abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 11:33 | Zajímavý článek

Národní centrum kybernetické bezpečnosti (NCKB) vypracovalo (pdf) 26 podrobných bezpečnostních doporučení pro síťové správce. Tato doporučení jsou nastavena tak, aby je bylo možné aplikovat v každé instituci. Jsou rozdělena na tři základní části: bezpečnost infrastruktury, bezpečnost stanic a serverů a bezpečnost uživatelů.

Ladislav Hagara | Komentářů: 7
dnes 05:55 | Komunita

Prezident Nadace pro svobodný software (FSF) Richard M. Stallman vyhlásil na slavnostním ceremoniálu v rámci konference LibrePlanet 2017 vítěze Free Software Awards za rok 2016. Ocenění za společenský přínos získal SecureDrop (Wikipedie). Za rozvoj svobodného softwaru byl oceněn Alexandre Oliva (Wikipedie).

Ladislav Hagara | Komentářů: 0
dnes 04:44 | Nová verze

Byla vydána verze 0.7.0 debugovacího nástroje cgdb. Mezi novinky patří například zvýrazňování syntaxe jazyka Rust. Podrobnosti v poznámkách o vydání.

Neel | Komentářů: 0
25.3. 22:00 | Komunita

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil (podcast) detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 64 tisíc vývojářů. Jejich nejmilovanější platformou je linuxový desktop. Ten je také druhou nejpoužívanější platformou vývojářů.

Ladislav Hagara | Komentářů: 6
24.3. 11:55 | Komunita

Vývojový tým OpenSSL ve spolupráci s iniciativou Core Infrastructure konsorcia Linux Foundation spustil proces přelicencování této kryptografické knihovny ze současné licence na licenci Apache Licence v 2.0 (ASLv2). Nová licence usnadní začleňování OpenSSL do dalších svobodných a open source projektů. Všichni dosavadní vývojáři OpenSSL (Authors) obdrží v následujících dnech email s prosbou o souhlas se změnou licence.

Ladislav Hagara | Komentářů: 30
24.3. 01:11 | Komunita

Před třemi týdny Mozilla.cz představila projekt Photon, jehož cílem je návrh a implementace nového vzhledu Firefoxu. Včera zveřejnila první náhled vzhledu Photon. Práce na projektu Photon jsou rozděleny do pěti týmů, které celkem čítají 19 lidí. Zaměřují se na zlepšení prvního spuštění Firefoxu a zaujetí nových uživatelů, celkovou úpravu vzhledu, zlepšení animací, zrychlení odezvy uživatelského rozhraní a také upravení nabídek. Vývoj lze sledovat v Bugzille.

Ladislav Hagara | Komentářů: 46
23.3. 20:00 | Komunita

OneDrive pro firmy je již ve webových prohlížečích na Linuxu stejně rychlý jako na Windows. Microsoft opravil chybu z listopadu loňského roku. OneDrive pro firmy běžel na Linuxu mnohem pomaleji než na Windows. V popisu chyby bylo uvedeno, že stačilo v prohlížeči na Linuxu nastavit v user-agentu Windows a vše se zrychlilo. Odpovědí Microsoftu bylo (Internet Archive: Wayback Machine), že Linux není podporován. Po bouřlivých diskusích na redditu i Hacker News byla chyba nalezena a opravena.

Ladislav Hagara | Komentářů: 9
23.3. 19:00 | Zajímavý projekt

Byla vyhlášena soutěž Hackaday Prize 2017. Soutěž je určena vývojářům open source hardwaru. Pro výherce je připraveno celkově 250 tisíc dolarů. Každý ze 120 finalistů získá tisíc dolarů. Nejlepší pak navíc 50, 30, 20, 15, 10 a 5 tisíc dolarů. Jedná se již o čtvrtý ročník soutěže. V roce 2014 zvítězil projekt globální sítě open source pozemních satelitních stanic SatNOGS. V roce 2015 zvítězil open source systém pro řízení elektrických invalidních vozíků pohybem očí Eyedriveomatic. V roce 2016 zvítězil modulární robot Dtto.

Ladislav Hagara | Komentářů: 0
23.3. 15:00 | Bezpečnostní upozornění

Byla vydána Samba ve verzích 4.6.1, 4.5.7 a 4.4.12. Řešen je bezpečnostní problém CVE-2017-2619. Pomocí symbolických odkazů a souběhu (symlink race) lze "teoreticky" získat přístup k souborům, které nejsou sdíleny. Linuxové distribuce jsou postupně aktualizovány (Debian).

Ladislav Hagara | Komentářů: 0
23.3. 07:43 | Nová verze

Na Steamu se objevil port hry Arma: Cold War Assault (Operation Flashpoint) pro Mac a Linux. … více »

creon | Komentářů: 30
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 944 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: Iptables a INCOMING pro veřejné IP

    5.2.2007 16:34 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Iptables a INCOMING pro veřejné IP
    Přečteno: 279×
    Dobrý den, reším problém s iptables krerý přesahuje moje znalosti. Jedná se o protažení veřejných ipadres zkrze firewall (zděděný tudíš dost nestandartní).

    princip:

    veřejný rosah: 193.0.0.160 - 193.0.0.175

    adresa brány(provider): 193.0.0.161

    můj firewall: 193.0.0.162

    počítač ve vnitřní siti 193.0.0.164

    pravidla
    #!/bin/sh
    # proměnné
    LO=lo
    LAN=eth1
    WAN=eth0
    
    
    # vyresetování pravidel 
    iptables -F -t mangle
    iptables -F -t nat
    iptables -F -t filter
    iptables -F
    iptables -Z
    iptables -X
    
    # politika firewalu   - byla by lepší DROP, ale takle to funguje
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P POSTROUTING ACCEPT
    # definice tabulek
    iptables -N Spolnet-BADFILTER # špatné pakety
    iptables -N Spolnet-BANNED # zakázané pakety
    iptables -N Spolnet-FORWARD # průchozí do natu
    iptables -N Spolnet-INCOMING # průchozí
    iptables -N Spolnet-INPUT # přístupy
    iptables -N Spolnet-MACFILTER # kontrola mac adresy
    # pravidla pro INPUT
    iptables -A INPUT -j Spolnet-BADFILTER 
    iptables -A INPUT -j Spolnet-BANNED 
    iptables -A INPUT -j Spolnet-INPUT 
    
    
    # pravidla pro FORWARD
    iptables -A FORWARD -j Spolnet-BADFILTER 
    iptables -A FORWARD -j Spolnet-MACFILTER 
    iptables -A FORWARD -j Spolnet-INCOMING 
    iptables -A FORWARD -j Spolnet-FORWARD 
    # špatné pakety
    iptables -A Spolnet-BADFILTER -m state --state INVALID -j DROP 
    iptables -A Spolnet-BADFILTER -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP 
    iptables -A Spolnet-BADFILTER -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP 
    iptables -A Spolnet-BADFILTER -p tcp -m tcp -m multiport --dports 135,136,137,138,139,445 -m state --state NEW -j DROP  
    iptables -A Spolnet-BADFILTER -p udp -m udp -m multiport --dports 135,136,137,138,139,445 -m state --state NEW -j DROP 
    # routing
    iptables -A Spolnet-FORWARD -p icmp -m icmp --icmp-type any -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -p tcp -m tcp --dport 15152 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 143,110,443,995,993,80,20,21,22,25,5190,1024 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 11571,27342,26000,29999 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p udp -m udp -m multiport --dports 11571,27342,26000,29999 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 1024 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 3781 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 2280 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 26000:29999 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p udp -m state --state NEW -m udp --dport 26000:29999 -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 6667:7777 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 60000:65534 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
    iptables -A Spolnet-FORWARD -j REJECT --reject-with icmp-host-prohibited 
    
    # průchozí pakety
    iptables -A Spolnet-INCOMING -d 193.0.0.162 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-INCOMING -d 193.0.0.160/255.255.255.240 -m state --state NEW -j ACCEPT 
    
    # input
    iptables -A Spolnet-INPUT -i lo -j ACCEPT 
    iptables -A Spolnet-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
    iptables -A Spolnet-INPUT -i eth1 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT 
    iptables -A Spolnet-INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
    iptables -A Spolnet-INPUT -p tcp -m tcp --dport 60000:65534 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
    iptables -A Spolnet-INPUT -i eth1 -p tcp -m tcp -m multiport --dports 25,53,15151,15152,143,110,443,995,993,80,2280,2279 -m state --state NEW -j Spolnet-MACFILTER 
    iptables -A Spolnet-INPUT -p tcp -m tcp -m multiport --dports 25,53,15151,15152,143,110,443,995,993,80,2280,2279,3389 -m state --state NEW -j ACCEPT 
    iptables -A Spolnet-INPUT -j REJECT --reject-with icmp-host-prohibited 
    
      
    
    # macfilter
    iptables -A Spolnet-MACFILTER -p udp -m state --state NEW -m udp --dport 53 -j RETURN
    iptables -A Spolnet-MACFILTER -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW -j RETURN  
    iptables -A Spolnet-MACFILTER -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW -j RETURN  
    iptables -A Spolnet-MACFILTER -s 192.168.10.251 -m mac --mac-source 00:20:ED:88:EA:1E -m state --state NEW -j ACCEPT 
    # vloží MACFILTER záznamy z databáze
    # INCLUDE ---------------------
    chmod +x /etc/iptables/iptables_mac_lhotska
        /etc/iptables/iptables_mac_lhotska
    chmod -x /etc/iptables/iptables_mac_lhotska
    # ----------------------------
    
    # Značkování paketů podle záznamů z databáze
    # INCLUDE ---------------------
    chmod +x /etc/iptables/iptables_mangle_lhotska
        /etc/iptables/iptables_mangle_lhotska
    chmod -x /etc/iptables/iptables_mangle_lhotska
    # ----------------------------
    
    # nastavení jádra
    echo "1" > /proc/sys/net/ipv4/ip_forward # povolí routování
    echo 65528 >/proc/sys/net/ipv4/ip_conntrack_max
    echo 113000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
    
    iptables -t nat -A POSTROUTING -s 192.168.10.0/255.255.255.0 -j SNAT --to-source 193.0.0.162
    # Konec a vypsání pravidel
    

    Odpovědi

    5.2.2007 17:08 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    ja bych to cpal spise pres "route" a ne pres iptables
    cd /pub | more beer
    5.2.2007 17:12 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Route
    193.0.0.160  *               255.255.255.240 U     0      0        0 eth1
    193.0.0.160  *               255.255.255.240 U     0      0        0 eth0
    192.168.10.0    *               255.255.255.0   U     0      0        0 eth1
    default         193.0.0.161  0.0.0.0         UG    0      0        0 eth0
    
    ifconfig
    eth0      Link encap:Ethernet  HWaddr 00:40:F4:8B:51:57  
              inet addr:193.0.0.162  Bcast:193.179.65.175  Mask:255.255.255.240
              inet6 addr: fe80::240:f4ff:fe8b:5157/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:130662391 errors:0 dropped:0 overruns:0 frame:0
              TX packets:122939940 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000 
              RX bytes:111573388854 (103.9 GiB)  TX bytes:61657008880 (57.4 GiB)
              Interrupt:58 
    
    eth1      Link encap:Ethernet  HWaddr 00:0E:2E:56:FA:7F  
              inet addr:192.168.10.250  Bcast:192.168.10.255  Mask:255.255.255.0
              inet6 addr: fe80::20e:2eff:fe56:fa7f/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:157725661 errors:4 dropped:32 overruns:2 frame:0
              TX packets:152409814 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000 
              RX bytes:77950913746 (72.5 GiB)  TX bytes:125454307691 (116.8 GiB)
              Interrupt:50 Base address:0x4c00 
    
    eth1:1    Link encap:Ethernet  HWaddr 00:0E:2E:56:FA:7F  
              inet addr:193.0.0.163  Bcast:193.179.65.255  Mask:255.255.255.0
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              Interrupt:50 Base address:0x4c00 
    
    lo        Link encap:Local Loopback  
              inet addr:127.0.0.1  Mask:255.0.0.0
              inet6 addr: ::1/128 Scope:Host
              UP LOOPBACK RUNNING  MTU:16436  Metric:1
              RX packets:1265 errors:0 dropped:0 overruns:0 frame:0
              TX packets:1265 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0 
              RX bytes:141180 (137.8 KiB)  TX bytes:141180 (137.8 KiB)
    
    
    5.2.2007 17:13 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Zkrze route ? Jak je to myšleno ?
    5.2.2007 17:18 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Začal bych na FAQ: Jak zprovoznit veřejnou IP adresu ve vnitřní síti (nebo DMZ)?

    Zatímco výpis vašeho fw je téměř kompletní, tak nějak postrádám popis problému :-)
    6.2.2007 12:53 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Obecně je problém v tom že na jiném stroji vše běhá jak má. Jediný rozdíl je v tom že stroj má do internetu jinou ip adresu 82.208.38.0 než veřejné ip 82.208.2.0 v tomhle případě je rosah stejný a nikam se nedostanu. Takže chyba bude asi v route. Je potřeba mít bránu ve stejném rosahu jak daná veřejná Ip ? Nebo můžu posílat na jinou bránu ?
    6.2.2007 13:07 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Promiňte, ale váš popis je naprosto zmatený. Vůbec nechápu, co je "stroj" - stanice, která se potřebuje dostat ven, nebo router? Zkuste v klidu a srozumitelně napsat, jak vypadá vaše topologie, kde máte jaké adresy a čeho chcete docílit.
    6.2.2007 14:00 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Prominte opravdu se vyjadřuju dost zmatečně.

    Takže ještě jednou:

    Mám přidělený rosah Ip adres od providera, které můžu použít. První v rosahu je brána providera 193.0.0.161. Moje brána má venkovní (k providerovi) 193.0.0.162 a vnitřní (nevím jestli je potřeba) 193.0.0.163. Stanice s přidělenou 193.0.0.164 se dostane až na vnější na bráně 193.0.0.162, ale už ne na 193.0.0.161 a hledám chybu. problém bude asi v route (výpis dříve). Procházím články a řešení, ale veřejky potřebuju co nejdříve nasadit :( (vím to se říkat nemá - jen se ospravedlňuju)
    6.2.2007 14:06 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Pokud skutečně chcete používat adresy z jednoho rozsahu na dvou různých segmentech, budete muset použít něco na způsob Proxy ARP (nebo rovnou bridge - se všemi nevýhodami z toho plynoucími). Přečtěte si to FAQ, na které tu byl odkaz, je to tam popsané celkem důkladně.
    6.2.2007 17:23 Grumpa | skóre: 5
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Možná to půjde jinak: Respektujme, že jedna síť má jeden rozsah IP adres, takže to co chcete je vlastně tak trochu prasárnička, že? :o)

    Počítači ve vnitřní síti dejte v pohodě IP adresu z privátního rozsahu (třeba 192.168.1.10). Tu IP, kterou jste chtěl pro sebe uvnitř, přidělte jakou druhou IP adresu tomu firewallu:
    ifconfig eth0 193.0.0.162
    ifconfig eth0:1 193.0.0.164
    
    a z druhé strany
    ifconfig eth1: 192.168.1.1
    
    A do pravidel IPTables si dejte, že co přijde na eth0 a má IP 192.0.0.164 se bude přesměrovávat na IP adresu 192.168.1.10.

    Nejsem expert na IPTables, ale takhle nějak by to mělo jít. Každopádně tak máte adresy z jednoho rozsahu v jedné síti.
    6.2.2007 18:14 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Tahle možnost je v tom FAQ samozřejmě taky - ale je to asi tak ta nejhorší metoda, jak to řešit. A to nemluvím o používání ifconfig
    6.2.2007 20:53 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Děkuju za pomoc, dle návodu v FAQ by řešení bylo dost náročné a neflexibilní. Řešení nakonec bylo jednoduché. Poskytovatel internetu (GTS novera) my vyšel vstříc a namapoval celý rosah na jinou veřejnou ip. Takže moje brána měla jinou vnější ip než vnitřní rosah veřejných ip. V tom případě routování funguje.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.