abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Firefox 126.0
    dnes 15:44 | Nová verze

    Byl vydán Mozilla Firefox 126.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Vylepšena byla funkce "Zkopírovat odkaz bez sledovacích prvků". Přidána byla podpora zstd (Zstandard). Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 126 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    Grafana 11.0
    dnes 15:22 | Nová verze

    Grafana (Wikipedie), tj. open source nástroj pro vizualizaci různých metrik a s ní související dotazování, upozorňování a lepší porozumění, byla vydána ve verzi 11.0. Přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Manjaro 24.0 Wynsdey
    dnes 14:55 | Nová verze

    Byla vydána nová verze 24.0 linuxové distribuce Manjaro (Wikipedie). Její kódové jméno je Wynsdey. Ke stažení je v edicích GNOME, KDE PLASMA a XFCE.

    Ladislav Hagara | Komentářů: 2
    Raspberry Pi M.2 HAT+
    dnes 13:00 | Nová verze

    Byla představena oficiální rozšiřující deska Raspberry Pi M.2 HAT+ pro připojování M.2 periferii jako jsou NVMe disky a AI akcelerátory k Raspberry Pi 5. Cena je 12 dolarů.

    Ladislav Hagara | Komentářů: 1
    Virtuální Bastlírna vol. 38: Co jste viděli na MakerFair?
    dnes 12:44 | Pozvánky

    V Praze o víkendu proběhla bastlířská událost roku - výstava Maker Fair v Praze. I strahovští bastlíři nelenili a bastly ostatních prozkoumali. Přijďte si proto i vy na Virtuální Bastlírnu popovídat, co Vás nejvíce zaujalo a jaké projekty jste si přinesli! Samozřejmě, nejen českou bastlířskou scénou je člověk živ - takže co se stalo ve světě a o čem mohou strahováci něco říct? Smutnou zprávou může být to, že provozovatel Sigfoxu jde do

    … více »
    bkralik | Komentářů: 0
    IllllIllIIl.llIlI.lI
    dnes 12:33 | Humor

    Kam asi vede IllllIllIIl.llIlI.lI? Zkracovač URL llIlI.lI.

    Ladislav Hagara | Komentářů: 1
    Společnost OpenAI představila svůj nejnovější AI model GPT-4o
    včera 22:00 | IT novinky

    Společnost OpenAI představila svůj nejnovější AI model GPT-4o (o jako omni, tj. vše). Nově také "vidí" a "slyší". Videoukázky na 𝕏 nebo YouTube.

    Ladislav Hagara | Komentářů: 0
    Reportáž z ceremonie podpisu kořenové zóny DNS
    včera 15:44 | Zajímavý článek

    Ondřej Filip publikoval reportáž z ceremonie podpisu kořenové zóny DNS. Zhlédnout lze také jeho nedávnou přednášku Jak se podepisuje kořenová zóna Internetu v rámci cyklu Fyzikální čtvrtky FEL ČVUT.

    Ladislav Hagara | Komentářů: 0
    Monitory určené pro programátory?
    včera 14:22 | IT novinky

    Společnost BenQ uvádí na trh novou řadu monitorů RD určenou pro programátory. První z nich je RD240Q.

    Ladislav Hagara | Komentářů: 19
    Superpočítač Frontier nadále zůstává nejvýkonnějším superpočítačem na světě (TOP500 06/2024)
    včera 13:00 | IT novinky

    Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem nadále zůstává Frontier od HPE (Cray) s výkonem 1,206 exaFLOPS. Druhá Aurora má oproti loňsku přibližně dvojnásobný počet jader a dvojnásobný výkon: 1,012 exaFLOPS. Novým počítačem v první desítce je na 6. místě Alps. Novým českým počítačem v TOP500 je na 112. místě C24 ve Škoda Auto v Mladé Boleslavi. Ostravská Karolina, GPU

    … více »
    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (72%)
     (6%)
     (11%)
     (12%)
    Celkem 243 hlasů
     Komentářů: 16, poslední dnes 11:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables brzdí login na ftp
    Štítky: firewally, FTP, Internet, iptables, kernel, Linux, SFTP, SSH

