abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 01:23 | Komunita

Phoronix spustil 2017 Linux Laptop Survey. Tento dotazník s otázkami zaměřenými na parametry ideálního notebooku s Linuxem lze vyplnit do 6. července.

Ladislav Hagara | Komentářů: 2
23.6. 22:44 | Nová verze

Po třech měsících vývoje od vydání verze 5.5.0 byla vydána verze 5.6.0 správce digitálních fotografií digiKam (digiKam Software Collection). Do digiKamu se mimo jiné vrátila HTML galerie a nástroj pro vytváření videa z fotografií. V Bugzille bylo uzavřeno více než 81 záznamů.

Ladislav Hagara | Komentářů: 1
23.6. 17:44 | Nová verze

Byla vydána verze 9.3 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 2
23.6. 13:53 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-06-21 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Z novinek lze zdůraznit IDE Thonny pro vývoj v programovacím jazyce Python a především offline verzi Scratche 2.0. Ten bylo dosud možné používat pouze online. Offline bylo možné používat pouze Scratch ve verzi 1.4. Z nového Scratchu lze ovládat také GPIO piny. Scratch 2.0 vyžaduje Flash.

Ladislav Hagara | Komentářů: 0
22.6. 14:24 | Nová verze

Opera 46, verze 46.0.2597.26, byla prohlášena za stabilní. Nejnovější verze tohoto webového prohlížeče je postavena na Chromiu 59. Z novinek lze zmínit například podporu APNG (Animated Portable Network Graphics). Přehled novinek pro vývojáře na blogu Dev.Opera. Oznámení o vydání zmiňuje také první televizní reklamu.

Ladislav Hagara | Komentářů: 0
22.6. 13:37 | IT novinky

I čtenáři AbcLinuxu před dvěma lety vyplňovali dotazníky věnované Retro ThinkPadu. Nyní bylo potvrzeno, že iniciativa Retro ThinkPad je stále naživu a Lenovo připravuje speciální edici ThinkPadu jako součást oslav jeho 25. výročí.

Ladislav Hagara | Komentářů: 21
22.6. 10:22 | Komunita

Bylo oznámeno, že frontend a runtime programovacího jazyka D bude začleněn do kolekce kompilátorů GCC (GNU Compiler Collection). Správcem byl ustanoven Iain Buclaw.

Ladislav Hagara | Komentářů: 7
21.6. 18:47 | IT novinky
Bulharská firma Olimex je známá jako výrobce kvalitních mini arm desek, u nichž se snaží být maximálně open source. Kromě velké otevřenosti taktéž zaručují dlouhodobou podporu výroby, což je vítáno ve firemním prostředí. Nyní firma ohlásila ESP32-GATEWAY, malou IoT desku s Wifi, Bluetooth, Ethernetem a 20 GPIO porty za 22EUR. Tato malá deska je ořezanou verzí ESP32-EVB.
Max | Komentářů: 21
21.6. 18:00 | Zajímavý článek

LinuxGizmos (v dubnu loňského roku přejmenován na HackerBoards a v lednu letošního roku zpět na LinuxGizmos) zveřejnil výsledky čtenářské ankety o nejoblíbenější jednodeskový počítač (SBC) v roce 2017. Letos se vybíralo z 98 jednodeskových počítačů (Tabulky Google). Nejoblíbenějšími jednodeskovými počítači v letošním roce jsou Raspberry Pi 3 Model B, Raspberry Pi Zero W a Raspberry Pi 2 Model B.

Ladislav Hagara | Komentářů: 0
21.6. 14:22 | Pozvánky

Ne-konference jOpenSpace 2017 se koná od 13. do 15. října 2017 v hotelu Farma u Pelhřimova. Registrace účastníků je nutná. Více informací na stránkách ne-konference.

Zdenek H. | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (31%)
 (1%)
 (9%)
 (44%)
 (9%)
Celkem 830 hlasů
 Komentářů: 65, poslední 1.6. 19:16
    Rozcestník

    Dotaz: Prosím o Váš názor na firewall

    21.11.2006 11:57 Martin Truhlář
    Prosím o Váš názor na firewall
    Přečteno: 183×
    Zdravim Vas, doma jsem se koncene pripojel k netu a protoze je treba zprovoznit vice pocitacu, tak jsem se rozhodl zkusit linuxovy router a na nem stavovy firewall, cosi jsem o tom cetl, neco nasel a vyslo me tohle, ma saci to nejak fungovat?

