abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 11:22 | Komunita

Mozilla.cz informuje, že na blogu Mozilly věnovaném bezpečnosti byly zveřejněny výsledky bezpečnostního auditu služby Firefox Accounts, v českých překladech účet Firefoxu, sloužící hlavně k přihlašování k synchronizaci Firefox Sync. Nalezeno bylo celkem 15 bezpečnostních chyb, z toho jedna byla označena jako kritická a tři jako vážné.

Ladislav Hagara | Komentářů: 0
dnes 11:00 | Nová verze

Byla vydána první stabilní verze 1.0 svobodného komunikačního softwaru Ring (Wikipedie). Ring, původně SFLphone, je součástí projektu GNU [reddit].

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Zajímavý projekt

Warner Skoch na svých stránkách zveřejnil návod (YouTube) na zhotovení kapesní herní konzole MintyPi. Konzole MintyPi je postavena na Raspberry Pi Zero W a RetroPie. Jako obal slouží plechová krabička od mentolek.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Nová verze

Byl vydán Debian 9.1, tj. první opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.9, tj. devátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 12
22.7. 15:50 | Zajímavý článek

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice zveřejnila čtyřiačtyřicetistránkovou výroční zprávu za rok 2016. K dispozici je ve formátu pdf ve vysokém (21,68 MB) a nízkém (7,1 MB) rozlišení. Zpráva byla vytvořena ve Scribusu.

Ladislav Hagara | Komentářů: 0
22.7. 14:40 | Zajímavý software

Mozilla.cz informuje, že Firefox Focus pro Android, velmi jednoduchý prohlížeč zaměřený na anonymní prohlížení, dosáhl milionu stažení. Firefox Focus blokuje sledující prvky a reklamy a při ukončení automaticky smaže všechna uložená data stránek, historii prohlížení a cookies.

Ladislav Hagara | Komentářů: 30
22.7. 14:20 | Komunita

Vyplněním dotazníku na Formuláře Google lze ovlivnit výběr výchozích aplikací v Ubuntu 18.04 LTS. Podrobnosti v příspěvku Dustina Kirklanda na Ubuntu Insights [reddit].

Ladislav Hagara | Komentářů: 7
21.7. 11:30 | Komunita

Etherpad (Wikipedie), svobodný online webový textový editor umožnující spolupráci v reálném čase, se stal oficiálním projektem organizace Software Freedom Conservancy (Wikipedie). Vývojáři Etherpadu se tak mohou stejně jako vývojáři dalších projektů soustředit pouze na vývoj softwaru a vše kolem zařídí Software Freedom Conservancy. Spuštěna byla instance Etherpadu pad.sfconservancy.org.

Ladislav Hagara | Komentářů: 3
21.7. 10:40 | Zajímavý článek

Lukáš Růžička se v článku Workrave ve Fedoře aneb jak si nevytunelovat karpál na MojeFedora.cz věnuje aplikaci Workrave (Wikipedie) na sledování času stráveného na počítači, která může pomoci vyhnout se negativním účinkům práce s počítačem (RSI, CTS), nebo je alespoň výrazně zmírnit.

Ladislav Hagara | Komentářů: 1
21.7. 10:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Shadow Warrior: Special Edition běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 2
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (19%)
 (75%)
Celkem 52 hlasů
 Komentářů: 2, poslední dnes 03:34
    Rozcestník

    Dotaz: teoreticka hranice propustnosti IPTABLES

    4.3.2010 14:00 deVries
    teoreticka hranice propustnosti IPTABLES
    Přečteno: 553×
    existuje? nekde jsem cetl, ze lze jeste upravit sdilenou pamet pro jadro, aby si iptables mohly vytvaret vetsi tabulky, atd, ale jestli je nejake omezeni datove propustnosti v iptables, to jsem na internetu nikde nenasel.

    Odpovědi

    4.3.2010 15:12 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Teoreticka hranice je vysoka, ale prakticka je otresna. Nehlede na ten chaos kteremu se u iptables rika konfigurace. U zakaznika byl slaby vykon site, velke odezvy atp. Iptables mel pres 4.000 pravidel. Nastesti meli dost rozumu na to, aby pochopili, ze to je hrozne i pro laptop/desktop ne tak jeste na to co chteji oni. Nasadil se pf a z vice nez 4.000 pravidel zbylo necelych 400 v pf. Vykon, udrzba, stabilita pochopitelne nekde uplne jinde.
    4.3.2010 17:11 kraken
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    +1

    podobne na intrakoch.. iptables boli problematicke, nahodil sa PF a pokoj.. ani sa nevie ze nejaky firewall je :)
    polo23 avatar 4.3.2010 19:53 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Muzu se zeptat jak je mozne ze pf ma jinou propustnost nez iptables? Jsou to preci jen prostrednici. Oba prece slouzi ke konfiguraci netfilteru - u toho by se mela merit ta propustnost.
    http://www.it-kurz.cz
    4.3.2010 22:03 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Netfilter/iptables je jedno a to same (z pohledu zjednoduseni a praktickeho nasazeni) http://www.netfilter.org/ . PF je packet filter z OpenBSD http://www.openbsd.org/faq/pf/index.html cili uplne neco jineho.

    Speaking of antiquated, the IPTables code was originally supposed to have been replaced by Nf-hipac back in 2005. IPTables is completely ineffective for large rule sets, due to the linear increase in resources required for each rule. Features like hashing of address lists, source-based rate-limiting, stateful failover, and synproxy are either missing or too immature for production use.

    Smutne je, ze iptables je v tolika routerech a jinych zakaznickych zarizenich. S jeho kvalitou to nema nic spolecneho.
    5.3.2010 08:05 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Já bych řekl že to bude tím že jsou v iptables špatně volená pravidla - prostě proč jich je tam 4000? A v PF je jich potom 400? Samozřejmě rozdíl být může ale takový?
    5.3.2010 09:56 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    Protoze v iptables nejdou psat efektivne pravidla. To lze ale porovnavat az pri pouziti a porovnani obou filtrovacich systemu. Napriklad takovy antispoof. V iptables se to dela podobne otresne jako v IPfilter. Musi se zadat rozsahy, ktere se chteji filtrovat a tech pochopitelne muze byt obrovske mnozstvi. Doporucuji vyzkouset napr. firestarter na nejake mainstream Linux distribuci, blokovat vse dovnitr, ven povolit jen co navazu a zapnout antispoof a pak v konzoli udelat 'iptables --list'. Clovek si muze v klidu zajit na kafe, protoze zacne vypisovat antispoof pro vsechny mozne rozsahy a to trva pekelne dlouho. Pri provozu pak iptables tim vsim musi prochazet pri kontrole paketu a to na rychlosti moc neprida. Nevim kdy presne ten vypis konci. Ja to po 4 minutach vzdal to cekani. V PF toho sameho dosahnu timhle :

    lan_if = "fxp0"
    antispoof quick for { $lan_if }
    block in all
    pass out

    Princip detailne : Example: antispoof for fxp0 inet When a ruleset is loaded, any occurrences of the antispoof keyword are expanded into two filter rules. Assuming that interface fxp0 has IP address 10.0.0.1 and a subnet mask of 255.255.255.0 (i.e., a /24), the above antispoof rule would expand to: block in on ! fxp0 inet from 10.0.0.0/24 to any block in inet from 10.0.0.1 to any These rules accomplish two things: * Blocks all traffic coming from the 10.0.0.0/24 network that does not pass in through fxp0. Since the 10.0.0.0/24 network is on the fxp0 interface, packets with a source address in that network block should never be seen coming in on any other interface. * Blocks all incoming traffic from 10.0.0.1, the IP address on fxp0. The host machine should never send packets to itself through an external interface, so any incoming packets with a source address belonging to the machine can be considered malicious.

    Jednoduche a ucinne. Neni treba placat vsechny rozsahy a zbytecne tak zatezovat firewall a zpomalovat provoz. Ted si nekdo rekne a jak asi zablokujes ostatni adresy, ktere jsou podle RFC jen pro interni provoz chytraku. No jednoduse : http://www.openbsd.org/faq/pf/tables.html#config tabulky jsou efektivni, mohou mit obrovsky pocet zaznamu a hlavne maji vysokou rychlost zpracovani a nizkou zatez.

    5.3.2010 10:12 qwa
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter
    5.3.2010 20:41 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie, ktera v praxi zpusobuje problemy napr.

    The rp_filter subsystem related to IP spoofing protection must be turned off on both gateways for IPSEC to work properly. This is accomplished by checking if the value 0 (off) is set in the /proc/sys/net/ipv4/conf/ipsec0/rp_filter and /proc/sys/net/ipv4/conf/eth0/rp_filter files respectively:
    Heron avatar 5.3.2010 10:16 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    ad Princip detailne: Zcela téhož lze dosáhnout i pomocí iptables. To že to firestarter dělá špatně, nemá s iptables nic společného.
    5.3.2010 10:23 tomk
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    No dobre, ale to, ze jdou v PF psat efektvne pravidla, zase nevysvetluje ten vetsi vykon oproti iptables. Kdyz budu mit rikneme:

    pass in on { fxp0, ep0 } proto tcp to 192.168.1.9 port { 80, 443, 8282 } keep state
    

    tak se to stejne v pf expanduje na neco jako:

    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    

    To mi sice usetri psani, zprehledni konfiguraci, ale narocne na zpracovani pri pruchodu packetu by to melo byt stejne, jako sest pravidel otrocky napsanych v iptables, ne?

    Tomas
    5.3.2010 20:55 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie a v idealnim svete by to byla pravda kdyz by se odhledlo od rozdilu v tom jak snadne nebo naopak nesnadne je to nakonfigurovat. Co se tyce vykonu, tak tam uz jde o celkovy navrh toho systemu a jeho promyslenost, kvalitu kodu, implementaci v jadre a mnozstvi chyb. Proc Linux neintegroval nf-HiPAC to opravdu netusim http://www.hipac.org/performance_tests/results.html , zase tak moc to nesleduji, ale spousta firem a instituci pouziva PF, jen se o tom nikde moc nemluvi. I infrastruktura Telenoru pro Opera Mini bezi na OpenBSD a to dela 30% Internetoveho provozu ven z Norska. A pomale to rozhodne neni :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.