Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall  (Přečteno 34750 krát)

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: Windowsák potřebuje pomoc s Ubuntu - nyní problém s Apache modulama
« Odpověď #50 kdy: 14 Února 2008, 21:31:50 »
A co si takhle alespon zkontrolovat, ze ten httpd.conf obsahuje spravne cesty? Opravdu mate moduly na ceste libexec/apache/ ... ?
Nejsou treba takhle v /usr/lib/apache2/modules ?
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Re: Windowsák potřebuje pomoc s Ubuntu - nyní problém s Apache modulama
« Odpověď #51 kdy: 15 Února 2008, 13:29:53 »
Vyzkouším.
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Re: Windowsák potřebuje pomoc s Ubuntu - nyní problém s Apache modulama
« Odpověď #52 kdy: 17 Února 2008, 09:54:41 »
Nový postřeh:
Už vím proč mi to nefungovalo - Proxy bylo na direct link, já ho pak na zkoušku hodil na "to druhé", zadal jen http a funguje to, zatím.

Jen mám problém, chtěl bych využívat všech možností CMS a nefunguje Mod_rewrite. Zkrátka, adresy se přepíší, ale po kliknutí Nenalezeno 404. Tudíž si myslím, že musím někde něco v Apache aktivovat, nevíte kde?

Na ty moduly se podívám, hned jak to bude možné.
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Tak po šesti měsících se sem vracím. Chtěl bych oživit mé vůbec první vlákno na tomto fóru a vůbec vlákno o mém prvním Linuxu a to dokonce i server edition. Jen bych chtěl dodat, že dálkovou správu jsem již tak trochu vyřešil webminem, mod_rewrite jsem také rozchodil.

Nyní bych potřeboval trochu pomoci s iptables. Poznal jsem, že Shorewall asi není to pravé ořechové. Pomocí webminu a jeho Firewall Linux (pochopil jsem, že je to iptables) Chtěl bych, aby byl server dokonale chráněn, tzn. aby se někdo nehrabal, tam kde nemá. Potřebuji vůbec firewall či iptables na serveru? Jakou "konfiguraci iptables mi doporučíte?
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Martin Kiklhorn

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • Závislák
  • ******
  • Příspěvků: 4807
  • グーグル!ご存知ですか?
    • HEJ
Počítač je nejlépe chráněn když jej odpojíte ode všech kabelů, uděláte kolem bednění a zalijete jej do betonu.

Teď vážně, tady najdete co potřebujete: http://www.root.cz/serialy/vse-o-iptables/
Jako výchozí stav zakažte všechno, a povolujte pak jen to co potřebujete.
Jsou ve vašem dotazu OPRAVDU VŠECHNY vám dostupné informace o problému?
Linux user since 2007-10-11, Registered #456007
Virtual
| Distribuce
~/slozka znamená /home/"vase jmeno"/slozka
6521 69DE 0F34 FCBC FB1D  DE76 360E 52B2 F71A B8E8

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Počítač je nejlépe chráněn když jej odpojíte ode všech kabelů, uděláte kolem bednění a zalijete jej do betonu.

Teď vážně, tady najdete co potřebujete: http://www.root.cz/serialy/vse-o-iptables/
Jako výchozí stav zakažte všechno, a povolujte pak jen to co potřebujete.


Aha, tak jak vidím, tak iptables je dost složitý. Neexistuje nějaký návod, jak nastavit základní ochranu pomocí iptables pro servery? Nejsem si zcela jist, že něco při nastavování neposeru a v podstatě jsem stále zvyklí z Windows (firewall, vše zakázáno, povoleno zašrtnutím, jaký program má být povolený). Nějaké řešení pro začátečníka?
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Slouží ten PC i jako brána do Internetu pro vnitřní síť?
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Nene, PC slouží jen jako webserver, kolega mi přidělil veřejnou IP adresu, jsem píchlej kabelem do routeru a pak již to jde mimo mě, to už obstarává kolega. Na PC běží jen apache, mysql, php, webmin ... Chtěl bych ho nějak jednodušše zabezpečit, webmina mám nastaveného, že se mohu přihlásit jen ze zvolených IP adres. Do budoucna bych chtěl ještě zprovoznit na PC vlastní mail, ovšem to je daleká budoucnost. Na serveru neběží ani FTP.
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

nettezzaumana

  • Host
UTFG << na internetu existuje n generatoru iptables..

