<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
Sziasztok!<br>
<br>
Mielőtt írok a KIFÜ-nek, nektek is felteszem a kérdést, és
részletezem a problémát.<br>
<br>
A KIFÜ-s Cisco rotuer mögött van egy saját tűzfalunk is. Ebben a
tűzfalban van arra lehetőség, hogy pl. a WAN interfészen tiltsam
azokat a kéréseket, amelyek privát hálózatból jönnek. (Mivel a WAN
interfész publikus IP-címmel rendelkezik, és alap esetben publikus
IP-címekről kap kéréseket, ezért ez egy hasznosnak mondható
biztonsági korlátozás.)<br>
<br>
Ezért a WAN interfészen be is állítottam ezt a tiltást, tehát:<br>
<b>Block private networks - <pipa></b><br>
Leírása: "When set, this option blocks traffic from IP addresses
that are reserved for private networks as per RFC 1918 (10/8,
172.16/12, 192.168/16) as well as loopback addresses (127/8) and
Carrier-grade NAT addresses (100.64/10). This option should only be
set for WAN interfaces that use the public IP address space. "<br>
<br>
És most jönnek a problémák:
<ol>
<li>Ha ez a tiltó szabály be van kapcsolva, akkor az iskolai
Eduroam Wi-Fi-ről nem érhető el a tűzfal WAN lába (ez azért van
így, mert az Eduroam-ra csatlakozó eszközök a 10/8 hálózatból
kapnak IPv4-es címet). Ezzel tisztában voltam, elfogadtam, nem
is akartam rajta változtatni - a biztonság mindenek előtt.</li>
<li>De jeleztek másik iskolá(k)ból, hogy nem érik el az iskolánk
weboldalát (amit az iskolában üzemeltetünk a fentebb
részletezett saját tűzfal mögött). Ezért egy másik iskola
rendszergazdájával megpróbáltunk utána járni, hogy mi okozhatja
az anomáliát. Rövid kísérletezés után kiderült, hogy ha a WAN
interfész esetén kiveszem a pipát a <b>Block private networks</b>
beállítás elől, akkor eléri a weboldalunkat. <b>Kérdés</b>: a
KIFÜ, két iskolai végpont kommunikációja, routolása esetén
privát IPv4 címekkel dolgozik?</li>
</ol>
<p>Veres Sándor<br>
</p>
</body>
</html>