„Ubuntu bástyagép tűzfal (Fossa)” változatai közötti eltérés
aNincs szerkesztési összefoglaló |
|||
| 7. sor: | 7. sor: | ||
Elsősorban az ''ifconfig'' használatához szokott rendszergazdáknak célszerű a ''net-tools'' csomag telepítése: | Elsősorban az ''ifconfig'' használatához szokott rendszergazdáknak célszerű a ''net-tools'' csomag telepítése: | ||
<pre>apt install net-tools</pre> | <pre>apt install net-tools</pre> | ||
==Az IPv6 tiltása== | |||
Tisztán IPv4 környezetben ''opcionálisan'' érdemes teljesen letiltani az IPv6 forgalmat: | |||
<pre>sysctl -w net.ipv6.conf.all.disable_ipv6=1 # Meglévő valódi interface-ek | |||
sysctl -w net.ipv6.conf.default.disable_ipv6=1 # A jövőben létrehozandó interface-ek | |||
sysctl -w net.ipv6.conf.lo.disable_ipv6=1 # A loopback interface-ek</pre> | |||
Ellenőrzés: az ''ifconfig'' vagy ''ip a'' kimenete nem mutat IPv6 címeket. | |||
==UFW alapbeállítások== | ==UFW alapbeállítások== | ||
Alapértelmezésben az ''ufw'' inaktív, és az ''iptables'' nem tartalmaz szabályokat: | Alapértelmezésben az ''ufw'' inaktív, és az ''iptables'' nem tartalmaz szabályokat: | ||
<pre>ufw status # inactive | <pre>ufw status # inactive | ||
iptables -n -L # mindhárom chain üres</pre> | iptables -n -L # mindhárom chain üres</pre> | ||
A lap 2020. május 2., 18:42-kori változata
A Hálózati házirend szerint valamennyi szervert bastion host-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatban ez a Linux kernel netfilter (iptables) konfigurálását jelenti, amelyet ebben a leírásban az Ubuntu terjesztésben alapértelmezetten telepített UFW (Uncomplicated Firewall) parancssori frontend segítségével valósítunk meg.
- Ez a leírás a majdani publikus eléréshez szükséges, alapvető csomagszűrést valósít meg, egy darab hálózati interface-szel rendelkező szervergépen.
- Ez a leírás csak IPv4-re vonatkozik - IPv6 TODO!
A beállításokat rendszergazda konzolon (sudo -i) célszerű elvégezni.
Hálózati segédeszközök
Elsősorban az ifconfig használatához szokott rendszergazdáknak célszerű a net-tools csomag telepítése:
apt install net-tools
Az IPv6 tiltása
Tisztán IPv4 környezetben opcionálisan érdemes teljesen letiltani az IPv6 forgalmat:
sysctl -w net.ipv6.conf.all.disable_ipv6=1 # Meglévő valódi interface-ek sysctl -w net.ipv6.conf.default.disable_ipv6=1 # A jövőben létrehozandó interface-ek sysctl -w net.ipv6.conf.lo.disable_ipv6=1 # A loopback interface-ek
Ellenőrzés: az ifconfig vagy ip a kimenete nem mutat IPv6 címeket.
UFW alapbeállítások
Alapértelmezésben az ufw inaktív, és az iptables nem tartalmaz szabályokat:
ufw status # inactive iptables -n -L # mindhárom chain üres