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
No tak mi ty iptables nějak nejdou, generátor mi nějak nejede. Kdo mi pomůže třeba pomocí SZ nakonfigurovat iptables, tak budu velmi vděčný.

Jinak pročítám tyto stránky: http://deja-vix.sk/sysadmin/

A zaujal mě TCP wrapper, když bych ho nainstaloval, myslíte, že by bylo serveru a mě prospěšné nastavit host.deny na ALL: ALL a host.allow na ALL: ALL EXPECT PARANOID ?
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #61 kdy: 12 Srpna 2008, 18:26:37 »
Pomůže mi někdo postavit firewall? Ten TCP wrapper mě zaujal, ale má to nějakou cenu, když tam není žádný další obraný soft?

Potřeboval bych nějak nakonfigurovat obranu pro můj webserver, který je připojen k internetu a dále ho nikam nesměřuje. Na serveru běží jen port 80 Apache a 10000 webmin. Jde nějak pomocí webmin nakonfigurovat obranu? A šlo by to potom rozšířit, když by tam byl mailserver? Jak?

Prosím o pomoc ochránit můj server.
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #62 kdy: 12 Srpna 2008, 19:30:44 »
ehm, vždyť na tom nic není
Kód: [Vybrat]
#/bin/bash
. /lib/lsb/init-functions                                                      
log_begin_msg "Starting firewall ..." 

#promenne                                                       
IPTABLES=/sbin/iptables                                                        
PUBLIC_IF=eth0 ##uvazujeme tedy jedno rozhrani
LOCAL_IF=lo

#vycisti tabulky
$IPTABLES -F                                                                   
$IPTABLES -X     

#vsechno zakaz                                                                 
$IPTABLES -P INPUT DROP                                                        
$IPTABLES -P OUTPUT DROP                                                       
$IPTABLES -P FORWARD DROP  

#povol preposilani a odchozi                                                         
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT              
$IPTABLES -P FORWARD ACCEPT                                                    
$IPTABLES -P OUTPUT ACCEPT   

#loopback iface je taky ok                                                     
$IPTABLES -A INPUT -i $LOCAL_IF -j ACCEPT                                             
$IPTABLES -A OUTPUT -o $LOCAL_IF -j ACCEPT

#Z vnejsku chceme akorat ssh, icmp, http, 1000                
$IPTABLES -A INPUT -i $PUBLIC_IF -p icmp -j ACCEPT       
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport ssh -j ACCEPT                  
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport http -j ACCEPT
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport 1000 -j ACCEPT

log_end_msg $?

Je to ale opravdu jen základ a podobných návodů a scriptů se všude válí mnoho a mnoho ...
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #63 kdy: 12 Srpna 2008, 19:58:30 »
ehm, vždyť na tom nic není
Kód: [Vybrat]
#/bin/bash
. /lib/lsb/init-functions                                                       
log_begin_msg "Starting firewall ..." 

#promenne                                                       
IPTABLES=/sbin/iptables                                                         
PUBLIC_IF=eth0 ##uvazujeme tedy jedno rozhrani
LOCAL_IF=lo

#vycisti tabulky
$IPTABLES -F                                                                   
$IPTABLES -X     

#vsechno zakaz                                                                 
$IPTABLES -P INPUT DROP                                                         
$IPTABLES -P OUTPUT DROP                                                       
$IPTABLES -P FORWARD DROP   

#povol preposilani a odchozi                                                         
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT               
$IPTABLES -P FORWARD ACCEPT                                                     
$IPTABLES -P OUTPUT ACCEPT   

#loopback iface je taky ok                                                     
$IPTABLES -A INPUT -i $LOCAL_IF -j ACCEPT                                             
$IPTABLES -A OUTPUT -o $LOCAL_IF -j ACCEPT

#Z vnejsku chceme akorat ssh, icmp, http, 1000                 
$IPTABLES -A INPUT -i $PUBLIC_IF -p icmp -j ACCEPT       
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport ssh -j ACCEPT                   
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport http -j ACCEPT
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport 1000 -j ACCEPT

log_end_msg $?

Je to ale opravdu jen základ a podobných návodů a scriptů se všude válí mnoho a mnoho ...

Asi jsem blbej, ale toto mám dát kam? Do konzole, ale jak? Nějak mi to nejde.... A co říkáš na TCP wrapper + IPTABLES?
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #64 kdy: 13 Srpna 2008, 09:26:16 »
Toto je samosebou obsah scriptu, který bash vykoná po jeho spuštění. Možná by bylo faj naučit se alespoň základy práce se systémem, pokud chcete spravovat svůj server.

Osobně používám jen iptables a jeho moduly společně s TC a HTB.
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #65 kdy: 13 Srpna 2008, 10:10:08 »
Něco mi to připomínalo, ale myslel jsem na terminál. Já se učím základy práce se systémem (už si trochu pamatuji cp, mk, rm, mkdir, rmdir, mv, vi, atd.) Vím, že toto na správu bohužel nestačí, ale jsem na Windows odchován již cca 8 let a Linux má dobré věci, líbí se mi jeho politika, jeho myšlení, to co Linux má jiného oproti Windows je opodstatněné a promyšlené, ale Windows vsadil na grafiku a Linux na terminál. Snažím se pochopit to, co mi kdo kde poradí, abych to jen tupě nekopíroval, ale ta paměť na příkazy mi schází.

Zatím jedu jen na Ubuntu 7.10 server (moje téměř první setkání s Linuxem, a to důkladné), v září, říjnu chci server předělat komplet odznova s použitím jen příkazového řádku, snad se mi to povede.

Jinak ten obsah scriptu mám zkopírovat do souboru třeba iptables.sh a pak to v terminálu spustit iptables.sh?

BTW: Prozradím Vám jednu věc, bude mi 15 let a v tolika letech asi moc dětí svůj server nemá a o Linuxu nic neví.
« Poslední změna: 13 Srpna 2008, 10:21:14 od Thomas123 »
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

cobbler

  • Návštěvník
  • Příspěvků: 1
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #66 kdy: 13 Srpna 2008, 19:03:14 »
ahoj, s ubuntu nepracuji dlouho, ale také jsem chtěl mít grafiku na serveru,
postupoval jsem podle následujicího návodu
http://www.psychocats.net/ubuntu/nox
a vše OK funguje, vyzkoušej, dej echo.
R.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #67 kdy: 14 Srpna 2008, 00:32:44 »
Jinak ten obsah scriptu mám zkopírovat do souboru třeba iptables a pak to v terminálu spustit
Kód: [Vybrat]
sudo ./iptables?
ano, přesně tak

BTW: Prozradím Vám jednu věc, bude mi 15 let a v tolika letech asi moc dětí svůj server nemá a o Linuxu nic neví.
V 15 letech už dávno nejste dítě :) A mohu jen tiše závidět Vaše možnosti. V 15 letech jsem platil za modemové připojení 33.6kbps neskutečně velké peníze a byl jsem rád, že existuje telnet. Každá doba nese své. Buďte rád, že žijete v té, která Vám umožní mít vlastní server.
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #68 kdy: 14 Srpna 2008, 12:51:54 »
Pročetl jsem si něco málo z threadu a pár věcí mne zaráží.Chválím snahu se něco naučit,ale proč rovnou server?Lépe je se napřed naučit systém desktopový a pak se pustit do jeho odvozené serverové verze.Nehledě na to,že jako admina Vás čeká spousta čtení a učení,protože jedině pak budete opravdu vědět co dělat.Dotazy ve fóru toto vyřešit nedokáží.

Nerozumím taky požadavku na grafické prostředí.Dokonce už i Microsoft pochopil,že grafický systém na serveru je jen další zbytečná věc,která skrývá potencionální bezpečnostní a jiné problémy.Proto jsou již jejich nové verze server vydání default v textovém režimu.

I pod Linuxem existuje několik specializovaných edicí.Já měl například velmi v oblibě http://www.trustix.org/ pro jeho systém aktualizací a lehké instalace.Vzdáleně se to již blížilo OpenBSD.Jsou tady pochopitelně NetBSD,FreeBSD,DragonflyBSD,případně verze Mandrivy nebo SUSE,ale v to je věc volby.

Proč rovnou server? Mno, měl jsem blog na wz.cz, kdo to zná, tak ví proč. Strašně pomalé, pomalé a málo místa a hodně reklamy. Náhodou se mi podařila zaregistrovat docela pěkná doména a za webhosting se mi platit nechtělo. Naskytla se možnost staršího počítače, a protože jsem věděl, že Linux je tak nějak nenáročný (a hlavně zdarma), tak jsem zvolil tuto volbu. Veřejnou IP mám zatím zdarma. Zkoušel jsem několik distribucí, až mi byla doporučena distribuce Ubuntu server, tak proč ne, že jo? Nadchla mě instalace a její jednoduché nastavení. Protože jsem byl v té době absolutní nováček bez zkušeností, tak jsem se tam snažil dostat GNOME. Stále jsem nevěřil těm, kteří mi tu psali, že to stejně klikáním nenastavím a teď vím, že měli docela pravdu.

Protože jsem Linux moc neovládal, tak jsem si pořídil počítač za 5000Kč (nový) a zde trénuji, prolézám a hledám. Co kde naleznu pak aplikuji na server. Ovšem vím, že po všelijakém zkoušení je server totálně zaprasený, tak jsem se rozhodl, že seženu nějaký disk a budu instalovat znovu, tentokrát o rok chytřejší. Již tuším, co kde hledat, trochu si vzpomínám na věci, které jsem řešil, tak uvidíme. A zkusím to i bez GUI, tak alespoň budu mít, co řešit.

Jen bych se chtěl zeptat, ve kterém souboru se nastavují věci, které nastavuji v Systém > Správa > Síť a ještě jednu věc bych se chtěl zeptat, proč mi server nebyl vidět z venku (jen z místní sítě), když jsem měl v Systém > Volby > Proxy sítě nastaveno Přímé připojení k internetu, musel jsem to nastavit na Ruční nastavení a pak ještě tam cosi zašochilachat.
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

Thomas123

  • Aktivní člen
  • *
  • Příspěvků: 383
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #69 kdy: 14 Srpna 2008, 13:03:38 »
Kód: [Vybrat]
#/bin/bash
. /lib/lsb/init-functions                                                       
log_begin_msg "Starting firewall ..." 

#promenne                                                       
IPTABLES=/sbin/iptables                                                         
PUBLIC_IF=eth0 ##uvazujeme tedy jedno rozhrani
LOCAL_IF=lo

#vycisti tabulky
$IPTABLES -F                                                                   
$IPTABLES -X     

#vsechno zakaz                                                                 
$IPTABLES -P INPUT DROP                                                         
$IPTABLES -P OUTPUT DROP                                                       
$IPTABLES -P FORWARD DROP   

#povol preposilani a odchozi                                                         
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT               
$IPTABLES -P FORWARD ACCEPT                                                     
$IPTABLES -P OUTPUT ACCEPT   

#loopback iface je taky ok                                                     
$IPTABLES -A INPUT -i $LOCAL_IF -j ACCEPT                                             
$IPTABLES -A OUTPUT -o $LOCAL_IF -j ACCEPT

#Z vnejsku chceme akorat ssh, icmp, http, 1000                 
$IPTABLES -A INPUT -i $PUBLIC_IF -p icmp -j ACCEPT       
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport ssh -j ACCEPT                   
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport http -j ACCEPT
$IPTABLES -A INPUT -i $PUBLIC_IF -p tcp --dport 1000 -j ACCEPT

log_end_msg $?

Jen jedna technická otázka, musím povolovat ssh, když i z venku jsou pomocí Skenování portů vidět jen 80 a 10000? Pokud se nepletu, tak ssh je  "jakoby dálková správa" a nevím o tom, že bych to používal. A ještě jedna věc u #všechno zakaž je : $IPTABLES -P OUTPUT DROP a $IPTABLES -P FORWARD DROP a hned podtím je v #povol preposilani a odchozi toto: $IPTABLES -P FORWARD ACCEPT a $IPTABLES -P OUTPUT ACCEPT. To tak má opravdu být, podle mého laického pohledu se to zakáže a hned zachvíli zase povolí?
Ten Linux není špatná věc, jen se s tím naučit. Windowsák není zvyklý.

nettezzaumana

  • Host
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #70 kdy: 14 Srpna 2008, 13:09:53 »
.. podle mého laického pohledu ..
<< RTFM .. no, btw obdivuju jakej sis tady rozjel krasnej business .. njn. za mejch mladejch casu fora nebyla a my jsme otrocky (ale casto s nadsenim) cetli manualy ..

nettezzaumana

  • Host
Re: Windowsák potřebuje pomoc s Ubuntu - stavíme Firewall
« Odpověď #71 kdy: 15 Srpna 2008, 07:09:58 »
Tak v tom případě už to začínám chápat,ale stejně,mít tu možnost se vrátit pár let zpět,tak se s Linuxem "nezdržuju" a začínám rovnou s OpenBSD :-)

<< heh ;) .. no, ja si ted polazku otazku, s cim bych zacal, kdybych vedel, ze se nemam zdrzovat s Linuxem .. ?solaris

 

Provoz zaštiťuje spolek OpenAlt.