;)
b) sklon sam pretpostaviti da postoji realni razlog postojanja "drugog" interfacea. Drugi interface po definiciji mora imati drugu ip adresu od prvog. Ukoliko nije do onoga sto je Grof rekao, onda je razumno preusmjeriti korisne portove na prvi interface da dupli dns unosi ne bi radili probleme. I nije bitno sto izgleda lakse za napraviti u situaciji koja nam je virtually apsolutno nepoznata, koliko to da se to poslije dugog niza godina rijesi. Potrazis li stare rasprave o tome, vidjet ces da se svojevremeno tvrdilo da krivnja za tu situaciju lezi na routeru koji je u nadleznosti carneta, ali mi to djeluje pinku cudno.
U svakom slucaju, admini upiru prstima i nista se ne desava :pray:
...i sto mislis pod [i]"rucno routati"[/i] :lol: pa nece Stalec svakom paketu govoriti di mu je mjesto :lol: routea se, bome, kao i bilo gdje drugdje :) 1+ linija u firewall skripte i to je t me young padowan :) btw: (i ;OT;) oce da ti nabavim nekaki sarge? ;)
| Grof (napisa): | | Hm... a mozda daemoni slusaju samo na interfaceu 161.53.8.14... |
Mozda 
Hijeno
a) nije linux sve sto sija a ovdje su admini od tradicionalnijih uvjerenja
b) sklon sam pretpostaviti da postoji realni razlog postojanja "drugog" interfacea. Drugi interface po definiciji mora imati drugu ip adresu od prvog. Ukoliko nije do onoga sto je Grof rekao, onda je razumno preusmjeriti korisne portove na prvi interface da dupli dns unosi ne bi radili probleme. I nije bitno sto izgleda lakse za napraviti u situaciji koja nam je virtually apsolutno nepoznata, koliko to da se to poslije dugog niza godina rijesi. Potrazis li stare rasprave o tome, vidjet ces da se svojevremeno tvrdilo da krivnja za tu situaciju lezi na routeru koji je u nadleznosti carneta, ali mi to djeluje pinku cudno.
U svakom slucaju, admini upiru prstima i nista se ne desava 
...i sto mislis pod "rucno routati"  pa nece Stalec svakom paketu govoriti di mu je mjesto routea se, bome, kao i bilo gdje drugdje 1+ linija u firewall skripte i to je t me young padowan btw: (i ;OT;) oce da ti nabavim nekaki sarge?
_________________
Pupoljak nije negiran. Rekao sam to i ponovit cu to jos jedanput. Pupoljak NIJE negirAn.
MADD
(Mothers Against Dirty Dialectics)
Based on a true story. NOT.
Ko ih sljivi, mi sviramo punk |
|
| [Vrh] |
|
HijenA
Forumaš(ica)
Pridružen/a: 23. 01. 2004. (16:46:04)
Postovi: (3D2)16
Spol:
Lokacija: Prazan skup ;-)
|
| Postano: 21:00 sri, 12. 1. 2005 Naslov: |
|
|
|
[quote="ZELENIZUBNAPLANETIDOSADE"]
Hijeno :)
[/quote]
ocito cu morat promijenit nick...vidim da nije vise zabavan :|
[quote]
a) nije linux sve sto sija :) a ovdje su admini od tradicionalnijih uvjerenja ;)[/quote]
znam...ali, a reasonable asumption je da je server pod linuxom (pogotovo nakon obnove inventara) ili barem pod nekim UNIXoidnim operativnim sustavom.
[quote]
b) sklon sam pretpostaviti da postoji realni razlog postojanja "drugog" interfacea. Drugi interface po definiciji mora imati drugu ip adresu od prvog. Ukoliko nije do onoga sto je Grof rekao, onda je razumno preusmjeriti korisne portove na prvi interface da dupli dns unosi ne bi radili probleme. I nije bitno sto izgleda lakse za napraviti u situaciji koja nam je virtually apsolutno nepoznata, koliko to da se to poslije dugog niza godina rijesi. [/quote]
ma i ja sam sklon tome. recimo, da je taj komp router, bilo bi realno ocekivati da prema lokalnoj mrezi ima drugaciju IP adresu nego prema van. no, onda, IMO ova druga prema unutra ne bi bila vidljiva. am i right? osim toga, ne mozes me uvjeriti da [b][i]postoji[/b][/i] toliko posebna situacija gdje se sve ne bi moglo srediti sa jednom IP adresom. ocigledno, stvar je u DNS-u a admini dolje u podrumu ne mogu/nece rijesit problem. IMO ovakvo stanje samo zbunjuje,
[quote]
Potrazis li stare rasprave o tome, vidjet ces da se svojevremeno tvrdilo da krivnja za tu situaciju lezi na routeru koji je u nadleznosti carneta, ali mi to djeluje pinku cudno.[/quote]
indeed :)
[quote]
U svakom slucaju, admini upiru prstima i nista se ne desava :pray:[/quote]
pa ne mozes samo upirati prstima i cekat da se rjesenje pojavi samo od sebe. treba proucit problem.
[quote]
...i sto mislis pod [i]"rucno routati"[/i] :lol: pa nece Stalec svakom paketu govoriti di mu je mjesto :lol: routea se, bome, kao i bilo gdje drugdje :) 1+ linija u firewall skripte i to je t me young padowan :) [/quote]
mislim rucno editirati neke fajlove u /etc direktoriju. koji su to sad bili, ne mogu se sjetiti. znam da smo frend i ja rucno slagali firewall za dio mreze u TSRB i da smo potrosili skoro pa tjedan dana dok nismo sve napravili kako treba. glavna stvar je bila zabraniti svaki pristup netu preko routera ako isti nije isao preko proxy servera. adminima u podrumu bi to trebalo ipak biti lakse napravit (ako nista drugo zato sto sustav poznaju) i zato sto smo mi radili instalaciju linuxa na router prakticki od nule, tako da nismo imali bas s necim radit. isto je bio Debian u pitanju, ali ne znam koja distribucija.
[quote]
btw: (i ;OT;) oce da ti nabavim nekaki sarge? ;)[/quote]
da...moze...svakako.
| ZELENIZUBNAPLANETIDOSADE (napisa): |
Hijeno
|
ocito cu morat promijenit nick...vidim da nije vise zabavan 
| Citat: |
a) nije linux sve sto sija a ovdje su admini od tradicionalnijih uvjerenja |
znam...ali, a reasonable asumption je da je server pod linuxom (pogotovo nakon obnove inventara) ili barem pod nekim UNIXoidnim operativnim sustavom.
| Citat: |
b) sklon sam pretpostaviti da postoji realni razlog postojanja "drugog" interfacea. Drugi interface po definiciji mora imati drugu ip adresu od prvog. Ukoliko nije do onoga sto je Grof rekao, onda je razumno preusmjeriti korisne portove na prvi interface da dupli dns unosi ne bi radili probleme. I nije bitno sto izgleda lakse za napraviti u situaciji koja nam je virtually apsolutno nepoznata, koliko to da se to poslije dugog niza godina rijesi. |
ma i ja sam sklon tome. recimo, da je taj komp router, bilo bi realno ocekivati da prema lokalnoj mrezi ima drugaciju IP adresu nego prema van. no, onda, IMO ova druga prema unutra ne bi bila vidljiva. am i right? osim toga, ne mozes me uvjeriti da postoji toliko posebna situacija gdje se sve ne bi moglo srediti sa jednom IP adresom. ocigledno, stvar je u DNS-u a admini dolje u podrumu ne mogu/nece rijesit problem. IMO ovakvo stanje samo zbunjuje,
| Citat: |
Potrazis li stare rasprave o tome, vidjet ces da se svojevremeno tvrdilo da krivnja za tu situaciju lezi na routeru koji je u nadleznosti carneta, ali mi to djeluje pinku cudno. |
indeed
| Citat: |
U svakom slucaju, admini upiru prstima i nista se ne desava |
pa ne mozes samo upirati prstima i cekat da se rjesenje pojavi samo od sebe. treba proucit problem.
| Citat: |
...i sto mislis pod "rucno routati" pa nece Stalec svakom paketu govoriti di mu je mjesto routea se, bome, kao i bilo gdje drugdje 1+ linija u firewall skripte i to je t me young padowan |
mislim rucno editirati neke fajlove u /etc direktoriju. koji su to sad bili, ne mogu se sjetiti. znam da smo frend i ja rucno slagali firewall za dio mreze u TSRB i da smo potrosili skoro pa tjedan dana dok nismo sve napravili kako treba. glavna stvar je bila zabraniti svaki pristup netu preko routera ako isti nije isao preko proxy servera. adminima u podrumu bi to trebalo ipak biti lakse napravit (ako nista drugo zato sto sustav poznaju) i zato sto smo mi radili instalaciju linuxa na router prakticki od nule, tako da nismo imali bas s necim radit. isto je bio Debian u pitanju, ali ne znam koja distribucija.
| Citat: |
btw: (i ;OT;) oce da ti nabavim nekaki sarge? |
da...moze...svakako.
|
|
| [Vrh] |
|
ZELENIZUBNAPLANETIDO
SADE
Forumaš(ica)
Pridružen/a: 04. 03. 2004. (19:56:15)
Postovi: (54F)16
Lokacija: hm?
|
| Postano: 13:05 čet, 13. 1. 2005 Naslov: |
|
|
|
[quote="HijenA"]ocito cu morat promijenit nick...vidim da nije vise zabavan :|[/quote]
:g: naprotiv :g:
[quote="HijenA"]znam...ali, a reasonable asumption je da je server pod linuxom (pogotovo nakon obnove inventara) ili barem pod nekim UNIXoidnim operativnim sustavom.[/quote]
Reasonable assumption na ovom faksu je da nije pod linuxom :| Hp-ux most likely, ili dedicated router (npr cisco) :|
[quote="HijenA"]ma i ja sam sklon tome. recimo, da je taj komp router, bilo bi realno ocekivati da prema lokalnoj mrezi ima drugaciju IP adresu nego prema van. no, onda, IMO ova druga prema unutra ne bi bila vidljiva. am i right? osim toga, ne mozes me uvjeriti da [b][i]postoji[/b][/i] toliko posebna situacija gdje se sve ne bi moglo srediti sa jednom IP adresom. ocigledno, stvar je u DNS-u a admini dolje u podrumu ne mogu/nece rijesit problem. IMO ovakvo stanje samo zbunjuje,[/quote]
Duga prica i druga prica :) al kada bih imao dovoljno resursa u izradi mreze za dedicated firewall stroj (ili router uredjaj) onda bih najvjerovatnije forwardao neke portove kroz njega na razlicite masine u unutarnjoj mrezi... apache, ssh, telnet, ... te sam taj stroj ne bi bio dostupan izvana. Takav stroj bi imao svoju ip adresu. Ali sa druge strane, mozda zelim da studentski server bude iza firewalla zbog strojeva sa unutarnje mreze, ali da pristup njemu bude dostupan i izvana.
Tada bih se nasao u situaciji da kroz firewall forwardam neke portove na studentski server ali i da studentskom serveru mogu pristupiti i iz vana, te bi taj stroj, barem prividno, imao dvije ip adrese.
Mozda, na kraju krajeva, ima dvije mrezne kartice za smanjiti workload, ali 12 godina star monolitni kernel to ne dopusta ujedinjavanje u istu ip adresu.
Mozda je druga IP adresa rezervirana za, npr., mail promet, te kao takva mora imati svoj MX unos u DNS-u itd itd itd :|
Postoje razlozi zasto je dobro za jedan stroj da ima dvije IP adrese, ali naravno, postoje nacini i da se ucini da to ne bude problem.
Problem je sto se to ovdje ocito nije dogodilo.
[quote="HijenA"]mislim rucno editirati neke fajlove u /etc direktoriju. koji su to sad bili, ne mogu se sjetiti. znam da smo frend i ja rucno slagali firewall za dio mreze u TSRB i da smo potrosili skoro pa tjedan dana dok nismo sve napravili kako treba. glavna stvar je bila zabraniti svaki pristup netu preko routera ako isti nije isao preko proxy servera. adminima u podrumu bi to trebalo ipak biti lakse napravit (ako nista drugo zato sto sustav poznaju) i zato sto smo mi radili instalaciju linuxa na router prakticki od nule, tako da nismo imali bas s necim radit. isto je bio Debian u pitanju, ali ne znam koja distribucija.[/quote]
:D
na 2.4.x i 2.6.x linuxima (za hp-ux i sl ne znam) mozes to "rucno" raditi via iptables paketa.
Oni drugi to rade preko, npr, [url=http://www.fwbuilder.org/]fwbuilder[/url] paketa koji je dostupan kao gotov paket za afaik sve velike linux distribucije i za windowse, te prepuste njemu da napravi bulk rulesetova, a rucno naprave neke naprednije trikove za koje ovaj jos nije sposoban. (tocnije, -m mac i -m owner moduli iptablesa, prvi ti dobro dodje za filtriranje wireless intrudera a drugi je nuzan za dobru kontrolu transparentnog proxya (treba NAT-ati pakete po njihovim vlasnicima)).
| HijenA (napisa): | | ocito cu morat promijenit nick...vidim da nije vise zabavan |
 naprotiv
| HijenA (napisa): | | znam...ali, a reasonable asumption je da je server pod linuxom (pogotovo nakon obnove inventara) ili barem pod nekim UNIXoidnim operativnim sustavom. |
Reasonable assumption na ovom faksu je da nije pod linuxom Hp-ux most likely, ili dedicated router (npr cisco)
| HijenA (napisa): | | ma i ja sam sklon tome. recimo, da je taj komp router, bilo bi realno ocekivati da prema lokalnoj mrezi ima drugaciju IP adresu nego prema van. no, onda, IMO ova druga prema unutra ne bi bila vidljiva. am i right? osim toga, ne mozes me uvjeriti da postoji toliko posebna situacija gdje se sve ne bi moglo srediti sa jednom IP adresom. ocigledno, stvar je u DNS-u a admini dolje u podrumu ne mogu/nece rijesit problem. IMO ovakvo stanje samo zbunjuje, |
Duga prica i druga prica al kada bih imao dovoljno resursa u izradi mreze za dedicated firewall stroj (ili router uredjaj) onda bih najvjerovatnije forwardao neke portove kroz njega na razlicite masine u unutarnjoj mrezi... apache, ssh, telnet, ... te sam taj stroj ne bi bio dostupan izvana. Takav stroj bi imao svoju ip adresu. Ali sa druge strane, mozda zelim da studentski server bude iza firewalla zbog strojeva sa unutarnje mreze, ali da pristup njemu bude dostupan i izvana.
Tada bih se nasao u situaciji da kroz firewall forwardam neke portove na studentski server ali i da studentskom serveru mogu pristupiti i iz vana, te bi taj stroj, barem prividno, imao dvije ip adrese.
Mozda, na kraju krajeva, ima dvije mrezne kartice za smanjiti workload, ali 12 godina star monolitni kernel to ne dopusta ujedinjavanje u istu ip adresu.
Mozda je druga IP adresa rezervirana za, npr., mail promet, te kao takva mora imati svoj MX unos u DNS-u itd itd itd
Postoje razlozi zasto je dobro za jedan stroj da ima dvije IP adrese, ali naravno, postoje nacini i da se ucini da to ne bude problem.
Problem je sto se to ovdje ocito nije dogodilo.
| HijenA (napisa): | | mislim rucno editirati neke fajlove u /etc direktoriju. koji su to sad bili, ne mogu se sjetiti. znam da smo frend i ja rucno slagali firewall za dio mreze u TSRB i da smo potrosili skoro pa tjedan dana dok nismo sve napravili kako treba. glavna stvar je bila zabraniti svaki pristup netu preko routera ako isti nije isao preko proxy servera. adminima u podrumu bi to trebalo ipak biti lakse napravit (ako nista drugo zato sto sustav poznaju) i zato sto smo mi radili instalaciju linuxa na router prakticki od nule, tako da nismo imali bas s necim radit. isto je bio Debian u pitanju, ali ne znam koja distribucija. |
na 2.4.x i 2.6.x linuxima (za hp-ux i sl ne znam) mozes to "rucno" raditi via iptables paketa.
Oni drugi to rade preko, npr, fwbuilder paketa koji je dostupan kao gotov paket za afaik sve velike linux distribucije i za windowse, te prepuste njemu da napravi bulk rulesetova, a rucno naprave neke naprednije trikove za koje ovaj jos nije sposoban. (tocnije, -m mac i -m owner moduli iptablesa, prvi ti dobro dodje za filtriranje wireless intrudera a drugi je nuzan za dobru kontrolu transparentnog proxya (treba NAT-ati pakete po njihovim vlasnicima)).
