abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    včera 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    včera 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 15
    včera 10:55 | IT novinky

    Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

    Ladislav Hagara | Komentářů: 16
    13.7. 17:55 | Zajímavý projekt

    Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

    Ladislav Hagara | Komentářů: 11
    11.7. 16:44 | Komunita

    Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

    Ladislav Hagara | Komentářů: 3
    11.7. 14:55 | Humor

    McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

    Ladislav Hagara | Komentářů: 16
    11.7. 00:11 | Nová verze

    Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    10.7. 21:00 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 4
    10.7. 15:22 | Nová verze

    Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.

    Ladislav Hagara | Komentářů: 12
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (7%)
     (3%)
     (1%)
     (1%)
     (4%)
    Celkem 393 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: SuSEfirewall2 - zopar nejasnosti

    15.4.2009 14:48 needlinux | skóre: 2
    SuSEfirewall2 - zopar nejasnosti
    Přečteno: 262×
    Příloha:

    Pozdravujem vsetkych,

    zopar dni sa zoznamujem so SuSEfirewall2 a stale mi tam zostavaju nejake zahady, ktore si neviem vysvetlit a nevie mi ich vysvetlit ani manual. Mozem poprosit niekoho tejto veci znaleho, kto by to vedel objasnit?

    Popis siete:

    Dva podobne servery SRV_1 a SRV_2
        - eth0 kazdeho serveru je pripojena do spolocnej sieti
        - eth1 kazdeho serveru je pripojena do samostatneho internetu, rozny provider, SRV_1 ma verejnu IP
        - na oboch serveroch je rovnake SuSE 10.0
        - oba servery vyuzivam ako router int. pre celu siet (rozhoduje brana na klientovi)
     

    Moj konfiguracny subor:
        - na oboch serveroch je okrem identifikacie eth totozny konfiguracny subor:

    /etc/sysconfig/SuSEfirewall2

    FW_DEV_EXT="eth-id-00:33:44:55:66:77"
    FW_DEV_INT="eth-id-00:88:99:aa:bb:cc"
    FW_DEV_DMZ=""
    FW_ROUTE="yes"
    FW_MASQUERADE="yes"
    FW_MASQ_DEV="$FW_DEV_EXT"
    FW_MASQ_NETS="0/0"
    FW_PROTECT_FROM_INT="no"
    FW_SERVICES_EXT_TCP=""
    FW_SERVICES_EXT_UDP=""
    FW_SERVICES_EXT_IP=""
    FW_SERVICES_EXT_RPC=""
    FW_SERVICES_DMZ_TCP=""
    FW_SERVICES_DMZ_UDP=""
    FW_SERVICES_DMZ_IP=""
    FW_SERVICES_DMZ_RPC=""
    FW_SERVICES_INT_TCP="80"
    FW_SERVICES_INT_UDP=""
    FW_SERVICES_INT_IP=""
    FW_SERVICES_INT_RPC="mountd nfs nfs_acl"
    FW_SERVICES_DROP_EXT=""
    FW_SERVICES_REJECT_EXT="0/0,tcp,113"
    FW_SERVICES_ACCEPT_EXT=""
    FW_TRUSTED_NETS=""
    FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
    FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
    FW_FORWARD=""
    FW_FORWARD_MASQ=""
    FW_REDIRECT=""
    FW_LOG_DROP_CRIT="yes"
    FW_LOG_DROP_ALL="no"
    FW_LOG_ACCEPT_CRIT="yes"
    FW_LOG_ACCEPT_ALL="no"
    FW_LOG_LIMIT=""
    FW_LOG=""
    FW_KERNEL_SECURITY="yes"
    FW_STOP_KEEP_ROUTING_STATE="no"
    FW_ALLOW_PING_FW="yes"
    FW_ALLOW_PING_DMZ="no"
    FW_ALLOW_PING_EXT="no"
    FW_ALLOW_FW_SOURCEQUENCH=""
    FW_ALLOW_FW_BROADCAST_EXT=""
    FW_ALLOW_FW_BROADCAST_INT=""
    FW_ALLOW_FW_BROADCAST_DMZ=""
    FW_IGNORE_FW_BROADCAST_EXT="yes"
    FW_IGNORE_FW_BROADCAST_INT="no"
    FW_IGNORE_FW_BROADCAST_DMZ="no"
    FW_ALLOW_CLASS_ROUTING=""
    FW_CUSTOMRULES=""
    FW_REJECT=""
    FW_HTB_TUNE_DEV=""
    FW_IPv6=""
    FW_IPv6_REJECT_OUTGOING=""
    FW_IPSEC_TRUST="no"
    FW_ZONES=""
    FW_USE_IPTABLES_BATCH=""
    FW_LOAD_MODULES=""
    
      

    Nejasnosti:

    1. Vyuziva SuSEfirewall2 iptables? Ak mam zadefinovane pravidla FW cez iptables, pri starte SuSEfirewall2 som na toto upozorneny a je mi doporucene vypnut ostatne spustene FW
    2. Je postacujuce, ak pred spustenim SuSEfirewall2 zadefinovane pravila cez iptables odstranim  prikazom: ?
         # iptables -F
    3. Ak na SRV_1 vypnem SuSEfirewall2, routovanie internetu zostane zachovane, ibaze zostanu pootvarane porty
      (porty testujem napr. cez: http://www.t1shopper.com/tools/port-scanner/)
      Ak spravim toto iste na SRV_2, routovanie zanikne.
      Znamena to, ze pravidla mozu byt zadane sucasne aj cez iptables aj cez SuSEfirewall2 a tieto su na sebe nezavisle? Podla ktorych sa potom vlastne routuje?
    4. Ak skopirujem konfiguracny subor /etc/sysconfig/SuSEfirewall2 zo SRV_1 do SRV_2, FW na oboch strojoch (po restarte FW) sa nesprava rovnako. Rozdielom je, ze SRV_1 ma pri spustenom FW chranene vsetky porty, ktore su pri vypnutom FW otvorene (testovane aj na klientoch) Na SRV_2 spustenie SuSEfirewall2 s tym istym konfiguracnym suborom nemeni priepustnost portov.
    5. Ako zistim, co sposobuje rozdiel podla bodu c.4? Vystupy prikazov SuSEfirewall2 status a SuSEfirewall2 test su rovnake
    6. Ma SuSEfirewall2 take obmedzenia, pre ktore by nebol vhodny na stavbu seriozneho FW?

    Dakujem za kazdu reakciu a nazor!

     

     

     

    Odpovědi

    Coala avatar 15.4.2009 15:52 Coala | skóre: 12
    Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti

    Zdravim z mych dojmu asi takto:

    Susefirewall2 pouze plni funkci jakehosi frontendu pro iptables.

    Pokud na Opensuse spustim TFTP + DHCP + FTP + HTTP servery skrze yast vyplni to konfigurak Susefirewall2 a ty nasledne vyplni iptables.

    Takze pokud neco nekde povolit rozhodne v SuseFW2 nebo v prislusne casti yastu. Jinak se ti to prepise po kazdem restartu at uz SuseFW2 nebo rcNetwork.

    15.4.2009 17:21 needlinux | skóre: 2
    Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti

    Ako si teda mozem vysvetlit spravanie podla bodu c.4? T.j., ze ak skopirujem konfiguracny subor SuSEfirewall2 z jedneho pocitaca na druhy, tak sa FW sprava odlisne??? Jedine co je na serveroch ine, je verejna/neverejna IP a iny provider. Mne sa jedna o zakazanie vsetkych portov a povolenie iba vybratych. Myslel som, ze FW sa bude pri totoznej konfiguracii spravat rovnako.

    17.4.2009 10:14 Ladislav Sückr | skóre: 21
    Rozbalit Rozbalit vše Re: SuSEfirewall2 - zopar nejasnosti

    1. SuSEfirewall2 používá iptables

    2. Vlastní pravidla iptables si můžeš do SuSEfirewallu2 přidat třeba pomocí modulu v Yastu (mám openSuSE 11.0 a 11.1 tak nevím jak je to v 10.0) a pak to funguje bez problémů

    3. viz 2

    4. no podle toho co si sem poslal za konfigurační soubor se to ani jinak chovat nemůže. Identifikace síťových karet je eth-id-MAC-adresa a právě ta část s tou mac adresou je na tom druhém serveru jiná, proto se ti nepřiřadí do správné zóny a nic nedělá. Na tom druhém serveru musíš nastavit FW_DEV_EXT a FW_DEV_INT podle skutečné konfigurace stroje (/etc/sysconfig/network)

    5. viz 4

    6. To záleží na tom co si představuješ pod pojmem seriózní FW. Základní věci si můžeš "naklikat" v Yastu a nebo dopsat vlastní pravidla. Udělat v něm jde dost.

    Myslet špatně je lepší než nemyslet vůbec.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.