|
|
 | | From: | Lael | | Subject: | Rautamuurista muutamat kysymykset | | Date: | Sun, 16 Jan 2005 19:05:02 GMT |
|
|
 | Terve,
Niin olen vähän ajatellu erillisen rautapalomuurin hankkia,
sais sillä muutaman koneen suojattua.
Mutta niin itse kysymyksiin.
1. Mikä palomuuri olisi hyvä ? (suosituksia yms.?)
2. Saako palomuurin laitettua hubin taakse ? (en halua kaikkia
koneita sen palomuurin jatkeeksi.)
3. Mitä ominaisuuksia hyvästä palomuurista pitäisi löytyä ?
4. Riittääkö budjetiksi max 180€ ?
5. Kestääkö palomuuri paljoa liikennettä ? (esim. Bittorrentista
tulevaa,
tuli vain mieleen että joskus kaverini sanoi että omansa jää
joskus
jumiin kun on liikaa yhteyksiä, tosin hänen rautapalikkansa on
aika vanhahko...)
Kiitos kaikesta avusta :D
----------------------------------------------
Posted with NewsLeecher v2.0 RC2
* Binary Usenet Leeching Made Easy
* http://www.newsleecher.com/?usenet
----------------------------------------------
|
|
| | From: | Timo Neuvonen | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | Mon, 17 Jan 2005 13:59:36 +0200 |
|
|
| > 1. Mikä palomuuri olisi hyvä ? (suosituksia yms.?)
>
Itsellä kotona(kin) Sonicwall (Tele3), jos nyt ostaisin niin malli olisi
varmaan TZ-170 (joku sen monista versioista). Ei vaan mahtune useimpien
budjettiin :-(
http://195.197.216.133:8080/heathcomm/index.htm
Pienemmällä alkupääomalla päässee alkuun mm. Zyxelin laitteilla (ZyWall xx).
Cisco, Netscreen, Borderware jne voitaneen ainakin unohtaa (ei mitenkään
teknisistä syistä vaan...) Sitten on koko liuta muitakin laitteita, seassa
kunnon tavaraa ja kai ihan lelujakin -hinta kertoo jotain muttei takaa että
saat vastinetta rahalle.
Esim. SnapGearin laitteet on muistaakseni aika edullisia hinnaltaan,
ominaisuuksista ei kokemusta.
Ennakkoasenteeni on, että minä varoisin monia mm. D-linkin tuotteita -tosin
nekin taisivat ainakin yrittää tehdä myös jotain pro-tason laitetta johon
ostivat softan "ammattilaisilta".
Yksi vakavasti otettavan laitteen tunnusmerkki mielestäni on, että
valmistajalla on asiallinen ja yhtenäinen palomuurikäyttis tuoteperheelleen
jota se ylläpitää, eikä räätälöi täysin erilaista softaa joka
laitteelleen -sellaisia ei asiallisesti ylläpidä Erkkikään.
> 2. Saako palomuurin laitettua hubin taakse ? (en halua kaikkia
> koneita sen palomuurin jatkeeksi.)
>
Hubin taakse mistä katsottuna? Jäi vähän tulkinnanvaraa mun
mielikuvituksella..
Muuri tulee käytännössä verkkoyhteyttä hoitavan purkin (esim adsl-boksi) ja
muun sisäverkkosi väliin. Ei siis esim. hubin/kytkimen yhteen porttiin.
Käytännössä se hubin (tahi kytkimen) oikea paikka sinulla lienee palomuurin
ja koneittesi välissä. Joissain muureissa lienee myös sisäisiä kytkimiä, eli
esim. 4-5 kytkinporttia sisäverkkoon päin jolloin erillinen kytkin voipi
jäädä tarpeettomaksi.
Seuraavassa poikkeuksia edelliseen, tosin kotikäytössä ehkä hiukan
teoreettisia:
Muurissa voi olla useampiakin portteja sisäverkolle, esim. nk. dmz
(demilitarized zone) johon tyypillisesti tulevat julkisia palveluita
pyörittävät koneet joihin on tarkoitus sallia jonkinasteinen pääsy
ulkoverkostakin (ja pitää koneet silti selkeästi erossa julkisesta verkosta
tai varsinaisesta sisäverkosta). Esiintyy myös selkeämmin kahden eri
sisäverkon muureja, joista tyypillisesti toiseen porttiin tulee sellaisia
työkoneita joista on pääsy vpn-tunnelilla esim. työpaikan sisäverkkoon, ja
koti-pelikoneet jne eivät ole tässä muurin portissa. Oleellista on, että em.
tapaukset ovat aivan eri asia kuin halpismuuri jossa on sisäinen kytkin ja
liuta liittimiä kyljessä. Eli tarkoitin laitteita joissa noille eri
porteille todellakin saa määriteltyä omat palomuurisääntönsä
> 3. Mitä ominaisuuksia hyvästä palomuurista pitäisi löytyä ?
Oleellisin asia lienee Stateful Packet Inspection tms, eli jonkinsortin
selkeä liikenteen analysointi palomuurin pohjana. Varo siis laitetta, jota
kutsutaan palomuuriksi mutta onkin pelkkä nattaava osoitemuunnospurkki!
Asioita joilla on merkitystä, mutta joita on vaikea vertailla kuin
kokeilemalla konffata eri laitteita, on sääntöjen määrä, selkeys ja
monipuolisuus. Osassa konffaus tapahtuu komentoriviltä ilman kunnollista jo
tehtyjen sääntöjen tarkastelumahdollisuutta, osassa on käyttöliittymä raaka
linuxin iptables. Osassa taasen on havainnollinen käyttöliittymä josta on
helppo lukea sääntöjen järjestys jne.
Muurin softa tarvitsee jollain aikavälillä päivtystä, tämä voi maksaa tai
olla ilmaista. Kannattaa varmistaa. Eri juttu on, minkä tasoista tukea on
realistista odottaa, eli jos valmistajan politiikka onkin että keskitytään
kehittämään vain uusia laitteita niin siinä ei paljon lupaus maksuttomista
päivityksistä mieltä lämmitä.
Jos on tarvis yhdistää oma kotiverkko vpn-yhteydellä jonnekin (kaverin
verkko, työpaikka tms) niin yhteensopivat vpn-ominaisuudet ovat pop.
> 4. Riittääkö budjetiksi max 180? ?
>
Mulla budjetti olisi varmaankin ~kolminkertainen, mutta kyllä tuollakin
luulisi jo löytyvän jotain vaihtoehtoja mistä valita. Satanen sen sijaan on
mielestäni ehdottomasti liian vähän jotta sillä voisi saada kunnon tavaraa.
Esim. Zyxel ZyWall 2 saa MBnetin hintaseurannan mukaan alkaen 189e. Tuolla
budjetilla varmaan koittaisin tutkia tätä laitetta tarkemmin.
> 5. Kestääkö palomuuri paljoa liikennettä ? (esim. Bittorrentista
> tulevaa,
> tuli vain mieleen että joskus kaverini sanoi että omansa jää
> joskus
> jumiin kun on liikaa yhteyksiä, tosin hänen rautapalikkansa on
> aika vanhahko...)
>
Riippuu muurista, pitää lukea speksit. Halvimmilla purkeilla potku loppui
joku aika takaperin jo megan luokkaa olevilla liittymillä ulkomaailmaan, jos
sieltä pukkasi sopivaa hyökkäystä. Seurauksena käytännössä, että muurille
kertyi liikaa tekemättömiä rästitöitä (analysoimattomia paketteja) ja
jossain vaiheessa se kaatui muistiylivuotoon tms syyhyn. Ei hyvä.
Käytännössä ei liene asiallisilla halvoillakaan nykyvermeillä ongelma jos
yhteys on esim. max 4...8 Mbps. Mutta ne speksit kertovat lisää.
