Nem. A javasolt "útvonal" így néz ki:
ONT - Router - Mérődoboz - többi eszköz

Köazönöm szépen.

Szerintem olvassátok át még egyszer azt a hivatalos/javasolt bekötési módot.

Akkor én bonyolítom. Nálam a Telekomos Ont egyben a router. Utána jöjjön a mérőeszköz, és arról a switch, vagy jöhet rögtön a switch, azon meg az egyik kimeneten a mérőcucc?

2 dolog miatt ajánlott rögtön a szolgáltatói végpont után kötni:

1. A szolgáltató a saját eszközéig vállal egyáltalán valamit
2. Így a legnagyobb a valószínűsége, hogy semmilyen vezetékes forgalom nem kerüli meg a mérőeszközt, ami torzíthatná a mérést.

Sziasztok. Amikor először hallottam erről a mérésről, azt hittem szoftveres megoldás, kiderült nem az. Ma kaptam egy bitang nagy Linksys routert. Felmerül bennem a következő kérdés: ez a Linksys akár kiválthatja a mostani Synology routeremet is? Nem olvastam még a szerződést amit kaptam. Ha ki tudom váltani a Synologyt, nem áll fenn az a lehetőség, hogy a Linksys router beüzemelés esetében, hozzáférést adok a belső hálózatomhoz? A forgalmamat nem is említem, gondolom ehhez is lesz hozzáférése az NMMH-nak?

A "mérőeszköz", azaz a Linksys router nem konfigurálható, azaz igazából nem tudja kiváltani a saját routeredet. A wifi-t is csak monitorozásra használja, így AP sem lehet belőle.
Az átmenő és a wifi (ha előtte van az AP) forgalmat csak méri az eszköz, mindössze azért, hogy eldönthesse, hogy éppen végezhet-e mérést.

Köszönöm szépen a választ. Belső hálózatomhoz nem férnek hozzá, mi a véleményed erről? Nemaggodnék annyira a forgalom miatt, de nálam itthon a NAS állandóan üzemel nem kevés forgalmat generálva.

[ Szerkesztve ]

Nincs lehetőség az eszköz távoli elérésére. Mondom, csak az átmenő és a wifi forgalmat méri. Hogy mi az a forgalom, azzal nem foglalkozik.

Nincs lehetőség az eszköz távoli elérésére.
Hivatalosan. Ugyanakkor ha elég paranoid konteós vagy, eszedbe juthat, hogy
- a résztvevő több 100(0) eszköz, összehangolt támadást intézhet egy megadott szerver ellen.
- korlátozhatja,(vagy akár módosíthatja) bizonyos tartalmak elérését.
- profilozhatja a résztvevőket (milyen oldalakat néz, miket/hol vásárol,...).
- ha nincs lehetőség távoli elérésre, miért van nyitva a 22-es port?

A 22-es port kivételével a fentiekre semmi bizonyíték. Nézek felnőtt tartalmakat, 7/24-ben fut a torrent, és elég régóta ahhoz, hogy ha ügyet csinálnának belőle, akkor már jött értem volna a rabszállító ...
Szóval elég megbízható, nem a privát szférádban kutatnak vele.

[ Szerkesztve ]

Nem hallgat semmi a 22-es porton (nincs is SSH szerver az eszközön), de switch üzemmódban nincs is tűzfal, így igazából minden nyitva van, de csak a web szerver hallgatózik.
Nem csak hivatalosan nem elérhető az eszköz, hanem valóban. Biztonsági vizsgálat is történt. Tudom, mert van közöm a fejlesztéshez...
De ugye te az NMHH boxról és nem a Samknows-ról írsz?

