SUSE 9 jako firewall (diskuse)

AbcLinuxu:/ Články / SUSE 9 jako firewall / SUSE 9 jako firewall (diskuse)

Štítky: AGP, AMaViS, antiviry, balíčkovací systémy, bezpečnost, DHCP, distribuce, DNS, Ethernet, firewally, FTP, Gentoo, Internet, IRC, KDE, kernel, klávesnice, Linux, MTA, NAT, ovladače, PDF, Postfix, Privoxy, prohlížeče, proxy, sběrnice, sítě, SQUID, SUSE, YaST

Nástroje: Začni sledovat (1) ?

Vložit další komentář

29.4.2004 08:09 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
Rozbalit Rozbalit vše Chtelo by to ukoncit dokaz

Odpovědět | Sbalit | Link | Blokovat | Admin

Aby to druha pulka nebyla jeden velkej odkaz. THX

DjAARA's blog

29.4.2004 09:50 coques | skóre: 21 | blog: FailSystem
Rozbalit Rozbalit vše Re: Chtelo by to ukoncit dokaz

autor nieco vnucuje ?...hmm.. tak to uz hej... no ja som si nevsimol(hlavne,ze je na nete dalsi clanok, ktory niekomu pomoze) - pouziva SUSE ja gentoo - no a ?

Polívčička byla..

29.4.2004 10:42 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: Chtelo by to ukoncit dokaz

No vzhledem k tomu, ze jsem ty radky u autora cetl uz i vjinem prispevku0, tak predpokladam, ze je to nejaka silene ujeta signatura... (pokud to neni nejaky zatoulany pastnuty z gpm)
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

29.4.2004 11:59 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Chtelo by to ukoncit dokaz

Later --- Lukáš Zapletal

29.4.2004 12:35 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: Chtelo by to ukoncit dokaz

Aha, jak si to po sobe ctu tak je to asi zmatene... s tou signaturou jsem myslel ten pitomy text vyse: " neni jedno jakou distribuci mate? hlavne ze jsme s ni spokojeni. a vnucovat ji jinym? na to nemam cas ani naladu. a co ze to pouzivam? ted zrovna gentoo" na ktery reagoval Peter K dotazem kdo komu co vnucuje...
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

29.4.2004 10:19 JiTi
Rozbalit Rozbalit vše Re: Chtelo by to ukoncit dokaz

Je super, že alespoň něco takového vznikne, protože je to alespoň něco informací co mohou pomoc i na jiné distribuci. Mám Mandrake a vyzkouším Fedoru. Možná se to někomu nelíbí co používám ,ale to je jediné co někdo jiný zmůže. SUSE nemám moc rád, nějak mi k srdce to nepřirostlo. Přesto díky autorovi.

29.4.2004 19:44 Zdeněk Kováč
Rozbalit Rozbalit vše Re: Chtelo by to ukoncit dokaz

Naprosto s Vámi souhlasím. Dík autorovi. Ono je lepší když něco užitečného napíše, byť vázané na distribuci kterou používá než kdyby seděl a kritizoval vše jako vy. Zkuste taky něco napsat co by pomohlo jiným.

29.4.2004 10:12 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Neexistuje jednoduche nastavenie firewallu - myslim

Odpovědět | Sbalit | Link | Blokovat | Admin

Nastavenie firewallu vskutku nie je jednoducha vec. Nevidel som to co urobi YaST, ale jednoducho problematika firwallovania je tak zlozita, ze si neviem predstavit tool, co nastavi ten firwall z mna par kliknutiami. Hovorim o osetreni odchadzajuceho ftp,irc, rozlisenie vonkajsieho/vnutorneho DNS, (ne)pouzivanie DHCP, logovanie dropnutych paketov (kazdy ISP pusta do siete ine smetie), o pocitani paketov, o (ne)odpovedani na ping/traceroute, atd atd.

Skratka postavit dobry firewall nie je vecou par kliknuti. Clovek co nevie ako to funguje nieco poklika a mysli si, ze je za vodou. Falosny pocit bezpecnosti je horsi ako nizka bezpecnost.

29.4.2004 12:05 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Neexistuje jednoduche nastavenie firewallu - myslim

Přihlédneme-li na to, že jsem se zabýval ve článku malou domácí sítí u které nepojednou žádné vnější služby, není co řešit. Stačí chránit vnější rozhraní a na vnitřním povolit pouze squid a socks. Maškaráda se postará o zbytek. O to mi ve článku šlo.

Souhlasím, že je to rozsáhlá problematika, ale co není, že?

Later --- Lukáš Zapletal

29.4.2004 10:47 Tomas Jelinek
Rozbalit Rozbalit vše www.netpro.cz

Odpovědět | Sbalit | Link | Blokovat | Admin

S prekvapenim jsem zjistil ze ve svem clanku uvadite domenu nasi spolecnosti www.netpro.cz NetPro systems, spol. s r.o, s tim ze je fiktivni - to je teda for - jsme jedna z mala spolecnosti kde je Mandrake i na stanicich a kde se jiny OS nepouziva a ze se prave na tomhle serveru dozvim neco podobneho je fakt na levacku!!!!!

Tak s tim fofrem neco udelejte!!!!!

Tomas Jelinek

29.4.2004 10:55 Yeti
Rozbalit Rozbalit vše Re: www.netpro.cz

Proc lidi nemohou zustat u example.com, example.org, example.net, ktere k tomuto ucelu existuji... (viz example.org)

29.4.2004 11:59 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: www.netpro.cz

Protože je to článek pro úplné začátečníky, kteří ani někdy nevědí, co je to provider. Example.com by mohly svádět, že se jedná o doménu vlastní sítě.

Já myslím, že se nic tak ztrašného nestalo!!!!!! Za toto nedopatření se omlouvám.

Later --- Lukáš Zapletal

1.5.2004 07:59 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: www.netpro.cz

Člověk, který neumí řídit, nemá jezdit s tirákem. Člověk, který neví, co je kondenzátor, nemá opravovat televize. Člověk, který neví, co je provider, nemá stavět firewally. Tečka. (A předem podotýkám, že pod jakýmkoli systémem. Znalost, co je provider, je ortogonální ke znalosti Linuxu.)

Pokud je předpokladem, že to je pro někoho, kdo neví, co je provider, tak je mu to zapotřebí vysvětlit. V opačném případě se jedná o budování armády klikačů a la MS svět.

7.10.2004 09:08 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: www.netpro.cz

S takovým přístupem by ses, Davide, asi nikam nedostal. A u Linuxu už vůbec ne. Fascinuje mě, jak můžeš něco takového napsat.

ps - neříkej mi, že sis nikdy nekoupil věc a nezačal jsi ji používat aniž bys studoval manuál...

Later --- Lukáš Zapletal

29.4.2004 11:00 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: www.netpro.cz

Omlouvám se jménem redakce. Přiznávám, že mě vůbec nenapadlo, že by si autor neověřil, zda daná doména náhodou neexistuje, když o ní píše, že je fiktivní. Moje chyba.

29.4.2004 14:19 Michal Vymazal | skóre: 21
Rozbalit Rozbalit vše V tom clanku je rada nesmyslu - co je u vas firewall?

Odpovědět | Sbalit | Link | Blokovat | Admin

Napriklad tato veta:// chtěli bychom Internet používat z jakéhokoliv počítače z vnitřní sítě bez nutnosti hlásit se na bránu. K tomu slouží IP forwarding (neboli maškaráda, NAT).// Je naprostym nesmyslem. IP forwarding je zcela samostatny pojem (a tyka se skutecne "predavani" paketu) nicmene nema NIC spolecneho ani s maskaradou (Masquerading, http://tldp.org/HOWTO/Networking-Overview-HOWTO-8.html) ani s NAT (Network Address Translation, http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html) Masquerading je navic specialnim pripadem NAT (1:N). Pomijim fakt, ze clanek je ucelove zamereny a na jine distribuci nez SUSE si zacatecnik s takto napsanymi radami jiz nebude vedet rady vubec. YaST je totiz specificka zalezitost SUSE. Mimochodem, v clanku pojednavate o nastaveni paketoveho filtru a stavoveho firewallu. Nebylo by spatne vysvetlit lidem, jaky je v tom rozdil. Ja bych doporucoval zacit zde: http://csrc.nist.gov/publications/nistpubs/800-41/sp800-41.pdf DRAFT

29.4.2004 14:30 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: V tom clanku je rada nesmyslu - co je u vas firewall?

