Sziasztok!
Pár hete megjött az értesítés a KIFÜ-től, az új router config már él. Bár a kivitelezésnek még nincs híre, addig is elkezdtem kísérletezni ebben a felállásban, hogy valamelyest kipuhatoljam, mi mennyi. A feltételezéseim egy részét sikerült tapasztalatilag igazolni, a másik része pedig meglepetést okozott, de így már legalább tudni fogom, hogy mire kérdezzek rá. A tények:: A sulinet router 0-ás portja megmaradt trönknek, de (korai volt az örömöm, mert) csak részben: t.i. a 10-es publik és a 11-es privát VLAN jön ki rajta. A wifi tartomány nem érhető el ezen kezesztül. A wifi szegmensnek újraosztott 7-es port viszont NEM access port, hanem ez a VLAN 3 tagged, (plusz a natív 1-es VLAN). Jól megkavarták. Ha a 7-es portra ráteszek egy DHCP-s gépet, az nem a tájékoztatóban jelzett IP tartományba kerül, kap ugyan IP címet, de forgalma nincsen. Ellenben ha a 7-es portra egy eth0.3-ra konfigolt VLAN interfésszel csatlakozom, akkor megkapja a jelzett tartományból az első dinamikusan kiosztható címet, forgalom van, a tartalomszűrés aktívan teszi a dolgát (n.b. a betyarsereg.hu nincs feketelistán ;-), a kilépési pont (whatismyip.com vagy ifconfig.me szerint): 195.199.249.1. Még ennél is érdekesebb, hogy ha átállítom statikusra a DHCP-vel nyert címet (feltéve hogy a lease time még él, u.i. esélytelen, ha nem volt előtte DHCP kérés), akkor így is megy tovább, ám egy bizonyos idő után (kb. 10 perc aktivitás után) letiltásra kerül. (Ugyanezt tapasztaltam a privát szegmensen is. Ott nagyobb baj, hogy nem lehet statikus IP-t használni.) A következő fogás a két tartomány közti átjárhatóság, két géppel (és hálómacskával) tesztelve: A wifi szegmensből a privátba indított ping: "packet filtered". Egyéb kapcsolódási kísérletre: "no route to host". A privátból a wifi szegmensbe küldött ping: "destination net unreachable". Netcat-re telnet: "connection timed out". Tehát egyelőre csak halkan kérdezném, mi is legyen a hálózati nyomtatókkal? A múlt havi előzetes tájékoztatóból mintha nem ezt olvastam volna. Ott a 2015-ös tűzfal doksira utalva úgy írták, hogy ha azonos zónában van a két szegmens, akkor nincs gond az egymás elérésével. Még egy etapp: A privát szegmensre tett gép MAC addressét változtatgattam. Ennek következtében a DHCP-vel kapott IP cím is rendre változott. Arra voltam kiváncsi, hogy egy-egy kliens IP-hez milyen publikus gateway cím társul. A http://ifconfig.me oldal első alkalommal a nat.ohkir.gov.hu címre mutatott. A továbbiakban pedig olyan 195.199.x.y alakú IP-ket adott vissza, melyben az x látszólag véletlenszerűen ugrálva vette fel a 248 és 251 közötti értékeket, miközben az y minden címváltásnál következetesen inkrementálódott 130-tól kezdve fölfelé. Szóval ez a brutális tűzfal klaszter lesz a jótevőnk? Megint csak halkan kérdem: https mitm is lesz benne? Üdvözlettel, T. András
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
