354

Серия Основы GNU/Linux и подготовка к RHCSA

Изучаем GNU/Linux часть 46. Межсетевой экран - firewalld⁠⁠

Продолжаем изучать GNU/Linux и готовиться к сертификации от Red Hat (RHCSA).

Для тех, кто видит мои посты впервые - я стараюсь очень лёгким языком с нуля научить вас работать с операционной системой GNU/Linux. Зачем? Потому что - Стоит ли делать курс по RHCSA?

Предыдущие темы:

Изучаем GNU/Linux часть 45. Принудительный контроль доступа - SElinux
Изучаем GNU/Linux часть 44. Удалённый доступ - SSH

Изучаем GNU/Linux часть 43. Работа с сетью

Глава 3: pikabu.ru/@doatta/saved/1495320

Глава 2: pikabu.ru/@doatta/saved/1399947

Глава 1: pikabu.ru/@doatta/saved/1399945

Научимся работать с файрволом - порты, сервисы, протоколы, реджекты, дропы, работа с зонами, немного NAT-a, rich rule-ы, а также разберёмся с утилитами ss и nc.

P.S. Текстовые варианты и вопросы доступны по ссылке - https://gitlab.com/doatta/gnu-linux-rhcsa

GNU/Linux

1.2K пост15.6K подписчика

Добавить пост

Правила сообщества

Все дистрибутивы хороши.

Будьте людьми.

Вы смотрите срез комментариев. Показать все

DivoPes

4 года назад

Я про железные файеры.

Есть средства централизованого изменений правил для *nix? Чтобы можно было единомоментно внести изменение на большом количестве машин?

раскрыть ветку (19)

doatta

4 года назад

Ну, железный файр защищает только на L3 уровне, если только не гонять L2 трафик через него, но это не всегда хорошее решение. Всё таки даже на L2 нужно защищать сервера друг от друга.
Да, куча всего - ansible, chef, puppet, ну и всё такое

раскрыть ветку (18)

DivoPes

4 года назад

Не совсем понял. Что значит файер защищает только L3?

Файер будет защищать все, что на него заходит. Можно хоть каждый сервак пихать в /30 сетки и затаскивать на файер.

Если честно, я не видел в проде использование встроенных в ОС файеров.

Это абсолютно не гибкое решение. Оно имеет право на жизнь в каком-нибудь сохо.

Не претендую на истину, если что. Это сугубо ИМХО.

раскрыть ветку (17)

lexor64

4 года назад

L2 - это коммутация. В коммутаторах хоть раз видели фаерволл? Там только разного рода защита с использованием mac-адресов.
По поводу встроенных фаерволлов: в винде мало использовал, сложно сказать. А в линуксе фаерволл гибкий достаточно. По крайней мере я привык к iptables, а firewalld сразу отключаю

раскрыть ветку (11)

DivoPes

4 года назад

Файер в коммутаторах? Конечно видел. И даже настраивал.

раскрыть ветку (10)

lexor64

4 года назад

Ну в плане защиты видел 802.1x, port-security. Это что первое в голову пришло. Оно относится к этому? Или что-то другое? И коммутатор L2 или L3?

раскрыть ветку (9)

DivoPes

4 года назад

doatta

4 года назад

файр не может быть в чистом коммутаторе, что он будет блокировать, mac адреса? ну это уже не файр.
fw начинается минимум с l3, чтобы блокировать хотя бы на уровне айпи, а то и l4. А l3 - это уже маршрутизатор
Ну или l3 свитчи с acl-ами

раскрыть ветку (7)

DivoPes

4 года назад

Что такое чистый коммутатор?

раскрыть ветку (5)

doatta

4 года назад

свитч без l3 функционала

раскрыть ветку (4)

DivoPes

4 года назад

Коммутаторы есть как L2, так и L3. Зачем привязываться только к L2?

раскрыть ветку (3)

doatta

4 года назад

Я не привязываю свитч только к L3, но роутинг на свитчах - это дополнительный функционал. А когда говорят firewall на свитчах.. То тут уже нет функционала свитча - только L3+.

Скажем, есть Mellanox свитчи с Cumulus linux, на котором можно поднять докер, вебсервер, да и почти любой линуксовый софт. Но насколько правильно говорить "я поднял на свитче докер с вебсервером"? Да, это возможно, но к свитчингу отношения не имеет.

раскрыть ветку (2)

lexor64

4 года назад

А речь то изначально про L2)

doatta

4 года назад

Ну, я не видел, чтобы кто-то каждый сервак выводил в /30. В большинстве компаний есть разделение по вланам даже внутри прода, но, опять же, множество машин находится в одной L2 сети. А это значит, что трафик между этими машинами не проходит через файрвол. Он видит только то, что проходит через GW. Это я и имел ввиду, когда говорил "защищает только L3".

Не соглашусь с вами. Тот же "Петя" и "ваннакрай" должны были научить админов, что компы нужно защищать друг от друга, иначе одно солнечное утро испортит ближайший месяц, если не больше.

раскрыть ветку (4)

lexor64

4 года назад

Именно для этого сервера и помещают в разные сети /30, чтоб друг от друга ограждать. Иначе между ними траффик не получится регулировать на L2.

раскрыть ветку (3)

doatta

4 года назад

С циско свитчами не работал, но в фортинете есть понятие "Access VLANs " . И это не те акссесс вланы, о которых все думают. Вкратце

Access VLANs are VLANs that aggregate client traffic solely to the FortiGate unit. This prevents direct client-to-client traffic visibility at the layer-2 VLAN layer. Clients can only communicate with the FortiGate unit. After the client traffic reaches the FortiGate, the FortiGate unit can then determine whether to allow various levels of access to the client by shifting the client's network VLAN as appropriate.

Т.е. в таких вланах свитчи посылают L2 трафик на файрвол, без всякой маршрутизации. А файрвол уже по правилам может пускать или запрещать. Интересная штука, кажется у циско это называется private vlan, но могу ошибаться

раскрыть ветку (2)

lexor64

4 года назад

В Cisco Access VLAN - режим, в котором трафик на интерфейс направляется нетегированный. Да и траффик пересылается согласно таблице mac-адресов. То, что вы процитировали, впервые слышу, даже в курсах CCNA не помню такого.
По описанию очень похоже на технологию 802.1x

Я не успоряю, что такого нет) Теперь самому стало интересно

раскрыть ветку (1)

doatta

4 года назад

Да, в привычном понимании аксес влан - нетегированный. Неудачный термин выбрали форти

802.1x всё таки про другое

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку