abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 17:11 | Komunita

Byly zveřejněny videozáznamy přednášek z Fedora 26 Release Party konané 10. srpna v Praze.

Ladislav Hagara | Komentářů: 0
dnes 15:33 | Komunita

Přesně před čtyřiadvaceti lety, 16. srpna 1993, oznámil Ian Murdock vydání "Debian Linux Release".

Ladislav Hagara | Komentářů: 3
dnes 06:00 | Bezpečnostní upozornění

Ve virtualizačním softwaru Xen bylo nalezeno a opraveno 5 bezpečnostních chyb XSA-226 až XSA-230. Nejzávažnější z nich XSA-227 (CVE-2017-12137) umožňuje eskalaci privilegií a ovládnutí celého systému, tj. správce hostovaného systému se může stát správcem hostitelského systému.

Ladislav Hagara | Komentářů: 0
včera 22:00 | Zajímavý projekt

V roce 2013 proběhla na Kickstarteru úspěšná kampaň na podporu otevřeného Dobře temperovaného klavíru (Well-Tempered Clavier). Stejný tým s Kimiko Išizaka spustil před týdnem na Kickstarteru kampaň Libre Art of the Fugue na podporu svobodného Umění fugy.

Ladislav Hagara | Komentářů: 2
včera 13:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 143. brněnský sraz, který proběhne v pátek 18. srpna od 18:00 hodin ve sportovním areálu a restauraci BeachPub Sokolák u Brněnské přehrady aneb v hantecu u Prýglu.

Ladislav Hagara | Komentářů: 0
včera 10:55 | Nová verze

Byla vydána (pdf) verze 3 průběžně aktualizované (rolling release) linuxové distribuce Solus (Wikipedie). Ke stažení je v edicích Budgie, GNOME a MATE. Z novinek lze zmínit například podporu snapů. Solus 3 obsahuje Firefox 55.0.1, LibreOffice 5.4.0.3, Rhythmbox 3.4.1 nebo Thunderbird 52.2.1. Edice Budgie a GNOME přichází s GNOME MPV 0.12. Edice MATE s VLC 2.2.6.

Ladislav Hagara | Komentářů: 5
14.8. 21:44 | Nová verze

Po více než roce vývoje od vydání verze 1.0 Microsoft oznámil vydání verze 2.0 platformy .NET Core (GitHub). Přehled novinek v poznámkách k vydání a ve videu na Channel 9.

Ladislav Hagara | Komentářů: 0
14.8. 21:11 | Pozvánky

Před dvaceti lety, 15. srpna 1997, poslal Miguel de Icaza do diskusního listu GTK+ email, který je považován za zahájení projektu GNOME. Linux Desktop Meetup pořádá oslavu ve středu 16. srpna od 19:00 v brněnském Charlie's square.

Ladislav Hagara | Komentářů: 18
14.8. 11:55 | IT novinky
Na šampionátu The International 2017 byl představen bot, který poráží profesionální hráče počítačové hry Dota 2. Bot zatím umí jenom zápasy 1v1. Vývojáři pracují na podpoře 5v5. Jedná se o společný projekt organizace OpenAI a společnosti Valve. Více na stránkách OpenAI a na YouTube. Dle Elona Muska je elektronický sport mnohem komplexnější než šachy nebo go [Hacker News].
Ladislav Hagara | Komentářů: 14
14.8. 05:55 | Nová verze

Byla vydána verze 20.0 a krátce na to opravná verze 20.0.1 svobodného softwaru OBS Studio (Open Broadcaster Software, Wikipedie) určeného pro streamování a nahrávání obrazovky počítače. Přehled novinek i s náhledy a animovanými gify v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (17%)
 (77%)
Celkem 339 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Dotaz: Prerouting iptables

    2.8.2006 20:24 Chap
    Prerouting iptables
    Přečteno: 639×
    ahoj, snazim se smerovat porty na routeru. bohuzel tomu zas tak moc nerozumim. na nekolika forech jsem videla jak na to ale stejne se mi nejak nedari. Kdyz dam iptables-save tak vidim: :PREROUTING ACCEPT [403:33726] a :INPUT DROP [183:25759] :FORWARD DROP [712:34348]

    z ceho jsem usoudil ze prerouting funguje asi dobre ale pakety to zahodi nekde mezi vnejsi a vnitrni sitovkou :-(

    na forwardeni mam nastaveno tohle:

    iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -i ath0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    na ath0 je verejna ip. Snad jsem se zeptal dost srozumitelne. predem diky za odpoved Chap

    Odpovědi

    2.8.2006 21:41 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Snad jsem se zeptal dost srozumitelne.

    Obávám se že ne.