_________________
Pupoljak nije negiran. Rekao sam to i ponovit cu to jos jedanput. Pupoljak NIJE negirAn.
MADD
(Mothers Against Dirty Dialectics)
Based on a true story. NOT.
Ko ih sljivi, mi sviramo punk |
|
| [Vrh] |
|
Grof
Forumaš(ica)
Pridružen/a: 26. 11. 2002. (17:15:33)
Postovi: (44)16
|
|
| [Vrh] |
|
veky
Forumaš(ica)
Pridružen/a: 09. 12. 2002. (19:59:43)
Postovi: (5B0)16
Lokacija: negdje daleko...
|
|
| [Vrh] |
|
HijenA
Forumaš(ica)
Pridružen/a: 23. 01. 2004. (16:46:04)
Postovi: (3D2)16
Spol:
Lokacija: Prazan skup ;-)
|
| Postano: 11:19 pet, 14. 1. 2005 Naslov: |
|
|
|
[quote="ZELENIZUBNAPLANETIDOSADE"][quote="HijenA"]ocito cu morat promijenit nick...vidim da nije vise zabavan :|[/quote]
:g: naprotiv :g:[/quote]
os rec da je?! :)
[quote]
[quote="HijenA"]znam...ali, a reasonable asumption je da je server pod linuxom (pogotovo nakon obnove inventara) ili barem pod nekim UNIXoidnim operativnim sustavom.[/quote]
Reasonable assumption na ovom faksu je da nije pod linuxom :| Hp-ux most likely, ili dedicated router (npr cisco) :|[/quote]
nakon obnove inventara?! cisco vec da...ali sumnjam da je HP-UX u pitanju. trebalo bi staleca pitat.
[quote]
Duga prica i druga prica :) al kada bih imao dovoljno resursa u izradi mreze za dedicated firewall stroj (ili router uredjaj) onda bih najvjerovatnije forwardao neke portove kroz njega na razlicite masine u unutarnjoj mrezi... apache, ssh, telnet, ... te sam taj stroj ne bi bio dostupan izvana. Takav stroj bi imao svoju ip adresu.[/quote]
da...to je logicno. i onda se lokalna mreza ne bi vidjela izvana. sto bi znacilo da taj firewall ima dva interfacea, jednu mreznu za unutarnji dio mreze, jednu za vanjski. i ova druga u tom slucaju [b][size=20]NE BI SMJELA BITI VIDLJIVA[/size][/b]. ako jest, onda firewall ne radi svoju funkciju kako treba.
[quote]
Ali sa druge strane, mozda zelim da studentski server bude iza firewalla zbog strojeva sa unutarnje mreze, ali da pristup njemu bude dostupan i izvana.
Tada bih se nasao u situaciji da kroz firewall forwardam neke portove na studentski server ali i da studentskom serveru mogu pristupiti i iz vana, te bi taj stroj, barem prividno, imao dvije ip adrese.[/quote]
ne kuzim...u gornjem slucaju firewall ima ima ulogu routera. u ovom drugom on nema ulogu routera. WTH?! zasto bi studentski server imao ulogu routera?!
[quote]
Mozda, na kraju krajeva, ima dvije mrezne kartice za smanjiti workload, ali 12 godina star monolitni kernel to ne dopusta ujedinjavanje u istu ip adresu.
Mozda je druga IP adresa rezervirana za, npr., mail promet, te kao takva mora imati svoj MX unos u DNS-u itd itd itd :|[/quote]
sto opet ne objasnjava postojanje dvije IP adrese...pretpostavka je da serveri dolje imaju 100 Mbit mrezne kartice. probaj si izracunat koliki workload mora biti da taj server zahtijeva 2 mrezne kartice. takav workload ne mogu stvoriti svi studenti i svi profesori, pa da se i u isto vrijeme povezu sa studentom. ako je pitanje samog operativnog sustava, zasto jezgra (ili sam operativni sustav) nije apgrejdana na visu verziju ako to moze rijesit problem.
