punkac Odesláno 6. březen 2010 Odesláno 6. březen 2010 Jak nastavit tento router viz. obrázek tak, aby se na pc s vnitřní adresou 192.168.0.2 zvenku nikdo nedostal, ale tak aby se z něj mohlo ven do lanu i wanu (pokaď to půjde) to pc je defakto stále vypnuté, nemá ani monitor, občas na něj musím kvůli záloze z jiného mého pc v lanu přes vzdálenou plochu nebo vnc a nechce se mi stále odpojovat kabel wanu (i když to je nejlepší firewall ) Citovat
kujon106 Odesláno 6. březen 2010 Odesláno 6. březen 2010 Tu 192.168.0.2 má ten komp staticky, nebo mu to přiřazuje dhcpkem tenhle tvůj router? Protože jestli jo, tak je ten filtr jednoduchej - wan source ip any -> destination ip lan 192.168.0.2, protocol any, port any, always. Ale každopádně, ty máš veřejnou IP, že se bojíš takovýho útoku? Jestli je ten komp prakticky stále vypnutej, tak bych to snad ani neřešil :-) Citovat
punkac Odesláno 6. březen 2010 Autor Odesláno 6. březen 2010 dhcp je zakazaný, router přiřazuje IP adresy dle mac adres, takže PC v síti mají vždy stejné ip adresy (ty jsou natvrdo nastaveny v počítačích) někdy mám veřejnou a někdy neveřejnou adresu a měl jsem problém, proto jsem možná paranoidní a chci to mít pořešený [upravil dne 6/3/10 punkac] Citovat
punkac Odesláno 6. březen 2010 Autor Odesláno 6. březen 2010 mohlo by to vypadat takhle? Dá se to nějak prakticky vyzkoušet z venku bez veřejný adresy, třeba že bych do wanu píchnul notebook a zkusil se dostat na pc2??? Hlavně nerozumím tomu, co je v červeným rámečku, toto tam bylo od výrobce, příjde mi, jako, že se pravidla překrývají, neměl bych to smazat?? [upravil dne 6/3/10 punkac] Citovat
punkac Odesláno 6. březen 2010 Autor Odesláno 6. březen 2010 tak Kujone, z vnitřnísítě se na pc2 dostanu krásně, ale z pc2 se nedostanu ven, nešlo by to ještě trošku doladit, aby pc2 mohlo ven ale nikdo z venku k němu? ALe mám pocit, že nemůžu mít všechno Citovat
Chepp Odesláno 6. březen 2010 Odesláno 6. březen 2010 tak uz sem asi po 10x precteni pochopil co ptorebujes... ano da se udelat vyjimka na port treba 80, ale tim se ten pc dostane ne do netu... co ma vuci internetu delat? vnc nebo co tam potrebujes? Citovat
punkac Odesláno 6. březen 2010 Autor Odesláno 6. březen 2010 hele snad napoví obrázek.... mám 3 pc v lokální síti spojený routrem mezi sebou musí fungovat vše a dále potřebuju aby PC1 mohlo na internet a z internetu na něj, pc3 to samé a pc 2 potřebuji aby bylo z internetu neviditelné ale pokud by to šlo, aby se z něj dalo dostat na internet, brouzdání webu, mejl, stáhnutí z ftp atd více snad napoví obrázek [upravil dne 6/3/10 punkac] Citovat
punkac Odesláno 6. březen 2010 Autor Odesláno 6. březen 2010 teda po radě kujónově je router nastaven jako v mém topiku z 15:36 a dělá to to, že v lokální síti funguje vše, ale nejde se dostat na web (brouzdání asi port 80) sice se asi nejde z internetu dostat na komp což potřebuji ale nedá se dostat ven Citovat
Chepp Odesláno 6. březen 2010 Odesláno 6. březen 2010 tak to jaks taksi chapu, ale to chces zadnym jednoduchym systemem udelat nejde.. teda nenapada me tak... web port 80 ftp 20,21 smtp 25 jde to udelat tak ze si povolis prikladne jenom tyto porty.. ale uz tak se ten pc dostane do netu... Citovat
punkac Odesláno 6. březen 2010 Autor Odesláno 6. březen 2010 aha a kdyz povolim tyto porty, je možné se pak do pc2 nabourat nebo ne? hlavně se bojím toho portu 80 ostatní nemusí na pc2 běžet Citovat
Chepp Odesláno 7. březen 2010 Odesláno 7. březen 2010 mno prakticky ano... ono kdyz to vezmes do dusledku... tak se ti tam muze dostat i prez ty pravidla co tam mas hotovy.... to tam mas cisla bankovnich uctu nasi hollywood sceny bo co? kazdopadne teda si myslim ze bcyh nevidel jediny duvod tohle resit.. vlasnte proc to zakazovat... na pc hod nejaky avast, k tomu kerio personal firewall a zrus ty pravidla... nemas co resit.. kerio si nastav aby se te na kazdou komunikaci ptalo a je to vyreseny.. taky sem to takhle delal... ono po par tydnech se automaticky nauci co zakazovat a povolovat a mas to vyreseny. Taky sem to takhle delal paranoidne ze zacatku... ale prestal sem to resil. nechal windows firewall a je to vyreseny. v pc mam 1Tera picovin... takze to neresim... a dulezity veci nosim v hlave. Jen tak pro info... s tim win firewall bez nejakyhc ostatnich blbosti fungujem a nevadi nam to mam vIP primo na PC a nesere mne to... Pokud nejaky kokot se mi do pc dosta bude chtit dostane pokud ne tak nedostane... co udela smaze mi tu ze par her? nejakou muziku? vsechno stahnu z netu co ptorebuju a to ze mi treba zformatuje pc je teda tragedie... asi se budu muset vecer rezat v koupelce.... A mimo jine na mem pracovnim ntb nemam ani antivirus.. na co? zbytecne to na te mrdce acer aspire one zere vykon a pokud clovek neni vocas a nestahuje porno z www[dot]freepussy[dot]com tak nema co resit... takze bcy hse toho tak nebal... a je to vyreseny. Ale kdyby si chtel uplnou bezpecnost udelal bcyh to jinak poridil jeste jeden HTPC na tom spustil vzdalenou plochu a pridal dalsi sitovku.. a na nej bcy hse na net pripojoval prez vzdalenou plochu prez druhou sitovky kde by byl povolen jenom ten port.. .a ten port bych nehcal treba na tom HTPC na prohlizeni bcyh nehachal at tam nonstop bezi vic sluzeb kontrolujici ten port a je klid.. samoze vse prez 2 sitovku aspo gigabit... ale to je uz extrem Citovat
kujon106 Odesláno 7. březen 2010 Odesláno 7. březen 2010 To v tom červenym smaž, neb jsou to defaultní pravidla kde je povolenej provoz odkudkoliv kamkoliv. S tim tvym nastavenim jsou v rozporu, jako bys mu řikal - routuj to a neroutuj Ty když zablokuješ veškerou komunikaci z internetu do pc2, tak samozřejmě že ti na něm net nepůjde, neb to funguje systémem výzva-> odpověď. Takže ty se sice dostaneš ven (tu svojí výzvu, ale už budeš filtrovat odpověď). Jde o to si určit, jak by se ti ten \"útočník\" měl do toho PC dostat win sdílení, vzdálená plocha, nebo jakym způsobem? Jendo řešení by bylo zakázat tyhle porty. A nebo naopak jen povolit ty, který ty využiješ (podle toho co na tom pc chceš dělat). Když na něm čistě jen budeš surfit na netu, tak povolíš port 80, atp. Tady máš malinkou nápovědu Ale samozřejmě že když tam budeš mít nějakou škodlivou aplikaci běžící na tcp portu 80, tak se ti tam někdo dostane Prostě to komplet smaž a udělej takto. Budu uvažovat, že PC 1 a 3 mají IP končící 1 a 3. PC1 - 192.168.0.1 alow source WAN destination 192.168.0.1 protocol *.* port *.* alow source 192.168.0.1 destination WAN protocol *.* port *.* PC2 - 192.168.0.2 deny source WAN destination 192.168.0.1 protocol *.* port 0-79 deny source WAN destination 192.168.0.1 protocol *.* port 81-65535 alow source 192.168.0.1 destination WAN protocol *.* port *.* PC3 - 192.168.0.3 alow source WAN destination 192.168.0.3 protocol *.* port *.* alow source 192.168.0.3 destination WAN protocol *.* port *.* [upravil dne 7.3.10 kujon106] Citovat
kujon106 Odesláno 7. březen 2010 Odesláno 7. březen 2010 Pak taky můžeš zablokovat celý protokoly udp, imcp, atd., fakt záleží na tom, co na tom pc2 budeš všechno chtět dělat. Citovat
Recommended Posts
Zúčastnit se diskuse
Můžete odpovědět a až poté se registrovat If you have an account, sign in now to post with your account.