Bylo oznámeno vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.
Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.
PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.
Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.
Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.
Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.
Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.
Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.
Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.
Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.
5.2.2007 23:11
| Přečteno: 5004×
| 
Jádro 2.6.20 přineslo plnou implementaci NATU nad sjednoceným NF_CONNTRACK rozhraním. Jak opustit zastaralý IP_CONNTRACK (fuj, kdo bych chtěl takovou vykopávku) a vejít vstříc světlým zítřkům s novým a úžasným NF_CONNTRACKEM se dozvíte právě teď.
Dříve byla jaderná část Netfilteru (tzv. Corefilter) vyvíjená jen pro IPv4. Později, když se Linux naučil IPv6, začalo období hurá programování (projekt USAGI), které mělo přinést nezávislou, i když odvozenou, implementaci i pro IPv6.
Časem se ale ukázalo, že se příliš duplikuje kód, conntrack helpery se píší na dva krát a vůbec je to takové divné. Vývojáři netfilteru se nakonec zařekli a i přes hlasitý křik uživatelů dožadujících se plně stavového IPv6 firewallu, několik let přepisovali jadernou část tak, aby funkcionalita společná IPv4 a IPv6 byla oddělena od adresně-rodinně [address family] specifického kódu.
Dílo se nakonec zdařilo a dnes si můžeme užívat plodů jejich práce.
Rozbalíme zdrojáky jádra, zkopírujeme starý .config a spustíme náš oblíbený konfigurační nástroj (make NĚCOconfig).
V Networking → Networking options → Network packet filtering framework (Netfilter) najdeme tři podmenu: Core Netfilter Configuration, IP: Netfilter Configuration a IPv6: Netfilter Configuration.
V Core Netfilter Configuration zapneme Netfilter connection tracking support (CONFIG_NF_CONNTRACK_ENABLED) a jako Netfilter connection tracking support zvolíme Layer 3 Independent Connection tracking (CONFIG_NF_CONNTRACK_SUPPORT=y). Druhou volbu (CONFIG_IP_NF_CONNTRACK_SUPPORT) prosím ne. To je ta stará možnost, která se dosud používala a které se chceme zbavit. Pokud ručně editujete .config, tak ji zakomentujte.
Abychom využili RELATED stav spojení na nějakém pěkném aplikačním protokolu, vybereme zde conntrack helper např. pro FTP (FTP protocol support, CONFIG_NF_CONNTRACK_FTP) a pro SIP (SIP protocol support, CONFIG_NF_CONNTRACK_SIP). Právě zde v přímém přenosu vidíte důkaz výhody sjednoceného rozhraní, kdy se nemusíme starat zvlášť o IPv4 a zvlášť o IPv6.
V IP: Netfilter Configuration zapneme IPv4 connection tracking support (required for NAT) (CONFIG_NF_CONNTRACK_IPV4) a pokud máme programy zpracovávající soubor /proc/net/ip_conntrack, zapneme také proc/sysctl compatibility with old connection tracking (CONFIG_NF_CONNTRACK_PROC_COMPAT). Kdybychom toto neudělali, museli bychom upravit své programy, aby rozuměly novému souboru /proc/net/nf_conntrack. Dále ponecháme zapnutou podporu pro iptables (IP tables support (required for filtering/masq/NAT), CONFIG_IP_NF_IPTABLES) a pozor, zlatý hřeb večera – nová implementace NATU Full NAT (CONFIG_NF_NAT).
Jedná se o dříve avizovanou novinku jádra 2.6.20. Její nepřítomnost byla posledním důvodem, proč mezi podporou IPv4 NATU a IPv6 conntrackingu byl vztah vzájemné výlučnosti. Od nynějška to již není pravda a obě funkce mohou být zakompilovány současně.
Zbývá zapnout IPv6 connection tracking support (CONFIG_NF_CONNTRACK_IPV6) v podmenu IPv6: Netfilter Configuration a zcela určitě ponechat podporu IPv6 iptables IP6 tables support (required for filtering) (CONFIG_IP6_NF_IPTABLES).
Samozřejmě si můžete zakompilovat, co je libo a co uznáte za vhodné (např. netlink a zpřístupnění conntrack tabulky přes netlink. Hodí se pro nástroj conntrack, který umí conntrack tabulku prohledávat ale také i měnit a záznamy přidávat nebo odmazávat (ale o tom až někdy jindy)).
