Project

General

Profile

Suporte #2245

Acesso a máquina virtual

Added by Miguel Lopes Luis almost 10 years ago. Updated almost 10 years ago.

Status:
Fechado
Priority:
Imediata
Category:
Servidor Linux
Start date:
10/31/2011
Due date:
% Done:

0%


Description

Boa tarde,

nao consigo aceder à maquina virtual.
Não responde a pings.
Quando poderei ter acesso?

Obrigado.

History

#1 Updated by Tiago Simoes Batista almost 10 years ago

  • Status changed from Novo to Fechado

Quando te apanhar na praça pagas-me um copo que te lixas!!!!

Já fiz reset às regras da tua firewall..... O que vale é que trancas a casa toda mas deixas a fechadura debaixo do tapete :D

Bom trabalho

#2 Updated by Miguel Lopes Luis almost 10 years ago

A conta de root muda de password quando faz reboot?

#3 Updated by Tiago Simoes Batista almost 10 years ago

Sim, é um bug que eu ainda não corrigi.... não pensei que voces andassem a fazer reboot das máquinas!

Na proxima versão da coisa prometo que verifico isso!

#4 Updated by Miguel Lopes Luis almost 10 years ago

Como é que é suposto actualizar o kernel no Scientific Linux?

#5 Updated by Tiago Simoes Batista almost 10 years ago

Já te destranquei a máquina de novo... para a próxima, por favor começa por usar um script decente para criares a firewall, recomendo o que deixo abaixo. Tens que editar as redes administrativas (aqui apenas mostro a do IT) e os portos que queres abrir ao publico e/ou para as rede administrativas.

Não recomendo que tentes filtrar tráfego de saída num servidor, isso dá jeito é num router, mas num servidor tens total controlo sobre o que está a correr... Se tiveres desconfianças, adiciona as regras que quiseres ao OUTPUT, e no fim mete um -J LOG (não metas a politica DROP), por forma a gravares tudo o que sai fora dos padrões autorizados, a partir da informação recolhida então faz uma versão melhorada do filtro.

Com relação ao kernel... Esta uma máquina como outra qualquer... A documentação para RHEL6, CENTOS6 e SL6 deverá ser toda válida! Mas se vais trabalhar nisso recomendo VIVAMENTE que testes numa VM local antes de tentares meter nesta!

Este script não foi testado em SL6, apenas em CENTOS 5.6 onde está a gerir uma firewall simples mas funcional. Não sei se em SL6 continuam a existir todos os módulos, existe a possibilidade de alguns terem mudado de nome e de outros virem potencialmente simplificar este script....

#!/bin/sh
# Autor: Tiago Simoes Batista a19944@gmail.com
#
#
# Hosts do IT:
#    193.136.92.0/255.255.254.0
#
#
# Portos públicos:
#     443  (https)
#     80   (http)
#
# Portos administrativos:
#     7002 (weblogic admin sobre https)
#     7003 (weblogic Server-0 sobre http para testes)
#     7004 (seblogic Server-0 sobre https para testes, self signed)
#     8081 (oracle apex)
#     8443 (tomcat sobre https)
#     3306 (mysql)
#     1521 (oracle XE)
#     22   (ssh)
#
# Protocolos extra a aceitar:
#     icmp (throthled)
#
# Interfaces onde tudo é permitido:
#     lo
#

PUBLIC_PORTS="443,80" #https, httpd

ADMIN_PORTS="7002,7003,7004,8443,8081,3306,1521,22" #wl admin, wl Server0 (http), wl Server0 (https), tomcat, apex, mysql, oracle XE, ssh

# Redes separadas por espacos
ADMIN_NETS="193.136.92.0/255.255.254.0 192.168.0.0/255.255.0.0 172.16.0.0/255.240.0.0 10.0.0.0/255.0.0.0" 

######### binaries #############
IPTABLES=`which iptables`
IP6TABLES=`which ip6tables`

if [ "X`whoami`" != "Xroot" ]; then
    IPTABLES="`which sudo` $IPTABLES" 
    IP6TABLES="`which sudo` $IP6TABLES" 
fi

# reset, iniciar tudo a partir de um estado conhecido:
$IPTABLES -F
$IPTABLES -X
for i in `cat /proc/net/ip_tables_names`; do
    $IPTABLES -t $i -F
    $IPTABLES -t $i -X
done

# Ignora tudo o que vem do exterior a não ser que seja permitido explicitamente
# Nota: Se for necessário auditar tráfego nesta máquina, isto tem que mudar
$IPTABLES -P INPUT DROP

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT

# Aceitar icmp apenas se o rate não for muito elevado
$IPTABLES -A INPUT -p icmp -m limit --limit 10/min -j ACCEPT

# Aceitar sessões já estabelecidas
$IPTABLES -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Permitir acesso do exterior
$IPTABLES -A INPUT -p tcp -m tcp -m multiport --dports $PUBLIC_PORTS -m conntrack --ctstate NEW -j ACCEPT

# Permitir acesso administrativo
for NET in $ADMIN_NETS; do
    $IPTABLES -A INPUT -s $NET -p tcp -m tcp -m multiport --dports $ADMIN_PORTS -m conntrack --ctstate NEW -j ACCEPT
done

# Repetir tudo para IPV6, se o modulo estiver disponivel

[ ! -f  /proc/net/if_inet6 ] && exit 0

# reset, iniciar tudo a partir de um estado conhecido:
$IP6TABLES -F
$IP6TABLES -X
for i in `cat /proc/net/ip6_tables_names`; do
    $IP6TABLES -t $i -F
    $IP6TABLES -t $i -X
done

# Ignora tudo o que vem do exterior a não ser que seja permitido explicitamente
# Nota: Se for necessário auditar tráfego nesta máquina, isto tem que mudar
$IP6TABLES -P INPUT DROP

# Impedir o forward de uma placa para outra
$IP6TABLES -P FORWARD DROP

# Tráfego gerado por nos pode sair
$IP6TABLES -P OUTPUT ACCEPT

# Aceitar (e encaminhar) tudo em lo
$IP6TABLES -A INPUT -i lo -j ACCEPT
$IP6TABLES -A FORWARD -i lo -j ACCEPT

# Aceitar icmp apenas se o rate não for muito elevado
$IP6TABLES -A INPUT -p icmpv6 -m limit --limit 10/min -j ACCEPT

# Aceitar sessões já estabelecidas
$IP6TABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir acesso público
$IP6TABLES -A INPUT -p tcp -m tcp -m multiport --dports $PUBLIC_PORTS -m state --state NEW -j ACCEPT
# permitir acesso administrativo
for NET in $ADMIN6_NETS; do
    $IP6TABLES -A INPUT -s $NET -p tcp -m tcp -m multiport --dports $ADMIN_PORTS -m state --state NEW -j ACCEPT
done

#6 Updated by Miguel Lopes Luis almost 10 years ago

OK, obrigado pelo script, vou dar uma olhadela.

Em relação ao kernel, a minha questão é que um 'yum update' faz download do novo kernel e não conheço outra forma de o carregar a não ser por reboot, por isso estranhei quando disseste que nao pensasses que se fizessem reboots às máquinas.

Also available in: Atom PDF