abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:00 | Komunita

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil (podcast) detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 64 tisíc vývojářů. Jejich nejmilovanější platformou je linuxový desktop. Ten je také druhou nejpoužívanější platformou vývojářů.

Ladislav Hagara | Komentářů: 0
24.3. 11:55 | Komunita

Vývojový tým OpenSSL ve spolupráci s iniciativou Core Infrastructure konsorcia Linux Foundation spustil proces přelicencování této kryptografické knihovny ze současné licence na licenci Apache Licence v 2.0 (ASLv2). Nová licence usnadní začleňování OpenSSL do dalších svobodných a open source projektů. Všichni dosavadní vývojáři OpenSSL (Authors) obdrží v následujících dnech email s prosbou o souhlas se změnou licence.

Ladislav Hagara | Komentářů: 7
24.3. 01:11 | Komunita

Před třemi týdny Mozilla.cz představila projekt Photon, jehož cílem je návrh a implementace nového vzhledu Firefoxu. Včera zveřejnila první náhled vzhledu Photon. Práce na projektu Photon jsou rozděleny do pěti týmů, které celkem čítají 19 lidí. Zaměřují se na zlepšení prvního spuštění Firefoxu a zaujetí nových uživatelů, celkovou úpravu vzhledu, zlepšení animací, zrychlení odezvy uživatelského rozhraní a také upravení nabídek. Vývoj lze sledovat v Bugzille.

Ladislav Hagara | Komentářů: 38
23.3. 20:00 | Komunita

OneDrive pro firmy je již ve webových prohlížečích na Linuxu stejně rychlý jako na Windows. Microsoft opravil chybu z listopadu loňského roku. OneDrive pro firmy běžel na Linuxu mnohem pomaleji než na Windows. V popisu chyby bylo uvedeno, že stačilo v prohlížeči na Linuxu nastavit v user-agentu Windows a vše se zrychlilo. Odpovědí Microsoftu bylo (Internet Archive: Wayback Machine), že Linux není podporován. Po bouřlivých diskusích na redditu i Hacker News byla chyba nalezena a opravena.

Ladislav Hagara | Komentářů: 6
23.3. 19:00 | Zajímavý projekt

Byla vyhlášena soutěž Hackaday Prize 2017. Soutěž je určena vývojářům open source hardwaru. Pro výherce je připraveno celkově 250 tisíc dolarů. Každý ze 120 finalistů získá tisíc dolarů. Nejlepší pak navíc 50, 30, 20, 15, 10 a 5 tisíc dolarů. Jedná se již o čtvrtý ročník soutěže. V roce 2014 zvítězil projekt globální sítě open source pozemních satelitních stanic SatNOGS. V roce 2015 zvítězil open source systém pro řízení elektrických invalidních vozíků pohybem očí Eyedriveomatic. V roce 2016 zvítězil modulární robot Dtto.

Ladislav Hagara | Komentářů: 0
23.3. 15:00 | Bezpečnostní upozornění

Byla vydána Samba ve verzích 4.6.1, 4.5.7 a 4.4.12. Řešen je bezpečnostní problém CVE-2017-2619. Pomocí symbolických odkazů a souběhu (symlink race) lze "teoreticky" získat přístup k souborům, které nejsou sdíleny. Linuxové distribuce jsou postupně aktualizovány (Debian).

Ladislav Hagara | Komentářů: 0
23.3. 07:43 | Nová verze

Na Steamu se objevil port hry Arma: Cold War Assault (Operation Flashpoint) pro Mac a Linux. … více »

creon | Komentářů: 30
23.3. 05:55 | Nová verze

Po 18 měsících od vydání verze 8.0 byla vydána verze 9.0 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 0
23.3. 03:33 | Komunita

Platnost posledního patentu souvisejícího s Dolby Digital (AC-3) vypršela. Po MP3 se tak do Fedory oficiálně dostane také kodek AC-3.

