abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 21:55 | Nová verze

    LilyPond (Wikipedie) , tj. multiplatformní svobodný software určený pro sazbu notových zápisů, byl vydán ve verzi 2.26.0. Přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    včera 20:33 | Nová verze

    Byla vydána nová verze 11.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 237 vývojářů. Provedeno bylo více než 2 500 commitů. Přehled úprav a nových vlastností v seznamu změn.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | IT novinky

    Společnost SpaceX amerického miliardáře Elona Muska oznámila, že si zajistila opci buď na akvizici startupu Cursor za 60 miliard dolarů (přes 1,2 bilionu Kč) do konce letošního roku, nebo na zaplacení deseti miliard dolarů za nové partnerství s touto firmou zabývající se generováním kódů. SpaceX se dále prosazuje na lukrativním trhu s vývojářskými nástroji pro umělou inteligenci (AI). Cursor, startup zabývající se prodejem modelů AI pro

    … více »
    Ladislav Hagara | Komentářů: 2
    včera 13:11 | Komunita

    Díky AI modelu Claude Mythos Preview od společnost Anthropic bylo ve Firefoxu nalezeno a opraveno 271 zranitelností.

    Ladislav Hagara | Komentářů: 4
    včera 04:44 | Nová verze

    Byla vydána nová verze 2.54.0 distribuovaného systému správy verzí Git. Přispělo 137 vývojářů, z toho 66 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    včera 04:33 | Nová verze

    Grafana (Wikipedie), tj. open source nástroj pro vizualizaci různých metrik a s ní související dotazování, upozorňování a lepší porozumění, byla vydána ve verzi 13.0. Přehled novinek v aktualizované dokumentaci a na YouTube. Stalo se tak na konferenci GrafanaCON 2026.

    Ladislav Hagara | Komentářů: 0
    21.4. 19:00 | IT novinky

    Na YouTube proběhl Framework [ Next Gen ] Event 2026. Společnost Framework představila nový Framework Laptop 13 Pro, vylepšení Framework Laptopu 16 a OCuLink Dev Kit pro připojení vysoce výkonných periferií jako jsou eGPU a bezdrátovou klávesnici s integrovaným touchpadem Framework Wireless Touchpad Keyboard.

    Ladislav Hagara | Komentářů: 0
    21.4. 18:22 | Nová verze

    Byl vydán Mozilla Firefox 150.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 150 bude brzy k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 5
    21.4. 17:22 | Zajímavý software

    Byl představen (reddit, 𝕏) webový prohlížeč Brave Origin. Jedná se webový prohlížeč Brave bez VPN, krypto peněženky a odměn, tj. bez funkcí, ze kterých je vývoj Brave financován. Stojí jednorázově 59,99 dolarů. Verze pro Linux je zdarma.

    Ladislav Hagara | Komentářů: 1
    21.4. 12:44 | IT novinky

    Tim Cook po 15 letech opustí post generálního ředitele americké technologické společnosti Apple. Od 1. září ho vystřídá John Ternus, který byl dosud odpovědný za hardware. Cook se stane předsedou představenstva. Cook vedl Apple od roku 2011, kdy funkci převzal od zesnulého spoluzakladatele společnosti Stevea Jobse.

    Ladislav Hagara | Komentářů: 3
    Které desktopové prostředí na Linuxu používáte?
     (14%)
     (8%)
     (2%)
     (12%)
     (30%)
     (3%)
     (6%)
     (2%)
     (15%)
     (25%)
    Celkem 1384 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník

    Dotaz: Debian firewall nastaveni pravidel do DMZ na www server

    24.10.2011 13:05 Tagy
    Debian firewall nastaveni pravidel do DMZ na www server
    Přečteno: 642×

    Ahoj, mejme web server umisteny v DMZ za debianim firewallem.

    Musim tedy nastavit pravidlo, ze pokud prijde paket na port 80 nebo 443, ze ho router posle na web server (ip: 192.168.2.3)

    Ve firewallu jsem nastavil tyto pravidla:

    #####################################################

    #!/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    .
    .
    .
    # povoleni tcp/udp/icmp 80/443 do site

    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL  -d 192.168.2.3 -j ACCEPT

    #Projdou temito pravidly pozadavky na web server do DMZ?

    #Jeste bych mel nadefinovat pravidla pri komunikaci web serveru z DMZ smerem do internetu

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    #####################################################

    Co to vlastne dela?
    parametr "-A" (append) pridava pravidlo/specifikaci
    FORWARD: pravidlo, ktere vsechny prichazejici pakety na jedno sitove rozhrani presmerovava na jine
    parametr "-d" (destination?) je to cilová IP
    parametr "-p" (protocol) protokol, tzn. bud: tcp, udp, icmp
    parametr "--dport" zachyceni na zaklade ciloveho portu
    parametr "-j" urcuje co ma jadro s danym paketem (vyhovujicim pravidlu) udelat, ACCEPT ->paket propustit na dane rozhrani

    parametr "-i" interface/rozhranni

     

    Jak overit ze dane pravidlo funguje?

    telnet x.x.x.x 80

    Zde jsem nasel nejake How To:
    http://www.aboutdebian.com/firewall.htm

    Maji tam jeste aktivovany NAT (maskaradu)

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    Diky :)

    Odpovědi

    24.10.2011 14:38 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Misto -p ALL bych pouzil -p tcp a o zadnou DMZ se nejedna, to by jsi musel mit na firwallu tri rozhrani/sitovky(predpokladam, ze podle navodu nemas dva firewall-u), take se na DMZ pouzivaji verejne IP adresy, potom nemusis pouzivat NAT. Imho ti tam chybi preklad smerem ven:
    # Enable SNAT (MASQUERADE) functionality on $EXTIF
    iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
    
    NN
    30.10.2011 14:19 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    -p tcp jsem tam mel, jenze sel by pak ping? Ten bezi pres ICMP, az to pobezi tak to nastavim na tcp ;-) Prave ze mam dva firevall-y, jeden jako externi a druhy pro interni sit.
    Ted nastavuji externi aby my routoval na web server s neverejnou IP adresou.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp/udp/icmp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

    #####################################################

    Jeste prikladam schema site, ktere jsem vyzistil na zaklade "ifconfig" na obou FW.

    http://dl.dropbox.com/u/2007219/FwDmz.png

    30.10.2011 18:34 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Kombinovat --dport 80 a -p ALL je prece kravina, ICMP pravidla s vetsinou uvadeji samostatne a HTTP UDP nepouziva.. Cil je, aby pravidla byla maximalne presna, jinak vzniknou diry.

    Imho, podle toho nakresu muzes usetrit jeden firewall a jeden switch, pri stejne urovni zabezpeceni, pokud pouzijes VLAN a jeden firewall, ktery ma vice sitovek.

    NN
    31.10.2011 12:11 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    "Kombinovat --dport 80 a -p ALL je prece kravina"

    Rozumim, na 80tce bezi HTTP a ten zas fici pres tcp, takze -p tcp

     

    Ohledne pouziti dvou firewallu... take jsem se ptal proc? Sit jsem nenavrhoval ja, mozna tam maji jiny, rozumny duvod... nevim.

    Sit jsem videl jen vzdalene, fyzicky nikoliv.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p tcp -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p HTTP -d 192.168.2.3 -j ACCEPT

    # povoleni tcp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p HTTP -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p HTTP -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $extif
    $ipt-t nat -A POSTROUTING -o $extif -j SNAT --to $extif

    #####################################################

     

    Diky moc :-)

    31.10.2011 12:25 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    -p HTTP
    bude asi mysleno -p tcp ...

    NN
    31.10.2011 15:38 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Jj zacal jsem to editovat, ale pak jsem odbehl... :-) a zapomnel na to

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.