abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 19:55 | Komunita

Neziskové technologické konsorcium Linux Foundation minulý týden rozšířilo seznam svých projektů. Novinkou je CHIPS Alliance a Continuous Delivery Foundation (CDF). Spojením Node.js Foundation a JS Foundation vznikla OpenJS Foundation. Představena byla také platforma CommunityBridge nebo Red Team Project.

Ladislav Hagara | Komentářů: 0
dnes 18:11 | IT novinky

Neziskové průmyslové konsorcium Khronos Group vydalo verzi 0.90 specifikace OpenXR (Wikipedie), tj. standardu specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro AR (rozšířenou realitu) a VR (virtuální realitu). Společnost Collabora současně představila open source implementaci OpenXR s názvem Monado. Videoukázka na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 13:55 | Nová verze

Byla vydána verze 3.32 poštovního klienta Geary (Wikipedie). Změněno bylo číslování verzí. Předchozí verze byla 0.13. Nově bude číslování verzí stejné jako u GNOME.

Ladislav Hagara | Komentářů: 2
dnes 01:33 | Nová verze

Byla vydána nová major verze 4 průběžně aktualizované (rolling release) linuxové distribuce Solus (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Solus 4 je ke stažení v edicích Budgie, GNOME a MATE. Solus používá správce balíčku eopkg. Dotazy a odpovědi v novém diskusním fóru.

Ladislav Hagara | Komentářů: 0
včera 22:11 | Zajímavý software

Brian Linkletter se na svém blogu věnuje open source síťovým simulátorům. V nejnovějším příspěvku představuje open source síťový emulátor vrnetlab (VR Network Lab). Ten k běhu jednotlivých routerů používá Docker.

Ladislav Hagara | Komentářů: 0
včera 02:22 | Humor

Společnost SUSE natočila a na YouTube zveřejnila nový videoklip: Walk Like A Chameleon - SUSE Music Parody.

Ladislav Hagara | Komentářů: 19
včera 00:11 | Nová verze

Byla vydána verze 0.71 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeno je také několik bezpečnostních chyb. Nalezení většiny z nich bylo sponzorováno Evropskou komisí.

Ladislav Hagara | Komentářů: 0
15.3. 22:44 | Nová verze

V rámci projektu OpenRA je vyvíjen svobodný engine pro starší strategické hry Command & Conquer (nyní jsou freeware) a Dune 2000. Vydání 20190314 pokrývá změny za posledního půl roku: vylepšené chování jednotek, přepis kódu pro AI a celkem 9 nových misí pro jednoho hráče.

Fluttershy, yay! | Komentářů: 2
15.3. 21:33 | Nová verze

Po půl roce vývoje od vydání verze 1.14.0 byla vydána nová verze 1.16.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se na svých blozích věnují Ľubomír Rintel a Thomas Haller. Zdůrazněna je podpora WireGuardu.

Ladislav Hagara | Komentářů: 0
15.3. 14:55 | Nová verze

Po deseti měsících vývoje od vydání verze 3.1 byla vydána nová stabilní verze 3.2 proprietárního multiplatformního editoru textových souborů a zdrojových kódů Sublime Text (Wikipedie). Přehled novinek v příspěvku na blogu. Sublime Text je ke stažení a k vyzkoušení zdarma. Pro další používání je nutná licence v ceně 80 dolarů. Vývojáři editoru Sublime Text nedávno představili svého git klienta Sublime Merge. Ten je také ke stažení a k vyzkoušení zdarma. Licence stojí 99 dolarů.

Ladislav Hagara | Komentářů: 0
Kolik balíčků (v tisících) máte nainstalovaných na svém systému?
 (3%)
 (12%)
 (35%)
 (30%)
 (19%)
 (3%)
 (2%)
 (1%)
 (3%)
Celkem 202 hlasů
 Komentářů: 16, poslední 14.3. 20:04
Rozcestník

Dotaz: pri pouziti iptables pomale odezvy

12.8.2003 23:30 keyem
pri pouziti iptables pomale odezvy
Přečteno: 69×
dobry den,

mam v internetu server - jen jedna sitovka - rozhrani ven, proste klasicky server-housingovy server..