Pomijim fakt, ze clanek je ucelove zamereny a na jine distribuci nez SUSE si zacatecnik s takto napsanymi radami jiz nebude vedet rady vubec. YaST je totiz specificka zalezitost SUSE.

Jen drobná poznámka: Ano, je zaměřený na SUSE. Název článku to myslím dokumentuje zcela jednoznačně (a neuvádí nikoho v pochyby - je to prostě o SUSE).

29.4.2004 14:32 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Re: V tom clanku je rada nesmyslu - co je u vas firewall?

Ja to teda skoro necet, ale vsiml jsem si jine blbosti:

dobrá technika je vložit první kartu, nastavit síť a pak vložit druhou kartu

To je rada uplne k nicemu. Jmena interfacu se prirazuji podle pozice ve slotech, poradi nahrati modulu apod., takze nelze zarucit, ze puvodni eth0 zustane po pridani dalsi karty stale eth0 a neposune se treba na eth1.
Pokud chce nekdo identifikovat ethernet kartu jinak nez pripojovanim kabelu, tak at si z ni opise MAC adresu a porovna s vypisem 'ifconfig'.

30.4.2004 16:02 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: V tom clanku je rada nesmyslu - co je u vas firewall?

Jdete na to všechno, bohužel, mnozí Linuxáci jsou jako Vy! :(

Snažíte se zde vychrlit spoustu odkazů na dokumenty, které do hloubky popisují různé techniky TCP/IP, poukazujete na jisté rozdíly (ano, bylo to nešikovně napsané: IP forwarding) atd. Já se jen snažím přibližit Linux normálním lidem, kteří když slyší firewall, tak jim naskakuje husí kůže, nebo neví, co to je.

Není špatné takto ukazovat Linux, nejít do hloubky. Z vlastní zkušenosti mohu říci, že je to i lepší. Váš příspěvek končí tím stavovým filtrem -- to je to samé v bledě modrém. Problematiku jsem v článku objasnil pro začátečníka dostatečně, opravdu nevidím důvod... Ale co, už se nebudu opakovat.

Later --- Lukáš Zapletal

30.4.2004 16:03 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: V tom clanku je rada nesmyslu - co je u vas firewall?

Jdete na to všechno z opačného konce (jsem chtěl napsat :)

Ani ten náhled mi už nepomůže... hh

Later --- Lukáš Zapletal

5.5.2004 13:13 Petr Habarta | skóre: 16
Rozbalit Rozbalit vše Re: V tom clanku je rada nesmyslu - co je u vas firewall?

Proboha co šílíte? Já jsem v Linuxu úplná láma, ale to že mám chuť s ním něco zkoušet je závislé právě na tak podaných článcích jako napsal autor článku.
Chci tímto panu Zapletalovi poděkovat. Jeho úsilí mělo cenu, protože pomůže zprovoznit základním způsobem firewall na SUSe aspoň těm, kterým někteří velcí guruuové nadávají do klikacích prasat.
Když už teda připomínky, tak prosím za ty, kdo se v nich snaží něco použitelného najít, buďte věcní a uvažujte o tom, komu a proč byl článek určen.
Rozumný autor Vám za ně bude vděčný a já osobně nebudu otrávený z prezentace superega některých z Vás.
Petr Habarta

7.10.2004 09:25 madmike
Rozbalit Rozbalit vše Re: V tom clanku je rada nesmyslu - co je u vas firewall?

