abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 18:11 | Nová verze

    Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 2
    dnes 16:33 | IT novinky

    Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.

    Ladislav Hagara | Komentářů: 1
    dnes 15:55 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    dnes 13:22 | Nová verze

    Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    včera 23:55 | Komunita

    Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

    Ladislav Hagara | Komentářů: 3
    včera 21:00 | Nová verze

    Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    včera 20:11 | Komunita

    Linuxová distribuce Frugalware (Wikipedie) ke konci roku 2025 oficiálně končí.

    Ladislav Hagara | Komentářů: 0
    včera 17:22 | Nová verze

    Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 16:11 | IT novinky

    Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

    Ladislav Hagara | Komentářů: 1
    včera 12:22 | Nová verze Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (39%)
     (46%)
     (15%)
     (17%)
     (21%)
     (15%)
     (18%)
     (16%)
     (16%)
    Celkem 190 hlasů
     Komentářů: 12, poslední 4.10. 20:35
    Rozcestník

    Dotaz: SuSEfirewall2 - zopar nejasnosti

    15.4.2009 14:48 needlinux | skóre: 2
    SuSEfirewall2 - zopar nejasnosti
    Přečteno: 267×
    Příloha:

    Pozdravujem vsetkych,

    zopar dni sa zoznamujem so SuSEfirewall2 a stale mi tam zostavaju nejake zahady, ktore si neviem vysvetlit a nevie mi ich vysvetlit ani manual. Mozem poprosit niekoho tejto veci znaleho, kto by to vedel objasnit?

    Popis siete:

    Dva podobne servery SRV_1 a SRV_2
        - eth0 kazdeho serveru je pripojena do spolocnej sieti
        - eth1 kazdeho serveru je pripojena do samostatneho internetu, rozny provider, SRV_1 ma verejnu IP
        - na oboch serveroch je rovnake SuSE 10.0
        - oba servery vyuzivam ako router int. pre celu siet (rozhoduje brana na klientovi)
     

    Moj konfiguracny subor:
        - na oboch serveroch je okrem identifikacie eth totozny konfiguracny subor:

    /etc/sysconfig/SuSEfirewall2

    FW_DEV_EXT="eth-id-00:33:44:55:66:77"
    FW_DEV_INT="eth-id-00:88:99:aa:bb:cc"
    FW_DEV_DMZ=""
    FW_ROUTE="yes"
    FW_MASQUERADE="yes"
    FW_MASQ_DEV="$FW_DEV_EXT"
    FW_MASQ_NETS="0/0"
    FW_PROTECT_FROM_INT="no"
    FW_SERVICES_EXT_TCP=""
    FW_SERVICES_EXT_UDP=""
    FW_SERVICES_EXT_IP=""
    FW_SERVICES_EXT_RPC=""
    FW_SERVICES_DMZ_TCP=""
    FW_SERVICES_DMZ_UDP=""
    FW_SERVICES_DMZ_IP=""
    FW_SERVICES_DMZ_RPC=""
    FW_SERVICES_INT_TCP="80"
    FW_SERVICES_INT_UDP=""
    FW_SERVICES_INT_IP=""
    FW_SERVICES_INT_RPC="mountd nfs nfs_acl"
    FW_SERVICES_DROP_EXT=""
    FW_SERVICES_REJECT_EXT="0/0,tcp,113"
    FW_SERVICES_ACCEPT_EXT=""
    FW_TRUSTED_NETS=""
    FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
    FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
    FW_FORWARD=""
    FW_FORWARD_MASQ=""
    FW_REDIRECT=""
    FW_LOG_DROP_CRIT="yes"
    FW_LOG_DROP_ALL="no"
    FW_LOG_ACCEPT_CRIT="yes"
    FW_LOG_ACCEPT_ALL="no"
    FW_LOG_LIMIT=""
    FW_LOG=""
    FW_KERNEL_SECURITY="yes"
    FW_STOP_KEEP_ROUTING_STATE="no"
    FW_ALLOW_PING_FW="yes"
    FW_ALLOW_PING_DMZ="no"
    FW_ALLOW_PING_EXT="no"
    FW_ALLOW_FW_SOURCEQUENCH=""
    FW_ALLOW_FW_BROADCAST_EXT=""
    FW_ALLOW_FW_BROADCAST_INT=""
    FW_ALLOW_FW_BROADCAST_DMZ=""
    FW_IGNORE_FW_BROADCAST_EXT="yes"
    FW_IGNORE_FW_BROADCAST_INT="no"
    FW_IGNORE_FW_BROADCAST_DMZ="no"
    FW_ALLOW_CLASS_ROUTING=""
    FW_CUSTOMRULES=""
    FW_REJECT=""
    FW_HTB_TUNE_DEV=""
    FW_IPv6=""
    FW_IPv6_REJECT_OUTGOING=""
    FW_IPSEC_TRUST="no"
    FW_ZONES=""
    FW_USE_IPTABLES_BATCH=""
    FW_LOAD_MODULES=""
    