Noitten mun suosimien laitteiden karkeaa suorituskykyä voi katsoa vaikka
täältä:
http://www.sonicwall.com/products/vpnapp.html
eli suuruusluokkaa kymmeniä megoja -ja siitä ylöspäin sitä mukaa kuin lovi
lompakossa kasvaa. Ja fiksu kaveri tietysti ylimitoittaa tämän valmistajan
ilmoittaman muurin suorituskyvyn reilusti omaan yhteysnopeuteensa
verrattuna.
En tiedä oliko tästä nyt mitään apua; mä en noihin ihan halvimpiin
laitteisiin ole paneutunut kun tykkään käyttää kotona samoja mitkä on
tuttuja töistäkin.
--
TiN
|
|
| | From: | Lael | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | Mon, 17 Jan 2005 16:49:39 GMT |
|
|
| Kiitokset erittäin kattavasta vastauksesta, ja kyllä se auttoi.
Olisin muuten menny laittamaan rahat johonkin 75€ maksavaan
"melkein-kuin-palomuuriin".
Niin pientä tarkennusta siihen hubi palomuuri pätkään minkä olin
selittäny vähän huonosti.
Elikkä:
Kotona on 4 konetta, mutta kaikkia ei olisi tarkoitus suojata
sillä
palomuurilla joten, mitä tulisi tehdä että saan 2 konetta
suojattua
ja 2 ilman palomuuria.
Aluksi ajattelin tehdä niin, että
................................................................
|----> suojaamattomat koneet (2)
ADSL boksi --> Hubi |
|----> palomuuri --> suojatut koneet (2)
................................................................
Noh toivottavasti vähän selvensi vaikka aika tökerö "piirros"
onkin.
Kiitos edelleen kaikesta avusta :
----------------------------------------------
Posted with NewsLeecher v2.0 RC2
* Binary Usenet Leeching Made Easy
* http://www.newsleecher.com/?usenet
----------------------------------------------
|
|
| | From: | Timo Neuvonen | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | Tue, 18 Jan 2005 00:20:08 +0200 |
|
|
| > Elikkä:
> Kotona on 4 konetta, mutta kaikkia ei olisi tarkoitus suojata
> sillä
> palomuurilla joten, mitä tulisi tehdä että saan 2 konetta
> suojattua
> ja 2 ilman palomuuria.
> Aluksi ajattelin tehdä niin, että
> ...............................................................
> |----> suojaamattomat koneet (2)
> ADSL boksi --> Hubi |
> |----> palomuuri --> suojatut koneet (2)
> ...............................................................
> Noh toivottavasti vähän selvensi vaikka aika tökerö "piirros"
> onkin.
>
Jos sulla on joku syy noin tehdä, niin onhan se periaatteessa ihan
mahdollista. Ei välttämättä lainkaan huono ratkaisu. Eli ovatko nuo 2
"suojaamatonta" konetta esim. sellaisia joilla tehdään kaikenmoista
(prnowarez-smurffailua, verkkopelaamista jne) mikä voisi vaarantaa samassa
sisäverkossa olevat tärkeämmät koneet? Varmaan niihin "pahan maailman"
puolelle muuria tuleviin koneisiin tulee sitten kuitenkin jotenkin
järkevästi konffattu softamuuri?
Ihan käytännön juttu joka tuosta tuli mieleen. Millainen se sun adsl-yhteys
on, lähinnä ajan takaa montako ip-osoitetta saat isp:ltä (ja takaako esim.
