abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:33 | IT novinky

    Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

    Ladislav Hagara | Komentářů: 1
    dnes 13:00 | IT novinky

    Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).

    Ladislav Hagara | Komentářů: 5
    dnes 12:44 | IT novinky

    Americká společnosti Apple přesune část výroby svého malého stolního počítače Mac mini z Asie do Spojených států. Výroba v závodě v Houstonu by měla začít ještě v letošním roce, uvedla firma na svém webu. Apple také plánuje rozšířit svůj závod v Houstonu o nové školicí centrum pro pokročilou výrobu. V Houstonu by měly vzniknout tisíce nových pracovních míst.

    Ladislav Hagara | Komentářů: 11
    dnes 12:11 | Zajímavý článek

    Vědci Biotechnologické společnosti Cortical Labs vytvořili biopočítač nazvaný CL1, který využívá živé lidské mozkové buňky vypěstované z kmenových buněk na čipu. Po úspěchu se hrou PONG se ho nyní snaží naučit hrát DOOM. Neurony přijímají signály podle toho, co se ve hře děje, a jejich reakce jsou převáděny na akce jako pohyb nebo střelba. V tuto chvíli systém hraje velmi špatně, ale dokáže reagovat, trochu se učit a v reálném čase se hrou

    … více »
    karkar | Komentářů: 4
    dnes 01:55 | Nová verze Ladislav Hagara | Komentářů: 0
    včera 21:33 | Nová verze

    Ben Sturmfels oznámil vydání MediaGoblinu 0.15.0. Přehled novinek v poznámkách k vydání. MediaGoblin (Wikipedie) je svobodná multimediální publikační platforma a decentralizovaná alternativa ke službám jako Flickr, YouTube, SoundCloud atd. Ukázka například na LibrePlanet.

    Ladislav Hagara | Komentářů: 0
    včera 15:44 | Zajímavý software

    TerminalPhone (png) je skript v Bashi pro push-to-talk hlasovou a textovou komunikaci přes Tor využívající .onion adresy.

    Ladislav Hagara | Komentářů: 6
    včera 12:22 | IT novinky

    Před dvěma lety zavedli operátoři ochranu proti podvrženým hovorům, kdy volající falšuje čísla anebo se vydává za někoho jiného. Nyní v roce 2026 blokují operátoři díky nasazeným technologiím v průměru 3 miliony pokusů o podvodný hovor měsíčně (tzn., že k propojení na zákazníka vůbec nedojde). Ochrana před tzv. spoofingem je pro zákazníky a zákaznice všech tří operátorů zdarma, ať už jde o mobilní čísla nebo pevné linky.

    Ladislav Hagara | Komentářů: 10
    včera 03:44 | Komunita

    Společnost Meta (Facebook) předává React, React Native a související projekty jako JSX nadaci React Foundation patřící pod Linux Foundation. Zakládajícími členy React Foundation jsou Amazon, Callstack, Expo, Huawei, Meta, Microsoft, Software Mansion a Vercel.

    Ladislav Hagara | Komentářů: 3
    včera 01:22 | IT novinky

    Samsung na akci Galaxy Unpacked February 2026 (YouTube) představil své nové telefony Galaxy S26, S26+ a S26 Ultra a sluchátka Galaxy Buds4 a Buds4 Pro. Telefon Galaxy S26 Ultra má nový typ displeje (Privacy Display) chránící obsah na obrazovce před zvědavými pohledy (YouTube).

    Ladislav Hagara | Komentářů: 12
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (6%)
     (0%)
     (11%)
     (27%)
     (2%)
     (5%)
     (2%)
     (13%)
     (26%)
    Celkem 968 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník

    Dotaz: Debian firewall nastaveni pravidel do DMZ na www server

    24.10.2011 13:05 Tagy
    Debian firewall nastaveni pravidel do DMZ na www server
    Přečteno: 640×

    Ahoj, mejme web server umisteny v DMZ za debianim firewallem.

