abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
dnes 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 0
včera 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 16
včera 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 26
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 780 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Iptables - slozitejsi forward ...

17.8.2009 15:28 svaca | skóre: 38
Iptables - slozitejsi forward ...
Přečteno: 450×
Ahoj, mam prosbicku, mam router s natem + VPN a potrebuju trosku poradit. Potrebuju, aby urcity klient VPN site (rekneme 10.100.100.0/24) mohl pres firewall, kde je eth0 (WAN) eth1 (LAN) a tun1 (vpn) mohl jen na URCITY pocitac v LAN na urcitem portu ....

VPN klient ma IP : 10.100.100.6
Pocitac v LAN ma: 192.168.11.5
povoleny PORT je : 80

Pravidlo jsem vytvoril a funguje, jedine proc tu postuju je, zda je to da zapsat jednoduseji, protoze mi to pipada dost krkolomne :-) :
iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --sport 80 -j ACCEPT
iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT
iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --dport 80 -j ACCEPT

Diky :-)
Never give up ! Stay ATARI !

Odpovědi

17.8.2009 16:06 chytracek
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

potrebujes akorat tyhle, paklize ze klienta lezes na server:80 ... ty zbyly dva radky ti delaly server -> client:80, coz predpokladam neni to co chces.

iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT
iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT
17.8.2009 16:53 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
JJ diky :-) Uz mi to taky doslo ...

Dik.
Never give up ! Stay ATARI !
17.8.2009 18:43 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
Je rok 2009 a máme stavový firewall. Takto bude moct "server" dělat cokoliv klientovi, pokud zrovna půjde z portu 80, navíc nepostihujete ICMP, a tak. A ty interfacy jsou tam IMHO zbytečně.
iptables -A FORWARD -s 192.168.11.5 -d 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT
iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT
iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -p tcp --dport 80 -m state --state NEW -j ACCEPT
In Ada the typical infinite loop would normally be terminated by detonation.
17.8.2009 19:26 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Treba si priucim...

Mate nejaky zvlastni duvod, proc akceptujete i INVALID pakety?

17.8.2009 19:36 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
A co s nima mám dělat?
In Ada the typical infinite loop would normally be terminated by detonation.
17.8.2009 22:45 Sinuhet
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Zahazovat?

18.8.2009 07:18 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
A proč? Když jsou invalid tak nikomu neublíží. Nejsem si jistý, že ve 100% případů je odpověď systému bez firewallu zahození, takže pokud bych je začal zahazovat, můžu přinejmenším napovídat, že mám firewall a přinejhorším rozesrat chování nějakého protokolu. Jinými slovy: systém si s nima poradí sám.
In Ada the typical infinite loop would normally be terminated by detonation.
18.8.2009 12:23 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Co vas vede k presvedceni, ze nikomu nemohou ublizit?

K cemu mi je, kdyz si ostatni mysli, ze nemam firewall? BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT? Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.

Pokud nastanou problemy, tak vzdycky muzete INVALID povolit pro konkretni porty, obecne s tim zadny problem neni a je doporucovano tyto pakety zahazovat.

18.8.2009 18:41 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
Co vas vede k presvedceni, ze nikomu nemohou ublizit?
TCP/IP stack Linuxu je poměrně dobře odladěný a neřekl bych že je nějakým způsobem nerobustní vůči špatným paketům. Navíc jelikož je logika stavového FW dost pevně spjatá s logikou TCP/IP stacku tak pokud by TCP/IP stack trpěl nějakým problémem způsobeným špatným paketem, bude jím pravděpodobně stavový FW trpět taky.
K cemu mi je, kdyz si ostatni mysli, ze nemam firewall?
Že nedáváte k dispozici víc informací než musíte.
BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT?
Ano.
Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.
Pro verzi OS jsou podstatnější otevřené porty než zavřené. A skenování tím usnadní jak, když je odpověď na filtrovaném portu stejná jako na zavřeném (verzus žádná odpověď)?
vzdycky muzete INVALID povolit pro konkretni porty
INVALIDní pakety nemusí chodit na nějaké porty a už vůbec ne na ty, na které chodí normální provoz.
a je doporucovano tyto pakety zahazovat
Ukažte mi nějaký seriózní zdroj (nejlépe RFC) k tomuto tvrzení a já otočím gard.
In Ada the typical infinite loop would normally be terminated by detonation.
18.8.2009 10:33 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
pht:

ten zapis chapu a snad chapu jak to i funguje, ale s timto zapisem, kdyz navazu to spojeni na te 80, pak pak jde i pingat, to pravdepodobne dovoluje RELATED, pri tom mem zapisu to ovsem ale nejde ....

Jaky je tedy presny rozdil, co ziskam hlavne pomoci ESTABLISHED,RELATED ?

Diky.
Never give up ! Stay ATARI !
18.8.2009 18:46 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
ale s timto zapisem, kdyz navazu to spojeni na te 80, pak pak jde i pingat
Jste si jist, že se to povoluje tím mým zápisem a ničím jiným? Co myslíte tím když navážete spojení?
Jaky je tedy presny rozdil, co ziskam hlavne pomoci ESTABLISHED,RELATED ?
ESTABLISHED propouští pouze pakety které patří nějakému navázanému spojení - tedy ne libovolný packet, který má náhodou stejná čísla portů.

RELATED pak propouští i jiné pakety, které sice nepatří tomu TCP spojení ale souvisí s ním. Například ICMP pakety "source quench" nebo "redirect" nebo "destination unreachable". Nikoliv ale "ping".
In Ada the typical infinite loop would normally be terminated by detonation.
18.8.2009 20:04 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
Jsem si jist, mezi tun1 a eth1 NENI povolena zadna komunikace, zadny forward (muzu postnout cely FW)

1. muj zapis pusti (navaze komunikaci) na portu 80 z te VPN do te lan (ping neprojde)
2. pouziji-li Vas zapis, tak po navazani te komunikace z venku na portu 80 muzu pote pingat na tu 192.168.11.5 ...
Never give up ! Stay ATARI !
18.8.2009 21:12 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
tak po navazani te komunikace z venku na portu 80
Tj. jak? Před navázáním komunikace to nepingá? Pokud komunikace probíhá, tak ano? Po skončení spojení také / jak dlouho?

In Ada the typical infinite loop would normally be terminated by detonation.
19.8.2009 10:39 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
Tak jsem to ted zkousel znova a je to OK, nepinga, takze asi to byl nejaky otevreny retezec, jak jsem to testoval .... Takze nevim :-)

Nicmene diky.

Never give up ! Stay ATARI !

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.