Fórum Root.cz
Hlavní témata => Server => Téma založeno: rootuser 01. 04. 2019, 10:03:13
-
Ahoj všem,
neznáte prosím někdo firewalld management s web interface, kam by se dalo přihlásit a naklikat si pravidla pro FW?
Doplňující dotazy:
- Jak se bránit DDoS útokům na webový server? HW firewall je moc drahý. Když začne útok, tak prostě IP přidáme do firewallu.
- Jak byste to řešili vy?
Děkuji za tipy.
-
ad 2) DDoS útoky mají pravidla takový záběr, že ti ucpou linku k serveru, takže obrana na samotném serveru je k ničemu, musíš filtrovat provoz co nejblíže zdroji. Použil bych k tomu určenou službu, cloudflare např., ale je jich spousta.
-
Pri DDoS utoku je vacsinou vela zdrojov
-
Hostovat server tam, kde maji DDoS v cene sluzby server hostingu.
Nemyslim tim parodii u Wedosu
-
Firewalld zahod. Iptables jedine.
1. DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole. Synproxy, filtrovanie zlych flagov, rate limiting.. To je zaklad. A potom este kernel tuning - nastavit prisnejsie timeouty na spojenia, zvacsie cache pre spojenia atd.. Da sa s tym vyhrat.
-
Firewalld zahod. Iptables jedine.
1. DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole. Synproxy, filtrovanie zlych flagov, rate limiting.. To je zaklad. A potom este kernel tuning - nastavit prisnejsie timeouty na spojenia, zvacsie cache pre spojenia atd.. Da sa s tym vyhrat.
Pokud ti DDoS ucpe linku, tak mas proste smulu. S tim nic na serveru neudelas
-
Firewalld zahod. Iptables jedine.
1. DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole. Synproxy, filtrovanie zlych flagov, rate limiting.. To je zaklad. A potom este kernel tuning - nastavit prisnejsie timeouty na spojenia, zvacsie cache pre spojenia atd.. Da sa s tym vyhrat.
Pokud ti DDoS ucpe linku, tak mas proste smulu. S tim nic na serveru neudelas
Ano preto som napisal "DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole".
-
Tak nam, prosim, napis jak se branit "ucpani linky" nastavenim serveru - rad bych se dozvedel neco o novych technologiich a moznostech
Dekuji
-
:o Mozno nerozumies dokonale slovencine, ale napisal som "DDSom sa da branit, ale vsetko je to len o tom ako velmi ta chcu dat dole" = ano neda sa branit tomu ak ti ucpu linku. Este inak = ak velmi niekto chce dat dole tvoj server tak posle taky obrovsky datovy tok, ze ucpe linku. Pisem to iste co ty len inak..
-
Zahlcení linky řeším tak, že se přihlásím ze serveru, který je poblíž a udělám totéž. Tedy začnu odmítat traffic. A proto hledám web interface, abych se nemusel přihlašovat přes druhý server. Tedy ideálně aby ten ovládací panel firewalld uměl pracovat s více servery, ale není podmínkou, to už si případně dodělám.
-
No, v budoucnu by tuhle roli měl (hlavně pro RedHat a odvozené) zastávat cockpit, včetně správy víc serverů, ale obávám se že ovládání firewalld je v něm ještě v plenkách :(
https://github.com/cockpit-project/cockpit/wiki/Feature:-Firewall
-
Zvlastni, hodne stesti s prihlaseni "od vedle", kdyz je zahlcena komunikace/linka na server
-
Zvlastni, hodne stesti s prihlaseni "od vedle", kdyz je zahlcena komunikace/linka na server
To mě taky udivilo… Ale třeba chce mít někde v serverovně management server s webovým rozhraním, které bude připojené k těm serverům v oddělené síti? Zrovna to cockpit umí hezky, ale vzhledem k jeho omezení bych to spíš řešila ansible / saltem / chef / whatever.
-
Radeji snad modem na seriovy/USB port - co kdyz mu ucpou konektivitu doserverovny 8)
-
Radeji snad modem na seriovy/USB port - co kdyz mu ucpou konektivitu doserverovny 8)
v tu chvíli spíš ddoserverovny :) Separátní konektivitu jsem měla na mysli, bez té by to bylo polovičaté řešení.
-
A cele to je o analyze rizik a nakladech na "bezpecne" reseni
Cim vice 9, tim vyssi naklady....
-
Webmin mel vzdycky slusny GUI rozhrani k iptables.
-
Webmin mel vzdycky slusny GUI rozhrani k iptables.
Webmin je nejvetsi hruza, se kterou jsem kdy pracoval
-
Nemyslim tim parodii u Wedosu
Můžete to prosím více rozvést?
Děkuji.
J.
-
Tiez som bojoval s tym, ze ked som nebol v praci a kolegovci si potrebovali nieco "otvorit" vo firewale. Nainstaloval som si proxmox a v nom som si spravil 2 VM. Prva VM - pfsense a 2 VM Centos. PFsense je "oknoidny firewall" cez webove rozhranie a clovek ktory trosku vidi do firewallov si tam nastuka co potrebuje.