[10:32] <Hrki> jutro
[10:32] <Hrki> moze jedno noob objasnjenje
[10:33] <Hrki> recimo, imam firewall i blokirani su svi portovi osim 80
[10:33] <Hrki> e sad, ako ja recimo surfan (znaci da saljem "upite" na 80)
[10:33] <Hrki> odgovore dobivam na drugom portu i zasto router to dozvoljava ako je sve blokirano ?
[10:41] <masteroman> Ovisi prvo dal su blokirani in ili out. Druga stvar je, mozda su dozvoljeni related/established paketi pa onda zbog toga propusta. 
[10:44] <Hrki> aha, recimo ti related paketi imaju u sebi info da je tipa upit bio na 80?
[10:44] <Hrki> pa ih automatski allowa?
[10:44] <masteroman> mm, ne bas, nego ako su dio odgovora ili vec uspostavljene konekcije
[10:45] <masteroman> znaci ti iniciras tcp konekciju, paketi koji su dio te konekcije onda normalno prolaze. Naravno, ako je tako postavljeno
[10:48] <Hrki> kuzim
[10:48] <Hrki> hvala!
[11:17] <jelly> stateful firewall cuva informaciju o svakom pokrenutom spajanju (konekciji)
[11:17] <jelly> stateless firewall ne, nego ima definiran skup pravila kojih se drzi
[11:18] <Hrki> pa recimo ove koje mi doma imamo su stateful ?
[11:18] <jelly> samo stateful firewall ima koncept "related" i "established" prometa
[11:18] <jelly> ovisi, ali uglavnom da
[11:21] <jelly> jedan tcp connection ima 4 oznake po kojima se prepoznaje tocno taj connection: (source ip, source port, destination ip, destination port)
[11:22] <jelly> ako pretpostavimo da "blokirani su svi portovi osim 80" znaci: "za odlazni smjer, blokiran je sav TCP promet osim onog koji ima destination port 80"
[11:24] <jelly> onda ce prolaziti tcp connection kojem vrijednosti izgledaju ovako: src.ip = ip uređaja u tvojoj mreži, src.port = * (bilo sta), dst.ip = *, dst.port = 80
[11:25] <jelly> a odgovor koji udaljeni TCP server šalje izgleda ovako: src.ip = udaljeni-ip; src.port = 80; dst.ip = ip uređaja u tvojoj mreži, dst.port = isti kao src.port gore
[11:28] <jelly> stateful firewall je zapamtio da vrijednosti outgoing (ip-A, port-A, ip-B, port-B) odgovara incoming (ip-B, port-B, ip-A, port-A), zamijenjenim source i destination
[11:28] <jelly> za stateless firewall bi morao definirati posebno pravila za dolazni i za odlazni promet
[11:29] <jelly> sto komplicira konfiguraciju, ali stateless firewall su brzi i trose manje resursa jer ne moraju pamtiti trenutno stanje
[11:30] <Hrki> bogati, fala :D
[11:31] <Hrki> sve ima svoje pluseve
[11:33] <jelly> primjer iz 10 godina unatrag: speedtouch ADSL routeri koje je dilao HT i Iskon, i koje mozda jos pokoji korisnik ima, bi crkavali kad se pokrene 2-3 torrenta
[11:34] <jelly> Imali su stateful firewall i jako malo resursa (memorije i cpu), pa bi parsto tcp sjednica ubilo softver 
[11:35] <jelly> na Linuxu i nekim drugim OS-ovima je implementacija takva da mozes imati i stateless i stateful, ali jednom kad ukljucis stateful ("connection tracking" ili "conntrack") prati se sve, nema mijesanja
[12:08] <Hrki> jell,
[12:08] <Hrki> src.ip = ip uređaja u tvojoj mreži, src.port = * (bilo sta), dst.ip = *, dst.port = 80
[12:08] <Hrki> ajmo ovako, src.ip = hrki, src.port = 12255, dst.ip = jelly, dst.port = 80
[12:09] <Hrki> znaci da ja definiram koji je moj source port na koji cu primat paket ??
[12:12] <jelly> tvoja aplikacija to definira, obicno se kod otvaranja odabere slucajno
[12:12] <jelly> da, nakon toga se koristi taj
[12:13] <jelly> ak se bilo koja od te 4 vrijednosti promijeni, to vise nije isti tcp connection
[12:14] <Hrki> to je tak odnavek? taj protocol? vec 30 god?
[12:15] <jelly> 40+ da
[12:15] <Hrki> pff, mocno
[12:16] <Hrki> a sta su "revolucionarno" izmislili da su se brzine tako poboljsale?
[12:16] <Hrki> optika?
[12:16] <Hrki> pa to znam da postoji isto vec 25 god 
[12:16] <jelly> https://tools.ietf.org/html/rfc793 hm, 1981 
[12:17] <jelly> brzine nemaju veze sa tcp/ip, sto je jedan od razloga zasto je cijela stvar opstala
[12:18] <Hrki> ma znam, nego me ovak zanima
[12:18] <Hrki> nest su ocito morali smisliti kad se sve tak "ubrzalo" na starom protokolu
[12:19] <jelly> nisu
[12:19] <Hrki> znaci provideri nas šišaju od prvog dana?
[12:20] <jelly> tcp/ip moze raditi na bilo koliko sporom ili brzom fizickom rjesenju, ako to rjesenje podrzava prijenos podataka u paketnom obliku
[12:20] <jelly> fizicka rjesenja su se mijenjala
[12:20] <jelly> uglavnom na bolje
[12:21] <jelly> a protokoli iznad njih su ostali skoro isti
[12:22] <jelly> mogucnost zamjene fizickog rjesenja neovisno o mrezi je razlog uspjesnosti 
[12:22] <jelly> https://en.wikipedia.org/wiki/OSI_model TCP je recimo cca Layer 4: transport layer
[12:22] <datase> ^ The Open Systems Interconnection model is a conceptual model that characterizes and standardizes the communication functions of a telecommunication or computing system without regard to its underlying internal structure and technology...
[12:23] <jelly> IP je recimo Layer 3
[12:23] <Hrki> vidis kak su se svi lijepo prilagodili standardu, a ne strojari, majku im, svaka zemlja ima svoje brije...
[12:25] <jelly> jos uvijek mozes spojiti unix radnu stanicu iz 80tih na neki serijski port ili 10Base-T ethernet, spojiti to na hub koji podrzava 10/10/1000, i pristupiti javnom internetu
[12:25] <Hrki> jelly: a level 2 ?
[12:25] <Hrki> to je kao razgovor unutar switcha ?
[12:26] <jelly> level 2 definira kaj ide po fizičkom kanalu između dva uređaja
[12:27] <Hrki> aha, tipa da je identifikator MAC adresa ?
[12:28] <jelly> da.  I ako se radi o mediju gdje ima puno uređaja a samo jedan smije slati istovremeno (npr. wifi kanal), definira kako se dogovore koji smije slati
[12:28] <jelly> to sam zaboravio
[12:28] <jelly> IEEE 802 divides the data link layer into two sublayers:[5]
[12:28] <jelly> Medium access control (MAC) layer – responsible for controlling how devices in a network gain access to a medium and permission to transmit data.
[12:28] <jelly> Logical link control (LLC) layer – responsible for identifying and encapsulating network layer protocols, and controls error checking and frame synchronization.
[12:31] <jelly> ethernet je promijenio 4-5 fizickih podloga, od 10Mbps koaksijalnih kablova, do 40-100Gbps fibera, a na layeru 2 je i dalje skoro isti
[17:15] <SilverSpace> dam
[17:15] <SilverSpace> kakve utrke danas sve tri
[18:26] <kvuser3__> hola
[18:47] <tonil> Mmike: networking pomoc oko kupnje mi treba
[19:09] <tonil> jelly: ping
[19:10] <jelly> pong
[19:11] <tonil> jelly: preporuka dobrog rutera sa dobrim cjenovnim rangom :) sa dosta konfigurativnih postavkih
[19:12] <tonil> i IDSom po mogucnosti
[19:12] <jelly> neb znala
[19:12] <tonil> :(
[19:13] <jelly> ne kupujem routere, to radi networking odjel
[19:13] <jelly> oni kupuju cisco u 90% slucajeva, a ti vjerojatno nemas korporativni popust za cisco
[19:16] <tonil> cisco ce i ic
[19:16] <tonil> jelly: ako bi mi moga ucinit uslugu i pitat savjet za homebox rijesenje
[19:17] <tonil> kolege
[19:37] <jelly> homebox je konkurencija :-)
[19:37] <tonil> ma nemam pojma vise sta da mislim u mozak me dobrano sprcala