no ja jsem teda jeden z mala Klikařů jak tady říkáte, mám zájem o linux, ale opravdu mne nezajima co se presne s pakety na rzhrani deje. pro mne je dulezita jednoducha klonfigurace, dobrá spolehliost. jestli k tomu potrebuju precist tunu papiru nebo stravit desítky hodin na netu, tak to linux opravdu není nic pro mne.myslel jsem, že když to všichni tolik chválí, že to je super systém proti Mrkvosoftu. jenze mrkvaci maji vyhodu, a tou je prave to intuitivni ovladani, coz u linuxu zatim moc nevychazi. nezatracujte proto snaho některých linux přiblížit i "nám klikařům" . pokud se nám zalíbí, určitě budeme postupně bádat dál a zkoušet naplno využít možností které linux skýtá. pokud se ale zasekneme na tom, ze nam misto jednodché , i když ne naprosto výkladově přesné odpovědi, posle odkazy na milion howto, tak to mne pak prechazi chut. Tolik asi k prispevkum ktere kritizuji zlehčený přístup autora k věci. klidne mne tu kamenujte, ale pokud chcete mít linux jen pro sebe, pro leckdy falešné jakoby správce sytému a odborníky, pak je to jistá cesta do pekel.

mějte se MadMike

29.4.2004 14:48 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Precenovani vyznamu firewallu

Odpovědět | Sbalit | Link | Blokovat | Admin

Mit firewall je za mnoha okolnosti urcite dobra vec, ale podle mnozstvi clanku a diskusi kolem nej mam pocit, ze spousta lidi jeho vyznam precenuje.

Pokud mam k netu samostatne pripojeny pocitac (server i workstation), pripadne pokud mam branu, ktera dela mezi dvema sitovkami jen preklad adres (a ne bezne routovani mezi dvema verejnymi IP prostory) a pokud na strane internetu nenecham otevrene zadne nepotrebne porty (vsechny sluzby muzu prece bindnout jen na vnitrni interface), tak se prece i bez slozite nastaveneho firewallu nemam prakticky ceho obavat.

Ja sam to tak delam uz drahne let. Odbinduju sluzby z vnejsiho interface a na ty, co tam mit chci, pripadne aplikuji nejake trivialni ipchains/iptables pravidlo. Zadne zbytecne komplikovane setupy.

A i kdyz mi na takoveto masine bezel treba IRC bot (coz je primo navnada), tak jsem nemel nikdy zadny problem.

Pokud neco prehlizim, rad se necham poucit.

30.4.2004 16:16 Luk
Rozbalit Rozbalit vše privoxy + Squid?

Odpovědět | Sbalit | Link | Blokovat | Admin

Proč kombinovat privoxy a Squid? Vždyť Squid dokáže sám odfiltrovat reklamu, i když trochu jinou metodou než privoxy - blokací na základě regulárních výrazů. Tak lze úspěšně blokovat víc než 90 % reklamy, navíc lze snadno upravovat filtrační pravidla.

30.4.2004 18:25 Karel
Rozbalit Rozbalit vše Firewall a maskarada na 2 sitovkach

Ahoj, kdyz je tady ta diskuze, mel bych dotaz. Mam PC, v nem 1 sitovka na internet a 2 sitovky na ethernet. Kdyz jsem nastavoval maskaradu pres vestaveny konfiguracni program -at v suse nebo mandrake - tak mi vzdy bezela maskarada jen na jednom pc, nemohl jsem rozjet ji na obou pc ve vnitrni siti. Pomohlo jen udelat vlastni pravidla - script - a ty spoustet sam. Nema nekdo nejake zkusenosti? Ve vyberu byl vzdy vyber jen jedne sitovky do ethernetu. Diky

30.4.2004 23:30 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Firewall a maskarada na 2 sitovkach

Jste fakt borci, vetsina, fakt frajeri !!!! Mam chut kricet: jdete do haje !!!!!

Kolega Zapletal se obetoval a napsal tento clanek s plno chybymi, ja jsem si tech chyb taky vsiml, jsem lepsi nez on ???

Houby ! Rozhodne nemam odvahu pomoct a napsat clanek: Suse a firewall (je to clanek o Suse a firewall - to pro nekoho)...

Kdyz jsem delal svuj prvni router rozhodne mi pomohl clanek na ROOT (Linux jako inet. gateway) -tady podobny clanek chyby (podobnych kvalit), extremne mi chyby clanky treba o nastaveni POSTFIX a AMAVIS (poradne a detailni !!!!), ale nejake tu byly a jsem za ne vdecen, aspon neco, jak se ma kolega Zapletal zlepsovat, kdyz se do nej jen navazite ????

