abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 0
včera 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 19
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
2.12. 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 767 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Shorewall vs. hostname

25.12.2008 16:30 Vašek
Shorewall vs. hostname
Přečteno: 385×

Dobré odpoledne,

řeším problém na debian linuxu, nainstaloval jsem na svůj stroj shorewall firewall, pokusil jsem se nastavit pravidla pro porty a zařízení přesně jak mi vyhovují, vše šlo bez problémů, avšak jeden problém nemůžu vyřešit.

Server má vnitřní adresu, řekněme 192.168.1.14 - a jmenuje se miranda. Pokud firewall vypnu, překlad adresy 192.168.1.14 na miranda je bez problémů, tedy pokud zadám v jiném PC ping miranda - server odpovídá. Jakmile zapnu shorewall, tento příkaz nepracuje, pokud však zadám ping 192.168.1.14 tak server odpovídá. Obdobně je to s http požadavkem v prohlížeči, který se snaží spojit s webserverem na tomto serveru.

Proto jsem vytvořil pravidlo tcp a udp pro povolení komunikace na portu 53 pro DNS, ale nepomohlo to.

Uvádět zde tutoriálové příklady z manuálu shorewallu pro nastavení pravidel je zbytečné, navíc mi má pravidla pracují správně, jen ten překlad jmen mě trápí a nikde to nemohu dohledat.

Dokáže mi někdo pomoci s nastavením shorewallu tak, aby mi fungoval překlad miranda na 192.168.1.14?

Řešení jako udělat záznam do hosts apod. využít nechci, neboť IP adresa je dynamická z DHCP serveru. Proč u serveru - to je otázka jiná, ale to je teď vedlejší.

Děkuji mnohokrát za náměty a rady.

Vašek

Odpovědi

25.12.2008 18:38 Oto Petřík | skóre: 11 | Vrchlabí
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

je to pravidlo pro DNS pruchozi obema smery ?

bez konfiguracnich soubor shorewallu (aspon rules a policy) lze jen odhadovat pricinu problemu.

25.12.2008 19:07 Vašek
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

Jasne, dobra pripominka, prikladam oba soubory

Obsah souboru RULES
===================

ACCEPT    net        $FW        tcp        53,21,22,80
ACCEPT    net        $FW        udp        53,21

ACCEPT    net        $FW        icmp        8
ACCEPT    $FW        net        tcp        53

Mam zde napsana pravidla pro DNS, SSH, FTP a HTTP, DNS jsem dal smerem jak z FW na NET tak z NET na FW.


Obsah souboru POLICY
===================

$FW        net        ACCEPT
net        all        DROP        info
all        all        REJECT        info

25.12.2008 20:43 Oto Petřík | skóre: 11 | Vrchlabí
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

soubory vypadaji v poradku, jen tento radek je zbytecny:

ACCEPT    $FW        net        tcp        53

  1. DNS pouziva primarne UDP
  2. je to povoleno uz nastavenim v '$FW        net        ACCEPT' v POLICY

pokud v logu neni nic zajimaveho, zkuste zapnout logovani i ve zbyvajicim radku v POLICY.

Zarazi me ze 'IP adresa je dynamická z DHCP serveru' (poprve jsem prehledl), v tom pripade ma nejspis ten 'jiny PC' adresu DNS serveru nastavenou na adresu pocitace kde bezi DHCP (ale urcite ne na pocitac miranda, kteremu se ip adresa muze menit), tedy na pocitac miranda by nemely vubec prichazet DNS dotazy.... mate v souboru interfaces zapnutou volbu dhcp ?

25.12.2008 20:58 Vašek
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

tento řádek je jen zoufalý pokus

ACCEPT    $FW        net        tcp        53

Abyste rozumněl - server je virtuální, navíc je zde DHCP proto, protože je nainstalován na laptopu, který používám ve více sítích, kde jsou různé rozsahy IP adres a díky mojí pohodlnosti je pro mě důležité jen aby se přeložilo jméno počítače.

