Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzeNásledující verzeObě strany příští revize | ||
navody:server:firewall [2015/10/14 12:32] – krcmar | navody:server:firewall [2023/07/31 15:12] – odkaz na vzdalenou konzoli Aither | ||
---|---|---|---|
Řádek 5: | Řádek 5: | ||
Linuxové jádro obsahuje firewall zvaný Netfilter, který je obsluhován pomocí utility '' | Linuxové jádro obsahuje firewall zvaný Netfilter, který je obsluhován pomocí utility '' | ||
- | Na našem VPS je v každém případě nejprve potřeba povolit podporu iptables. V detailu VPS je potřeba zapnout podporu iptables a potvrdit. Dojde k restartu | + | Při prvotních hrátkách s firewallem |
- | + | ||
- | {{: | + | |
===== IPtables ===== | ===== IPtables ===== | ||
Řádek 38: | Řádek 36: | ||
iptables -A INPUT -p tcp --dport 80 -j ACCEPT | iptables -A INPUT -p tcp --dport 80 -j ACCEPT | ||
- | Takto můžete ručně zapsat různá pravidla a sledovat chování. Takto zapsaná pravidla ale **nejsou perzistentní** a po restartu vašeho VPS zmizí. Pokud je potřebujete zachovat, zapište je například do souboru ''/ | + | Takto můžete ručně zapsat různá pravidla a sledovat chování. Takto zapsaná pravidla ale **nejsou perzistentní** a po restartu vašeho VPS zmizí. Pokud je potřebujete |
+ | |||
+ | | ||
+ | |||
+ | Pokud naopak potřebujete pravidla | ||
<note important> | <note important> | ||
- | | + | |
+ | < | ||
+ | |||
+ | # Pusť veškerý loopback (lo0) provoz a zahoď provoz z 127/8, který nepochází z rozhraní lo0 | ||
+ | -A INPUT -i lo -j ACCEPT | ||
+ | -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT | ||
+ | |||
+ | # Propusť všechen provoz už navázaných spojení | ||
+ | -A INPUT -m state --state ESTABLISHED, | ||
+ | |||
+ | # Povol veškerý odchozí provoz | ||
+ | -A OUTPUT -j ACCEPT | ||
+ | |||
+ | # Otevři příchozí porty pro HTTP a HTTPS | ||
+ | -A INPUT -p tcp --dport 80 -j ACCEPT | ||
+ | -A INPUT -p tcp --dport 443 -j ACCEPT | ||
+ | |||
+ | # Povol veškerá spojení na SSH | ||
+ | -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT | ||
+ | # Povol spojení jen z mé IP adresy | ||
+ | # -I INPUT -p tcp -s 1.2.3.4 --dport 22 -j ACCEPT | ||
+ | |||
+ | # Zakaž všechno ostatní, co prošlo až sem. | ||
+ | -A INPUT -j REJECT | ||
+ | -A FORWARD -j REJECT | ||
+ | |||
+ | COMMIT | ||
+ | </ | ||
+ | |||
+ | Takový konfigurační soubor je možné získat i tak, že uložíte aktuální pravidla zapsaná právě ve firewallu. Pokud jste tedy pravidla zadali ručně z řádky, můžete si je všechna uložit: | ||
+ | |||
+ | iptables-save > / | ||
+ | |||
+ | Stejně tak je možné obsah souboru znovu načíst do jádra: | ||
+ | |||
+ | iptables-restore < / | ||
+ | |||
+ | Pokud chcete, aby se tento příkaz spouštěl při startu systému a tedy aby se při startu VPS načetla všechna zadaná pravidla, zapište do souboru ''/ | ||
+ | |||
+ | < | ||
+ | / | ||
+ | |||
+ | Soubor pak učiňte spustitelným: | ||
+ | |||
+ | chmod +x / | ||
+ | |||
+ | Od této chvíle se při startu serveru aplikují firewallová pravidla podle vašich přání. | ||
===== Shorewall ===== | ===== Shorewall ===== | ||
Řádek 128: | Řádek 177: | ||
Poté můžeme nechat Shorewall zkontrolovat konfiguraci: | Poté můžeme nechat Shorewall zkontrolovat konfiguraci: | ||
- | | + | shorewall check |
| | ||
- | Pokud potvrdí '' | + | Pokud potvrdí '' |
- | | + | shorewall start|stop|restart|... |
Další užitečné příkazy: | Další užitečné příkazy: | ||
Řádek 142: | Řádek 191: | ||
Odkazy: [[http:// | Odkazy: [[http:// | ||
+ | |||
+ | ===== FirewallD ===== | ||
+ | |||
+ | Starší verze firewalld potřebují, | ||
+ | |||
+ | Vyrobit jde lze jednoduše pár příkazy: | ||
+ | |||
+ | < | ||
+ | mkdir / | ||
+ | touch / | ||
+ | for i in / | ||
+ | depmod -a | ||
+ | </ |