abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 17:11 | Zajímavý software

    Na GOG.com běží Spring Sale. Při té příležitosti lze získat zdarma počítačovou hru Deep Sky Derelicts.

    Ladislav Hagara | Komentářů: 0
    dnes 14:22 | Nová verze

    Sound Open Firmware, projekt Linux Foundation, open source audio DSP firmware a SDK, byl vydán ve verzi 2.5.0. Přináší podporu platformy Mediatek mt8188 nebo nový audio modul ARIA (Automatic Regressive Input Amplifier Module).

    Ladislav Hagara | Komentářů: 0
    dnes 12:33 | Nová verze

    Byla vydána nová verze 5.8 programovacího jazyka Swift (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu. Ke stažení budou oficiální binární balíčky pro Ubuntu 18.04, Ubuntu 20.04, Ubuntu 22.04, CentOS 7, Amazon Linux 2 a Red Hat Universal Base Image 9.

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | Nová verze

    Byla vydána nová verze 1.77 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.77 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 2
    dnes 12:11 | Nová verze

    Byla vydána beta verze Ubuntu 23.04 s kódovým názvem Lunar Lobster. Přehled novinek v poznámkách k vydání. Dle plánu by Ubuntu 23.04 mělo vyjít 20. dubna 2023.

    Ladislav Hagara | Komentářů: 0
    včera 17:44 | Nová verze

    Linuxová distribuce OpenMandriva byla vydána ve verzi ROME 23.03. Název ROME říká, že se jedná se o průběžně aktualizovanou (rolling) edici. Stabilní edice nese název Rock, aktuálně OpenMandriva Lx 4.3 Dysprosium.

    Ladislav Hagara | Komentářů: 2
    včera 17:33 | Pozvánky

    Tento pátek od 14:00 proběhne v Brně na FI MUNI konference DevConf Mini. Na programu je celá řada zajímavých přednášek od testování releasů Fedory, přes super počítače nebo Big Data, až po závody autonomních aut. Konferenci bude možné sledovat i na online streamu.

    joejoe | Komentářů: 0
    včera 15:00 | Zajímavý článek

    Minulý týden proběhla hackerská soutěž Pwn2Own Vancouver 2023. Adobe Reader, Microsoft SharePoint, Oracle VirtualBox, Tesla, Ubuntu Desktop, Windows 11, macOS, Microsoft Teams, VMWare Workstation. Vše hacknuto. Synacktiv získal 530 000 dolarů a Teslu Model 3.

    Ladislav Hagara | Komentářů: 14
    včera 07:00 | Nová verze

    Byla vydána nová stabilní verze 3.5 svobodného 3D softwaru Blender. Přehled novinek i s náhledy v oznámení o vydání a na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 06:00 | Nová verze

    Po 5 měsících vývoje od vydání verze 6.1 byla vydána nová verze 6.2 svobodného open source redakčního systému WordPress. Kódové jméno Dolphy bylo vybráno na počest amerického jazzového altsaxofonisty, flétnisty a basklarinetisty Erica Dolphyho.

    Ladislav Hagara | Komentářů: 0
    Používáte WSL (Windows Subsystem for Linux)?
     (74%)
     (12%)
     (3%)
     (11%)
    Celkem 379 hlasů
     Komentářů: 7, poslední 28.3. 17:34
    Rozcestník


    Dotaz: Debian firewall nastaveni pravidel do DMZ na www server

    24.10.2011 13:05 Tagy
    Debian firewall nastaveni pravidel do DMZ na www server
    Přečteno: 594×

    Ahoj, mejme web server umisteny v DMZ za debianim firewallem.

    Musim tedy nastavit pravidlo, ze pokud prijde paket na port 80 nebo 443, ze ho router posle na web server (ip: 192.168.2.3)

    Ve firewallu jsem nastavil tyto pravidla:

    #####################################################

    #!/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    .
    .
    .
    # povoleni tcp/udp/icmp 80/443 do site

    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL  -d 192.168.2.3 -j ACCEPT

    #Projdou temito pravidly pozadavky na web server do DMZ?

    #Jeste bych mel nadefinovat pravidla pri komunikaci web serveru z DMZ smerem do internetu

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    #####################################################

    Co to vlastne dela?
    parametr "-A" (append) pridava pravidlo/specifikaci
    FORWARD: pravidlo, ktere vsechny prichazejici pakety na jedno sitove rozhrani presmerovava na jine
    parametr "-d" (destination?) je to cilová IP
    parametr "-p" (protocol) protokol, tzn. bud: tcp, udp, icmp
    parametr "--dport" zachyceni na zaklade ciloveho portu
    parametr "-j" urcuje co ma jadro s danym paketem (vyhovujicim pravidlu) udelat, ACCEPT ->paket propustit na dane rozhrani

    parametr "-i" interface/rozhranni

     

    Jak overit ze dane pravidlo funguje?

    telnet x.x.x.x 80

    Zde jsem nasel nejake How To:
    http://www.aboutdebian.com/firewall.htm

    Maji tam jeste aktivovany NAT (maskaradu)

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    Diky :)

    Odpovědi

    24.10.2011 14:38 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Misto -p ALL bych pouzil -p tcp a o zadnou DMZ se nejedna, to by jsi musel mit na firwallu tri rozhrani/sitovky(predpokladam, ze podle navodu nemas dva firewall-u), take se na DMZ pouzivaji verejne IP adresy, potom nemusis pouzivat NAT. Imho ti tam chybi preklad smerem ven:
    # Enable SNAT (MASQUERADE) functionality on $EXTIF
    iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
    
    NN
    30.10.2011 14:19 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    -p tcp jsem tam mel, jenze sel by pak ping? Ten bezi pres ICMP, az to pobezi tak to nastavim na tcp ;-) Prave ze mam dva firevall-y, jeden jako externi a druhy pro interni sit.
    Ted nastavuji externi aby my routoval na web server s neverejnou IP adresou.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp/udp/icmp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

    #####################################################

    Jeste prikladam schema site, ktere jsem vyzistil na zaklade "ifconfig" na obou FW.

    http://dl.dropbox.com/u/2007219/FwDmz.png

    30.10.2011 18:34 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Kombinovat --dport 80 a -p ALL je prece kravina, ICMP pravidla s vetsinou uvadeji samostatne a HTTP UDP nepouziva.. Cil je, aby pravidla byla maximalne presna, jinak vzniknou diry.

    Imho, podle toho nakresu muzes usetrit jeden firewall a jeden switch, pri stejne urovni zabezpeceni, pokud pouzijes VLAN a jeden firewall, ktery ma vice sitovek.

    NN
    31.10.2011 12:11 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    "Kombinovat --dport 80 a -p ALL je prece kravina"

    Rozumim, na 80tce bezi HTTP a ten zas fici pres tcp, takze -p tcp

     

    Ohledne pouziti dvou firewallu... take jsem se ptal proc? Sit jsem nenavrhoval ja, mozna tam maji jiny, rozumny duvod... nevim.

    Sit jsem videl jen vzdalene, fyzicky nikoliv.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p tcp -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p HTTP -d 192.168.2.3 -j ACCEPT

    # povoleni tcp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p HTTP -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p HTTP -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $extif
    $ipt-t nat -A POSTROUTING -o $extif -j SNAT --to $extif

    #####################################################

     

    Diky moc :-)

    31.10.2011 12:25 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    -p HTTP
    bude asi mysleno -p tcp ...

    NN
    31.10.2011 15:38 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Jj zacal jsem to editovat, ale pak jsem odbehl... :-) a zapomnel na to

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.