Zobrazit příspěvky

Ve své první odpovědi jsi hlavně operoval s tím, že je údajně "ISP nějaký šmudla". Samozřejmě aniž bys ho znal a věděl něco bližšího.

Informace, že mu nefunguje správně přístup veřejné IP adresy od jeho zákazníků, je postačující.

Jakési tvoje všeobecně uznávané standardy nejsou pochopitelně pro nikoho dalšího závazné

RFC opravdu nejsou moje standardy. Pořád se tu pasujete do role znalého, ale ani nevíte, co jsou RFC standardy?

Tazatel opravdu nic napravovat po ISP nemusí, přičemž to, jestli se mu na WAN jeho routeru objevují neveřejné IP adresy, mu může být úplně šumák.

Ano, tazatel nic napravovat po ISP nemusí, má to napravit ISP. Jestli s emu na WAN routeru objevují privátní IP adresy mu může být jedno a klidně je může zahazovat, protože tam nemají co dělat.

Zatím tady nebyl dodán žádný důkaz, že by neveřejné IP adresy na WAN tazatelova routeru způsobovaly nějaké obtíže, vyjma toho, když si tazatel dobrovolně tyto IP zablokoval a tím je pro sebe také znepřístupnil.

Ano, nebyl tu podán takový důkaz, což vám nebrání tvrdit, že ty privátní IP adresy potíže způsobují. Že je tazatel zablokoval a tím znepřístupnil je v pořádku, protože s žádnými privátními adresami na WAN komunikovat nemá.

Citace: A.S.2 14. 01. 2023, 11:59:47

Nikdy jsem netvrdil, že by neveřejné IP adresy opouštěly síť daného ISP, to sis tak akorát vymyslel, protože já opakovaně psal ohledně neveřejných IP adres (už od strany 1), že se jedná o provoz ve vlastní síti daného ISP. Takže více číst a méně fantazírovat

Pardon, zapomněl jsem, že sítím nerozumíte. Když chcete, aby zákazníkův router přijímal na WAN pakety se zdrojovou adresou z privátního rozsahu, a pouštěl je dál do sítě zákazníka, chcete, aby neveřejné IP adresy opouštěly síť ISP. Síť ISP totiž končí WAN rozhraním zákazníkova routeru, LAN rozhraní jeho routeru je už součástí sítě zákazníka, ne sítě ISP.

Takže ještě jednou – ve vlastní síti ať si ISP dělá s adresami co chce, ale na WAN rozhraní routeru zákazníka, což je předávací rozhraní mezi sítí ISP a sítí zákazníka, nemají privátní IP adresy co dělat. Jedinou všeobecně tolerovanou výjimkou jsou IP adresy pro spojovací síť mezi zákazníkem a ISP, pro tu se dnes (bohužel) běžně privátní adresy používají.

Jinak tedy - případné neveřejné IP adresy z cizích sítí (což je ale čistě hypotetická věc) by zahodil sám ISP, takže je nesmysl se o tom vůbec bavit a řešit nějakou blokaci na straně tazatele. K němu by totiž tyto neveřejné IP adresy vůbec nedošly.

Pokud ISP opravdu zahazuje privátní adresy z cizích sítí, než je zákazníkova síť, pak vypnutí toho pravidla na firewallu nic nezmění, protože už teď tam žádné takové pakety nepřicházejí. Ale vůbec ničemu nevadí, když zákazník takové pravidlo na svém firewallu má. To, že ho před něčím (možná) chrání ISP, neznamená, že si to nemůže pojistit i u sebe.

272

Server / Re:Komprimovat či nekomprimovat data pro HTTP

« kdy: 14. 01. 2023, 11:53:20 »

Citace: _Tomáš_ 14. 01. 2023, 11:37:49

Důvod je, že aplikační servery se škálují daleko lépe než ty proxy přes které teče obsah.

To je dost odvážné tvrzení. Dovedu si představit případy, kdy to tak bude, ale častěji je to právě naopak. I proto se ty proxy servery (často spolu s poskytováním statických souborů) používají – protože je daleko jednodušší naškálovat proxy server než aplikační server.

Jinak se zbytkem souhlas – statické soubory komprimovat předem co nejlepšími kompresními metodami, vyplatí se jednou tomu věnovat víc cyklů procesoru a paměti a pak opakovaně posílat menší soubor. U proměnlivého obsahu se to musí řešit případ od případu, zda se to vůbec vyplatí komprimovat. Pokud se to dá postihnout rozumnými pravidly, je lepší to komprimovat až na proxy serveru, kde se to lépe škáluje. Ale mohou nastat i případy, kdy dává smysl nechat rozhodnout aplikační logiku o tom, zda odpověď komprimovat nebo nekomprimovat.

273

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 14. 01. 2023, 11:19:08 »

Že jde o lokálního ISP já vím už dávno, zatímco tobě tento fakt zjevně dlouhou dobu unikal

Jasně, mně to unikalo, a proto jsem s tím operoval hned ve své první odpovědi.

A jak to má lokální ISP vyřešeno je jeho rozhodnutí a má pro to asi své důvody.

Akorát že to řešení musí odpovídat všeobecně uznávaným standardům (např. internetovým RFC).

Tazatel nemusí nic napravovat po ISP.

Musí. Pokud tazatel něco nezatajil, třeba že by blokoval provoz nějakých veřejných nebo jiných než privátních rozsahů, pak je to problém na straně ISP.

Tazatel má přestat nesmyslně blokovat přístup z neveřejných IP adres a bude po problému.

To blokování není nesmyslné. Privátní IP adresy nemají na WAN co dělat, s výjimkou případné spojovací sítě mezi ISP a zákazníkem, pokud pro to ISP chybně používá privátní IP adresy.

A jestli nebude - jak tady spekuluješ - pak ať si to tazatel řeší přímo s ISP, jistě nějaké řešení najdou.

Ano, spekuluju, protože je to častý případ těchto lokálních ISP. Nebudu tazateli radit „rozbijte si firewall, vyřešíte problém za ISP, určitě to pomůže“, když vím, že to pomoci nemusí. A že chyba je na straně ISP a má to vyřešit on i v případě, kdyby by se problém dal obejít hackem na straně zákazníka.

A jestli ne, tak je vždy možnost změnit ISP na jiného.

V místech, kde působí tihle lokální poskytovatelé, často moc na výběr nebývá.

Citace: A.S.2 14. 01. 2023, 10:09:02

Za normální považuji, že jsou lokální sítě řešeny poněkud odlišně, než sítě velké. Přičemž znovu zopakuji, že neveřejné IP adresy mohou "putovat" po síti daného ISP, ale dost těžko tuto síť opustí, takže jestli se tazateli na WAN objevuje přístup z neveřejných IP adres, pak se vždy jedná jen a pouze o interní síť jednoho ISP a není důvod se znepokojovat a vymýšlet nějaké blokace.

Tak si rozmyslete, co vlastně tvrdíte. Nejprve tvrdíte, že je v pořádku, když privátní IP adresy opouštějí síť ISP a vstupují do sítě zákazníka. Pak zase tvrdíte, že privátní IP adresy těžko síť ISP opustí. Tak co teda tvrdíte? (Správně je samozřejmě to druhé. Privátní IP adresy jsou nadefinované tak, že jsou určené pro privátní sítě a nesmějí je opustit. Takže pokud se na WAN zákazníka dostane jakýkoli paket s privátní adresou jinou, než má to WAN rozhraní přiřazené, je to špatně. Znamená to, že ten paket opustil privátní síť. A takový paket má být zahozen.)

274

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 14. 01. 2023, 10:41:13 »

Jinak argument s O2 (tedy spíš s Cetinem) jsem pochopitelně čekal už dávno a hned bych na to reagoval tím, že zde je řeč o lokálním ISP. A to opravdu není totéž co největší poskytovatel netu v ČR. I když tobě to z neznalosti asi všechno splývá dohromady, a jelikož sám nikomu net neposkytuješ, tak ani nepřekvapí, že jsi zcela dezorientován v dané problematice.

Výborně, takže už jste pochopil, že jde o lokálního ISP. Tak teď si zkuste zjistit, jaké techniky používají takoví ISP pro poskytování veřejných IP adres klientům.

Citace: A.S.2 14. 01. 2023, 10:17:50

Mimochodem v celé této debatě je klíčem k řešení toto z úvodního dotazu: "Našel jsem na našem firewalu pravidlo zákazu přístupu na WAN port z privátních adres. To by asi mohlo klientům na privátních adresách služby zpřístupnit.". Ne nějaké oduševnělé rady, co by měl dělat ISP (ten ať si dělá co chce a komu se to nelíbí, nechť si (_!_) políbí, jak praví jedno rčení).

Za prvé, pokud opravdu ISP posílá na přejímací rozhraní zákazníka pakety se zdrojovou IP adresou z privátních rozsahů, je to jednoznačně chyba ISP a řešením problému je, že si to ten ISP spraví.

Za druhé, i kdyby tazatel chtěl zkoušet nějaký workaround a napravovat u sebe chybu ISP, záleží na tom, jak vypadá síť ISP – je dost možné, že zrušení toho (správného) pravidla na firewallu, které zakazuje na WAN příchozí komunikaci z privátních adres, ničemu nepomůže a komunikace od zákazníků ISP dál nebude fungovat.

Každopádně děkuji za váš nechtěný příspěvek do diskuse k NATům. Až zase někdo bude tvrdit, že má síť „schovanou a chráněnou“ za NATem, odkážu ho na vás, že vy považujete za naprosto normální, že se na WAN rozhraní objevují pakety s IP adresami z privátních sítí a vy je propouštíte do své sítě.

275

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 14. 01. 2023, 09:38:59 »

Citace: A.S.2 13. 01. 2023, 22:46:53

O jakého ISP jde opravdu nevím a stejně tak nevím, proč se na to tazatele přímo nezeptáš a pak danému ISP nedáš svoji cennou radu.

Já jsem svoji radu napsal sem. Je na tazateli, jak s tím naloží. Pokud tedy rozumné odpovědi najde mezi vašimi bláboly. Mimochodem, tazatel není první ani poslední, který se tu ptá na to, co má dělat s tím, když mu ISP poskytuje veřejnou IP adresu ale poskytuje mu jí špatně.

Já zase nevím, proč do téhle diskuse vůbec přispíváte, když nejste schopen tazateli nic poradit.

Citace: A.S.2 13. 01. 2023, 22:46:53

Když je to všechno tak triviální, jak tady naznačuješ. Jestli to ale spíš není tak, že ona triviálnost je pouze v tvých představách a daný ISP má svoji síť udělanou, že 1) změna není nijak snadno možná nebo 2) má svoje důvody, proč je to řešeno jak je. Ono od netu na dálku se to dobře mudruje, ale v praxi to pak bývá o poznání horší...

Problém je, že se pokoušíte diskutovat o věcech, kterým nerozumíte. Já jsem nikde nepsal, že to na 100% je triviální. Já jsem napsal, co s největší pravděpodobností způsobuje problém – a protože daný případ má jednoduché řešení, tak jsem ho popsal. A proč si myslím, že je vysoká pravděpodobnost, že je to takhle? No protože už jsem viděl několik sítí, kde to takhle bylo udělané, a už jsem viděl dost dotazů na internetu „jsem u malého ISP, poskytuje mi veřejnou IP pomocí DNATu a sousedé u stejného ISP se na mou veřejnou IP nedostanou“. Větší ISP mají síť samozřejmě řešenou jinak, jenže ti si za prvé nedovolí posílat klientům na předávací rozhraní pakety se zdrojovou IP adresou z privátního rozsahu, za druhé si nedovolí poskytnout svým zákazníkům veřejnou IP adresu způsobem, že se na ni ostatní zákazníci téhož ISP nedostanou. Zkuste se zamyslet nad tím, co by se asi stalo, kdyby takhle postupovalo třeba O2 a svým zákazníkům by poskytovalo veřejné IP adresy tak, že by se na ně ostatní zákazníci O2 nedostali.

To, že takovéhle věci nevíte, je v pořádku, nikdo neví vše. Ale proč máte potřebu se k tomu vyjadřovat a shazovat lidi, kteří to vědí a poradí ostatním, to nechápu.

