abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 21:32 | Nasazení Linuxu

Canonical představuje nejnovější verzi chytré helmy DAQRI s Ubuntu pro rozšířenou realitu. K vidění bude příští týden v Barceloně na veletrhu Mobile World Congress 2017.

Ladislav Hagara | Komentářů: 0
včera 21:31 | Pozvánky

Pro zájemce o hlubší znalosti fungování operačních systémů připravila MFF UK nový předmět Pokročilé operační systémy, v rámci něhož se vystřídají přednášející nejen z řad pracovníků fakulty, ale dorazí také odborníci ze společností AVAST, Oracle, Red Hat a SUSE. Tento předmět volně navazuje na kurz Operační systémy ze zimního semestru, ale pokud máte praktické zkušenosti odjinud (například z přispívání do jádra Linuxu) a chcete si

… více »
Martin Děcký | Komentářů: 0
včera 21:30 | Pozvánky

Czech JBoss User Group Vás srdečně zve na setkání JBUG v Brně, které se koná ve středu 1. března 2017 v prostorách Fakulty Informatiky Masarykovy Univerzity v místnosti A318 od 18:00. Přednáší Tomáš Remeš a Matěj Novotný na téma CDI 2.0 - New and Noteworthy. Více informací na Facebooku a na Twitteru #jbugcz.

mjedlick | Komentářů: 0
20.2. 23:45 | Zajímavý software

Na blogu Qt bylo představeno Qt 3D Studio. Jedná se o produkt dosud známý pod názvem NVIDIA DRIVE™ Design Studio. NVIDIA jej věnovala Qt. Jedná se o několik set tisíc řádků zdrojového kódu. Qt 3D Studio bude stejně jako Qt k dispozici jak pod open source, tak pod komerční licencí. Ukázka práce s Qt 3D Studiem na YouTube.

Ladislav Hagara | Komentářů: 10
20.2. 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
20.2. 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 31
20.2. 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 22
19.2. 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 18
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 34
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 6
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 679 hlasů
 Komentářů: 61, poslední včera 13:06
Rozcestník

Dotaz: Konfigurátor iptables pravidel - alternativa k fireholu

29.6.2011 20:15 konf.
Konfigurátor iptables pravidel - alternativa k fireholu
Přečteno: 551×
Dobrý den. Vypadá to, že firehol je tak nějak neoficiálně mrtvý projekt. Stále ho ale ještě používám, ale už nestačí - neumí např. ani ipv6. Jakou náhradu tohoto kdysi bezvadného nástroje byste mi doporučili?

Odpovědi

pavlix avatar 29.6.2011 21:03 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Bash a sadu vlastních funkcí :).
29.6.2011 21:12 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Nemám pár týdnů na ladění vlastních pravidel :-) Bývaly doby, kdy jsem si to psal sám, ale už nemám čas sledovat "kalibraci pravidel" podle aktuálního dění ve světe - myslím přizpůsobování pravidel útokům.
pavlix avatar 29.6.2011 21:17 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Nemám pár týdnů na ladění vlastních pravidel
Však já vždycky přidávám pravidla podle potřeby. Obvykle výjimky z restrikcí, někdy restrikce (hlavně ty kolik smí projít paketů za určitý čas).

iptables umí dobře chránit jen proti některým typům útoků, a ty jsou jednuduché na ošetření. Ty ostatní si většinou poradí i s běžně nastaveným firewallem (přičemž do běžného nastavení spadá i to, o čem si admin myslí, že je superbezpečné).

Pochybuju, že Firehol s útoky dokáže udělat něco víc než pár pravidel v iptables.
29.6.2011 21:25 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Žádný firewall nesedící na aplikační vrstvě nemůže ochránit z principu všechno. Já si zase myslím, že firewall na aplikační vrstvě je více na škodu než k užitku ve většině aplikací. Těch pár řádků ten firehol zase negeneruje, víceméně se jedná o tisíce iptables pravidel.
pavlix avatar 29.6.2011 21:57 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Žádný firewall nesedící na aplikační vrstvě nemůže ochránit z principu všechno.

pavlix avatar 29.6.2011 22:03 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Těch pár řádků ten firehol zase negeneruje, víceméně se jedná o tisíce iptables pravidel.
Tak to bych chtěl docela vidět k čemu to ve výsledku je. Můj firewall generuje momentálně cca stovku pravidel. Není dokonalý, ale umím si představit, že se vejde do dvou set, když tam nasázím pár dalších statických pravidel. Dál už si umím představit jen pravidla generovaná „podle situace“.

Což mi připomíná, že bych se měl někdy podívat, jak jsou na tom iptables s možností použít nějaké address listy.
30.6.2011 03:13 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Tak to bych chtěl docela vidět k čemu to ve výsledku je.
6 fyzických síťových rozhraní, další virtuální, desítky služeb pro každé rozhraní, zvlášť definovaná pravidla pro jednotlivé routování, logování, omezování paketů ..., no ono to velikostně odpovídá.
pavlix avatar 30.6.2011 23:05 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Neříkám, že ne... ale rád bych takové nasazení viděl zaživa a prohlédnul, jestli dává smysl a jestli je návrhově v pořádku (tzn jestli složitost řešení odpovídá složitosti problému, který je jím vyřešen).
29.6.2011 22:22 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Co shorewall?
30.6.2011 03:20 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Ten udělá přesně co mu řeknu nebo to má i nějakou "automatickou ochranu"? - ve fireholu mi stačí jedním konfiguračním parametrem říct, jakou chci obecně bezpečnost a přidá to automaticky pravidla na obranu před základními útoky.
vencour avatar 30.6.2011 09:28 vencour | skóre: 55 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Útoky? Snort a psad znáte?

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
30.6.2011 09:43 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Představa, že firewall je něco, co si zapnete (nebo dokonce zvolíte míru bezpečnosti), a tím je to vyřešeno, je nesmyslná. Firewall znamená nastavení pravidel pro nějakou konkrétní síť. Automaticky přidaná pravidla jsou k ničemu, protože vůbec netušíte, jestli vaši síť nějakým způsobem chrání, zda jsou neúčinná nebo dokonce škodlivá.
30.6.2011 10:15 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Automatická pravidla typu ICMP má takový limit spojení, max. takový a takový paket, nějaká stavová pravidla typu u TCP se nejprve musí otevřít spojení apod. jsou myslím dost užitečná.
30.6.2011 10:47 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
K čemu?
30.6.2011 11:43 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Brání zahlcení routeru (firewallu) příp. počítačů za firewallem zbytečnými pakety.
30.6.2011 12:32 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
Zahlcení firewallu brání těžko, když ten paket už na ten firewall dorazil – naopak je jeho zpracování složitější, protože se musí zkontrolovat víc pravidel. Počítače za firewallem by takhle chráněné být mohly, ale těžko nějakým automaticky vygenerovaným univerzálním pravidlem.
30.6.2011 11:52 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
konfiguruje se jako normální firewall - nadefinuješ si zóny, politiku mezi zónama a pak jednotlivá pravidla (kde se daj používat makra, takže makro FTP vkládá pravidla tak, aby ftp fungovalo a podobně). Nějaké rate limity apod. jsem nezkoušel, ale věřil bych, že to tam jde nastavovat také.
30.6.2011 12:41 NN
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
fwbuilder, ale osobne taktez preferuji manualni firewall..

NN
30.6.2011 14:47 R
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu
V Debiane pouzivam arno-iptables-firewall, ale ani v squeeze nie je verzia s podporou IPv6 (ta je az od v2.0).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.