1. Fórum Root.cz
  2. Profil darebacik
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - darebacik

Stran: 1 ... 48 49 [50] 51 52 ... 55
736
Server / Re:Ako vyriesit www a non www na apache2
« kdy: 03. 06. 2018, 14:05:10 »
Cize ak tomu spravne rozumiem, tak koremove domeny su reprezentovane bodkou ".".
Tie spravuje korenvy DNS a ten ma pod spravou domeny prveho radu (com, org, net atd ....)
Napr. com domenu v ramci dns zony, spravuje nejaka organizacia, ktora ponuka inym organizaciam domeny druheho radu (nieco.com, niecoine.com atakdale.com).
Domeny druheho radu su za poplatok.
Domeny tretieho radu ponukaju organizacie, ktore vlastnia domeny druheho radu a maju uz svoju vlastnu DNS zonu (resp. mozu, ale nemusia ponukat).
Ak ich ponukaju, tak spravidla to uz je bez poplatku.
Niekedy davno som si myslel, ze www je cast domeny napr. (www.nieco).com, ze to v zatvorke je jedna cast, ale potom som sa docital, ze www je domenou nasledujuceho radu.

Ale ked do url napises napr. google.com tak vzdy ta to presmeruje na https://www.google.com.
Neviem aky webserver pouziva google, ale ak apache, tak v DNS musi mat A zaznam na google.com a zaroven aj na www.google.com a v apache /etc/apache/sites-available/adresar-google.conf musi byt kvoli presmerovaniu na www minimalne toto ?
Kód: [Vybrat]
ServerName google.com
ServerAlias www.google.com

737
Server / Re:Ako vyriesit www a non www na apache2
« kdy: 03. 06. 2018, 12:32:13 »
Ano ja som sa pri vytvarani certifikatu pomylil a dostal som hlasku, ze certifikat je uz vytvoreny pre iny web atd .... uz si to nepamatam. Takze skusim to este raz od znova na cisto

738
Server / Re:Ako vyriesit www a non www na apache2
« kdy: 03. 06. 2018, 11:48:14 »
Ano kluce generujem pre obidva (aj s www aj bez www)
Kód: [Vybrat]
./letsencrypt-auto certonly --webroot -w /var/www/web1.ddns.com -d web1.ddns.com -d www.web1.ddns.comNo a to by ma tiez zaujmalo (ked uz k tomu doslo). V niektorych prehliadacoch mi web nezobrazi a vyhodi hlasku
Citace
Vaše pripojenie nie je súkromné
Útočníci sa môžu pokúsiť ukradnúť vaše informácie z webu www.web1.ddns.com (napríklad heslá, správy alebo kreditné karty). Ďalšie informácie
NET::ERR_CERT_COMMON_NAME_INVALID
 
Automaticky odosielať niektoré informácie o systéme a obsah stránok do Googlu s cieľom pomôcť rozpoznávať nebezpečné aplikácie a weby. Pravidlá ochrany súkromia
Web www.web1.ddns.com zvyčajne chráni vaše informácie pomocou šifrovania. Keď sa Chrome tentokrát pokúsil pripojiť k webu www.web1.ddns.com, odoslal späť nezvyčajné a nesprávne poverenia. Môže sa to stať vtedy, keď sa za web www.web1.ddns.com snaží vydávať útočník alebo keď pripojenie preruší prihlasovacia obrazovka siete Wi‑Fi. Vaše informácie sú stále zabezpečené, pretože Chrome zastavil pripojenie ešte pred výmenou dát.

Web www.web1.ddns.com momentálne nemôžete navštíviť, pretože používa certifikát HSTS. Chyby siete a útoky sú zvyčajne dočasné, takže by táto stránka mala neskôr pravdepodobne fungovať.

739
Server / Re:Ako vyriesit www a non www na apache2
« kdy: 03. 06. 2018, 10:22:21 »
OK zabudnime na to :)
Predstavme si, ze mam jeden virtualhost.
Klasicky v adresary
Kód: [Vybrat]
/var/www/web1.ddns.commam ulozeny obsah webu.

Na changeip.com mam zalozeny DNS na web1.ddns.com.
Chcel by som to nastavit tak, ze ked klient do url zada jednu z moznosti
Kód: [Vybrat]
web1.ddns.com
www.web1.ddns.com
https://web1.ddns.com
https://www.web1.ddns.comtak aby ho to stale nasmerovlo do /var/www/web1.ddns.com (tam bude okrem ineho index.php, takze stale sa zobrazi rovnaky obsah).

Alebo to este zjednodusime
Staci ak zada klient
Kód: [Vybrat]
web1.ddns.com
tak aby ho to stale nasmerovlo do /var/www/web1.ddns.com (tam bude okrem ineho index.php, takze stale sa zobrazi rovnaky obsah).
Samozrejme web bude dostupny cez https (cize prijme kluce atd ...) a adresu v url predpokladam bude mat
Kód: [Vybrat]
https://web1.ddns.com
Ja som to trocha na zaciatku topicu skomplikoval, ze mam 2 virtualhosty (ja ich mam totiz viac) ale principialne sa to da vysvetlit aj na jednom.


BTW OT: ja som (isiel blbo podla navodov) a vypol som si 000-default.conf a potom ked som zadal do url nejaku DNS adresu (prip. IP adresu), tak ma to hodilo do ineho adresra a zobrazilo mi to uplne iny web co som chcel.
Takze 000-default.conf som o5 povolil a nasmeroval som ho do /var/www/index.php kde sa zobrazuje to co chcem (alebo je to tam ciste a nezobrazi sa nic).
Nevedel som, ze apache v /etc/pache2/sites-enable cita subory podla abecedy a ked nemam 000-default povoleny, tak to vezme prvy symlink (podla abecedy).
Cize nie na darmo ma defalt tie 000 na zaciatku :)

740
Server / Re:Ako vyriesit www a non www na apache2
« kdy: 03. 06. 2018, 07:59:00 »
DNS mam zaregistrovane na changeip.com (neviem, ale zrejme je mozne k A zaznamu spravit aj variantu s www).
Ale ked tak uvazujem, tak co znamena www a naco to vlastne je? Bezny clovek do url www nepise (googlom to indexovat nepotrebujem, takze vlastne www variantu netreba).
Alebo vie mi niekto povedat k comu je dobre www ?

2 Filip Jirsák
Ako spravne upravit virtualhost ak sa rozhodnem zrusit "www".
Zrejme si budem musiet nastudovat aj co to ohladom konfiguracie apache, lebo vacsinou robim podla navodov co najdem na nete :)

741
Server / Jak vyřešit www a non www na apache2
« kdy: 02. 06. 2018, 16:33:51 »
Trapim sa s tym uz asi 2 hodiny a nejak mi to nefunguje.
Situacia je nasledovna:
Na free dns servery som si zaregistroval min. 2 domeny
Kód: [Vybrat]
web1.ddns.com
web2.ddns.comNa vlastnom VPS som si v debiane nainstaloval LAMP a vytvoril virtualhosty.
Weby fungovali na porte 80 ak som zadal do brovsera web1.ddns.com alebo web2.ddns.com vsetko funguje.
Na letsencrypt som si vygeneroval certifikaty a weby uz funguju na https 443.

Co by som chcel a neviem presne ako, resp. skusal som a nefungovalo to
Chcel by som to nastavit tak, ze ked zadam do url jednu z moznosti
Kód: [Vybrat]
web1.ddns.com
www.web1.ddns.com
https://web1.ddns.com
https://www.web1.ddns.comaby som sa stale dostal na web a aby to vzdy v url prepisalo na
Kód: [Vybrat]
https://www.web1.ddns.comAko viem z okolia, tak vacsinou nikto do url nepise https a dokonca vela ludi nepise ani www, ale zadaju priamo web1.ddns.com.
Ako je vidiet z toho
Kód: [Vybrat]
web1.ddns.com
web2.ddns.comtoto su uz domeny druheho radu, ked ja tam chcem pychnut este www, tak to uz bude treti rad (neviem preco bolo vymyslene www :) )
Nejake riesenia co som nasiel su:
Kód: [Vybrat]
3
RewriteEngine On
RewriteCond %{HTTP_HOST} ^web1.ddns.com [NC]
RewriteRule ^(.*)$ http://www.web1.ddns.com/$1 [L,R=301]Zaclenil som to do .htaccess, ale obavam sa, ze to nejako nefunguje
Samozrejme povolit v apache htaccess a rewrite a restart apache
Pridavam tu este konfigurak virtualhostu
Kód: [Vybrat]
<VirtualHost *:80>
   RewriteEngine on
   ReWriteCond %{SERVER_PORT} !^443$
   RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R,L]
   ServerName web1.ddns.com
   ServerAlias www.web1.ddns.com
</VirtualHost>
<VirtualHost *:443>
   ServerName web1.ddns.com
   ServerAlias www.web1.ddns.com
   SSLEngine on
   SSLCertificateFile /etc/letsencrypt/live/web1.ddns.com/cert.pem
 # /etc/apache2/ssl/cert1.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/web1.ddns.com/privkey.pem
 # /etc/apache2/ssl/privkey1.pem
   DocumentRoot /var/www/www.web1.ddns.com

