| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
| navody:prirucka:sit [2008/04/16 21:40] – macky | navody:prirucka:sit [2022/11/14 12:26] (aktuální) – upraveno mimo DokuWiki 127.0.0.1 |
|---|
| [[obsah|Hlavní stránka]] | [[obsah|Hlavní stránka]] |
| |
| | ===== Fedora v počítačové síti ===== |
| | {{:navody:48x48:places:network.png?48 }} |
| |
| ===== Síť ===== | |
| {{:navody:48x48:places:gtk-network.png }} Následující kapitola se zabývá zprovozněním některých základních aplikací pro práci na Internetu a v síti obecně. Této problematiky se také dotýkají kapitoly //Nekomerční aplikace// (konkrétně podkapitola [[navody:f8nekomercni_aplikace_internet|Internet]]) a [[navody:f8sdileni_adresaru#Sdílení adresářů pomocí serveru Samba]]. | |
| |
| |
| |
| ==== Nastavení komunikátoru Pidgin ==== | |
| * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. | * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. |
| * Přečtěte si kapitolu [[instalace_aplikaci#Přidání repozitářů]]. | |
| |
| {{ navody:f8pidgin.png | Pidgin}} | ==== Správa síťových připojení ==== |
| |
| //Pidgin//((//Pidgin// se dříve jmenoval //Gaim//, však kvůli sporům s firmou //AOL//, která si nárokovala jméno //Gaim//, došlo k přejmenování aplikace na //Pidgin//.)) je //instant messaging// klient, tj. program pro komunikaci mezi uživateli v reálném čase. Tato aplikace podporuje velké množství komunikačních protokolů jako jsou např. //ICQ//, //MSN//, //IRC// nebo //Jabber//. //Pidgin// může současně obsluhovat několik různých účtů. Následující kapitola se bude zabývat zprovozněním existujícího účtu pro //ICQ//, //Jabber// a //Google Talk//.\\ | Nástrojem, který ve Fedoře spravuje sítě, je **NetworkManager**. |
| |
| //Pidgin// lze spustit přes nabídku //Aplikace -> Internet -> Internet Messanger//. V případě, že nemáte tuto aplikaci nainstalovanou, lze ji doinstalovat pomocí | //NetworkManager// je dynamický správce síťových připojení, který se snaží připojovat k sítím podle toho, jak jsou zrovna dostupné. Podporuje následující typy sítí: drátové, bezdrátové, mobilní (např. 3G), DSL a PPPoE (Point-to-Point over Ethernet). //NetworkManager// běží na pozadí jako démon, který můžete ovládat přes rozhraní příkazové řádky nebo přes jeden z několika grafických nástrojů. Grafické nástroje pro nastavení sítí ve všech desktopových prostředích Fedory využívají právě //NetworkManager//. |
| |
| yum -y install pidgin | :!: **Poznámka:** Nástroj //Network// (system-config-network), který sloužil ke statickému nastavení sítí, byl označen za zastaralý a již se neudržuje, byť se ještě v repozitářích Fedory nachází. Dnes je pro nastavení síťových rozhraní všeho druhu doporučován //NetworkManager//. |
| |
| **Poznámka:** Abyste mohli používat aplikaci //Pidgin//, je zapotřebí povolit komunikaci přes port 5190 (//ICQ//) a 5222 (//Jabber//). Pro otevření těchto portů si přečtěte kapitolu [[sit#Otevření / uzavření portů]]. | |
| |
| === Jabber === | ==== Nastavení připojení k počítačové síti ==== |
| |
| [[http://www.jabber.cz | Jabber]] je svobodná alternativa k //ICQ//, kterou lze kromě //Linux//u provozovat také na počítačích s //OS Windows// a //Mac OS//.\\ | V prostředí GNOME naleznete nastavení sítě pod ikonou sítě v pravé části horního panelu. V nabídce pod touto ikonou můžete vidět stav jednotlivých síťových rozhraní, zapínat je, nebo vypínat, a dostupné bezdrátové sítě. |
| |
| V aplikaci //Pidgin// klikněte na //Účty -> Přidat/upravit// a pokračujte tlačítkem //+Přidat//. V následujícím okně vyberte komunikační protokol //XMPP//. Do kolonky //Jméno uživatele// vyplňte Vámi zvolené jméno, //Doména// změňte na //jabber.cz// a do kolonky //Místní alias// vyplňte zvolené jméno / přezdívku (může být shodné s kolonkou //Jméno uživatele//). Dále vyplňte políčko //Heslo// a zaškrtněnte //Zapamatovat heslo//. Jestliže chcete vytvořit nový účet zaškrněte((Pokud chcete do aplikace //Pidgin// přidat již existující účet, ponechte toto políčko nezaškrtnuté.)) //Vytvořit tento nový účet na serveru//. Pokračujte tlačítkem //Uložit//.\\ | Pokud chcete provést složitější nastavení sítě, klikněte v nabídce na položku //Nastavení sítě//, která vás přesune do modulu //Síť// v //Nastavení systému//. Kromě nastavení drátové a bezdrátové sítě zde můžete nastavit také připojení přes bluetooth, VPN, svazek připojení, proxy a most. V pravém horním rohu okna potom můžete zapnout tzv. režim //Letadlo//, který vypne všechna bezdrátová zařízení. |
| Pokud jste nezatrhli //Vytvořit tento nový účet na serveru//, měl by být tímto do aplikace //Pidgin// přidán již existující účet.\\ | |
| V případě, že jste se rozhodli vytvořit nový účet a zatrhli //Vytvořit tento nový účet na serveru//, objeví se okno //Zaregistrovat nový účet XMPP//. Vyplňte políčko //Heslo// a pokračujte tlačítkem //Registrovat//. Mělo by se objevit okno, které potvrzuje úspěšné vytvoření účtu. V případě, že Vámi zvolené jméno účtu již existuje, je třeba celý proces opakovat s jiným jménem.\\ | |
| |
| {{ navody:f8pidgin_jabber.png | Vytvoření účtu Jabber v aplikaci Pidgin }} | {{ :navody:f19nastaveni-site.png?400 | Nastavení sítě}} |
| |
| === ICQ === | ==== Restartování síťových služeb ==== |
| | |
| Předpokládejme, že máte založený účet na stránkách [[http://www.icq.com|ICQ]].\\ | |
| V aplikaci //Pidgin// klikněte na //Účty -> Přidat/upravit// a pokračujte tlačítkem //+Přidat//. V následujícím okně vyberte komunikační protokol //ICQ//. Do kolonky //Jméno uživatele// vyplňte Vaše ICQ číslo, dále doplňte heslo a případně také přezdívku (kolonka //alias//). Dále je možné zaškrnout políčka //Zapamatovat si heslo// a //Automatické přihlašování//. | |
| | |
| {{ navody:f8pidgin_icq.png | Vytvoření účtu ICQ v aplikaci Pidgin }} | |
| | |
| ==== Nastavení poštovního klienta Evolution ==== | |
| * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. | * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. |
| * Přečtěte si kapitolu [[instalace_aplikaci#Přidání repozitářů]]. | |
| |
| {{ navody:f8evolution.png | Evolution }} | Jednotlivá rozhraní můžete restartovat vypnutím a zapnutím v nabídce pod ikonou sítě na horním panelu. Restart celého //NetworkManageru// provedete příkazem: |
| |
| Standardním poštovním klientem pro prostředí //Gnome// je //Evolution//. Tohoto poštovního klienta lze spustit pomocí nabídky //Aplikace -> Internet -> E-mail//. Jestliže //Evolution// není nainstalovaný, lze ho doinstalovat pomocí | systemctl restart NetworkManager.service |
| |
| yum -y install evolution | ==== Zjištění IP adresy počítače s Fedorou ==== |
| |
| Pro přidání existujícího účtu vyberte v okně aplikace nabídku //Upravit -> Nastavení//. V okně //Nastavení Evolution// klikněte na ikonu //Účty e-mailu//. Nový účet přidáte pomocí tlačítka //+Přidat//.\\ | //IP// adresu počítače, ke kterému jste momentálně přihlášeni, zjistíte pomocí |
| V následujícím okně pokračujte tlačítkem //Vpřed//. V okně //Identita// vyplňte údaje o Vašem e-mailovém účtu. V dalším okně nastavte typ serveru na //POP// a doplňte údaje o Vašem poštovním serveru. Tyto údaje budou sloužit pro stahování pošty. Nejdůležitější kolonkou je zde //Server// - jméno Vaše poštovního serveru by mělo být uvedeno na stránkách provozovatele (např. pro //Volný// se server jmenuje //pop3.volny.cz//, pro //Seznam// pak //pop3.seznam.cz//). V dalším okně nastavujete možnosti týkající se příjmu zpráv jako jsou interval kontroly poštovní schránky a zanechávání pošty na serveru. V okně //Posílání pošty// máte následující dvě možnosti. Nejjednoduší je zadat do kolonky //Typ serveru// údaj //sendmail// (pokud máte nainstalován tento poštovní server). Druhou možností je ponechat implicitní //SMTP// a zadat jméno serveru, které Vám sdělil Váš //ISP//((Standardní tvar název //SMTP// serveru //smtp.jmeno_poskytovatele.cz//.)). Tímto jste zadali všechny potřebné údaje pro automatické stahování pošty pomocí //Evolution//. | |
| |
| ==== Ostatní Internetové tipy === | |
| |
| === Změna preferovaného e-mailového klienta na Thunrderbird === | ip addr show |
| * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. | nebo zkráceně |
| * Přečtěte si kapitolu [[nekomercni_aplikace#Instalace e-mailového klienta Thunderbird]]. | ip a |
| |