    Musim tedy nastavit pravidlo, ze pokud prijde paket na port 80 nebo 443, ze ho router posle na web server (ip: 192.168.2.3)

    Ve firewallu jsem nastavil tyto pravidla:

    #####################################################

    #!/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    .
    .
    .
    # povoleni tcp/udp/icmp 80/443 do site

    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL  -d 192.168.2.3 -j ACCEPT

    #Projdou temito pravidly pozadavky na web server do DMZ?

    #Jeste bych mel nadefinovat pravidla pri komunikaci web serveru z DMZ smerem do internetu

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    #####################################################

    Co to vlastne dela?
    parametr "-A" (append) pridava pravidlo/specifikaci
    FORWARD: pravidlo, ktere vsechny prichazejici pakety na jedno sitove rozhrani presmerovava na jine
    parametr "-d" (destination?) je to cilová IP
    parametr "-p" (protocol) protokol, tzn. bud: tcp, udp, icmp
    parametr "--dport" zachyceni na zaklade ciloveho portu
    parametr "-j" urcuje co ma jadro s danym paketem (vyhovujicim pravidlu) udelat, ACCEPT ->paket propustit na dane rozhrani

    parametr "-i" interface/rozhranni

     

    Jak overit ze dane pravidlo funguje?

    telnet x.x.x.x 80

    Zde jsem nasel nejake How To:
    http://www.aboutdebian.com/firewall.htm

    Maji tam jeste aktivovany NAT (maskaradu)

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    Diky :)

    Odpovědi

    24.10.2011 14:38 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Misto -p ALL bych pouzil -p tcp a o zadnou DMZ se nejedna, to by jsi musel mit na firwallu tri rozhrani/sitovky(predpokladam, ze podle navodu nemas dva firewall-u), take se na DMZ pouzivaji verejne IP adresy, potom nemusis pouzivat NAT. Imho ti tam chybi preklad smerem ven:
    # Enable SNAT (MASQUERADE) functionality on $EXTIF
    iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
    
    NN
    30.10.2011 14:19 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    -p tcp jsem tam mel, jenze sel by pak ping? Ten bezi pres ICMP, az to pobezi tak to nastavim na tcp ;-) Prave ze mam dva firevall-y, jeden jako externi a druhy pro interni sit.
    Ted nastavuji externi aby my routoval na web server s neverejnou IP adresou.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp/udp/icmp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

    #####################################################

    Jeste prikladam schema site, ktere jsem vyzistil na zaklade "ifconfig" na obou FW.

    http://dl.dropbox.com/u/2007219/FwDmz.png

    30.10.2011 18:34 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Kombinovat --dport 80 a -p ALL je prece kravina, ICMP pravidla s vetsinou uvadeji samostatne a HTTP UDP nepouziva.. Cil je, aby pravidla byla maximalne presna, jinak vzniknou diry.

    Imho, podle toho nakresu muzes usetrit jeden firewall a jeden switch, pri stejne urovni zabezpeceni, pokud pouzijes VLAN a jeden firewall, ktery ma vice sitovek.

    NN
    31.10.2011 12:11 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    "Kombinovat --dport 80 a -p ALL je prece kravina"

    Rozumim, na 80tce bezi HTTP a ten zas fici pres tcp, takze -p tcp

     

    Ohledne pouziti dvou firewallu... take jsem se ptal proc? Sit jsem nenavrhoval ja, mozna tam maji jiny, rozumny duvod... nevim.

    Sit jsem videl jen vzdalene, fyzicky nikoliv.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p tcp -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p HTTP -d 192.168.2.3 -j ACCEPT

    # povoleni tcp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p HTTP -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p HTTP -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $extif
    $ipt-t nat -A POSTROUTING -o $extif -j SNAT --to $extif

    #####################################################

     

    Diky moc :-)

    31.10.2011 12:25 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    -p HTTP
    bude asi mysleno -p tcp ...

    NN
    31.10.2011 15:38 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Jj zacal jsem to editovat, ale pak jsem odbehl... :-) a zapomnel na to

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.