276

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 13. 01. 2023, 22:32:02 »

Citace: A.S.2 13. 01. 2023, 22:19:31

Citace: Filip Jirsák 13. 01. 2023, 22:01:42
Citace: A.S.2 13. 01. 2023, 21:54:38
Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo
Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?
Snad ti to autor dotazu sdělí, když jsi takový odborník (=Brouk Pytlík), ne?

Popravdě mi až po odeslání předchozího komentáře došlo, že vy možná víte, o kterého ISP se jedná – zároveň by to vysvětlilo vaše komentáře.

Na to, abych uměl napsat jedno pravidlo do NATu, není potřeba být odborník. A já jsem alespoň něco poradil, na rozdíl od vás – vy tu jen blbě žvaníte.

277

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 13. 01. 2023, 22:12:48 »

Citace: Ħαℓ₸℮ℵ ␏⫢ ⦚ 13. 01. 2023, 21:41:21

Jinak by mě zajímalo, veřejenou IP adresu svým zákazníkům udělá DNATem jde udělat přes iptables ? Já s tím umím jen porty:

Ano, DNAT může měnit i IP adresu. Třeba:

Kód: [Vybrat]

iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 10.0.10.137

Pokud ISP používá ve své síti a pro klienty privátní rozsahy a nechce veřejné IP adresy routovat, použije právě DNAT. Není to ideální řešení, protože DNATovaná veřejná IP adresa není úplně plnohodnotná, ale někteří ISP to používají, protože je to nejjednodušší řešení. No a když má ISP poskytování veřejných IP adres řešené takhle, musí na provoz ze své sítě na ty DNATované veřejné IP adresy dělat i SNAT, aby se pakety vracely zpátky na ten NATující stroj. (Teda dalo by se to řešit třeba i ARP proxy, ale když už na tom zařízení máte DNAT, je nejjednodušší přidat tam druhé pravidlo pro SNAT.)

278

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 13. 01. 2023, 22:01:42 »

Citace: A.S.2 13. 01. 2023, 21:54:38

Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo

Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?

279

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 13. 01. 2023, 20:12:16 »

Citace: A.S.2 13. 01. 2023, 19:24:16

celou síť předělá

To, že jste nepochopil ani to, jakou jednoduchou změnu má ISP udělat, aby mu začaly veřejné IP adresy fungovat správně, jste si mohl nechat pro sebe. Nebylo potřeba to hlásit.

280

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 13. 01. 2023, 17:26:42 »

Citace: A.S.2 13. 01. 2023, 16:40:31

Tady bude odpověď velmi stručná - pokud zaměstnanec (natož nějaká pobočka) používá VPN, tak má jistě firma IT specialistu a ten si s tím u zaměstnance poradí (nepochybně IT specialista řeší u VPN celou řadu obtíží, než jenom příp. shodu rozsahu sítí). A není tudíž nutné malovat Jirsákovské čerty na zeď a strašit okolí, jaký to bude údajně nepřekonatelný problém v lokální síti ISP s neveřejnými IP adresami

Já jsem netvrdil, že to bude nepřekonatelný problém. Ale pokud bude jeden router připojen do dvou různých sítí s překrývajícími se rozsahy, bude to dost velký problém.

Nicméně VPN je jenom jeden z příkladů, kdy to může způsobit problém. Podstatné je ale to, že ISP připojuje své zákazníky do internetu, WAN rozhraní zákazníkova routeru je tedy připojené do internetu. A pakety se zdrojovou IP adresou z privátních rozsahů nemají na internetu co dělat a je zcela v pořádku je blokovat.

Ale abychom to nějak uzavřeli. Já jsem argumentoval následujícím:

RFC 1812, RFC 1918,
Popsal jsem dvě možné topologie sítě ISP odpovídající dotazu a pro oba dva případy jsem popsal možné řešení.

Naproti tomu A.S.2:

Napsal, že dotaz je divný a začal řešit úplně něco jiného, než na co se tazatel ptal.
Nenapsal nic k tomu, jak problém vyřešit.
Neodkázal se na žádný standard.
Vůbec neřešil, jak může vypadat síťová topologie, kde takový problém vznikne.
Za to má spoustu ničím nepodložených dojmů.

