abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 00:22 | Nová verze

Google Chrome 70 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 70.0.3538.67 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 23 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 1
včera 22:44 | Komunita

Open source nástroj pro monitorování zabezpečení počítačových sítí Bro (Bro Network Security Monitor, Wikipedie) byl přejmenován na Zeek (Zeek Network Security Monitor). Nový název bez negativní konotace by měl být pro uživatele atraktivnější.

Ladislav Hagara | Komentářů: 1
včera 22:00 | Nová verze

Po dvou letech od vydání verze 0.4 byla vydána nová major verze 5 linuxové distribuce elementary OS (Wikipedie) vycházející z Ubuntu. Kódové jméno této nejnovější verze je Juno. Přehled novinek i s náhledy v příspěvku na Medium.

Ladislav Hagara | Komentářů: 0
včera 18:33 | Komunita

Svobodná decentralizovaná mikroblogovací platforma a sociální síť podobná Twitteru Mastodon (Wikipedie) slaví 2 roky. Krátkou historii a milníky shrnuje příspěvek na blogu.

Ladislav Hagara | Komentářů: 0
včera 11:11 | Zajímavý článek

Společnosti Microsoft, Google, Apple i Mozilla včera shodně oznámily, že z jejich webových prohlížečů Internet Explorer, Edge, Chrome, Safari a Firefox počátkem roku 2020 odstraní protokoly TLS 1.0 a TLS 1.1. Michal Špaček v článku Vypněte TLS 1.0 a 1.1 už dnes na svých stránkách informuje, že TLS 1.0 a 1.1 lze vypnout již dnes. Ověřit to lze například pomocí SSL Labs Server Testu.

Ladislav Hagara | Komentářů: 8
včera 05:55 | Humor

Banksy před několika dny šokoval umělecký svět svým obrazem, jenž se přímo v aukční síni po svém prodeji za více než 30 milionů korun sám částečně skartoval. Z obrazu Dívka s balónem vznikl obraz Láska v koši. Command Line Magic ukazuje, jak na podobného Banksyho z příkazového řádku.

Ladislav Hagara | Komentářů: 1
15.10. 16:55 | Komunita

Handshake, decentralizovaná certifikační autorita a peer-to-peer DNS aneb DNS v blockchainu, postupně rozděluje mezi svobodné a open source projekty celkově 10,2 milionu dolarů. V srpnu získalo 300 000 dolarů GNOME a 100 000 dolarů GIMP. Dnes oznámila nezisková organizace KDE e.V. zastupující komunitu kolem KDE v právních a finančních záležitostech, že od Handshake získala 300 000 dolarů, z čehož 100 000 dolarů je alokováno pro multiplatformní balík svobodných kancelářských a grafických aplikací Calligra.

Ladislav Hagara | Komentářů: 25
12.10. 15:44 | Nová verze

Po třech letech od vydání verze 5.0 byla vydána nová major verze 6.0 v Javě napsané aplikace pro komplexní návrh rozmístění nábytku a dalšího vybavení v interiérech Sweet Home 3D. Přináší celou řadu novinek. Zdůraznit lze možnost otevírání oken, dveří nebo skříněk. Zmínit lze také novou figurínu s otočnými klouby.

Ladislav Hagara | Komentářů: 31
12.10. 15:00 | Nová verze

Byla vydána nová verze 2018-10-09 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Přehled novinek v poznámkách k vydání. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Z novinek je nutno upozornit na odstranění programu Wolfram Mathematica.

Ladislav Hagara | Komentářů: 2
11.10. 22:44 | Zajímavý projekt

V rámci projektu PRIM (Podpora rozvíjení informatického myšlení), jehož cílem je "podporovat změnu orientace školského předmětu informatika z uživatelského ovládání ICT směrem k základům informatiky jako oboru", byly na stránkách iMyšlení (informatické myšlení) představeny volně stažitelné učebnice a výukové materiály pro výuku informatiky. Videozáznam z tiskové konference na Facebooku.

