Firewall



Firewall slouží k blokování nežádoucího provozu a k routování provozu.Pomocí Dummynetu se nechá nastavit pro jednotlivé uživatele a skupiny např. rychlost stahování ,nastavit agregaci a plno jinych věciček. Naproti tomu NAT(překlad adres,maškaráda) slouží převážně ke skrytí vnitřní sítě za jednu IP.Pomocí natu se nechá nastavit tunel mezi jednotlivími IP(máme několik volných IP adres,jednu z nich přiřadíme jako alias naší sítovce a pomocí Natu jí provážeme s IP počítače ve vnitřní síti.Pak na ten vnitřní komp můžeme přistupovat z internetu stejně jako by byl ten počítač připojen přímo do intenetu ),nebo můžeme přesměrovat jen nějaký port-např chceme provozovat FTP na stanici ve vnitřní síti (vím že je to blbej příklad)a pomocí Natu mu otevřeme přímou cestu jen pro porty 21 a 22.
V bsd se používá několik firewallů, nejčastěji Ipfw a z NetBsd portovaný Pf




OBSAH


Natažení modulů
Config-single stroje
Config-brány
NAT-natažení modulů
NAT-config
ARP
Užitečnosti
Čísla portů
Sítové masky
Neveřejné IP
Loopbackové IP



Máme možnost natahovat firewall budto úpravou jádra nebo natahovat jako modul-viz níže


Úprava jádra
zkopírujte defaultní kernel file:
cd /usr/src/sys/i386/conf
cp GENERIC IPFWKERNEL


přidejte podporu IPFW :
ee IPFWKERNEL

přidejte tyto direktivy:
options IPFIREWALL # required for IPFW
options IPFIREWALL_VERBOSE # optional; logging
options IPFIREWALL_VERBOSE_LIMIT=10 # optional; don't get too many log entries
options IPDIVERT # needed for natd


ulož a zavři soubor, sestav jádro.
cd /usr/src
make buildkernel KERNCONF=IPFWKERNEL


instaluj nový kernel:
make installkernel KERNCONF=IPFWKERNEL

restartuj systém:
reboot


Natahovat jako modul

natazeni firewalu
kldload ipfw
natáhne firewall IPFW
kldload ipdivert
natáhne NAT (linuxáci znají jako maškarádu)
kldload dummynet
natáhne dummynet-nástroj pro rozdělování traficu

pri spousteni po startu vlozit do
/boot/loader.conf
ee /boot/loader.conf
ipfw_load="YES"
#dummynet_load="YES"


pravidla jsou ve tvaru
830 allowlog loagmount 2udp from any 21 to any 445 via xl0
číslo pravidlaakcelogovatprotokolodkud IP sít:maska anyportkamIP sít:maska anyportpřes jakou sítovku
volby pro akce
allow , pass , permit povolení paketu
deny, drop zahození paketu
fwd , forward ipaddr[,port] forwardování na ipaddr[:port]
reset zahození paketu a zaslání TCP paketu s RST bitem
unreach zahození paketu a zaslaní ICMP zprávy, kde code může být net, host, protocol, port,
skipto číslo_pravidla skok na dané číslo pravidla
check-state kontroluje proti tabulce dynamických pravidel, pokud najde shodu, spustí nadefinovanou akci

POZOR- je třeba v /etc/rc.conf mít zapnuto logování firewall_logging="YES"
volby pro log
logpravidlo bude logováno do /var/log/security
logamoutnepovinný parametr-udává číslo, kolikrát se budou pakety, které vyhovují pravidlu logovat (0=všechny)
ipfw add 100 deny log loagmount 2 all from any to me
volby pro protokol
ipvšechny Ip pakety
tcptcp pakety
udpudp pakety
icmpICMP pakety

je jich 15 typů
0-Echo Reply(ping)
3-Destination Unreachable
4-Source Quench
5-Redirect
8-Echo Request(ping)
9-Router Advertisement
10-Router Silicitation
11-Time-to-Live Exceeded(traceroute)
12-IP header bad
13-Timestamp Request
14-Timestamp Reply
15-Information Request
16-Information Reply
17-Address Mask Request
18-Address Mask Reply
allvšechny protokoly
jméno službyslužba jak je uvedena v /etc/services
volby pro odkud a kam
192.168.0.1IP adresa
192.168.0.0/24rozsah sítě
192.168.0.0:255.255.255.0rozsah sítě
192.168.0.0/24{11,34,49,61,}rozsah sítě s bitovou maskou a definovanými konkrétními IP adresami
mevšechny Ip adresy, které používá server na svojich rozhraních
notnásleduje jej IP adresa, nebo rozsah IP adres(ipfw add 1100 deny all from not 192.168.0.1 )
anyvšechny IP adresy
volby pro port
21číslo portu
dst-port 21jiný zápis pro číslo portu
21,22,25výčet portů
1000-1500rozsah portů
neuvedená žádná hodnota=všechny porty
volby pro směr a sítovku
viapakety procházející daným rozhraním oběma směry.
200 allow tcp from any to any 80 out via xl0
recvpakety přicházející na dané rozhraní
xmitpakety odcházející z daného rozhraní


POZOR
-směr paketů se může nastavit také následujícím způsobem
110 allow tcp from any to any 21 in
120 allow tcp from any to any 22 out
pravidla můžeme natahovat z konfigu shelovským scriptem, nebo scriptem IPFW, případně z příkazové řádky.

shelovským scriptem
-v rc.confu je volba firewall_script="/etc/rc.firewall.rules"
-pravidla jsou ve formátu ipfw -q add 10 allow all from any to any via lo0
-script musí být spustitelný
-je možno používat proměnné a všechny fičůrky, které poskytuje shell

scriptem IPFW
-v rc.confu je volba firewall_type="/etc/rc.firewall.rules"
-pravidla jsou ve formátu 010 allow all from any to any via lo0
-script má práva 644
-nejdou používat proměnné (aspon o tom nevím)

z příkazové řádky
-pravidla jsou ve formátu
ipfw -q add 10 allow all from any to any via lo0

pravidla můžeme vyhazovat/přidávat za "chodu" firewallu příkazem (nebo scriptem)
ipfw del 500
kde 500 je číslo pravidla které chceme vyhodit
použít můžeme
del pro výmaz pravidla
add pro přidání pravidla


POZOR-u pravidel platí, že pokud nějaké vyhoví podmínce, tak na další pravidla již nepokračuje a to platí , at jej ta podmínka blokuje nebo povoluje

ochranu proti spoofingu (kontrola, zda má interface stejnou adresu, jako je cílová adresa přicházejího paketu) zapneme v konfiguraku sysctl (/etc/sysctl.conf)
zde nastavíme
net.inet.ip.check_interface: 1


pokud budeme v configu používat jako komentář # , tak tento komentář ve výpisu ipfw list vidět nebude, ale pokud použijeme //, tak tyto komentáře vidět budou.


zeditujeme soubor rc.conf příkazem
ee /etc/rc.conf a zapíšeme sem
firewall_enable="YES"
firewall_script="/etc/rc.firewall.rules" #soubor s pravidly pro firewall
firewall_logging="YES" #logovani firewallu
natd_enable="YES"
natd_flags="-f /etc/natd.conf" #soubor s pravidly pro nat

Pokud se natahuje jako modul je třeba nastavit pro logování v /etc/sysctl.conf následující
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=5


ukazaní pravidel firewallu
ipfw list

a kdy byli pravidla naposledy použité
ipfw -t list

nacteni novych pravidel:
ipfw -f flush (vycisteni starych pravidel)
sh /etc/rc.firewall.rules (nacteni novych pravidel-při volbě v rc.confu volbu firewall_script="/etc/rc.firewall.rules")
pokud použijete v rc.confu volbu firewall_type="/etc/rc.firewall.rules"
ipfw /etc/rc.firewall.rules (nacteni novych pravidel)
/etc/rc.d/natd restart (znovunacteni natu)


reset site se provádí příkazem
/etc/netstarts
ale nyní to dělat nemusíme-uvádím jen pro zajímavost


příklad nastavení souboru /etc/rc.firewall.rules pro server který neslouží jako brána

zeditovat hodnotu$ip -dosadte si místo toho vlastní rozhraní
(zjistíte příkazem ifconfig)



XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
# sh /etc/rc.firewall.rules
# kldload ipfw && ipfw add allow all from any to any
#bezpecny zavedeni,abychom se neodstrihli od stanice pri praci na dalku

IPF="ipfw -q add"
ipfw -q -f flush
ip="192.168.0.4"

#loopback
$IPF 10 allow all from any to any via lo0
$IPF 20 deny all from any to 127.0.0.0/8
$IPF 30 deny all from 127.0.0.0/8 to any
$IPF 40 deny tcp from any to any frag

# statefull
$IPF 50 check-state
$IPF 60 allow tcp from any to any established
$IPF 70 allow all from any to any out keep-state
$IPF 80 allow icmp from any to any

# open port ftp (20,21), ssh (22), mail (25)
# http (80), dns (53), https (443), imap(143)
# imaps(993),pop3(110), pop3s(995),
$IPF 110 allow tcp from any to any 21 in
$IPF 120 allow tcp from any to any 21 out
$IPF 130 allow tcp from any to any 22 in
$IPF 140 allow tcp from any to any 22 out
$IPF 150 allow tcp from any to any 25 in
$IPF 160 allow tcp from any to any 25 out
$IPF 170 allow udp from any to any 53 in
$IPF 175 allow tcp from any to any 53 in
$IPF 180 allow udp from any to any 53 out
$IPF 185 allow tcp from any to any 53 out
$IPF 200 allow tcp from any to any 80 in
$IPF 210 allow tcp from any to any 80 out
$IPF 220 allow tcp from any to ${ip} 443 setup
$IPF 225 allow tcp from any to ${ip} 143 setup
$IPF 230 allow tcp from any to ${ip} 993 setup
$IPF 235 allow tcp from any to ${ip} 110 setup
$IPF 240 allow tcp from any to ${ip} 995 setup



#pro sambu
#NETBIOS Name Service :137/udp, NETBIOS Datagram Service :138/udp
#NETBIOS Session Service:139/tcp, Microsoft-DS:445/tcp

$IPF 270 allow udp from any to any 137 in
$IPF 285 allow udp from any to any 137 out
$IPF 300 allow udp from any to any 138 in
$IPF 305 allow udp from any to any 138 out
$IPF 310 allow tcp from any to any 139 in
$IPF 315 allow tcp from any to any 139 out
$IPF 320 allow udp from any to any 445 in
$IPF 325 allow udp from any to any 445 out


#NTP sluzby
$IPF 545 allow udp from any 123 to ${ip}
$IPF 550 allow udp from any to ${ip} 123

#pro openvpn
$IPF 600 allow all from any to any 1194 in
$IPF 610 allow all from any to any 1194 out

# deny and log everything
$IPF 60000 deny log all from any to any




příklad nastavení souboru /etc/rc.firewall.rules pro server který slouží jako brána

fwcmd="/sbin/ipfw"
$fwcmd -f flush



#zde nastavte venkovni rozhrani a masku .
oif="fxp0"#sitovka
onet="216.27.1234.0"#sit
omask="255.255.255.0"#maska
oip="216.27.1234.1"#ip adresa sitovky


#zde nastavte vnitrni rozhrani a masku .
iif="fxp1"#sitovka
inet="192.100.666.0"#sit
imask="255.255.255.0"#maska
iip="192.100.666.1"#ip adresa sitovky


#zde nastavte VPN rozhrani a masku .
vif="tap0"#sitovka
vnet="10.0.1.0"#sit
vmask="255.255.255.0"#maska
vip="10.0.1.1"#ip adresa sitovky



# priklad nastaveni slusnych lidi-
#goodguys="{ 192.168.0.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
#${fwcmd} add allow all from ${goodguys} to any in via ${oif}

#hajzlici
badguys="{ 192.168.0.0/24{11,105,111,113,114,119,121,125,144,203,222 } }"



#setup_loopback

# Stop spoofing.
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

# Stop RFC1918 nets on the outside interface.
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface.
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

