abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Asterinas a Asterinas NixOS
    dnes 15:44 | Zajímavý software

    Asterinas (GitHub) je v Rustu napsané jádro operačního systému poskytující s jádrem Linux kompatibilní ABI. Vydána byla verze 0.18.0. První distribucí postavenou nad jádrem Asterinas je Asterinas NixOS. Nejedná se o oficiální projekt NixOS a nemá nic společného s NixOS Foundation.

    Ladislav Hagara | Komentářů: 1
    Kritická zranitelnost v nf_tables (CVE-2026-23111)
    dnes 13:22 | Zajímavý článek

    Podrobně byla rozebrána kritická zranitelnost v nf_tables (CVE-2026-23111). Další lokální eskalace práv na Linuxu. V upstreamu byla zranitelnost již v únoru opravena. Ve zdrojovém kódu stačilo odstranit 1 vykřičník.

    Ladislav Hagara | Komentářů: 1
    EK nařídila Metě obnovit bezplatný přístup AI konkurence k WhatsAppu
    dnes 12:11 | Nová verze

    Evropská komise (EK) nařídila americké společnosti Meta, že musí znovu umožnit bezplatný přístup konkurenčním obecně zaměřeným asistentům umělé inteligence (AI) k WhatsAppu a tento přístup musí zachovat až do ukončení antimonopolního šetření. Opatření je dočasné a má zabránit vážnému a nevratnému poškození konkurence na rychle rostoucím trhu s obecnými AI asistenty. Meta uvedla, že se proti rozhodnutí odvolá.

    Ladislav Hagara | Komentářů: 1
    Claude Fable 5 a Claude Mythos 5
    dnes 11:44 | IT novinky

    Společnost Anthropic představila AI modely Claude Fable 5 a Claude Mythos 5. Claude Fable 5 je první model třídy Mythos určený pro běžné použití.

    Ladislav Hagara | Komentářů: 0
    Alpine Linux 3.24.0
    dnes 04:44 | Nová verze

    Byla vydána nová stabilní verze 3.24.0, tj. první z nové řady 3.24, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 1
    Vývoj operačního systému Redox OS (05/2026)
    dnes 03:33 | Komunita

    Na čem pracují vývojáři v Rustu napsaného mikrokernelového unixového operačního systému Redox OS (Wikipedie)? Byl publikován přehled vývoje za květen. Vypíchnout lze nový scheduler EEVDF nebo port desktopového prostředí Xfce na Redox OS.

    Ladislav Hagara | Komentářů: 0
    Upozornění pro uživatele Asahi Linuxu: Neaktualizujte macOS na verzi 27 Golden Gate!
    včera 22:22 | Komunita

    Upozornění pro uživatele Asahi Linuxu: Neaktualizujte macOS na verzi 27 Golden Gate! Apple změnil detekci spouštěcích oddílů. Po aktualizaci oddíl s Asahi Linuxem nevidí. Snad je to jenom chyba.

    Ladislav Hagara | Komentářů: 3
    Prezentace a videa z Dne IPv6 jsou na webu akce
    včera 15:11 | Komunita

    Na webu konference Den IPv6, která se konala 4. června v Národní technické knihovně v pražských Dejvicích, jsou nyní k dispozici všechny prezentace (v PDF) a jejich videozáznamy. Organizátory konference byly i letos sdružení CESNET, CZ.NIC a NIX.CZ.

    VSladek | Komentářů: 0
    digiKam 9.1.0
    včera 13:11 | Nová verze

    Byla vydána nová verze 9.1.0 správce sbírky fotografií digiKam (Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení (NEWS). Vypíchnout lze vylepšené vyhledávání nebo podporu Pixel Motion Photos. Nejnovější digiKam je ke stažení také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

    Ladislav Hagara | Komentářů: 1
    Přihlaste přednášku na LinuxDays 2026
    včera 11:44 | Pozvánky

    Přihlaste svou přednášku na další ročník konference LinuxDays, který proběhne 3. a 4. října na FIT ČVUT v pražských Dejvicích. Příjem témat poběží do konce prázdnin, pak proběhne veřejné hlasování a následně sestavení programu.

    Petr Krčmář | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (15%)
     (31%)
     (3%)
     (6%)
     (3%)
     (15%)
     (26%)
    Celkem 1866 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Filtrace a zabezpeceni uzivatelu male site
    Štítky: Bash, DHCP, firewally, Internet, iptables, NAT, shelly, sítě, web


    Dotaz: Filtrace a zabezpeceni uzivatelu male site

    23.8.2007 20:03 Pheek | skóre: 24 | blog: io
    Filtrace a zabezpeceni uzivatelu male site
    Přečteno: 717×
    Dobry den, mam dotaz a problem, nastinim co mam a vcem mam problem, mam malou sit tak cca 100 uzivatelu a prirazuji jim adresu pomoci DHCP serveru a shapuji jim rychlost (bezdratova sit) a problem zni, obcas si nekdo zkousi dat jinou adresu v siti nez tu kterou mu prideli DHCP a tim zacne kolidovat v siti s jinym zarizenim (duvod proc to dela je ze se pokousi dostat treba vetsi rychlost jineho uzivatele). Potreboval bych udelat to aby se tohle nestavalo a pokud se to stane tak jak tohodle uzivatele odchytit a popripade ho dat do nejakeho blacklistu, tedy pokud si sam nezmeni MAC adresu. Dekuji za kazdou byt jen sebemensi pomoc.
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    e.lisak avatar 23.8.2007 20:22 e.lisak | skóre: 23
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    pokud budete predpokladat, ze si nebudou menit MAC, tak kontrolovat par IP/MAC (pokud ovsem MAC uzivatele dorazi az na filtrovaci stroj).

    nebo zkusit pridelovat pristup ne podle IP, ale podle overeni uzivatele jinym zpusobem (uzivatel sice automaticky dostane od DHCP adresu, ale pak musi zadat helo k pripojeni, nebo mit certifikat...). v te souvislosti mne napadaji slova jako VPN, RADIUS ...

    PS: sitemi se moc nezabyvam, takze to berte jen jako nezarucene popostrceni...

    23.8.2007 20:33 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Ne tohle neni ono cohledam, jde o to ze tou siti poskytuji nekolika nadsencum internet a nekteri jsou koumaci a snazi se z toho vytezit co se da!
    23.8.2007 20:39 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site

    Stále znovu mě zaráží, jak je zde v řadě diskusí RADIUS považován za něco, co umí vyřešit téměř jakékoliv problémy. Radius je jen a pouze svého druhu databázový mechanismus, kterého se zeptám A?, a on mi odpoví B. Nic víc a nic míň. Je sice pravda, že je docela často používán v situacích, kdy A zní "může X" a B zní "ano" či "ne", ale to je jenom jedna z mnoha aplikací.

    Prosím - Radius není žádný mechanismus pro zabezpečení sítě!!!

    23.8.2007 20:54 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site

    Nemůžete uživateli zabránit v tom, aby si ručně nastavil jakoukoliv IP adresu, která se mu zamane. To by vám mělo být zřejmé, že takovýto ochranný mechanismus jaksi z principu není možný. Čili "aby se tohle nestavalo" je požadavek, který nelze splnit.

    Jakákoliv omezení a detekce, které byste eventuálně chtěl provozovat, musí vycházet z kombinace IP/MAC filtru na bráně do internetu.

    V rámci takového filtru budete schopen detekovat, že MAC adresa A používá IP adresu B, což není správně - a nic s tím neuděláte. Můžete maximálně paušálně zablokovat uživatele s MAC adresou A, nicméně uživatel s IP adresou B stejně nebude schopen fungovat. Čili "jak tohodle uzivatele odchytit a popripade ho dat do nejakeho blacklistu" je samozřejmě možné, ale nic vám to nevyřeší, protože ho sice "nepustíte" na Internet, ale příslušná IP adresa zůstane tímto uživatelem okupovaná.

    A navíc to celé sám stavíte na podmínce "pokud si sam nezmeni MAC adresu" - což je asi stejně těžké, jako naškrábat brambory.


    Jste v těžké situaci - provozujete lokální síť s potencionálně nepřátelskými uživateli, přičemž v této síti nemáte k dispozici žádné ochranné mechanismy. Tato situace nemá řešení.

    Musel byste síť zabezpečit něčím jako 802.1x (to je to, čemu někteří říkají "radius"), ale bude to hodně práce s malým efektem - a potřebujete, aby to ta bezdrátová zařízení podporovala. Další alternativou je například PPPoE. Ještě víc práce s lepším efektem - toto sice nemusí podporovat síťová infrastruktura, ale zato to musíte každému z té stovky tupých windowsoidních uživatelů nastavit.

    Upřímně řečeno - dobře vám tak. Když hodíte mezi smečku vlků flák masa, velmi těžko budete ex post řídit, aby si každý vlk sežral jenom svůj spravedlivý podíl...

    24.8.2007 09:13 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    tak to jsem netusil ze neexistuje nejaky nastroj kterym tomuhle zabranit, jak to delaji treba jini poskytovatele internetu? Jak tomuhle zabrani a nebo nezabrani? To preci nejde aby jeden uzivatel polozil sit ne!
    24.8.2007 09:41 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Poskytovatelé internetu také identifikují uživatele buď podle identifikace zařízení (tedy např. MAC adresa), nebo podle identifikace spoje (což jde u metalických nebo optických spojů, nejde to u radiových spojů – např. identifikace telefonní linky), a nebo používají autorizaci (jménem a heslem, certifikátem).

    Vám bych doporučil na firewallu povolit průchod jen známým kombinacím MAC/IP. Pokud by si koumáci dokázali zjistit MAC adresu někoho ze svých kolegů a změnit si ji, pak by musela nastoupit nějaká další opatření. Ale myslím, že MAC/IP by mělo stačit, pokud nenarazíte na někoho, kdo chce jo podvádět. A pokud byste přeci jen někoho takového v síti měl, snažil bych se ho spíš zbavit, než vymýšlet náročnější a náročnější ochrany.
    24.8.2007 10:01 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    nema nekdo nejakej napad jak takova pravidla vytvorit a by na server prochazeli jen lidi co tam maji co delat?
    24.8.2007 10:36 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Pokud vám stačí zakázat přístup a nechcete jim třeba web přesměrovat na nějakou výhružnou stránku, měloby stačit 
    Chain FORWARD (policy ACCEPT 29M packets, 21G bytes)
pkts bytes target     prot opt in     out     source        destination
875K  131M mac_filter udp  --  wlan0   *       0.0.0.0/0     0.0.0.0/0
118K 5558K mac_filter tcp  --  wlan0   *       0.0.0.0/0     0.0.0.0/0  state NEW

Chain mac_filter (1 references)
target     prot opt source               destination
RETURN     all  --  192.168.1.1            0.0.0.0/0           MAC 00:00:00:00:00:00
RETURN     all  --  192.168.1.2            0.0.0.0/0           MAC 00:00:00:00:00:00
RETURN     all  --  192.168.1.3            0.0.0.0/0           MAC 00:00:00:00:00:00
DROP       all  --  0.0.0.0/0            0.0.0.0/0
    24.8.2007 10:46 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    jeee tohle jsme nejak nepochopil, dalo by se nejak udelat nejakej script s databazi treba IP/MAC kterej bych pustitl a udrzoval aktualni a popripade je i presmeroval na tu vyhruznou stranku, dekuji moc.
    24.8.2007 12:21 jurasek
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Staci do souboru treba /etc/ethers napsat vzdy MAC mezera IP /xx:xx:xx:xx:xx:xx xxx.xxx.xxx.xxx/ a prikazem arp -f /etc/ethers to nahrat do arp tabulky. IPTABLES jsou na to kanon na vrabce a vyhoda zadna.

    jurasek
    24.8.2007 12:27 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    a jak udelat to aby ti uzivatele co nejsou v tomhle souboru naspani se presmerovali na nejakou mou stranku stim ze byt bylo neco napsane, asi by museli dostat nejakou jinou adresu treba 10.0.0.25 misto 192.168.20.25
    24.8.2007 12:31 jurasek
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Tak tohle chudak ARP /address resolution protocol/ neumi :o). Na tohle budete muset pouzit iptables. Ale pokud budete kazdy prichozi paket kontrolovat na MAC adresu, tak nevim jak to bude s vykonem.

    jurasek
    24.8.2007 12:56 jurasek
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Totok by mohla byt idea reseni tohoto problemu /pozor netestovano/.
    iptables -t nat -A PREROUTING -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -s 192.168.100.10 -m mac --mac-source 00:33:44:55:66:77 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -s 192.168.100.11 -m mac --mac-source 00:33:44:55:66:99 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.1:80
    iptables -t nat -P PREROUTING DROP

    jurasek
    24.8.2007 13:00 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Idea je to dobra a vyzkousim, jen neslo by to nejak predelat tak aby tyhle informace tahal z nejakeho souboru.
    24.8.2007 13:35 jurasek
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Slo. Napiste si ty pravidla v BASH scriptu a misto ip a mac dejte promennou, kterou nacitejte ze souboru. Nebo v PERLu, nebo v cem umite to je fuk.

    jurasek
    24.8.2007 13:37 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Takze bash by sel a neslo by jeste trosku nakopnout stim jak to udelat :)
    24.8.2007 13:40 jurasek
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    Hehe a naprogranovat to cele by taky nebylo od veci ze ?

    jurasek
    24.8.2007 13:46 Zdenek
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    A nejhorsi na tom je, ze chce spravovat sit. Vice takovych "administratoru"!
    24.8.2007 10:11 jurasek
    Rozbalit Rozbalit vše Re: Filtrace a zabezpeceni uzivatelu male site
    802.1x nemusi vas problem vyresit /napriklad na switchi Linksys/. Problem blokovani portu, ktere nemaji IP z DHCP resi Dynamic ARP Inspection http://www.cisco.cz/index.sub.php?pid=site&typ=sswitch, pripadne pritomnost stejnych MAC v siti resi napriklad na CISCU vlastnost switchport port-security http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/12_1e/swconfig/port_sec.htm.Uz pokud si nekdo v siti nastavi stejnou MAC jako vy /a nemusi si ani nastavit stejne IP/ vznikne problem.

    jurasek

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.