  <IfModule mod_headers.c>
        Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
    </IfModule>
</VirtualHost>
Vedel by mi niekto poradit ako to vyriesit vdaka

742
Server / Re:Neobvyklé zatížení RAM v Proxmox
« kdy: 29. 05. 2018, 09:58:13 »
Vyfotim sa s kockami  ;D
Ja vychadzam z toho:
Niekedy od 2008 som bezal na ubuntu serveroch. Teraz posledny co som mal 14.04 mi fungoval perfektne. Mal som tam celkom dost sluzieb (LAMP 5-7 vhosts, proftp, transmission a ..... proste bezny domaci serverik).
Zatazenie Ram 400-500MB
Chcel som trochu zaexperimentovat a tak som sa rozhodoval medzi nejakymi hypervizormi a asi najjednoduchsi mi prisiel proxmox. Zatial je to len o akychsi testoch a uz to ma znepokojuje, ze sam proxmox po instalacii berie do 900MB Ram.
Tak sa mi to zda nejako moc.
Skusal som si nainstalovat (nie na virtual, ale na fyzicky stroj) debian 9 (net install) a ten bral nejakych 150MB.
Pripada mi to ako keby v tom proxmoxe bezalo aj to co bezat nemusi, co by sa teoreticky dalo vypnut, ale som len v zaciatkoch, takze sorry

743
Server / Re:Neobvyklé zatížení RAM v Proxmox
« kdy: 28. 05. 2018, 23:05:59 »
momentalne to je takto
Kód: [Vybrat]
              total        used        free      shared  buff/cache   available
Mem:        7867448     1733312     5467228       83268      666908     5787888
Swap:       7340028           0     7340028
1.73 GB
Precistil som cache
Kód: [Vybrat]
sync && echo 3 > /proc/sys/vm/drop_caches
Kód: [Vybrat]
              total        used        free      shared  buff/cache   available
Mem:        7867448     1480384     6176596       83268      210468     6099832
Swap:       7340028           0     7340028
ale pomalicky to navysuje. Do 2-3 minut je to 1.5 GB
Kód: [Vybrat]
     total        used        free      shared  buff/cache   available
Mem:        7867448     1515764     6120728       83268      230956     6054272
Swap:       7340028           0     7340028
Az tak velmi ma to netrapi, mam tam 8GB, ale zaujma ma preco ....

744
Server / Neobvyklé zatížení RAM v Proxmox
« kdy: 28. 05. 2018, 09:27:51 »
Mam nainstalovany proxmox ve 5.1.52.
Zatial mam nainstalovany 1x KVM debian a 1x LXC debian.
Ked je KVM a LXC vypnute, tak proxmox si sam zhltne cca 860 MB ram (zda sa mi to celkom dost (ale nejde o to)).
Ked spustim KVM, tak to si zhltne cca 100 MB a LXC tiez max do 100MB.
Ked to dobre pocitam, tak proxmox by mal ukazovat 860+100+100 = 1060 MB.
Proxmox ale zerie 1600 MB RAM.
Zda sa mi to volajake divne

745
Sítě / Re:Nastavení IPtables na serveru s Debianem
« kdy: 23. 05. 2018, 14:46:48 »
OK, nechcem sa tu teraz hasterit o to ci iptables nacitat cez skript, alebo save/restore.
Pre mna je dolezite spravne a bezpecne nastavit pravidla netfiltra aby fungoval ako pozadujem.
V podstate (vid moj prvy prispevok) ten netfilter prepusta/blokuje to co som pozadoval.
Pozadoval som aby bolo povolene z jednej (lokalnej) IP FTP a SSH a to funguje.
Port 17000 funguje a openvpn este nemam otestovane, ale myslim si, ze mal by fungovat tiez.
Pre ovpn je standardne pravidlo
Kód: [Vybrat]
iptables -A INPUT -p tcp --dport 1194 -j ACCEPTktore otvora port 1194 pre kazdeho. Predpokladam, ze openvpn server nebude robit problemy a kazdemu odpovie, kedze politika output je accept.

Teraz by som si chcel este logovanim overit ako to dropuje pakety ak pridu odkial by chodit nemali. Zrejme pouzjem nie velmi filtrovacie pravidlo, ale skusim logovat vsetko na vstupe
Kód: [Vybrat]
iptables -A INPUT -j LOG --log-prefix 'iptables_input_all'predpokladam, ze logy najdem v /var/log/kern.log, alebo /var/log/syslog

PS este by som chcel vediet ako by som si ten firewall skutocne otestoval. Skusil som skenovat porty nmapom, ale ukazovalo mi to zvlastne porty ... hmm ....  k tomu sa ale dostanem mozno neskor

746
Sítě / Re:Nastavení IPtables na serveru s Debianem
« kdy: 22. 05. 2018, 17:09:21 »
Radsej ostanem pri nastavovani netfiltra pomocou iptables  ;)
Prve testy:
zatial spusteny len skript s pravidlami.
Vyzera to OK
Testoval som len FTP spojenie z 192.168.1.4 a to fungovalo OK (treba vsak nastavit vo filezilla na aktivny rezim prenosu).
Zatial som nic nelogoval, ani nekontroloval pomocou tcpdump (pretoze to si musim este nastudovat) ale skusil som sa pripojit z inej ip adresy ako je 192.168.1.4 a tam sa ani len nesnazilo o pripojenie, cize firewall funguje dobre.
Zaujmave je, ze mudul conntrack_ftp som nemusel vobec nacitavat a funguje to aj bez neho.
Ak si po reboote VM vipisem moduly
Kód: [Vybrat]
Module                  Size  Used by
tun                    28672  2
bochs_drm              20480  1
ttm                    98304  1 bochs_drm
drm_kms_helper        155648  1 bochs_drm
pcspkr                 16384  0
joydev                 20480  0
evdev                  24576  1
ftdi_sio               53248  2
usbserial              49152  5 ftdi_sio
shpchp                 36864  0
drm                   360448  4 bochs_drm,ttm,drm_kms_helper
sg                     32768  0
serio_raw              16384  0
virtio_balloon         16384  0
button                 16384  0
ip_tables              24576  0
x_tables               36864  1 ip_tables
autofs4                40960  2
ext4                  585728  3
crc16                  16384  1 ext4
jbd2                  106496  1 ext4
crc32c_generic         16384  4
fscrypto               28672  1 ext4
ecb                    16384  0
glue_helper            16384  0
lrw                    16384  0
gf128mul               16384  1 lrw
ablk_helper            16384  0
cryptd                 24576  1 ablk_helper
aes_x86_64             20480  0
mbcache                16384  4 ext4
dm_mod                118784  9
hid_generic            16384  0
usbhid                 53248  0
hid                   122880  2 hid_generic,usbhid
sd_mod                 49152  3
sr_mod                 24576  0
cdrom                  61440  1 sr_mod
ata_generic            16384  0
virtio_net             32768  0
virtio_scsi            20480  2
psmouse               135168  0
ata_piix               36864  0
ehci_pci               16384  0
uhci_hcd               45056  0
ehci_hcd               81920  1 ehci_pci
virtio_pci             24576  0
virtio_ring            24576  4 virtio_net,virtio_scsi,virtio_balloon,virtio_pci
virtio                 16384  4 virtio_net,virtio_scsi,virtio_balloon,virtio_pci
i2c_piix4              24576  0
libata                249856  2 ata_piix,ata_generic
usbcore               253952  6 usbhid,ehci_hcd,uhci_hcd,ftdi_sio,usbserial,ehci_pci
usb_common             16384  1 usbcore
scsi_mod              225280  5 sd_mod,virtio_scsi,libata,sr_mod,sg
floppy                 69632  0
tak tam ziadny conntrack neni.
Ak pustim skript z pravidlami (ale conntrack nespustam) tak sa tam uz conntrack objavi + niekolko dalsich modulov navyse (min. prvych 6).
Dovod neviem (je mozne, ze zavedenim niektorych pravidiel firewallu sa automaticky natiahnu aj moduly ???)
Kód: [Vybrat]
Module                  Size  Used by
nf_conntrack_ipv4      16384  6
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
xt_tcpudp              16384  8
xt_conntrack           16384  6
nf_conntrack          114688  2 nf_conntrack_ipv4,xt_conntrack
iptable_filter         16384  1
tun                    28672  2
bochs_drm              20480  1
ttm                    98304  1 bochs_drm
drm_kms_helper        155648  1 bochs_drm
pcspkr                 16384  0
joydev                 20480  0
evdev                  24576  1
ftdi_sio               53248  2
usbserial              49152  5 ftdi_sio
shpchp                 36864  0
drm                   360448  4 bochs_drm,ttm,drm_kms_helper
sg                     32768  0
serio_raw              16384  0
virtio_balloon         16384  0
button                 16384  0
ip_tables              24576  1 iptable_filter
x_tables               36864  4 ip_tables,iptable_filter,xt_tcpudp,xt_conntrack
autofs4                40960  2
ext4                  585728  3
crc16                  16384  1 ext4
jbd2                  106496  1 ext4
crc32c_generic         16384  4
fscrypto               28672  1 ext4
ecb                    16384  0
glue_helper            16384  0
lrw                    16384  0
gf128mul               16384  1 lrw
ablk_helper            16384  0
cryptd                 24576  1 ablk_helper
aes_x86_64             20480  0
mbcache                16384  4 ext4
dm_mod                118784  9
hid_generic            16384  0
usbhid                 53248  0
hid                   122880  2 hid_generic,usbhid
sd_mod                 49152  3
sr_mod                 24576  0
cdrom                  61440  1 sr_mod
ata_generic            16384  0
virtio_net             32768  0
virtio_scsi            20480  2
psmouse               135168  0
ata_piix               36864  0
ehci_pci               16384  0
uhci_hcd               45056  0
ehci_hcd               81920  1 ehci_pci
virtio_pci             24576  0
virtio_ring            24576  4 virtio_net,virtio_scsi,virtio_balloon,virtio_pci
virtio                 16384  4 virtio_net,virtio_scsi,virtio_balloon,virtio_pci
i2c_piix4              24576  0
libata                249856  2 ata_piix,ata_generic
usbcore               253952  6 usbhid,ehci_hcd,uhci_hcd,ftdi_sio,usbserial,ehci_pci
usb_common             16384  1 usbcore
scsi_mod              225280  5 sd_mod,virtio_scsi,libata,sr_mod,sg
floppy                 69632  0

747
Sítě / Re:Nastavení IPtables na serveru s Debianem
« kdy: 22. 05. 2018, 12:32:57 »
Citace: pb.  21. 05. 2018, 21:18:36
Ještě jednou:
ICMP není jen ping a musíte toho povolit více. Už jsem vzpomínal fragmentaci, abyste se nedivil, až vám vpn zkrátí mtu, a spojení vám bude chodit/nechodit. Když se vám to stane, budete hledat řešení týden nebo dva. Jako další mě napadá TTL. Nebo přesměrování na jiný router. To jsou zásadní věci nutné pro fungování sítě. Teď to máte všechno zakázané.

Zapomeňte na to, že ufw je pro lopaty a podívejte se, jak se to řeší tam. Chápu, že si chcete dělat vše ručně, ale nikdo vám nebrání opisovat.
Nieco som si o tom nasiel a odporuca sa nastavit
Kód: [Vybrat]
iptables -A INPUT -p icmp --fragment -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type fragmentation -needed -j ACCEPT
iptables -A INPUT -p ICMP -j DROP
iptables -A OUTPUT -p ICMP -j DROPKedze output mam nastavene na accept, tak predpokladam, ze outputy nepotrebujem
Kód: [Vybrat]
iptables -A INPUT -p icmp --fragment -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A INPUT -p ICMP -j DROP
Citace: Vilith  21. 05. 2018, 21:23:20
Rozebehni si ufw firewall, rozchod to pod nim, a pak si muzes pravidla ulozit a prostudovat/upravit. Pripadne ufw odinstalovat/zapomenout na neho

Treba ti aspon tohle pomuze pro inspiraci:

Kód: [Vybrat]
~# iptables-save
# Generated by iptables-save v1.6.0 on Mon May 21 21:21:02 2018
*nat
:PREROUTING ACCEPT [11893633:779635282]
:INPUT ACCEPT [1916299:74516571]
:OUTPUT ACCEPT [1403492:1042277230]
:POSTROUTING ACCEPT [6427205:1214224191]
-A POSTROUTING -s 10.99.99.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.99.99.0/24 -o vmbr0 -j MASQUERADE
COMMIT
# Completed on Mon May 21 21:21:02 2018
# Generated by iptables-save v1.6.0 on Mon May 21 21:21:02 2018
*filter
:INPUT DROP [67:4047]
:FORWARD ACCEPT [5:200]
:OUTPUT ACCEPT [0:0]
:f2b-sshd - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A f2b-sshd -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j ACCEPT
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8006 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 5666 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Mon May 21 21:21:02 2018

Kód: [Vybrat]
~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
8006/tcp                   ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
443/tcp                    ALLOW       Anywhere
5666/tcp                   ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
8006/tcp (v6)              ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
443/tcp (v6)               ALLOW       Anywhere (v6)
5666/tcp (v6)              ALLOW       Anywhere (v6)
Ja neviem ci ufw je to prave orechove. Ako som pisal na zaciatku ufw som pouzival do teraz, ale chcem sa viac orientovat na iptables
update_(rev2)

748
Sítě / Re:Nastavení IPtables na serveru s Debianem
« kdy: 21. 05. 2018, 19:47:58 »
V tom pripade nepotrebujem ani pravidlo pre cas NTP.
takze tieto pravidla mozem odmazat
Co sa tyka loadnutia pravidiel, to zatial neriesim, skusam to na LXC, takze v pripade odrezania rebootujem LXC.
Zatial je vsetko v stadiu pomaleho testovania. Az ked to bude ako tak vychytane, tak potom zacnem riesit ako spustat pravidla pri boote
update_rev(1)

749
Sítě / Re:Nastavení IPtables na serveru s Debianem
« kdy: 21. 05. 2018, 15:08:53 »
OK, takze znova trochu prerobime (mozno by to uz chcelo nejaky verzovaci system, aby v tom nebol taky bor*el :) )
Pokial dobre viem a malo by to tak byt, tak ked pouzijem pravidla
Kód: [Vybrat]
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTTak prve hovori o tom, ze akakolvek komunikacia z vnutra bude povolena a druhe pravidlo (stavove) hovori, ze vsetka komunikacia zapocata z vnutra  ocakavajuca odpoved z vonka bude prijata (contrack si o tom uchovava info a prepusta to co bolo nadviazane  a zavedene).  V contrack sa daju nastavovat nejake parametre, limity, timeouty a pod .... takze napr. ak by paket z nadviazanej komunikacie dorazil, ale z casovym oneskorenim, alebo nejaky zatulany paket, bude vyhlaseny za invalid a mal by byt zahodeny.
Kód: [Vybrat]
iptables -A INPUT -m state --state INVALID -j DROP
Citace: uf  21. 05. 2018, 09:51:18
Nahoře máš
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
jakékoliv následující definice podmnožin jsou zbytečné
(iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT #DNS udp
iptables -A INPUT -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT #DNS tcp)

A "modprobe" bych sem určitě nemíchal, ve skriptu by to prošlo, ale jestli si chceš pravidla ukládat v tom zpracovaném tvaru, tak těžko (podle mne). Tip pro tebe: /etc/modules.

