it:server:firewall-routovani

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
it:server:firewall-routovani [2022/11/19 18:02] – [IP blacklist pomocí ipset] Petr Nosekit:server:firewall-routovani [2025/02/05 15:58] (aktuální) Petr Nosek
Řádek 266: Řádek 266:
 </code> </code>
  
-Poslední co zbývá je zajistit, aby se oba skripty spouštěli alespoň 1x týdně. K tomu vytvořím skript **/etc/cron.weekly/blacklistip-update**. Zároveň musí být skript spustitelný - spuštěním je dobré ho také otestovat.+Poslední co zbývá je zajistit, aby se oba skripty spouštěli alespoň 1x týdně. K tomu vytvořím skript **/etc/cron.weekly/blacklistip-update**. Zároveň musí být skript spustitelný - spuštěním je dobré ho také otestovat. Zároveň stahování blacklistu z internetu chci spouštět jako neprivilegovaný uživatel. Zbytek musí spouštět root.
  
 <code bash> <code bash>
Řádek 275: Řádek 275:
 cd $SCRIPT_FOLDER cd $SCRIPT_FOLDER
  
-su - nosek -c "$SCRIPT_FOLDER/ip-blacklist" 2>&1 >/dev/null && ./ipset-blacklist  2>&1 >/dev/null+su - neprivilegovany_user -c "$SCRIPT_FOLDER/ip-blacklist" 2>&1 >/dev/null && ./ipset-blacklist  2>&1 >/dev/null
  
 </code> </code>
 +
 +
 +===== Blokování vybrané komunikace =====
 +
 +Chtěl jsem zablokovat část komunikace, která přichází z vnitřní sítě do internetu. Trochu jsem si naběhnul, protože tam se musí pracovat s blokování forwardowané komunikace. 
 +
 +Editoval jsem soubor **/etc/ufw/before.rules** a přidal tato pravidla:
 +
 +<code>
 +# Blocking forwarded communication
 +-A ufw-before-forward -s 192.168.1.80 -p tcp --dport 8080 -j LOG --log-prefix "[BLOCKED] "
 +-A ufw-before-forward -s 192.168.1.80 -p tcp -j LOG --log-prefix "[BLOCKED] "
 +-A ufw-before-forward -s 192.168.1.80 -p udp -j LOG --log-prefix "[BLOCKED] "
 +-A ufw-before-forward -s 192.168.1.80 -p tcp --dport 8080 -j DROP
 +-A ufw-before-forward -s 192.168.1.80 -p tcp -j DROP
 +-A ufw-before-forward -s 192.168.1.80 -p udp -j DROP
 +</code>
 +
 +Nejprve jsem zkoušel blokovat konkrétní port a nakonec jsem zablokoval všechno. Samozřejmě je možné si vybrat - nemusí se to kombinovat.
 +
 +Pokud je nějaké spojení již navázané, tak reload firewallu nemusí hned pomoct. Proto jsem ukončil navázaná připojení na dané IP adrese:
 +
 +<code bash>
 +conntrack -D -s 192.168.1.80
 +</code>
 +
  • it/server/firewall-routovani.1668880931.txt.gz
  • Poslední úprava: 2022/11/19 18:02
  • autor: Petr Nosek