joku niitten kuuluvan samaan aliverkkoon, mikä lienee harvinaista), ja
toisaalta, onko sulla tavoitteita millaisia (julkisia/ei-julkisia)
osoitteita tarvitset eri koneillesi, muurin kummallakin puolella? Riittääkö
esim. että heikommin suojatut koneet eivät tiedä mitään toisistaan? Suojatun
verkon koneitten varmaan pitäisi nähdä toisensakin jotenkin hallitusti
(esim. sisäverkon koneitten kesken tapahtuvan tiedostojen jaon jne takia)
Kysyn siksi, että ainakaan mä en tiedä mikä muuri osaisi hakea _monta_
dynaamista ip:tä isp:ltä ja edelleen välittää ne käyttöösi sisäverkkoon. Mun
tapaamat osaavat toimia ainakin
- transparenttina muurina, ts. ilman osoitemuunnoksia jos sulla on käytössä
oikea julkinen aliverkko (peräkkäisiä julkisia kiinteitä osoitteita 2^n
rajojen mukaisesti)
- edellinen 1:1 nattauksella
- 1:n nattaavana eli yksi kiinteä tai dynaaminen julkinen osoite natataan
sisäverkkoon
Ei ole itsestäänselvää, että jokainen muuri osaa nuo kaikki tavat. Ja
toisaalta, joku voi osata vielä jotain ihan muutakin. Mutta tämä voi olla
tärkeä pointti laitteen valinnan kannalta.
Jos adsl-purkkisi tekee jo 1:n natin, niin muurin pitäisi mieluusti toimia
transparenttina, ts. 2 peräkkäistä nattausta ei kuulosta hyvältä. Ja
toisaalta, silloin heräisi myös kysymys mikä olisi muurista saavutettava
varsinainen hyöty. Eräs käypä malli olisi (jos saat useita osoitteita
isp:ltä) että "villit" koneet saavat julkisen osoitteen dhcp:llä, ja muuri
hakee itselleen yhden julkisen osoitteen jonka nattaa sisäverkkoosi jossa
käytät privaattiverkon osoitteita (ja _tarvittaessa_ ohjaa ulkoa tulevan
liikenteen tiettyjen sisäverkon koneitten tiettyihin portteihin). Mutta nyt
mun ei kannata jatkaa arvailua, kun en tiedä mitä tarvitset.
--
TiN
|
|
| | From: | Lael | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | 19 Jan 2005 16:03:51 GMT |
|
|
|
>Jos sulla on joku syy noin tehdä, niin onhan se periaatteessa
ihan
>mahdollista. Ei välttämättä lainkaan huono ratkaisu. Eli ovatko
nuo 2
>"suojaamatonta" konetta esim. sellaisia joilla tehdään
kaikenmoista
>(prnowarez-smurffailua, verkkopelaamista jne) mikä voisi
vaarantaa samassa
>sisäverkossa olevat tärkeämmät koneet? Varmaan niihin "pahan
maailman"
>puolelle muuria tuleviin koneisiin tulee sitten kuitenkin
jotenkin
>järkevästi konffattu softamuuri?
Noi suojaamattomat koneet ovat vähän mutkikas juttu, toisessa on
aina välillä
P2P ohjelmia, servun pyörittelyjä ja verkko pelaamista missä ei
hirveästi NAT:ia kaivata.
Toinen kone taas ei ole omassa omistuksessa, mutta siinä on
muuten kaikki päivitykset
ja muut niin hyvällä tasolla että se tuskin mitään tarvitseekaan
+ se on vielä pelkkä työkone.
Molemmissa koneissa jotka jäävät palomuurin ulkopuolelle on
softamuuri,
ja ainakin omien tietojen mukaan ihan hyvässä kasassa konffit
niissä.
Noihin rautamuurin taakse tulevin koneisiin olisi myös varmaan
hyvä hommata joku
kevyt softamuuri troijalaisten varalta ?
koska niiden käyttäjät eivät oikein koneista tiedä ja onnistuvat
saamaan millon mitäkin
troijalaisia viruksia koneillensa..
>Ihan käytännön juttu joka tuosta tuli mieleen. Millainen se sun
adsl-yhteys
>on, lähinnä ajan takaa montako ip-osoitetta saat isp:ltä (ja
takaako esim.
