-
Fototrend
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
#19482368
törölt tag
Willie Howe szerintem korrektül bemutatja mit merre.
[ Szerkesztve ]
-
#19482368
törölt tag
De itt megadtad a Switch-nek, mint kizárt (fix) IP tartomány: 192.168.1.0 - 192.168.1.149
Ezért adja a gépnek a 192.168.1.150 címet. Mivel a ez az első kiosztható IP cím.
Egyébként működik az Router nélkül is. Én is végig játszottam ezt.
Nagyon úgy néz ki, hogy nem teljesértékű DHCP van a switchben.
De még mindig többet tud, mint a Router beépített DHCP szervere.[ Szerkesztve ]
-
#19482368
törölt tag
Na akkor előröl. Egyrészt megadat a routerten hogy pl az eth3 a 192.168.1.0/24 ip tartományt. DHCP kikapcsolva, hogy ne legyen ip konfliktus.
Ha most akarnál rá csatlakozni a routere akkor pl a 192.168.1.2-254 címek között tudnál, fix ip-címmel.
A Switch-en megadod a Fix ip címet a System > Connectivity > IPv4 résznél. Jelen esetben pl a 192.168.1.2
Majd létrehozod a DHCP szervert a switchen.
System > Advanced Configuration > DHCP Server > Global résznél.Te jelen esetben fenntartasz a 192.168.1.0 - 192.168.1.49 között fix ip gépeknek, címeket amik lehetnek szerverek, hálózati eszközök. Tehát ezek a címek csak fixen adhatóak ki, innen nem oszt a dhcp szerver címet.
csak 192.168.1.50 - 192.168.1.254 között fog kiosztani címeket a dhcp szerver. Ez teljesen normális.Ha te a gépednek a 192.168.1.10 címet akarod adni, akkor azt manuálisan kell beállítani a számítógépeden.
A switchen pl rögzíteni tudod a Switching > Port Security > Static MAC résznél.[ Szerkesztve ]
-
#19482368
törölt tag
Tudom mire való a port sec. Azt csak mellékesen említettem meg, mint egy biztonság beállítási opció.
Mert fentebb, meg edge routeren foglaltad be a dhcp címet, mint statikus cím. És mint tudjuk sokan azt gondolják ez valamitől véd. Mindegy lapozzunk.A routeren az alábbiak vannak beállítva:
A routeren nem kell hogy menjen a dhcp. sőt ki is kell kapcsolni, mert ip ütközést generálhat a két azonos dhcp szerver.
láthatjátok, hogy a switchen meg van adva egy stattikus 10-es cím is
Látjuk, de ahogy írod statikus, tehát oda nem oszt ip-t a dhcp, hanem statikusan kell beállítani az adott eszközön.és egyébként a Windowsban látszik minden az ethernet porton, az is, hogy a switch adta ki a 220-as címet:
Na ná hogy a switch dhcp szervertől kapod. Hiszen a switch egyik portjára csatlakozol. Ha a routerbe dogod a gépedet, és kihagyod a switch-et, akkor a router dhcp-szervere fogja osztani a címet.Igen úgy is működik a dolog, ha a routere bízod a dhcp-t, de ebben az esetben nem kell a switch-en beállítani a dhcp szervert. És ha a routeren be foglalod az egyébként dinamikus címet statikusnak, egy adott eszközhöz rendelve, akkor valóban megkapja a számítógép a routeren lefoglalt címet. Szóval így kér különböző megoldás, amit még lehet fűszerezni a VLAN-ok létrehozásával.
[ Szerkesztve ]
-
MasterMark
titán
Szerintem vedd fel static DNS-be a 0.0.0.0-ra mutatva.
szerk.: Mondjuk ehhez az kell, hogy a router legyen a DNS szerver, és csak az legyen ami a netre kimehet DNS kéréssel. (Ez tűzfallal megoldható.)
szerk.2: Azt a proxy-t nem kell beállítani a kliensen is?
[ Szerkesztve ]
Switch Tax
-
MasterMark
titán
Webconfig-ban wizards - DNS host names. Itt felveszed statikusan, hogy a 0.0.0.0-ra oldja fel a DNS szerver annak a weboldalnak a címét. Így a kliens visszakapja, hogy 0.0.0.0 az oldal, és kiírja:
DNS_PROBE_FINISHED_NXDOMAIN
Ez ugye könnyen kijátszható, ha valaki elállítja a DNS szervert a routerről, ez ellen le kell tűzfalazni, hogy DNS kéréssel csak a router tudjon kimenni a netre.
szerk.: A youtube az HTTPS, úgyhogy azzal nem nagyon fog menni a webproxy-s megoldás.
szerk.2: A fenti az én kendácsolt megoldásom abból amiket már próbáltam. Szépen a DPI + tűzfal szabályokkal lehet megcsinálni. (Ilyet én még nem csináltam.)
[ Szerkesztve ]
Switch Tax
-
rekop
Topikgazda
Ha a youtube-ot akarod tiltani, akkor az elég egyszerű DPI segítségével.
Engedélyezed, ha esetleg még nincsen:set system traffic-analysis dpi enable
set system traffic-analysis export enableLétrehozol egy saját DPI kategóriát, modjuk "drop_youtube" néven:
configure
set system traffic-analysis custom-category drop_youtube name youtube
commit
Nem kell megijedni, egy Unexpected duplicate application üzenetet ad vissza, ez csak azt jelenti, hogy a youtube egy másik DPI kategóriában már szerepelEzekután létrehozzuk a tűzfal szabályokat
set firewall name DROP_SITES default-action accept
set firewall name DROP_SITES rule 10 application custom-category drop_youtube
set firewall name DROP_SITES rule 10 action drop
commitBeállítjuk a szabályhoz az interface-t, és az irányt(ha erl3-ad van, és eth1 a lan)
set interfaces ethernet eth1 firewall in name DROP_SITES
És végül mentjük
commit; save; exit
Így elég sok lehetőség van a tiltásra, a tűzfal módosításával lehet akár időzíteni a szabályt, IP-re alkalmazni, stb...Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
rekop
Topikgazda
Configure módban a set firewall name drop rule 10 application category majd a kétszer TAB billentyűre előhozza milyen kategóriák vannak.
Jelenleg ezek:rekop@ubnt# set firewall name drop rule 10 application category
Business Security-Update TopSites-News
Bypass-Proxies-and-Tunnels Social-Network TopSites-Recreation
Database-tools Stock-Market TopSites-Reference
File-Transfer Streaming-Media TopSites-Regional
Games TopSites-Adult TopSites-Science
Instant-messaging TopSites-Arts TopSites-Shopping
Mail-and-Collaboration TopSites-Business TopSites-Society
Management-tools-and-protocols TopSites-Computers TopSites-Sports
Network-protocols TopSites-Games Voice-over-IP
P2P TopSites-Health Web
Private-protocols TopSites-Home Web-IM
Remote-Access-Terminals TopSites-KidsnTeensA
/usr/sbin/ubnt-dpi-util show-cat-apps [kategória neve]
-el pedig meg lehet nézni mik tartoznak bele. Ezekből lehet csak válogatni.Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
#19482368
törölt tag
Erre van egy olyan nem túl elegáns megoldás amit úgy hívnak hogy OPEN DNS.
Ha beregisztrálod magad, és a sz.gépre feltelepíted az open dns klienst hogy napra készen tartsa a külső címedet, és létrehozol a WAN_OUT-ot, amibe berakod mint tűzfalszabály hogy csak az OPENDNS címen menjen ki a forgalom, akkor az OPENDNS web felületén lehet tiltani DNS szinten oldalakat. De az is korlátozott.
Vagy saját DNS szerver használata, és azon tiltod. Az a baj, hogy minden tiltásra, van valami okosság amivel megkerüli az egészet. Lásd fentebb a VPN használata.
Tehát ez egy nagyon érdekes kérdés, hogyan is lehet lakossági szinten, relatív biztonságos hálózatot kiépíteni, üzemeltetni. Mert a valóság azt mutatja, minden tiltásra van ellenszer, amivel meg lehet kerülni. -
#19482368
törölt tag
Szerintem félre érted, amit írok.
Persze, le lehet tiltani, sok mindent, de minden tiltásra van olyan megoldás, amivel meg lehet kerülni.
Önmagában a tiltás sok esetben nem elegendő, megfelelő megoldás. Így különböző + beállítások, és további tiltások kellenek ahhoz, hogy amit valóban tiltani akarunk, az valóban tiltva is legyen. És pont az egyik ilyen kategória az url tiltás.
Egyébként én ki próbáltam edge a webproxy keresztüli tiltást, nálam is működött, de az önmagban semmi, illetve gyakorlatilag csak önámítás.
DPI szinten, csak azokat tudod tiltani amit bele rakott az ubnt. Így egyéni url tiltásra esélyed nincs.
Fentebb írták a edge router 0.0.0.0 dns tiltást, ez 1-2 oldal esetében még csak csak, de ha több oldalról van szó akkor .....
Fentebb írtam, az open DNS mint külső szolgáltató által biztosított dns alapú tíltás lehetőséget. De ahhoz hogy hatékony legyen, szükséges minden hálózatra csatlakozott eszközt rá kényszeríteni hogy csak azon a dns címen menjen a forgalom. Ez a megoldás ugyan már globális megoldásnak minősül. Viszont az internet szokásaid egy külső, cégen keresztül történik. Tehát, ha ott kaki van a palacsintába, akkor...
Vannak különböző vírus keresők által biztosított url szűrési lehetőségek, viszont az lokális megoldás. Azaz minden eszközön külön be kell állítanod. Hacsak nem központilag felügyeled a vírus keresőt. Viszont annak licenc költsége, nem lakossági pénztárcára szabták.
És mindezt egy vpn csatlakozással mind kidobod a kukába. Főleg ha a vpn kapcsolat a 443 porton megy, mert ebben az esetben gyakorlatilag adtál a ...... És ha ezt egy támadó használja ki akkor szintén.
