abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    včera 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    včera 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 25
    včera 10:55 | IT novinky

    Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

    Ladislav Hagara | Komentářů: 20
    13.7. 17:55 | Zajímavý projekt

    Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

    Ladislav Hagara | Komentářů: 17
    11.7. 16:44 | Komunita

    Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

    Ladislav Hagara | Komentářů: 3
    11.7. 14:55 | Humor

    McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

    Ladislav Hagara | Komentářů: 16
    11.7. 00:11 | Nová verze

    Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    10.7. 21:00 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 4
    10.7. 15:22 | Nová verze

    Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.

    Ladislav Hagara | Komentářů: 12
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (7%)
     (3%)
     (1%)
     (1%)
     (4%)
    Celkem 397 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: IPv6 basics

    28.7.2009 11:03 Zdenda
    IPv6 basics
    Přečteno: 380×

    V mem okolik neni nikdo s nejakou znalosti/zkusenosti IPv6. Marne na internetu hledam odpovedi ohledne zakladnich otazek.

     

    1-IPv4 --- sit 100PC za linux firewallem/routerem s verejnou IPv4 adresou, ktery dela NAT. Nekolik PC maji tunelovane porty na verejnou IP na linux brane. V siti bezi DHCP a rozdava IP adresy 192.168.x.x

     

    2-IPv6 --- ISP poskytuje IPv6, obdrzeno /48, sit 100PC za linux routerem/firewallem. Vsechny servery/stanice pouzivaji pouze IPv6, ktere jsou poskytovany pomoci radvd nebo rucne prirazeny

     

    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?

     

    Odpovědi

    28.7.2009 11:57 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPv6 basics

    Předně jak se situace liší od bohužel pro vás hypotetické situace, kdy by ste měl dost IPv4 adres a žádný NAT jste neprovozoval?

    Až si vyřešíte zabezpečení této hypotetické situace, tak se můžeme bavit o rozdílech mezi IPv4 a IPv6. V podstatě kromě „source-routingu“, který se v trochu jiné formě vrátil a který lze úspěšně vypnout/ignorovat/blokovat jako v IPv4, je pak už jediným závažným rozdílem ICMPv6. Ohledně toho existuje rozsáhlé pojednání.

    Je ovšem nutné si uvědomit, že když zapínáte firewall na bráně, tak tím omezujete svobodu koncových stanic. Co potřebujete vy a vaši uživatelé a čemu dáte přednost, si ale musíte vyřešit sami.

    28.7.2009 12:02 NN
    Rozbalit Rozbalit vše Re: IPv6 basics

    Myslim ze v klidu firewallem, zalezi na distribuci:

    http://tldp.org/HOWTO/Linux+IPv6-HOWTO/x2228.html

    NN

    28.7.2009 18:52 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall?

    Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť. Pokud tomu nevěříte, bude potřeba zavést nějaký arbitrující firewall, který rozdělí síť na zóny, mezi kterými je komunikace pevně dána nebo zakázána.
    In Ada the typical infinite loop would normally be terminated by detonation.
    28.7.2009 20:57 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: IPv6 basics
    Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť.
    PC za NATem není tak úplně totéž jako PC připojené k internetu. A pokud je na tom routeru, který dělá NAT, rozumě nastavený firewall, tak zároveň zajišťuje zabezpečení počítačů v síti. (Například omezením forwardu na spojení, která byla iniciována z vnitřní sítě.)
    Quando omni flunkus moritati
    28.7.2009 21:18 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    Pokud by tam byl FW už teď tak asi tazatel se nemá na co ptát?
    In Ada the typical infinite loop would normally be terminated by detonation.
    Heron avatar 28.7.2009 21:08 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: IPv6 basics
    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?

    Rozjet firewall na každém zvlášť jistě je řešení, ale proč to, když už tam firewall pro všechny máte. Na to firewallu nastavíte provoz ven a na jednotlivé PC budete pouštět porty podle potřeby. Velice jednoduše pro IPv4, pro 6 se změní jen adresy a ip6tables:

    iptables -P FORWARD DROP # výchozí politika, všechno zahodit
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # navázané pustíme
    iptables -A FORWARD -i LAN -o INET -j ACCEPT # zevnitř ven pustíme
    iptables -A FORWARD --proto icmp -j ACCEPT
    

    Předchozí kód tam budete mít 100% již dnes (v různých modifikacích). Zbytek řešíte natem a port forwardem. To už nebudete potřebovat. Teď stačí pridávat pravidla pro stroje (identifikované svoji vlastní adresou) a porty:

    iptables -A FORWARD -d 1.2.3.4 --proto tcp --dport 22 -j ACCEPT # SSH na server1
    iptables -A FORWARD -d 2.3.4.5 --proto tcp --dport 80 -j ACCEPT # HTTPD na server2
    iptables -A FORWARD -d 3.4.5.6 -j ACCEPT # stroj 3 má vlastní FW, pustíme vše.
    iptables -A FORWARD -d 4.5.6.7 --proto tcp --dport 5900 -s 5.6.7.8 # na vnc stroje 4 pouze z firmy.
    

    Je to velmi jednoduché, vše se řeší v chainu forward. Ochrana vlastního FW pak v INPUT, ale to je snad jasné.

    PS: ukázka FW v tomto komentáři si neklade za cíl zabránit všem útokům, je vhodné jej doplnit o vhodné nastavení ICMP, anti spoofing a další bezpečnostní prvky.

    Heron avatar 28.7.2009 21:15 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: IPv6 basics
    Ještě se doplním, já to řeším tak, že pro každý stroj (tj. veřejnou IP) mám zváštní chain. Do toho směřuji packety pro danou IP a v něm už jen povoluji porty. Přijde mi to přehlednější. Lze nalézt i jiné způsoby rozdělení, pro 100 PC to mohou být třeba chainy podle služeb a pak jen házet packety jednotlivých strojů do chainů povolující ty které služby. A pod.
    iptables -N server_a
    iptables -A server_a --proto tcp --dport 22 -j ACCEPT
    iptables -A server_a --proto tcp --dport 80 -j ACCEPT
    ........
    
    iptables -A FORWARD -d 1.2.3.4 -j server_a
    
    28.7.2009 21:37 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IPv6 basics
    Určitě nakonfigurovat firewall na tom routeru, stejně jako to máte pro IPv4. NAT není firewall. Firewall na jednotlivých počítačích – to záleží na tom, jak moc můžete důvěřovat ostatním počítačům v síti. Pokud z nich můžete čekat nějaké útoky, použijte firewall i na všech počítačích (nebo filtrující switch), pokud máte ty počítače a přístup do sítě v rozumné míře pod kontrolou, stačí ten firewall na routeru.
    29.7.2009 10:10 pepazdepa
    Rozbalit Rozbalit vše Re: IPv6 basics

    jeden z duvodu nasazeni IPv6 je prave odstraneni NATu, aby fungovaly p2p aplikace a VOIP bez berlicek. takze zablokovani vseho je fakt imbecilni reseni.

    29.7.2009 12:35 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    +1
    In Ada the typical infinite loop would normally be terminated by detonation.
    29.7.2009 12:48 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPv6 basics
    Nechtěl jsem to takhle přímo napsat, protože nevím, jaký je vztah mezi provozovatelem brány a sítěmi za ní. Ale pokud vztahem je poskytování připojení k Internetu, tak naprosto souhlasím.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.