[quote]
Postoje razlozi zasto je dobro za jedan stroj da ima dvije IP adrese, ali naravno, postoje nacini i da se ucini da to ne bude problem.
Problem je sto se to ovdje ocito nije dogodilo.[/quote]
jep...pa na to i ciljam cijelo vrijeme. postoji nacin da se to ne ucini problemom, ali nema volje da se to tako i uradi.
[quote]
:D
na 2.4.x i 2.6.x linuxima (za hp-ux i sl ne znam) mozes to "rucno" raditi via iptables paketa.
Oni drugi to rade preko, npr, [url=http://www.fwbuilder.org/]fwbuilder[/url] paketa koji je dostupan kao gotov paket za afaik sve velike linux distribucije i za windowse, te prepuste njemu da napravi bulk rulesetova, a rucno naprave neke naprednije trikove za koje ovaj jos nije sposoban. (tocnije, -m mac i -m owner moduli iptablesa, prvi ti dobro dodje za filtriranje wireless intrudera a drugi je nuzan za dobru kontrolu transparentnog proxya (treba NAT-ati pakete po njihovim vlasnicima)).[/quote]
joooj....pa kad smo mi to radili. prije 3-4 godine. IIRC kernel je bio 2.2.14 ili 2.2.16. mi smo morali to rucno radit. i to nije smijesno.
| ZELENIZUBNAPLANETIDOSADE (napisa): | | HijenA (napisa): | | ocito cu morat promijenit nick...vidim da nije vise zabavan |
naprotiv |
os rec da je?!
| Citat: |
| HijenA (napisa): | | znam...ali, a reasonable asumption je da je server pod linuxom (pogotovo nakon obnove inventara) ili barem pod nekim UNIXoidnim operativnim sustavom. |
Reasonable assumption na ovom faksu je da nije pod linuxom Hp-ux most likely, ili dedicated router (npr cisco) |
nakon obnove inventara?! cisco vec da...ali sumnjam da je HP-UX u pitanju. trebalo bi staleca pitat.
| Citat: |
Duga prica i druga prica al kada bih imao dovoljno resursa u izradi mreze za dedicated firewall stroj (ili router uredjaj) onda bih najvjerovatnije forwardao neke portove kroz njega na razlicite masine u unutarnjoj mrezi... apache, ssh, telnet, ... te sam taj stroj ne bi bio dostupan izvana. Takav stroj bi imao svoju ip adresu. |
da...to je logicno. i onda se lokalna mreza ne bi vidjela izvana. sto bi znacilo da taj firewall ima dva interfacea, jednu mreznu za unutarnji dio mreze, jednu za vanjski. i ova druga u tom slucaju NE BI SMJELA BITI VIDLJIVA. ako jest, onda firewall ne radi svoju funkciju kako treba.
| Citat: |
Ali sa druge strane, mozda zelim da studentski server bude iza firewalla zbog strojeva sa unutarnje mreze, ali da pristup njemu bude dostupan i izvana.
Tada bih se nasao u situaciji da kroz firewall forwardam neke portove na studentski server ali i da studentskom serveru mogu pristupiti i iz vana, te bi taj stroj, barem prividno, imao dvije ip adrese. |
ne kuzim...u gornjem slucaju firewall ima ima ulogu routera. u ovom drugom on nema ulogu routera. WTH?! zasto bi studentski server imao ulogu routera?!
| Citat: |
Mozda, na kraju krajeva, ima dvije mrezne kartice za smanjiti workload, ali 12 godina star monolitni kernel to ne dopusta ujedinjavanje u istu ip adresu.
Mozda je druga IP adresa rezervirana za, npr., mail promet, te kao takva mora imati svoj MX unos u DNS-u itd itd itd |
sto opet ne objasnjava postojanje dvije IP adrese...pretpostavka je da serveri dolje imaju 100 Mbit mrezne kartice. probaj si izracunat koliki workload mora biti da taj server zahtijeva 2 mrezne kartice. takav workload ne mogu stvoriti svi studenti i svi profesori, pa da se i u isto vrijeme povezu sa studentom. ako je pitanje samog operativnog sustava, zasto jezgra (ili sam operativni sustav) nije apgrejdana na visu verziju ako to moze rijesit problem.
| Citat: |
Postoje razlozi zasto je dobro za jedan stroj da ima dvije IP adrese, ali naravno, postoje nacini i da se ucini da to ne bude problem.
