abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 01:23 | Nová verze

Oficiálně bylo oznámeno vydání verze 3.0 multiplatformního balíku svobodných kancelářských a grafických aplikací Calligra (Wikipedie). Větev 3 je postavena na KDE Frameworks 5 a Qt 5. Krita se osamostatnila. Z balíku byly dále odstraněny aplikace Author, Brainstorm, Flow a Stage. U Flow a Stage se předpokládá jejich návrat v některé z budoucích verzí Calligry.

Ladislav Hagara | Komentářů: 0
včera 15:25 | Nová verze

Bylo oznámeno vydání první RC (release candidate) verze instalátoru pro Debian 9 s kódovým názvem Stretch. Odloženo bylo sloučení /usr jako výchozí nastavení v debootstrap. Vydán byl také Debian 8.7, tj. sedmá opravná verze Debianu 8 s kódovým názvem Jessie.

Ladislav Hagara | Komentářů: 5
včera 13:37 | Zajímavý projekt

1. ledna byl představen projekt Liri (GitHub). Jedná se o spojení projektů Hawaii, Papyros a původního projektu Liri s cílem vyvíjet operační systém (linuxovou distribuci) a aplikace s moderním designem a funkcemi. Včera byl představen Fluid 0.9.0 a také Vibe 0.9.0. Jedná se o toolkit a knihovnu pro vývoj multiplatformních a responzivních aplikací podporující Material Design (Wikipedie) a volitelně také Microsoft Design Language (designový jazyk Microsoft) [reddit].

Ladislav Hagara | Komentářů: 2
14.1. 00:33 | Zajímavý software

Google na svém blogu věnovaném open source představil knihovnu pro komprimaci a dekomprimaci 3D grafiky s názvem Draco. Knihovna bude využívána například v aplikacích pro virtuální a rozšířenou realitu. Porovnání Draco s gzip na YouTube. Zdrojové kódy Draco jsou k dispozici na GitHubu pod licencí Apache 2.0.

Ladislav Hagara | Komentářů: 5
13.1. 17:27 | IT novinky

V loňském roce proběhla úspěšná kampaň na Indiegogo na podporu GPD Win. Jedná se o malý 5,5 palcový notebook a přenosnou herní konzoli v jednom. Předinstalované Windows 10 lze nahradit Linuxem. V únoru by se na Indiegogo měla objevit kampaň na podporu 7 palcového notebooku GPD Pocket.

Ladislav Hagara | Komentářů: 28
13.1. 02:00 | Nová verze

Po pěti měsících od vydání verze 1.0.0 (zprávička) byla vydána verze 2.0.0 frameworku Kirigami (HIG) pro vytváření uživatelských rozhraní mobilních a konvergentních aplikací nad toolkitem Qt. Pro vyzkoušení je určena aplikace pro Android Kirigami gallery.

Ladislav Hagara | Komentářů: 0
12.1. 23:28 | Zajímavý software

Akční hra Lugaru HD od Wolfire Games (recenze) byla uvolněna jako svobodný software, a to včetně dat (pod licencí Creative Commons Attribution – Share Alike). Linuxový port byl v roce 2010 součástí první akce Humble Indie Bundle a engine byl krátce poté uvolněn pod licencí GNU GPL, což vedlo mj. k portu na AmigaOS. Autor mezitím pracuje na pokračování nazvaném Overgrowth.

Fluttershy, yay! | Komentářů: 0
12.1. 14:49 | Bezpečnostní upozornění

Na serveru Jabb.im bylo zveřejněno vyjádření k úniku dat z Jabbim Archive (pastebin). Dump databáze obsahuje komunikaci uživatelů, jejich IP adresy a logy aplikace od října 2015 do března 2016. Celkově se jedná o 8 GB dat, převažujícím jazykem zpráv je čeština a slovenština. O úniku informoval jako první server Motherboard. Jabbim Archive byla službou volitelnou, dostupnou pouze pro VIP uživatele. Podle provozovatele serveru Jabb.im k

… více »
Michal Makovec | Komentářů: 68
12.1. 12:55 | Nová verze

Telegram Desktop, klient služby pro rychlé psaní zpráv Telegram (Wikipedie, zdrojové kódy) pro počítače, byl představen v roce 2013. Dnes byla vydána verze 1.0. Podrobnosti v oznámení na blogu.

Ladislav Hagara | Komentářů: 11
12.1. 11:22 | Bezpečnostní upozornění

Byla nalezena a v upstreamu opravena bezpečnostní chyba CVE-2016-9587 (CT-2017-0109) ve svobodném softwaru vytvářejícím platformu pro konfigurační správu a řízení počítačů Ansible (Wikipedie). Spravování kompromitovaného uzlu pomocí Ansible může vést ke spuštění příkazů na řídícím počítači [LWN.net].

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 289 hlasů
 Komentářů: 19, poslední 13.1. 22:02
    Rozcestník
    Reklama

    Dotaz: iptables -je tento prikaz bezpecny?

    5.4.2011 19:48 adrinko | skóre: 22
    iptables -je tento prikaz bezpecny?
    Přečteno: 757×
    prosím vás,

    je tento príkaz bezpečný? iptables -I INPUT -p tcp --dport 80 -j ACCEPT

    chcem to na to, aby sa príchodzie www požiadavky smerovali priamo na routri do na ňom bežiaceho thttp. nič iné by to nemalo dovoliť, len teda smerovať www požiadavky na stránky. vďaka.

    Odpovědi

    5.4.2011 21:19 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    Samotný příkaz iptables nikdy nemůže být bezpečný nebo nebezpečný. A nemůže takové být ani nastavení firewallu – firewall buď propouští jen takovou komunikaci, kterou propouštět má, nebo propouští i něco navíc – to by pak bylo možné nazvat „nebezpečným“ nastavením. Ale vždy je to v kontextu toho, jak jej chcete mít nastaven.

    Tímto příkazem povolíte veškeré příchozí pakety protokolu TCP na port 80. Pokud má komunikace fungovat, musíte ještě povolit odpovídající odchozí pakety (v řetězci OUTPUT). Záleží také na výchozích politikách jednotlivých řetězců a na dalších pravidlech – bylo by lepší dát sem výstup
    iptables --line-numbers -nvL
    Z toho bude vidět celkové nastavení firewallu.

    Je rozumné povolit také icmp zprávy, nejspíš budete chtít, aby server uměl překládat DNS názvy, možná se taky budete chtít připojovat přes SSH – takže těch prostupů nejspíš budete chtít víc.
    7.4.2011 18:35 adrinko | skóre: 22
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    ospravedlňujem sa, že reagujem trošku neskôr. toto je komplet výpis z iptables --line-numbers -nvL, stiahnut v .txt sa dá tu http://www.mediafire.com/?ufefms475sfn0w5
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1      136 13523 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    2     4135  383K ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    3        0     0 DROP       udp  --  vlan2  *       0.0.0.0/0            0.0.0.0/0           udp dpt:520
    4        0     0 DROP       udp  --  br0    *       0.0.0.0/0            0.0.0.0/0           udp dpt:520
    5        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:520
    6       25  1440 logaccept  tcp  --  *      *       0.0.0.0/0            192.168.1.1         tcp dpt:22
    7        4   158 logdrop    icmp --  vlan2  *       0.0.0.0/0            0.0.0.0/0
    8        0     0 logdrop    2    --  *      *       0.0.0.0/0            0.0.0.0/0
    9        2   882 ACCEPT     udp  --  vlan2  *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060
    10       4   176 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0           state NEW
    11    1810  152K logaccept  0    --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
    12     628 80564 logdrop    0    --  *      *       0.0.0.0/0            0.0.0.0/0
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 ACCEPT     0    --  br0    br0     0.0.0.0/0            0.0.0.0/0
    2    14153  679K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    3    1826K  549M lan2wan    0    --  *      *       0.0.0.0/0            0.0.0.0/0
    4    1800K  547M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    5        0     0 logdrop    tcp  --  *      vlan2   0.0.0.0/0            0.0.0.0/0           tcp dpt:1723
    6        0     0 logdrop    udp  --  *      vlan2   0.0.0.0/0            0.0.0.0/0           udp dpt:1701
    7        0     0 logdrop    udp  --  *      vlan2   0.0.0.0/0            0.0.0.0/0           udp dpt:500
    8        0     0 TRIGGER    0    --  vlan2  br0     0.0.0.0/0            0.0.0.0/0           TRIGGER type:in match:0 relate:0
    9    25413 2078K trigger_out  0    --  br0    *       0.0.0.0/0            0.0.0.0/0
    10   23488 2001K ACCEPT     0    --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
    11    1925 77000 logdrop    0    --  *      *       0.0.0.0/0            0.0.0.0/0
    
    Chain OUTPUT (policy ACCEPT 5890 packets, 2747K bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_1 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_10 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_2 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_3 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_4 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_5 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_6 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_7 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_8 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain advgrp_9 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_1 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_10 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_2 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_3 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_4 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_5 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_6 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_7 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_8 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain grp_9 (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain lan2wan (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    
    Chain logaccept (2 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1     1835  153K LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW LOG flags 7 level 4 prefix `ACCEPT '
    2     1835  153K ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0
    
    Chain logdrop (7 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1      609 79568 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW LOG flags 7 level 4 prefix `DROP '
    2     1948 78154 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID LOG flags 7 level 4 prefix `DROP '
    3     2557  158K DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0
    
    Chain logreject (0 references)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 7 level 4 prefix `WEBDROP '
    2        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp reject-with tcp-reset
    
    Chain trigger_out (1 references)
    num   pkts bytes target     prot opt in     out     source               destination
    7.4.2011 20:14 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    Hned první pravidlo v řetězci INPUT je to, které jste tam chtěl přidávat, takže dávat ho tam znova je zbytečné. Jinak tohle je už docela komplexní nastavení firewallu, a bez znalosti jednotlivých zařízení a portů (a toho, jaká přes to má jít komunikace), vám nikdo nepopíše, co to vlastně dělá. Samozřejmě může slovně popsat jednotlivá pravidla, ale nedokáže popsat celkový smysl toho celého. Stejně tak se ani nedá pořádně říct, co s tím udělá přidání jednoho dalšího pravidla. To musí posoudit někdo, kdo ví, jak ta síť vypadá, jaké jsou tam komunikace a co má ten firewall dělat. Bohužel.
    7.4.2011 20:28 adrinko | skóre: 22
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    ďakujem vám. toto nastavenie obsahuje dd-wrt router. v podstate v tej sieti nevyužívam nič len internet a zosieťované počítače. (žiadne služby by tam nemali byť povolené a otvorené porty tiež nie, teda akurát len ak niekto si otvorí v prehliadači moju IP, tak by sa mala zobraziť stránka z routra - rozumejte stránka nie admin rozhrania ale stránka, ktorú servíruje thttpd. toť vše.

    momentálne mi ide len o to, aby vnútorná sieť bola maximálne zabezpečená pred útočníkmi zvonku a aby router po otvorení mojej IPečky z vonkajšieho sveta zobrazil tú stránku.
    7.4.2011 20:39 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    V tom případě bych smazal všechny řetězce, které jsou tam vytvořené, výchozí pravidla pro INPUT a FORWARD bych nastavil na REJECT nebo DROP, do INPUT bych přidal povolení pro port TCP/80, pro ICMP a pro navázaná spojení, do FORWARD jen navázaná spojení. Předpokládá to ale, že ten router i konfigurujete lokálně (přímo z terminálu připojeného k němu), protože tímhle si odříznete jakýkoli přístup po síti mimo HTTP. Ve výpisu iptables vidím povolené SSH (port 22), pokud přes něj přistupujete k routeru, povolte jej taky – třeba jen pro vnitřní síť.
    10.4.2011 21:21 adrinko | skóre: 22
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    fíha vďaka. nie som žiaden guru v iptables... skúsim sa v tom povŕtať
    5.4.2011 22:14 NN
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    Jeste by se hodilo pridat rozhrani, aby jsi byl uplne presny, pripadne konkretni stavy(new,syn..)

    NN
    vencour avatar 5.4.2011 23:26 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?

    Určitě jednou přijde chvíle, kdy oceníte nastavené limitu provozu pro takovéto pravidlo ...

    iptables -N web_filter
    iptables -A web_filter -m recent --set --name web
    iptables -A web_filter -m recent --update --seconds 2 --hitcount 20 --name WEB -j LOG --log-level info --log-prefix "WEB attack blocked: "
    iptables -A web_filter -m recent --update --seconds 2 --hitcount 20 --name WEB -j DROP
    iptables -A web_filter -j RETURN
    iptables -I INPUT -p tcp --dport 80 -j web_filter
    aneb omezíte přístup na 20 spojení za 2 vteřiny.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    7.4.2011 17:19 zulu
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    Na kterou část dotazu odpovídáš?
    vencour avatar 7.4.2011 21:30 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?

    Tazatel se ptá, zda může na routeru povolit přístup na nějaký port a službu. Pokud tohle poběží na routeru, asi bude fungovat nějaký výkonnostní strop, který při překročení způsobí nedostupnost celého routeru.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    8.4.2011 08:46 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    Úzkým hrdlem v tomto případě bude nejspíš linka do internetu, takže zahazovat pakety až za ní nemá smysl. Navíc, jestli správně chápu funkci modulu recent, není limit 20 spojení za sekundu, ale 20 paketů za sekundu. Takže když se tenhle limit překročí, začnou se zahazovat pakety i z již navázaných spojení, odesílatel je tedy bude posílat znovu, a celkový počet paketů procházejících linkou k routeru se tedy naopak zvýší.
    10.4.2011 23:09 ms | skóre: 7 | blog: msblog
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    S tím DROP bych si dal pozor... Back from the Dead: Simple Bash for complex DdoS (+ diskuze k článku)
    vencour avatar 12.4.2011 07:05 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?

    Jsou firewally, které umí omezit počet spojení z jednoho zdroje. Jestli je tohle jádrem odkazu?

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    12.4.2011 17:28 ms | skóre: 7 | blog: msblog
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?
    Narážel jsem na to, že někdy je vhodnější místo drop použít "-j REJECT --reject-with tcp-reset" z důvodů popsaných v odkazovaném článku/diskuzi
    As an aside - DROP isn't what you want in this case. DROP leaves the tracking burden on all the stateful gear between you and the endpoint - which doesn't fix the problem.
    vencour avatar 12.4.2011 23:32 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: iptables -je tento prikaz bezpecny?

    Hmm. Mně přijde, že při masivnim DoSu ani tohle nepomůže? Třeba poznam ;-)

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.