Hardening Linuxu: správa sieťových kariet, firewall a dynamic routing
V dnešnej dobe, kedy sú Linux servery rozšírené takmer všade – od malých domácich laboratórií až po produkčné infraštruktúry – je kriticky dôležité myslieť na bezpečnosť a stabilitu siete. Tento článok vám ukáže praktický postup, ako zosilniť (hardening) Linuxový server či router pomocou troch hlavných oblastí:
- Správa a optimalizácia sieťových kariet
- Iptables firewall – základná aj pokročilá ochrana
- Dynamické smerovanie – OSPF a RIP
Vysvetlíme si, prečo tieto kroky sú dôležité, ako ich technicky aplikovať a navyše pridáme odporúčania pre domácich lab testerov aj pre profesionálnych správcov sietí.
1. Správa a optimalizácia sieťových kariet
1.1 Určenie a pomenovanie kariet
ip link show
ip link set ens3 name lan0
ip link set ens4 name wan0
ip addr add 192.168.1.1/24 dev lan0
ip addr add 203.0.113.10/24 dev wan01.2 Ladenie výkonnosti rozhraní
ethtool -K lan0 gro on gso on tso on
ip link set lan0 mtu 90002. iptables firewall – vrstvy ochrany
2.1 Základná politika „deny‑by‑default“
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT2.2 NAT a forwarding medzi sieťami
iptables -t nat -A POSTROUTING -o wan0 -j MASQUERADE
iptables -A FORWARD -i lan0 -o wan0 -j ACCEPT
iptables -A FORWARD -i wan0 -o lan0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT2.3 Prevencia útokov a skenovania
iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j REJECT --reject-with tcp-reset2.4 Logovanie blokovaných pokusov
iptables -A INPUT -j LOG --log-prefix "IPTABLES DROP: "
iptables -A INPUT -j DROP3. Dynamické smerovanie – OSPF a RIP
3.1 Prečo dynamické smerovanie?
Statické trasy fungujú len dobre v malých sietach. S rastúcou infraštruktúrou je vhodnejšie využiť dynamické protokoly:
- RIP – jednoduchý, pre menšie laby
- OSPF – robustný, pre väčšie siete
3.2 Konfigurácia RIP pomocou FRR
apt install frr frr-ripdV súbore /etc/frr/ripd.conf:
router rip
version 2
network 192.168.1.0/24
network 10.0.0.0/24Aktivácia:
sed -i 's/ripd=no/ripd=yes/' /etc/frr/daemons
systemctl enable frr
systemctl restart frr3.3 Konfigurácia OSPF
router ospf
network 192.168.1.0/24 area 0
network 10.0.0.0/24 area 0sed -i 's/ospfd=no/ospfd=yes/' /etc/frr/daemons
systemctl restart frr4. Testovanie stability a bezpečnosti
ip route show– kontrola smerovacích tabuliekpingmedzi LAN sieťamitcpdump -i lan0– sledovanie paketoviptables -L -v– výpis pravidiel
Záver
Týmto postupom:
- Optimalizujete sieťové rozhrania
- Zabezpečíte server pomocou iptables
- Nastavíte dynamické smerovanie pomocou RIP/OSPF
Linux tak získava silu plnohodnotného sieťového prvku. Ak si chcete všetky kroky vyskúšať v bezpečnom lab prostredí, odporúčame kurz Linux ako router a firewall.
Ako začať programovať?
Úvod do programovania pre každého bez prechádzajúcich znalostí.
Stiahnite si náš ebook teraz výnimočne zdarma!!!
Viac informacií preberáme na kurze:
Kurz NLX - Linux ako Router a Firewall
Súvisiace články:
- Analýza TCP spojenia a detekcia downtime cez Wireshark
- L3VPN a VRF na Cisco: multi‑tenant siete bez tajomstiev
- Linux router od nuly: inštalácia, smerovanie (RIP, OSPF) a firewall v praxi
- Ako efektívne plánovať WLAN topológie: Access, Repeater a Bridge režimy Cisco AP
- Cisco Access Point: Krok‑za‑krokom konfigurácia WLAN siete pre začínajúcich adminov
- Ako myslí hacker: ochrana pred ARP, MITM a replay útokmi v Cisco sieťach
- Dynamické filtre a reflexívne ACL: pokročilá bezpečnostná ochrana v TCP/IP sieťach