# Special early rules for protocols handled on the gateway machine,
# so that these packets don't have to go through natd which is slow.
${fwcmd} add allow tcp from any to ${oip} 21 in via ${oif} # ftp
${fwcmd} add allow tcp from ${oip} 21 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 22 in via ${oif} # ssh
${fwcmd} add allow tcp from ${oip} 22 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 25 in via ${oif} # smtp
${fwcmd} add allow tcp from ${oip} 25 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 53 in via ${oif} # tcpdns
${fwcmd} add allow tcp from ${oip} 53 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 80 in via ${oif} # http
${fwcmd} add allow tcp from ${oip} 80 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 443 in via ${oif} # https
${fwcmd} add allow tcp from ${oip} 443 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 143 in via ${oif} # imap
${fwcmd} add allow tcp from ${oip} 143 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 993 in via ${oif} # imaps
${fwcmd} add allow tcp from ${oip} 993 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 110 in via ${oif} # pop3
${fwcmd} add allow tcp from ${oip} 110 to any out via ${oif}
${fwcmd} add allow tcp from any to ${oip} 995 in via ${oif} # pop3s
${fwcmd} add allow tcp from ${oip} 995 to any out via ${oif}

# Network Address Translation.

# Stop RFC1918 nets on the outside interface.
${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface.
${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}

# Allow anything on the internal net.
${fwcmd} add allow all from any to any via ${iif}

# Allow anything outbound from this net.
${fwcmd} add allow all from ${onet}:${omask} to any out via ${oif}

# Deny anything outbound from other nets.
${fwcmd} add deny log all from any to any out via ${oif}

# Allow TCP through if setup succeeded.
${fwcmd} add allow tcp from any to any established

# Allow IP fragments to pass through.
${fwcmd} add allow all from any to any frag

# Allow all IPv6 packets through - they are handled by the separate
# ipv6 firewall rules in rc.firewall6.
${fwcmd} add allow ipv6 from any to any

# Deny inbound auth, netbios, ldap, and Microsoft's DB protocol
# without logging.
${fwcmd} add reset tcp from any to ${oip} 113 setup in via ${oif}
${fwcmd} add reset tcp from any to ${oip} 139 setup in via ${oif}
${fwcmd} add reset tcp from any to ${oip} 389 setup in via ${oif}
${fwcmd} add reset tcp from any to ${oip} 445 setup in via ${oif}

# Deny some chatty UDP broadcast protocols without logging.
${fwcmd} add deny udp from any 137 to any in via ${oif}
${fwcmd} add deny udp from any to any 137 in via ${oif}
${fwcmd} add deny udp from any 138 to any in via ${oif}
${fwcmd} add deny udp from any 513 to any in via ${oif}
${fwcmd} add deny udp from any 525 to any in via ${oif}

# Allow inbound DNS and NTP replies. This is somewhat of a hole,
# since we're looking at the incoming port number, which can be
# faked, but that's just the way DNS and NTP work.
${fwcmd} add allow udp from any 53 to ${oip} in via ${oif}
${fwcmd} add allow udp from any 123 to ${oip} in via ${oif}

# Allow inbound DNS queries.
${fwcmd} add allow udp from any to ${oip} 53 in via ${oif}

# Allow inbound NTP queries.
${fwcmd} add allow udp from any to ${oip} 123 in via ${oif}

# Allow traceroute to function, but not to get in.
${fwcmd} add unreach port udp from any to ${oip} 33435-33524 in via ${oif}

# Allow some inbound icmps - echo reply, dest unreach, source quench,
# echo, ttl exceeded.
${fwcmd} add allow icmp from any to any in via ${oif} icmptypes 0,3,4,8,11

# Broadcasts are denied and not logged.
${fwcmd} add deny all from any to 255.255.255.255

# Everything else is denied and logged.
${fwcmd} add deny log all from any to any




#DUMMYNET
# Pajpy zakladani rour
#pipe 10 config bw 128Kbps queue 32Kbytes
#pipe 11 config bw 256Kbps queue 64Kbytes
#pipe 12 config bw 512Kbps queue 128Kbytes
#pipe 13 config bw 768Kbps queue 192Kbytes

#nasmerovani provozu do half duplex roury
#add 1000 set 10 pipe 10 ip from any to 192.168.6.0/24
#add 1001 set 10 pipe 10 ip from 192.168.6.0/24 to any