    Dotaz: iptables brzdí login na ftp

    David Watzke avatar 19.5.2006 17:38 David Watzke | skóre: 74 | blog: Blog... | Praha
    iptables brzdí login na ftp
    Přečteno: 196×
    Ahoj,

    nastavil jsem si iptables a teď když stahuju něco z ftp, tak se dlouho přihlašuju, ať už anonymně, nebo ke svýmu... 
    Resolving ftp.linux.cz... 147.251.48.205
Connecting to ftp.linux.cz|147.251.48.205|:21... connected.
Logging in as anonymous ... # a tady čekám... když "vypnu" iptables je to ihned
    Zajímavý je, že sftp je OK. V logu se vždy objeví: 
    IN=eth1 OUT= MAC=... SRC=... DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=33062 DF PROTO=TCP SPT=44600 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
IN=eth1 OUT= MAC=... SRC=... DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=33063 DF PROTO=TCP SPT=44600 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
IN=eth1 OUT= MAC=... SRC=... DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=33064 DF PROTO=TCP SPT=44600 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
IN=eth1 OUT= MAC=... SRC=... DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=5779 DF PROTO=TCP SPT=33477 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
INPUT drop: IN=eth1 OUT= MAC=... SRC=... DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=5779 DF PROTO=TCP SPT=33477 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
IN=eth1 OUT= MAC=... SRC=... DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=5780 DF PROTO=TCP SPT=33477 DPT=113 WINDOW=5840 RES=0x00 SYN URGP=0
    a pravidla iptables vypadají takto: 
    Chain INPUT (policy DROP 20346 packets, 2251K bytes)
 pkts bytes target     prot opt in     out     source               destination
 624K   62M ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpt:4000
 680K  577M ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpt:4663
   21  1222 ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp dpt:8010
    0     0 ACCEPT     udp  --  eth1   any     anywhere             anywhere            udp dpt:8010
   55  3300 LOG        tcp  --  eth1   any     anywhere             anywhere            tcp dpt:auth limit: avg 12/hour burst 5 LOG level warning
    2    56 ACCEPT     icmp --  eth1   any     anywhere             anywhere            length 0:100 icmp echo-request
 458K  315M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
  597 80409 LOG        all  --  any    any     anywhere             anywhere            limit: avg 12/hour burst 5 LOG level warning prefix `INPUT drop: '

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 624K   62M ACCEPT     all  --  any    lo      anywhere             anywhere
1074K  196M ACCEPT     all  --  any    eth1    anywhere             anywhere
    0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level warning prefix `OUTPUT drop: '
    Nevíte prosím jak to vyřešit?
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    19.5.2006 19:14 ZAH | skóre: 43 | blog: ZAH
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Prakticky v každém návodu k iptables najdete toto. 
    # Sluzbu AUTH neni dobre filtrovat pomoci DROP, protoze to muze
# vest k prodlevam pri navazovani nekterych spojeni. Proto jej
# sice zamitneme, ale vygenerujeme korektni ICMP chybovou zpravu
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -m limit --limit 12/h -j LOG
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT --reject-with tcp-reset #AUTH server
    David Watzke avatar 19.5.2006 19:26 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Oops... 
    root ~ # iptables -A INPUT -i eth1 -p TCP --dport 113 -m limit --limit 12/h -j LOG
root ~ # iptables -A INPUT -i eth1 -p TCP --dport 113 -j REJECT --reject-with tcp-reset
iptables: Unknown error 18446744073709551615
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    David Watzke avatar 20.5.2006 09:46 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Vyřešeno, chyběl mi modul ipt_REJECT. Díky všem za pomoc.
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    20.5.2006 11:14 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Raději zkontrolujte, jestli vám nechybí ještě něco, při použití neznámého targetu by se měla vypsat smysluplná chybová hláška, ne "unknown error".
    David Watzke avatar 20.5.2006 11:19 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Když dám do Googlu tu chybovou hlášku i s tím všeříkajícím číslem, zjišťuju, že to má milion příčin. Mimochodem, tady je konec strace výpisu, když jsem ještě neměl ten modul. 
    open("/lib64/iptables/libipt_REJECT.so", O_RDONLY) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\200\t\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=6504, ...}) = 0
mmap(NULL, 1053728, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x2b6587422000
mprotect(0x2b6587424000, 1044480, PROT_NONE) = 0
mmap(0x2b6587523000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1000) = 0x2b6587523000
close(3)                                = 0
socket(PF_INET, SOCK_RAW, IPPROTO_RAW)  = 3
getsockopt(3, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., [84]) = 0
getsockopt(3, SOL_IP, 0x41 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., [3768]) = 0
setsockopt(3, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., 4024) = -1 ENOENT (No such file or directory)
write(2, "iptables: Unknown error 18446744"..., 45iptables: Unknown error 18446744073709551615
) = 45
exit_group(1)                           = ?
    Z toho moc chytrej nejsem.
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    20.5.2006 11:46 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp 
      open("/lib64/iptables/libipt_REJECT.so", O_RDONLY) = 3
    ale nevypadá, že by tam ten modul nebyl. Spíš to vypadá, jako by k chybě došlo až při komunikaci s jádrem.
    David Watzke avatar 20.5.2006 11:50 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Jo, je to zvláštní, ale já jsem ten modul skutečně neměl, povolil jsem v jádře REJECT target support, jádro zkompiloval (make; zkompiloval se tedy jen ten modul, jádro už bylo), zkopíroval jsem si novej image do bootu (i když se asi skoro nezměnil) a nainstaloval moduly (make modules_install).
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    20.5.2006 11:57 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Pletete si dvě různé věci: za prvé modul jádra, který potřebujete k tomu, aby jádro bylo schopno aplikovat akci REJECT, tj. soubor (např.) /lib/modules/2.6.13-15.8-default/kernel/net/ipv4/netfilter/ipt_REJECT.ko Za druhé modul příkazu iptables, tj. object file, který je potřeba natáhnout, aby příkaz iptables porozuměl zápisu '-j REJECT' a přetlumočil ho jádru, to je soubor (např.) /usr/lib64/iptables/libipt_REJECT.so. Podle vašeho popisu to vypadá, že jste měl modul iptables, ale ne odpovídající modul jádra.