    Cil je aby na vnitrni siti "vlan0" mel kdokoliv pristup na net a naopak aby z vnejsiho rozhrani "eth2" byl videt jen ssh /22/ a presmerovani pro SIP, ktery je ve forme LinkSys PAP2 jako 10.10.0.200.

    Prosim o kritiku, nazory ...
    #!/bin/sh
    ###############  mini firewall ############### 
    ##############################################
    
    IPT="/sbin/iptables"
    NET_IFACE="eth2"
    NET_ADDRESS="XXX.XXX.XXX.XXX"
    
    LAN_IFACE="vlan0"
    LAN_IP="10.10.0.10"
    LAN_NET="10.10.0.0/24"
    LAN_BCAST="10.10.0.255"
    
    LOC_IFACE="lo"
    LOC_IP="127.0.0.1"
    
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
    
    ##############################################
    ####################  Reset defaultni potitiky
    ##############################################
    $IPT -P INPUT ACCEPT
    $IPT -P FORWARD ACCEPT
    $IPT -P OUTPUT ACCEPT
    $IPT -F
    $IPT -X
    
    ##############################################
    #####################  Zakaze co dal nepovolim
    ##############################################
    $IPT -A INPUT -i $NET_IFACE -j DROP
    
    ##############################################
    #######################  Povoleni ICMP provozu
    ##############################################
    $IPT -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
    $IPT -A INPUT -p ICMP --icmp-type 3 -j ACCEPT
    $IPT -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
    $IPT -A INPUT -p ICMP --icmp-type 11 -j ACCEPT
    
    ##############################################
    ##########  Povolení provozu na LAN a pravidla
    ##############################################
    $IPT -A INPUT -p ALL -i $LAN_IFACE -s $LAN_NET -j ACCEPT
    $IPT -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST -j ACCEPT
    $IPT -A INPUT -p UDP -i $LAN_IFACE --source-port 68 --destination-port 67 -j ACCEPT
    
    ##############################################
    #############  Povolení provozu na LAN a LOCAL
    ##############################################
    $IPT -A INPUT -p ALL -i $LAN_IFACE -j ACCEPT
    $IPT -A INPUT -p ALL -i $LOC_IFACE -j ACCEPT
    
    $IPT -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
    $IPT -A OUTPUT -p ALL -o $LAN_IFACE -j ACCEPT
    $IPT -A OUTPUT -p ALL -s $LOC_IP -j ACCEPT
    $IPT -A OUTPUT -p ALL -o $LOC_IFACE -j ACCEPT
    
    ##############################################
    ###############  Povolení provozu z LAN do NET
    ##############################################
    $IPT -A FORWARD -i $LAN_IFACE -o $NET_IFACE -j ACCEPT
    $IPT -A OUTPUT -p ALL -o $NET_IFACE -j ACCEPT
    
    ##############################################
    #######  Povolení forward z NET+vstup na LOCAL
    ##############################################
    $IPT -A FORWARD -i $NET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A INPUT -i $NET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    ##############################################
    ########################  Uzivatelska pravidla
    ##############################################
    ## vstup na firewall, protokol SSH (port 22)
    $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 22 -j ACCEPT 
    
    ## vstup na firewall, protokol SIP (port 5060:5061 + 7070:7080)
    $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 5060:5061 -j ACCEPT
    $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 7070:7080 -j ACCEPT
    
    ## SIP komunikuje primo z hardware 10.10.0.200
    $IPT -A FORWARD -p udp -i $NET_IFACE --destination-port 5060:5061 --destination 10.10.0.200 -j ACCEPT 
    $IPT -A FORWARD -p udp -i $NET_IFACE --destination-port 7070:7080 --destination 10.10.0.200 -j ACCEPT 
    $IPT -t nat -A PREROUTING -p udp -i $NET_IFACE --destination-port 5060:5061 -j DNAT --to-destination 10.10.0.200
    $IPT -t nat -A PREROUTING -p udp -i $LAN_IFACE --destination-port 5060:5061 --destination $NET_ADDRESS -j DNAT --to-destination 10.10.0.200
    
    ##############################################
    ############################  zprovozneni SNAT
    ##############################################
    $IPT -t nat -A POSTROUTING -o $NET_IFACE -j SNAT --to-source $NET_ADDRESS
    $IPT -t nat -A POSTROUTING -o $LAN_IFACE  -j SNAT --to-source $NET_ADDRESS
    Ma to vubec potencial fungovat?

