abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 4
včera 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 22
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 3
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 1
2.12. 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 2
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 770 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Iptables a POLICY

polo23 avatar 7.7.2009 23:02 polo23 | skóre: 26 | blog: polo23
Iptables a POLICY
Přečteno: 246×

Cau mam takovy problem s iptables. Mam centos se dvema rozhranima. ETH0 a ETH1. A chci se zeptat zda kdyz napisu "iptables -P INPUT DROP. Tak jestli to znamena ze cokoliv co prijde na obe rozhrani se zahodi a nebo  A TO ME HLAVNE ZAJIMA jestli jde definovat politika na konkretni rozhrani jako ze by ta politika "iptables -P INPUT DROP platila treba jen na EHT0 ale nevztahovala se na ETH1. Diky za rady.

http://www.it-kurz.cz

Odpovědi

kozzi avatar 7.7.2009 23:14 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Iptables a POLICY
je to nastaveno pro dany retezec coz je INPU takze pro veskery prichozi provoz na vsech zarizeni. Neda se to pokud vim nastavit na zarizeni.
Linux je jako mušketýři "jeden za všechny, všichni za jednoho"
7.7.2009 23:17 R
Rozbalit Rozbalit vše Re: Iptables a POLICY
Politika je pre kazdy retazec len jedna. Je to akoby posledna polozka tabulky, ktora je tam vzdy. Vzdy sa tam da vlozit pravidlo, ktore to pre nejaky interface nastavit nejako inak.
polo23 avatar 7.7.2009 23:18 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Iptables a POLICY

No popravde me za to sef nadal kdyz jsem to pravidlo zadal do FW a to z toho duvodu ze na vnitrni rozhrani chodi plno "packetu" a jadro by se muselo zabyvat filteringem kazdym z nich a tim padem by jadro bylo vytizeno jenom "blbym" firewalem. Jste si jisty tim o pisete? Nebo me sef jen zkousel co "vim"? dekuji

http://www.it-kurz.cz
kozzi avatar 7.7.2009 23:33 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Iptables a POLICY
Celekm ano, lepe to popsal R
Linux je jako mušketýři "jeden za všechny, všichni za jednoho"
7.7.2009 23:16 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Iptables a POLICY
# iptables -P INPUT DROP -i eth1
iptables v1.4.2: Illegal option `-i' with this command
Politika je pre všetky rozhrania spoločná.
polo23 avatar 7.7.2009 23:22 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Iptables a POLICY
 iptables -P INPUT DROP -i eth0
iptables -P INPUT ACCEPT -i eth1 Je po tom mozne napsat neco takove? Pro kazde rozhrani jina politika?
http://www.it-kurz.cz
polo23 avatar 7.7.2009 23:31 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Iptables a POLICY

jeste jinak bych to udelal...

iptables -A INPUT -i eth0 -p all -j ACCEPT

iptables -A INPUT -i eth1 -p all -j DROP

sice to nejsou politiky ale da se rict ze to funguje stejne kdyz to zaradim na konec pravidel ne?

http://www.it-kurz.cz
kozzi avatar 7.7.2009 23:35 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Iptables a POLICY
tak to prvni pravidlo si muzes odpustit jinak ano.
Linux je jako mušketýři "jeden za všechny, všichni za jednoho"
polo23 avatar 8.7.2009 08:39 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Iptables a POLICY

Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd). Mam se teda vykaslat na politiky typu

iptables -P INPUT DROP
iptables -P FORWARD DROP

a dat tam teda radsi nakonec tyhle 4 pravidla
iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP

iptables -A FORWARD -i eth0 -p all -j DROP
iptables -A FORWARD -i eth1 -p all -j DROP
 

http://www.it-kurz.cz
8.7.2009 10:06 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables a POLICY
Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd)

Pokud používáte DROP a ne REJECT, žádné odmítání paketů se neděje, pakety se prostě zahazují. Vysoké zátěže jádra bych se nebál, pokud nemáte příliš komplikovanou strukturu pravidel, příliš vysoký provoz (tisíce až desetitisíce paketů za sekundu) a pomalý procesor. Jinak to '-p all' můžete klidně vynechávat, to je jen jeden z takových artefaktů, které jednou někdo někde použil v článku a od té doby to od něj všichni opisují.

K politikám: politiku každý builtin řetězec mít musí (uživatelským ji naopak nastavit nelze), protože builtin řetězec musí vždy rozhodnout o osudu paketu (propustit nebo zahodit). Nemůžete se dostat do stavu, kdy paket projde celým builtin řetězcem a jádro pořád nebude vědět, co s ním. Takže pro takový případ se definuje politika - ta definuje, co se udělá pakety, které prošly celým řetězcem, aniž by se rozhodlo. Proto také nemá smysl uvažovat o nějaké "politice jen pro jedno rozhraní" apod. Na rozlišování paketů podle rozhraní máte pravidla.

Celkově je náročnost filtru dána tím, kolik a jak složitých podmínek je potřeba testovat a kolik a jak složitých akcí je potřeba provést pro jednotlivé pakety. Takže chcete-li nějak optimalizovat náročnost filtru, je dobré řadit pravidla tak, aby se jako první testovala ta, která rozhodnou o co největším množství paketů. Typickým příkladem je pravidlo povolující veškeré ESTABLISHED a RELATED pakety (používáte-li stavový filtr) nebo pravidla povolující veškerý provoz z konkrétního rozhraní (nechcete-li výjimky). Tak docílíte toho, že o většině paketů rozhodne prvních pár pravidel a ta další se budou testovat jen pro "mimořádné". Ty "optimalizace", které navrhujete vy, jsou ale celkem bezpředmětné.

polo23 avatar 8.7.2009 10:36 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Iptables a POLICY

Mohu se jeste zeptat na 2 veci? 1)Co je builtin retezec?
2) Je tahle politika   iptables -P INPUT DROP  ekvivalentni temto dvema pravidlum?

iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP

Se sefem jsem mel takovy spor: rekl jsem ze iptables -P INPUT DROP je politika ktera zahazuje vsechny pakety(vstupni) na VSECH sitovych rozhranich toho daneho stroje(samozrejme pokud nevyhovi nejakemu pravidlu). A on mi rekl na VSECH? A rikal neco ve smyslu ze to neni pravda. Ale podle me se to vztahuje jak na ETH0 tak na ETH1. Kdo z nas mel teda pravdu?

http://www.it-kurz.cz
8.7.2009 10:48 Jan Včelák | skóre: 28 | blog: Fcelda
Rozbalit Rozbalit vše Re: Iptables a POLICY
ad 2) Nemusí to být pravda. Ekvivalentní POUZE pokud to bude jako poslední pravidlo v řetězci. Paket prochází celým řetězcem postupně a je testován proti pravidlům, které ten řetězec obsahuje. Tyto pravidla mohou rozhodnout o jeho osudu. Pokud se projde celý řetězec a žádné pravidlo nerozhodlo, teprve dojde na politiku. To je to, co nastavujete přes parametr -P.
polo23 avatar 8.7.2009 10:56 polo23 | skóre: 26 | blog: polo23
Rozbalit Rozbalit vše Re: Iptables a POLICY

Samozrejme ze by byli na konci... Tzn pravdu jsme mel ja iptables -P INPUT DROP se uplatnuje na vsechna rozhrani jak ETH0 tak ETH1. Samozrejme pokud se na neuplatnilo nejake pravidlo.

http://www.it-kurz.cz
8.7.2009 11:22 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables a POLICY

1. Už jednou jsem vám napsal, že eth0 a eth1 nejsou všechna rozhraní.

2. Jména rozhraní jsou case sensitive, takže ETH0 je něco jiného než eth0.

8.7.2009 10:53 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables a POLICY

1. Builtin (vestavěný) řetězec je takový, který vytváří jádro automaticky a který nemůžete ani smazat. Opakem jsou uživatelské řetězce, které si vytváříte sám (iptables -N) a sám je také mažete (iptables -X). Do builtin řetězce se paket dostává v určité fázi svého zpracování, do uživatelského řetězce tehdy, když ho tam pošlete pravidlem z jiného řetězce. V tabulce filter jsou builtin řetězce tři: INPUT, FORWARD a OUTPUT.

2a. Ekvivalentní to není, protože kromě rozhraní eth0 a eth1 existuje ještě přinejmenším lo. Pokud byste ale na konci řetězce měl 'iptables -A INPUT -j DROP', bude to ekvivalentní nastavení politiky na DROP, tedy aspoň z hlediska toho, co řetězcem projde a co ne. Nezapomínejte ale na to, že řetězec vždycky má nějakou politiku, pro jistotu si ještě jednou pořádně přečtěte můj minulý příspěvek, když už jsem si s ním dal tu práci. Až pochopíte, co je to politika, bude vám jasné, že nemá smysl se ptát, jestli se týká jen určitého rozhraní; politika se aplikauje na všechny pakety, o kterých nerozhodla pravidla v daném řetězci (bez ohledu na vstupní interface, výstupní interface, protokol, barvu pleti, vyznání atd.).

8.7.2009 14:32 st. Grumpa | skóre: 12
Rozbalit Rozbalit vše Re: Iptables a POLICY - INPUT a FORWARD

Jen bych rád upozornil, že pravidlo INPUT neřeší všechny paktey, které přijdou na dané rozhraní. INPUT se týká jen paketů určených pro stroj, na němž filtr běží. Pokud jde o pakety, které na dané rozhraní přijdou, ale pokračují dále skrz na další rozhraní, pak se na ně aplikuje řetězec FORWARD.


 

8.7.2009 17:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables a POLICY - INPUT a FORWARD
Dokonce i ty, které odcházejí přes stejné rozhraní, na jaké přišly, se zpracovávají řetězcem FORWARD.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.