# Vysoka priority fronta - pouze zalozeni
#queue 1 config pipe 10 weight 90

# Nizka priorita fronta (procentech) -pouze zalozeni
#queue 2 config pipe 10 weight 10

# nasmerovani paketu do fronty cislo 1
#add 1000 queue 1 ip from 192.168.100.50 to any
#add 1010 queue 1 ip from any to 192.168.100.50




NAT (maškaráda,masquerade)



V jádře je potřeba mít zaplou volbu IPDIVERT.


ruční zavedení modulů

kldload ipfw
kldload ipdivert


Do souboru /boot/loader.conf je třeba přidat následující řádky

ipfw_load="YES"
ipdivert_load="YES"



v rc.confu musí být

gateway_enable=YES

natd_enable="YES"
natd_interface=""
#natd_interface="pe0"
#natd_interface="208.1.53.45"
natd_flags="-f /etc/natd.cf"


Pozor je třeba ve firewallu povolit divert. Tohle pravidlo by mělo být hodně vysoko. Nesmějí před ním být taková pravidla, která by blokovala pakety, které mají jít skrz NAT, ale ani taková , která by paketu pustila a ty se pak nedostali na divertovací pravidlo.

Je nutno divertu dát vědět, přes které rozhraní má komunikovat. Můžeme to uvést do natd.cf v parametru "n" nebo "a" a nebo nadefinovat v rc.conf příkazem natd_interface="pe0".Nesmí být ale definováno rozhraní vícekrát, jinak dostanete hlášku "both allias address and interfaces are not allowed" a NAT nenaběhne.
ipfw add 50 divert natd all from any to any via xl0
ipfw add check-state



Zápis přepínačů v configu

Dlouhý zápisKrátký zápis
alias_address a
config f
log l
interfacen
portp
unregistered_onlyu
dynamic dynamické otevření fw pro ftp, irc

start natu

/usr/sbin/natd -f /etc/natd.cf

příklad nastavení souboru /etc/natd.conf

a 193.179.xxx.xxx #schovej sit za tuto ver. adresu
redirect_port tcp 192.168.0.8:22 193.179.xxx.xxx:22 # SSH MFG linux
#redirect_port tcp 192.168.0.9:22 193.179.xxx.xxx:22 # SSH testovaci stroj
u #prekladej pouze neregistrovane 192.168.x.x. 172.16.x.x. 10.x.x.x
#preklad adres 1:1
redirect_address 192.168.0.9 193.179.xxx.xxx





ARP - zjištění IP,MAC a nastavení jejich vazby natvrdo



proti ARP spoofingu(podstrčení IP adresy) je možno se bránit nastavením statické ARP tabulky. pokud nebude souhlasit IP a MAC adresa , tak spojení nebude akceptováno. Je pravda, že se nechá provoz odposlechnout a upravit si i MAC adresu a tak pro arp bude útočník legitimní. Ale je to lepší než drátem do oka. Pokud bude daná IP v používání, tak se útočník do sítě nepřipojí.


dynamický natažení arp
arp -S 192.168.0.2 00:05:5d:29:ec:f4

výpis aktuální tabulky do souboru
arp -an | awk -v OFS=" " '{print(substr($2, 2, length($2)-2), $4)}' > /usr/local/etc/ethers

vyčištění tabulky
arp -d -a

Výpis aktuální tabulky
arp -an


vyčištění tabulky a natažení statické ze souboru
arp -d -a && arp -f /usr/local/etc/ethers

vytvoření vlastní tabulky
ee /usr/local/etc/ethers

formát statické arp tabulky

# Host MAC-address
192.168.0.1 00:05:5d:ce:d6:3f
192.168.0.2 00:05:5d:29:ec:f4



pokud chceme tabulku natahovat po startu serveru
ee /usr/local/etc/rc.d/statarp.sh

a zapíšeme

#!/bin/sh
# Static ARP-table loader

case $1 in
start)
arp -d -a > /dev/null
arp -f /usr/local/etc/ethers > /dev/null
echo 'Static ARP-table is loaded'
;;
stop)
arp -d -a > /dev/null
echo 'Static ARP-table is unloaded'
;;
restart)
arp -d -a > /dev/null
arp -f /usr/local/etc/ethers > /dev/null
echo 'Static ARP-table is reloaded'
;;
status)
arp -an
;;
*)
echo "Usage: `basename $0` {start|stop|restart|status}" >&2
;;
esac
exit 0