Ladislav Hagara | Komentářů: 2
Přispíváte osobně k vývoji svobodného softwaru?
 (39%)
 (41%)
 (23%)
 (22%)
 (11%)
 (36%)
Celkem 216 hlasů
 Komentářů: 9, poslední včera 23:26
Rozcestník

Dotaz: 2 VLANy na sebe vidí, ale chci, aby se neviděly

2.3. 09:00 semtex | skóre: 23 | blog: semtex
2 VLANy na sebe vidí, ale chci, aby se neviděly
Přečteno: 346×
Ahoj, řeším takovýto problém:

Mám server (debian), kde jsou 3 síťovky.
eth1 - připojení k ISP
eth0 - LAN (192.168.1.0/24)
ens1 - LAN (192.168.70.0/24)
ens1.71 - VLAN (192.168.71.0/24)
ens1.72 - VLAN (192.168.72.0/24)
VLANy mám v interfaces nastaveny takto:
iface ens1.71 inet static
        address 192.168.71.1
        netmask 255.255.255.0
        broadcast 192.168.71.255
        network 192.168.71.0
        vlan-raw-device ens1
obdobně ens1.72

Nechci, aby se PC z VLAN 71 a 72 navzájem viděly a aby neviděly ani LAN eth0. Ovšem PC z VLAN 71 klidně opingá PC z VLAN 72, dokonce i PC ze subnetu 192.168.1.0/24.

Když switch, na kterém jsou VLANy odpojím od serveru, tak už na sebe navzájem nevidí, takže si myslím, že se vidí právě přes server.

Já ale netuším, kde mám hledat problém. Myslel jsem, že stačí nastavit na serveru VLANy a ty se automaticky nevidí, nebo musím na fw zakázat vzájemnou komunikaci?

Děkuji za jakýkoliv nástřel...

Řešení dotazu:


Odpovědi

2.3. 09:45 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Jasně pokud server vidí do všech vlanů a ve firewalu můžou pakety mezi všemi vlany procházet....

Nastav si správně firewall co kam může.
2.3. 10:14 semtex | skóre: 23 | blog: semtex
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Aha, já myslel, že ty VLANy na sebe z principu nebudou vidět ;-) Chyba lávky...

Takže prostě nastavit pravidlo 192.168.71.0/24 nesmí na 192.168.72.0/24 atd...
2.3. 09:52 NN
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
nebo proste vypni forwarding..
Josef Kufner avatar 2.3. 10:18 Josef Kufner | skóre: 68
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Tím by asi vypnul i něco, co vypnout nechce.
Hello world ! Segmentation fault (core dumped)
2.3. 10:21 NN
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Jestli je to server a neroutuje to, tak by klidne mohl. Pravidla samozrejme udelaji stejnou praci.
2.3. 10:38 semtex | skóre: 23 | blog: semtex
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
No on je to současně gw, takže pro mě bude schůdnější ponechat forwarding a nastavit fw...
2.3. 10:19 semtex | skóre: 23 | blog: semtex
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Teď si nejsem )plně jistý...

Já nastavuju toto:
echo "1" > /proc/sys/net/ipv4/ip_forward
Myslíš, toto vypnout? Pokud ano, tak pak mi ale nebude fungovat připojení ven z LANů???
Josef Kufner avatar 2.3. 10:22 Josef Kufner | skóre: 68
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Přesně tak. Prostě nastav firewall a je to. VLAN je sice virtuální, ale pořád se to chová jako běžná sít, není tedy důvod, aby tam běžné routování nefungovalo.
Hello world ! Segmentation fault (core dumped)
2.3. 10:38 semtex | skóre: 23 | blog: semtex
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Ok, super, děkuji, forwardování rušit nebudu, pouze nastavím pravidla pro zákaz komunikace mezi jednotlivými vlany... Sice jich bude trochu víc (těch VLANů bude nakonec 7), ale to neva ;-)

Každopádně moc děkuji...
Josef Kufner avatar 2.3. 10:54 Josef Kufner | skóre: 68
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Spíš to nastav opačně. Zakaž vše a povol jen to, co chceš. Pokud tam budeš mít fyzickou LAN, Internet a nějaké VLANy, tak povolíš LAN–Internet a zbytek spadne do výchozího zákazu.
Hello world ! Segmentation fault (core dumped)
2.3. 12:37 semtex | skóre: 23 | blog: semtex
Rozbalit Rozbalit vše Re: 2 VLANy na sebe vidí, ale chci, aby se neviděly
Máš pravdu, udělal jsem to takto (a vypadá, že funguje tak, jak potřebuji):
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -s 0/0 -i eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.71.0/24 -d 0/0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.71.0/24 -s 0/0 -i eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.72.0/24 -d 0/0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.72.0/24 -s 0/0 -i eth1 -j ACCEPT
Předpokládám, že takto by to mělo stačit...

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.