Ladislav Hagara | Komentářů: 5
23.3. 00:44 | Komunita

Feral Interactive, společnost zabývající se vydáváním počítačových her pro operační systémy macOS a Linux, nabízí své hry na Steamu vývojářům open source 3D grafické knihovny Mesa zdarma. Podmínkou je minimálně 25 commitů za posledních 5 let. Stejnou nabídku dostali vývojáři knihovny Mesa v roce 2015 od Valve. O rok dříve dostali od Valve tuto nabídku vývojáři Debianu a Ubuntu.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 932 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: openwrt port 53 zavřít

    14.11.2014 15:09 marek_hb
    openwrt port 53 zavřít
    Přečteno: 540×
    Ahoj,

    potřeboval bych rychlou radu - na základě zdejších debat jsem na router nasadil openwrt. postupně jsem pozavíral přístup z venu, ale zůstal mi otevřený port 53.

    teď mi přišel tenhle mail:
    Od: NFOservers.com DDoS notifier 
    Komu: abuse@netbox.cz
    Předmět: Open recursive resolver used for an attack: 83.240.112.222
    Datum: 2014-11-14 04:36:05
    
    You appear to be running an open recursive resolver at IP address 83.240.107.108
    that participated in an attack against a customer of ours, generating large UDP
    responses to spoofed queries, with those responses becoming fragmented because of
    their size.
    
    Please consider reconfiguring your resolver in one or more of these ways:
    
    - To only serve your customers and not respond to outside IP addresses (in BIND,
    this is done by defining a limited set of hosts in "allow-query"; with a Windows
    DNS server, you would need to use firewall rules to block external access to UDP
    port 53)
    - To only serve domains that it is authoritative for (in BIND, this is done by
    defining a limited set of hosts in "allow-query" for the server overall but
    setting "allow-query" to "any" for each zone)
    - To rate-limit responses to individual source IP addresses (such as by using DNS
    Response Rate Limiting or iptables rules)
    
    More information on this type of attack and what each party can do to mitigate it
    can be found here: http://www.us-cert.gov/ncas/alerts/TA13-088A
    
    If you are an ISP, please also look at your network configuration and make sure
    that you do not allow spoofed traffic (that pretends to be from external IP
    addresses) to leave the network. Hosts that allow spoofed traffic make possible
    this type of attack.
    
    Example DNS responses from your resolver during this attack are given below.
    Timestamps (far left) are PDT (UTC-7), and the date is 2014-11-13.
    
    18:25:47.977451 IP (tos 0x0, ttl 52, id 24962, offset 0, flags [+], proto UDP
    (17), length 1500) 83.240.107.108.53 > 66.150.188.x.26763: 41910 11/2/0
    wradish.com. TXT[|domain]
    0x0000:  4500 05dc 6182 2000 3411 40a7 53f0 6b6c  E...a...4.@.S.kl
    0x0010:  4296 bcf5 0035 688b 0efa f896 a3b6 8180  B....5h.........
    0x0020:  0001 000b 0002 0000 0777 7261 6469 7368  .........wradish
    0x0030:  0363 6f6d 0000 ff00 01c0 0c00 1000 0100  .com............
    0x0040:  000d 7104 05ff 7465 7374 2074 6573 7420  ..q...test.test.
    0x0050:  7465                                     te
    18:25:47.984342 IP (tos 0x0, ttl 52, id 24963, offset 0, flags [+], proto UDP
    (17), length 1500) 83.240.107.108.53 > 66.150.188.x.48542: 31514 11/2/0
    wradish.com. MX[|domain]
    0x0000:  4500 05dc 6183 2000 3411 40a6 53f0 6b6c  E...a...4.@.S.kl
    0x0010:  4296 bcf5 0035 bd9e 0efa a9ce 7b1a 8180  B....5......{...
    0x0020:  0001 000b 0002 0000 0777 7261 6469 7368  .........wradish
    0x0030:  0363 6f6d 0000 ff00 01c0 0c00 0f00 0100  .com............
    0x0040:  000d 7100 1900 0004 736d 7470 0c73 6563  ..q.....smtp.sec
    0x0050:  7572                                     ur
    18:25:48.115673 IP (tos 0x0, ttl 52, id 24965, offset 0, flags [+], proto UDP
    (17), length 1500) 83.240.107.108.53 > 66.150.188.x.61319: 31514 11/2/0
    wradish.com. MX[|domain]
    0x0000:  4500 05dc 6185 2000 3411 40a4 53f0 6b6c  E...a...4.@.S.kl
    0x0010:  4296 bcf5 0035 ef87 0efa b00b 7b1a 8180  B....5......{...
    0x0020:  0001 000b 0002 0000 0777 7261 6469 7368  .........wradish
    0x0030:  0363 6f6d 0000 ff00 01c0 0c00 0f00 0100  .com............
    0x0040:  000d 7100 1f00 0a0a 6d61 696c 7374 6f72  ..q.....mailstor
    0x0050:  6531                                     e1
    
    (The final octet of our customer's IP address is masked in the above output
    because some automatic parsers become confused when multiple IP addresses are
    included. The value of that octet is "245".)
    
    -John
    President
    Nuclearfallout, Enterprises, Inc. (NFOservers.com)
    
    (We're sending out so many of these notices, and seeing so many auto-responses,
    that we can't go through this email inbox effectively. If you have follow-up
    questions, please contact us at noc@nfoe.net.)
    a i když s angličtinou jsem na štíru mám pocit, že jim vadí právě ten otevřený port. Co jsem zkoušel nastavení, tak buď mi zůstal otevřený, nebo jsem nemohl ven - nejsem síťař a zkoušet tohle metodou pokus/omyl asi není nejchytřejší

    co bych měl udělat pls?

    Odpovědi

    14.11.2014 15:10 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    špatná adresa - správná je: 83.240.112.222
    14.11.2014 15:12 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    a ještě jsem si všiml jedné věci - heslo mám docela silné, z venku se nepřipojuju ale najednou mi vzrostla obsazenost disku na routeru z 6 na cca 12 procent a mezi tím jsem jen aktualizoval dva balíky (možná to spolu nesouvisí)
    14.11.2014 15:58 ET
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    že jim vadí právě ten otevřený port
    ano
    Co jsem zkoušel nastavení, tak buď mi zůstal otevřený, nebo jsem nemohl ven
    Co jsi zkousel a jak?
    ale najednou mi vzrostla obsazenost disku na routeru z 6 na cca 12
    asi se ti plni log v souvisloti s utokem

    14.11.2014 16:16 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    různě naklikat firewall v luci a pak doplnit tohle:

    config rule option target 'ACCEPT' option src 'wan' option proto 'tcp udp'

    do /etc/config/firewall

    výsledek byl buď 0, nebo jsem se nemohl různě dostat na router, nebo ven

    14.11.2014 16:17 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    sorry:
    config rule
        option target 'REJECT'
        option src 'wan'
        option proto 'tcp udp'
    takhle to bylo
    14.11.2014 16:30 ET
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    jestli pouzivas venkovni DNS (google 8.8.8.8, atp.) tak ti to REJECTUJE odpovedi na dotazy z vnitrni site, OWRT neznam

    14.11.2014 16:41 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    venkovní dns jsem nenastavoval - nechal jsem to jak je to v základní instalaci. a openwrt právě taky neznám, tak tápu .... :-/
    14.11.2014 18:40 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    A kde je problém nechápu.

    Pokud vím tak v základním nastavení není povolen žádný přístup z internetu.

    V záložce network-firewall-general settings nastav v general všechny tři okýnka na drop a v řádku zones-wan nastav v input drop, output accept, forward drop.

