Portál AbcLinuxu, 3. května 2025 20:32
Firewall mám...
| na desktopu |
|
44% (524) |
| na routeru |
|
62% (741) |
| na serveru |
|
32% (374) |
| jinde |
|
6% (68) |
| nikde |
|
18% (217) |
Celkem 1186 hlasů
Vytvořeno: 6.7.2009 11:44
Tiskni
Sdílej:
6.7.2009 11:55
David Watzke | skóre: 74
| blog: Blog...
| Praha
Ty tam máš Seagate? Já mám Hitachi HDP72502 
>>> 100 Mbit up and down ?
Nepredpokladam ze to mate doma nekde za wifi.
6.7.2009 18:45
David Watzke | skóre: 74
| blog: Blog...
| Praha
Jo tak to jo. Ja si jen rikal ze 100 Mbit to uz je nejakejch koni.
Plánujete ho za ten rok začíta platit ? 
Já mám teď primární virtuál server u XENzone, ale OVH je také hodně kvalitní hosting.
Bylo by to sice malinko dražší, ale ty parametry jsou nesrovnatelné.
9.7.2009 21:58
David Watzke | skóre: 74
| blog: Blog...
| Praha
V podnikovej sieti (cca. 250PC) oddelujem internet od vnutornej siete firewallom CISCO, a aplikujem firewally tez na linuxovych serveroch za timto ferewallom - predsa len, lide su nevyspytatelni a spekuluju aj na vnutornej sieti. Serverovy firewall je dobry aj na povolenie pristupu iba z nekterych PC v sieti - dobre vtedy ked sluzba nevie filtrovat prichadzajuce TCP/IP dotazy. Standardne nechavam pustenu sluzbu iptables aj na vsetkych linuxovych klientoch (Fedora).
Snad až bude GSM verze...
Nikde.
Staci nespoustet naslouchajici sluzby ktere nepotrebuju.
Jsem za NATem, takže mi nějaké masivní připojování k PC nehrozí. Každopádně pro jistotu jsem na serveru zakázal přístup na port 631 (CUPS), aby mi lidi netiskli vzdáleně nějaký blbosti. :) Vím, že to jde nastavovat přímo v CUPSu, ale pokud to můžu zablokovat už na IP vrstvě, tak tím líp.
, celkem prdel vytiskout někomu papír z tiskárny , a ještě lepší když je to firemní laserovka s pořádnym zásobníkem
na to opravdu nezapomenu ... takkzhle jsme se známým spamovali docela dost dlouho ... :)
Projel jsem si několik adresních rozsahů jen tak informativně a ani jeden port 631 otevřenej a hromada jich filtovanych, tak uz to asi neni co to byvalo
Na routeru, na laptopovem serveru a na "workstation" laptopu.
7.7.2009 19:22
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Nějak ticho o tématu ... jakej firewall? Je to sw, hw, snort, psad, prelude, něco jiného?
[mrkva@Odyssey ~]$ nmap 192.168.1.102 Starting Nmap 4.76 ( http://nmap.org ) at 2009-07-07 20:57 CEST All 1000 scanned ports on 192.168.1.102 are closed Nmap done: 1 IP address (1 host up) scanned in 0.20 secondsFirewall? A proc jako? :)
A jak se to pozná?
Pokud ho nemám, je to chyba (obyč. os. počítač)?
8.7.2009 15:09
David Watzke | skóre: 74
| blog: Blog...
| Praha
Jako firewall dobře poslouží skript s pár pravidly pro iptables od zkušenějšího kamaráda – odchozí povolit, příchozí požadavky zahazovat a hotovo. + případně povolit pár vybraných portů (ssh, přenos souborů přes jabber, torrent), tedy pokud to má smysl a uživatel není za nějakým dalším firewallem/NATem. Takže moc složitého nastavování na tom není.
10.7.2009 22:28
Jendа | skóre: 78
| blog: Jenda
| JO70FB
příchozí požadavky zahazovatBlééé. (ICMP)
to leda – na příchozí ping mám výjimku. Pak je ještě někdy dobré mít seznam IP adres „kamarádských“ počítačů a těm ty požadavky na zakázané porty nezahazovat, ale odmítat – aby nemusely zbytečně čekat (z jejich strany nečekáme útok ani skenování).
6.7.2009 14:03
6.7.2009 18:32
6.7.2009 11:59
6.7.2009 13:27
7.7.2009 00:34
6.7.2009 21:02
6.7.2009 22:59
7.7.2009 09:29
ACCEPT na INPUT i OUTPUT. Složité na nastavování to není vůbec, a je to stejně užitečné nastavení, jako to vaše.
