Můj Compex 16ka switch má taky fci VLAN, můžu ji zapnout když budu chtít, potom to funguje akorát jako lepší rozdvojka - v určitých případech, jako je zajištění soukromí, to má svůj smysl - ale asi ne pro CZFree.Net
No víte, ono to asi ve specifických případech může být užitečné - ale takové případy budou spíše vyjímečné.
Samozřejmě že občas někdo konkrétně chce být za firewallem, ale já pokud možno všude, kde to jde, tlačím aby si lidi dávali firewally přímo na okna, a vysvětluju jim, že před Internetem jsou ve firewally, ale že jsou v celopražské sousedké síti.
Situace, kdyby v paneláku byl jeden regulerní switch a jeden switch s wlany, a každý člověk by byl buď za firewallem nebo ne podle toho do kterého portu si vybere že chce být zastrčen, ta by ve skutečnosti asi úplně špatná nebyla.
Ale obecně tady vlastně řešíte, že naplno v CZFree je jen váš router - a automaticky předpokládáte, že ti lidi chtějí delegovat všechny kompetence na správce routeru. Setkal jsem se s tím víckrat - DHCP nastavené podle MAC adresy, ESTABLISHED/RELATED firewally bez ptaní, a tak.
Podívejte se na to z jiného úhlu pohledu: u nás v Břevnově se stále častěji stává, že původní uživatel CZFree se odstěhuje, a nový prostě "najde" doma ethernet, ve které už CZFree je. Jestliže to zatím bylo vyjímečné, tak v současné době to už začíná být běžné.
No a tady samozřejmě narážíme na jeden problém: je to CZFree kabel, nebo kabel nějakého lokálního ISP, který jen čirou náhodou peeruje s CZFree ? Já jsem měl za to, že maximum možné lokální konektivity je základní vlastnost CZFree.Net, že to v podstatě má začít fungovat zcela autonomě. Teprve když chcete využívat nějaké placené zdroje sítě, tak chcete něco řešit. Teprve když nechcete využívat nějaké lokální zdroje (třeba viry a hackery :-), tak se před nimi začnete chránit.
Nemůžu si pomoct, ale ten VLANový switch je prostě krok někam mimo, přestože já samozřejmě už taky vím o pár místech, kde by se zatraceně moc hodil. Přesto je to věc, se kterou je potřeba zacházet zatraceně specificky (např. pro každý VLAN dát jiný subnet, apod.), a když se to nasadí lamersky za něco co neumí pořádně routovat (typicky za nějakého HW Wi-Fi klienta), tak je celá myšlenka CZFree v háji.
Možná, že někteří z vás zatím nenarazili na dvouportové Intel EEpro100 karty, které ve většině případů zafungují líp než tenhle switch. Mají tu výhodu, že vzniknou přímo dva interfacy eth0 a eth1 - tzn. korektnější i pro Zebru, apod.
ale prosim te. co je jednodussi - prijit k lame a nakonfigurovat u ni na woknech firewall nebo to nastavit u sebe na routeru? co je spatnyho na situaci, kdy jde od pseudoswitche jeden uplink do routeru, ktery rozhoduje (na zaklade softwarove menitelnejch pravidel, samozrejme) o tom, ktery pakety pusti a ktery ne? kdyz chce uzivatel pripojeni bez firewallu, no problem, ale s tim, ze jeho data potecou nejenom pres switch, ale i pres router, se holt bude muset smirit. co je na tom spatnyho?
jina situace - mas 2 HW AP, A a B, pichla do pseudoswitche. cokoliv, co tece mezi dvema ucastnikama pichlejma na A a B, jede navic pres router -> muzes regulovat provoz (mysleno chranit pred DoSkou infrastrukturu).
2chaos: no sepsal jsi to pekne, akorat mi porad nedochazi, proc (v prvnim prispevku) pises, ze nekdo naletel tak, ze si dany switch koupil, kdyz minimalne i4 ho prodava s tim, ze porty 2-8 mezi sebou nemuzou komunikovat - cili explicitne upozornuje, ze to je 'switch' prave s takovymi vlastnostmi. Pokud tohle vlakno ma byt polemika o vhodnosti nasazeni podobeho HW, tak ok, ma-li to varovani, at nekdo 'nenaleti', tak porad nechapu ...
02.06.2004 v 11:36