    No a pokud v ostatních záložkách nemáš ten port povolen tak na něj není přístup z internetu.
    14.11.2014 19:01 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Jinak v /etc/config/firewall by to vypadalo takto:
    config defaults
    	option syn_flood '1'
    	option input 'DROP'
    	option output 'DROP'
    	option forward 'DROP'
    	option drop_invalid '1'
    
    config zone
    	option name 'lan'
    	option input 'ACCEPT'
    	option output 'ACCEPT'
    	option network 'lan'
    	option forward 'REJECT'
    
    config zone
    	option name 'wan'
    	option output 'ACCEPT'
    	option masq '1'
    	option mtu_fix '1'
    	option network 'wan wan6 IPv6'
    	option input 'DROP'
    	option forward 'DROP'
    
    Jinak řádek "option network 'wan wan6 IPv6'" může u tebe vypadat trochu jinak důležité jsou option s input, output a forward a pokud ten port nemáš někde jinde povolen v tom souboru tak se z internetu na router nedostaneš.
    14.11.2014 21:59 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Příloha:
    no - problem je v tom, že když nastavím něco jinak než je na obrázku, tak se nedostanu ven ani nikam ve vnitřní síti.

    firewall mám takhle:
    root@OpenWrt:~# cat /etc/config/firewall 
    
    config defaults
            option syn_flood '1'
            option output 'ACCEPT'
            option input 'ACCEPT'
            option forward 'ACCEPT'
    
    config zone
            option name 'lan'
            option output 'ACCEPT'
            option network 'lan'
            option input 'ACCEPT'
            option forward 'ACCEPT'
    
    config zone
            option name 'wan'
            option output 'ACCEPT'
            option forward 'REJECT'
            option masq '1'
            option mtu_fix '1'
            option network 'wan wan6'
            option input 'ACCEPT'
    
    config forwarding
            option src 'lan'
            option dest 'wan'
    
    config rule
            option name 'Allow-DHCP-Renew'
            option src 'wan'
            option proto 'udp'
            option dest_port '68'
            option target 'ACCEPT'
            option family 'ipv4'
    
    config rule
            option name 'Allow-Ping'
            option src 'wan'
            option proto 'icmp'
            option icmp_type 'echo-request'
            option family 'ipv4'
            option target 'ACCEPT'
    
    config rule
            option name 'Allow-DHCPv6'
            option src 'wan'
            option proto 'udp'
            option src_ip 'fe80::/10'
            option src_port '547'
            option dest_ip 'fe80::/10'
            option dest_port '546'
            option family 'ipv6'
            option target 'ACCEPT'
    
    config rule
            option name 'Allow-ICMPv6-Input'
            option src 'wan'
            option proto 'icmp'
            list icmp_type 'echo-request'
            list icmp_type 'echo-reply'
            list icmp_type 'destination-unreachable'
            list icmp_type 'packet-too-big'
            list icmp_type 'time-exceeded'
            list icmp_type 'bad-header'
            list icmp_type 'unknown-header-type'
            list icmp_type 'router-solicitation'
            list icmp_type 'neighbour-solicitation'
            list icmp_type 'router-advertisement'
            list icmp_type 'neighbour-advertisement'
            option limit '1000/sec'
            option family 'ipv6'
            option target 'ACCEPT'
    
    config rule
            option name 'Allow-ICMPv6-Forward'
            option src 'wan'
            option dest '*'
            option proto 'icmp'
            list icmp_type 'echo-request'
            list icmp_type 'echo-reply'
            list icmp_type 'destination-unreachable'
            list icmp_type 'packet-too-big'
            list icmp_type 'time-exceeded'
            list icmp_type 'bad-header'
            list icmp_type 'unknown-header-type'
            option limit '1000/sec'
            option family 'ipv6'
            option target 'ACCEPT'
    
    config include
            option path '/etc/firewall.user'
    
    config zone
            option name 'quest'
            option forward 'REJECT'
            option output 'ACCEPT'
            option network 'guest'
            option input 'ACCEPT'
    
    config forwarding
            option dest 'wan'
            option src 'quest'
    
    config forwarding
            option dest 'quest'
            option src 'wan'
    
    quest je nastavená síť pro kamarády - nesatvoval jsem ji podle nějakýho návodu na netu

    co se týká základního nastavení - nevím jak jsem to dokázal, ale po instalaci jsem měl z venku vidět port 53, tellnet, ssh i luci ...
    14.11.2014 22:26 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    A proč to máš tak nastavené?

    A proč tam máš quest? Proč tam musíš mít pro kamarády nějaký quest?

    Uprav to na:
    config defaults
            option syn_flood '1'
            option output 'DROP'
            option input 'DROP'
            option forward 'DROP'
    
    config zone
            option name 'lan'
            option output 'ACCEPT'
            option network 'lan'
            option input 'ACCEPT'
            option forward 'DROP'
    
    config zone
            option name 'wan'
            option output 'ACCEPT'
            option forward 'DROP'
            option masq '1'
            option mtu_fix '1'
            option network 'wan wan6'
            option input 'DROP'
    
    config zone
            option name 'quest'
            option forward 'DROP'
            option output 'ACCEPT'
            option network 'guest'
            option input 'ACCEPT'
    
    config forwarding
            option src 'quest'
            option dest 'wan'
            
    
    config forwarding
            option src 'lan'
            option dest 'wan'
    
    config rule
            option name 'Allow-DHCP-Renew'
            option src 'wan'
            option proto 'udp'
            option dest_port '68'
            option target 'ACCEPT'
            option family 'ipv4'
    
    config rule
            option name 'Allow-Ping'
            option src 'wan'
            option proto 'icmp'
            option icmp_type 'echo-request'
            option family 'ipv4'
            option target 'ACCEPT'
    
    config rule
            option name 'Allow-DHCPv6'
            option src 'wan'
            option proto 'udp'
            option src_ip 'fe80::/10'
            option src_port '547'
            option dest_ip 'fe80::/10'
            option dest_port '546'
            option family 'ipv6'
            option target 'ACCEPT'
    
    config rule
            option name 'Allow-ICMPv6-Input'
            option src 'wan'
            option proto 'icmp'
            list icmp_type 'echo-request'
            list icmp_type 'echo-reply'
            list icmp_type 'destination-unreachable'
            list icmp_type 'packet-too-big'
            list icmp_type 'time-exceeded'
            list icmp_type 'bad-header'
            list icmp_type 'unknown-header-type'
            list icmp_type 'router-solicitation'
            list icmp_type 'neighbour-solicitation'
            list icmp_type 'router-advertisement'
            list icmp_type 'neighbour-advertisement'
            option limit '1000/sec'
            option family 'ipv6'
            option target 'ACCEPT'
    
    config rule
            option name 'Allow-ICMPv6-Forward'
            option src 'wan'
            option dest '*'
            option proto 'icmp'
            list icmp_type 'echo-request'
            list icmp_type 'echo-reply'
            list icmp_type 'destination-unreachable'
            list icmp_type 'packet-too-big'
            list icmp_type 'time-exceeded'
            list icmp_type 'bad-header'
            list icmp_type 'unknown-header-type'
            option limit '1000/sec'
            option family 'ipv6'
            option target 'ACCEPT'
    
    config include
            option path '/etc/firewall.user'
    
    
    PS. Doufám že jsem se nikde nesek přímo konfiguráky jsem dlouho neupravoval.

    Jinak toto tam nesmí bít:
    config forwarding
            option dest 'quest'
            option src 'wan'
    A wan samozřejmě musí mít povolen pouze output (odchozí pakety) a né forward nebo input!
    14.11.2014 22:31 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Pokud to nebude chodit tak pak máš ještě nastavené blbě asi VLANY (lan, quest a wan).
    14.11.2014 22:32 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    no chtěl jsem mít oddělenou síť pro návštěvy - zkusím to asi od začátku a tvých rad. Ale nevím proč jsem měl ty porty otevřený hned po instalaci - nevím jak jsem to dokázal

    dneska už to asi nedám - jednu noc to snad ještě vydrží - zítra dám owrt do defaultu a uvidím ...

    14.11.2014 22:35 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Nejdříve uprav ten soubor firewall počítá se tam s quest a mělo by to chodit.

    14.11.2014 22:46 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    upraveno a chodí to - jen tohle trvá:

    marek@debian-desktop:~$ nmap -Pn 83.240.112.222
    
    Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-14 22:44 CET
    Nmap scan report for ip4-83-240-112-222.cust.nbox.cz (83.240.112.222)
    Host is up (0.00043s latency).
    Not shown: 999 closed ports
    PORT   STATE SERVICE
    53/tcp open  domain
    
    Nmap done: 1 IP address (1 host up) scanned in 38.12 seconds
    marek@debian-desktop:~$ 
    
    14.11.2014 23:19 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Skoušej to z internetu a né z vnitřní sítě!
    14.11.2014 23:20 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    petr@soban:~$ nmap -Pn 83.240.112.222
    
    Starting Nmap 6.40 ( http://nmap.org ) at 2014-11-14 23:18 CET
    Nmap scan report for ip4-83-240-112-222.cust.nbox.cz (83.240.112.222)
    Host is up (0.011s latency).
    All 1000 scanned ports on ip4-83-240-112-222.cust.nbox.cz (83.240.112.222) are filtered
    
    Nmap done: 1 IP address (1 host up) scanned in 126.64 seconds
    petr@soban:~$ 
    
    15.11.2014 06:11 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    bohajeho já jsem blb - sorry a dík moc

    Marek
    14.11.2014 20:50 gogol
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Najprv si skontroluj ci mas ten port skutocne otvoreny a az potom hladaj riesenie.

    Testuj to z Internetu a nie z lokalnej siete u seba.

    Co ked je to podvrhnuty email ?
    14.11.2014 21:45 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    port mám opravdu otevřený a vím to už od začátku a štve mě to - myslím, že to nebude podvodný mail
    pavlix avatar 15.11.2014 19:01 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Měl jsem za to, že výchozí konfigurace OpenWRT nenechává otevřený port 53 z WANu. Pokud by ten port byl z WANu otevřený a DNS server na něm dokonce odpovídal, považoval bych to za bezpečnostní chybu. To je ale z jiné sítě triviálně otestovatelné.
    15.11.2014 19:24 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    je to jak píšeš - taky jsem byl překvapenej - po instalaci jsem měl z venku vidět odpovídající 53, ssh, telnet a luci. Nevím jak se mi to povedlo, ale myslím, že to bylo od začátku. Postupně jsem to povypínal, ale tohle jsem bez rady nedokázal - firewally nastavit neumím a nechtěl jsem udělat chybu
    pavlix avatar 15.11.2014 19:26 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Já jsem explicitně povoloval SSH, ale to se jednalo o forward. Ale brzo budu dělat jednu novou instalaci, tak se podívám, jak se to při výchozím firewallu chová.
    15.11.2014 20:46 marek_hb
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    dej vedet prosím -. jestli to byl jen fail u mě, nebo se to stane i jinde
    15.11.2014 21:36 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: openwrt port 53 zavřít
    Stačí se kouknout co je v default souboru v flash:
    root@router:~# cat /rom/etc/config/firewall
    config defaults
    	option syn_flood	1
    	option input		ACCEPT
    	option output		ACCEPT
    	option forward		REJECT
    # Uncomment this line to disable ipv6 rules
    #	option disable_ipv6	1
    
    config zone
    	option name		lan
    	list   network		'lan'
    	option input		ACCEPT
    	option output		ACCEPT
    	option forward		ACCEPT
    
    config zone
    	option name		wan
    	list   network		'wan'
    	list   network		'wan6'
    	option input		REJECT
    	option output		ACCEPT
    	option forward		REJECT
    	option masq		1
    	option mtu_fix		1
    
    config forwarding
    	option src		lan
    	option dest		wan
    
    # We need to accept udp packets on port 68,
    # see https://dev.openwrt.org/ticket/4108
    config rule
    	option name		Allow-DHCP-Renew
    	option src		wan
    	option proto		udp
    	option dest_port	68
    	option target		ACCEPT
    	option family		ipv4
    
    # Allow IPv4 ping
    config rule
    	option name		Allow-Ping
    	option src		wan
    	option proto		icmp
    	option icmp_type	echo-request
    	option family		ipv4
    	option target		ACCEPT
    
    # Allow DHCPv6 replies
    # see https://dev.openwrt.org/ticket/10381
    config rule
    	option name		Allow-DHCPv6
    	option src		wan
    	option proto		udp
    	option src_ip		fe80::/10
    	option src_port		547
    	option dest_ip		fe80::/10
    	option dest_port	546
    	option family		ipv6
    	option target		ACCEPT
    
    # Allow essential incoming IPv6 ICMP traffic
    config rule
    	option name		Allow-ICMPv6-Input
    	option src		wan
    	option proto	icmp
    	list icmp_type		echo-request
    	list icmp_type		echo-reply
    	list icmp_type		destination-unreachable
    	list icmp_type		packet-too-big
    	list icmp_type		time-exceeded
    	list icmp_type		bad-header
    	list icmp_type		unknown-header-type
    	list icmp_type		router-solicitation
    	list icmp_type		neighbour-solicitation
    	list icmp_type		router-advertisement
    	list icmp_type		neighbour-advertisement
    	option limit		1000/sec
    	option family		ipv6
    	option target		ACCEPT
    
    # Allow essential forwarded IPv6 ICMP traffic
    config rule
    	option name		Allow-ICMPv6-Forward
    	option src		wan
    	option dest		*
    	option proto		icmp
    	list icmp_type		echo-request
    	list icmp_type		echo-reply
    	list icmp_type		destination-unreachable
    	list icmp_type		packet-too-big
    	list icmp_type		time-exceeded
    	list icmp_type		bad-header
    	list icmp_type		unknown-header-type
    	option limit		1000/sec
    	option family		ipv6
    	option target		ACCEPT
    
    # include a file with users custom iptables rules
    config include
    	option path /etc/firewall.user
    
    
    ### EXAMPLE CONFIG SECTIONS
    # do not allow a specific ip to access wan
    #config rule
    #	option src		lan
    #	option src_ip	192.168.45.2
    #	option dest		wan
    #	option proto	tcp
    #	option target	REJECT
    
    # block a specific mac on wan
    #config rule
    #	option dest		wan
    #	option src_mac	00:11:22:33:44:66
    #	option target	REJECT
    
    # block incoming ICMP traffic on a zone
    #config rule
    #	option src		lan
    #	option proto	ICMP
    #	option target	DROP
    
    # port redirect port coming in on wan to lan
    #config redirect
    #	option src			wan
    #	option src_dport	80
    #	option dest			lan
    #	option dest_ip		192.168.16.235
    #	option dest_port	80
    #	option proto		tcp
    
    # port redirect of remapped ssh port (22001) on wan
    #config redirect
    #	option src		wan
    #	option src_dport	22001
    #	option dest		lan
    #	option dest_port	22
    #	option proto		tcp
    
    # allow IPsec/ESP and ISAKMP passthrough
    #config rule
    #	option src		wan
    #	option dest		lan
    #	option protocol		esp
    #	option target		ACCEPT
    
    #config rule
    #	option src		wan
    #	option dest		lan
    #	option src_port		500
    #	option dest_port	500
    #	option proto		udp
    #	option target		ACCEPT
    
    ### FULL CONFIG SECTIONS
    #config rule
    #	option src		lan
    #	option src_ip	192.168.45.2
    #	option src_mac	00:11:22:33:44:55
    #	option src_port	80
    #	option dest		wan
    #	option dest_ip	194.25.2.129
    #	option dest_port	120
    #	option proto	tcp
    #	option target	REJECT
    
    #config redirect
    #	option src		lan
    #	option src_ip	192.168.45.2
    #	option src_mac	00:11:22:33:44:55
    #	option src_port		1024
    #	option src_dport	80
    #	option dest_ip	194.25.2.129
    #	option dest_port	120
    #	option proto	tcp
    root@router:~# 
    

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.