Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Rocky Linux 9.4

dnes 04:11 | Nová verze

Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Dellu byla odcizena databáze zákazníků

včera 22:22 | Bezpečnostní upozornění

Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].

Ladislav Hagara | Komentářů: 9

Kdy Zed na Linuxu?

včera 21:11 | Zajímavý článek

V lednu byl otevřen editor kódů Zed od autorů editoru Atom a Tree-sitter. Tenkrát běžel pouze na macOS. Byl napevno svázán s Metalem. Situace se ale postupně mění. V aktuálním příspěvku Kdy Zed na Linuxu? na blogu Zedu vývojáři popisují aktuální stav. Blíží se alfa verze.

Ladislav Hagara | Komentářů: 21

Maker Faire Prague

včera 14:33 | Pozvánky

O víkendu 11. a 12. května lze navštívit Maker Faire Prague, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

Ladislav Hagara | Komentářů: 0

Fedora Asahi Remix 40

8.5. 21:55 | Nová verze

Byl vydán Fedora Asahi Remix 40, tj. linuxová distribuce pro Apple Silicon vycházející z Fedora Linuxu 40.

Ladislav Hagara | Komentářů: 19

Raspberry Pi Connect

8.5. 20:22 | IT novinky

Představena byla služba Raspberry Pi Connect usnadňující vzdálený grafický přístup k vašim Raspberry Pi z webového prohlížeče. Odkudkoli. Zdarma. Zatím v beta verzi. Detaily v dokumentaci.

Ladislav Hagara | Komentářů: 6

Trinity Desktop Environment (TDE) R14.1.2

8.5. 12:55 | Nová verze

Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

JZD | Komentářů: 0

Google Store již také v Česku

7.5. 18:55 | IT novinky

Dnešním dnem lze již také v Česku nakupovat na Google Store (telefony a sluchátka Google Pixel).

Ladislav Hagara | Komentářů: 10

iPad Pro s čipem Apple M4, předělaný iPad Air ve dvou velikostech a nový Apple Pencil Pro

7.5. 18:33 | IT novinky

Apple představil (keynote) iPad Pro s čipem Apple M4, předělaný iPad Air ve dvou velikostech a nový Apple Pencil Pro.

Ladislav Hagara | Komentářů: 5

GCC 14.1

7.5. 17:11 | Nová verze

Richard Biener oznámil vydání verze 14.1 (14.1.0) kolekce kompilátorů pro různé programovací jazyky GCC (GNU Compiler Collection). Jedná se o první stabilní verzi řady 14. Přehled změn, nových vlastností a oprav a aktualizovaná dokumentace na stránkách projektu. Některé zdrojové kódy, které bylo možné přeložit s předchozími verzemi GCC, bude nutné upravit.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.

Jsem bot. (63%)

Jsem člověk. (8%)

Opravdu jsem člověk! (13%)

Jsem něco jiného. (16%)

Celkem 148 hlasů

Komentářů: 11, poslední dnes 18:00

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / nefunkcni pravidla pro iptables

Štítky: firewally, input, Internet, iptables, klient, NAT, output, pravidla, sítě, TCP

Dotaz: nefunkcni pravidla pro iptables

31.5.2011 14:51 netfilter
nefunkcni pravidla pro iptables

Přečteno: 140×

Odpovědět | Admin

Ahoj, mam nasledujici firewall:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i br-lan -o eth0 -j ACCEPT
iptables -A

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -j REJECT --reject-with icmp-admin-prohibited

Potrebuju pripojit pocitace pripojene k sitovce br-lan na internet pres sitovku eth0.

Klient se vubec nepripoji a iptables -L -n -v rika (po jednom pokusu o pripojeni):

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    7  2044 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-admin-prohibited

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  br-lan eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED

Nevidite nekdo, kde mam chybu? Ja ji nemuzu najit :-(

Nástroje: Začni sledovat (1) ?

Odpovědi

31.5.2011 14:53 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i br-lan -o eth0 -j ACCEPT
iptables -A

Ten radek iptables -A tam nemam, spatne jsem to vlozil.

31.5.2011 15:02 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

Máte správně nastavené routování?

31.5.2011 15:31 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

snad ano:

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.7.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

31.5.2011 15:08 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

Pro začátek bych zakázal ten RP filter, většinou nadělá víc škody než užitku. To rozhraní br-lan je normální karta nebo nějaký bridge?

31.5.2011 15:25 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

br-lan je bridge (wlan0 + eth1)

co myslite tim RP filtrem?

31.5.2011 15:33 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje