Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Maty 16. 11. 2018, 06:07:14
-
Zdravím Vás.
Potřebují z bodu A dostat internet do bodu B - 200 m.
Od providera připojení přes ubiquiti, který routuje.
Už mame udělané 2 takove spoje take na ubiquiti .
Ted je ale podmínkou, aby v bodě B nefungoval internet.
Zakazane všechný portý a funkční jen jeden, který použivá program.
U ubiquiti nastavených jako bridge así žadný firewall nenajdu.
Pujde to nějak vyřešít, když spoj postavím na mikrotiku sxt Lite5 nastavenem jako bridge a druhé station bridge
https://www.i4wifi.cz/MikroTik-RouterBoardy/RouterBoard-SXT-Lite5-dualni-16-dBi-antena-MIMO-2x2-Nv2-L3-5GHz.html
https://www.youtube.com/watch?v=QIp9jfABZFY
-
Potřebují z bodu A dostat internet do bodu B - 200 m.
Ted je ale podmínkou, aby v bodě B nefungoval internet.
Nejses ty tak trochu mladej Andy Babis?
-
Mam rad lidí, kteří neporadí, ale uděla jím radost, když si mohou rýpnout.
Tak ještě jednou pro tý co to nepochopili.
Potřebují z bodu A dostat internet do bodu B - 200 m, ale abý v bodě B býl otevřený jen jeden port.
-
Normalne wifi s vnitrni siti, ale v te siti nebude nastavenou routovani ven do netu.
-
Mam rad lidí, kteří neporadí, ale uděla jím radost, když si mohou rýpnout.
Tak ještě jednou pro tý co to nepochopili.
Potřebují z bodu A dostat internet do bodu B - 200 m, ale abý v bodě B býl otevřený jen jeden port.
Ale já bych Ti třeba i poradil, ale z toho cos psal, jaksi není poznat, co vlastně chceš.
A ani teď po upřesnění pro ty, co to nepochopili, pořád není jasné, co chceš. Neumíš naformulovat dotaz, tak se pak nediv.
-
Normalne wifi s vnitrni siti, ale v te siti nebude nastavenou routovani ven do netu.
To potom ale nesplnis jeho podminku, ze potrebuje do bodu B internet ;-)
Chlapcovi zrejme splyvaji pojmy a v podstate nevi co chce. Nebo to vi, ale neumi to vyjadrit pisemne :)
-
To maty:
Potrebujes v bode B zakazat vsetku komunikaciu smerom von(klient nemoze nadviazat ziadne spojenie smerom von)? Ma fungovat len smerom dnu a to len na jednom konkretnom porte?
p.s.Ten tvoj dotaz fakt tazko pochopitelny, je napisany ako po 10 pivach.
-
Tak ještě jinak.
Na sloupu je od providera připojení přes ubiquiti, který routuje.
UTP do switche.
Do switche už jsou připojené 3 spoje přes ubiquiti point to point - bridge.
To samé potřebují do bodu 4, ale aby tam byli všechny porty blokle, kromě jednoho který používá jejích program.
-
Hint: Woe, na to potřebuješ router, ne P2P pojítko, které řeší věci na naprosto jiné vrstvě. Vivat ISP Ferda Mravenec. ::)
-
B<------>A<------>ISP
V bodě A(Ubnt) si vytvoř na firewallu pravidlo(jde to dokonce i v bridge), něco ve smyslu:
DROP--- ANY --- IP Src. 192.168.1.20 --- !Dst. 192.168.1.1 --- Port 22
druhá možnost je dropovat vše z té zdrojové IP co chce opustit WLAN0(směr ISP)
-
V bode B internet vôbec nepotrebuješ, firewall tým pádom tiež nie. V bode A, pripojenom na internet, len presmeruj požiadavky z internetu na porte xxx na IP bodu B.
-
V bode A, pripojenom na internet, len presmeruj požiadavky z internetu na porte xxx na IP bodu B.
To by tam ale musel mít ten router. ;D Ferda Mravenec akorát přeposílá dál vlnění.
-
V bode B internet vôbec nepotrebuješ, firewall tým pádom tiež nie.
To je docela odvážné tvrzení :-)
-
To samé potřebují do bodu 4, ale aby tam byli všechny porty blokle, kromě jednoho který používá jejích program.
Co rozumíš větou "aby tam byli všechny porty blokle, kromě jednoho" ?
Pokud dokážeš vysvětlit toto, tak Ti asi pak budeme umět pomoci :)
Mimochodem, je nějaký důvod, proč máš na tři (čtyři) spoje tři (čtyři) p2p linky? Teda kromě toho, že máš zbytečně moc peněz a potřebuješ je utratit za zbytečné železo?
-
Co rozumíš větou "aby tam byli všechny porty blokle, kromě jednoho" ?
Prostě mu tam na nějaké kraksně běží nějaká "serverová" sračka a dotyčný netuší, jak funguje komunikace (zjevně si myslí, že server odpovídá klientům na tom samém portu, na kterém poslouchá.)
Pat a Mat hadr. ::)
-
Co rozumíš větou "aby tam byli všechny porty blokle, kromě jednoho" ?
Prostě mu tam na nějaké kraksně běží nějaká "serverová" sračka a dotyčný netuší, jak funguje komunikace (zjevně si myslí, že server odpovídá klientům na tom samém portu, na kterém poslouchá.)
Pat a Mat hadr. ::)
Jako tuším, že asi chce zpřístupnit tu "serverovou sračku" zvenku a současně zamezit komunikaci směrem ven iniciovanou zevnitř z tý mašiny, na který běží ta "serverová sračka". Ale to si jen myslím.
A fakt nechápu, proč má několik p2p spojů, když, podle jeho popisu, to všechno routuje až mašina od ISP.
-
vyprdni se na ty mrzáky egoistický....to co chceš řešit jsem již take řešil:
----------------------------------------------------------------------------------------------------------------------------------------
B<---wifi--->A2<-kabel---switch---kabel--->A1<---wifi--->ISP
----------------------------------------------------------------------------------------------------------------------------------------
V tomto modelu použiju UBNT zařázení.
Řekněme, že A2 a B jsou v modu Bridge a na switch je připojen nějakej ten server, kde běžý služba na kterou chceš tu stanici pustit a zablokovat ji přístup do inetu.
Na A2 i když je to Bridge lze nastavit firewal, kdo nevěří ať si to zkusí.
příklad:
Stanice kterou nechceš pustit do inetu ale jen na službu v lokální síti má IP 192.168.1.20, server kde běží ta služba(ssh) 192.168.1.10
DROP--- ANY --- IP Src. 192.168.1.20 --- ! Dst. 192.168.1.10 --- Port 22
zahoď všechno z IP 192.168.1.20 co nejde na 192.168.1.10 --- Port 22
dalšíma fičurama bude potřeba zajistit aby když si klient změní IP, ho to zamítlo a nebo to pravidlo postavit na MAC
-
vyprdni se na ty mrzáky egoistický....to co chceš řešit jsem již take řešil:
----------------------------------------------------------------------------------------------------------------------------------------
B<---wifi--->A2<-kabel---switch---kabel--->A1<---wifi--->ISP
----------------------------------------------------------------------------------------------------------------------------------------
V tomto modelu použiju UBNT zařázení.
Řekněme, že A2 a B jsou v modu Bridge a na switch je připojen nějakej ten server, kde běžý služba na kterou chceš tu stanici pustit a zablokovat ji přístup do inetu.
Na A2 i když je to Bridge lze nastavit firewal, kdo nevěří ať si to zkusí.
příklad:
Stanice kterou nechceš pustit do inetu ale jen na službu v lokální síti má IP 192.168.1.20, server kde běží ta služba(ssh) 192.168.1.10
DROP--- ANY --- IP Src. 192.168.1.20 --- ! Dst. 192.168.1.10 --- Port 22
zahoď všechno z IP 192.168.1.20 co nejde na 192.168.1.10 --- Port 22
dalšíma fičurama bude potřeba zajistit aby když si klient změní IP, ho to zamítlo a nebo to pravidlo postavit na MAC
No, zřejmě narozdíl od těch mrzáků egoistických umíš číst myšlenky, protože tazatel nikde nepíše, kde tu "serverovou sračku" má puštěnou ;-) A jasně napsal, že na switchi má napíchnutý p2p spoje, o serveru nikde řeč nebyla.
Takže Tvůj konstrukt je sice hezký, ale založený na Tvých předpokladech, které můžou být od skutečnosti diametrálně odlišné .. uvědomuješ si to, altruistický mrzáku?
A BTW s těma dalšíma fíčurama se nenech vysmát ... stavět přístup na filtrování MAC je fakt dost úsměvný ... jen to ukazuje, jaký seš "odborník" ...
-
....blabla bla
takže zase nic
-
....blabla bla
takže zase nic
bingo ;-)
-
A fakt nechápu, proč má několik p2p spojů, když, podle jeho popisu, to všechno routuje až mašina od ISP.
Taky netuším. Jsou tři možnosti:
- buďto rozsekává VLANy z toho hlavního ( a pak si prostě nastaví na routeru, který řeší ty VLANy pravidlo pro VLAN s tím čtvrtým spojem - pokud o tom neví, je matla ),
- nebo potřebuje generovat další EM smog, srazit přenosovku, zhoršit parametry sítě a utratit víc peněz ( to by dělal jenom matla ),
- nebo chce na každým zařízení jiný SSID a heslo k WiFi ( na to jsou levnější a spolehlivější řešení, pokud to není matla ).
Pat a Mat hadr. ::)
Jojo, vydá za oba současně v jednom balení
-
Prostě mu tam na nějaké kraksně běží nějaká "serverová" sračka a dotyčný netuší, jak funguje komunikace (zjevně si myslí, že server odpovídá klientům na tom samém portu, na kterém poslouchá.)
A možná má v tomto bodě nakonec i pravdu, ne? ;-) On server obvykle odpovídá na tom samém portu. Že interně TCP stack uloupl přišedšímu klientovi dedicated socket (ala file descriptor), to není zvenčí vidět. Pokud ovšem nemáte na mysli nějakou pokročilejší servisku, kde klientská relace využívá celou otýpku různých relací na čtvrté nebo jaké vrstvě...
Ale nazi rejpal přípodotek stranou: jinak souhlasím, že zadání je slabé. Chtělo by to obrázek od původního tazatele a nad ním si nějak dál povídat.
-
Myslíte, že se opravdu jedná o TCP/UDP port a není to port switche, bridge?
Kdyby tam zakončil třeba GRE tunel, tak by měl dilema o portech jednodušší.
-
vyprdni se na ty mrzáky egoistický....to co chceš řešit jsem již take řešil:
----------------------------------------------------------------------------------------------------------------------------------------
B<---wifi--->A2<-kabel---switch---kabel--->A1<---wifi--->ISP
----------------------------------------------------------------------------------------------------------------------------------------
V tomto modelu použiju UBNT zařázení.
Řekněme, že A2 a B jsou v modu Bridge a na switch je připojen nějakej ten server, kde běžý služba na kterou chceš tu stanici pustit a zablokovat ji přístup do inetu.
Na A2 i když je to Bridge lze nastavit firewal, kdo nevěří ať si to zkusí.
příklad:
Stanice kterou nechceš pustit do inetu ale jen na službu v lokální síti má IP 192.168.1.20, server kde běží ta služba(ssh) 192.168.1.10
DROP--- ANY --- IP Src. 192.168.1.20 --- ! Dst. 192.168.1.10 --- Port 22
zahoď všechno z IP 192.168.1.20 co nejde na 192.168.1.10 --- Port 22
dalšíma fičurama bude potřeba zajistit aby když si klient změní IP, ho to zamítlo a nebo to pravidlo postavit na MAC
Myslím, že toto řešení je rozumné, dokáže-li Ubiquity filtrovat pakety procházející bridgem (minimálně v nastavení ta možnost je zobrazená). Jen bych ten firewall nastavil blíže ke klientovi - rovnou na klientské anténě. Firewall na AP by mohl nechtíc blokovat i komunikaci klientské antény do netu (aktualizace, sntp apod). Je-li za klientskou anténou pouze jedno zařízení, pak se pravidlo může vztáhnout na celou síť (/24) a bude to odolné i vůči změně IP.
Obdobně lze pracovat i s MTikem, možnosti jsou obdobné.