| Pokud Vám nevyhovuje poštovní klient //Evolution// a preferovali byste //Thunderbird//, je možné změnit výchozího klienta pomocí následujícího postupu. Spusťte //Systém -> Nastavení -> Osobní -> Preferované aplikace// a na záložce v sekci //Poštovní klient// zadejte v poli //Defaultní e-mailový klient// příkaz | Výstupem tohoto příkazu by mělo být |
| |
| mozila-thunderbird %s | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN |
| | link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 |
| | inet 127.0.0.1/8 scope host lo |
| | valid_lft forever preferred_lft forever |
| | inet6 ::1/128 scope host |
| | valid_lft forever preferred_lft forever |
| | 2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 |
| | link/ether 00:23:7d:c3:ca:2c brd ff:ff:ff:ff:ff:ff |
| | inet 10.34.4.75/23 brd 10.34.5.255 scope global em1 |
| | valid_lft forever preferred_lft forever |
| | inet6 2620:52:0:2204:223:7dff:fec3:ca2c/64 scope global dynamic |
| | valid_lft 2586485sec preferred_lft 599285sec |
| | inet6 fe80::223:7dff:fec3:ca2c/64 scope link |
| | valid_lft forever preferred_lft forever |
| |
| {{ navody:f8preferovane_aplikace.png | Preferované aplikace }} | Hledané //IP// adresy jsou v našem případě uvedeny v části ''2: em1:'' za položkami ''inet'' a ''inet6''. Síťové rozhraní ''em1'' má tedy jednu //IPv4// adresu: ''10.34.4.75'' a dvě //IPv6// adresy : ''2620:52:0:2204:223:7dff:fec3:ca2c'' a ''fe80::223:7dff:fec3:ca2c''. |
| | Více v [[http://cs.wikipedia.org/wiki/IP_adresa]] |
| |
| === Rychlejší nahrávání stránek v Mozilla Firefox === | Další možnost jak získat ip adresu je program //ifconfig//, který stále mnoho lidí používá, přestože se jedná o nástroj, jehož koncept již neodpovídá současnému síťovému modelu v jádře. |
| * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. | //ifconfig// je součástí balíčku //net-tools//, jehož vývoj skončil někde kolem roku 2001 a |
| | který bude dříve či později ve Fedoře (i jiných distribucích) nahrazen balíčkem [[http://cs.wikipedia.org/wiki/Iproute2|iproute]] (kam patří program //ip//). |
| |
| Spusťte prohlížeč //Mozilla Firefox// a do adresové řádky zadejte | ifconfig |
| |
| about:config | Výstupem tohoto příkazu by mělo být |
| |
| V řádce //Filter// postupně odfiltrujte jednotlivé níže uvedené položky a nastavte jejich parametry na uvedené hodnoty. | em1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 |
| | inet 10.34.4.75 netmask 255.255.254.0 broadcast 10.34.5.255 |
| | inet6 2620:52:0:2204:223:7dff:fec3:ca2c prefixlen 64 scopeid 0x0<global> |
| | inet6 fe80::223:7dff:fec3:ca2c prefixlen 64 scopeid 0x20<link> |
| | ether 00:23:7d:c3:ca:2c txqueuelen 1000 (Ethernet) |
| | RX packets 238264 bytes 200215753 (190.9 MiB) |
| | RX errors 0 dropped 0 overruns 0 frame 0 |
| | TX packets 147634 bytes 31100401 (29.6 MiB) |
| | TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 |
| | device interrupt 17 |
| | lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 |
| | inet 127.0.0.1 netmask 255.0.0.0 |
| | inet6 ::1 prefixlen 128 scopeid 0x10<host> |
| | loop txqueuelen 0 (Local Loopback) |
| | RX packets 6365 bytes 931013 (909.1 KiB) |
| | RX errors 0 dropped 0 overruns 0 frame 0 |
| | TX packets 6365 bytes 931013 (909.1 KiB) |
| | TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 |
| |
| network.dns.disableIPv6 -> true | Hledané //IP// adresy jsou v tomto případě uvedeny v části ''em1:'' opět za položkami ''inet'' a ''inet6''. |
| network.http.pipelining -> true | |
| network.http.pipelining.maxrequests -> 8 | |
| network.http.proxy.pipelining -> true | |
| | |
| Restartujte prohlížeč. | |
| |
| ==== Síťová připojení ==== | ==== Základní příkazy pro zjištění funkčnosti vzdáleného serveru ==== |
| * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. | |
| |
| {{ navody:f8sitova_pripojeni.png | Síťová připojení}} | === ping === |
| |
| Grafické rozhraní pro správu síťových připojení vyvoláte pomocí //Systém -> Správa -> Síť//. Tato nabídka vyvolá okno //Nastavení síťových připojení//.\\ | Jestliže chcete zjistit, zda-li je vzdálený server funkční, je možné použít příkaz ''ping'' následovaný označením serveru. Server lze identifikovat pomocí //doménového jména// nebo //IP// adresy. Činnost programu ukončíte stiskem kombinace kláves //Ctrl + C//. |
