Základní omezení

Přístup do fakultní sítě je kvůli zvýšení její bezpečnosti omezen. Omezení se obecně týká přístupů z mimouniverzitní sítě, tedy z domén jiných než muni.cz (IP s prefixem 147.251). Obecně jsou blokovány všechny privilegované porty všech strojů s výjimkou těchto vybraných služeb, které jsou dostupné i zvenčí:
  • SSH, IMAP(s), POP3(s) na Aisu a Anxura (nutný korektní DNS záznam - viz níže)
  • SMTP s vynucenou autentizaci na relay.fi.muni.cz
  • NTP a time na time.fi.muni.cz
  • HTTP(s) na www.fi.muni.cz a fadmin.fi.muni.cz

Jiné, zdůvodněné výjimky zrealizuje na požádání CVT FI.

SSH na portech 80, 443

Někteří poskytovatelé Internetu (hotely, konference, ...) omezují uživatele jen na použití portů pro přístup k webu [http(80)/https(443)]. Není tak možnost používat službu SSH na portu 22. Pro potřeby zaměstnanců FI (a ostatních uživatelů s přístupem na zaměstnanecký server Anxur) poskytujeme možnost používat SSH i na portech 80 a 443 na adrese anxur-ssh.fi.muni.cz:
ssh -p 80 login@anxur-ssh.fi.muni.cz

SSH tunely (port forwarding)

V případe potřeby připojit se na službu, která je dostupná jenom z fakultní nebo univerzitní sítě, je možné využít SSH tunel. Za použití SSH tunelu se spojení navazuje ze stroje, na který má uživatel přístup přes SSH (např. Aisa, odkud přístup na fakultní služby není omezen), avšak službu zpřístupňuje na zvoleném portě na stroji uživatele.
doma$ ssh -L 13306:db.fi.muni.cz:3306 login@aisa.fi.muni.cz
Výše uvedený příkaz vyvede MySQL port stroje db.fi.muni.cz na port 13306 stroje doma, takže uživatel se může připojit na svoji databázi na fakultním databázovém serveru ze stroje doma následujícím příkazem:
doma$ mysql -h localhost -p 13306 -u login -p
Obdobný návod pro klienta PuTTY na Windows lze nalézt v různých verzích na Internetu.

Problémy s DNS (aneb: Aisa odmítá spojení)

Pro připojení k některým službám (vč. SSH na Aisu) je třeba připojovat se z IP adresy, která má korektně nakonfigurované DNS. Což znamená, že pro tuto IP adresu musí existovat reverzní (PTR) záznam v DNS a pro jméno, na které tento záznam ukazuje, musí existovat dopředný (A) záznam v DNS, který vede zpět na adresu, odkud se uživatel připojuje.

Jak ověřit konzistenci DNS záznamů?

K tomuto účelu byla vytvořena jednoduchá aplikace na Fakultní administrativě. Alternativně lze ověření provést ručně, a to na UNIXových strojích např. programem host, na Windows pak programem nslookup.exe. Předpokládejme, že IP adresa stroje, odkud se uživatel hlásí, je 1.2.3.4, pak by ověření mohlo vypadat nějak takto:
$ host 1.2.3.4
4.3.2.1.in-addr.arpa domain name pointer uzivatel4.poskytovatel.cz
Tímto jsme ověřili, že reverzní DNS záznam pro IP adresu 1.2.3.4 existuje. Teď ještě odpovídající dopředný záznam:
$ host uzivatel4.poskytovatel.cz
uzivatel4.poskytovatel.cz has address 1.2.3.4
OK, existuje i dopředný DNS záznam a vede na správnou IP adresu.

Nejčastější chyby

Nejčastějšími chybou je neexistence reverzního DNS záznamu (prvně uvedený příkaz host vrátí chybu), neexistence dopředného DNS záznamu (druhý příkaz vrátí chybu), nebo fakt, že si reverzní a dopředný DNS záznam neodpovídají (druhý příkaz vrací jinou adresu než je adresa zadaná prvnímu příkazu).

Jak zjednat nápravu

DNS záznamy má možnost opravit obvykle správce sítě, odkud se uživatel připojuje (nebo jeho poskytovatel připojení). Je třeba slušně požádat a případně odkázat na RFC 1912 "Common DNS Operational and Configuration Errors", kde se v sekci 2.1 praví:
2.1 Inconsistent, Missing, or Bad Data

   Every Internet-reachable host should have a name.  The consequences
   of this are becoming more and more obvious.  Many services available
   on the Internet will not talk to you if you aren't correctly
   registered in the DNS.
   
   Make sure your PTR and A records match.  For every IP address, there
   should be a matching PTR record in the in-addr.arpa domain.  If a
   host is multi-homed, (more than one IP address) make sure that all IP
   addresses have a corresponding PTR record (not just the first one).
   Failure to have matching PTR and A records can cause loss of Internet
   services similar to not being registered in the DNS at all.

Úplná blokace IP adresy

Z důvodu ochrany služeb poskytovaných sítí FI MU jsou sledovány pokusy o přístup na zakázané porty zakázaných nebo neexistujících strojů. Pokud nějaký stroj opakovaně přistupuje na zakázané porty zakázaných strojů, je jeho chování vyhodnoceno jako pokus o neoprávněné vniknutí do sítě FI MU a přístup z tohoto stroje do sítě FI MU je kompletně zablokován na 24 hodin. Po věrohodném vysvětlení chování může CVT FI MU blokaci předčasně ukončit. Při opakovaných incidentech je naopak provedena blokace trvalá.