>joku niitten kuuluvan samaan aliverkkoon, mikä lienee
harvinaista), ja
>toisaalta, onko sulla tavoitteita millaisia (julkisia/ei-
julkisia)
>osoitteita tarvitset eri koneillesi, muurin kummallakin
puolella? Riittääkö
>esim. että heikommin suojatut koneet eivät tiedä mitään
toisistaan? Suojatun
>verkon koneitten varmaan pitäisi nähdä toisensakin jotenkin
hallitusti
>(esim. sisäverkon koneitten kesken tapahtuvan tiedostojen jaon
jne takia)
Tällä hetkellä nopeus on 2 Mbps/512 kbps, mutta parin kk sisällä
tulee nousemaan 8 Mbps/1 Mbps.
Soneran sivuilta on aika tuskasta kokeilla tarkastella monta IP-
osotetta liittymä
saa, muistelin ennen olisi ollut 10, mutta nyt lukee "5 konetta
saa kytkeä verkkoo"
eli taitaapi nykyään olla 5 IP-osotetta.
Aliverkosta en ole mitään kuullut eli sanoisin että ei :\
Suojaamattomien koneiden ei tarvitse toisistaan mitään tietää,
mutta rautamuurin takana
olevien olisi ihan kiva toisensa nähdä juuri tuon tiedostojen
jaon takia.
Julkisia IP-osotteita ei tarvita muille kuin niille koneille
jotka eivät ole rautamuurin
takana.
>Jos adsl-purkkisi tekee jo 1:n natin, niin muurin pitäisi
mieluusti toimia
>transparenttina, ts. 2 peräkkäistä nattausta ei kuulosta
hyvältä. Ja
>toisaalta, silloin heräisi myös kysymys mikä olisi muurista
saavutettava
>varsinainen hyöty. Eräs käypä malli olisi (jos saat useita
osoitteita
>isp:ltä) että "villit" koneet saavat julkisen osoitteen
dhcp:llä, ja muuri
>hakee itselleen yhden julkisen osoitteen jonka nattaa
sisäverkkoosi jossa
>käytät privaattiverkon osoitteita (ja _tarvittaessa_ ohjaa
ulkoa tulevan
>liikenteen tiettyjen sisäverkon koneitten tiettyihin
portteihin).
Adsl-purkki ei toimi nattina, tosin asetuksissa sen saa kyllä
tarvittaessa päälle.
Kiitokset jälleen kaikesta erittäin hyvästä avusta!
Sori että tää vastailu vähän kestää, pitelee vähän kiirettä
kokoajan.
----------------------------------------------
Posted with NewsLeecher v2.0 RC2
* Binary Usenet Leeching Made Easy
* http://www.newsleecher.com/?usenet
----------------------------------------------
|
|
| | From: | Timo Neuvonen | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | Wed, 19 Jan 2005 20:35:33 +0200 |
|
|
| > Toinen kone taas ei ole omassa omistuksessa, mutta siinä on
> muuten kaikki päivitykset
> ja muut niin hyvällä tasolla että se tuskin mitään tarvitseekaan
> + se on vielä pelkkä työkone.
>
"Pelkkä työkone". Hmm. Ellei jokin nimenomaan estä, niin minä varmaan
pyrkisin pitämään sellaisenkin muurin sisällä. Mutta jos se tarvitsee
julkisen osoitteen, niin näin on ehkä helpompaa.
> Noihin rautamuurin taakse tulevin koneisiin olisi myös varmaan
> hyvä hommata joku
> kevyt softamuuri troijalaisten varalta ?
> koska niiden käyttäjät eivät oikein koneista tiedä ja onnistuvat
>
Voihan softamuuri tosiaan olla ihan hyvä lisänä, mutta
mä-en-tiedä-mistään-mitään- käyttäjien koneet on mun mielestäni hyvä saada
juuri rautapurkin taakse. Silloin ei ihan pikku töppäily koneella
säätäessäkään käännä suojausta ihan nollille.
