Update 1.3. Nastavení a zabezpečení sítě

1.-Hosting-a-server/1.3.-Nastavení-a-zabezpečení-sítě.md

@@ -1,14 +1,22 @@
 ## Síťová rozhraní
 
-Primární síťové rozhraní je `eth0` s IP adresami **159.69.247.130** a **2a01:4f8:c010:1385::1**, taktéž vypsanými v [informacích o serveru](1.2.-Informace-o-serveru). IPv4 je přidělována dynamicky pomocí DHCP protokolu z DHCP serveru ve správě společnosti Hetzner. IPv6 je nastavena staticky, ale alokace je taktéž spravována společností Hetzner. Přidělené IP jsou vypsány ve webovém rozhraní pro správu serverhostingu.
+Primární síťové rozhraní je `ens3` s IP adresami **159.69.247.130** a **2a01:4f8:c010:1385::1**, taktéž vypsanými v [informacích o serveru](1.2.-Informace-o-serveru). IPv4 je přidělována dynamicky pomocí DHCP protokolu z DHCP serveru ve správě společnosti Hetzner. IPv6 je nastavena staticky, ale alokace je taktéž spravována společností Hetzner. Přidělené IP jsou vypsány ve webovém rozhraní pro správu serverhostingu.
 
-Dále je na serveru nastaveno rozhraní síťového mostu `lxdbr0` sdílené mezi hostitelem a LXC/LXD kontejnery. Na hostiteli má toto rozhraní staticky přiřazenou IPv4 **10.0.3.1/24**
+Dále je na serveru nastaveno rozhraní síťového mostu `lxcbr0` sdílené mezi hostitelem a LXC kontejnery. Na hostiteli má toto rozhraní staticky přiřazenou IPv4 **10.0.3.1/24**
 
-LXC/LXD kontejnery mají staticky přidělené IPv4 v konfiguraci kontejneru následovně:
+LXC kontejnery mají staticky přidělené IPv4 v konfiguraci kontejneru následovně:
-- **GitLab:** 10.0.3.2
+- 10.0.3.2 onlyoffice
-- **SeedDMS:** 10.0.3.3
+- 10.0.3.3 gitlab
-- **Pan.do/ra:** 10.0.3.4
+- 10.0.3.4 seeddms
-- **Odoo:** 10.0.3.5
+- 10.0.3.5 seeddms-postgres
+- 10.0.3.6 dhis2
+- 10.0.3.7 dhis2-postgres
+- 10.0.3.8 odoo
+- 10.0.3.9 odoo-postgres
+- 10.0.3.10 decidim
+- 10.0.3.11 decidim-postgres
+- 10.0.3.12 sahana
+- 10.0.3.13 sahana-postgres
 
 Na serveru je zapnut IPv4 forwarding (konfigurace v souboru `/etc/sysctl.d/50-ip-forward.conf`) a obě síťová rozhraní jsou spravována pomocí `systemd-networkd`.
 
@@ -28,14 +36,12 @@ Na serveru je nastaven firewall pomocí `iptables` a pomocného skriptu `firewal
 - Přijmi příchozí nová TCP spojení na portech 110 a 995 (POP3 a POP3S)
 - Přijmi příchozí nová TCP spojení na portech 143 a 993 (IMAP a IMAPS)
 - Přijmi příchozí nová TCP spojení na portu 22 (SSH) z adres dasm.dasm.cz a infra.dasm.cz (@Disassembler)
-- Přijmi příchozí nová UDP i TCP spojení na portu 53 (DNS) z adres v subnetu 10.0.3.0/24 (LXC/LXD kontejnery)
+- Přijmi příchozí nová UDP i TCP spojení na portu 53 (DNS) z adres v subnetu 10.0.3.0/24 (LXC kontejnery)
-- Přijmi příchozí nová TCP spojení na portu 5432 (PostgreSQL) z adres v subnetu 10.0.3.0/24 (LXC/LXD kontejnery)
-- Přijmi příchozí nová TCP spojení na portu 5672 (RabbitMQ) z adres v subnetu 10.0.3.0/24 (LXC/LXD kontejnery)
 - Přijmi příchozí nová spojení z localhostu
 - Zahoď všechna ostatní spojení
 
 **IPv4, tabulka *nat*, chain *PREROUTING***
-- Příchozí nová TCP spojení na portu 2222 pocházející z IP rozsahů českých ISP přesměruj na 10.0.3.2 (GitLab LXD kontejner), port 22 (SSH). Zdrojem pro rozsahy IP je služba [IPdeny](http://www.ipdeny.com/ipblocks/data/countries/cz.zone).
+- Příchozí nová TCP spojení na portu 2222 pocházející z IP rozsahů českých ISP přesměruj na 10.0.3.2 (GitLab LXC kontejner), port 22 (SSH). Zdrojem pro rozsahy IP je služba [IPdeny](http://www.ipdeny.com/ipblocks/data/countries/cz.zone).
 
 **IPv4, tabulka *nat*, chain *POSTROUTING***
 - Aplikuj maškarádu na spojení ze subnetu 10.0.3.0/24, která jsou směrována mimo subnet 10.0.3.0/24
@@ -60,7 +66,7 @@ Na serveru je nainstalován systém detekce narušení **Fail2ban**. Ten princip
 
 Monitorovány jsou následující služby:
 - **SSH**
-  - Soubor: `/var/log/auth.log` a tentýž soubor i v LXD kontejneru GitLab
+  - Soubor: `/var/log/auth.log` a tentýž soubor i v LXC kontejneru GitLab
   - Počet pokusů: 5
 - **HTTP(S)**
   - Soubor: `/var/log/apache2/*error.log` a log webového rozhraní pro maily RoundCube `/usr/share/roundcube/logs/errors`