281

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 13. 01. 2023, 16:27:08 »

Citace: A.S.2 13. 01. 2023, 11:49:56

Jenom ještě poznámka, že slova "Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly" se vztahovala k tomu, že si běžný user nebude takovou VPN provozovat, což jasně vyplynulo z kontextu diskuze. Pochopitelně Jirsák to zase obrátil jak se mu to hodí a začne tady vypisovat cosi o tom, že se koncový zákazník kamsi připojuje. Což samozřejmě může a je úplně šumák, jestli je v nějaké síti lokálního ISP na neveřejné IP adrese, protože jakmile provoz opustí tuto vnitřní neveřejnou síť lokálního ISP, pak už nějaký rozsah a třída této neveřejné sítě nikoho mimo tuto síť nezajímá (radši jsem to napsal tak polopaticky, aby to zase nemohl někdo otočit k obrazu svému a vykládat jinak).

Ano, z kontextu diskuse to vyplynulo. Já jsem s tím také počítal, a upozornil jsem vás na takovou maličkost, kterou vy nevíte. Totiž že u VPN nezáleží na tom, kde máte nějaký VPN server, router, nebo koncentrátor, ale síťově jsou VPN ovlivněni i klienti té VPN.

Takže abyste se seznámil s jednoduchým příkladem, jak funguje VPN: Firma používá třeba síť 10.0.0.0/16, na 10.0.0.10 bude mít svůj poštovní server, na 10.0.0.12 intranet, na 10.0.0.15 Sambu. Třeba 10.0.160.0/20 vyhradí pro VPN. Zaměstnanec firmy se z domova připojí do VPN, takže dostane adresu třeba 10.0.160.179 a zároveň se mu do routovací tabulky přidá záznam, že 10.0.0.0/16 se má routovat skrze tu VPN. A to je drobnost, která vám unikla. Protože jakmile tam bude mít jiný routovací záznam pro stejnou síť nebo její část, něco přestane fungovat.

Možná byste chtěl argumentovat, že zaměstnanec se do té VPN připojuje z koncového zařízení ve své síti a ne z routeru své sítě. Ano, v drtivé většině případů ano, ale nemusí to tak být ve 100 % případů. Ale hlavně nemusí jít o připojení zaměstnance, ale může se takhle připojovat nějaká malá pobočka. A tam už se nebude připojovat každý zvlášť ze svého počítače, ale připojí se právě ten router, aby do té VPN byla připojena celá pobočka.

No a o nějaké takové malé firmě byla nejspíš v dotazu řeč. Protože domácí uživatel by asi nepsal „mám pár serverů na veřejných IP adresách“. A velká firma by asi zase nepsala „máme pár serverů na veřejných IP adresách, náš ISP není schopen k nám správně směrovat provoz na tyto adresy a v konfiguraci routeru mám nějaký knoflík, můžu ho zmáčknout?“

Takže bych vám doporučil, abyste zde přestal poučovat ostatní, když jste ani nepochopil, o čem je v dotazu řeč a nechápete ani odpovědi.

282

Sítě / Re:Přístup na WAN z lokálních adres - povolit či nikoliv?

« kdy: 13. 01. 2023, 11:16:11 »

Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.

Koncový uživatel by neměl mít potřebu to blokovat, protože to za něj má dělat ISP. Ale je v pořádku, pokud to koncový uživatel dělá.

Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil

Já jsem si to nevygooglil, nepotřebuju googlit věci, které znám. Vy jste si to možná vygooglil, ale evidentně vám to nepomohlo, protože jste to stejně nepochopil. Koncový zákazník samozřejmě do velké VPN může být připojen. Koncový zákazník je třeba člověk, které se z domova připojuje do velké korporátní VPN. Nebo může být koncový zákazník malá pobočka nějaké velké firmy, která je propojena právě pomocí VPN.

To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).

Tak si nastudujte, k čemu se používá VPN. Je to pro to, aby se do té interní sítě někdo dostal i z jiné sítě, přes internet. Když pracuje zaměstnanec z domova, připojuje se právě přes VPN. A ten zaměstnanec se k internetu nepřipojuje přes internetové připojení firmy (že bu mu vedla optika z firmy až domů), ale připojuje se k internetu přes nějakého ISP v místě svého bydliště, což může být klidně nějaký wifinář.