| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
| navody:prirucka:sit [2019/06/21 15:45] – Aktualizace sesivany | navody:prirucka:sit [2022/11/14 12:26] (aktuální) – upraveno mimo DokuWiki 127.0.0.1 |
|---|
| |
| systemctl restart NetworkManager.service | systemctl restart NetworkManager.service |
| |
| |
| |
| |
| ==== Zjištění IP adresy počítače s Fedorou ==== | ==== Zjištění IP adresy počítače s Fedorou ==== |
| === ping === | === ping === |
| |
| Jestliže chcete zjistit, zda-li je vzdálený server funkční, je možné použít příkaz ''ping'' následovaný označením serveru. Server lze identifikovat pomocí //doménového jména// nebo //IP// adresy. Činnost programu ukončíte stiskem kombinace kláves CTRL+c. | Jestliže chcete zjistit, zda-li je vzdálený server funkční, je možné použít příkaz ''ping'' následovaný označením serveru. Server lze identifikovat pomocí //doménového jména// nebo //IP// adresy. Činnost programu ukončíte stiskem kombinace kláves //Ctrl + C//. |
| |
| ping www.fedora.cz | ping www.mojefedora.cz |
| | PING www.mojefedora.cz (104.18.61.71) 56(84) bytes of data. |
| | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=1 ttl=58 time=8.38 ms |
| | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=2 ttl=58 time=8.05 ms |
| | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=3 ttl=58 time=8.01 ms |
| | 64 bytes from 104.18.61.71 (104.18.61.71): icmp_seq=4 ttl=58 time=7.95 ms |
| | |
| PING fedora.cz (193.86.238.16) 56(84) bytes of data. | --- www.mojefedora.cz ping statistics --- |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=1 ttl=56 time=5.87 ms | 4 packets transmitted, 4 received, 0% packet loss, time 787ms |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=2 ttl=56 time=4.14 ms | rtt min/avg/max/mdev = 7.951/8.097/8.381/0.189 ms |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=3 ttl=56 time=4.17 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=4 ttl=56 time=4.20 ms | |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=5 ttl=56 time=4.00 ms | |
| | |
| --- fedora.cz ping statistics --- | |
| 5 packets transmitted, 5 received, 0% packet loss, time 4000ms | |
| rtt min/avg/max/mdev = 4.007/4.482/5.876/0.701 ms | |
| |
| ping 193.86.238.16 | ping 104.18.61.71 |
| | PING 104.18.61.71 (104.18.61.71) 56(84) bytes of data. |
| PING 193.86.238.16 (193.86.238.16) 56(84) bytes of data. | 64 bytes from 104.18.61.71: icmp_seq=1 ttl=58 time=8.53 ms |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=1 ttl=56 time=5.87 ms | 64 bytes from 104.18.61.71: icmp_seq=2 ttl=58 time=8.04 ms |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=2 ttl=56 time=4.14 ms | 64 bytes from 104.18.61.71: icmp_seq=3 ttl=58 time=7.96 ms |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=3 ttl=56 time=4.17 ms | 64 bytes from 104.18.61.71: icmp_seq=4 ttl=58 time=7.97 ms |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=4 ttl=56 time=4.20 ms | ^C |
| 64 bytes from www6.pipni.cz (193.86.238.16): icmp_seq=5 ttl=56 time=4.00 ms | --- 104.18.61.71 ping statistics --- |
| | 4 packets transmitted, 4 received, 0% packet loss, time 6ms |
| --- 193.86.238.16 ping statistics --- | rtt min/avg/max/mdev = 7.961/8.126/8.531/0.260 ms |
| 5 packets transmitted, 5 received, 0% packet loss, time 4000ms | |
| rtt min/avg/max/mdev = 4.007/4.482/5.876/0.701 ms | |
| |
| === traceroute === | === traceroute === |
| |
| Příkaz ''traceroute'' je možné použít v návaznosti na příkaz ''ping''. Tento příkaz slouží k mapovaní cesty k Vámi specifikovanému serveru. Tímto způsobem lze zjistit, kde konkrétně došlo k problémům ve spojení. Cílový server lze opět identifikovat pomocí //doménového jména// nebo //IP// adresy. Činnost programu lze předčasně ukončit stiskem kombinace kláves CTRL+c. | Příkaz ''traceroute'' je možné použít v návaznosti na příkaz ''ping''. Tento příkaz slouží k mapovaní cesty k Vámi specifikovanému serveru. Tímto způsobem lze zjistit, kde konkrétně došlo k problémům ve spojení. Cílový server lze opět identifikovat pomocí //doménového jména// nebo //IP// adresy. Činnost programu lze předčasně ukončit stiskem kombinace kláves //Ctrl + C//. |
| |
| traceroute www.fedora.cz | traceroute www.mojefedora.cz |
| | traceroute to www.mojefedora.cz (104.18.60.71), 30 hops max, 60 byte packets |
| traceroute to www.fedora.cz (193.86.238.16), 30 hops max, 40 byte packets | 1 _gateway (192.168.178.10) 0.251 ms 0.176 ms 0.301 ms |
| 1 192.168.2.1 (192.168.2.1) 0.472 ms 0.642 ms 1.027 ms | 2 192.168.178.1 (192.168.178.1) 0.991 ms 0.726 ms 0.881 ms |
| 2 gw2.nsnet.cz (217.11.231.174) 19.399 ms 19.438 ms 19.487 ms | 3 62.154.202.49 (62.154.202.49) 7.162 ms 7.217 ms 7.292 ms |
| 3 unassigned-82-208-51-021.casablanca.cz (82.208.51.21) 20.902 ms 21.751 ms 21.844 ms | 4 62.214.37.241 (62.214.37.241) 4.864 ms 4.951 ms 4.915 ms |
| 4 tr-hilly-nadprehradou.casablanca.cz (81.0.222.21) 22.378 ms 22.932 ms 23.377 ms | 5 62.214.37.158 (62.214.37.158) 10.843 ms 62.214.37.154 (62.214.37.154) 11.164 ms 62.214.37.134 (62.214.37.134) 24.650 ms |
| 5 * * * | 6 de-cix-frankfurt.as13335.net (80.81.194.180) 21.404 ms de-cix-hamburg.as13335.net (80.81.203.10) 8.183 ms 8.110 ms |
| 6 S0-95.cas.ip-anywhere.net (82.208.0.17) 25.333 ms 4.352 ms 4.797 ms | 7 104.18.60.71 (104.18.60.71) 12.796 ms 8.208 ms 18.160 ms |
| 7 nix4.gts.cz (194.50.100.50) 4.934 ms 5.650 ms 5.697 ms | |
| 8 hca.gts.cz (195.39.37.6) 6.749 ms * * | |
| 9 gw.pipni.cz (193.86.70.226) 7.572 ms * * | |
| 10 www6.pipni.cz (193.86.238.16) 5.189 ms 5.688 ms 5.132 ms | |
| | |
| traceroute 193.86.238.16 | |
| | |
| traceroute to 193.86.238.16 (193.86.238.16), 30 hops max, 40 byte packets | |
| 1 192.168.2.1 (192.168.2.1) 0.463 ms 0.650 ms 1.839 ms | |
| 2 gw2.nsnet.cz (217.11.231.174) 40.908 ms 40.939 ms 40.972 ms | |
| 3 unassigned-82-208-51-021.casablanca.cz (82.208.51.21) 43.495 ms 43.544 ms 43.630 ms | |
| 4 tr-hilly-nadprehradou.casablanca.cz (81.0.222.21) 44.415 ms 44.578 ms 44.798 ms | |
| 5 * * * | |
| 6 S0-95.cas.ip-anywhere.net (82.208.0.17) 46.445 ms 4.415 ms 5.701 ms | |
| 7 nix4.gts.cz (194.50.100.50) 5.405 ms 6.283 ms 6.331 ms | |
| 8 hca.gts.cz (195.39.37.6) 6.567 ms * * | |
| 9 gw.pipni.cz (193.86.70.226) 7.537 ms * * | |
| 10 www6.pipni.cz (193.86.238.16) 4.274 ms 5.262 ms 4.889 ms | |
| |
| === mtr === | === mtr === |
| |
| Příkaz ''mtr'' je kombinací příkazů ''ping'' a ''traceroute''. Program průběžně vypisuje celkový stav a ukončíte ho klávesou ''q''. Příkaz musí být spuštěn uživatelem ''root'', má-li být použitelný i obyčejnými uživateli, musíte mu nastavit SUID bit příkazem ''chmod u+s /usr/sbin/mtr''. | Příkaz ''mtr'' je kombinací příkazů ''ping'' a ''traceroute''. Program průběžně vypisuje celkový stav připojení na vzdálenou adresu (nebo celé doménové jméno). Program se opouští klávesou ''q'' |
| | |
| /usr/sbin/mtr | |
| | |
| My traceroute [v0.71] | |
| opteron.pslib.cz (0.0.0.0) Thu Dec 4 23:20:53 2008 | |
| Keys: Help Display mode Restart statistics Order of fields quit | |
| Packets Pings | |
| Host Loss% Last Avg Best Wrst StDev | |
| 1. neptun.pslib.cz 0.0% 0.1 0.2 0.1 0.2 0.0 | |
| 2. ten155-r1-nextel.cesnet.cz 0.0% 0.7 0.6 0.4 0.7 0.2 | |
| 3. nix1.gin.cz 0.0% 4.3 88.0 4.3 193.5 96.5 | |
| 4. r2-bbs.gin.cz 0.0% 4.4 4.4 4.3 4.4 0.1 | |
| 5. fedora.ipex.cz 0.0% 4.4 4.5 4.4 4.6 0.2 | |
| |
| ==== Otevření / uzavření portů ==== | ==== Otevření / uzavření portů ==== |
| Ve Fedoře existují dva druhy firewallů: statické a dynamické. Liší se tím, jak jsou aplikovány změny v nastavení. Zatímco statické pracují s neměnou konfigurací a provedete-li jakoukoliv změnu, musíte firewall restartovat, aby se změna aplikovala, u dynamických lze aplikovat změny za běhu. Statické firewally jsou zpravidla postavené na //iptables//. Patří mezi ně i nástroj //Firewall// (system-confing-firewall), který byl dříve výchozím nástrojem pro nastavení firewallu ve Fedoře. Mezi grafické nástroje pro statický firewall patří např. //uwf//. | Ve Fedoře existují dva druhy firewallů: statické a dynamické. Liší se tím, jak jsou aplikovány změny v nastavení. Zatímco statické pracují s neměnou konfigurací a provedete-li jakoukoliv změnu, musíte firewall restartovat, aby se změna aplikovala, u dynamických lze aplikovat změny za běhu. Statické firewally jsou zpravidla postavené na //iptables//. Patří mezi ně i nástroj //Firewall// (system-confing-firewall), který byl dříve výchozím nástrojem pro nastavení firewallu ve Fedoře. Mezi grafické nástroje pro statický firewall patří např. //uwf//. |
| |
| {{ {{:navody:prirucka:cockpit-firewall-f30.png?400 | Nastavení firewallu v Cockpitu }} | {{ :navody:prirucka:cockpit-firewall-f30.png?400 | Nastavení firewallu v Cockpitu }} |
| |
| Výchozím firewallem ve Fedoře je nyní //firewalld//, který patří mezi dynamické. Jeho nastavení můžete měnit dvěma nástroji: grafickým //firewall-config// a textovým //firewall-cmd//. //Firewalld// podporuje tzv. zóny, což jsou profily o různé přísnosti firewallu, které lze přiřadit jednotlivým sítím. Někde na bezdrátové sítí v kavárně tak můžete mít nastavený přísný režim, protože se jedná o nedůvěryhodnou síť, zatímco doma na drátové síti budete mít nejbenevoletnější režim, protože to je pro vás důvěryhodná síť. | Výchozím firewallem ve Fedoře je nyní //firewalld//, který patří mezi dynamické. Jeho nastavení můžete měnit dvěma nástroji: grafickým //firewall-config// a textovým //firewall-cmd//. //Firewalld// podporuje tzv. zóny, což jsou profily o různé přísnosti firewallu, které lze přiřadit jednotlivým sítím. Někde na bezdrátové sítí v kavárně tak můžete mít nastavený přísný režim, protože se jedná o nedůvěryhodnou síť, zatímco doma na drátové síti budete mít nejbenevoletnější režim, protože to je pro vás důvěryhodná síť. |
| Více se o //firewalld// můžete dozvědět v [[http://mojefedora.cz/firewalld-nahrada-iptables/ | článku]] na mojefedora.cz. | Více se o //firewalld// můžete dozvědět v [[http://mojefedora.cz/firewalld-nahrada-iptables/ | článku]] na mojefedora.cz. |
| |
| {{:navody:prirucka:firewall-config-f30.png?400| Nastavení firewalld v grafickém rozhraní.}} | {{ :navody:prirucka:firewall-config-f30.png?400 | Nastavení firewalld v grafickém rozhraní }} |
| |
| Jak můžete na obrázku vidět, v levém sloupci je seznam dostupných zón. V pravém sloupci vidíte, seznam definovaných služeb a indikaci toho, jestli jsou pro danou zónu zapnuté nebo ne. Berte v úvahu, že všechny změny, které v tomto náhledu provedete, jsou pouze dočasné. Chcete-li provádět trvalé změny, vyberte v horní části okna u //Současný náhled// volbu //Trvalá konfigurace//. Budete požádáni o heslo roota a potom budete moci provádět trvalé změny. V tomto náhledu se objeví také další možnosti nastavení. Budete moci přidávat či odebírat zóny, upravovat služby apod. | Jak můžete na obrázku vidět, v levém sloupci je seznam dostupných zón. V pravém sloupci vidíte, seznam definovaných služeb a indikaci toho, jestli jsou pro danou zónu zapnuté nebo ne. Berte v úvahu, že všechny změny, které v tomto náhledu provedete, jsou pouze dočasné. Chcete-li provádět trvalé změny, vyberte v horní části okna u //Současný náhled// volbu //Trvalá konfigurace//. Budete požádáni o heslo roota a potom budete moci provádět trvalé změny. V tomto náhledu se objeví také další možnosti nastavení. Budete moci přidávat či odebírat zóny, upravovat služby apod. |
| firewall-cmd --zone=home --add-port=2222/tcp | firewall-cmd --zone=home --add-port=2222/tcp |
| firewall-cmd --zone=external --remove-port=2222/tcp | firewall-cmd --zone=external --remove-port=2222/tcp |
| Pokud chcete, aby byly změny trvalé, tedy i např. po restartu počítače, přidejte k příkazům parametr ''--permanent''. Tyto změny se ale projeví právě až po restartu //firewalld// nebo restartu celého systému. | Přidání, nebo odebrání služby v aktuálně aktivní zóně |
| | firewall-cmd --add-service=http |
| | Pokud chcete, aby byly změny trvalé, tedy i např. po restartu počítače, přidejte k příkazům parametr ''--permanent''. Tyto změny se projeví pouze při restartu služby //firewalld//, tedy při restartování systému, nebo ručním restartováním služby. Pokud chcete změnu aplikovat okamžitě zopakujte příkaz bez parametru ''--permanent'' |
| |
| Pokud vám základní nastavení firewallu nestačí, vězte, že //firewallD// podporuje tzv. bohatý jazyk pro vytváření komplexních pravidel. Více se o možnostech tohoto jazyku můžete dozvědět na [[http://fedoraproject.org/wiki/Features/FirewalldRichLanguage|jeho wiki stránce]], nebo v dokumentaci firewallD, kterou zobrazíte příkatem //man firewall-cmd//. | Pokud vám základní nastavení firewallu nestačí, vězte, že //firewallD// podporuje tzv. bohatý jazyk pro vytváření komplexních pravidel. Více se o možnostech tohoto jazyku můžete dozvědět na [[http://fedoraproject.org/wiki/Features/FirewalldRichLanguage|jeho wiki stránce]], nebo v dokumentaci firewallD, kterou zobrazíte příkatem //man firewall-cmd//. |
| | |
| :!: **Upozornění** Původní nástroj //Firewall// (system-config-firewall) nemůže běžet zároveň s //firewallD//. Chcete-li tedy používat tradiční firewall, musíte //firewallD// vypnout. To provedete příkazy: | :!: **Upozornění** Původní nástroj //Firewall// (system-config-firewall) nemůže běžet zároveň s //firewallD//. Chcete-li tedy používat tradiční firewall, musíte //firewallD// vypnout a zakázat automatické spouštění. To provedete příkazy: |
| |
| systemctl stop firewalld.service | systemctl stop firewalld.service |
| systemctl disable firewalld.service | systemctl disable firewalld.service |
| |
| Seznam defaultních portů pro jednotlivé aplikace naleznete např. na stránkách [[http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers]].\\ | Seznam defaultních portů pro jednotlivé aplikace naleznete v souboru ///etc/services//, nebo třeba na stránkách [[http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers]].\\ |
| |
| |
| Dále je potřeba povolit překlad adres vaší klientské sítě tak, aby se pro síť internet tvářila jako jeden počítač. V tomto případě jako //brána//. | Dále je potřeba povolit překlad adres vaší klientské sítě tak, aby se pro síť internet tvářila jako jeden počítač. V tomto případě jako //brána//. |
| |
| Spusťte //system-config-firewall// (//Systém->Správa->Firewall//, v konzoli můžete použít //system-config-firewall-tui//) a v sekci //Maškarádování//, zaškrtněte pod //eth+// rozhraní //eth0// (to jest rozhraní //brány// za nějž se bude maskovat //klient//). Tím jste povolil tzv. NAT (Network address translation). | Spusťte //system-config-firewall// (//Systém->Správa->Firewall//, v konzoli můžete použít //system-config-firewall-tui//) a v sekci //Maškarádování//, zaškrtněte pod //eth+// rozhraní //eth0// (to je rozhraní //brány// za nějž se bude maskovat //klient//). Tím jste povolil tzv. NAT (Network address translation). |
| |
| Ve stejném nástroji v sekci //Důvěryhodná rozhraní// zaškrtněte pod //eth+// rozhraní //eth1//. Tím jste povolili přístup VŠECH paketům z vašeho //klienta// na //bránu//. \\ | Ve stejném nástroji v sekci //Důvěryhodná rozhraní// zaškrtněte pod //eth+// rozhraní //eth1//. Tím jste povolili přístup VŠECH paketům z vašeho //klienta// na //bránu//. \\ |
| ---- | ---- |
| [[obsah|Hlavní stránka]] | [[obsah|Hlavní stránka]] |
| | |