Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
Ganicjusz

KVM / OpenVZ / Xen - kwestia firewalla

Przez Ganicjusz, w Bezpieczeństwo

Polecane posty

Ganicjusz    0

Ganicjusz
Napisano (edytowany)

Korzystam teraz z VPS na OpenVZ i jestem niezadowolony, gdyż mam bardzo mało modułów jądra, które mógłbym wykorzystać przy tworzeniu firewalla. Nie wiem czy firewall rzeczywiście jest niezbędny no ale na razie coś tam tworzyć próbuje. Znalazłem jednak lepszą cenowo ofertę i tam jest wirtualizacja KVM. Jak się ma KVM do kwestii firewalla i modółów jądra? Czy tak jak Xen, że mamy pełną wirtualizację i wszystkie moduły czy jest co coś podobnego do OpenVZ?

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

HaPe    242

HaPe
Napisano

Korzystam teraz z VPS na OpenVZ i jestem niezadowolony, gdyż mam bardzo mało modułów jądra, które mógłbym wykorzystać przy tworzeniu firewalla. Nie wiem czy firewall rzeczywiście jest niezbędny no ale na razie coś tam tworzyć próbuje. Znalazłem jednak lepszą cenowo ofertę i tam jest wirtualizacja KVM. Jak się ma KVM do kwestii firewalla i modółów jądra? Czy tak jak Xen, że mamy pełną wirtualizację i wszystkie moduły czy jest co coś podobnego do OpenVZ?

 

Jeśli brakuje Ci modułów jądra to napisz do supportu z prośbą o odblokowanie, niektóre można włączyć, choć nie wszystkie.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Ganicjusz    0

Ganicjusz
Napisano (edytowany)

Lepszą cenowo? Możesz podać gdzie?

 

Tilaa.nl

 

Jeśli brakuje Ci modułów jądra to napisz do supportu z prośbą o odblokowanie, niektóre można włączyć, choć nie wszystkie.

 

Tylko, że ja nie mam prawie wszystkich tych ważnych modułów, a z tych co mam dostępne to nawet nie wiem co wyrzeźbić:

 

Connection Tracking Match: Available

  Extended Mark Target: Available

  Extended Reject: Available

  Goto Support: Available

  Kernel Version: 2.6.32
  LOG Target: Available

  MARK Target: Available
  Mangle FORWARD Chain: Available
  Multi-port Match: Available
  NAT: Available
  Owner Match: Available
  Packet Mangling: Available
  Packet length Match: Available
  Persistent SNAT: Available

  Recent Match: Available
  Repeat match: Available
  TCPMSS Match: Available

  fwmark route mask: Available

 

A może olać kwestie firewala na OpenVZ i polegać tylko na fail2ban? Mam problem też z dostępnością webmina nie wiem jaką regułkę dać żeby działał bo te co daje dla portów 22 czy 80 nijak nie działają dla webmina.

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

furek    37

furek
Napisano

iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Ganicjusz    0

Ganicjusz
Napisano (edytowany)

iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

 

 

No właśnie to polecenie nie działa u mnie :[ Tzn jak wpisze iptables - L to widze webmin w wyjątkach ale webmin nie działa. Nie wiem może coś namieszałem w tym firewalu.

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

HaPe    242

HaPe
Napisano

Na pewno przez to dodawanie regułek nie zrobił Ci się tam sajgon i niektóre z nich się wykluczają?

PS Jak chcesz się nauczyć to porzuć webmina :)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Ganicjusz    0

Ganicjusz
Napisano

Mam jeszcze pytanie o wydajność - co jest wydajniejsze KVM czy XEN? Rozumiem, że oprócz KVM także Xen oferuje możliwość skonfigurowania zapory ze wszystkimi modułami jądra?

 

Na pewno przez to dodawanie regułek nie zrobił Ci się tam sajgon i niektóre z nich się wykluczają?

PS Jak chcesz się nauczyć to porzuć webmina smile.png

 

Bardzo możliwe, że coś namieszałem. A webmina używam tylko do robienia virtualhostów ;)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

furek    37

furek
Napisano

Ja osobiście polecam KVM , ale zdania są podzielone.

Jeżeli chodzi o webmina sprawdz czy jest odpalony i widnieje w procesach i czy używasz ssl czy bez ssl.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Ganicjusz    0

Ganicjusz
Napisano (edytowany)

Już sobie z webminem poradziłem, zainstalowałem apf firewall i skonfigurowałem w nim porty, dałem monokern na 1, uruchomiłem firewalla czyszcząc poprzednie ustawienia i chyba wszystko działa jedynie fail2ban sypie jakimiś błędami:

 

fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh-ddos
iptables -A fail2ban-ssh-ddos -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh-ddos returned 200
2012-05-03 13:12:54,963 fail2ban.actions.action: ERROR  iptables -N fail2ban-apache
iptables -A fail2ban-apache -j RETURN
iptables -I INPUT -p tcp -m multiport --dports http,https -j fail2ban-apache returned 200

 

Mam w fail2ban ustawione jail's na ssh, shh-ddos i apache2. Czy to coś powaznego? Fail2ban gryzie się z apf?

Edytowano przez Ganicjusz (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Bezpieczeństwo
×