ADSL router -> Slack router -> dva nezavisle sitove bloky

[Jiri Kosina]

On Sun, 20 Nov 2005, Lubos Moscovic wrote:

> rezervou... Keby sme danu situaciu predsa len chceli nejako podomacky
> riesit len za pomoci daneho naradia, ktore bolo spominane (teda ziaden
> inteligentny switch ani nic podobne), nedala by sa zbuchat webova
> aplikacia, co by bezala na danom routri, ktora by odblokovala spojenie
> do internetu danej masine, len za predpokladu zadania spravneho mena a
> hesla? Ak by to aj slo (vazne len nahlas rozmyslam, nikdy som to
> neskusal) vyvstala by otazka kedy to spojenie opat zakazat... timeout na
> neaktivitu?, resp. opat cez webrozhranie a kliknut na zrus spojenie?...

Takoveto produkty existuji. Napriklad jsou tak resene vpodstate veskere 
wifi site na letistich (pokud nejsou programove otevrene, napriklad ve VIP 
loungich). 

Funguji na tom principu ze se clovek asociuje k jejich otevrenemu APcku,
dostane pridelenou nejakou privatni IP adresu a DNS servery v privatni
siti. Veskere pokusy o connect ven jsou jejich firewallem filtrovany a
vsechny pokusy o spojeni pres web jsou pres nejaky redirect na firewallu
pomoci DNATu presmerovany na nejaky jejich web portal, na kterem clovek
musi byt vyplnit login/heslo nebo cislo kreditky a je mu na omezenou dobu
pridelen pristup do site. V tu chvili firewall prestane filtrovat jeho
packety ven a je zrusen ten redirect webu. Ten web vetsinou poskytuje i
funkci 'logout', kterou clovek zneplatni svoji MAC adresu, cili ji pak
nikdo uz nemuze 'reusovat', jinak povoleni vyprsi za danou dobu dle
zaplacene castky.

Kdyz se clovek zamysli nad tim jak jsem zde popsal ze to funguje, tak ho 
asi po nejake chvili napadne jak to obejit a bez placeni si otevrit svoje 
IP spojeni ven a veskerou takovou ochranu obejit. Mam to vyzkousene a 
funguje to skutecne na drtive vetsine siti takto udelanych, napriklad na 
jiz zminovanych letistich. Mel jsem i nejakou snahu to reportovat, ale na 
me e-maily mi vetsinou prisla jen jakasi automaticka odpoved :) 

-- 
JiKos.