Rozhodne LEPSI NEJAKY clanek, nez VUBEC zadny... Pamatujete si vubec jak jste na Linux koukali, kdyz jste to videli poprve z rychliku ??? Kdyz si BFU precte tento clanek + diskuzy, musi byt znechucen a linux zase u neho spadl o stupinek dolu .... :-(

Never give up ! Stay ATARI !

1.5.2004 09:31 vladimir
Rozbalit Rozbalit vše Re: Firewall a maskarada na 2 sitovkach

Klid. Tento clanek byl zjevne urcen pro zacatecniky, coz ty uz zrejme nejsi (leda tak zacatecnik v pravopisu), urcite pro tebe neni problem vyhledat si informace i odjinud, tak se nerozciluj.

1.5.2004 15:31 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Firewall a maskarada na 2 sitovkach

Můžete poukázat na ty chyby? Rád se poučím. Děkuji.

Later --- Lukáš Zapletal

2.5.2004 16:34 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Firewall a maskarada na 2 sitovkach

Myslel jsem to v dobrem a chtel jsem pomoci .... IP forwarding NENI maskarada, NAT.... IP forwarding OBCHAZI NAT.... ale i to neni moc bezpecne, staci na NATu povolit SOCK pro danou sluzbu (treba FTP)

vyndavani a zandavani karet, kvuli identifikaci, zda je to eth0, nebo eth1 je opravdu nesmysl.... a MUZE se to pomychat... Karty jsou opravdu pocitany od klavesnice, tedy od AGP....

Chtel jsem jen rici, ze si Vaseho clanku moooc vazim, protoze takove veci tu chybi a ja sam bych to nedokazal lepe a vadilo mi, ze je do Vas ihned pustili....

Never give up ! Stay ATARI !

2.5.2004 19:48 Ales
Rozbalit Rozbalit vše Re: Firewall a maskarada na 2 sitovkach

IP Forwarding obchazi NAT? to je teda perla ...

3.5.2004 09:11 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Firewall a maskarada na 2 sitovkach

S tím IP forwardingem je to jasné, vždyť jsem se o tom už zmiňoval ... špatně jsem se vyjádřil. Jinak nevidím nide problém, o IP forwardingu jsem se vůbec nechtěl zmiňovat. Jestli obchází NAT to opravdu netuším.

Jinak je mi jasné, že vyndávání karet a opakované nandávání může zapříčinit pomíchání, ale představte si tuhle situaci: již jsem asi 10x přehocil kabely, ovladače a karty a pořád to nefunguje. Když tam je karta sama, tak to jde, když obě, tak to nefunguje. Takže například v tomto případě vyndávání karet pomohlo. Nakonec jsem zjistil, že byla špatná deska...

Máte pravdu, že při zjištění, která karta je venkovní, vyndávání nepomůže. Tady bych doporučil spíše to přehození kabelů...

Later --- Lukáš Zapletal

16.5.2004 12:29 Fleki
Rozbalit Rozbalit vše Re: Firewall a maskarada na 2 sitovkach

No je sice pravda ze karty su pocitane od klavesnice, ale ?! na mojom servery mam 2 identicke sietovky a cuduj sa svete eth0 je ta v PCI2 a eth1 ta v PCI1 (doska ABIT 133RAID). Takze vzdy to neplati. Tiez som sa divil ked som to nastavoval ale pravda je ze najednoduchsie je prehodit kable a nie sietovky.

1.5.2004 09:22 jm
Rozbalit Rozbalit vše Re: privoxy + Squid?

Protoze se asi kazdemu nebude chtit s*at s matlanim nejakych regularnich vyrazu, kdyz uz na to existuje nekolik aplikaci, ktere to udelaji za nej (napr. privoxy nebo adzapper). Pod pojmem snadno si predstavuje kazdy neco jineho, ze.

Založit nové vlákno • Nahoru

Tiskni Sdílej: