Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Podělte se o svůj názor s Evropskou komisí: Evropské otevřené digitální ekosystémy

dnes 03:00 | Komunita

Na stránkách Evropské komise, na portálu Podělte se o svůj názor, se lze do 3. února podělit o názor k iniciativě Evropské otevřené digitální ekosystémy řešící přístup EU k otevřenému softwaru.

Ladislav Hagara | Komentářů: 0

Orion pro Linux v alfa verzi

včera 19:44 | Zajímavý software

Společnost Kagi stojící za stejnojmenným placeným vyhledávačem vydala (𝕏) alfa verzi linuxové verze (flatpak) svého proprietárního webového prohlížeče Orion.

Ladislav Hagara | Komentářů: 4

Bose uvolnila API starších reproduktorů

včera 19:11 | IT novinky

Firma Bose se po tlaku uživatelů rozhodla, že otevře API svých chytrých reproduktorů SoundTouch, což umožní pokračovat v jejich používání i po plánovaném ukončení podpory v letošním roce. Pro ovládání také bude stále možné využívat oficiální aplikaci, ale už pouze lokálně bez cloudových služeb. Dokumentace API dostupná zde (soubor PDF).

NUKE GAZA! 🎆 | Komentářů: 0

AdGuard Home: domácí ochrana nejen před reklamou

včera 14:22 | Zajímavý článek

Jiří Eischmann se v příspěvku na svém blogu rozepsal o open source AdGuard Home jako domácí ochraně nejen před reklamou. Adguard Home není plnohodnotným DNS resolverem, funguje jako DNS forwarder s možností filtrování. To znamená, že když přijme DNS dotaz, sám na něj neodpoví, ale přepošle ho na vybraný DNS server a odpovědi zpracovává a filtruje dle nastavených pravidel a následně posílá zpět klientům. Dá se tedy používat k blokování reklamy a škodlivých stránek a k rodičovské kontrole na úrovni DNS.

Ladislav Hagara | Komentářů: 5

Claude Code lépe rozumí frameworku Nette

včera 03:33 | Zajímavý software

AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.

Ladislav Hagara | Komentářů: 1

Visual Studio Code a VSCodium 1.108

včera 00:11 | Nová verze

Byla vydána prosincová aktualizace aneb nová verze 1.108 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.108 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Notebook s plazmovým chlazením

8.1. 20:44 | IT novinky

Na lasvegaském veletrhu elektroniky CES byl předveden prototyp notebooku chlazeného pomocí plazmových aktuátorů (DBD). Ačkoliv se nejedná o první nápad svého druhu, nepochybně to je první ukázka praktického použití tohoto způsobu chlazení v běžné elektronice. Co činí plazmové chladící akční členy technologickou výzvou je především vysoká produkce jedovatého ozonu, tu se prý podařilo firmě YPlasma zredukovat dielektrickou

… více »

NUKE GAZA! 🎆 | Komentářů: 8

Patchouli, open source implementace EMR grafického tabletu

8.1. 16:33 | Zajímavý projekt

Patchouli je open source implementace EMR grafického tabletu (polohovací zařízení). Projekt je hostován na GitLabu.

Ladislav Hagara | Komentářů: 0

Česká právní úprava plošného uchování dat o elektronické komunikaci porušuje právo Evropské unie

8.1. 14:11 | IT novinky

Český Nejvyšší soud potvrdil, že česká právní úprava plošného uchování dat o elektronické komunikaci porušuje právo Evropské unie. Pravomocným rozsudkem zamítl dovolání ministerstva průmyslu a obchodu. To se teď musí omluvit novináři Českého rozhlasu Janu Cibulkovi za zásah do práv na ochranu soukromí a osobních údajů. Ve sporu jde o povinnost provozovatelů sítí uchovávat údaje, ze kterých lze odvodit, kdo, s kým a odkud komunikoval.

Ladislav Hagara | Komentářů: 16

Google bude vydávat zdrojové kódy Androidu pouze dvakrát ročně

8.1. 02:11 | Komunita

Google bude vydávat zdrojové kódy Androidu pouze dvakrát ročně. Ve 2. a 4. čtvrtletí.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 7, poslední 8.1. 15:35

Rozcestník

AbcLinuxu

HDmag.cz

Administrace komentářů

Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

Příspěvek

27.5.2009 14:21 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables

Posledni vec ktera mi neni uplne jasna... v jakem formatu se ulozi pravidla do souboru muj_firewall pomoci iptables-save? Klasicky textovy ktery mohu editovat a pripadne tam pravidla dopsat? To pochybuju kdyby to tak bylo byly by prikazy iptables-save/restore asi zbytecne ze?

Ten formát vás nemusí zajímat, pracují s ním jen příkazy iptables-save a iptables-restore. Jinak je to ale čistě textový formát, který má syntaxi velmi podobnou tomu, jak vypadá zápis pravidel pro příkaz iptables. Takže s trochou opatrnosti jej upravíte i v textovém editoru – ale to je zbytečné, vizte dále.

A malem bych zapomnel... Kdyz uz ta pravidla mam aplikovana(tzn po prikazu iptables - restore) tak je zmenim? To musim zase vsechno vypsat do konzole a pak celou proceduru udelat znova?

Ne, po iptables-restore máte firewall ve stejném stavu, jako byste ta pravidla nahrál přes jednotlivé příkazy iptables. Takže prostě jen dalšími příkazy iptables nastavení firewallu změníte a pak nastavení znova uložíte pomocí iptables-save.

Například, nejprve si nastavíte firewall tak, aby v příchozí komunikaci povoloval pokračování v navázaných spojeních a připojení na port 22 a 80 a uložíte:

iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP
iptables-save > /etc/muj-firewall

Pak můžete třeba tisíckrát spustit iptables-restore a nastavení firewallu se vždy obnoví. Pak se vzpomenete, že chcete firewall upravit – přístup na port 80 zakážete a povolíte port 443. Nejprve si vypíšete aktuální stav firewallu, zjistíte, který řádek chcete vymazat (ten s pravidlem pro port 80) a přidáte nové pravidlo.

iptables --line-numbers -nvL
iptables -D INPUT 3 #chcete smazat 3. pravidlo v INPUT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Teď máte firewall nastaven do nového požadovaného stavu, otestujete jej a když jste spokojen, zase jeho stav uložíte:

iptables-save > /etc/muj-firewall

Druha moznost reseni podle me mnohem jednodussi bez utilit jako iptables save/restore:
1) Vytvorim si soubor muj_firewall a do neho napisu prikazy iptables jako napr iptables -A INPUT -s xxx.xxx.xxx.xxx --destination-port 22 -j ACCEPT
2) Pomoci update-rc.d muj_firewall default ho dostanu do do /etc/init.d/ a do /etc/rcX.
Pri kazdem startu PC se vykonaji prikazy ulozene v muj_firewall. Tato vyrianta mi prijde mnohem jednodussi - nebo v ni snad vidite nejakou slabinu?

Výhod je několik. iptables-restore je pravděpodobně atomická operace, takže firewall je nejprve v jednom stavu, a pak hned v druhém. Pokud zadáváte pravidla postupně přes iptables, aplikují se postupně – takže je možné, že třeba nejprve nastavíte výchozí politiku na DROP a za pár sekund povolíte pravidlem SSH spojení – jenže mezitím bylo pár sekund SSH spojení zakázáno a spojení se přerušilo (a nemáte jak zadat to druhé pravidlo). Toto je samozřejmě extrémní případ, ale obecně není moc dobré mít firewall v nějakém mezistavu.

Za druhé, když budete pokaždé znova spouště skript nastavující firewall pomocí příkazů, budete muset řešit problém, jak skript otestovat. Buď jej testovat nebudete, a pak až při příštím restartu zjistíte, že jste omylem zakázal přístup k nějaké důležité službě – třeba k SSH a musíte jet fyzicky k serveru. S iptables-restore se tomu snadno vyhnete – třeba přes příkaz at si nastavíte, ať se za 5 minut obnoví vaše dosavadní nastavení firewallu. Pak přes iptables nastavení změníte a vyzkoušíte. Když funguje, načasovanou akci obnovení firewallu zrušíte, když nefunguje a třeba jste se odpojil, počkáte 5 minut, až se pravidla obnoví.

Druhá možnost je testovat skript tím, že jej při každá změně zkusíte spustit. Pak máte ale stejný problém jako v předchozím případě s tím, že se můžete od počítače snadno odstřihnout. Druhý problém je v tom, že při testování nebudete skript aplikovat na firewall ve stejném stavu, jako při startu počítače. Tj. musíte na začátek skriptu přidat výmaz všech uživatelských řetězců a nastavení všech výchozích hodnot. Jenže pak budou iptables zase při startu PC řvát, že mažete neexistující řetězec (a nejlépe vám to init systém pošle e-mailem), jednak hrozí, že při mazání na něco zapomenete, pak vám při testování bude skript fungovat (protože jste nějaké pravidlo zapomněl vymazat a pak nastavit, ve firewallu tedy zůstane), ale po restartu už bude firewall nastavený špatně (protože to nastavující pravidlo tam prostě bude chybět).

Proto je lepší používat kombinaci iptables-save a iptables-restore – vytvářet skript s voláním iptables je jen složitější a jsou tam zbytečná rizika.

V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

Offtopic diskuse použijte pro diskusi mimo záběr našeho portálu (včelařství, windows), která by měla být smazána.
Duplicitní diskuse je určena pro případ, kdy uživatel odeslal svůj dotaz několikrát.
Návrh na cenzuru použijte, pokud komentář obsahuje urážky, vulgarismy nebo porušuje zákony.
Návrh na smazání komentáře je velmi neobvyklá akce používaná obvykle při nepovolené reklamě či spamu, výkřicích psychicky nemocných jedinců (ještírci) nebo pro smazání duplikátních komentářů.
Oprava formátování je žádost pro úpravu formy příspěvku, například pokud někdo píše bez odstavců nebo použije PRE pro celý komentář. Žádosti o změnu obsahu budou zamítnuty.

Vaše jméno
Váš email
Typ požadavku

Slovní popis