Magistrat blokuje pristup z privatnich IP u sluzby, ktera je otevrena do Internetu? (porty tcp_80,443)
Vazne ma tohle nejakou logiku?
Ano, má to logiku. Pokud má ISP správně nastavenou svou síť, privátní adresy se nemají jak na firewall magistrátu dostat. A pokud má ISP svou sít nakonfigurovanou špatně, má si konfiguraci opravit.
Magistrat blokuje pristup z privatnich IP
takze Magistrat se boji Privatnich Subnetu, ale uz se vlastne vubec neboji celeho verejneho IPv4 adresniho rozsahu, kde hrozi to opravdove nebezpeci?
Magistrát se privátních subnetů bát nemusí. Ale je to provoz, který nemá v internetu co dělat a pokud se tam vyskytne, je to chyba.
Muj nazor je, ze tomu borci z Magistratu vubec nerozumi a misto toho, aby to vyresili na svem firewallu vymlouvaji se na ISP....za me dosti prasarna a idiotismus....a jediny kdo to odsere jsou obyvatele mesta Noveho Jicina, vcetne me.....
Evidentně tomu nerozumíte vy. To není výmluva na ISP – pokud je to tak, jak se tu o tom diskutovalo, je to chyba ISP. Privátní IP rozsahy jsou privátní proto, že nejsou routovatelné ve veřejném internetu, tudíž je ISP vůbec nemá do veřejného internetu pouštět.
Zkusim jim napsat otevreny dopis a klidne to dam do novin, protoze jako obcan mam snad alespon nejake pravo se dostat na stranky mesta (obecne info, odpady, oteviraci doba atd atd..)
Než se budete veřejně ztrapňovat v novinách, zkuste pochopit, že je to problém ISP. A asi bude lepší napsat nejprve na podporu ISP než ho rovnou vláčet v novinách.
ja si vazne nemyslim, ze je chyba na strane ISP, protoze uplne stejny model, kdy mam v siti centralni NATy, pouzivam ve sve siti a menit to vazne nehodlam....design je jednoduchy a funkcni...
To, že něco používáte a nehodláte to měnit, neříká nic o tom, jestli je to správně nebo ne.
K čemu slouží které bloky IP adres je definováno v příslušných RFC. A je to tam z dobrých důvodů. IP adresy z privátních rozsahů nejsou v internetu routovatelné, takové pakety nesmějí opustit místní síť a pokud přijdou z internetu, jediná rozumná věc, co se s nimi dá udělat, je zahodit je. Protože stejně nedokážete poslat odpověď – ty adresy se nedají v internetu routovat, takže byste stejěn nevěděl, kam poslat odpověď.
A hlavne to pravidlo, ktere to blokuje je na strane Magistratu Noveho Jicina, muj ISP nic neblokuje ;-)
Váš ISP špatně překládá adresy.
Kdyby tam nekdo alespon vedel co jsou to iptables, tak si tam nastavi vyjimku a vsichni jsou spokojeni, jenze.....
Firewall nejsou jen iptables. Podstatné je ale to, aby to konfiguroval někdo, kdo rozumí sítím. To samé platí i u ISP, tam snad ještě víc. U vás je to něco jiného – to, že nerozumíte sítím, je v zásaě jen váš problém, maximálně se ztrapníte v diskusi na Rootu nebo v novinách. Ale ISP má mít svou síť nakonfigurovanou správně a na veřejné IP adresy svých zákazníků neposílat pakety s privátními IP adresami. A mezi privátními IP adresami svých zákazníků nemá dovolit komunikaci vůbec.
Mimochodem, v každé debatě o NATu se objeví někdo, kdo tvrdí, že NAT je vlastně firewall a filtruje provoz. No a pak se objeví někdo, jako vy, kdo začne tvrdit, že je legální používat ve veřejném internetu privátní adresy. A bezpečnostní průšvih je na světě.