Preco DNS port 53 je zbytocny ?
Aby tu nebol velky bordel, tak asi to ulozim sem

750
Sítě / Re:Nastavení IPtables na serveru s Debianem
« kdy: 20. 05. 2018, 11:13:13 »
Citace: Lol Phirae  17. 05. 2018, 23:40:56
Tady to jede furt dokola... Odchozí port 20 je vám tam zcela k hounu, a naopak bez příslušného conntrack modulu si ani neškrtnete.



Ano takze dalsi zadrhel ?
Priznam sa, ze zatial som tie pravidla netestoval  ;) len si ich pripravujem a rad by som ich skonzultoval.
Co sa tyka FTP, tak FTP server budem vyuzivat len ja. Pouzity FTP server je ProFTPd na ktorom je mozne nastavit v proftpd.conf aj
Kód: [Vybrat]
PassivePorts 51001 51002kde by som este povolil 2 dalsie vysoke porty, ale toto asi nebude idalne riesenie.
Nasiel som toto https://unix.stackexchange.com/questions/93554/iptables-to-allow-incoming-ftp
Takze chce to zaviest modul  ip_conntrack_ftp (resp  nf_conntrack_ftp) a dalsie pravidla
Kód: [Vybrat]
modprobe ip_conntrack_ftp
iptables -A INPUT  -p tcp -m tcp --dport 21 -m conntrack --ctstate ESTABLISHED,NEW -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 21"
iptables -A INPUT  -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow ftp connections on port 20"
iptables -A INPUT  -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED -j ACCEPT -m comment --comment "Allow passive inbound connections"
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Allow passive inbound connections"Alebo ako je uvedene dalej
Kód: [Vybrat]
lsmod | grep ftp
modprobe nf_conntrack_ftp
lsmod | grep ftp
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED -j ACCEPTKde by som si upravil pri inpute -s na 192.168.1.4 a -d 192.168.1.100 a pri outpute -s na 192.168.1.100 a -d 192.168.1.4 (pokial tomu spravne rozumiem (IP servera 192.168.1.100 a moja ip (klient) 192.168.1.4).
Citace: uf  18. 05. 2018, 15:15:02
Klidně bych to nechal jako spustitelný skript v /etc/network/if-pre-up.d/.

Nestačí jedno "iptables -F"?

Ohledně VPN: Neměl by být port 1194 přístupný spíš z NEvpn adres? Přece navazování se tvoří na reálných IP, teprve po navázaní se vytvoří rozhraní s 10.8.0.1. Pro povolení provozu vpn by mohla stačit (záleží na üvaze) i jen vazba na příslušné rozhraní (iptables -A INPUT -i vpn -j ACCEPT)

Ano stacilo by pouzit F bez retazcov, vtedy to vycisti vsetky + zrusil som pri prihlasovani sa na openvp 1194 -s 10.8.0.0/24
Citace: uf  18. 05. 2018, 14:59:13
Ping tam je  (NTP a DNS by sa asi tiez zisiel)
Citace: karlik  17. 05. 2018, 20:17:39
Nemělo by to být spíše takto?

iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Koukám špatně, nebo z toho stroje pak nepůjde udělat nic (nepojede ntp, dns, ping, ... cokoliv původem v tom stroji)?
ping by tam mal byt. Takze este pridam ntp, dns.

Takze teraz by skript mohol vyzerat nejak takto
Kód: [Vybrat]
#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.4 -j ACCEPT
modprobe nf_conntrack_ftp
iptables -A INPUT -s 192.168.1.4 -d 192.168.1.100 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.4 -d 192.168.1.100 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.4 -d 192.168.1.100 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.100 -d 192.168.1.4 -p tcp -m tcp --sport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.100 -d 192.168.1.4 -p tcp -m tcp --sport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s 192.168.1.100 -d 192.168.1.4 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT #povolit NTP
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT #DNS udp
iptables -A INPUT -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT #DNS tcp
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPTNuz ale ako by to fungovalo neviem  :)

Stran: 1 ... 48 49 [50] 51 52 ... 55