abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
dnes 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 4
dnes 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
včera 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 3
včera 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
včera 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 11
23.5. 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 26
23.5. 15:11 | Zajímavý projekt

V únoru loňského roku bylo představeno několik útoků na celou řadu bezdrátových klávesnic a myší s názvem MouseJack. Po více než roce lze chybu opravit, tj. aktualizovat firmware, také z Linuxu. Richardu Hughesovi se podařilo navázat spolupráci se společností Logitech, získat od nich dokumentaci, přesvědčit je, aby firmware poskytovali přímo a ne jako součást .exe souboru, aby mohl být popis začleněn do služby Linux Vendor Firmware Service (LVFS) a aktualizace tak mohla proběhnou přímo z Linuxu pomocí projektu fwupd.

Ladislav Hagara | Komentářů: 2
23.5. 13:22 | Nová verze

Po roce a půl vydali vývojáři projektu SANE (Scanner Access Now Easy) (Wikipedie) novou verzi 1.0.27 balíku SANE-Backends. Nejnovější verze tohoto balíku pro přístup ke skenerům přináší například významná vylepšení v několika backendech nebo podporu pro více než 30 nových modelů skenerů. Verze 1.0.26 byla přeskočena.

Ladislav Hagara | Komentářů: 0
22.5. 20:55 | Komunita

Od 18. do 21. května proběhla v Saint-Étienne Linux Audio Conference 2017. Na programu byla řada zajímavých přednášek a seminářů. Videozáznamy přednášek lze zhlédnout na YouTube. K dispozici jsou také články a prezentace.

Ladislav Hagara | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 615 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: teoreticka hranice propustnosti IPTABLES

    4.3.2010 14:00 deVries
    teoreticka hranice propustnosti IPTABLES
    Přečteno: 553×
    existuje? nekde jsem cetl, ze lze jeste upravit sdilenou pamet pro jadro, aby si iptables mohly vytvaret vetsi tabulky, atd, ale jestli je nejake omezeni datove propustnosti v iptables, to jsem na internetu nikde nenasel.

    Odpovědi

    4.3.2010 15:12 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Teoreticka hranice je vysoka, ale prakticka je otresna. Nehlede na ten chaos kteremu se u iptables rika konfigurace. U zakaznika byl slaby vykon site, velke odezvy atp. Iptables mel pres 4.000 pravidel. Nastesti meli dost rozumu na to, aby pochopili, ze to je hrozne i pro laptop/desktop ne tak jeste na to co chteji oni. Nasadil se pf a z vice nez 4.000 pravidel zbylo necelych 400 v pf. Vykon, udrzba, stabilita pochopitelne nekde uplne jinde.
    4.3.2010 17:11 kraken
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    +1

    podobne na intrakoch.. iptables boli problematicke, nahodil sa PF a pokoj.. ani sa nevie ze nejaky firewall je :)
    polo23 avatar 4.3.2010 19:53 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Muzu se zeptat jak je mozne ze pf ma jinou propustnost nez iptables? Jsou to preci jen prostrednici. Oba prece slouzi ke konfiguraci netfilteru - u toho by se mela merit ta propustnost.
    http://www.it-kurz.cz
    4.3.2010 22:03 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Netfilter/iptables je jedno a to same (z pohledu zjednoduseni a praktickeho nasazeni) http://www.netfilter.org/ . PF je packet filter z OpenBSD http://www.openbsd.org/faq/pf/index.html cili uplne neco jineho.

    Speaking of antiquated, the IPTables code was originally supposed to have been replaced by Nf-hipac back in 2005. IPTables is completely ineffective for large rule sets, due to the linear increase in resources required for each rule. Features like hashing of address lists, source-based rate-limiting, stateful failover, and synproxy are either missing or too immature for production use.

    Smutne je, ze iptables je v tolika routerech a jinych zakaznickych zarizenich. S jeho kvalitou to nema nic spolecneho.
    5.3.2010 08:05 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Já bych řekl že to bude tím že jsou v iptables špatně volená pravidla - prostě proč jich je tam 4000? A v PF je jich potom 400? Samozřejmě rozdíl být může ale takový?
    5.3.2010 09:56 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    Protoze v iptables nejdou psat efektivne pravidla. To lze ale porovnavat az pri pouziti a porovnani obou filtrovacich systemu. Napriklad takovy antispoof. V iptables se to dela podobne otresne jako v IPfilter. Musi se zadat rozsahy, ktere se chteji filtrovat a tech pochopitelne muze byt obrovske mnozstvi. Doporucuji vyzkouset napr. firestarter na nejake mainstream Linux distribuci, blokovat vse dovnitr, ven povolit jen co navazu a zapnout antispoof a pak v konzoli udelat 'iptables --list'. Clovek si muze v klidu zajit na kafe, protoze zacne vypisovat antispoof pro vsechny mozne rozsahy a to trva pekelne dlouho. Pri provozu pak iptables tim vsim musi prochazet pri kontrole paketu a to na rychlosti moc neprida. Nevim kdy presne ten vypis konci. Ja to po 4 minutach vzdal to cekani. V PF toho sameho dosahnu timhle :

    lan_if = "fxp0"
    antispoof quick for { $lan_if }
    block in all
    pass out

    Princip detailne : Example: antispoof for fxp0 inet When a ruleset is loaded, any occurrences of the antispoof keyword are expanded into two filter rules. Assuming that interface fxp0 has IP address 10.0.0.1 and a subnet mask of 255.255.255.0 (i.e., a /24), the above antispoof rule would expand to: block in on ! fxp0 inet from 10.0.0.0/24 to any block in inet from 10.0.0.1 to any These rules accomplish two things: * Blocks all traffic coming from the 10.0.0.0/24 network that does not pass in through fxp0. Since the 10.0.0.0/24 network is on the fxp0 interface, packets with a source address in that network block should never be seen coming in on any other interface. * Blocks all incoming traffic from 10.0.0.1, the IP address on fxp0. The host machine should never send packets to itself through an external interface, so any incoming packets with a source address belonging to the machine can be considered malicious.

    Jednoduche a ucinne. Neni treba placat vsechny rozsahy a zbytecne tak zatezovat firewall a zpomalovat provoz. Ted si nekdo rekne a jak asi zablokujes ostatni adresy, ktere jsou podle RFC jen pro interni provoz chytraku. No jednoduse : http://www.openbsd.org/faq/pf/tables.html#config tabulky jsou efektivni, mohou mit obrovsky pocet zaznamu a hlavne maji vysokou rychlost zpracovani a nizkou zatez.

    5.3.2010 10:12 qwa
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter
    5.3.2010 20:41 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie, ktera v praxi zpusobuje problemy napr.

    The rp_filter subsystem related to IP spoofing protection must be turned off on both gateways for IPSEC to work properly. This is accomplished by checking if the value 0 (off) is set in the /proc/sys/net/ipv4/conf/ipsec0/rp_filter and /proc/sys/net/ipv4/conf/eth0/rp_filter files respectively:
    Heron avatar 5.3.2010 10:16 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    ad Princip detailne: Zcela téhož lze dosáhnout i pomocí iptables. To že to firestarter dělá špatně, nemá s iptables nic společného.
    5.3.2010 10:23 tomk
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    No dobre, ale to, ze jdou v PF psat efektvne pravidla, zase nevysvetluje ten vetsi vykon oproti iptables. Kdyz budu mit rikneme:

    pass in on { fxp0, ep0 } proto tcp to 192.168.1.9 port { 80, 443, 8282 } keep state
    

    tak se to stejne v pf expanduje na neco jako:

    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    

    To mi sice usetri psani, zprehledni konfiguraci, ale narocne na zpracovani pri pruchodu packetu by to melo byt stejne, jako sest pravidel otrocky napsanych v iptables, ne?

    Tomas
    5.3.2010 20:55 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie a v idealnim svete by to byla pravda kdyz by se odhledlo od rozdilu v tom jak snadne nebo naopak nesnadne je to nakonfigurovat. Co se tyce vykonu, tak tam uz jde o celkovy navrh toho systemu a jeho promyslenost, kvalitu kodu, implementaci v jadre a mnozstvi chyb. Proc Linux neintegroval nf-HiPAC to opravdu netusim http://www.hipac.org/performance_tests/results.html , zase tak moc to nesleduji, ale spousta firem a instituci pouziva PF, jen se o tom nikde moc nemluvi. I infrastruktura Telenoru pro Opera Mini bezi na OpenBSD a to dela 30% Internetoveho provozu ven z Norska. A pomale to rozhodne neni :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.