IPTables - uložení změny nastavení
Kde se nachází soubor s konfigurací IPTables, abych ho mohl přepsat nový nastavením?
Pokud to takhle nejde, tak kam na serveru, kde je Ubuntu 8.10 uložit iptables, aby se po startu načetlo nové nastavení?
Iptables se v ubuntu neukladaji, pokud si pro to sam nenapises skript. Co te vede mit na serveru v internetu ( soudim podle nutnosti iptables ) mit ubuntu? Precijen ubuntu vychazi z unstable debianu a timpadem muze obsahovat vice neodhalenych chyb nez by mohlo byt zdravo. Ja mam ubuntu jen na serveru, kde potrebuju nejnovejsi software a ten mam poctive schovany vevnitr v siti za firewallem.
Ubuntu mám doma na testovacím serveru. Jinak na dalších dvou důležitějších je Debian. Možná už nějaký skript na serveru vytvořený je, protože po změně IP adresy serveru se změnilo pravidlo u INPUT na DROP. Takže takhle jinak musím po každém restartu povolovat INPUT. Nedá se to zjistit, jestli to už není někde uložené?
Nechces na tom serveru IP tables uplne vypnout? pokud tedy neni primo na verejne adrese? Hledej v adresari /etc soubor, ktery obsahuje retezec "INPUT"
Žádný soubor, který by to mohl být jsem nenašel. A je lepší IP tables vypnout nebo je mít všechny nastaveny na ACCEPT? A když bych je vypnul nebude to mít vliv na to, že je v IP tables nastaveno i přesměrování jednotl. adres počítačů?
Ten pocitac je router? No, myslim tim ten konfiguracni soubor smazat, iptables timpadem budou nastaveny na ACCEPT
Do serveru jde internet. Ze serveru jde internet do switche, kde jsou připojeny počítače. Takže server funguje trochu jako router.
No to neni trochu
to je router. Par postrehu z bezpecnosti:
Na routru, by mel bezet opravdu jen router, maximalne VPN koncentrator, pripadne jine sitove orientovane sluzby, jako DHCP, DNS pro klienty vnitrni site. Rozhodne by na nem nemala byt zadna data, natoz data citliva. Ani posta, ani fileserver nic. Je to z duvodu ze router je prvni na rane a kdyz by se do nej nekdo diky nejake bezpecnostni chybe, at uz zavinene ( chyba konfigurace, slabe heslo apod ) ci nezavinene ( bug v systemu, v pouzitych softwarech ), tak by pripadny utocnik mel okamzite pristup ke vsemu. V pripade ze data jsou jinde, tak samozrejme si musi dat praci dobyvat se jeste nekam jinam. Na router, bych si ovsem za zadnych okolnosti nedal ubuntu server, prave z duvodu jake jsem uvedl o par prispevku vyse. Predpokladam, ze onen server nekdo pred vami konfiguroval, protoze si nejsem vedom toho, ze by ubuntu ( i ubuntu server ) mely jakykoli vlastni soubor s konfiguraci IPtables.
Takže asi nejlépe nastavit INPUT na DROP a povolit si tam jen svojí IP adresu.
nechceš si napřed něco přečíst o tom jak fungují stavové firewally? Z tvých vět přímo čiší, že ani netušíš, co činíš...
Pracovat na linuxovém serveru se učím půl roku. Takže ještě všechno neznám, ale už jsem se naučil s apache a sambou.
jako jo, ale nechceš to raději testovat tam, kde nic nehrozí? Tj server strčit za NAT, aby se ti tam, až se budeš učit, nikdo nenaboural?
Ano, jeden na testovani mam doma za routerem. pak mame jeste dva servery. ty ale uz maji v pravidlech ACCEPT a nejsou za routerem. Takze by nebyl až takový problem se tam dostat. Kdyby bylo jenom na mě tak INPUT nastavim na DROP. Ale protoze to pouzivaji i jiní lidé a neznáme jejich IP adresy, takže je to nemožné zablokovat.
Jedine spravne reseni je mit plnohodnotny router, na kterem se budou nastavovat vsechna sitova pravidla a pak aplikacni server schovane za nim v oddelene serverove podsiti. Takhle to mam udelane i u sebe doma.
Ona sitarina <> linux