És ez a probléma, több megoldás áll rendelkezésre ahhoz mit hogyan tudsz megkerülni, mint hatékonyan védekezni. -
MasterMark
titán
A routeren alapból fut egy alap színtű DNS szerver, ehhez mondtam a beállításokat. Ezt be lehet állítani, hogy amit nem tud, azt hova forwardolja.
A blacklisten neked mi nem megy? Ez ugyanazt csinálja amit én mondtam.
Az megvan, hogy ha a router DNS szerverét használod, akkor a routert kellene beállítani DNS szervernek a klienseken? (Vagyis DHCP-vel azt osztod nekik...)
Itt minden működik, csak a felét nem érted a dolgoknak.
szerk.: Kliens oldalon szoftveres tűzfal fut, abban azt csinálsz meg amit akarsz, cserébe baromi lassú lesz a neted.
[ Szerkesztve ]
Switch Tax
-
#19482368
törölt tag
ok rendben, akkor az a rész rendben van.
Ti ennyire megbíztok ismeretlen repokban?
Ugyan én is megtaláltam ezeket a megoldásokat, de én nem merem ezeket telepíteni. Nem vonom kétségbe a hatékonyságát, se az emberi jó indulatot, és biztos minden király. De én az ilyen megoldásoktól valamiért idegenkedek. Valahogy nekem nincs bizodalmam olyan megoldásokban, amit a gyártó hivatalosan nem támogat. Inkább, más megoldásokat keresek, amit egy adott gyártó támogat. Tudom sok embernek ez fura, és mindenre van ellenpélda. De valahogy nincs bizodalmam ezekben a megoldásokban. Főleg nem egy router esetében. Akkor inkább mögé rakok egy USG-t, és abban bekapcsolom az IPS/IDS-t ami a sebesség rovására mehet. Bár, ott is a PRO-ban sokkal több szűrési lehetőség van, mint a 3P esetében. De gondolom, ez az eszköz teljesítménye miatt van. -
-
VeryByte
őstag
Szia,
1. Mondd már el, hogy milyen csoda kliens oldali tűzfalat használsz! Nem hiszem, hogy alapesetben sok köze lenne a kliens oldali tűzfaladnak a szerver oldali szűréshez - kivéve, ha megváltoztatja a DNS feloldást, de akkor meg kicsit elmentünk a VPN irányba.
2. Ez lehetséges, főleg chrome-on
3. Ez alap, főleg, ha DNS feloldással szórakozol
4. Mondjuk, ha ott akarsz szűrni, akkor ezt illik beállítani
5. Ez így van, ellenőrzés mindig kell.Örülök, hogy sikerült, de javaslom a Crosstalk Solutions youtube csatornáját, ahol most csinálnak egy Routing and switching online tanfolyamot. Érdemes végignézni - bár még csak a 6. résznél tart.
"What is the most important thing in a woman?" - "The soul."
-
MasterMark
titán
Egyreszt mar legeloszor is ezt a megoldast javasoltam.
Nincs benne a leirasban, hogy a DHCP-vel ezt a DNS-t kell osztani, mert evidens dolog. (Illetve mert alapbeallitas.)
Masreszt, mar eloszor is szoltam, hogy tiltani kellene hogy mas kimenjen a netre DNS keressel, csak a router mehessen ki, mert akkor kliens oldalon ilyen egyszeruen megkerulheto a tiltas.
Switch Tax
-
Cirbolya_sen
aktív tag
ilyen rossz MTU-nál is szokott lenni
https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on-Router
Cirbolya_sentinel
-
MasterMark
titán
Ehhez egy kis kiegészítés:
A
dnssec-timestamp
option-t MAN page szerint perzisztens részen kell tárolni.
The file must be stored on a persistent filesystem, so that it and its mtime are carried over system restarts.
EdgeRouter-ben a /var nem jó erre, mert restartot még túlélhet, de firmware frissítést biztosan nem.Megoldás az, hogy a /config részen kell tárolni a timestamp fájlt.
sudo su
mkdir /config/dnsmasq
chmod -R 777 /config/dnsmasq
exitconfigure
set service dns forwarding options dnssec-timestamp=/config/dnsmasq/dnssec-timestamp
commit;save;exitszerk.: Plusz az egyik IANA root anchor mintha le lenne járva, de úgy tűnik nem frissítették, nem tudom ez számít-e valamit.
https://data.iana.org/root-anchors/root-anchors.xml[ Szerkesztve ]
Switch Tax
Új hozzászólás Aktív témák
- OLED TV topic
- Kecskemét és környéke adok-veszek-beszélgetek
- Vicces képek
- Több stúdiót is bezár költségcsökkentésként a Microsoft Xbox részlege
- Megjött az Arctic Liquid Freezer AIO-k új nemzedéke
- Távcső topik
- Mobilhasználat külföldön
- Visszavonta az Intel és a Qualcomm Huawei-hez kiadott exportlicencét az USA
- Gaming notebook topik
- Autós topik
- További aktív témák...
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest