abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 0
včera 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 10
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 26
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 2
17.2. 09:00 | Nová verze

Bylo vydáno Ubuntu 16.04.2 LTS, tj. druhé opravné vydání Ubuntu 16.04 LTS s kódovým názvem Xenial Xerus. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 50
17.2. 06:00 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje tvorbě pluginů (modulů) pro bitmapový grafický editor GIMP. Pomocí pluginů lze GIMP rozšiřovat o další funkce. Implementovat lze například nové filtry nebo pomocné utility pro tvorbu animací či poloautomatickou retuš snímků.

Ladislav Hagara | Komentářů: 6
16.2. 23:32 | Komunita

Do 30. března se lze přihlásit do dalšího kola programu Outreachy, jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 30. května do 30. srpna 2017, v participujících organizacích lze vydělat 5 500 USD. Jedná se již o 14. kolo tohoto programu.

Ladislav Hagara | Komentářů: 11
16.2. 23:13 | Nová verze

Byla vydána verze 0.92.1 svobodného multiplatformního vektorového grafického editoru Inkscape. Přehled novinek v poznámkách k vydání. Řešen je mimo jiné problém s verzí 0.92, jež rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Více v příspěvku na blogu Davida Revoye, autora open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu.

Ladislav Hagara | Komentářů: 0
16.2. 16:26 | Bezpečnostní upozornění

Byla vydána verze 1.1.0e kryptografické knihovny OpenSSL. Dle bezpečnostního upozornění 20170216 byla opravena závažná bezpečnostní chyba CVE-2017-3733.

Ladislav Hagara | Komentářů: 1
16.2. 13:03 | Pozvánky

GNOME hackaton proběhne v Brně na FIT VUT v Red Hat Labu (budova Q) v pondělí 20. února od 15:00. Registrace není nutná, ale pokud dáte na FaceBooku vědět, že plánujete dorazit, pomůže to s plánováním.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 659 hlasů
 Komentářů: 52, poslední 13.2. 12:45
Rozcestník
Reklama

Dotaz: iptables - nefunkční konfigurace firewallu

16.4.2012 21:56 Zopper | skóre: 14
iptables - nefunkční konfigurace firewallu
Přečteno: 313×

Mám domácí server, který slouží i jako router s NATem, DHCP, DNS server... a snažím se na něm nastavit firewall. Seskládal jsem si tato pravidla, ale výsledné chování je jiné, než jsem čekal:

Ze serveru se nedostanu přes eth0 vůbec nikam (nebo spíš myslím, že zahodí všechny příchozí pakety, i když jsou určené pro něj).

Z jiných pc za serverem se ven dostane ICMP a DNS reques, ale protože DNS je tento server, tak pouze na IP adresy (nebo nacachované domény).


Politika má být taková, že ven se pouští všechno, ale příchozí (nová a zatím cílená jen na server) spojení projdou jen na konkrétních portech.

S iptables si moc netykám, takže ocením jakoukoliv radu (i upozornění na něco, co bych měl do firewallu přidat/předělat...)

Díky.


Síťová rozhraní:
eth0: WAN
všechna ostatní: LAN

firewall
# NAT je uz napevno nastaveny v iptables.conf 

# zakazeme vsechno z venku
iptables -A INPUT -i eth0  -j REJECT

# povoleni navazanych spojeni - pry by melo umoznit i DNS dotazy?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#----------------------------------------------------------------------------------
# povoleni konkretnich portu
#----------------------------------------------------------------------------------
iptables -N POVOLENO

iptables -A POVOLENO  -p ICMP -j ACCEPT

# Dalsi sluzby
iptables -A POVOLENO  -p tcp --dport 22 -m state --state NEW -j ACCEPT # ssh
iptables -A POVOLENO  -p udp --dport 88 -m state --state NEW -j ACCEPT # openvpn
iptables -A POVOLENO  -p tcp --dport 80 -m state --state NEW -j ACCEPT # http
iptables -A POVOLENO  -p tcp --dport 5060 -m state --state NEW -j ACCEPT # VOIP

# pptp
iptables -A POVOLENO  -p tcp --dport 47 -m state --state NEW -j ACCEPT
iptables -A POVOLENO  -p tcp --dport 1723 -m state --state NEW -j ACCEPT
#----------------------------------------------------------------------------------

iptables -A INPUT -i eth0 -p tcp -j POVOLENO
iptables -A FORWARD -i eth0 -p tcp -j POVOLENO

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

Řešení dotazu:


Odpovědi

Řešení 1× (JirkaK)
16.4.2012 22:44 ewew | skóre: 36 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
Skúšal si vynechať prvé pravidlo čo uvadzaš. Nezdalo sa ti divne, že máš v prvom pravidle veľa paketov a ostatné maju nuly ? Namiesto REJECT by som použil zmenu defaultnej politiky. iptables -P INPUT DROP Podobne to urobíš aj pre FORWARD, OUTPUT.

Pozri si tento link a nalistuj si kapitolu 5.14.3.2 Manual init.d configuration.
sec.linuxpseudosec.sk
16.4.2012 22:50 JirkaK | skóre: 15 | blog:
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
Přesně tak. Já jsem na svém serveru použil pro inspiraci (k plné spokojenosti) skript z http://www.petricek.cz/mpfw/ - teda samozřejmě se spoustou změn od doby, kdy jsem podle toho splácal první skript.
** Počítač bez window$, to je jako ryba bez bicyklu... ** echo 'Kdo neskáče, není Čech!'|sed s/Čech/cvičená\ opice/
17.4.2012 10:12 Zopper | skóre: 14
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
Díky oběma, jdu na úpravy, teď by to mohlo fungovat. :-)
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2
Řešení 1× (Zopper (tazatel))
17.4.2012 09:48 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
Pravidla se v iptables vyhodnocují v pořadí, v jakém jsou uvedena. První pravidlo, které vyhoví, se uplatní, a tím zpracování končí. Takže když máte jako první v INPUT uvedeno pravidlo
iptables -A INPUT -i eth0  -j REJECT
Znemožníte tím veškerou příchozí komunikaci na router, veškerou odchozí TCP/IP komunikaci z routeru (nemohou přijít pakety s odpověďmi) a veškerou NATovanou TCP/IP komunikaci.
17.4.2012 10:12 Zopper | skóre: 14
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
Díky, už je mi to jasné, přistupoval jsem k tomu přesně opačně. :-D
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.