    Odpovědi

    21.11.2006 12:18 žabža
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    Náš názor je, že kdo se potřebuje takhle ptát, by firewall stavět neměl. :-)

    Na první pohled mě zaujalo, že máte všude politiku ACCEPT a pak filtrovací pravidla, která jsou taky ACCEPT...
    21.11.2006 12:27 Martin Truhlář
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    Uvozuje to pravidlo:

    $IPT -A INPUT -i $NET_IFACE -j DROP

    Tedy příchozí z NET zahodit, takže následně je skutečně vše ACCEPT, v případě potencionálního útoku mě zajímá jen toto rozhraní, uvnitř to neřeším, není to veřejná síť, ale domácnost.

    Ale nevylučuju, že je to špatně.
    21.11.2006 12:42 petr
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    No já nevím... Doma mám default pravidlo DROP a jsem spokojenej...

    Zastávám politiku vše je zakázané, explicitně povoluji konkrétní akce... Opačný přístup používá např. M$ v jeho windoze a všichni vidíme, jak to dopadlo...;-)
    21.11.2006 12:52 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall

    Pokud hned na začátku všechno zahodíte a pak teprve začnete něco povolovat, pakety se nemají k těm dalším paketům jak dostat.

    Mimochodem, jaký je smysl podmínek typu '-p ALL' nebo '-s 0/0'?

    21.11.2006 12:53 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    …k těm dalším pravidlům…
    21.11.2006 12:59 Martin Truhlář
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    Chápu správně že tedy pravidlo:
    $IPT -A INPUT -i $NET_IFACE -j DROP
    má být až na konci, tomu rozumím a je to chyba.

    Stejně tak můžu defultně nastavit místo:
    $IPT -P INPUT ACCEPT
    $IPT -P FORWARD ACCEPT
    $IPT -P OUTPUT ACCEPT
    $IPT -F
    $IPT -X
    
    na zakázanou:
    $IPT -F
    $IPT -X
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT DROP
    
    Smysl "-p ALL" a "-s 0/0" mě to pomáhá zpřehledňovat, asi je to ale k ničemu.
    21.11.2006 12:44 petr
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    Ma to vubec potencial fungovat?
    Tak to vyzkoušejte, ne?
    21.11.2006 13:00 Martin Truhlář
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    Zkouška špatně napsaného firewallu může taky znamenat nemožnost se k počítači vůbec dostat, a to bych vcelku nerad. Respektive jde o počítač bez grafické karty, atd. Přísup je jen po síti.
    21.11.2006 13:59 Peter Figura | skóre: 12 | blog: pefi | Modra
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    To sa da osetrit pomocou iptables-save a nakonfigurovanim cronu alebo pomocou prikazu at, aby o nejaky cas spustil iptables-restore s povodnym (funkcnym) nastavenim.
    21.11.2006 14:03 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    to robim takto:

    /etc/rc.d/rc.firewall start; sleep 20; /etc/rc.d/rc.firewall stop

    kde "stop" je implementovane ako
            iptables -F INPUT
            iptables -F OUTPUT
            iptables -F FORWARD
            iptables -P INPUT ACCEPT
            iptables -P OUTPUT ACCEPT
            iptables -P FORWARD ACCEPT
    
    21.11.2006 13:04 Martin Truhlář
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    Tak tedy defaultně vše DROP, povolování co je třeba a co projde na konci smažu, i když asi je to blbost, protože tam nemá co propadnout.
    ##############################################
    ####################  Reset defaultni potitiky
    ##############################################
    $IPT -F
    $IPT -X
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT DROP
    
    ##############################################
    #######################  Povoleni ICMP provozu
    ##############################################
    $IPT -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
    $IPT -A INPUT -p ICMP --icmp-type 3 -j ACCEPT
    $IPT -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
    $IPT -A INPUT -p ICMP --icmp-type 11 -j ACCEPT
    $IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
    
    ##############################################
    ########################  Omezení AUTH provozu
    ##############################################
    $IPT -A INPUT -i $NET_IFACE -p TCP --destination-port 113 -j REJECT
    
    ##############################################
    ###################### SPOOFING & SYN FLOODING
    ##############################################
    $IPT -N spoofing
    $IPT -A spoofing -s 192.168.0.0/16 -j DROP
    $IPT -A spoofing -s 172.16.0.0/12 -j DROP
    $IPT -A spoofing -s 10.0.0.0/8 -j DROP
    
    $IPT -A INPUT -i $NET_IFACE -j spoofing
    $IPT -A FORWARD -i $NET_IFACE -j spoofing
    
    $IPT -N syn_flood
    $IPT -A INPUT -i $NET_IFACE -p tcp --syn -j syn_flood
    $IPT -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
    $IPT -A syn_flood -j DROP
    
    ##############################################
    ##########  Povolení provozu na LAN a pravidla
    ##############################################
    $IPT -A INPUT -p ALL -i $LAN_IFACE -s $LAN_NET -j ACCEPT
    $IPT -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST -j ACCEPT
    $IPT -A INPUT -p UDP -i $LAN_IFACE --source-port 68 --destination-port 67 -j ACCEPT
    
    ##############################################
    #############  Povolení provozu na LAN a LOCAL
    ##############################################
    $IPT -A INPUT -p ALL -i $LAN_IFACE -j ACCEPT
    $IPT -A INPUT -p ALL -i $LOC_IFACE -j ACCEPT
    
    $IPT -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
    $IPT -A OUTPUT -p ALL -o $LAN_IFACE -j ACCEPT
    $IPT -A OUTPUT -p ALL -s $LOC_IP -j ACCEPT
    $IPT -A OUTPUT -p ALL -o $LOC_IFACE -j ACCEPT
    
    ##############################################
    ###############  Povolení provozu z LAN do NET
    ##############################################
    $IPT -A FORWARD -i $LAN_IFACE -o $NET_IFACE -j ACCEPT
    $IPT -A OUTPUT -p ALL -o $NET_IFACE -j ACCEPT
    
    ##############################################
    #######  Povolení forward z NET+vstup na LOCAL
    ##############################################
    $IPT -A FORWARD -i $NET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A INPUT -i $NET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    ##############################################
    ########################  Uzivatelska pravidla
    ##############################################
    ## vstup na firewall, protokol SSH (port 22)
    $IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 22 -j ACCEPT 
    
    ## vstup na firewall, protokol SIP (port 5060:5061 + 7070:7080)
    $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 5060:5061 -j ACCEPT
    $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 7070:7080 -j ACCEPT
    
    ## SIP komunikuje primo z hardware 10.10.0.200
    $IPT -A FORWARD -p udp -i $NET_IFACE --destination-port 5060:5061 --destination 10.10.0.200 -j ACCEPT 
    $IPT -A FORWARD -p udp -i $NET_IFACE --destination-port 7070:7080 --destination 10.10.0.200 -j ACCEPT 
    $IPT -t nat -A PREROUTING -p udp -i $NET_IFACE --destination-port 5060:5061 -j DNAT --to-destination 10.10.0.200
    $IPT -t nat -A PREROUTING -p udp -i $LAN_IFACE --destination-port 5060:5061 --destination $NET_ADDRESS -j DNAT --to-destination 10.10.0.200
    
    ##############################################
    ############################  zprovozneni SNAT
    ##############################################
    $IPT -t nat -A POSTROUTING -o $NET_IFACE -j SNAT --to-source $NET_ADDRESS
    $IPT -t nat -A POSTROUTING -o $LAN_IFACE  -j SNAT --to-source $NET_ADDRESS
    
    ##############################################
    ###############  Zakaze co proslo z NET az sem
    ##############################################
    $IPT -A INPUT -i $NET_IFACE -j DROP
    
    21.11.2006 17:03 Nemo
    Rozbalit Rozbalit vše Re: Prosím o Váš názor na firewall
    Nechces se inspirovat tady ?

    http://www.petricek.cz/mpfw/

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.