abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 15:22 | Zajímavý projekt

Chcete proniknout do tajů gitu? Klikněte na Learn Git Branching. Vizuální a interaktivní tutoriál ve webovém prohlížeči.

Ladislav Hagara | Komentářů: 0
dnes 13:22 | Nová verze

Po roce od vydání verze 4.0 byla vydána nová major verze 5.0 softwaru pro správu elektronických knih Calibre (Wikipedie). Přehled novinek v poznámkách k vydání. Zdůraznit lze přechod na Python 3.

Ladislav Hagara | Komentářů: 3
dnes 07:00 | Komunita

Pořadatelé konference DevConf.cz 2021, již třináctého ročníku jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, vyhlásili CFP (Call for Papers). Konference proběhne jenom online a to 18. až 20. února 2021.

Ladislav Hagara | Komentářů: 0
včera 15:44 | Zajímavý článek

Národní bezpečnostní agentura (NSA) vydala podrobnou příručku pro nastavení UEFI Secure Bootu (pdf).

Ladislav Hagara | Komentářů: 4
včera 15:22 | Nová verze

Byl vydán PostgreSQL ve verzi 13.0. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 6
včera 15:00 | Zajímavý software

Nezávislý tým herních vývojářů Orama Interactive vydal novou verzi 0.8 svobodného sprite editoru Pixelorama. Editor Pixelorama je postaven na herním enginu Godot a nově běží také na webu. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
včera 14:00 | Zajímavý software

Mozilla Foundation na svém blogu představila Social Media Analysis Toolkit (SMAT). Jedná se o open source nástroj pro analýzu a vizualizaci online komunikace a trendů na sociálních sítí. Zdrojové kódy jsou k dispozici na GitLabu.

Ladislav Hagara | Komentářů: 2
včera 08:00 | Zajímavý software

Pod licencí GPLv3 byly vydány zdrojové kódy počítačových her Amnesia: The Dark Descent a Amnesia: A Machine For Pigs od společnosti Frictional Games. Počítačová hra Amnesia: The Dark Descent vyšla před 10 lety. V říjnu vyjde pokračování s názvem Amnesia: Rebirth.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Nová verze

Po téměř pěti měsících od vydání verze 1.24 byla vydána nová verze 1.25 knihoven EFL (Enlightenment Foundation Libraries). Do vývoje EFL se zapojilo 38 vývojářů. Provedeno bylo 567 commitů.

Ladislav Hagara | Komentářů: 2
23.9. 19:00 | Komunita

Po Fedoře bude již v září možné koupit pracovní stanice řady ThinkStation a notebooky značky ThinkPad od společnosti Lenovo také s předinstalovanou linuxovou distribucí Ubuntu 20.04 LTS.

Ladislav Hagara | Komentářů: 8
Používáte aplikaci eRouška?
 (19%)
 (3%)
 (2%)
 (11%)
 (52%)
 (8%)
 (6%)
Celkem 424 hlasů
 Komentářů: 35, poslední 20.9. 21:50
Rozcestník

Dotaz: Router???

29.6.2005 07:31 Waran
Router???
Přečteno: 366×
Chápu, že už to tu bylo probíráno několikrát, ale přesto Vás žádám o pomoc. Potřeboval bych poradit s nastavením routeru... V mašině jsou celkem 4 síťové karty. První je napojená na ADSL, druhá je jedna LAN, pak druhá LAN a třetí LAN. Je to taková zvláštnost, ale bylo to nutné a tak jsem to musel udělat, jenomže teď mám problém. Potřebuji, aby se všechny LAN routovaly přes jedno rozhraní do internetu, ale aby mezi sebe zároveň neviděly... A to je docela oříšek, který nejsem s to rozlousknout... A další věcí je požadavek, že pro dvě z těch tří LAN má být použito QoS... Najde se někdo, kdo mi poradí???

Thx, Waran...

Odpovědi

29.6.2005 09:04 ujaja
Rozbalit Rozbalit vše Re: Router???
nastavte vsechny karty do LAN kazdou na jiny subnet, zapnete ipforwarding, pak NAT na eth0 a nakonec pomoci iptables ve FORWARDU zakazte komunikaci mezi rozhranimi lokalni site..
Josef Kufner avatar 29.6.2005 16:47 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Router???
Ještě malá drobnost: v tom forwardu je lépe zakazovat pomocí REJECT než DROP. Ty timeouty docela lezou na nervy. Pripadne ještě přidat "--reject-with icmp-host-unreachable" nebo něco takového.
Hello world ! Segmentation fault (core dumped)
26.8.2007 23:21 fojtik
Rozbalit Rozbalit vše Re: Router???

A co treba tento priklad:

route add default gw 10.23.22.1 dev ath0 metric 1

#routovaci tabulky
route add -host 10.23.0.5 dev eth0
route add -host 10.23.1.5 dev eth1
route add -host 10.23.2.5 dev eth2
route add -host 10.23.22.1 dev ath0

echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp

iptables -A POSTROUTING -t nat -s 10.23.0.5 -o ath0 -j SNAT --to 10.23.22.18
iptables -A POSTROUTING -t nat -s 10.23.1.5 -o ath0 -j SNAT --to 10.23.22.19
iptables -A POSTROUTING -t nat -s 10.23.2.5 -o ath0 -j SNAT --to 10.23.22.20

Ted si nejsem jisty jak to syntakticky napsat, ale proste zahodis veskerou komunikaci mezi eth0, eth1, eth2. Pak na sebe pocitace ani za boha neuvidi. Komunikace mezi eth0 a adsl ci obracene pojede OK.

iptables -A INPUT -i eth0 -o eth1 DROP
iptables -A INPUT -i eth0 -o eth2 DROP
iptables -A INPUT -i eth1 -o eth0 DROP
iptables -A INPUT -i eth1 -o eth2 DROP
iptables -A INPUT -i eth2 -o eth0 DROP
iptables -A INPUT -i eth2 -o eth1 DROP
26.8.2007 23:51 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Router???
iptables -A INPUT -i eth0 -o eth1 DROP
iptables -A INPUT -i eth0 -o eth2 DROP
iptables -A INPUT -i eth1 -o eth0 DROP
iptables -A INPUT -i eth1 -o eth2 DROP
iptables -A INPUT -i eth2 -o eth0 DROP
iptables -A INPUT -i eth2 -o eth1 DROP
:-D
Při čtení dotazu jsem přemýšlel nad vícenásobnou DMZ, ale řešit to takhle jednodušše mě nenapadlo.. nicméně bych řekl, že to funovat nebude, neboť
  • Packety se dostanou do FORWARD chainu místo INPUT
  • V INPUTu nelze použít (nebo přinejmenším nešlo) --out-interface
Jako řešení bych viděl packety v PREROUTINGu markovat (-j MARK) a v POSTROUTINGu kontrolovat odchozí interface a na základě marku dropovat/rejectovat...
Pokud je libo jednodušší řešení, v chainu FORWARD je pokud vím povoleno --in-interface i --out-interface, takže stačí INPUT zaměnit za FORWARD.. (ip_forward povolený)..
27.8.2007 17:30 František Ryšánek
Rozbalit Rozbalit vše Re: Router???
V tomto případě možná ani není třeba vyčerpávajícím způsobem rozepisovat jednotlivé možnosti, co odkud kam zakázat (mezi LANkami navzájem). Spíš bych selektivně povolil, co se smí, a v chainu FORWARD bych dal policy DROP. Nebo pokud chceme REJECT, tak to uvést jako poslední pravidlo, které matchne všecko, dřív než se uplatní "policy".

Konkrétně:

1) SNAT na -o $OUTSIDE_INTERFACE (a taky -s ADRESA/MASKA nebo -i $INSIDE_INTERFACES)

2) povolit všechno ven, zpátky jenom -m state --state ESTABLISHED,RELATED

3) netuším, jestli se dá jako policy zadat REJECT --reject-with icmp-port-unreachable . Kdyžtak rozdělit do dvou pravidel:

iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable

iptables -P FORWARD DROP

Možná ještě před tuhle dvojici dát logovací pravidlo, pokud nás zajímají pokusy o narušení.

Jinak obecně úvodní rozskok na všechny možnosti N^2-N, kde N je počet rozhraní, u ručně psaných firewallových skriptů s IPtables, je fajn věc. Mě to třeba zjednodušuje orientaci (věc názoru a stylové úpravy skriptu) a optimalizuje to délku procházených chainů (snižuje zátěž CPU) - neprocházejí se všechna pravidla sekvenčně, ale jenom daná větev odkud-kam. Ideovou inspiraci si můžete opatřit třeba tady (bacha na rozdíl v chování chainů INPUT/OUTPUT u ipchains a iptables):

starobylé IPChains HOWTO, kapitola 7.4

Plus se tam dá vymyslet spousta dalších pentliček pro kontrolu duševního zdraví provozu. Viz třeba:

IPTables Tutorial, příklady skriptů

Zajímavý je například custom chain nazvaný "bad_tcp_packets", "číslování kapitol" ve firewallovém skriptu apod.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.