Přihlášení | Registrace

napište » Zprávičky

Raspberry Pi Official Magazine 155 a Hello World 27

včera 18:44 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

Ladislav Hagara | Komentářů: 0

Hyprland 0.50.0

včera 16:11 | Nová verze

Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Slackware Linux slaví 32 let

včera 15:55 | Komunita

Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

Ladislav Hagara | Komentářů: 2

MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech

16.7. 21:22 | IT novinky

Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

Ladislav Hagara | Komentářů: 13

Česko představilo nový jednotný vizuální styl státu

16.7. 16:22 | IT novinky

Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

Ladislav Hagara | Komentářů: 24

Vyhledávač DuckDuckGo má dnes výpadky

16.7. 15:33 | Upozornění

Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapy a AI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.

bindiff | Komentářů: 8

Více než 600 Laravel aplikací je zranitelných vůči vzdálenému spuštění kódu

16.7. 13:33 | Bezpečnostní upozornění

Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

Ladislav Hagara | Komentářů: 5

Helix 25.07

16.7. 00:11 | Nová verze

Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

Ladislav Hagara | Komentářů: 0

Nvidia po souhlasu od Trumpovy vlády obnoví prodej čipů pro AI do Číny

15.7. 20:44 | IT novinky

Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

Ladislav Hagara | Komentářů: 10

Blender 4.5 LTS

15.7. 17:22 | Nová verze

3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (59%)

python (27%)

perl (7%)

powershell (3%)

batch (0%)

vbscript (1%)

jiný, uvedu v diskusi (4%)

Celkem 409 hlasů

Komentářů: 16, poslední 8.6. 21:05

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / DMZ na proxmox aj pfsense

Štítky: LAN, PC, pfSense, proxmox, sítě, stroj, tom, VLAN, x86_64

Dotaz: DMZ na proxmox aj pfsense

14.12.2021 15:11 jojo
DMZ na proxmox aj pfsense

Přečteno: 657×

Odpovědět | Admin

Existuje 1 stroj x86_64 s dvoma NIC. Na tom zeleze je Proxmox6.

1x VM pfsense, ktora robi GW/firewall (vmbr0-WAN a vmbr1-LAN)

LAN je len jedna 192.168.1.0/24 pre lokalne PC aj servery. Servery by som chcel oddelit do DMZ. Ako to najlepsie spravit ? Bohuzial vsetko je na jednom fyzickom stroji (len 2 NIC).

Musim vytvorit na proxmoxe a zaroven aj na pfsense VLAN ? Potom na pfsense presuniem servery do novej VLAN ?

Nástroje: Začni sledovat (0) ?

Odpovědi

14.12.2021 15:34 X
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Jakou vyhodu ma kombinace HW>Proxmox>Virtual>Firewall misto HW>Firewall? VLAN muzes vyrobit na LAN i WAN rozhrani podle toho zda bude mit server verejnou, nebo lokalni IP.

15.12.2021 12:01 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Lebo na pfsense by sa uz asi tazko daval proxmox.

15.12.2021 16:56 X
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Chapu dobre, ze na tom proxpomux jsou ty dalsi "servery"?

16.12.2021 08:17 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Ano presne tak. Napisal som to nezrozumitelne v prvom prispevku. Mam len jeden stroj. Na zeleze je Proxmox. V nom je VM s pfsense (predtym som mal fyzicky RB mikrotik, tak som usetril jedno zariadenie). Dalej su na proxmoxe nejake LXC servery. Lepsie asi bude obrazok ako to chcem.

15.12.2021 23:08 Jan Kratochvíl | skóre: 13
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Udělej si na tom LAN portu ještě VLAN na kterej potom dáš ty DMZ servery a v pfsense si udělej routing, DHCP, co budeš potřebovat. System->Network vytvoř nový Linux Bridge, jmeéno dej třeba DMZ a jako port zvol jméno toho network device (já mám eno1) a pat tečku a číslo VLAN, takže port bude vypadat např. eno1.10

To je celý

Dokonce si to můžeš případně přes switch vytáhnout i mimo ten proxmox, ale to asi nepotřebuješ.

16.12.2021 08:17 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

dakujem vyskusam to

16.12.2021 19:05 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Je to OK podla toho ? Akurat nemam ifupdown2 (v PVE7 by uz malo byt), takze doinstalujem a rano to dam aplikovat. Predpokladam, ze to restartne celu siet (nie len nsp3s0), takze mi spadne aj WAN.

17.12.2021 10:16 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

nejak mi to nefunguje.

