abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 08:00 | IT novinky

    Změna ve vedení společnosti SUSE. Dosavadní CEO Melissa Di Donato odstoupila. Od 1. května je novým CEO Dirk-Peter van Leeuwen, bývalý Senior Vice President a General Manager ve společnosti Red Hat.

    Ladislav Hagara | Komentářů: 0
    včera 22:22 | Nová verze

    CyberChef je webová aplikace pro analýzu dat a jejich kódování a dekódování, šifrování a dešifrování, kompresi a dekompresi, atd. Často je využívaná při kybernetických cvičeních a CTF (Capture the Flag). Vydána byla nová major verze 10 (aktuálně 10.4.0). Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    včera 19:22 | Nová verze

    UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch OTA-1 Focal založené na Ubuntu 20.04 Focal Fossa.

    Ladislav Hagara | Komentářů: 0
    včera 17:11 | IT novinky

    Společnost Red Hat slaví 30 let.

    Ladislav Hagara | Komentářů: 1
    včera 15:22 | IT novinky

    Ve věku 91 let zemřel izraelský informatik Ja'akov Ziv, spolutvůrce bezztrátových kompresních algoritmů LZ77, LZ78 a LZW (Lempel–Ziv–Welch).

    Ladislav Hagara | Komentářů: 0
    včera 11:00 | IT novinky

    Byla představena nová Arduino deska Arduino UNO R4 s 32bitovým MCU RA4M1 (Arm Cortex-M4). Desku lze zatím získat pouze v rámci early access programu.

    Ladislav Hagara | Komentářů: 0
    26.3. 18:33 | Nová verze

    Operační systém MidnightBSD, fork FreeBSD optimalizovaný pro desktop s prostředím Xfce, byl vydán ve verzi 3.0. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 7
    26.3. 18:22 | IT novinky

    Na GOG.com běží Spring Sale. Při té příležitosti lze získat zdarma počítačovou hru Neurodeck: Psychological Deckbuilder (ProtonDB).

    Ladislav Hagara | Komentářů: 0
    25.3. 12:33 | Komunita

    Alex Ellis upozornil 15. března, že firma Docker se chystala zrušit bezplatný hosting open-source projektů na Docker Hubu. Po vlně odporu se představitelé firmy omluvili a posléze byl původní záměr odvolán.

    Fluttershy, yay! | Komentářů: 29
    25.3. 07:00 | IT novinky

    Ve věku 94 let zemřel Gordon Moore, mj. spoluzakladatel společnosti Intel a autor Moorova zákona.

    Ladislav Hagara | Komentářů: 1
    Používáte WSL (Windows Subsystem for Linux)?
     (74%)
     (12%)
     (3%)
     (10%)
    Celkem 343 hlasů
     Komentářů: 4, poslední 24.3. 06:42
    Rozcestník


    Dotaz: IPv6 basics

    28.7.2009 11:03 Zdenda
    IPv6 basics
    Přečteno: 361×

    V mem okolik neni nikdo s nejakou znalosti/zkusenosti IPv6. Marne na internetu hledam odpovedi ohledne zakladnich otazek.

     

    1-IPv4 --- sit 100PC za linux firewallem/routerem s verejnou IPv4 adresou, ktery dela NAT. Nekolik PC maji tunelovane porty na verejnou IP na linux brane. V siti bezi DHCP a rozdava IP adresy 192.168.x.x

     

    2-IPv6 --- ISP poskytuje IPv6, obdrzeno /48, sit 100PC za linux routerem/firewallem. Vsechny servery/stanice pouzivaji pouze IPv6, ktere jsou poskytovany pomoci radvd nebo rucne prirazeny

     

    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?

     

    Odpovědi

    28.7.2009 11:57 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPv6 basics

    Předně jak se situace liší od bohužel pro vás hypotetické situace, kdy by ste měl dost IPv4 adres a žádný NAT jste neprovozoval?

    Až si vyřešíte zabezpečení této hypotetické situace, tak se můžeme bavit o rozdílech mezi IPv4 a IPv6. V podstatě kromě „source-routingu“, který se v trochu jiné formě vrátil a který lze úspěšně vypnout/ignorovat/blokovat jako v IPv4, je pak už jediným závažným rozdílem ICMPv6. Ohledně toho existuje rozsáhlé pojednání.

    Je ovšem nutné si uvědomit, že když zapínáte firewall na bráně, tak tím omezujete svobodu koncových stanic. Co potřebujete vy a vaši uživatelé a čemu dáte přednost, si ale musíte vyřešit sami.

    28.7.2009 12:02 NN
    Rozbalit Rozbalit vše Re: IPv6 basics

    Myslim ze v klidu firewallem, zalezi na distribuci:

    http://tldp.org/HOWTO/Linux+IPv6-HOWTO/x2228.html

    NN

    28.7.2009 18:52 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall?

    Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť. Pokud tomu nevěříte, bude potřeba zavést nějaký arbitrující firewall, který rozdělí síť na zóny, mezi kterými je komunikace pevně dána nebo zakázána.
    In Ada the typical infinite loop would normally be terminated by detonation.
    28.7.2009 20:57 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: IPv6 basics
    Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť.
    PC za NATem není tak úplně totéž jako PC připojené k internetu. A pokud je na tom routeru, který dělá NAT, rozumě nastavený firewall, tak zároveň zajišťuje zabezpečení počítačů v síti. (Například omezením forwardu na spojení, která byla iniciována z vnitřní sítě.)
    Quando omni flunkus moritati
    28.7.2009 21:18 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    Pokud by tam byl FW už teď tak asi tazatel se nemá na co ptát?
    In Ada the typical infinite loop would normally be terminated by detonation.
    Heron avatar 28.7.2009 21:08 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: IPv6 basics
    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?

    Rozjet firewall na každém zvlášť jistě je řešení, ale proč to, když už tam firewall pro všechny máte. Na to firewallu nastavíte provoz ven a na jednotlivé PC budete pouštět porty podle potřeby. Velice jednoduše pro IPv4, pro 6 se změní jen adresy a ip6tables:

    iptables -P FORWARD DROP # výchozí politika, všechno zahodit
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # navázané pustíme
    iptables -A FORWARD -i LAN -o INET -j ACCEPT # zevnitř ven pustíme
    iptables -A FORWARD --proto icmp -j ACCEPT
    

    Předchozí kód tam budete mít 100% již dnes (v různých modifikacích). Zbytek řešíte natem a port forwardem. To už nebudete potřebovat. Teď stačí pridávat pravidla pro stroje (identifikované svoji vlastní adresou) a porty:

    iptables -A FORWARD -d 1.2.3.4 --proto tcp --dport 22 -j ACCEPT # SSH na server1
    iptables -A FORWARD -d 2.3.4.5 --proto tcp --dport 80 -j ACCEPT # HTTPD na server2
    iptables -A FORWARD -d 3.4.5.6 -j ACCEPT # stroj 3 má vlastní FW, pustíme vše.
    iptables -A FORWARD -d 4.5.6.7 --proto tcp --dport 5900 -s 5.6.7.8 # na vnc stroje 4 pouze z firmy.
    

    Je to velmi jednoduché, vše se řeší v chainu forward. Ochrana vlastního FW pak v INPUT, ale to je snad jasné.

    PS: ukázka FW v tomto komentáři si neklade za cíl zabránit všem útokům, je vhodné jej doplnit o vhodné nastavení ICMP, anti spoofing a další bezpečnostní prvky.

    Heron avatar 28.7.2009 21:15 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: IPv6 basics
    Ještě se doplním, já to řeším tak, že pro každý stroj (tj. veřejnou IP) mám zváštní chain. Do toho směřuji packety pro danou IP a v něm už jen povoluji porty. Přijde mi to přehlednější. Lze nalézt i jiné způsoby rozdělení, pro 100 PC to mohou být třeba chainy podle služeb a pak jen házet packety jednotlivých strojů do chainů povolující ty které služby. A pod.
    iptables -N server_a
    iptables -A server_a --proto tcp --dport 22 -j ACCEPT
    iptables -A server_a --proto tcp --dport 80 -j ACCEPT
    ........
    
    iptables -A FORWARD -d 1.2.3.4 -j server_a
    
    28.7.2009 21:37 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IPv6 basics
    Určitě nakonfigurovat firewall na tom routeru, stejně jako to máte pro IPv4. NAT není firewall. Firewall na jednotlivých počítačích – to záleží na tom, jak moc můžete důvěřovat ostatním počítačům v síti. Pokud z nich můžete čekat nějaké útoky, použijte firewall i na všech počítačích (nebo filtrující switch), pokud máte ty počítače a přístup do sítě v rozumné míře pod kontrolou, stačí ten firewall na routeru.
    29.7.2009 10:10 pepazdepa
    Rozbalit Rozbalit vše Re: IPv6 basics

    jeden z duvodu nasazeni IPv6 je prave odstraneni NATu, aby fungovaly p2p aplikace a VOIP bez berlicek. takze zablokovani vseho je fakt imbecilni reseni.

    29.7.2009 12:35 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    +1
    In Ada the typical infinite loop would normally be terminated by detonation.
    29.7.2009 12:48 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPv6 basics
    Nechtěl jsem to takhle přímo napsat, protože nevím, jaký je vztah mezi provozovatelem brány a sítěmi za ní. Ale pokud vztahem je poskytování připojení k Internetu, tak naprosto souhlasím.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.