    2.8.2006 22:12 M
    Rozbalit Rozbalit vše Re: Prerouting iptables
    nechces napsat ostatni pravidla na "smerovani portu" co tam mas?;)
    2.8.2006 22:22 Chap
    Rozbalit Rozbalit vše Re: Prerouting iptables
    tak tady je kompletni nastaveni meho FW (1.2.3.4 je moje verejna IP) delal jsem to podle serialu na root.cz

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -N tcp_segmenty
    iptables -N udp_segmenty
    iptables -A INPUT -p TCP -i ath0 -j tcp_segmenty
    iptables -A INPUT -p UDP -i ath0 -j udp_segmenty
    iptables -A udp_segmenty -p UDP --dport 5001 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 5000 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 80 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 20 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 21 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 22 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 0 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 3 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 8 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 11 -j ACCEPT


    iptables -A INPUT -p ALL -i eth0 -j ACCEPT
    iptables -A INPUT -p ALL -i lo -j ACCEPT

    iptables -A INPUT -j LOG

    iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
    iptables -A OUTPUT -p ALL -s 192.168.10.1 -j ACCEPT
    iptables -A OUTPUT -p ALL -s 1.2.3.4 -j ACCEPT
    iptables -A OUTPUT -j LOG



    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A FORWARD -i ath0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth0 -o ath0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -t nat -A POSTROUTING -o ath0 -j MASQUERADE


    iptables -t nat -A POSTROUTING -o ath0 -j SNAT --to 1.2.3.4
    iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 5000 -j DNAT --to 192.168.10.2:5000
    iptables -t nat -A PREROUTING -p udp -d 1.2.3.4 --dport 5001 -j DNAT --to 192.168.10.2:5001

    iptables -N spoofing
    iptables -A spoofing -s 192.168.0.0/16 -j DROP
    iptables -A spoofing -s 172.16.0.0/12 -j DROP
    iptables -A spoofing -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -i ath0 -j spoofing
    iptables -A FORWARD -i ath0 -j spoofing

    iptables -N syn_flood
    iptables -A INPUT -i ath0 -p tcp --syn -j syn_flood
    iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
    iptables -A INPUT -m limit --limit 3/hour --limit-burst 5 -j LOG
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
    2.8.2006 22:22 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Výpis aktuální iptables tabulky získáte příkazem iptables -nL --line-numbers, tabulka nat se pak vypíše příkazem iptables -t nat -nL --line-numbers. Obojí sem pokud možno vložte. Směrovat porty na routeru znamená co přichází na port 8080 přesměrovat na tom samém počítači na port 80? Později zase ale píšete o forwardování… Aby jádro povolilo předávání paketů z jednoho síťového rozhraní na jiné, je ještě nutné zapnout
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    Pro vkládání příkazů a výstupů do diskuze prosím použijte tagy <pre class="kod">…</pre>, které zachovají formátování textu a bude jasné, co jsou jednotlivé řádky.

    Ještě pár odkazů:
    2.8.2006 23:04 Chap
    Rozbalit Rozbalit vše Re: Prerouting iptables
    tak tady je vypis iptables a nat.
    Chain INPUT (policy DROP)
    num  target     prot opt source               destination
    1    tcp_segmenty  tcp  --  0.0.0.0/0            0.0.0.0/0
    2    udp_segmenty  udp  --  0.0.0.0/0            0.0.0.0/0
    3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0
    4    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3
    5    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
    6    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11
    7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    9    LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
    10   spoofing   all  --  0.0.0.0/0            0.0.0.0/0
    11   syn_flood  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
    12   LOG        all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 3/hour 5 LOG flags 0 
    13   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5 
    level 4
    
    Chain FORWARD (policy DROP)
    num  target     prot opt source               destination
    1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    3    spoofing   all  --  0.0.0.0/0            0.0.0.0/0
    4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    
    Chain OUTPUT (policy DROP)
    num  target     prot opt source               destination
    1    ACCEPT     all  --  127.0.0.1            0.0.0.0/0
    2    ACCEPT     all  --  192.168.10.1         0.0.0.0/0
    3    ACCEPT     all  --  1.2.3.4       0.0.0.0/0
    4    LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
    
    Chain spoofing (2 references)
    num  target     prot opt source               destination
    1    DROP       all  --  192.168.0.0/16       0.0.0.0/0
    2    DROP       all  --  172.16.0.0/12        0.0.0.0/0
    3    DROP       all  --  10.0.0.0/8           0.0.0.0/0
    
    Chain syn_flood (1 references)
    num  target     prot opt source               destination
    1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 5
    
    Chain tcp_segmenty (1 references)
    num  target     prot opt source               destination
    1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5000
    2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    
    Chain udp_segmenty (1 references)
    num  target     prot opt source               destination
    1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:5001
    root@slax:/# iptables -t nat -nL --line-numbers
    Chain PREROUTING (policy ACCEPT)
    num  target     prot opt source               destination
    1    DNAT       tcp  --  0.0.0.0/0            1.2.3.4      tcp dpt:5000 to:192.168.10.2:5000
    2    DNAT       udp  --  0.0.0.0/0            1.2.3.4      udp dpt:5001 to:192.168.10.2:5001
    
    Chain POSTROUTING (policy ACCEPT)
    num  target     prot opt source               destination
    1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0
    2    SNAT       all  --  0.0.0.0/0            0.0.0.0/0           to:1.2.3.4
    
    Chain OUTPUT (policy ACCEPT)
    num  target     prot opt source               destination
    
    
    3.8.2006 09:11 Jiri Strapina
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Jeste lepsi vypis z iptables je s prepinacem -v (ukecanejsi), vypise i interface a pocitadla packetu, takze uvidis, zda se pravidlo vubec uplatnilo.

    Kdyz si pridas nasledujici dva radku do forwardu, tak by to melo fungovat
    iptables -A FORWARD -m state --state NEW -i ath0 -o eth0 -p tcp -d 192.168.10.2 --dport 5000 -j ACCEPT
    iptables -A FORWARD -m state --state NEW -i ath0 -o eth0 -p udp -d 192.168.10.2 --dport 5001 -j ACCEPT
    
    3.8.2006 18:18 Chap
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Diky moc, ted uz to jde.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.