abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 01:22 | Zajímavý projekt
Před měsícem byla spuštěna kampaň na podporu chytrého telefonu Librem 5, jenž by měl respektovat bezpečnost, svobodu a soukromí uživatelů. Cílem kampaně je vybrat alespoň milion a půl dolarů. Aktuálně je vybráno přes 600 000 dolarů, tj. 40 %. Kampaň poběží ještě další měsíc. Podporu projektu oznámilo KDE i GNOME.
Ladislav Hagara | Komentářů: 0
dnes 00:55 | Komunita

Agentura DISA (Defense Information Systems Agency) publikovala (pdf) Ubuntu 16.04 Security Technical Implementation Guide (STIG) (zip), tj. doporučené bezpečnostní nastavení Ubuntu 16.04. Ubuntu se tak dostalo mezi unixové operační systémy a linuxové distribuce AIX, HP-UX, Oracle Linux, Red Hat a Solaris [reddit].

Ladislav Hagara | Komentářů: 0
včera 22:55 | Bezpečnostní upozornění

CSIRT.CZ informuje, že byly vydány nové bezpečnostní aktualizace, které opravují několik zranitelných míst v Sambě. Útočník může využít zranitelnosti s cílem získání přístupu k potenciálně citlivých informací. Uživatelům a správcům je doporučeno, aby zkontrolovali bezpečnostní opatření pro CVE-2017-12150, CVE-2017-12151 a CVE-2017-12163 a provedli potřebné aktualizace.

Ladislav Hagara | Komentářů: 0
včera 21:44 | Komunita

Společnost Red Hat aktualizovala svůj slib ohledně softwarových patentů. Slib nově zahrnuje i open source software pod permisivními licencemi.

Ladislav Hagara | Komentářů: 0
včera 08:55 | Komunita

Do 22. září probíhá v Mountain View konference XDC2017 (X.Org Developer's Conference). Na programu je řada zajímavých přednášek. Sledovat je lze online. K dispozici je záznam přednášek ze včerejšího dne.

Ladislav Hagara | Komentářů: 0
20.9. 17:33 | Nová verze

Byla vydána nová stabilní verze 1.12 (1.12.955.36) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují možnost zobrazení metadat u digitálních fotografií, vylepšený panel stahování a omezení sytosti barvy zdůraznění (YouTube). Nejnovější Vivaldi je postaveno na Chromiu 61.0.3163.91.

Ladislav Hagara | Komentářů: 39
20.9. 10:55 | Nová verze

Byla vydána verze 4.0 programovacího jazyka Swift (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu. Ke stažení jsou oficiální binární balíčky pro Ubuntu 16.10, Ubuntu 16.04 a Ubuntu 14.04.

Ladislav Hagara | Komentářů: 5
19.9. 23:33 | Zajímavý software

MojeFedora informuje, že PipeWire byl oficiálně oznámen (en). PipeWire bude zprostředkovávat aplikacím jednotný přístup k audiu a videu. Jedním z hlavních důvodů je možnost izolovat aplikace od audio a video zdrojů. Aplikace nebudou mít přímý přístup k hardwaru, ale budou se muset ptát multimediálního serveru PipeWire, který jim je na základě nastavených oprávnění poskytne nebo ne. V budoucnu by měl PipeWire nahradit PulseAudio.

Ladislav Hagara | Komentářů: 25
19.9. 00:55 | Zajímavý software

Společnost IBM věnovala svůj JVM (Java Virtual Machine) s názvem J9 nadaci Eclipse. Nové oficiální jméno tohoto virtuálního stroje určeného pro běh aplikací napsaných v programovacím jazyce Java je Eclipse OpenJ9 (Wikipedie). Podrobnosti v často kladených dotazech (FAQ).

Ladislav Hagara | Komentářů: 15
19.9. 00:11 | IT novinky

Mezinárodní konsorcium W3C (World Wide Web Consortium) publikovalo kontroverzní rozšíření HTML 5.1 EME (Encrypted Media Extensions) jako webový standard, tj. schválilo DRM v HTML 5.1. Mezinárodní nezisková organizace EFF (Electronic Frontier Foundation) hájící občanské svobody v digitálním světě zveřejnila na svých stránkách otevřený dopis adresovaný W3C. EFF s EME zásadně nesouhlasí a W3C opouští.

Ladislav Hagara | Komentářů: 57
Těžíte nějakou kryptoměnu?
 (5%)
 (3%)
 (17%)
 (75%)
Celkem 550 hlasů
 Komentářů: 22, poslední 29.8. 11:23
    Rozcestník

    Dotaz: Iptables - monitor prietoku dat

    10.12.2008 19:56 Juraj
    Iptables - monitor prietoku dat
    Přečteno: 335×
    Zdravim, hlavne linux komunitu.
    Obraciam sa na vas s prosbou o pomoc pri rieseni hlavolamu zvaneho IPTABLES.
    Ja sam som z iptables-u dost mimo. Uz par krat som sa ho pokusal pochopit
    no nikdy som nepresiel za ciaru zaciatocnika-amatera.
    
    Bohuzial to co chcem vyriesit bude vyzadovat viac nez som sa kedy mohol
    naucit a teda popis problemu:
    ------------------------------------------------------------------------
    Predstavte si T-Com Cisco router pripojeny k eth1 na Linux-Debian serveri.
    Predstavte si obrovsku skolsku siet zo (cca) 70 PC, preswitchovanu k
    jednemu kabliku, ktory je pripojeny do toho isteho servera, do sietovej
    karty eth0.
    
    Na premostenie tychto dvoch sieti (sieti z Cisca a skolskej sieti)
    pouzivam nasledovny skript:
    
    iptables --flush # Flush all the rules in filter and nat tables
    iptables --table nat --flush
    iptables --delete-chain # Delete all chains that are not in default filter
    and nat table
    iptables --table nat --delete-chain
    # Set up IP FORWARDing and Masquerading
    iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE
    iptables --append FORWARD --in-interface eth0 -j ACCEPT
    echo "1" >/proc/sys/net/ipv4/ip_forward
    
    Tato cast skriptiku funguje dokonale. K tomu nie je co dodat.
    Dnes, som pripojil do nasej lokalnej siete (t.j. za serverom) skolsky
    internat. Po dlho-tyzdnovych prosbach sme obyvatelom skolskeho internatu
    umoznili zakupit WiFi router na ktory sa par z nich pripaja laptopom a
    pouzivaju net vo svojom volnom case priamo zo svojej izby. Wifi router ma
    IP adresu 10.0.0.3 a okrem mnozstva upozorneni chcem spravit monitoring
    prietoku dat na IP adresu 10.0.0.3.  Znova som siahol po IPTABLESe a
    skript som doplnil:
    -----------------------------------------------------------------
    iptables -N segment-A
    iptables -A FORWARD -d 10.0.0.0/26 -j segment-A
    iptables -A FORWARD -s 10.0.0.0/26 -j segment-A
    
    iptables -A segment-A -d 10.0.0.3
    iptables -A segment-A -s 10.0.0.3
    ------------------------------------------------------------------
    
    Uspech je ale len polovicny. Po napisani prikazu:
    # iptables -L -v -n
    
    Chain FORWARD (policy ACCEPT 10M packets, 12G bytes)
     pkts bytes target     prot opt in     out     source              
    destination
    17977 2236K ACCEPT     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
    23186   22M segment-A  0    --  *      *       0.0.0.0/0           
    10.0.0.0/26
        0     0 segment-A  0    --  *      *       10.0.0.0/26          0.0.0.0/0
    
    Chain segment-A (2 references)
     pkts bytes target     prot opt in     out     source              
    destination
    20194   18M            0    --  *      *       0.0.0.0/0            10.0.0.3
        0     0            0    --  *      *       10.0.0.3             0.0.0.0/0
    -----------------------------------------------------------------
    
    Ako vidite z vypisu, dobre sa pocitaju DOWNLOADnute data.
    Ale VOBEC sa nepocitaju tie UPLOADNUTE.
    Uz nad tym sedim 4 hodiny a neviem na nic prist. Mozno mi nieco
    uniklo/unika, mozno som len nieco zle pochopil/napisal/spravil/nespravil.
    
    Mohol by mi niekto skusenejsi poradit kde robim chybu?
    
    Dakujem za kazdu radu.
    J.
    

    Odpovědi

    10.12.2008 22:22 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Máte to trochu pomotané.

    iptables --append FORWARD --in-interface eth0 -j ACCEPT

    Řetězec FORWARD má policy (implicitní závěrečné pravidlo) ACCEPT. Takže znovu povolovat vstup packetů z eth0 je zbytečné.

    S tím souvisí váš problém. Jak je vidět zpořadí pravidel ve FORWARD

    # iptables -L -v -n
    
    Chain FORWARD (policy ACCEPT 10M packets, 12G bytes)
     pkts bytes target     prot opt in     out     source              
    destination
    17977 2236K ACCEPT     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
    23186   22M segment-A  0    --  *      *       0.0.0.0/0           
    10.0.0.0/26
        0     0 segment-A  0    --  *      *       10.0.0.0/26          0.0.0.0/0

    veškerý provoz z eth0, ve kterém jsou i packety se zdrojovou adresou 10.0.0.0/26, se zpravuje hned prvním pravidlem a tudíž se takové packety k dalším pravidlům už nedostanou.

    Doporučuji smazat první pravidlo z FORWARD.

    Dále doporučuji si nastudovat, které cíle ukončují procházení tabulek (prakticky všechny) a které nikoliv (přesměrování do jiného řetězce, LOG, NFLOG, ULOG, RETURN).

    11.12.2008 05:38 Juraj
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Dakujem, vyskusam.

    11.12.2008 06:46 Juraj
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Chcem sa este raz podakovat. Vasa poznamka bola spravna a bol to ten problem co som mal.

    Neuvedomil som si, ze na "poradi pravidiel zalezi".

     

    11.12.2008 08:28 koleckovnicek
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Tohle je jeste celkem trivialni nastaveni. Pockejte, az tam budete mit nekolik set ruznorodych pravidel na vice zarizenich, to je teprve poradnej bordel ;-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.