FirewallD na CentOS s managementem web interface

FirewallD na CentOS s managementem web interface
« kdy: 01. 04. 2019, 10:03:13 »
Ahoj všem,

neznáte prosím někdo firewalld management s web interface, kam by se dalo přihlásit a naklikat si pravidla pro FW?

Doplňující dotazy:
  • Jak se bránit DDoS útokům na webový server? HW firewall je moc drahý. Když začne útok, tak prostě IP přidáme do firewallu.
  • Jak byste to řešili vy?

Děkuji za tipy.


Re:FirewallD na CentOS s managementem web interface
« Odpověď #1 kdy: 01. 04. 2019, 10:19:49 »

ad 2) DDoS útoky mají pravidla takový záběr, že ti ucpou linku k serveru, takže obrana na samotném serveru je k ničemu, musíš filtrovat provoz co nejblíže zdroji. Použil bych k tomu určenou službu, cloudflare např., ale je jich spousta.

Re:FirewallD na CentOS s managementem web interface
« Odpověď #2 kdy: 01. 04. 2019, 10:31:17 »
Pri DDoS utoku je vacsinou vela zdrojov

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:FirewallD na CentOS s managementem web interface
« Odpověď #3 kdy: 01. 04. 2019, 11:04:27 »
Hostovat server tam, kde maji DDoS v cene sluzby server hostingu.

Nemyslim tim parodii u Wedosu

Re:FirewallD na CentOS s managementem web interface
« Odpověď #4 kdy: 01. 04. 2019, 16:55:46 »
Firewalld zahod. Iptables jedine.

1. DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole. Synproxy, filtrovanie zlych flagov, rate limiting.. To je zaklad. A potom este kernel tuning - nastavit prisnejsie timeouty na spojenia, zvacsie cache pre spojenia atd.. Da sa s tym vyhrat.


Vilith

  • *****
  • 660
    • Zobrazit profil
Re:FirewallD na CentOS s managementem web interface
« Odpověď #5 kdy: 01. 04. 2019, 17:07:59 »
Firewalld zahod. Iptables jedine.

1. DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole. Synproxy, filtrovanie zlych flagov, rate limiting.. To je zaklad. A potom este kernel tuning - nastavit prisnejsie timeouty na spojenia, zvacsie cache pre spojenia atd.. Da sa s tym vyhrat.

Pokud ti DDoS ucpe linku, tak mas proste smulu. S tim nic na serveru neudelas

Re:FirewallD na CentOS s managementem web interface
« Odpověď #6 kdy: 01. 04. 2019, 17:42:42 »
Firewalld zahod. Iptables jedine.

1. DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole. Synproxy, filtrovanie zlych flagov, rate limiting.. To je zaklad. A potom este kernel tuning - nastavit prisnejsie timeouty na spojenia, zvacsie cache pre spojenia atd.. Da sa s tym vyhrat.

Pokud ti DDoS ucpe linku, tak mas proste smulu. S tim nic na serveru neudelas

Ano preto som napisal "DDoSom sa da branit ale vsetko je to len o tom ako velmi ta chcu dat dole".

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:FirewallD na CentOS s managementem web interface
« Odpověď #7 kdy: 01. 04. 2019, 18:16:23 »
Tak nam, prosim, napis jak se branit "ucpani linky" nastavenim serveru - rad bych se dozvedel neco o novych technologiich a moznostech

Dekuji

Re:FirewallD na CentOS s managementem web interface
« Odpověď #8 kdy: 02. 04. 2019, 06:48:21 »
 :o Mozno nerozumies dokonale slovencine, ale napisal som "DDSom sa da branit, ale vsetko je to len o tom ako velmi ta chcu dat dole" = ano neda sa branit tomu ak ti ucpu linku.  Este inak = ak velmi niekto chce dat dole tvoj server tak posle taky obrovsky datovy tok, ze ucpe linku. Pisem to iste co ty len inak..

Re:FirewallD na CentOS s managementem web interface
« Odpověď #9 kdy: 02. 04. 2019, 07:55:24 »
Zahlcení linky řeším tak, že se přihlásím ze serveru, který je poblíž a udělám totéž. Tedy začnu odmítat traffic. A proto hledám web interface, abych se nemusel přihlašovat přes druhý server. Tedy ideálně aby ten ovládací panel firewalld uměl pracovat s více servery, ale není podmínkou, to už si případně dodělám.

kate

Re:FirewallD na CentOS s managementem web interface
« Odpověď #10 kdy: 02. 04. 2019, 09:35:58 »
No, v budoucnu by tuhle roli měl (hlavně pro RedHat a odvozené) zastávat cockpit, včetně správy víc serverů, ale obávám se že ovládání firewalld je v něm ještě v plenkách :(
https://github.com/cockpit-project/cockpit/wiki/Feature:-Firewall

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:FirewallD na CentOS s managementem web interface
« Odpověď #11 kdy: 02. 04. 2019, 09:38:29 »
Zvlastni, hodne stesti s prihlaseni "od vedle", kdyz je zahlcena komunikace/linka na server

kate

Re:FirewallD na CentOS s managementem web interface
« Odpověď #12 kdy: 02. 04. 2019, 09:51:53 »
Zvlastni, hodne stesti s prihlaseni "od vedle", kdyz je zahlcena komunikace/linka na server
To mě taky udivilo… Ale třeba chce mít někde v serverovně management server s webovým rozhraním, které bude připojené k těm serverům v oddělené síti? Zrovna to cockpit umí hezky, ale vzhledem k jeho omezení bych to spíš řešila ansible / saltem / chef / whatever.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:FirewallD na CentOS s managementem web interface
« Odpověď #13 kdy: 02. 04. 2019, 09:54:53 »
Radeji snad modem na seriovy/USB port - co kdyz mu ucpou konektivitu doserverovny  8)

kate

Re:FirewallD na CentOS s managementem web interface
« Odpověď #14 kdy: 02. 04. 2019, 09:56:10 »
Radeji snad modem na seriovy/USB port - co kdyz mu ucpou konektivitu doserverovny  8)
v tu chvíli spíš ddoserverovny :) Separátní konektivitu jsem měla na mysli, bez té by to bylo polovičaté řešení.