$ lsmod Module Size Used by ipt_MASQUERADE 2496 1 nf_conntrack_sip 8020 0 iptable_nat 5956 1 nf_nat 14188 2 ipt_MASQUERADE,iptable_nat eeprom 5584 0 nf_conntrack_ipv4 13068 3 iptable_nat ipt_REJECT 3328 2 nf_conntrack_ipv6 15836 1 xt_state 1984 2 xt_tcpudp 2944 22 iptable_filter 2240 1 iptable_mangle 2176 0 ip6table_filter 2112 1 ip_tables 9736 3 iptable_nat,iptable_filter,iptable_mangle ip6_tables 10824 1 ip6table_filter x_tables 11588 7 ipt_MASQUERADE,iptable_nat,ipt_REJECT,xt_state,xt_tcpudp,ip_tables,ip6_tables nf_conntrack_ftp 7872 0 nf_conntrack 48264 8 ipt_MASQUERADE,nf_conntrack_sip,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state,nf_conntrack_ftp nfnetlink 4888 3 nf_conntrack_ipv4,nf_conntrack_ipv6,nf_conntrack ipv6 229984 23 nf_conntrack_ipv6
$ iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination
$ iptables -t filter -nL INPUT Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
$ ip6tables -t filter -nL INPUT Chain INPUT (policy DROP) target prot opt source destination ACCEPT all ::/0 ::/0 state RELATED,ESTABLISHED
$ cat /proc/net/nf_conntrack ipv4 2 tcp 6 112 TIME_WAIT src=147.251.23.20 dst=147.251.23.19 sport=3472 dport=8118 src=147.251.23.19 dst=147.251.23.20 sport=8118 dport=3472 [ASSURED] use=1 ipv4 2 tcp 6 111 TIME_WAIT src=147.251.23.20 dst=147.251.23.19 sport=3467 dport=8118 src=147.251.23.19 dst=147.251.23.20 sport=8118 dport=3467 [ASSURED] use=1 ipv6 10 tcp 6 428207 ESTABLISHED src=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 dst=2001:06a8:3c80:0000:0203:baff:fe39:f931 sport=3406 dport=21 src=2001:06a8:3c80:0000:0203:baff:fe39:f931 dst=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 sport=21 dport=3406 [ASSURED] use=2 ipv4 2 udp 17 179 src=147.251.23.20 dst=147.251.23.19 sport=1026 dport=53 src=147.251.23.19 dst=147.251.23.20 sport=53 dport=1026 [ASSURED] use=1 ipv6 10 tcp 6 431999 ESTABLISHED src=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 dst=2002:93fb:1712:0000:0000:0000:0000:0001 sport=1693 dport=8000 src=2002:93fb:1712:0000:0000:0000:0000:0001 dst=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 sport=8000 dport=1693 [ASSURED] use=1 ipv6 10 tcp 6 431999 ESTABLISHED src=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 dst=2001:06a8:3c80:0000:0203:baff:fe39:f931 sport=4684 dport=56997 src=2001:06a8:3c80:0000:0203:baff:fe39:f931 dst=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 sport=56997 dport=4684 [ASSURED] use=1 ipv6 10 tcp 6 431707 ESTABLISHED src=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 dst=2002:93fb:1712:0000:0000:0000:0000:0001 sport=2212 dport=22 src=2002:93fb:1712:0000:0000:0000:0000:0001 dst=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 sport=22 dport=2212 [ASSURED] use=1
cat /proc/net/nf_conntrack_expect 176 l3proto = 2 proto=17 src=69.90.155.70 dst=147.251.23.20 sport=0 dport=7078 280 l3proto = 10 proto=6 src=2001:06a8:3c80:0000:0203:baff:fe39:f931 dst=2002:93fb:1712:0001:4e00:10ff:fe60:7ca6 sport=0 dport=1209
Tiskni
Sdílej:
6.2.2007 00:21
Mikos | skóre: 34
| blog: Jaderný blog
| Praha
Vzpominam si jak jsme nekdy kolem roku 2002 (?) v SuSE linuxovy kernel trapili TAHI testsuitou. Po nekolika mesicich jsme dosahli skoro 100% pass rate. Ale na NetBSD jsme ani tak nemeli 
Mam dva stroje 
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz3ffe:ffff::129/64 a 3ffe:ffff::141/64 a na to druhym s 2.6.21-rc1 mam:
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTJenze SSH odsud na :129 nefunguje, protoze packety z neighbour discovery (obdoba ARP pro IPv6) se do RELATED asi nepocitaji, takze je DROPnul firewall. Musel jsem tomu jeste predradit
ip6tables -I INPUT -p icmpv6 -j ACCEPTTo si nestezuju, jen konstatuju
Ostatne v IPv4 iptables se ARP taky neblokuje.
(Mimochodem akceptovalo to i "ip6tables ... -p icmp" coz ale pochopitelne nefunguje - uz to jdu nareportovat)
…protoze packety z neighbour discovery (obdoba ARP pro IPv6) se do RELATED asi nepocitaji, takze je DROPnul firewall. Musel jsem tomu jeste predraditRekl bych, ze odpovedi jsou RELATAED, jen ty prichozi dotazy jsou NEW a tudiz spravne zahazovany. ARP byl zcela nadhrazen (superseded) ICPMv6 protokolem. Souhlasim, ze je to pusobi trochu nezvykle a je to obvykle prvni chyba, se kterou se clovek firewallujici setka. Vasemu ctenemu oku doporucuji dokument Best Current Practice for Filtering ICMPv6 Messages in Firewalls.ip6tables -I INPUT -p icmpv6 -j ACCEPT
(Mimochodem akceptovalo to i "ip6tables ... -p icmp" coz ale pochopitelne nefunguje - uz to jdu nareportovat)
icmp (1) a ipv6-icmp (58, v ip6tables tez zvany icmpv6) jsou dva ruzne protokoly. Nevidim problem, proc by neslo ten ci onen prenaset nad druhym sitovym protokolem. Ze ip6tables ma dva nazvy pro jednu vec, se lze presvedcit vypisy ip6tables -vnL a ip6tables-save.
-p icmpv6 a ne -p icmp by to chtelo.
Uz jsem to napraskal do bugzilly netfilteru tak uvidime.