nastavit spustitelný
chmod 744 /usr/local/etc/rc.d/statarp.sh



Užitečnosti


jen pro info,tohle vypíše 20 nejčastějších IP co se pokouší přihlásit+počet pokusů
pro freeBSD v5.x
grep "Illegal user" /var/log/auth.log | cut -d " " -f 10 | sort | uniq -c | sort -r | head -n20

pro freeBSD v6.x
grep "Invalid user" /var/log/auth.log | cut -d " " -f 10 | sort | uniq -c | sort -r | head -n20



Číslo TCP UDP Služba

0 tcp udp Rezervováno,nepoužívá se
1 tcp udp TCPMUX
4 udp NTP
5 tcp udp RJE
7 tcp udp ECHOprotocol
9 tcp udp DISCARDprotocol
13 tcp udp DAYTIMEprotocol
17 tcp udp QOTDprotocol
20 tcp udp FTP(data)
21 tcp udp FTP(příkazy)
22 tcp udp SSH
23 tcp udp Telnet
25 tcp udp SMTP
37 tcp udp TIMEprotocol
53 tcp udp DNS
67 udp BOOTP(server),DHCP
68 udp BOOTP(klient),DHCP
69 udp TFTP
70 tcp Gopher
79 tcp Finger
80 tcp HTTP
88 tcp Kerberos
110 tcp POP3
113 tcp ident
115 tcp SFTP
119 tcp NNTP
123 udp NTP
137 tcp udp NetBIOS
138 tcp udp NetBIOS
139 tcp udp NetBIOS
143 tcp udp IMAP
161tcp udp SNMP
162 tcp udp SNMPTRAP
179 tcp BGP
194 tcp IRC
213 tcp udp IPX
389 tcp LDAP
443 tcp udp HTTPS
445 tcp Microsoft'sDB
514 tcp rsh
514 udp syslog
540 tcp UUCP
554 tcp RTSP
563 tcp udp NNTPS
993 tcp IMAPS,SSL
995 tcp POP3S,SSL
1433tcp Microsoft-SQL-Server
1434 udp Microsoft-SQL-Monitor
3050 tcp Firebird
3306 tcp MySQL
3389 tcp RDP-MSvzdalenaplocha
5190 tcp AOLInstantMessenger,ICQ
5222 tcp Jabber
5223 tcp Jabber,SSL
5900 tcp VNC
6667 tcp IRC
6697 tcp IRC,SSL




Sítové masky

Bitová maska (bitmask)Sítová maska (netmask)Počet adresPočet použitelných IP
32 255.255.255.255 1 1
31 255.255.255.254 2 1
30 255.255.255.252 4 2
29 255.255.255.248 8 6
28 255.255.255.240 16 14
27 255.255.255.224 32 30
26 255.255.255.192 64 62
25 255.255.255.128 128 126
24 255.255.255.0 256 254
22 255.255.192.0 16320 16318
20 255.255.128.0 32768 32766
16 255.255.0.0 65536 65534
2 255.128.0.0 8.388608+e6 8.388606+e6
8 255.0.0.0 256^3 (256^3)-2
0 0.0.0.0 (all IPs) 256^4 (256^4)-2





Neveřejné IP adresy

třída A 10.0.0.0/8 10.0.0.0 až 10.255.255.255
třída B 172.16.0.0/12 172.16.0.0 až 172.31.255.255
třída C 192.168.0.0/16 192.168.0.0 až 192.168.255.255
Multicast 240.0.0.0/8 240.0.0.0 až 239.255.255.255





Loopbackové IP adresy

Localhost Loopback Addresses 127.0.0.0/8 127.0.0.0 až 127.255.255.255
Zeroconf Address 169.254.0.0/16 169.254.0.0 až 169.254.255.255

Poznámka:
Localhost Loopback Address-jsou adresy, které by měli být lokální pro dané zařízení (nepřenáší se nikam do sítě)
Zeroconf Address-používá Microsoft a slouží k automatické konfiguraci sítě pro propojení pár počítačů


Počet přístupů na stránky 1