      

    Nejasnosti:

    1. Vyuziva SuSEfirewall2 iptables? Ak mam zadefinovane pravidla FW cez iptables, pri starte SuSEfirewall2 som na toto upozorneny a je mi doporucene vypnut ostatne spustene FW
    2. Je postacujuce, ak pred spustenim SuSEfirewall2 zadefinovane pravila cez iptables odstranim  prikazom: ?
         # iptables -F
    3. Ak na SRV_1 vypnem SuSEfirewall2, routovanie internetu zostane zachovane, ibaze zostanu pootvarane porty
      (porty testujem napr. cez: http://www.t1shopper.com/tools/port-scanner/)
      Ak spravim toto iste na SRV_2, routovanie zanikne.
      Znamena to, ze pravidla mozu byt zadane sucasne aj cez iptables aj cez SuSEfirewall2 a tieto su na sebe nezavisle? Podla ktorych sa potom vlastne routuje?
    4. Ak skopirujem konfiguracny subor /etc/sysconfig/SuSEfirewall2 zo SRV_1 do SRV_2, FW na oboch strojoch (po restarte FW) sa nesprava rovnako. Rozdielom je, ze SRV_1 ma pri spustenom FW chranene vsetky porty, ktore su pri vypnutom FW otvorene (testovane aj na klientoch) Na SRV_2 spustenie SuSEfirewall2 s tym istym konfiguracnym suborom nemeni priepustnost portov.
    5. Ako zistim, co sposobuje rozdiel podla bodu c.4? Vystupy prikazov SuSEfirewall2 status a SuSEfirewall2 test su rovnake
    6. Ma SuSEfirewall2 take obmedzenia, pre ktore by nebol vhodny na stavbu seriozneho FW?

    Dakujem za kazdu reakciu a nazor!

     

     

     

    Odpovědi

    Coala avatar 15.4.2009 15:52 Coala | skóre: 12
    Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti

    Zdravim z mych dojmu asi takto:

    Susefirewall2 pouze plni funkci jakehosi frontendu pro iptables.

    Pokud na Opensuse spustim TFTP + DHCP + FTP + HTTP servery skrze yast vyplni to konfigurak Susefirewall2 a ty nasledne vyplni iptables.

    Takze pokud neco nekde povolit rozhodne v SuseFW2 nebo v prislusne casti yastu. Jinak se ti to prepise po kazdem restartu at uz SuseFW2 nebo rcNetwork.

    15.4.2009 17:21 needlinux | skóre: 2
    Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti

    Ako si teda mozem vysvetlit spravanie podla bodu c.4? T.j., ze ak skopirujem konfiguracny subor SuSEfirewall2 z jedneho pocitaca na druhy, tak sa FW sprava odlisne??? Jedine co je na serveroch ine, je verejna/neverejna IP a iny provider. Mne sa jedna o zakazanie vsetkych portov a povolenie iba vybratych. Myslel som, ze FW sa bude pri totoznej konfiguracii spravat rovnako.

    17.4.2009 10:14 Ladislav Sückr | skóre: 21
    Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti

    1. SuSEfirewall2 používá iptables

    2. Vlastní pravidla iptables si můžeš do SuSEfirewallu2 přidat třeba pomocí modulu v Yastu (mám openSuSE 11.0 a 11.1 tak nevím jak je to v 10.0) a pak to funguje bez problémů

    3. viz 2

    4. no podle toho co si sem poslal za konfigurační soubor se to ani jinak chovat nemůže. Identifikace síťových karet je eth-id-MAC-adresa a právě ta část s tou mac adresou je na tom druhém serveru jiná, proto se ti nepřiřadí do správné zóny a nic nedělá. Na tom druhém serveru musíš nastavit FW_DEV_EXT a FW_DEV_INT podle skutečné konfigurace stroje (/etc/sysconfig/network)

    5. viz 4

    6. To záleží na tom co si představuješ pod pojmem seriózní FW. Základní věci si můžeš "naklikat" v Yastu a nebo dopsat vlastní pravidla. Udělat v něm jde dost.

    Myslet špatně je lepší než nemyslet vůbec.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.