Egyébként kíváncsi vagyok, hogy miből látod, hogy a 22-es port nyitva van:

[gavarga@gavarga-5500 ~]$ sudo nmap 10.10.2.143
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-26 07:47 CET
Nmap scan report for 10.10.2.143
Host is up (0.091s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
53/tcp open  domain
80/tcp open  http
Nmap done: 1 IP address (1 host up) scanned in 1.05 seconds

[gavarga@gavarga-5500 ~]$ sudo nmap -sS 10.10.2.143
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-26 07:47 CET
Nmap scan report for 10.10.2.143
Host is up (0.098s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
53/tcp open  domain
80/tcp open  http
Nmap done: 1 IP address (1 host up) scanned in 18.04 seconds

[gavarga@gavarga-5500 ~]$ sudo nmap -sT 10.10.2.143
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-26 07:48 CET
Nmap scan report for 10.10.2.143
Host is up (0.074s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
53/tcp open  domain
80/tcp open  http
Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds

[gavarga@gavarga-5500 ~]$ sudo nmap -p 22 10.10.2.143
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-26 07:48 CET
Nmap scan report for 10.10.2.143
Host is up (0.024s latency).
PORT   STATE  SERVICE
22/tcp closed ssh
Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds

Pedig nálam bridge módban van az eszköz...

Most jut eszembe, hogy esetleg te az eszköz webes felületén található Portscan eredmények oldalra gondolsz. Ott az NMHH bármilyen port tesztelésére utasíthatná az eszközt, de ez azt vizsgálja, hogy kifelé nem blokkolja-e a szolgáltatód egy távoli szerver valamilyen porton történő elérését! Azaz ott a 22-es TCP port a cél IP (ami egy szintén a BIX-ben lévő NMHH-s szerver) 22-es TCP portját jelenti.

Nem néztem utána, csak a web-es felületen láttam, és hittem neki. De írhattam volna a web szerver speciális elérését amivel ki/be kapcsolhatóak szolgáltatások.
Amúgy mit csinál az 53-as porton?
Nem azt állítottam, hogy ilyeneket tud. Csak azt, hogy ez egy olyan doboz, amiben nem tudjuk mi van. Nagy valószínűséggel semmi, mert eddig semmi nem derült ki róla. És a felhasználóiról sem.

[ Szerkesztve ]

Milyen web szerver speciális eléréséről és szolgáltatás ki/bekapcsolásra gondolsz?

53-as porton standart DNS szerver van, ami igazából akkor lép működésbe, ha NAT-ol az eszköz.

Hidd el, én tudom, mi van benne...

Pl. egy egy kellően bonyolult speciálisan megformázott http kérést küldve különböző szolgáltatásokat indíthatsz el WEB szerveren keresztül. Aktiválhatod az ssh belépést, a jelszó sniffelést, a ddos támadást,...

Tudom, hogy te tudod mi van benne, hiszen Te írtad hozzá a kódot, de ha lenne benne is ilyen, azt kellene mondanod, hogy nincs benne
És mint írtam is, nem azt mondom hogy van, de ezek a konteók technikailag megvalósíthatók, míg a Bill Gates féle 5G-s covid-19 chipek nincs tudományos alapja.

Mikor kezd el NAT-olni?

[ Szerkesztve ]

A külső cég által végzett biztonsági audit egyik vizsgálata ez volt, hogy a weboldalon keresztül kompromittálható-e az eszköz. Nem... Ugyanis nem értékel ki semmilyen beérkező get/post paramétert a szerver oldal, egyszerűen egy paraméter értékét vizsgálja.

NAT-olni akkor kezd, ha DHCP esetén a WAN oldalra publikus IP-t kap, vagy ha PPPoE kapcsolatot detektál (a LAN oldalon PPPoE kapcsolatot kezdeményeznek és még nincs élő WAN kapcsolat).

Vagyis ha az ONT és router közé javasolt tenni, akkor az ONT-től publikus IP-t kap és elkezd NATolni? Ilyenkor a router milyen címet kap tőle?

Szia!

Igen. Ilyenkor a saját router a 192.168.199.x tartományból fog IP-t kapni és minden bejövő forgalmat oda irányít (lényegében, mint a gyári firmware-ok esetében a DMZ).

[ Szerkesztve ]

Oh... Köszi! Ez érdekes infó volt számomra.