Zabezpečení systému Linux: správa síťových karet, brána firewall a dynamické směrování

V dnešní době, kdy jsou Linux servery rozšířené téměř všude – od malých domácích laboratoří až po produkční infrastruktury – je kriticky důležité myslet na bezpečnost a stabilitu sítě. Tento článek vám ukáže praktický postup, jak posílit (hardening) Linuxový server či router pomocí tří hlavních oblastí:

Správa a optimalizace síťových karet
Iptables firewall – základní i pokročilá ochrana
Dynamické směrování – OSPF a RIP

Vysvětlíme si, proč jsou tyto kroky důležité, jak je technicky aplikovat, a navíc přidáme doporučení pro domácí lab testery i pro profesionální správce sítí.

1. Správa a optimalizace síťových karet

1.1 Identifikace a pojmenování rozhraní

ip link show
ip link set ens3 name lan0
ip link set ens4 name wan0
ip addr add 192.168.1.1/24 dev lan0
ip addr add 203.0.113.10/24 dev wan0

1.2 Ladění výkonu rozhraní

ethtool -K lan0 gro on gso on tso on
ip link set lan0 mtu 9000

2. iptables firewall – vrstvy ochrany

2.1 Základní politika „deny‑by‑default“

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2.2 NAT a forwarding mezi sítěmi

iptables -t nat -A POSTROUTING -o wan0 -j MASQUERADE
iptables -A FORWARD -i lan0 -o wan0 -j ACCEPT
iptables -A FORWARD -i wan0 -o lan0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

2.3 Prevence útoků a skenování

iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset

2.4 Logování blokovaných pokusů

iptables -A INPUT -j LOG --log-prefix "IPTABLES DROP: "
iptables -A INPUT -j DROP

3. Dynamické směrování – OSPF a RIP

3.1 Proč dynamické směrování?

Statické trasy fungují dobře jen v malých sítích. S rostoucí infrastrukturou je vhodnější použít dynamické protokoly:

RIP – jednoduchý, vhodný pro menší laby
OSPF – robustní, pro větší sítě

3.2 Konfigurace RIP pomocí FRR

apt install frr frr-ripd

V souboru /etc/frr/ripd.conf:

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

router rip
 version 2
 network 192.168.1.0/24
 network 10.0.0.0/24

Aktivace:

sed -i 's/ripd=no/ripd=yes/' /etc/frr/daemons
systemctl enable frr
systemctl restart frr

3.3 Konfigurace OSPF

router ospf
 network 192.168.1.0/24 area 0
 network 10.0.0.0/24 area 0

sed -i 's/ospfd=no/ospfd=yes/' /etc/frr/daemons
systemctl restart frr

4. Testování stability a bezpečnosti

ip route show – kontrola směrovacích tabulek
ping mezi LAN sítěmi
tcpdump -i lan0 – sledování paketů
iptables -L -v – výpis pravidel

Závěr

Tímto postupem:

Optimalizujete síťová rozhraní
Zabezpečíte server pomocí iptables
Nastavíte dynamické směrování pomocí RIP/OSPF

Linux tak získává sílu plnohodnotného síťového prvku. Pokud si chcete všechny kroky vyzkoušet v bezpečném lab prostředí, doporučujeme kurz Linux jako router a firewall.