abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
včera 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 4
včera 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 4
24.5. 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
24.5. 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 11
23.5. 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 26
23.5. 15:11 | Zajímavý projekt

V únoru loňského roku bylo představeno několik útoků na celou řadu bezdrátových klávesnic a myší s názvem MouseJack. Po více než roce lze chybu opravit, tj. aktualizovat firmware, také z Linuxu. Richardu Hughesovi se podařilo navázat spolupráci se společností Logitech, získat od nich dokumentaci, přesvědčit je, aby firmware poskytovali přímo a ne jako součást .exe souboru, aby mohl být popis začleněn do služby Linux Vendor Firmware Service (LVFS) a aktualizace tak mohla proběhnou přímo z Linuxu pomocí projektu fwupd.

Ladislav Hagara | Komentářů: 2
23.5. 13:22 | Nová verze

Po roce a půl vydali vývojáři projektu SANE (Scanner Access Now Easy) (Wikipedie) novou verzi 1.0.27 balíku SANE-Backends. Nejnovější verze tohoto balíku pro přístup ke skenerům přináší například významná vylepšení v několika backendech nebo podporu pro více než 30 nových modelů skenerů. Verze 1.0.26 byla přeskočena.

Ladislav Hagara | Komentářů: 0
22.5. 20:55 | Komunita

Od 18. do 21. května proběhla v Saint-Étienne Linux Audio Conference 2017. Na programu byla řada zajímavých přednášek a seminářů. Videozáznamy přednášek lze zhlédnout na YouTube. K dispozici jsou také články a prezentace.

Ladislav Hagara | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 616 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: NAT router

    15.4.2013 19:28 georgo23
    NAT router
    Přečteno: 316×
    Zdravim, resim problem v nasi siti a jsem v koncich. Sit ma cca 2500 uzivatelu a cca 300 aktivnich prvku, de facto je temer cela jiz postavena na MRT, az na hranicni cast, kde je HP server a ten natuje cca nejakych 2000 useru do 16 verejnych IP adres. Problem je v tom, ze se nam urcite nahodne casti site zpomalily, a my hledame reseni. Patere jsou na 17 GHz ALcoma, sit je routovana. Vytizenost CPU je cca 15-45 % na obou jadrech. Natovaci tabulka je velmi jednoducha vzdy 4-16 subnetu pod jednou verejnou ip adresu. V ramci nasi site je sit da se rici rychla, rekneme ze dokud nedojde prave k LINUXU, jsou hodnoty na Bandw. testech takove, jake maji byt, pres uz vsak neprojde vse tak jak bychom ocekavali. Rekneme ze klient co ma mit nekde 20 Mb, je rad ze ma 4-6, a jinde treba ob vedle ma to co ma mit. Upozornuji, ze sit neni pretizena, Muj osobni nazor je ten, pruchodnost pres LINUX je ten problem, a tak hledam radu co vse se da doladit na nastaveni NATU ? Zde ukazka jednoho ze 16 pravidel NAT tabulky:

    iptables -t nat -A POSTROUTING -s 192.168.1.0/21 -j SNAT --to-source VEREJN.NA.IP.ADRESA

    Odpovědi

    15.4.2013 20:23 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: NAT router

    Možeš sem vložiť obsah celých iptables ?

    sec.linuxpseudosec.sk
    15.4.2013 21:59 georgo23
    Rozbalit Rozbalit vše Re: NAT router
    root@main:~# iptables -t nat -L -n
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    DNAT       tcp  --  192.168.104.173      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.ip:80
    DNAT       tcp  --  192.168.104.198      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.104.58       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.121.141      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.126.14       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
    DNAT       tcp  --  192.168.126.5        0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
    DNAT       tcp  --  192.168.227.13       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.245.16       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.54.3         0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    
    
