Ubuntu Server- ograniczenie dostępu z zewnątrz
-
- Piegowaty Guziec
- Posty: 8
- Rejestracja: 20 lut 2012, 20:00
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: Brak
- Architektura: x86
Ubuntu Server- ograniczenie dostępu z zewnątrz
Witam.
Mam postawiony serwer www/ftp do użytku prywatnego na Ubuntu server 10.04.
Postawiony jest na publicznym IP. Potrzebowałbym ograniczyć dostęp do niego jedynie do trzech konkretnych sieci.
W związku z tym mam dwa pytanka:
- w jaki sposób najlepiej ograniczyć dostęp? iptables? Jeśli tak to jak to powinno wyglądać?
- jak wyłuskać pule odwzorowujące sieć (nie jestem ich administratorem) tak żeby nikt w sieci nie miał problemu żeby się zalogować oraz żeby nikt z poza tych sieci się nie dobił?
Chodzi o całkowite ograniczenie lub dopuszczenie do wszystkich usług.
Mam postawiony serwer www/ftp do użytku prywatnego na Ubuntu server 10.04.
Postawiony jest na publicznym IP. Potrzebowałbym ograniczyć dostęp do niego jedynie do trzech konkretnych sieci.
W związku z tym mam dwa pytanka:
- w jaki sposób najlepiej ograniczyć dostęp? iptables? Jeśli tak to jak to powinno wyglądać?
- jak wyłuskać pule odwzorowujące sieć (nie jestem ich administratorem) tak żeby nikt w sieci nie miał problemu żeby się zalogować oraz żeby nikt z poza tych sieci się nie dobił?
Chodzi o całkowite ograniczenie lub dopuszczenie do wszystkich usług.
- soulreaver1
- Wytworny Kaczor
- Posty: 409
- Rejestracja: 13 mar 2009, 10:03
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Inne
- Architektura: x86_64
- Lokalizacja: 127.0.0.1
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
http://wiki.centos.org/HowTos/Network/IPTables punkt 5.
Dla sieci 192.168.0.0 z maską 255.255.255.0 będzie tak:
Dla sieci 192.168.0.0 z maską 255.255.255.0 będzie tak:
Kod: Zaznacz cały
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT # using standard slash notation
iptables -A INPUT -j REJECT # Reject all
-
- Piegowaty Guziec
- Posty: 8
- Rejestracja: 20 lut 2012, 20:00
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: Brak
- Architektura: x86
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
A jeśli mam sieć wewnętrzną, gdzie komputery prezentują się z adresem 192.168.0.1 a na zewnątrz jest adres publiczny to skąd mam wziąć maskę tego adresu?
- soulreaver1
- Wytworny Kaczor
- Posty: 409
- Rejestracja: 13 mar 2009, 10:03
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Inne
- Architektura: x86_64
- Lokalizacja: 127.0.0.1
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
Nie jest ci potrzebna maska zewnętrznej sieci. Najpierw tworzysz reguły wpuszczające pakiety z sieci 192.168.0.1 i ewentualnie z innych, a na końcu zawsze odrzucasz wszelkie inne pakiety ze wszystkich sieci.
edit: maski sieci na poszczególnych interfejsach znajdziesz za pomocą polecenia:
edit: maski sieci na poszczególnych interfejsach znajdziesz za pomocą polecenia:
Kod: Zaznacz cały
ifconfig
-
- Piegowaty Guziec
- Posty: 8
- Rejestracja: 20 lut 2012, 20:00
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: Brak
- Architektura: x86
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
Nie no, chyba jest potrzebna, bo serwer stoi poza siecią, więc do niego nie będę się dobijał jako 192.168.0.1 tylko właśnie z tym zewnętrznym adresem.soulreaver1 pisze:Nie jest ci potrzebna maska zewnętrznej sieci. Najpierw tworzysz reguły wpuszczające pakiety z sieci 192.168.0.1 i ewentualnie z innych, a na końcu zawsze odrzucasz wszelkie inne pakiety ze wszystkich sieci.
A w ifconfig nie mam maski dla tej sieci - to zwykła osiedlówka, więc nawet sprawdzać IP muszę przez strony ala whatismyip.
- soulreaver1
- Wytworny Kaczor
- Posty: 409
- Rejestracja: 13 mar 2009, 10:03
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Inne
- Architektura: x86_64
- Lokalizacja: 127.0.0.1
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
Jeśli nie masz dostępu do tej danej sieci (a jeśli nie masz tej sieci w ipconfig to znaczy że nie masz) to nie możesz nic z nią zrobić tzn. musisz mieć daną sieć na interfejsie w twoim serwerze. Z tego co piszesz to twój serwer jest już za jakimś NAT-em (APC? ruter?) więc nie możesz filtrować zewnętrznych adresów, ponieważ twój serwer nie ma do nich dostępu.djent pisze: A w ifconfig nie mam maski dla tej sieci - to zwykła osiedlówka, więc nawet sprawdzać IP muszę przez strony ala whatismyip.
-
- Piegowaty Guziec
- Posty: 8
- Rejestracja: 20 lut 2012, 20:00
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: Brak
- Architektura: x86
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
To nie chodzi o to, że serwer nie ma dostępu tylko o to, że te hosty mają mieć dostęp do serwera.
Jak wspomniałem - publiczne IP.
W tej sytuacji chyba nie muszę mieć danej sieci na interfejsie żeby ją przepuścić / odrzucić?
Jak wspomniałem - publiczne IP.
W tej sytuacji chyba nie muszę mieć danej sieci na interfejsie żeby ją przepuścić / odrzucić?
- soulreaver1
- Wytworny Kaczor
- Posty: 409
- Rejestracja: 13 mar 2009, 10:03
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Inne
- Architektura: x86_64
- Lokalizacja: 127.0.0.1
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
Z kąd w takim razie linux ma wiedzieć z kąd pochodzą pakiety? Jeśli jest za NAT-em to pakiety z internetu są dla niego takie same jak te lokalne.djent pisze:To nie chodzi o to, że serwer nie ma dostępu tylko o to, że te hosty mają mieć dostęp do serwera.
Jak wspomniałem - publiczne IP.
W tej sytuacji chyba nie muszę mieć danej sieci na interfejsie żeby ją przepuścić / odrzucić?
-
- Piegowaty Guziec
- Posty: 8
- Rejestracja: 20 lut 2012, 20:00
- Płeć: Mężczyzna
- Wersja Ubuntu: 11.04
- Środowisko graficzne: Brak
- Architektura: x86
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
Ale przychodzą z konkretnej sieci, więc żeby na nie zezwolić muszę mieć tą pulę.
- Linuxoholic
- Wytworny Kaczor
- Posty: 258
- Rejestracja: 17 mar 2012, 12:47
- Płeć: Mężczyzna
- Wersja Ubuntu: 12.10
- Środowisko graficzne: Inne
- Architektura: x86_64
- Lokalizacja: Rybnik
Re: Ubuntu Server- ograniczenie dostępu z zewnątrz
Skorzystaj z polecenia:
Wyświetli Ci informacje o sieci i pule adresów IP.
Kod: Zaznacz cały
whois IP_Zdalnej_Sieci
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość