abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Jihokorejská Národní daňová služba zveřejnila obnovovací fráze k zabaveným kryptoměnovým peněženkám
    dnes 23:22 | Humor

    Jihokorejská Národní daňová služba (NTS) zabavila kryptoměnu Pre-retogeum (PRTG) v hodnotě 5,6 milionu dolarů. Pochlubila se v tiskové zprávě, do které vložila fotografii zabavených USB flash disků s kryptoměnovými peněženkami spolu se souvisejícími ručně napsanými mnemotechnickými obnovovacími frázemi. Krátce na to byla kryptoměna v hodnotě 4,8 milionu dolarů odcizena. O několik hodin ale vrácena, jelikož PRTG je extrémně nelikvidní, s denním objemem obchodování kolem 332 dolarů a zalistováním na jediné burze, MEXC [Bitcoin.com].

    Ladislav Hagara | Komentářů: 0
    Linux From Scratch a Beyond Linux From Scratch 13.0
    dnes 16:33 | Nová verze

    Komunita kolem Linuxu From Scratch (LFS) vydala nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů Linux From Scratch 13.0 a Beyond Linux From Scratch 13.0. Pouze se systemd.

    Ladislav Hagara | Komentářů: 0
    OpenWrt 25.12
    dnes 16:00 | Nová verze

    Byla vydána nová stabilní major verze 25.12 linuxové distribuce primárně určené pro routery a vestavěné systémy OpenWrt (Wikipedie). Jedná se o nástupce předchozí major verze 24.10. Přehled novinek v poznámkách k vydání. Podporováno je více než 2200 zařízení.

    Ladislav Hagara | Komentářů: 0
    Vývoj webového prohlížeče Ladybird (02/2026)
    dnes 04:44 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za únor (YouTube). Odstraněn byl veškerý kód napsaný ve Swiftu. JavaScriptový engine LibJS byl reimplementován v Rustu.

    Ladislav Hagara | Komentářů: 0
    Rust 1.94.0. Výsledky průzkumu mezi vývojáři
    včera 21:11 | Nová verze

    Byla vydána verze 1.94.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example. Zveřejněny byly výsledky průzkumu mezi vývojáři v programovacím jazyce Rust: 2025 State of Rust Survey Results.

    Ladislav Hagara | Komentářů: 7
    Google Summer of Code 2026
    včera 17:33 | Komunita

    Google zveřejnil seznam 185 organizací přijatých do letošního Google Summer of Code (GSoC). Dle plánu se zájemci přihlašují od 16. do 31. března. Vydělat si mohou od 750 do 6600 dolarů. V Česku a na Slovensku je to 900 dolarů za malý, 1800 dolarů za střední a 3600 dolarů za velký projekt. Další informace v často kladených otázkách (FAQ). K dispozici jsou také statistiky z minulých let.

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.110
    4.3. 22:55 | Nová verze

    Byla vydána únorová aktualizace aneb nová verze 1.110 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.110 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 8
    MacBook Neo
    4.3. 18:11 | IT novinky

    Apple představil 13palcový MacBook Neo s čipem A18 Pro. V základní konfiguraci za 16 990 Kč.

    Ladislav Hagara | Komentářů: 55
    Ověřování věku na úrovni operačního systému
    4.3. 12:22 | Komunita

    Kalifornský zákon AB 1043 platný od 1. ledna 2027 vyžaduje, aby operační systémy požadovaly po uživatelích věk nebo datum narození a skrze API poskytovaly aplikacím informaci, zda je uživatel mladší 13 let, má 13 až 16 let, má 16 až 18 let nebo má alespoň 18 let. Vývojáři linuxových distribucí řeší, co s tím (Ubuntu, Fedora, …).

    Ladislav Hagara | Komentářů: 104
    Konference LinuxDays 2026 proběhne o víkendu 3. a 4. října
    4.3. 11:44 | Pozvánky

    Konference LinuxDays 2026 proběhne o víkendu 3. a 4. října v Praze v areálu ČVUT v Dejvicích na FIT. Čekají vás desítky přednášek, workshopy, stánky a setkání se spoustou chytrých lidí.

    Petr Krčmář | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (7%)
     (0%)
     (11%)
     (28%)
     (2%)
     (5%)
     (2%)
     (13%)
     (25%)
    Celkem 1026 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Iptables a INCOMING pro veřejné IP
    Štítky: databáze, firewally, iptables, KDE, NAT, proxy, sítě

    Dotaz: Iptables a INCOMING pro veřejné IP

    5.2.2007 16:34 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Iptables a INCOMING pro veřejné IP
    Přečteno: 367×
    Dobrý den, reším problém s iptables krerý přesahuje moje znalosti. Jedná se o protažení veřejných ipadres zkrze firewall (zděděný tudíš dost nestandartní).

    princip:

    veřejný rosah: 193.0.0.160 - 193.0.0.175

    adresa brány(provider): 193.0.0.161

    můj firewall: 193.0.0.162

    počítač ve vnitřní siti 193.0.0.164

    pravidla 
    #!/bin/sh
# proměnné
LO=lo
LAN=eth1
WAN=eth0


# vyresetování pravidel 
iptables -F -t mangle
iptables -F -t nat
iptables -F -t filter
iptables -F
iptables -Z
iptables -X

# politika firewalu   - byla by lepší DROP, ale takle to funguje
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P POSTROUTING ACCEPT
# definice tabulek
iptables -N Spolnet-BADFILTER # špatné pakety
iptables -N Spolnet-BANNED # zakázané pakety
iptables -N Spolnet-FORWARD # průchozí do natu
iptables -N Spolnet-INCOMING # průchozí
iptables -N Spolnet-INPUT # přístupy
iptables -N Spolnet-MACFILTER # kontrola mac adresy
# pravidla pro INPUT
iptables -A INPUT -j Spolnet-BADFILTER 
iptables -A INPUT -j Spolnet-BANNED 
iptables -A INPUT -j Spolnet-INPUT 


# pravidla pro FORWARD
iptables -A FORWARD -j Spolnet-BADFILTER 
iptables -A FORWARD -j Spolnet-MACFILTER 
iptables -A FORWARD -j Spolnet-INCOMING 
iptables -A FORWARD -j Spolnet-FORWARD 
# špatné pakety
iptables -A Spolnet-BADFILTER -m state --state INVALID -j DROP 
iptables -A Spolnet-BADFILTER -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP 
iptables -A Spolnet-BADFILTER -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP 
iptables -A Spolnet-BADFILTER -p tcp -m tcp -m multiport --dports 135,136,137,138,139,445 -m state --state NEW -j DROP  
iptables -A Spolnet-BADFILTER -p udp -m udp -m multiport --dports 135,136,137,138,139,445 -m state --state NEW -j DROP 
# routing
iptables -A Spolnet-FORWARD -p icmp -m icmp --icmp-type any -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -p tcp -m tcp --dport 15152 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 143,110,443,995,993,80,20,21,22,25,5190,1024 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 11571,27342,26000,29999 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p udp -m udp -m multiport --dports 11571,27342,26000,29999 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 1024 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 3781 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 2280 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 26000:29999 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p udp -m state --state NEW -m udp --dport 26000:29999 -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 6667:7777 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 60000:65534 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A Spolnet-FORWARD -j REJECT --reject-with icmp-host-prohibited 

# průchozí pakety
iptables -A Spolnet-INCOMING -d 193.0.0.162 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-INCOMING -d 193.0.0.160/255.255.255.240 -m state --state NEW -j ACCEPT 

# input
iptables -A Spolnet-INPUT -i lo -j ACCEPT 
iptables -A Spolnet-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
iptables -A Spolnet-INPUT -i eth1 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT 
iptables -A Spolnet-INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
iptables -A Spolnet-INPUT -p tcp -m tcp --dport 60000:65534 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A Spolnet-INPUT -i eth1 -p tcp -m tcp -m multiport --dports 25,53,15151,15152,143,110,443,995,993,80,2280,2279 -m state --state NEW -j Spolnet-MACFILTER 
iptables -A Spolnet-INPUT -p tcp -m tcp -m multiport --dports 25,53,15151,15152,143,110,443,995,993,80,2280,2279,3389 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-INPUT -j REJECT --reject-with icmp-host-prohibited 

  

# macfilter
iptables -A Spolnet-MACFILTER -p udp -m state --state NEW -m udp --dport 53 -j RETURN
iptables -A Spolnet-MACFILTER -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW -j RETURN  
iptables -A Spolnet-MACFILTER -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW -j RETURN  
iptables -A Spolnet-MACFILTER -s 192.168.10.251 -m mac --mac-source 00:20:ED:88:EA:1E -m state --state NEW -j ACCEPT 
# vloží MACFILTER záznamy z databáze
# INCLUDE ---------------------
chmod +x /etc/iptables/iptables_mac_lhotska
    /etc/iptables/iptables_mac_lhotska
chmod -x /etc/iptables/iptables_mac_lhotska
# ----------------------------

# Značkování paketů podle záznamů z databáze
# INCLUDE ---------------------
chmod +x /etc/iptables/iptables_mangle_lhotska
    /etc/iptables/iptables_mangle_lhotska
chmod -x /etc/iptables/iptables_mangle_lhotska
# ----------------------------

# nastavení jádra
echo "1" > /proc/sys/net/ipv4/ip_forward # povolí routování
echo 65528 >/proc/sys/net/ipv4/ip_conntrack_max
echo 113000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

iptables -t nat -A POSTROUTING -s 192.168.10.0/255.255.255.0 -j SNAT --to-source 193.0.0.162
# Konec a vypsání pravidel
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    5.2.2007 17:08 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    ja bych to cpal spise pres "route" a ne pres iptables
    cd /pub | more beer
    5.2.2007 17:12 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Route 
    193.0.0.160  *               255.255.255.240 U     0      0        0 eth1
193.0.0.160  *               255.255.255.240 U     0      0        0 eth0
192.168.10.0    *               255.255.255.0   U     0      0        0 eth1
default         193.0.0.161  0.0.0.0         UG    0      0        0 eth0
    ifconfig 
    eth0      Link encap:Ethernet  HWaddr 00:40:F4:8B:51:57  
          inet addr:193.0.0.162  Bcast:193.179.65.175  Mask:255.255.255.240
          inet6 addr: fe80::240:f4ff:fe8b:5157/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:130662391 errors:0 dropped:0 overruns:0 frame:0
          TX packets:122939940 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:111573388854 (103.9 GiB)  TX bytes:61657008880 (57.4 GiB)
          Interrupt:58 

eth1      Link encap:Ethernet  HWaddr 00:0E:2E:56:FA:7F  
          inet addr:192.168.10.250  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe56:fa7f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:157725661 errors:4 dropped:32 overruns:2 frame:0
          TX packets:152409814 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:77950913746 (72.5 GiB)  TX bytes:125454307691 (116.8 GiB)
          Interrupt:50 Base address:0x4c00 

eth1:1    Link encap:Ethernet  HWaddr 00:0E:2E:56:FA:7F  
          inet addr:193.0.0.163  Bcast:193.179.65.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:50 Base address:0x4c00 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1265 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1265 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:141180 (137.8 KiB)  TX bytes:141180 (137.8 KiB)
    5.2.2007 17:13 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Zkrze route ? Jak je to myšleno ?
    5.2.2007 17:18 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Začal bych na FAQ: Jak zprovoznit veřejnou IP adresu ve vnitřní síti (nebo DMZ)?

    Zatímco výpis vašeho fw je téměř kompletní, tak nějak postrádám popis problému :-)
    6.2.2007 12:53 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Obecně je problém v tom že na jiném stroji vše běhá jak má. Jediný rozdíl je v tom že stroj má do internetu jinou ip adresu 82.208.38.0 než veřejné ip 82.208.2.0 v tomhle případě je rosah stejný a nikam se nedostanu. Takže chyba bude asi v route. Je potřeba mít bránu ve stejném rosahu jak daná veřejná Ip ? Nebo můžu posílat na jinou bránu ?
    6.2.2007 13:07 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Promiňte, ale váš popis je naprosto zmatený. Vůbec nechápu, co je "stroj" - stanice, která se potřebuje dostat ven, nebo router? Zkuste v klidu a srozumitelně napsat, jak vypadá vaše topologie, kde máte jaké adresy a čeho chcete docílit.
    6.2.2007 14:00 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Prominte opravdu se vyjadřuju dost zmatečně.

    Takže ještě jednou:

    Mám přidělený rosah Ip adres od providera, které můžu použít. První v rosahu je brána providera 193.0.0.161. Moje brána má venkovní (k providerovi) 193.0.0.162 a vnitřní (nevím jestli je potřeba) 193.0.0.163. Stanice s přidělenou 193.0.0.164 se dostane až na vnější na bráně 193.0.0.162, ale už ne na 193.0.0.161 a hledám chybu. problém bude asi v route (výpis dříve). Procházím články a řešení, ale veřejky potřebuju co nejdříve nasadit :( (vím to se říkat nemá - jen se ospravedlňuju)
    6.2.2007 14:06 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Pokud skutečně chcete používat adresy z jednoho rozsahu na dvou různých segmentech, budete muset použít něco na způsob Proxy ARP (nebo rovnou bridge - se všemi nevýhodami z toho plynoucími). Přečtěte si to FAQ, na které tu byl odkaz, je to tam popsané celkem důkladně.
    6.2.2007 17:23 Grumpa | skóre: 5
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Možná to půjde jinak: Respektujme, že jedna síť má jeden rozsah IP adres, takže to co chcete je vlastně tak trochu prasárnička, že? :o)

    Počítači ve vnitřní síti dejte v pohodě IP adresu z privátního rozsahu (třeba 192.168.1.10). Tu IP, kterou jste chtěl pro sebe uvnitř, přidělte jakou druhou IP adresu tomu firewallu: 
    ifconfig eth0 193.0.0.162
ifconfig eth0:1 193.0.0.164
    a z druhé strany 
    ifconfig eth1: 192.168.1.1
    A do pravidel IPTables si dejte, že co přijde na eth0 a má IP 192.0.0.164 se bude přesměrovávat na IP adresu 192.168.1.10.

    Nejsem expert na IPTables, ale takhle nějak by to mělo jít. Každopádně tak máte adresy z jednoho rozsahu v jedné síti.
    6.2.2007 18:14 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Tahle možnost je v tom FAQ samozřejmě taky - ale je to asi tak ta nejhorší metoda, jak to řešit. A to nemluvím o používání ifconfig
    6.2.2007 20:53 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Děkuju za pomoc, dle návodu v FAQ by řešení bylo dost náročné a neflexibilní. Řešení nakonec bylo jednoduché. Poskytovatel internetu (GTS novera) my vyšel vstříc a namapoval celý rosah na jinou veřejnou ip. Takže moje brána měla jinou vnější ip než vnitřní rosah veřejných ip. V tom případě routování funguje.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.