| |
| Nastavení jednotlivých síťových připojení lze provést pomocí ikony //Upravit//. Mezi nastavované parametry patří např. jméno připojení, automatická aktivace při spuštění počítače a konfigurace pomocí //DHCP//.\\ | ping www.mojefedora.cz |
| Jméno počítače lze změnit v záložce //DNS// okna //Nastavení sítě//. Ve většině případů je však lepší se na počítač odvolávat pomocí jeho //IP// adresy.\\ | PING www.mojefedora.cz (104.18.61.71) 56(84) bytes of data. |
| Aktivaci/deaktivaci vybraného síťového připojení lze provést pomocí ikon //Aktivovat//, //Deaktivovat// v okně //Nastavení sítě// v pravém horním rohu okna.\\ | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=1 ttl=58 time=8.38 ms |
| | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=2 ttl=58 time=8.05 ms |
| | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=3 ttl=58 time=8.01 ms |
| | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=4 ttl=58 time=7.95 ms |
| | |
| | --- www.mojefedora.cz ping statistics --- |
| | 4 packets transmitted, 4 received, 0% packet loss, time 787ms |
| | rtt min/avg/max/mdev = 7.951/8.097/8.381/0.189 ms |
| |
| ==== Restartování síťových služeb ==== | ping 104.18.61.71 |
| * Přečtěte si kapitolu [[obecne_poznamky|Obecné poznámky]]. | PING 104.18.61.71 (104.18.61.71) 56(84) bytes of data. |
| | 64 bytes from 104.18.61.71: icmp_seq=1 ttl=58 time=8.53 ms |
| | 64 bytes from 104.18.61.71: icmp_seq=2 ttl=58 time=8.04 ms |
| | 64 bytes from 104.18.61.71: icmp_seq=3 ttl=58 time=7.96 ms |
| | 64 bytes from 104.18.61.71: icmp_seq=4 ttl=58 time=7.97 ms |
| | ^C |
| | --- 104.18.61.71 ping statistics --- |
| | 4 packets transmitted, 4 received, 0% packet loss, time 6ms |
| | rtt min/avg/max/mdev = 7.961/8.126/8.531/0.260 ms |
| |
| Síťové služby lze ve //Fedoře// restartovat pomocí příkazu | === traceroute === |
| |
| /etc/rc.d/init.d/network restart | Příkaz ''traceroute'' je možné použít v návaznosti na příkaz ''ping''. Tento příkaz slouží k mapovaní cesty k Vámi specifikovanému serveru. Tímto způsobem lze zjistit, kde konkrétně došlo k problémům ve spojení. Cílový server lze opět identifikovat pomocí //doménového jména// nebo //IP// adresy. Činnost programu lze předčasně ukončit stiskem kombinace kláves //Ctrl + C//. |
| |
| ==== Zjistění IP adresy počítače s Fedorou ==== | traceroute www.mojefedora.cz |
| | traceroute to www.mojefedora.cz (104.18.60.71), 30 hops max, 60 byte packets |
| | 1 _gateway (192.168.178.10) 0.251 ms 0.176 ms 0.301 ms |
| | 2 192.168.178.1 (192.168.178.1) 0.991 ms 0.726 ms 0.881 ms |
| | 3 62.154.202.49 (62.154.202.49) 7.162 ms 7.217 ms 7.292 ms |
| | 4 62.214.37.241 (62.214.37.241) 4.864 ms 4.951 ms 4.915 ms |
| | 5 62.214.37.158 (62.214.37.158) 10.843 ms 62.214.37.154 (62.214.37.154) 11.164 ms 62.214.37.134 (62.214.37.134) 24.650 ms |
| | 6 de-cix-frankfurt.as13335.net (80.81.194.180) 21.404 ms de-cix-hamburg.as13335.net (80.81.203.10) 8.183 ms 8.110 ms |
| | 7 104.18.60.71 (104.18.60.71) 12.796 ms 8.208 ms 18.160 ms |
| |
| //IP// adresu počítače, ke kterému jste momentálně přihlášeni, zjistíte pomocí | === mtr === |
| |
| /sbin/ifconfig | Příkaz ''mtr'' je kombinací příkazů ''ping'' a ''traceroute''. Program průběžně vypisuje celkový stav připojení na vzdálenou adresu (nebo celé doménové jméno). Program se opouští klávesou ''q'' |
| |
| Výstupem tohoto příkazu by mělo být | ==== Otevření / uzavření portů ==== |
| | {{:navody:48x48:apps:firewall.png?48 }}Základním nástrojem ochrany počítačů je firewall. Každý počítač je v síti jedinečně určen tzv. //IP// adresou. Jestliže však některá z aplikací chce s tímto počítačem komunikovat, musí znát nejen jeho //IP// adresu ale také tzv. port, který musí být otevřen.\\ |
| |
| eth0 Link encap:Ethernet HWadr 00:0C:6E:22:FE:99 | Velice často jsou pojmy //IP// adresa, port a firewall vysvětlovány na následujícím příkladu. Jestliže potřebujete zajít např. na úřad, musíte znát v zásadě dvě věci - adresu domu, kde se úřad nachází (//IP// adresa), a číslo dveří, za kterými sedí úředník, se kterým potřebujete mluvit (port). Význam //IP// je zřejmý - jak již bylo řečeno výše, identifikuje počítač v síti. Co se portů týče, podobně jako úředník "naslouchají" jednotlivé aplikace na portech, zda-li budou kontaktovány některým z počítačů v síti. Tyto porty jsou pro základní typy aplikací všeobecně známé (např. //HTTP// má výchozí port 80).\\ |
