Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: Pavel1TU 16 Března 2008, 21:59:57
-
Zdravím vespolek,
mám nového poskytovatele, ten mi v základní ceně nabízí i veřejnou IP. Chtěl bych spravovat pár PC dálkově, nebaví mě tam pořád běhat, proto mám pár dotazů na zkušenější.
Pro info: jsem pod Routerem (mým) SMC 7004VBR EU2 a používám na všech PC Firehol, nebo pod Woknous antivir a firewall (toto PC provozuji výjimečně).
Rád bych věděl:
1) Je veřejná IP opravdu takové bezpečnostní riziko ?
2) Pomůže mi to vůbec na správu jiných PC, pokud oni nemají veřejnou IP ?
3) s SMC7004VBR mám problémy - sem tam se kousne - pokud by bylo nějaké alternativní řešení - jiný router - můžete doporučit (pak bych už chtěl aby měl i USB pro tiskárnu a USB pro disk)
4) Ještě jinak dozabezpečit PC ?
Předem moc děkuji za rady a názory a hlavně Vaše zkušenosti.
-
1) Ano i ne :) S vhodně nastaveným firewallem je to stejné jako s IP neveřejnou - což je v podstatě váš případ, neboť ona veřejná IP by ležela na routeru, který by NAToval (což je na koncových PC identické k situaci, kdy váš router NATuje do NATované sítě) :)
2) Teoreticky ano, pokud nastavíte vzdálená PC tak, aby se připojovala ona na vás a ne vy na ně
3) Dobré zkušenosti mám s ASUS WL-500g Premium - lze na něj poměrně snadno nainstalovat dd-wrt (nebo open-wrt), takže vlastně dostáváte plnohodnotný Linux v "krabičce".
4) Myslím si, že je to zbytečné - na vaše PC se za dobře firewallovaným NATem nikdo nedostane, takže je spíše vhodnější (a hlavně u Windows) hlídat si, co odchází od vás. Dokonce si myslím, že používat firewall na Linuxu za (firewallovaným) NATem je zbytečnost.
Ještě dodám, že celkově si myslím, že ANO, pokud máte dojem, že ji potřebujete (nebo budete potřebovat)
-
Ahoj,
1) to je fakt dost diskutabilna otazka a zalezi od toho co vsetko by si na tej verejnej potreboval nechat "otvorene svetu"
2) ak by si mal router na ktory sa da prihlasit ssh -ackom, tak by si mohol vyuzivavat tunelovanie portov
3) mal som chvilu 1 smc, ktore malo tiez podobny problem a co sa tyka malej sieti tak mam dobre skusenosti s ovislink 5460+appro modul, alebo juniper ssg5+wifi (to uz je ale ina cenova kategoria - ~$900)
4) ak sa budes napriklad pripajat, z nejakych lokacii s pevnou ip, tak je mozne na fw povolit pripojenie len z nich (ACL), alebo myslim, ze by bolo fajn keby router podporoval nejaku vpn (najlepsie ipsec) a tym by sa vyriesil aj tvoj problem s pristupom do lokalnej sieti.
a este by sa dalo mozno nieco poriesit pomocou "port knocking", ale to by si vyzadovalo aj upravenie sieti, lebo bezne hw routre to nepodporuju.
-
Je treba zvazit moznosti reseni toho, co chcete provadet. Pokud pro to verejna IP nutna je, pak je treba, abyste to ostatni tomu prizpusobil, a naopak. Nektere veci se daji resit pres VPN a podobne. Firewal se obecne da postavit tak, ze spojeni navazovana zevnitr jsou implicitne povolena, spojeni navazovana zvenku jsou naopak zakazana a povoleno jen co je nutne. Neomezuje to pak prilis uzivatele a je to dostatecne bezpecne.
Ovsem napriklad u (meho oblibeneho) openvpn musi jeden "konec" verejnou IP mit.