    P.S.: právě z podobných důvodů se snažím přesvědčovat lidi, aby rozlišovali netfilter (paketový filtr v jádře) a iptables (user space rozhraní sloužící ke konfiguraci netfilteru).

    David Watzke avatar 20.5.2006 12:02 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Aha, už chápu. Tak to bylo - jen jsem to špatně popsal.
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    19.5.2006 20:13 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables brzí login na ftp
    Mnohem častěji to ovšem bývá tím, že nefunguje reverzní lookup IP adresy klienta.
    David Watzke avatar 19.5.2006 20:19 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzdí login na ftp
    Funguje, tady jsem to testnul... 
    84.242.75.233 resolves to
"bys-84-242-75-233.karneval.cz"
Top Level Domain: "karneval.cz"
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    19.5.2006 19:38 Libor Klepac | skóre: 45 | Mýto
    Rozbalit Rozbalit vše Re: iptables brzdí login na ftp
    zkusil bych take moduly ip_nat_ftp a ip_conntrack_ftp, zvlast jestli pouzivas aktivni ftp, a uplne zvlast,pokud sedis nekde na stroji za timhle strojem ;)
    Urine should only be green if you're Mr. Spock.
    David Watzke avatar 19.5.2006 19:46 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzdí login na ftp
    Ne, to opravdu nesedím... Ty moduly tu mám, ale co s nimi? Aktivní FTP zřejmě používám - trvá to i když wgetu dám --no-passive-ftp.
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    David Watzke avatar 20.5.2006 09:55 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzdí login na ftp
    I když... nevím. Když v nastavení připojení v KControl odškrtnu "Enable passive mode (PASV)", tak se v Konqueroru na žádný FTP nedostanu... Když někam vlezu anonymně, tváří se jako když na tom FTP nic není a když zadám login a password, tak píše Login OK, ale taky prázdno.
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    Luboš Doležel (Doli) avatar 20.5.2006 09:57 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: iptables brzdí login na ftp
    Všechny ti KIO jsou podivný a nespolehlivý. Spíš věřím tomu, co řekne (a jak se zachová) konzolový nástroj ftp.
    19.5.2006 21:44 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables brzdí login na ftp
    Jasný to problém s portem 113 služba auth :-)

    Nezahazovat ale odmítat REJECT
    David Watzke avatar 19.5.2006 22:14 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: iptables brzdí login na ftp
    Viz #1.
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.