Problem je sto se to ovdje ocito nije dogodilo. |
jep...pa na to i ciljam cijelo vrijeme. postoji nacin da se to ne ucini problemom, ali nema volje da se to tako i uradi.
| Citat: |
na 2.4.x i 2.6.x linuxima (za hp-ux i sl ne znam) mozes to "rucno" raditi via iptables paketa.
Oni drugi to rade preko, npr, fwbuilder paketa koji je dostupan kao gotov paket za afaik sve velike linux distribucije i za windowse, te prepuste njemu da napravi bulk rulesetova, a rucno naprave neke naprednije trikove za koje ovaj jos nije sposoban. (tocnije, -m mac i -m owner moduli iptablesa, prvi ti dobro dodje za filtriranje wireless intrudera a drugi je nuzan za dobru kontrolu transparentnog proxya (treba NAT-ati pakete po njihovim vlasnicima)). |
joooj....pa kad smo mi to radili. prije 3-4 godine. IIRC kernel je bio 2.2.14 ili 2.2.16. mi smo morali to rucno radit. i to nije smijesno.
|
|
| [Vrh] |
|
HijenA
Forumaš(ica)
Pridružen/a: 23. 01. 2004. (16:46:04)
Postovi: (3D2)16
Spol:
Lokacija: Prazan skup ;-)
|
|
| [Vrh] |
|
veky
Forumaš(ica)
Pridružen/a: 09. 12. 2002. (19:59:43)
Postovi: (5B0)16
Lokacija: negdje daleko...
|
|
| [Vrh] |
|
HijenA
Forumaš(ica)
Pridružen/a: 23. 01. 2004. (16:46:04)
Postovi: (3D2)16
Spol:
Lokacija: Prazan skup ;-)
|
|
| [Vrh] |
|
Grof
Forumaš(ica)
Pridružen/a: 26. 11. 2002. (17:15:33)
Postovi: (44)16
|
|
| [Vrh] |
|
HijenA
Forumaš(ica)
Pridružen/a: 23. 01. 2004. (16:46:04)
Postovi: (3D2)16
Spol:
Lokacija: Prazan skup ;-)
|
| Postano: 19:51 pet, 14. 1. 2005 Naslov: |
|
|
|
[quote="Grof"]Eh, sad stvarno komplicirate... zasto bi student bio firewall? Moja neka ideja je da je ona druga IP adresa interna, i ne moze joj se pristupit izvana, sto dolazi do jednog pitanja: zasto ju DNS resolva studenta na tu IP adresu? Jedina stvar koju se mora napravit je obrisat jedan entry u config fileu i to je to. Ak vec treba ta ip adresa, nek ju nazovu student1 ili tako nesto.[/quote]
that's one thing i'd like to know :) ali, to je jedino logicno rjesenje. ili je router. treceg nema.
[quote]HijenA: na 2.2 kernelima si imao nesto sto se zvalo IPCHAINS ;)
a na 2.0 ipfwadm ;)[/quote]
ma vise se ne sijecam u cemu je tocno bio problem. ipak je to bilo davno (3 godine je mnogo vremena).
| Grof (napisa): | | Eh, sad stvarno komplicirate... zasto bi student bio firewall? Moja neka ideja je da je ona druga IP adresa interna, i ne moze joj se pristupit izvana, sto dolazi do jednog pitanja: zasto ju DNS resolva studenta na tu IP adresu? Jedina stvar koju se mora napravit je obrisat jedan entry u config fileu i to je to. Ak vec treba ta ip adresa, nek ju nazovu student1 ili tako nesto. |
that's one thing i'd like to know ali, to je jedino logicno rjesenje. ili je router. treceg nema.
| Citat: | HijenA: na 2.2 kernelima si imao nesto sto se zvalo IPCHAINS
a na 2.0 ipfwadm |
ma vise se ne sijecam u cemu je tocno bio problem. ipak je to bilo davno (3 godine je mnogo vremena).
|
|
| [Vrh] |
|
|
Prouci stare postove, da se sad ne ponavljam... 
