Firewall na jedne siti, priorita packetu
Frantisek Dufka
dufkaf na alpha.inf.upol.cz
Úterý Říjen 13 09:50:25 CEST 1998
Dobry den mam takovy problem:
mam k dispozici jednu internetovsky platnou sit s Cckovou maskou.
Potreboval bych na teto siti vsem strojum predradit firewall (Linux).
Lze to nejakym zpusobem udelat bez vytvoreni podsiti ?
Lze nejakym carovanim s maskami vytvorit dve podsite, jednu napr. pro 4
stroje (router a firewall) a druhou pro >127 stroju ?
Bohuzel router a firewall nemuze byt jeden stroj neb ten router je
hardware co firewallovat neumi.
Rad bych vsem strojum zachoval plnou konektivitu a nejradeji je
neprecislovaval, takze IP Masquerade asi neni ta zpravna cesta.
Dalsi problem je nasledujici. Na one siti jsou si veskere stroje rovny,
ale nektere jsou si rovnejsi. Tzn je treba aby nektere stroje mohly naplno
vyuzit omezenou kapacitu pevne linky (budu jim rikat zakaznici) a jine je
nemohly omezovat (zamestnanci). Toto lze asi
castecne resit pomoci tzv. TOS bitu (ipchains i ipfwadm to umi) ale
pravdepodobne pouze pro pakety jdouci ven. Horsi je, ze je treba
omezit hlavne data jdouci dovnitr - tzn. zamestnanec zurive pouzivajici
www a ftp nesmi zahltit pevnou linku. Jaka je platnost onech TOS bitu ?
Jsou nastaveny po celou cestu paketu k cili, nebo je dalsi router v ceste
zmeni ? Jak je to pro pakety jdouci zpet ?
Zkratka, lze s jednou pevnou linkou zajistit zakaznikum dobrou pruchodnost
a soucastne umoznit zamestnancum pristup na internet ?
Dekuji velmi za pomoc s prvnim nebo druhym problemem.
Posilejte prosim odpovedi take primo na dufkaf na alpha.upol.cz, nejsem v
konferenci prihlasen.
Frantisek Dufka
Další informace o konferenci Linux