firewall jsem mel v umyslu postavit takhle:

iptables -P INPUT DROP

a pak povolit jen jednotlive sluzby:

iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -s x.x.x.x -d x.x.x.x -p tcp --dport 22 -j ACCEPT

atd atd.

problem je v tom, ze pravidla sice funguji dobre, delaji to co jsem chtel aby delaly, ale napr. pri prihlasovani pomoci ssh je prodleva pred login promptem strasne dlouha v porovnani s tim, jaka je bez firewallu.. urcite to neni hardwarem, ptz je dost hodne naslapnuty..

prosim poradte jak muzete

a jeste jeden dotaz, kdyz zmenim vychozi policy INPUT chainu na DROP a chci aby primo ze stroje slo vramci neho vsechno, musim zadavat tohle ? (x.x.x.x - je vnejsi IP toho serveru)

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d x.x.x.x/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d x.x.x.x/32 -j ACCEPT

a jeste posledni dotaz, jak muzu omezit provoz smerem ze serveru ? nemam na mysli rychlostne, ale spis odfiltrovat..

napr. kdyz bych chtel, aby se ze serveru dalo naconnectit jen na vzdalene porty 25 apod..

diky moc vsem zkusenejsim nez ja.. keyem

Odpovědi

12.8.2003 23:43 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
ad x.x.x.x/32: dost úchylná metoda, jak specifikovat jednu IP -- proč to nepíšeš jen x.x.x.x? ad odezva: nevím, co máš v těch pravidlech dál, ale tipuji, že nemáš povolené v INPUT DNS odpovědi, takže ssh nemůže ověřit hostname počítače, ze kterého se přihlašuješ (a čeká na timeout) -- nebo něco v tom smyslu ad localhost: pakety křížem x.x.x.x <-> 127.0.0.1 by ti neměly chodit, takže je nepovoluj; můžeš jednoduše povolit vše na loopbacku (-i lo -j ACCEPT). a z x.x.x.x sám na sebe to můžeš chtít povolit, ale nemusí to být třeba, v každém případě to už je jen jedno pravidlo. ad provoz ze serveru: INPUT není jediný chain, zkus třeba OUTPUT ;-)
13.8.2003 00:27 keyem
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
jak mam teda povolit ty DNS odpovedi ? iptables -A INPUT -s dns_server_ip -d moje_ip --dport 53 -p udp -j ACCEPT je to tak ? diky
13.8.2003 09:38 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
Povolím vše co navázal můj PC
# to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT

cooler avatar 13.8.2003 10:47 cooler | skóre: 19 | Medzilaborce
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
Proste povol len OUTPUT na destination port 53 a INPUT zo source port 53 ... myslim,ze by to malo fachat
13.8.2003 17:16 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

no protoze se pta ten serverhousingovej stroj(server sshd) u svyho dns serveru a protoze se nejspis pta po udp, tak je podle me uplne jedno, jestli tam das:

-s x.x.x.x -d d.n.s.x --state NEW -j ACCEPT
-s d.n.s.x -d x.x.x.x --state ESTABLISHED -j ACCEPT

nebo vypustis ty "--state ..." vzhledem k tomu, jak funguje stavova filtrace udp u iptables...
jestli ses tochu technictejsi typ, tak muzes vzit todle a predelat ten projekt z DNS NAT na DNS conntrack, protoze ja se k tomu jeste pekne dlouho nedostanu, kazdopadne docela slusny zaklad pro conntrack v podobe cteni dns paketu v jadre by tam byl.

13.8.2003 17:18 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
samozrejme jsem jeste zapomel -p udp --source-port 53, -p tcp --source-port 53 a s/source/destination/g, ze...
12.8.2003 23:46 Beda
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
povol port sluzby ident nebo auth, ci jak tomu kdo rika cislo tusim 11x kde x je nekde v <1,5> nebo to aspon zmen z DROP na neco rozzumenjsiho (REJECT)
13.8.2003 09:36 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
Trochu se inspiruj http://soban.wz.cz/linux/firewall.html :-) Pokud nepoužíváš autorizaci tak tam dej
# odmitne port 113 auth
/sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT
Potom to nebude čekat na timeout a mělo by to být rychlejší :-)
14.8.2003 21:41 Tomáš Vitha | skóre: 18
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
Výchozí politiku chainů na DROP změníš takhle :
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.