Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 
31-10-04 01:16
Ispravke članka "Podesite firewall na svom poslužitelju"

piše SAŠA DRNJEVIĆ

Ako ste postavili minimalnu zaštitu svojeg poslužitelja pomoću Netfilter/Iptables-a filtriranjem IP paketa kako je opisano u članku Podesite firewall na svom poslužitelju od 20-09-2004, morate u skriptu navedenu u spomenutom tekstu unjeti promjene i nadopune filtriranja NTP prometa. Zbog nedavnih tehničkih promjena unutar CARNetovog sustava poslužitelja točnog vremena (NTP usluga), potrebno je učiniti sljedeće u dijelu skripte koji započinje linijom "# -----Dozvole za NTP samo CARNetovim NTP serverima i lokalnoj mrezi ustanove i zabrana svima ostalima":

1) promijeniti zastarjelu IP adresu 161.53.123.4 u adresu 161.53.160.4

(to je nova IP adresa NTP poslužitelja zg2.ntp.CARNet.hr)

2) dozvoliti NTP promet za dva dodatna CARNet NTP poslužitelja

(st.ntp.CARNet.hr 161.53.30.3 -- os.ntp.CARNet.hr 161.53.30.80)

3) nakon upisanih promjena NTP odjeljak firewall skripte mora izgledati ovako:

# -----Dozvole za NTP samo CARNetovim NTP serverima i lokalnoj mrezi ustanove i zabrana svima ostalima
iptables -A INPUT -i $ETH -p udp -s 161.53.2.108/32 -d $IP --destination-port 123 -j ACCEPT
iptables -A INPUT -i $ETH -p udp -s 161.53.40.3/32 -d $IP --destination-port 123 -j ACCEPT
iptables -A INPUT -i $ETH -p udp -s 161.53.160.4/32 -d $IP --destination-port 123 -j ACCEPT
iptables -A INPUT -i $ETH -p udp -s 161.53.30.3/32 -d $IP --destination-port 123 -j ACCEPT
iptables -A INPUT -i $ETH -p udp -s 161.53.30.80/32 -d $IP --destination-port 123 -j ACCEPT
iptables -A INPUT -i $ETH -p udp -s 192.168.100.0/24 -d $IP --destination-port 123 -j ACCEPT
iptables -A INPUT -i $ETH -p udp -s 0/0 -d $IP --destination-port 123 -j DROP

 

4) napomena - mrežu 192.168.100.0/24 koja je ovdje navedena kao primjer, svakako zamijenite svojom lokalnom mrežom, kako biste PC-ima iz svojeg LAN-a dozvolili da koriste NTP uslugu

5) nakon unesenih promjena pokrenite skriptu i ne zaboravite spremiti nova pravila u datoteku /var/lib/iptables/active kako bi se pravila učitala pri pokretanju poslužitelja

# /etc/init.d/iptables save active

I to je sve! Sada dozvoljavate NTP promet za svih pet CARNEtovih korisnicima dostupnih poslužitelja točnog vremena. Korisne informacije o CARNetovom sustavu poslužitelja točnog vremena (NTP usluga) možete pročitati na http://ntp.carnet.hr


[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to sys-portal@CARNet.hr