11.7.2009 11:52
xkucf03 | skóre: 49
| blog: xkucf03
To ale předpokládáš, že člověk, který nerozumí sítím, si není schopný nainstalovat nějakou síťovou službu – což podle mého není pravda.
11.7.2009 12:26
xkucf03 | skóre: 49
| blog: xkucf03
Přijde mi lepší, když firewall zahazuje všechno příchozí (třeba kromě pingů) – uživatel si nainstaluje službu a zjistí že „nejde“, tak se začne zajímat, proč nejde a třeba se i něco přiučí. Druhá možnost je, že firewall nemá vůbec a dojde k instalaci služby (ať už to byl záměr uživatele nebo ne) a uživatel má v systému potenciální díru a jeho znalosti se nijak nezlepšily.
8.7.2009 13:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
8.7.2009 15:09
socket() a bind() tak, že se omezila komunikace jen na loopback (tj. nešlo komunikovat z vnějškem a naopak). Čistě teoreticky by podobným způsobem šel postavit jednoduchý "firewall", protože je málo pravděpodobné, že by běžná aplikace používala na síťovou komunikaci přímo syscally.
socket(), ale může také třeba zneužít nějakou důvěryhodnou aplikaci, stačí třeba zavolat wget.
může také třeba zneužít nějakou důvěryhodnou aplikaci, stačí třeba zavolat wget.A tomu aplikacni firewall zabrani jak?
8.7.2009 19:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
conntrack či recent. Ale on ten FW stejně není potřeba - co má poslouchat na síti, to poslouchá na síti, co nemá být přístupné zvnějšku, to poslouchá jen na lokální smyčce. Když se k tomu potřebuji dostat, použiju SSH tunel.
Jenže než se pořád tunelovat přes SSH je pohodlnější si povolit některé služby pro vybrané IP adresy.
S tím OpenVZ je to škoda, snad s tím se Snajpou pohneme Taky bych ten firewall potřeboval.
Nevíte někdo o dobrém praktickém článku na téma bezpečnost? Mám jeden stroj s veřejnou IP - sice na něm není nic zajímavého, ale stejně bych jen nerad viděl v nějakém botnetu. Představuji si soupisu osvědčených praktik (jako např. pro roota zakázané ssh), nějakého penetračního testu a jak +/- ověřit, zda už se neděje něco špatného (pokud to bez hlubších znalostí vůbec jde). Díky
Představuji si soupisu osvědčených praktik
ssh a používání klíčůroota zakázané ssh, které akorát odvádějí pozornost od skutečného zabezpečenípokud to bez hlubších znalostí vůbec jdeTěžko.
9.7.2009 11:13
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
A když tak ho ještě zamknout do skříně
jako že Snow Leopard?
klikl jsem na to až po přečtení tvého příspěvku, nevědel jsem co to je ale jakmile na mne vyskočilo jablko, opravdu ale opravdu jsem se upřímně leknul
without-password u volby PermitRootLogin v konfiguráku sshd. Pokud používáte pam, podívejte se na pam_access a související /etc/security/access.conf. Tam můžete třeba říci, že root se smí přihlašovat pouze z těch a těch IP adres. Přístup uživatelů k ssh je dobré omezit pomocí voleb AllowUsers nebo AllowGroups v konfiguráku sshd, kde přesně specifikujete, kteří uživatelé se budou smět přihlásit přes SSH. Pak, když založíte uživatele "test" s heslem "test", nebudete během hodiny začleněn do botnetu (i když se můžete stát spammerem, dle konfigurace poštovního serveru).
SSH a další služby se dají chránit pomocí fail2ban či denyhosts, popřípadě pomocí mého oblíbeného modulu recent v rámci Netfilteru (iptables).
Docela dobrá rada do začátku, kterou kolega výše, myslím, nezmínil, je nainstalovat logwatch nebo logcheck a provoz serveru sledovat.
Časem nějaké základy bezpečnosti sesumarizuji, i když to asi nehodím sem - plánuji to umístit v rámci jednoho svého projektu, který je nyní ve fázi návrhu. To je nicméně ještě na hony vzdálené. Mimochodem, znáte security-portal.cz?
add sumarizace - ale ve zprávičkách by se to objevit mohlo, ne? Každopádně ať se projekt povede.
Kdysi jsem použil službu na skenování portů (jen doufám, že nefunguje jako pozvánka )
Na routeru a nikde. Na routeru ho sice mam, ale vyplej - router se po par hodinach uptime vzdy zhrouti (asi spatny fw.. nebo mu proste dochazi pamet ci co..), kdyz je spusteny fw a par dalsich featur (uPnP.. atp). Na PC na to kaslu a server.. tez :)
.. jojo, jsem nezodpovedny.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.