Sziasztok!
Mielőtt írok a KIFÜ-nek, nektek is felteszem a kérdést, és részletezem a
problémát.
A KIFÜ-s Cisco rotuer mögött van egy saját tűzfalunk is. Ebben a
tűzfalban van arra lehetőség, hogy pl. a WAN interfészen tiltsam azokat
a kéréseket, amelyek privát hálózatból jönnek. (Mivel a WAN interfész
publikus IP-címmel rendelkezik, és alap esetben publikus IP-címekről kap
kéréseket, ezért ez egy hasznosnak mondható biztonsági korlátozás.)
Ezért a WAN interfészen be is állítottam ezt a tiltást, tehát:
*Block private networks - <pipa>*
Leírása: "When set, this option blocks traffic from IP addresses that
are reserved for private networks as per RFC 1918 (10/8, 172.16/12,
192.168/16) as well as loopback addresses (127/8) and Carrier-grade NAT
addresses (100.64/10). This option should only be set for WAN interfaces
that use the public IP address space. "
És most jönnek a problémák:
1. Ha ez a tiltó szabály be van kapcsolva, akkor az iskolai Eduroam
Wi-Fi-ről nem érhető el a tűzfal WAN lába (ez azért van így, mert az
Eduroam-ra csatlakozó eszközök a 10/8 hálózatból kapnak IPv4-es
címet). Ezzel tisztában voltam, elfogadtam, nem is akartam rajta
változtatni - a biztonság mindenek előtt.
2. De jeleztek másik iskolá(k)ból, hogy nem érik el az iskolánk
weboldalát (amit az iskolában üzemeltetünk a fentebb részletezett
saját tűzfal mögött). Ezért egy másik iskola rendszergazdájával
megpróbáltunk utána járni, hogy mi okozhatja az anomáliát. Rövid
kísérletezés után kiderült, hogy ha a WAN interfész esetén kiveszem
a pipát a *Block private networks* beállítás elől, akkor eléri a
weboldalunkat. *Kérdés*: a KIFÜ, két iskolai végpont kommunikációja,
routolása esetén privát IPv4 címekkel dolgozik?
Veres Sándor
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: https://listserv.niif.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Szertár: http://www.szag.hu/weboldal/techinfo/