    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination
    SNAT       all  --  192.168.0.0/21       0.0.0.0/0           to:ip.ip.ip.66
    SNAT       all  --  192.168.8.0/21       0.0.0.0/0           to:ip.ip.ip.67
    SNAT       all  --  192.168.16.0/20      0.0.0.0/0           to:ip.ip.ip68
    SNAT       all  --  192.168.40.0/21      0.0.0.0/0           to:ip.ip.ip69
    SNAT       all  --  192.168.48.0/21      0.0.0.0/0           to:ip.ip.ip70
    SNAT       all  --  192.168.56.0/21      0.0.0.0/0           to:ip.ip.ip71
    SNAT       all  --  192.168.64.0/21      0.0.0.0/0           to:ip.ip.ip72
    SNAT       all  --  192.168.100.0/23     0.0.0.0/0           to:ip.ip.ip66
    SNAT       all  --  192.168.104.0/21     0.0.0.0/0           to:ip.ip.ip73
    SNAT       all  --  192.168.120.0/21     0.0.0.0/0           to:ip.ip.ip74
    SNAT       all  --  192.168.128.0/20     0.0.0.0/0           to:ip.ip.ip75
    SNAT       all  --  192.168.192.0/19     0.0.0.0/0           to:ip.ip.ip76
    SNAT       all  --  192.168.224.0/20     0.0.0.0/0           to:ip.ip.ip77
    SNAT       all  --  192.168.240.0/20     0.0.0.0/0           to:ip.ip.ip78
    SNAT       all  --  192.168.98.0/23      0.0.0.0/0           to:ip.ip.ip66
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    
    pak je tam jeste pro FORWARD, ale tam je cca 2800 pravidel
    15.4.2013 23:11 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: NAT router

    Máš v reťazi FORWARD aj takéto pravidla ?

    • iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/21 -j ACCEPT
    • iptables -A FORWARD -i eth1 -o eth0 -s ! 192.168.0.0/21 -m state --state ESTABLISHED -j ACCEPT
    • iptables -A POSTROUTING -t nat -s 192.168.20.0/21 -o eth1 -j SNAT ip
    • iptables -I FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT

    Prvé pravidlo povolí prevádzku vstupujúcu cez eth0 z rozsahu 192.168.0.0/21. Druhe pravidlo povolí prevádzku z eth1, ktorá nie je v rozsahu 192.168.0.0/21 a je už vytvorené spojenie. Tretie je SNAT pre daný rozsah. Posledné pravidlo by malo povoliť prevádzku, ktorá už má záznam v conntrack tabuľke. Skúšal si pozerať prevádzku, ktorá prechádza, či tam nemáš nejake ICMP redirect ?

    sec.linuxpseudosec.sk
    15.4.2013 22:41 j
    Rozbalit Rozbalit vše Re: NAT router
    Trochu malo informaci ... ale prvni nastrel - kolik mas tak otevrenych konexi v NAT tabulce? Kolik to papa RAMky?

    Jinak ta sit je IMO dost velka na to, aby si zaslouzila vetsi porci IPcek ... ale ve 4ce to ted uz bude asi problem. Mozna by nebylo od veci NATu lehce ulehcit a nahodit IPv6 (mam na IPv6 kolem 20% trafficu generovanyho BFUckama = zadny spesl pouzivani).

    Router na linuxu uroutuje klido desitky Gbit, takze v tom bych problem nehledal. Forward a 2k8 pravidel, to uz problem byt muze, pokud jsou blbe postavena. Nebylo by od veci to prozkoumat, a podivat se na to. Obecne plati, ze je nejlepsi postupovat od obecnych ke konkretnim pravidlum a paket terminovat co nejdriv. Je dobry mit trebas primo ve forwardu jen nejaky omezeny mnoztvi pravidel a dal to rozpadat do chainu. Pokud mas pravidla jako jednu hromadu pekne jedno za druhym ... tak to problem byt muze i zasadni, pokud se nejaky beznejsi nachazi nekde na konci, musi se otestovat vsechna.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.