Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - CZmok

Stran: [1]
1
Sítě / Re:Zkušenosti s více IP na serveru
« kdy: 20. 03. 2021, 14:19:51 »
Však jo. A v té tabulce říkám, která IP bude zdrojová:
Kód: [Vybrat]
src 10.88.53.24
Ale na základě čeho vyberete, která tabulka se použije?

Jasný, šlo o příklad. Tak si pan kolega upraví rule. Jak se ostatně píše např. v #17.

2
Server / Re:DNS v DMZ?
« kdy: 20. 03. 2021, 14:14:25 »
Obecně se k tomu vašemu dotazu dá napsat akorát to, že pokud to nemusíte povolovat, nepovolujte to, a pokud to musíte povolovat, povolte to. RFC na tuhle jednu větu samozřejmě není. Vy ale pravděpodobně řešíte konkrétní problém, tak by bylo lepší zeptat se na ten konkrétní problém než se ptát tak obecně, že ta otázka nedává smysl.

:-) Konkrétní věc/problém dokážu pořešit spousty způsoby, v tom problém není.

Skutečně mě zajímal názor lidí tak jak jsem ho napsal. Znám strůvky lidí, kteří by v DMZ až ortodoxně resolving nepovolovali za nic na světe, pak znám lidi, kterým to je jedno a nevidí v tom ani v případě napadení daného serveru bezpečnostní riziko pak další ostrůvky a další...

Pokud k danému tématu není co dodávat, nemusíme zde šlapat vodu. Já řešení mám, jen mě zajímal názor ostatních, toď vše.




3
Sítě / Re:Zkušenosti s více IP na serveru
« kdy: 20. 03. 2021, 14:03:11 »

To ale vybíráte tabulku na základě zdrojové IP adresy, czechsys ale potřebuje správně určit zdrojovou IP adresu.

Však jo. A v té tabulce říkám, která IP bude zdrojová:
Kód: [Vybrat]
src 10.88.53.24

4
Sítě / Re:Zkušenosti s více IP na serveru
« kdy: 20. 03. 2021, 12:29:28 »
Policy Based Routing tohle castecne resi, ale neresi zcela ten cron pristup. Jak to pozna, ze to do sveta ma jit prave tou specifickou fqdn adresou pro a.domain.tld?

no právě tou policy (rulou), třeba takhle. Jestli chápu problém:


Kód: [Vybrat]

rooot@superserver:~$ ip ru l
0:      from all lookup local
32763:  from 10.88.24.0/21 lookup VLANaaa
32764:  from 10.88.8.0/21 lookup VLANbbb
32765:  from 10.88.48.0/21 lookup VLANccc
32766:  from all lookup main
32767:  from all lookup default
root@superserver:~$
root@superserver:~$
root@superserver:~$ ip r l t VLANccc
default via 10.88.48.1 dev eth1
10.88.48.0/21 dev eth1 scope link src 10.88.53.24
root@superserver:~$



Nebo se to dá řešit přes iptables, manglovat. Ale to už si ani nepamatuju jak se dělá... :-)



5
Server / Re:DNS v DMZ?
« kdy: 20. 03. 2021, 12:07:19 »
Díky za reakce a názory.

Používat IP adresy namísto jmen mě tedy ani nenapadlo. :-) Dá se samozřejmě udržovat omezený seznam překladů v /etc/hosts i s prázdným /etc/resolv.conf a překládat budu, co potřebuji. Já potřebuji řešit "chytřejší" DNS, ne jen jméno <==> IP, například srv záznamy, DNS balancing, ...

Nicméně nechtěl jsem řešit konkrétní věc, zajímal mě Váš názor na obecnou problematiku povolení resolvování v DMZ z bezpečnostního pohledu. Případně, jak to řešíte Vy?

Případně, jestli na toto není nějaký předpis od CIS, RFC cokoli?

Díky


6
Sítě / Re:Zkušenosti s více IP na serveru
« kdy: 18. 03. 2021, 21:05:58 »
Nevím, jestli jsem přesně pochopil problém, ale není řešením Policy Based Routing? Obsluhujeme servery se stovkami ipv4 adres ve více VLANách, tedy i rozsazích (myšleno na jedné instanci OS) a odchozí trafic řídíme takto.

7
Server / DNS v DMZ?
« kdy: 18. 03. 2021, 20:14:52 »
Ahoj,

rád bych Váš názor na otázku, jestli má být server v DMZ (z pohledu security) schopen resolvovat interní zóny a proč?

Díky za reakce.

CZmok

8
Server / Ansible jako Configuration management tool
« kdy: 13. 01. 2020, 21:39:41 »

Ahoj,

najde se tu někdo, kdo řeší Configuration Management (dále CM) přes Ansible (core nebo tower)?

Aktuálně používáme Puppet a rádi bychom přešli na Ansible. Sháním někoho na sdílení informací, strastí a radostí při implementaci a reálném provozu.

Díky za reakce

Stran: [1]