Pokud jsem se zkoušel probírat pravidly a politikou, tak v souboru politiky je problémový tento řádek:

net        all        DROP        info

který vlastně veškerý provoz ze sítě zahodí. Pokud jej zakomentuju, DNS chodí, jak jinak, že, pak je ale zbytečné, abych měl vůbec firewall povolený :-)

25.12.2008 21:57 Oto Petřík | skóre: 11 | Vrchlabí
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

jestli jsem to dobre pochopil: pri vypnutem firewallu funguje ping i http podle jmena i IP, pri zapnutem firewallu funguje ping a http pouze podle IP, tedy spusteni firewallu neblokuje provoz na mirandu, pouze preklad jmena. miranda dostane IP adresu od DHCP serveru lokalni site (pokud je virtualni rozhrani premostene) nebo od DHCP serveru bezicim na notebooku - v pozadavky na nastaveni shorewallu jsou v obou pripadech shodne (http://www.shorewall.net/dhcp.htm). DNS server, ktery zna preklad miranda->192.168.1.14 je tedy bud DNS server spolupracujici s DHCP serverem lokalni site nebo DNS server spolupracujici s DHCP bezicim na notebooku. V obou pozadavek na preklad jmena posila na _jiny_ pocitac nez miranda, shorewall na mirande tedy nemuze preklad DNS blokovat. doporucuji zkontrolovat logy DHCP serveru, pripadne DNS serveru zodpovedneho za preklad.

moznosti jak zasitovat virtualni stroj s prekladem jmen:

pokud virtualni servery nemaji byt dostupne vne notebooku (nebo staci preroutovat par portu z notebooku)

a) pouzijte hosts a pevne nastavenou adresu virtualniho serveru (pro malo serveru to je dobre pouzitelne), DNS se pro virtualni stroje nepouziva

b) na hlavnim systemu notebooku spustte dnsmasq (DHCP + DNS server v jednom, muzete pouzit i pevne mapovani MAC -> jmeno a ip) a upravte /etc/resolv.conf aby pouzival 127.0.0.1 (detaily viz dokumentace dnsmasq, muze se hodit i resolvconf nebo openresolv), DNS server pro virtualni stroje tedy pobezi primo na notebooku a dnsmasq fungje i jako cache pro DNS dotazy na zbytek site. doporucuji vsechny virtualni rozhrani spojit jednim mostem (ktery bude vuci vnejsi siti za maskaradou) a dnsmasq nastavit na poskytovani DHCP pouze na toto rozhrani, s tim ze DNS bude poskytovano navic i na loopback. si muze libovolny virtualni stroj i fyzicky notebooku prelozit jmeno libovolneho virtualniho stroje, notebooku jako takoveho nebo cehokoliv na vnejsi siti.

pokud virtualni servery maji byt plne dostupne zvenci, tak nezbyva nez premostit virtualni a skutecnou sitovou kartu a zajistit ze DHCP & DNS servery pro vsechny site ve kterych se notebook objevuje znaji MAC vygenerovanych virtualnich stroju :/

26.12.2008 09:03 Vašek
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

Teda, opravdu děkuji za vyčerpávající odpověď.

Abyste byl v obraze, virtuální server, o kterém se bavíme (miranda) je nyní stavěn se záměrem implementace do předem neznámého prostředí, jinými slovy řečeno, projekt, pro který se snažím postavit linuxový server vyžaduje jisté služby, které mi bohatě a jednoduše poskytne debian linux bez grafického rozhraní, avšak nechci zákazníka, kterému tento stroj půjde do firmy, zatěžovat zbytečně instalací dalšího hardwarového stroje, když ve své firmě má již instalovaný server, který virtualizaci bez problémů zvládne a bude s ní moci fungovat.

Nyní jsme se bavili o problému, kdy mirandu konfiguruji na svém laptopu, kde jako hlavní OS je instalován WinXP Profi. Jako virtualizační nástroj pro servery jsem si rozchodil MS Virtual Server 2005 R2, který v mých podmínkách odvádí slušnou práci a samotná miranda jede parádně.

Jako poslední krok po celé konfiguraci všech programů a všech démonů, které potřebuji, jsem se rozhodl ještě nastavit firewall. Jelikož jsem v linuxu nikdy moc nedělal a spíše tomu jen fandím a snažím se kousek po kousku přijít na kloub. Zkoušel jsem hledat různá řešení jak zabezpečit tento server před potenciálním nebezpečím. Jsem si vědom, že miranda nebude vystavena s největší pravděpodobností na veřejné IP adrese, tudíž nejsem nucený mít nějak extra nastavený firewall, avšak vzhledem ke svým zkušenostem je velmi vhodné firewall mít.

Co se aktuální sítě týká: DHCP server je nyní můj router, který přiděluje adresy z rozsahu, který chci, router má nastavenu pevnou IP od mého ISP a přejímá DNS server který mi ISP rovněž poskytl. Tudíž jediným DNS je nastavený pro celou tuto síť onen zmiňovaný.

Co se nastavení DHCP pro zařízení nastavená ve shorewallu týká, prošel jsem manuálové nastavení a vypadá to, že jsem se trefil napoprvé.

Jinak řešení, které jste popsal s pevnou IP adresou rozumím, chápu přesně jak to myslíte, avšak jak jsem již napsal, pro můj případ je to poměrně pohodlné a užitečné, když by stačilo napsat místo IP adresy jen jméno miranda. V případě, že se mi nepodaří se tomu vyhnout, použiji to jak říkáte :-)

Pokud zapnu totiž firewall, tak miranda vyjima portu 21,22,80,53 a 8 pro ping všechno ostatní zahodí. Udělá tedy přesně to, co jsem nastavil, což mě těší. Tedy podle mého názoru musí zahodit ještě i nějaký další paket, ve kterém přichází požadavek na zjištění, zda se nejmenuje náhodou miranda. Jak říkám, nejsem úplný znalec, ale takto mi to přijde, protože jakmile firewall odstavím, miranda je ihned viditelná - resp. může přijímat jakékoliv pakety na svých portech, a to stejné vlastně funguje pokud upravím to pravidlo o kterém jsem se zmiňoval - pro příjem paketů z net -> na all (net        all        DROP        info).

26.12.2008 11:28 Vašek
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

Zatím jsem se dobádal k tomu, že stačí povolit nějaké porty z rozsahu 1-201 na tcp/udp. Jenom zjistit které z nich je potřeba povolit pro ono přihlášení se k nadřazenému DNS serveru. Jakmile se to mirandě podaří, je vyhráno.Doufám.

26.12.2008 20:29 Vašek
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

OK, řekl bych, že problém je vyřešen

RULES
======

ACCEPT    net        $FW        tcp        137:139
ACCEPT    net        $FW        udp        137:139

Co porty znamenají:

137/TCP,UDP     NetBIOS NetBIOS Name Service
138/TCP,UDP     NetBIOS NetBIOS Datagram Service
139/TCP,UDP     NetBIOS NetBIOS Session Service

V žádném případě mě to nenapadlo, ale nakonec v sítích windows to nějakou logiku mít bude.

Děkuji mnohokrát za asistenci.

Jakub Lucký avatar 26.12.2008 20:50 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Shorewall vs. hostname
To jsou prostě NetBIOS porty... o NetBIOS více třeba na Wikipedii ;)
If you understand, things are just as they are; if you do not understand, things are just as they are. (Zen P.) Blogísek
27.12.2008 07:03 Vašek
Rozbalit Rozbalit vše Re: Shorewall vs. hostname

No jo, ja myslel, že jsou dobré hlavně pro sambu :-)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.