Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzeNásledující verzeObě strany příští revize |
navody:server:firewall [2015/10/20 07:39] – [Shorewall] thrix | navody:server:firewall [2020/09/17 15:04] – [FirewallD] snajpa |
---|
Linuxové jádro obsahuje firewall zvaný Netfilter, který je obsluhován pomocí utility ''iptables''. Tento přístup je nízkoúrovňový a umožňuje nastavit velké množství různých parametrů a variant. Pohodlnější variantou je například nadstavba Shorewall, což je sada skriptů, které dovolují pravidla pro Netfilter z jednodušších konfiguračních souborů. | Linuxové jádro obsahuje firewall zvaný Netfilter, který je obsluhován pomocí utility ''iptables''. Tento přístup je nízkoúrovňový a umožňuje nastavit velké množství různých parametrů a variant. Pohodlnější variantou je například nadstavba Shorewall, což je sada skriptů, které dovolují pravidla pro Netfilter z jednodušších konfiguračních souborů. |
| |
Na našem VPS je v každém případě nejprve potřeba povolit podporu iptables. V detailu VPS je potřeba zapnout podporu iptables a potvrdit. Dojde k restartu VPS a podpora je zapnutá. | Na našem VPS je v každém případě nejprve potřeba povolit podporu iptables. Pokud to neuděláte, bude firewall fungovat jen v [[https://openvz.org/Man/vzctl.8#Netfilter_.28iptables.29_control_parameters|bezestavovém režimu]], kdy nebudou fungovat moduly vyžadující conntrack (například NAT a jiné moduly závislé na stavu spojení). V detailu VPS je potřeba zapnout podporu iptables a potvrdit. Dojde k restartu VPS a podpora je zapnutá. |
| |
{{:navody:vps:features.png?300|}} | {{:navody:vps:features.png?300|}} |
| |
Odkazy: [[http://shorewall.net/ | shorewall.net/]] , [[https://wiki.debian.org/HowTo/shorewall | wiki.debian.org/HowTo/shorewall]] | Odkazy: [[http://shorewall.net/ | shorewall.net/]] , [[https://wiki.debian.org/HowTo/shorewall | wiki.debian.org/HowTo/shorewall]] |
| |
| ===== FirewallD ===== |
| |
| Starší verze firewalld potřebují, aby existovaly soubory modulů jádra, i když jsou načtené. |
| |
| Vyrobit jde lze jednoduše pár příkazy: |
| |
| <code> |
| mkdir /lib/modules/$(uname -r) |
| touch /lib/modules/$(uname -r)/modules.{builtin,order} |
| for i in /sys/module/*; do echo kernel/${i##**/}.ko; done >> /lib/modules/$(uname -r)/modules.builtin |
| depmod -a |
| </code> |