Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- it:server:firewall-routovani [2022/11/19 17:48] – [IP blacklist pomocí ipset] Petr Nosek
+++ it:server:firewall-routovani [2025/02/05 15:58] (aktuální) – Petr Nosek
@@ Řádek 265: / Řádek 265: @@
 </code>
+Poslední co zbývá je zajistit, aby se oba skripty spouštěli alespoň 1x týdně. K tomu vytvořím skript **/etc/cron.weekly/blacklistip-update**. Zároveň musí být skript spustitelný - spuštěním je dobré ho také otestovat. Zároveň stahování blacklistu z internetu chci spouštět jako neprivilegovaný uživatel. Zbytek musí spouštět root.
+<code bash>
+#!/bin/bash
+SCRIPT_FOLDER=/etc/scripts/ip-blacklist
+cd $SCRIPT_FOLDER
+su - neprivilegovany_user -c "$SCRIPT_FOLDER/ip-blacklist" 2>&1 >/dev/null && ./ipset-blacklist  2>&1 >/dev/null
+</code>
+===== Blokování vybrané komunikace =====
+Chtěl jsem zablokovat část komunikace, která přichází z vnitřní sítě do internetu. Trochu jsem si naběhnul, protože tam se musí pracovat s blokování forwardowané komunikace.
+Editoval jsem soubor **/etc/ufw/before.rules** a přidal tato pravidla:
+<code>
+# Blocking forwarded communication
+-A ufw-before-forward -s 192.168.1.80 -p tcp --dport 8080 -j LOG --log-prefix "[BLOCKED] "
+-A ufw-before-forward -s 192.168.1.80 -p tcp -j LOG --log-prefix "[BLOCKED] "
+-A ufw-before-forward -s 192.168.1.80 -p udp -j LOG --log-prefix "[BLOCKED] "
+-A ufw-before-forward -s 192.168.1.80 -p tcp --dport 8080 -j DROP
+-A ufw-before-forward -s 192.168.1.80 -p tcp -j DROP
+-A ufw-before-forward -s 192.168.1.80 -p udp -j DROP
+</code>
+Nejprve jsem zkoušel blokovat konkrétní port a nakonec jsem zablokoval všechno. Samozřejmě je možné si vybrat - nemusí se to kombinovat.
+Pokud je nějaké spojení již navázané, tak reload firewallu nemusí hned pomoct. Proto jsem ukončil navázaná připojení na dané IP adrese:
+<code bash>
+conntrack -D -s 192.168.1.80
+</code>