| inet adr:192.168.2.126 Všesměr:192.168.2.255 Maska:255.255.255.0 | Firewall dělá to, že uzavírá ty porty, které nebudete potřebovat. Jestliže je port zavřený, nemohou přes něj aplikace komunikovat, čímž se snižuje riziko neautorizovaného průniku do systému. Na druhou stranu, jestliže chcete provozovat některé z aplikací (např. vzdálenou plochu, WWW server apod.), je potřeba tyto porty otevřít. V opačném případě nebude aplikace fungovat.\\ |
| inet6-adr: fe80::20c:6eff:fe22:fe99/64 Rozsah:Linka | |
| AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST MTU:1500 Metrika:1 | |
| RX packets:64895 errors:0 dropped:0 overruns:0 frame:0 | |
| TX packets:63607 errors:0 dropped:0 overruns:0 carrier:0 | |
| kolizí:0 délka odchozí fronty:1000 | |
| RX bytes:75925721 (72.4 MiB) TX bytes:7927394 (7.5 MiB) | |
| Přerušení:169 Vstupně/Výstupní port:0x2000 | |
| | |
| lo Link encap:Místní smyčka | |
| inet adr:127.0.0.1 Maska:255.0.0.0 | |
| inet6-adr: ::1/128 Rozsah:Počítač | |
| AKTIVOVÁNO SMYČKA BĚŽÍ MTU:16436 Metrika:1 | |
| RX packets:4766 errors:0 dropped:0 overruns:0 frame:0 | |
| TX packets:4766 errors:0 dropped:0 overruns:0 carrier:0 | |
| kolizí:0 délka odchozí fronty:0 | |
| RX bytes:2543732 (2.4 MiB) TX bytes:2543732 (2.4 MiB) | |
| |
| Hledaná //IP// adresa je v našem případě uvedena se části ''eth0'' za položkou ''inet adr'' (druhý řádek) - tedy 192.168.2.126. | Ve Fedoře existují dva druhy firewallů: statické a dynamické. Liší se tím, jak jsou aplikovány změny v nastavení. Zatímco statické pracují s neměnou konfigurací a provedete-li jakoukoliv změnu, musíte firewall restartovat, aby se změna aplikovala, u dynamických lze aplikovat změny za běhu. Statické firewally jsou zpravidla postavené na //iptables//. Patří mezi ně i nástroj //Firewall// (system-confing-firewall), který byl dříve výchozím nástrojem pro nastavení firewallu ve Fedoře. Mezi grafické nástroje pro statický firewall patří např. //uwf//. |
| |
| ==== Základní příkazy pro zjištění funkčnosti vzdáleného serveru ==== | {{ :navody:prirucka:cockpit-firewall-f30.png?400 | Nastavení firewallu v Cockpitu }} |
| |
| === ping === | Výchozím firewallem ve Fedoře je nyní //firewalld//, který patří mezi dynamické. Jeho nastavení můžete měnit dvěma nástroji: grafickým //firewall-config// a textovým //firewall-cmd//. //Firewalld// podporuje tzv. zóny, což jsou profily o různé přísnosti firewallu, které lze přiřadit jednotlivým sítím. Někde na bezdrátové sítí v kavárně tak můžete mít nastavený přísný režim, protože se jedná o nedůvěryhodnou síť, zatímco doma na drátové síti budete mít nejbenevoletnější režim, protože to je pro vás důvěryhodná síť. |
| | Více se o //firewalld// můžete dozvědět v [[http://mojefedora.cz/firewalld-nahrada-iptables/ | článku]] na mojefedora.cz. |
| |
| Jestliže chcete zjistit, zda-li je vzdálený server funkční, je možné použít příkaz ''ping'' následovaný označením serveru. Server lze identifikovat pomocí //www// nebo //IP// adresy. | {{ :navody:prirucka:firewall-config-f30.png?400 | Nastavení firewalld v grafickém rozhraní }} |
| |
| ping www.fedora.cz | Jak můžete na obrázku vidět, v levém sloupci je seznam dostupných zón. V pravém sloupci vidíte, seznam definovaných služeb a indikaci toho, jestli jsou pro danou zónu zapnuté nebo ne. Berte v úvahu, že všechny změny, které v tomto náhledu provedete, jsou pouze dočasné. Chcete-li provádět trvalé změny, vyberte v horní části okna u //Současný náhled// volbu //Trvalá konfigurace//. Budete požádáni o heslo roota a potom budete moci provádět trvalé změny. V tomto náhledu se objeví také další možnosti nastavení. Budete moci přidávat či odebírat zóny, upravovat služby apod. |
| | |
| PING fedora.cz (193.86.238.16) 56(84) bytes of data. | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=1 ttl=56 time=5.87 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=2 ttl=56 time=4.14 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=3 ttl=56 time=4.17 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=4 ttl=56 time=4.20 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=5 ttl=56 time=4.00 ms | |
| | |
| --- fedora.cz ping statistics --- | |
| 5 packets transmitted, 5 received, 0% packet loss, time 4000ms | |
| rtt min/avg/max/mdev = 4.007/4.482/5.876/0.701 ms | |
| |
| ping 193.86.238.16 | Chcete-li nastavit zóny pro jednotlivé sítě, běžte do //Možnosti->Nastavení zón připojení...//, vyberte síť, pro kterou chcete síť nastavit a klikněte na //Upravit//. V dialogovém okně, které se otevře, můžete změnit zónu na kartě //Obecné//. Výchozí zónou pro všechny sítě je //public//. Změnit výchozí zónu můžete v //Možnosti->Změnit výchozí zónu//. |
| | |
| PING 193.86.238.16 (193.86.238.16) 56(84) bytes of data. | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=1 ttl=56 time=5.87 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=2 ttl=56 time=4.14 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=3 ttl=56 time=4.17 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=4 ttl=56 time=4.20 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=5 ttl=56 time=4.00 ms | |
| | |
| --- 193.86.238.16 ping statistics --- | |
| 5 packets transmitted, 5 received, 0% packet loss, time 4000ms | |
| rtt min/avg/max/mdev = 4.007/4.482/5.876/0.701 ms | |
| |
| === traceroute === | Jak už bylo řešeno, //firewallD// lze ovládat v příkazové řádce pomocí nástroje //firewall-cmd//. Mezi základní příkazy patří: |
| |
| Příkaz ''traceroute'' je možné použít v návaznosti na příkaz ''ping''. Tento příkaz slouží k mapovaní cesty k Vámi specifikovanému serveru. Tímto způsobem lze zjistit, kde konkrétně došlo k problémům ve spojení. Cílový server lze opět identifikovat pomocí //www// nebo //IP// adresy. | Zjištění, jaká zóna je aktivovaná: |
| | firewall-cmd --get-active-zone |
| | Vypsání dostupných zón: |
| | firewall-cmd --get-zones |
| | Ukázková změna zóny pro vybrané síťové rozhraní: |
| | firewall-cmd --zone=home --change-interface=wlan0 |
| | Vypsání povolených služeb pro danou zónu: |
| | firewall-cmd --zone=home --list-services |
| | Vypsání povolených portů pro danou zónu: |
| | firewall-cmd --zone=home --list-ports |
| | Nebo si můžete nechat vypsat všechna nastavení pro danou zónu: |
| | firewall-cmd --zone=home --list-all |
| | Přidání a odebrání portu v dané zóně: |
| | firewall-cmd --zone=home --add-port=2222/tcp |
| | firewall-cmd --zone=external --remove-port=2222/tcp |
| | Přidání, nebo odebrání služby v aktuálně aktivní zóně |
| | firewall-cmd --add-service=http |
| | Pokud chcete, aby byly změny trvalé, tedy i např. po restartu počítače, přidejte k příkazům parametr ''--permanent''. Tyto změny se projeví pouze při restartu služby //firewalld//, tedy při restartování systému, nebo ručním restartováním služby. Pokud chcete změnu aplikovat okamžitě zopakujte příkaz bez parametru ''--permanent'' |
| |
| traceroute www.fedora.cz | Pokud vám základní nastavení firewallu nestačí, vězte, že //firewallD// podporuje tzv. bohatý jazyk pro vytváření komplexních pravidel. Více se o možnostech tohoto jazyku můžete dozvědět na [[http://fedoraproject.org/wiki/Features/FirewalldRichLanguage|jeho wiki stránce]], nebo v dokumentaci firewallD, kterou zobrazíte příkatem //man firewall-cmd//. |
| | |
| traceroute to www.fedora.cz (193.86.238.16), 30 hops max, 40 byte packets | :!: **Upozornění** Původní nástroj //Firewall// (system-config-firewall) nemůže běžet zároveň s //firewallD//. Chcete-li tedy používat tradiční firewall, musíte //firewallD// vypnout a zakázat automatické spouštění. To provedete příkazy: |
| 1 192.168.2.1 (192.168.2.1) 0.472 ms 0.642 ms 1.027 ms | |
| 2 gw2.nsnet.cz (217.11.231.174) 19.399 ms 19.438 ms 19.487 ms | |
| 3 unassigned-82-208-51-021.casablanca.cz (82.208.51.21) 20.902 ms 21.751 ms 21.844 ms | |
| 4 tr-hilly-nadprehradou.casablanca.cz (81.0.222.21) 22.378 ms 22.932 ms 23.377 ms | |
| 5 * * * | |
| 6 S0-95.cas.ip-anywhere.net (82.208.0.17) 25.333 ms 4.352 ms 4.797 ms | |
| 7 nix4.gts.cz (194.50.100.50) 4.934 ms 5.650 ms 5.697 ms | |
| 8 hca.gts.cz (195.39.37.6) 6.749 ms * * | |
| 9 gw.pipni.cz (193.86.70.226) 7.572 ms * * | |
| 10 www6.pipni.cz (193.86.238.16) 5.189 ms 5.688 ms 5.132 ms | |
| |
| traceroute 193.86.238.16 | systemctl stop firewalld.service |
| | systemctl disable firewalld.service |
| traceroute to 193.86.238.16 (193.86.238.16), 30 hops max, 40 byte packets | |
| 1 192.168.2.1 (192.168.2.1) 0.463 ms 0.650 ms 1.839 ms | |
| 2 gw2.nsnet.cz (217.11.231.174) 40.908 ms 40.939 ms 40.972 ms | |
| 3 unassigned-82-208-51-021.casablanca.cz (82.208.51.21) 43.495 ms 43.544 ms 43.630 ms | |
| 4 tr-hilly-nadprehradou.casablanca.cz (81.0.222.21) 44.415 ms 44.578 ms 44.798 ms | |
| 5 * * * | |
| 6 S0-95.cas.ip-anywhere.net (82.208.0.17) 46.445 ms 4.415 ms 5.701 ms | |
| 7 nix4.gts.cz (194.50.100.50) 5.405 ms 6.283 ms 6.331 ms | |
| 8 hca.gts.cz (195.39.37.6) 6.567 ms * * | |
| 9 gw.pipni.cz (193.86.70.226) 7.537 ms * * | |
| 10 www6.pipni.cz (193.86.238.16) 4.274 ms 5.262 ms 4.889 ms | |
| |
| ==== Otevření / uzavření portů ==== | Seznam defaultních portů pro jednotlivé aplikace naleznete v souboru ///etc/services//, nebo třeba na stránkách [[http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers]].\\ |
| Základním nástrojem ochrany počítačů je firewall. Každý počítač je v síti jedinečně určen tzv. //IP// adresou. Jestliže však některá z aplikací chce s tímto počítačem komunikovat, musí znát nejen jeho //IP// adresu ale také tzv. port, který musí být otevřen.\\ | |
| | |
| Velice často jsou pojmy //IP// adresa, port a firewall vysvětlovány na následujícím příkladu. Jestliže potřebujete zajít např. na úřad, musíte znát v zásadě dvě věci - adresu domu, kde se úřad nachází (//IP// adresa), a číslo dveří, za kterými sedí úředník, se kterým potřebujete mluvit (port). Význam //IP// je zřejmý - jak již bylo řečeno výše, identifikuje počítač v síti. Co se portů týče, podobně jako úředník "naslouchají" jednolivé aplikace na portech, zda-li budou kontaktovány některým z počítačů v síti. Tyto porty jsou pro základní typy aplikací všeobecně známé (např. //HTTP// má defaultní port 80).\\ | |
| Firewall dělá to, že uzavírá ty porty, které nebudete potřebovat. Jestliže je port zavřený, nemohou přes něj aplikace komunikovat, čímž se snižuje riziko neautorizovaného průniku do systému. Na druhou stranu, jestliže chcete provozovat některé z aplikací (např. vzdálenou plochu, WWW server apod.), je potřeba tyto porty otevřít. V opačném případě nebude aplikace fungovat.\\ | |
| |
| V //Linux//u lze porty otevřít/uzavřít pomocí nabídky //Systém -> Správa -> Firewall//. | |
| |
| {{ navody:f8porty.png | Nastavení úrovně zabezpečení }} | |
| |
| Seznam defaultních portů pro jednotlivé aplikace naleznete např. na stránkách [[http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers]].\\ | |
| |
| **Poznámka:** Pro složitější nastavení je možné použít aplikaci [[nekomercni_aplikace_internet#Instalace firewallu (Firestarter) | Firestarter]]. | |
| |
| ==== Procházení okolních počítačů ==== | ==== Procházení okolních počítačů ==== |
| |
| |
| ===== ===== | ==== Sdílení připojení k internetu ==== |
| | * Přečtěte si kapitolu [[sit#Zjistění IP adresy počítače s Fedorou]]. |
| | |
| | **Toto je pokročilé téma a vyžaduje hlubší znalosti konfigurace sítě.** Umožňuje vám vytvořit z jednoho z vašich počítačů tzv. směrovač (router) a pomocí něj vytvořit malou domácí síť se sdíleným připojenim k internetu. |
| | |
| | Počítač který určíte jako směrovač bude mít pro náš popis jméno **brána**. Počítač který se přes bránu bude připojovat budeme nazývat **klient**. |
| | |
| | Nejdříve nakonfigurujeme počítač //brána//. Ten musí mít minimálně dvě síťová rozhraní. V našem případě to bude //eth0//, kterým se připojujeme k poskytovateli internetu a //eth1// na které se připojuje //klient//. |
| | |
| | === Nastavení adres rozhraní brány === |
| | |
| | Nastavení adres můžete provést mnoha způsoby. Buď z //NetworkManageru// nebo ze správy síťě nebo editací konfiguračního souboru. Pokud používáte //NetworkManager// nepoužívejte spravu sítě a obráceně! __Pro směrovač //brána// doporučujeme vypnout službu //NetworkManager// zapnout službu //Síť// a používat správu sítě.__ |
| | |
| | Adresa rozhraní //eth0// je přidělována od poskytovatele připojení, nejčastěji z jeho směrovače přes DHCP. Nastavte jej je tedy pro příjem adresy přes DHCP. |
| | |
| | Adresu rozhraní //eth1// je potřeba napevno nastavit na některý z tzv. privátních rozsahů. Nejčastěji z oblasti 192.168.x.x. Pro naše potřeby ji nastavíme na 192.168.10.1 a masku na 255.255.255.0. |
| | |
| | === Konfigurace směrování === |
| | |
| | V první řadě je potřeba povolit na //bráně// funkci směrování paketů |
| | |
| | gedit /etc/sysctl.conf |
| | |
| | Změňte či přidejte |
| | |
| | # Controls IP packet forwarding |
| | net.ipv4.ip_forward = 1 |
| | |
| | Nainstalujte //dnsmasq// server |
| | |
| | dnf install dnsmasq |
| | |
| | dnsmasq zajišťuje přeposílání překladů internetových adres z klienta na jmenné servery poskytovatele a zároveň umožňuje vytvořit jednoduchý DHCP server, který přiděluje IP adresu klientovy. Je potřeba ho ale nastavit. |
| | |
| | gedit /etc/dnsmasq.conf |
| | |
| | minimální nastavení by mělo vypadat asi následovně (nápovědu k položkám naleznete přímo v souboru) |
| | |
| | domain-needed |
| | filterwin2k |
| | interface=eth1 |
| | dhcp-range=192.168.10.127,192.168.10.254,255.255.255.0,59m |
| | #dhcp-host=00:AA:BB:CC:DD:EE,klient,192.168.10.130 |
| | dhcp-leasefile=/var/lib/dnsmasq/dnsmasq.leases |
| | |
| | Zajistěte aby se služba //dnsmasq// pouštěla při startu počítače. Buď povolením v //system-config-services// (//Systém->Správa->Služby//) nebo příkazem |
| | |
| | chkconfig dnsmasq on |
| | |
| | Dále je potřeba povolit překlad adres vaší klientské sítě tak, aby se pro síť internet tvářila jako jeden počítač. V tomto případě jako //brána//. |
| | |
| | Spusťte //system-config-firewall// (//Systém->Správa->Firewall//, v konzoli můžete použít //system-config-firewall-tui//) a v sekci //Maškarádování//, zaškrtněte pod //eth+// rozhraní //eth0// (to je rozhraní //brány// za nějž se bude maskovat //klient//). Tím jste povolil tzv. NAT (Network address translation). |
| | |
| | Ve stejném nástroji v sekci //Důvěryhodná rozhraní// zaškrtněte pod //eth+// rozhraní //eth1//. Tím jste povolili přístup VŠECH paketům z vašeho //klienta// na //bránu//. \\ |
| | **Poznámka**: Toto nastavení učiní //bránu// napadnutelnou z //klienta//. Je proto potřeba, aby i váš //klient// měl dobré zabezpečení před viry a napadením z vnějšku. |
| | |
| | **Tím je konfigurace //brány// dokončena**. Proveďte její restart. |
| | |
| | === Konfigurace klienta === |
| | |
| | Konfigurace //klienta// je velice jednoduchá a vyžaduje pouze nastavení získávání adresy pro //klienta// přes DHCP. Zde již záleží na použitém OS. Ve //Fedoře// opět buď přes //NetworkManager// nebo přes správu sítě. |
| | |
| | === Ověření funkce === |
| | |
| | Po restartu //brány// zkontrolujte, že rozhranní //eth0// má přidělenu adresu od poskytovatele. |
| | |
| | ip addr show eth0 |
| | |
| | zkontrolujte, že můžete přistupovat na internet, např. |
| | |
| | ping mojefedora.cz |
| | |
| | zkontrolujte nastavení rozhraní //eth1//, kde musí být vámi nastavená adresa 192.168.10.1 |
| | |
| | ip addr show eth1 |
| | |
| | Připojte //klienta// a v záznamech systému (/var/log/messages) by se měla objevit žádost a přidělení adresy pro klienta cca takto |
| | |
| | |
| | dnsmasq[30214]: DHCPDISCOVER(eth1) 192.168.10.130 00:AA:BB:CC:DD:EE |
| | dnsmasq[30214]: DHCPOFFER(eth1) 192.168.10.130 00:AA:BB:CC:DD:EE |
| | dnsmasq[30214]: DHCPREQUEST(eth1) 192.168.10.130 00:AA:BB:CC:DD:EE |
| | dnsmasq[30214]: DHCPACK(eth1) 192.168.10.130 00:AA:BB:CC:DD:EE |
| | |
| | Ověřte, že z //klienta// můžete přistupovat na //bránu// a dále do internetu |
| | |
| | - ping 192.168.10.1 |
| | - ping <adresa rozhraní eth1> |
| | - ping mojefedora.cz |
| | |
| | Pokud selhává krok 1 pak váš klient nemá správně přidělenou adresu a nekomunikuje s bránou. \\ |
| | Pokud selhává krok 2 máte na bráně špatně nastavene směrování. \\ |
| | Pokud selhává krok 3 máte na bráně špatně nastaven dnsmasq a tento nepřekládá adresy nebo máte špatně nastaven Maškarádování. \\ |
| | |
| | ---- |
| [[obsah|Hlavní stránka]] | [[obsah|Hlavní stránka]] |
| | |