abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 05:55 | Komunita

Dries Buytaert, autor a vedoucí projektu Drupal a prezident Drupal Association, požádal soukromě před několika týdny Larryho Garfielda, jednoho z klíčových vývojářů Drupalu, aby projekt Drupal opustil. Larry Garfield minulý týden na svých stránkách napsal, že důvodem jsou jeho BDSM praktiky a rozpoutal tím bouřlivou diskusi. Na druhý den reagoval Dries Buytaert i Drupal Association. Pokračuje Larry Garfield [reddit].

Ladislav Hagara | Komentářů: 0
dnes 04:44 | Humor

Společnost SAS zveřejnila na svých stránkách studii s názvem Open Source vs Proprietary: What organisations need to know (pdf). Organizace by měly například vědět, že ideální je mix 40 % open source softwaru a 60 % proprietárního softwaru [Slashdot].

Ladislav Hagara | Komentářů: 0
včera 23:33 | Zajímavý software

Byl vydán ShellCheck ve verzi 0.4.6. Jedná se o nástroj pro statickou analýzu shellových skriptů. Shellové skripty lze analyzovat na webové stránce ShellChecku, v terminálu nebo přímo z textových editorů. Příklady kódů, na které analýza upozorňuje a doporučuje je přepsat. ShellCheck je naprogramován v programovacím jazyce Haskell. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3.

Ladislav Hagara | Komentářů: 0
včera 23:33 | Pozvánky

Czech JBoss User Group zve na setkání JBUG v Brně, které se koná ve středu 5. dubna 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Pavol Loffay na téma Distributed Tracing and OpenTracing in Microservice Architecture.

… více »
mjedlick | Komentářů: 0
včera 11:33 | Zajímavý článek

Národní centrum kybernetické bezpečnosti (NCKB) vypracovalo (pdf) 26 podrobných bezpečnostních doporučení pro síťové správce. Tato doporučení jsou nastavena tak, aby je bylo možné aplikovat v každé instituci. Jsou rozdělena na tři základní části: bezpečnost infrastruktury, bezpečnost stanic a serverů a bezpečnost uživatelů.

Ladislav Hagara | Komentářů: 10
včera 05:55 | Komunita

Prezident Nadace pro svobodný software (FSF) Richard M. Stallman vyhlásil na slavnostním ceremoniálu v rámci konference LibrePlanet 2017 vítěze Free Software Awards za rok 2016. Ocenění za společenský přínos získal SecureDrop (Wikipedie). Za rozvoj svobodného softwaru byl oceněn Alexandre Oliva (Wikipedie).

Ladislav Hagara | Komentářů: 0
včera 04:44 | Nová verze

Byla vydána verze 0.7.0 debugovacího nástroje cgdb. Mezi novinky patří například zvýrazňování syntaxe jazyka Rust. Podrobnosti v poznámkách o vydání.

Neel | Komentářů: 0
25.3. 22:00 | Komunita

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil (podcast) detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 64 tisíc vývojářů. Jejich nejmilovanější platformou je linuxový desktop. Ten je také druhou nejpoužívanější platformou vývojářů.

Ladislav Hagara | Komentářů: 7
24.3. 11:55 | Komunita

Vývojový tým OpenSSL ve spolupráci s iniciativou Core Infrastructure konsorcia Linux Foundation spustil proces přelicencování této kryptografické knihovny ze současné licence na licenci Apache Licence v 2.0 (ASLv2). Nová licence usnadní začleňování OpenSSL do dalších svobodných a open source projektů. Všichni dosavadní vývojáři OpenSSL (Authors) obdrží v následujících dnech email s prosbou o souhlas se změnou licence.

Ladislav Hagara | Komentářů: 32
24.3. 01:11 | Komunita

Před třemi týdny Mozilla.cz představila projekt Photon, jehož cílem je návrh a implementace nového vzhledu Firefoxu. Včera zveřejnila první náhled vzhledu Photon. Práce na projektu Photon jsou rozděleny do pěti týmů, které celkem čítají 19 lidí. Zaměřují se na zlepšení prvního spuštění Firefoxu a zaujetí nových uživatelů, celkovou úpravu vzhledu, zlepšení animací, zrychlení odezvy uživatelského rozhraní a také upravení nabídek. Vývoj lze sledovat v Bugzille.

Ladislav Hagara | Komentářů: 51
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 947 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: DMZ a Linux

    31.5.2011 14:19 Skellyus
    DMZ a Linux
    Přečteno: 603×
    Hello, řeším už nějaký pátek jak rozchodit v naší firemní síti, konkrétně v DMZ jeden stroj s Debianem. Bohužel jsem narazil na hodně zajímavý problém, nemůžu ten stroj z vnitří sítě pingnout. Firewall (Juniper)je nastaven tak aby do DMZ rozsahu propouštěl. Všechny MS stroje v DMZ jdou pingnout jenom ten Debian si nedá říct.

    Nevěděl by někdo na co bych se měl zaměřit. Osobně si myslím, že je to problém nastaveni Deb. ale jistý už si nejsem opravdu ničím.

    Díky za každou radu.

    M.

    Odpovědi

    31.5.2011 14:26 NN
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Tak poslouchej na rozhrani toho debian jestli nejake ICMP vubec prijde. Tim bych asi zacal..

    NN
    31.5.2011 15:18 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Tak to jsem taky zkousel. iptables do logu a nic tam na to rozhrani neprijde.
    31.5.2011 15:20 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    A to je prave to strasne divny. Kdyz na tu samou IP povesim MS stroj tak ten ping normalne projde.. :S
    31.5.2011 15:56 NN
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Tak to si dost odporuje, takze neco delas blbe. Pocitam, ze to dojde, ale uz neodejde..
    tcpdump -i eth0 -n -p 'icmp'
    NN
    31.5.2011 16:23 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Diky, uz tam neco vidim. 481063 IP 93.153.xxx.xxx > 93.153.xxx.xxx ICMP echo request, id 5165

    tak ze na tom debianu to ted jsem schopny zachytit ale odpoved zpet nedostanu. Nejaky napad proc by to tak mohlo byt?
    31.5.2011 17:42 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Zkuste
    cat /proc/sys/net/ipv4/icmp_echo_ignore_all
    jestli tam je 1 tak změňte na 0.
    In Ada the typical infinite loop would normally be terminated by detonation.
    31.5.2011 21:48 NN
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Nesmysl, je videt ze echo k tobe dorazi, ale odpoved neodejde, takze si to blokujes sam.
    iptables -L -n
    
    Mas tam nejak pravidla ? Jakou mas "policy" ?

    NN
    1.6.2011 16:58 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Diky za reakce, server je ciste naistalovan nic na nem nebezi. Ma jednu NIC nastavenou na branu a ta je spravne. icmp_echo_ignore_all je 0 iptables jsou prazdny jeste jsem na ne ani nesahl.
    2.6.2011 09:53 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Jeste bych se zeptal jde nejak zjistit jestli server posle odpoved na ten ICMP a zjistit header toho echa.
    Max avatar 1.6.2011 07:27 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Špatně nastavená brána, nebo firewall (na linuchu)?
    Zdar Max
    Měl jsem sen ... :(
    1.6.2011 16:59 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Cau, tak vychozi brana je urcite spravna, je nastavena presne tak jak by mela byt a nastaveni se shoduje se vsema MS serverama v DMZ.
    1.6.2011 09:46 MMichal | skóre: 22
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Nema server vice zapojenych sitovych rozhrani ?

    M.
    1.6.2011 17:01 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Ne, server bezi virtualizovane v vmware. Ma jedinou NIC nastavenou do DMZ se statickymi zaznamy.

    M.
    Max avatar 1.6.2011 18:33 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DMZ a Linux
    A nemá ten virtuální server náhodou stejnou MAC na síťovce jako jiný server v síti?
    Zdar Max
    Měl jsem sen ... :(
    2.6.2011 09:03 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Tak to nemá,prolezl jsem ručně všechny servery co máme ve firmě v DMZ i mimo ní.
    1.6.2011 18:13 NN
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Jakou mas vychozi politiku v iptables ?

    Jakou mas routovaci tabulku ?

    NN
    vencour avatar 1.6.2011 18:35 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DMZ a Linux

    Ještě bych ověřil, zda neni v provozu 802.1x i zda vidí něco na L2, tj. arp záznam.

    Základ je, že by si měl na bránu pingnout.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    2.6.2011 09:40 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Radius nám ve firmě neběží, zatím. V Debianu po netinstallu ho taky nastavený nenajdu. Bránu samozřejmě pingnout jde.
    vencour avatar 2.6.2011 12:57 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DMZ a Linux

    V linuxu jde bránu pingnout? A jiný provoz jinam neproleze? Co píše traceroute na požadovanou adresu?

    Mimochodem vazbu "ip route get IP_adresa" znáte? Přijde mi jednoznačnější, ve velké tabulce se občas hůř hledá/přehlédne.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    2.6.2011 13:18 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux

    Bránu jde pingnout do internetu propingnu vše. Samozřejmě z DMZ nejde pingnout vnitřní sít (nastaveno politikou v Juniperu) z vnitřní sítě jde pingnout vše v DMZ kromě Debianu ať už ho v DMZ dám na jakoukoliv adresu. ip route get moc neznám zkoušel jsem jako IP gateway

    93.153.125.225 dev eth0  src 93.153.125.236
    cache  mtu 1500 advmss 1460 hoplimit 64

    2.6.2011 09:50 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux

    Ahoj posilam copy/paste

    iptables:


    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination         

    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

     

    route:

    ernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    localnet        *               255.255.255.240 U     0      0        0 eth0
    default         fw.dicholding.c 0.0.0.0         UG    0      0        0 eth0

     

    network interfaces

    # The primary network interface
    allow-hotplug eth0
    iface eth0 inet static
    address 93.153.125.236
    netmask 255.255.255.240
    network 93.153.125.224
    broadcast 93.153.125.239
    gateway 93.153.125.225
    # dns-* options are implemented by the resolvconf package, if installed
    dns-nameservers 192.168.50.10
    dns-search dicholding.com

    2.6.2011 11:06 NN
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Muzes tu tabulku vypsat bez hostname?
    route -n
    
    Protoze fw.dicholding.cz resolvuje na 77.78.126.24 coz by neodpovidalo brane 93.153.125.225 podle konfigurace rozhrani.

    NN
    2.6.2011 12:00 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux

    tak tady to je

     

    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    93.153.125.224  0.0.0.0         255.255.255.240 U     0      0        0 eth0
    0.0.0.0         93.153.125.225  0.0.0.0         UG    0      0        0 eth0

    CIJOML avatar 2.6.2011 12:18 CIJOML | skóre: 58 | Praha
    Rozbalit Rozbalit vše Re: DMZ a Linux
    iptables -L -n kdyz nic neukaze, tak potom bych hledal nejaky zakaz v SELinuxu.
    2.6.2011 12:26 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Tak to je prázdné. Tak že ten SELinux,

    nejaké návrhy co tam hledat?
    stativ avatar 2.6.2011 13:10 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Pro začátek začni přepnutím SELinuxu do permissive režimu. Zjistíš tím, zda je to SELinuxem a pokud se nepletu, SELinux by měl v permissive režimu vypisovat do logu warningy, pokud se mu něco nelíbí.
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    2.6.2011 13:37 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Příloha:
    Podařilo se mi dostat nějaký výpis do wiresharku, poznáte v tom někdo nějakou chybu?
    2.6.2011 15:24 FF
    Rozbalit Rozbalit vše Re: DMZ a Linux
    V tom wiresharku je zdrojova adresa 93.153.125.224, podle tvé konfigurace výše je to ale adresa site( whatmask me to potvrzuje), a tedy žádné PC by takovou adresu nemělo mít. Podle mě máš na tom kompu ze kterého je ten výpis špatně nastavenou IP adresu.
    2.6.2011 16:27 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux

    To máš pravdu,

    všiml jsem si toho úplně na začátku ale:

    na Juniperu je interface pro DMZ takto:

    Interface: bgroup0 (IP/Netmask: 93.153.125.224/28)

    2.6.2011 16:30 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux

    A ješte jsem se dočetl, že na ten Juniper pokud chci aby to korektně běhalo s Linuxem bych měl mít nějaký VPN tunel

    2.6.2011 18:17 FF
    Rozbalit Rozbalit vše Re: DMZ a Linux
    V tom případě máš nesprávně nastavený jupiner. Ono sice asi možná půjde nějakým nastavením donutit jádro aby to šlo viz. někdě výše možnosti v /proc. Ale jinak správné řešení je nemít na interfacech adresy sítí či broadcasty. Tedy opravit si konfiguraci na jupineru. Takové Cisco by ti to myslím ani nepovolilo takhle zkonfigurovat. Viz výpis whatmask. Adresy interfaců jsou použitelné od First usable do Last usable. S VPN tohle nesouvisí vůbec a je to blbost. Přečti si jak vůbec funguje IP protokol, adresování, atd.
    pepa@linuxmail:~$ whatmask 93.153.125.224/28
    
    ------------------------------------------------
               TCP/IP NETWORK INFORMATION
    ------------------------------------------------
    IP Entered = ..................: 93.153.125.224
    CIDR = ........................: /28
    Netmask = .....................: 255.255.255.240
    Netmask (hex) = ...............: 0xfffffff0
    Wildcard Bits = ...............: 0.0.0.15
    ------------------------------------------------
    Network Address = .............: 93.153.125.224
    Broadcast Address = ...........: 93.153.125.239
    Usable IP Addresses = .........: 14
    First Usable IP Address = .....: 93.153.125.225
    Last Usable IP Address = ......: 93.153.125.238
    
    3.6.2011 11:01 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux

    Myslim ze jsme nasli chybu v routovaci tabulce Juniper bohuzel v plnem provozu si nemuzu dovolit ji na tvrdo zmenit.

    * 93.153.125.224/28
    bgroup0 C

    Root
    -
    * 93.153.125.224/32
    bgroup0 H

    Root
    -

    C Connected   H Host Route

    Host Route by podle meho nazoru mela byt na 93.153.125.225/32 proto dostavam ping z 224 atd.

    Zkusim to v nedeli vecer, jen by me zajimalo jestli tohle by mohla byt ta chyba.

    3.6.2011 11:34 FF
    Rozbalit Rozbalit vše Re: DMZ a Linux
    Protože tam máš nesprávnou IP adresu, proto máš i bordel v tomhle.
    vencour avatar 3.6.2011 12:03 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DMZ a Linux

    Že jste to vy ... Juniper, TN25 a jak natovat, čili snad si poradíte, jak s tim pingem, budete-li mít zájem, chuť a výdrž ;-)

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    3.6.2011 13:16 Skellyus
    Rozbalit Rozbalit vše Re: DMZ a Linux
    OK diky zkusim to
    2.6.2011 18:21 FF
    Rozbalit Rozbalit vše Re: DMZ a Linux
    A vůbec. není ten pro tebe jupiner gateway ? v tom případě dle tvé konfigurace by měl mít IP 93.153.125.225/28. Chtělo by to obrázek zapojení a pěkně popsat kde máš jaké sítě či IP. Lidi tady nemají křišťálové koule, a chceěli pomoct musíš taky dát dost informací. A nikoho nebaví to z tebe po jednom tahat.
    vencour avatar 2.6.2011 20:50 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DMZ a Linux

    Co máte s tim Juniperem? ScreenOs mi masku IP adresu sítě na interfejsu pobere, Junos protestuje ...

    A) junos ...

    # commit check 
    [edit interfaces ge-0/0/3 unit 0 family inet]
     'address 93.153.125.224/28'
        Cannot assign address 0 on subnet
    error: configuration check-out failed
    
    [edit]
    B) ScreenOs
    set int untrust ip  93.153.135.224 255.255.255.240
    
    get int untrust
    Interface untrust:
     description untrust
     number 1, if_info 88, if_index 0, mode route
     link up, phy-link up/full-duplex
     vsys Root, zone Untrust, vr trust-vr
     dhcp client disabled
     PPPoE disabled
     admin mtu 0, operating mtu 1500, default mtu 1500
     *ip 93.153.135.224/28   mac zzzz.yyyy.xxxx
     *manage ip 93.153.135.224, mac zzzz.yyyy.xxxx

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.