> Suojaamattomien koneiden ei tarvitse toisistaan mitään tietää,
> mutta rautamuurin takana
> olevien olisi ihan kiva toisensa nähdä juuri tuon tiedostojen
> jaon takia.
>
> Julkisia IP-osotteita ei tarvita muille kuin niille koneille
> jotka eivät ole rautamuurin
> takana.
>
Silloin tämä on periaatteessa simppeli homma. Muuri hakee yhden julkisen
ip:n dhcp:llä, ja nattaa sen sisäverkkoon. Sisäverkon osoitteet oman mielesi
mukaan joko manuaalisesti aseteltuja kiinteitä tai muurin dhcp-servu jakaa
ne haluamastasi privaattiosoitesarjasta.
Jos nyt ymmärrän oikein, niin noilla sisäverkon koneilla ei sitten pyörisi
mitään sellaista palvelua, jonka takia sinne olisi tarpeen ohjata mitään
liikennettä ulkomaailmasta päin. Jos budjetti on tarkalla, ja kerran
ajattelit softamuureja vielä koneisiin, niin silloin voisi varmaan tyytyä
johonkin minimiominaisuuksilla olevaan nattaavaan boksiin, koska jo pelkkä
many-to-1 nattaus ilman porttiforwardointia on aika hyvä suojaus. Silloin
riittänee kunhan purkki osaa käsitellä reilusti yli 10Mbps liikenteen, etkä
löydä siitä esim. nyysseistä kovin paljoa haukkumisia esim.
kaatumatautisuuden takia. Säästänet satasen verrattuna "parempaan" halpaan
purkkiin.
Saattaisit pärjätä esmes Telewellin TW-645 purkilla jota näkyy saavan alle
viidenkympin -ja siinä olisi 4 ethernet-porttia valmiina sisäverkon
koneille. Toinen halpa mikä osui silmiin ja voisi olla ihan kiinnostava,
olisi SMC Barricade EZ 7004A missä olisi mukana printteriserveri. Saisit
sisäverkon koneitten yhteisen kirjoittimen kytkettyä tähän; tulostus
wörkkisi kummalta tahansa koneelta aina, vaikka toinen kone olisi
sammuksissa. Mutta mulla ei siis ole näistä omaa kokemusta; koita haeskella
noista jotain kokemuksia ja lukaise myös valmistajan speksitkin läpi. TW
speksit ei välttämättä paljoa kerro, mutta SMC voisi osata kertoakin
laitteestaan jotain spekseissään. Ja onhan noita varmaan paljon muitakin
purkkeja -mulla oli vaan lähteenä mbnetin hintaseurannan palomuurit ja
katsoin sieltä paria halpaa. Pelkkää nattausta itse asiassa luulisi minkä
tahansa laitteen osaavan tehdä tähän käyttöön riittävällä vauhdilla.
--
TiN
|
|
| | From: | Severi Salminen | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | Wed, 19 Jan 2005 23:07:39 +0200 |
|
|
| Telewellin 716v2 ADSL -modeemissa on melko monipuolinen palomuuri ja
omaa 4 ethernet-porttia. Sen saisit konffattua niin, että esim. kaksi
konetta on NATin takana ja kaksi muuta saavat IP:n suoraan ISP:ltä. Tai
vaihtoehtoisesti niin, että kolme porttia on NATin takana ja yksi
suorassa yhteydessä. (Tai niin, että kaikki ovat/eivät ole NATissa)
Palomuuriominaisuudet näyttäisivät pikaisesti katsottuna olevan
vähintään yhtä hyvät kuin varsinaisessa palomuurilaitteessa 645:ssä -
löytyy SPI, packet filter monipuolisilla säädöillä, läjä erilaisia
hyökkäysestoja (DOS jne), URL-filtteri jne. Jotain osviittaa saat
vanhentuneista manuaaleista Easytelin sivuilta. Lisää ominaisuuksia
tulee joka FW-päivityksellä. Hintaa on toki hieman enemmän kuin 645:llä:
716v2 maksaa 100+ euroa, mutta näin pärjäisit vain yhdellä boksilla.
Kannattaa harkita.
Severi S.
|
|
| | From: | Timo Neuvonen | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | Thu, 20 Jan 2005 08:24:15 +0200 |
|
|
| > Telewellin 716v2 ADSL -modeemissa on melko monipuolinen palomuuri ja
> omaa 4 ethernet-porttia. Sen saisit konffattua niin, että esim. kaksi
> konetta on NATin takana ja kaksi muuta saavat IP:n suoraan ISP:ltä. Tai
>
Erotellaanko nuo fyysiset ethernet-portit toisistaan palomuurisääntöjen
konffauksissa, ja sitä kautta määräytyy porttien välille sallittu liikenne?
Vai ovatko ne vain portteja kytkimeen jonka yksi virtuaalinen portti on
kytketty palomuuriin, ja porttien tunnistus säännöille mm. ip:n antamista
varten perustuisi esim. liitetyn laitteen mac-osoitteeseen, jolloin
pohjimmiltaan porttien välillä kaikki liikenne olisi sallittua?
--
TiN
|
|
| | From: | Severi Salminen | | Subject: | Re: Rautamuurista muutamat kysymykset | | Date: | Thu, 20 Jan 2005 11:06:56 +0200 |
|
|
| Timo Neuvonen wrote:
> Erotellaanko nuo fyysiset ethernet-portit toisistaan palomuurisääntöjen
> konffauksissa, ja sitä kautta määräytyy porttien välille sallittu liikenne?
> Vai ovatko ne vain portteja kytkimeen jonka yksi virtuaalinen portti on
> kytketty palomuuriin, ja porttien tunnistus säännöille mm. ip:n antamista
> varten perustuisi esim. liitetyn laitteen mac-osoitteeseen, jolloin
> pohjimmiltaan porttien välillä kaikki liikenne olisi sallittua?
Easytelin sivuilla uuden BIOS-päivityksen ohjeissa sanotaan:
------------------
* versio TW-EA716V2v501-bridgewan.afw
= laite päivittyy tilaan, jossa
* Ethernet-portit 1 ja 2 ovat reitittävässä tilassa palomuurin takana
eli saavat oman aliverkon IP-osoitteen (verkko 192.168.0.1-255, GW
192.168.0.254)
* Ethernet-portit 3 ja 4 ovat sillatussa tilassa siten, että IP-osoite
tulee suoraan operaattorilta kyseisten porttien tietokoneille
* WLAN-liitynnässä olevat tietokoneet ovat palomuurin takana eli saavat
oman aliverkon IP-osoitteen (verkko 192.168.1.1-255, GW:192.168.0.254)
-------------------
Paha mennä sanomaan, jäävätkö tällöin portit 3-4 kokonaan palomuurin
ulkopuolelle (sen käsityksen tuosta kyllä saa), mutta luulisin, etteivät
ne ainakaan sisäverkon koneita näe. Itse kun äsken kokeilin pelkästään
siltaavaa tilaa (IP operaattorilta), en päässyt edes konffaamaan
modeemia, jonka osoite on siis (192...). Tuota ylläolevaa BIOSia en ole
kuitenkaan kokeillut.
Toki voit luoda ainakin packet filtteriin sääntöjä, jotka koskevat
vain tiettyjä IP-osoitteita. Kokeilin pikaisesti luoda säännön, joka
päästää kaiken liikenteen ulos/sisään omalta koneeltani ja se toimi.
Tällä tavoin voisit esim. avata pelikoneen kaikki portit sepposen selälleen.
Varmaan viisainta olisi kysyä suoraan Easyteliltä tätä asiaa (koskien
nimenomaa uusimpaa BIOS-versiota), sillä tuosta yllä olevasta
selityksestä ei saa ihan 100% varmuutta.
Severi S.
|
|
|