Linux bridge som vytvoril (na testovacie ucely 4x).
Na pfsense som vytvoril rozhranie DMZ (VLAN ID 50)
Vo firewalle som vytvoril pravidlo na povolenie vlan siete
Vytvoril som aj DHCP pre DMZ (ale adresu na LXC davam rucne z rozshu 192.168.50.x)
Posledny obrazok je konfiguracie siete na LXC

obrazky

Nikde sa nedopingam ani z pfsense na 192.168.50.20. Akoby VLAN ID 50 bola este niekde blokovana.

17.12.2021 10:44 Jan Kratochvíl | skóre: 13
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

podle mě to máš skoro dobře, ten Linux bridge mám stejně...

pak v definici VM vyberu ty rozhraní a tam se chovají jako LAN porty, tam už neřeším ty VLAN (dá se to udělat i jinak, ale mě to takhle historicky funguje)

na tom pfsensu potom musíš mít 3 rozhraní LAN, WAN a DMZ a ty si vevnitř toho fw nastavíš jak potřebuješ

https://imgur.com/a/fv8jeTW

17.12.2021 12:36 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Ano mam to na poslednom obrazku. Vybral som vmbr5. VLAN tag som dal 50 (aj v pfsense mam VLAN tahg 50). Vytvarany VM/LXC by sa mal chovat teraz tak, ako keby bol prepojeny (akymsi virtualnym) kablom do pfsense na port DMZ. Pre DMZ rozhranie v pfsense je vytvoreny a bezi DHCP. Ked nastavim pri vytvarani VM/LXC DHCP, tak stroj by mal dostat adresu z DHCP. Avsak nedostane ziadnu IP adresu.

Pravidlo na DMZ (predposledny obrazok) hovori, ze na DMZ rozhrani, povol vsetko vsade.

hmm

17.12.2021 12:53 Jan Kratochvíl | skóre: 13
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

VLAN na pfsense neřeš, tam se to chová jako untagged, ty VLANy se řeší jen v tom proxmoxu a jen tou tečkou

17.12.2021 13:34 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Dobre. A ked teraz chcem aby novy VM, (ktoremu podhodim v nastaveniach siete bridge vmbr5) dostal IP adresu od DHCP, ktory bude oddeleny od LAN, tak ako to spravit ? Proxmox neni router (resp. dhcp server) je to len VE na ktorom sedia VM/LXC a nieco nadradene musi s nimi po sieti komunikovat. VM/LXC sa musia dostat na inet (v urcitych pripadoch aj do LAN).

Teraz mam vytvoreny holy LXC bez akejkolvek konektivity. Na ake rozhranie sa ma premostovat vmbr5 ?

17.12.2021 13:42 MP
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Nastudujte si dokumentaci proxmoxu. K tomu pridejte zaklady siti. Na internetu se to vali vsude mozne. Az budete vedet, kde bezi ktera sluzba, ktera ma neco delat, a zkusite ty propoje nakonfigurovat, tak pokud to nebude fungovat a nebudete vedet kudykam, tak s tou konfiguraci prijdte.

17.12.2021 15:46 Jouda
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Pokud mate pro kazdou VLANu samostatny bridge (ve kterem beha jen ta jedna VLANa), tak to potom v cilovem LXC kontejneru uz neresite, a pridelite mu normalni sitovy interface bez VLANy (dostane netagovanou defaultni ID=1). Na obrazku mu davate tagovanou 50-ku a to je asi ta chyba.

17.12.2021 15:56 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Pokial v DMZ sieti budu len virtualne servery (to znamena, ze v danom IP rozsahu nebude ziadne fyzicke zariadenie v LAN), tak netreba ziadne VLAN-y. Staci v hypervizore vytvorit dalsi bridge, sietovky DMZ serverov pridat do tohto bridgu, pfsensu pridat dalsiu sietovku a tiez ju dat do tohto bridge.

17.12.2021 19:16 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Skusam to, ale sprava sa to dost divne. Ako som uz vyssie napisal, tak vytvoril som 4 linux bridge. Budem pisat len napr. o vmbr5

Zjednodusene povedane, premostil som (kvazi) fyzicky port enp3s0, ako keby dalsim switchom (vmbr5) do ktoreho budem pripajat dalsie VM/LXC. Pri vytvarani VM/LXC nastavim bridge vmbr5.

Na VM pfsense, som pridal dalsi network device a bridge som nastavim vmbr5.

Cez web pfsense som vytvoril obycajny bridge interface a na nom som vytvoril DHCP pre novy subnet. 192.168.50.1/24

Ked vytvorim LXC podla predpisanych instrukcii a ci zadam IP adresu rucne, alebo necham DHCP,tak siet v tomto LXC je mrtva (este pripomeniem ze v pfense mam na bridge interface pravidlo na povolenie akehokolvek provozu).

Vyskusal som v LXC zmenit bridge z vmbr5 na vmbr1. Rebootol som LXC a DHCP pridelil kontajneru IP 192.168.50.10. Nerozumiem tomu, lebo na vmbr1 by som mal dostavat IP z rozsahu 192.168.1.x (to je vlastne povodna LAN).

Aj ked som odstranil v proxmoxe, network device, ktoru som vytvoril pre pfsense, tak to fungovalo podobne.

Uz som ohladne toho dost precital na proxmox fore aj rozne navody, ale vacsinou su navody, ze pridavaju VLAN cez fyzycky switch atd ...

17.12.2021 22:46 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

Do DMZ bridgu nesmies pridat ziadny fyzicky interface. Ten bridge si predstav ako switch pre DMZ zonu, do ktoreho je pripojena jedna sietovka pfsense a sietovky DMZ serverov. Tak isto nerozumiem, na co si vytvaral bridge v pfsense. V proxmoxe pridaj pfsensu dalsiu sietovku a pridaj ju do vmbr5. Tak isto vsetky sietovky DMZ serverov pridaj do tohto bridgu. To je vsetko. A v pfsense si DHCP server nastav na tej novej sietovke.

                                                            --- WAN bridge ---
                                                           |                  |
                                            --------       |   --------       |
                                           | ISP GW |---------| enp2s0 |      |
                                            --------       |   --------       |
                                                           |                  |
                                                           |    ------        |
                                                           |   | vif0 |       |
                                                           |    ------        |
                                                           |       |          |
                                                            -------|----------
                                                                   |
                                      ---- LAN bridge ---          |           ---- DMZ bridge ---
                                     |                   |     ---------      |                   |    --------
          -------------------        |  ------   ------  |    |         |     |  ------   ------  |   |        |
         |  physical switch  |---------|enp3s0| | vif1 |------| pfSense |-------| vif2 | | vif4 |-----| server |
          -------------------        |  ------   ------  |    |         |     |  ------   ------  |   |        |
                                     |                   |     ---------      |                   |    --------
                                     |  ------           |                    |  ------           |
                                     | | vif3 |          |                    | | vif5 |          |
                                     |  ------           |                    |  ------           |
                                     |    |              |                    |     |             |
                                      ----|--------------                      -----|-------------
                                          |                                         |
                                          |                                         |
                                      --------                                  --------
                                     |        |                                |        |
                                     | server |                                | server |
                                     |        |                                |        |
                                      --------                                  --------

18.12.2021 12:05 jojo
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

dik, vcera mi to nejak nepalilo, bol som nestastny (nie len z toho). Ale este asi okolo desiatej sa mi to podarilo. Zaklad bolo vytvorenie linux bridgov na proxmoxe vo forme enp3s0.x (enp3s0 je LAN a chcel som to vytvorit na LAN). Nebol potrebny reboot proxmoxu, stacilo doinstalovat ifpdown2 a v proxmoxe dat apply configuration (funguje to cez GUI).

Ako ste mi dalej poradili a to je dolezite. Pridat v proxmoxe na VM pfsense dalsie network device a namapovat ich na vmbrx. Tymto praca v proxmox skoncila.

Device zariadenia, ktore sme v proxmoxe pridali, tak sa objavia v pfsense Interface Assignments, len ich musime pridat (pfsense ich vidi ako fyzicke rozhrania, jednoducho staci vybrat vtnetx a klik na +add). Pre nove rozranie nastavime novy subnet.

Volitelne, mozenme pre kazdy novy interface nastavit aj DHCP.

V proxmoxe pri vytvarani VM/LXC vybrat pri nastaveni siete vmbrx cez ktoru sa chceme pripajat.

V pfsense vytvorit vseobecne pravidlo pre akukolvek komunikaciu. Teraz vie komunikovat vsetko zo vsetkym. Ked to ma byt DMZ, tak treba nastavovat zrejme dalsie pravidla, aby DMZ mala zmysel.

OT, GeorgeWH v com sa daju kreslit take diagramy

19.12.2021 22:29 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: DMZ na proxmox aj pfsense

v com sa daju kreslit take diagramy

V tom by mohli poradit ini.

Ja pouzivam dia. Objekty nic-moc (daju sa stiahnut), ale na take to domace zuvanie to staci. Robil som aj s MS Visio (fuj), ale to mi nesadlo. Najlepsi bol Confluence plugin draw.io.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje