#HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.
Společnost Volla Systeme stojící za telefony Volla spustila na Kickstarteru kampaň na podporu tabletu Volla Tablet s Volla OS nebo Ubuntu Touch.
Společnost Boston Dynamics oznámila, že humanoidní hydraulický robot HD Atlas šel do důchodu (YouTube). Nastupuje nová vylepšená elektrická varianta (YouTube).
Desktopové prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklé sloučením projektů Razor-qt a LXDE bylo vydáno ve verzi 2.0.0. Přehled novinek v poznámkách k vydání.
Nejvyšší soud podpořil novináře Českého rozhlasu. Nařídil otevřít spor o uchovávání údajů o komunikaci (data retention). Uvedl, že stát odpovídá za porušení práva EU, pokud neprovede řádnou transpozici příslušné směrnice do vnitrostátního práva.
Minulý týden proběhl u CZ.NIC veřejný test aukcí domén. Včera bylo publikováno vyhodnocení a hlavní výstupy tohoto testu.
Byla vydána nová verze 3.5.0 svobodné implementace protokolu RDP (Remote Desktop Protocol) a RDP klienta FreeRDP. Přehled novinek v ChangeLogu. Opraveno bylo 6 bezpečnostních chyb (CVE-2024-32039, CVE-2024-32040, CVE-2024-32041, CVE-2024-32458, CVE-2024-32459 a CVE-2024-32460).
Google Chrome 124 byl prohlášen za stabilní. Nejnovější stabilní verze 124.0.6367.60 přináší řadu oprav a vylepšení (YouTube). Podrobný přehled v poznámkách k vydání. Opraveno bylo 22 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Byla vydána nová verze 9.3 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Novinkou je vlastní repozitář DietPi APT.
Byl vydán Mozilla Firefox 125.0.1, první verze z nové řady 125. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Vypíchnout lze podporu kodeku AV1 v Encrypted Media Extensions (EME). Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 125.0.1 je již k dispozici také na Flathubu a Snapcraftu.
Potřebuji pro asi 20 IP adres povolit přístup z LAN do WAN a napadlo mě, že lepší než napsat 20 pravidel by bylo použití IP Sets. Bohužel z oficiálního popisu https://wiki.openwrt.org/doc/uci/firewall#ip_sets nejsem moc moudrý a tak bych chtěl poprosit o nějaký příklad, jak nastavit IP Sets a jak ho pak použít v nějakém pravidlu. IP adresy jsou "náhodné" a nejsou v žádném bloku, takže se musí vyjmenovat po jedné.
A druhý dotaz je k nastavení DNS - chtěl bych, aby pro PC v LAN (mají DNS server nastaven na router s OpenWRT) se mi překládaly lokální jména na IP. Například aby když na PC napíšu "router" se mi vrátila IP adresa routeru 192.168.1.1 V konfiguraci jsem našel jen nastavení hosts, kde když uvedu tento překlad, tak se mi v luci na routeru ukazují přeložené IP adresy na tato jména, ale DNS dotaz ze stanice je nefunkční.
Řešení dotazu:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
iptables -A FORWARD -i $LAN1_IFACE -m set --match-set povol src -j ACCEPT
Potom do tabulky povol si dáš povolené IP.
ipset -A povol X.X.X.X
Co se týče DNS hledej BIND,ale nevím jestli je na Openwrt.
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
To samo vyzaduje udelat totez pri kazdy aktualizaci jadra.
Ne nutně. Pokud distribuce při updatech zachovává kABI, bude modul fungovat bez rebuildu.
Ostatne, vykonostne je jedno, set ma smysl kdyz ti to vadi kvuli prehlednosti, ne kvuli vykonu.
Pro 20 adres nejspíš ano, při větším počtu tam bude i výrazný rozdíl v náročnosti na CPU (a latencích). Použití ipset je také výrazně výhodnější, pokud je potřeba tu množinu často měnit.
config dnsmasq option domainneeded '1' option boguspriv '1' option localise_queries '1' option rebind_protection '1' option rebind_localhost '1' option expandhosts '1' option authoritative '1' option leasefile '/tmp/dhcp.leases' option resolvfile '/tmp/resolv.conf.auto' option domain 'soban.cz' option dnsforwardmax '50' list server '217.31.204.130' list server '193.29.206.206' list server '2001:1488:800:400::130' list server '2001:678:1::206' config dhcp 'lan' option interface 'lan' option start '20' option limit '64' option leasetime '12h' option dhcpv6 'server' option ra_management '1' option ra 'server' config dhcp 'wan' option interface 'wan' option ignore '1' config odhcpd 'odhcpd' option maindhcp '0' option leasefile '/tmp/hosts/odhcpd' option leasetrigger '/usr/sbin/odhcpd-update' config host option name 'htpc' option mac '00:26:18:f3:96:60' option ip '192.168.1.12' config domain option name 'htpc' option ip '192.168.1.12' config domain option name 'petr' option ip '192.168.1.11' config domain option name 'hodiny' option ip '192.168.1.100' config host option name 'petr' option mac '54:04:a6:a6:81:6f' option ip '192.168.1.11' config host option name 'hodiny' option mac '22:da:e2:a8:86:2a' option ip '192.168.1.100'
config system option zonename 'Europe/Prague' option timezone 'CET-1CEST,M3.5.0,M10.5.0/3' option conloglevel '8' option cronloglevel '8' option hostname 'router.soban.cz'Taky je to z 15.05, ale teď tam mám originál FW protože na 15.05 jsou zmršené wifi ovladače.
tak jako hostname v tom systém configu mám jen router a přesto mi to funguje jen s tou doménou
jinak jsem zjistil proč mi nešel ten překlad smtp serveru - v logu jsem v záplavě info hlášek zahlédl jednu warn s chybou possible DNS-rebind attack detected s odkazem na ten smtp server, takže jsem v konfiguraci vypnul "Rebind protection" a už to funguje
option boguspriv '1' zakazovala překlad neveřejných adres a včera nejspíš byly nakešovaný i ty negativní odpovědi, takže dnes po novém spuštění PC mi už chodí i ty reverzní záznamy.
Takže jediné co mě teď asi nejvíc chybí ke spokojenosti je to použití IP sets.
rule https://wiki.openwrt.org/doc/uci/firewall#rules pak odkázat na definovanou ip sadu.
config rule
option name 'Drop v6 traffic'
option src 'wan6'
option dest 'lan'
option ipset 'badgeo6'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config rule
option name 'Drop v6 traffic'
option src 'lan'
option dest 'wan6'
option ipset 'badgeo6_dest'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config ipset
option external 'badgeo6'
option storage 'hash'
option match 'src_net'
config ipset
option name 'badgeo6_dest'
option external 'badgeo6'
option storage 'hash'
option match 'dest_net'
Ještě tam chybí naplnění tabulek a pod....a nevím zda je to funkční, fakt nejednoduší bude se na ipset vykašlat a nebo si napsat vlastní skript a ten po startu firewallu spustit.
#vytvoření hash tabulky
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
#zadaní ip tables na forward podle source adresy
iptables -A FORWARD -i br-lan -m set --match-set povol src -j ACCEPT
#naplnění hash tabulky
ipset -A povol 192.168.88.11
ipset -A povol 192.168.88.12
ipset -A povol 192.168.88.13
ipset create test hash:ippak v terminálu přidávám ipadresy:
ipset add test 93.185.104.6 ipset add test 93.185.104.7 ipset add test 82.142.82.139ty lze přidávat kdykoliv a není potřeba restart firevalu - ihned se přidané IP adresy v té sadě používají v /etc/config/firewall mám následující definice (a díky tomu, že jsou zde uvedené, tak se dá ovlivnit pořadí pravidla s IP set, neboť považuji za vhodné, aby bylo až na konci, aby se snížila zátěž routeru - aby nejčastěji používaná pravidla se vyhodnotila dřív, než toto pravidlo s IP sadou):
config ipset option storage 'hash' option external 'test' option match 'dest_ip' config rule option target 'ACCEPT' option src 'lan' option dest 'wan' option ipset 'test' option name 'imaps' option family 'ipv4' option proto 'tcp' option src_ip '172.21.163.80/30' option dest_port '993'pravidlo je napsaný co "nejsložitěji" abych ověřil, že se vše použije - takže obsahuje omezení jen na určité IP adresy z LAN a pak je tam ještě omezení na cílový port, takže výsledkem je, že jen z určitých IP adres v LAN se lze dostat na v sadě vyjmenované poštovní servery zabezpečeným protokolem IMAP - to sice není důvod proč jsem se snažil IP sets dát dohromady, ale bylo to dobrý na otestování funkčnosti, díky tomu, že poštu stahuji z vícero serverů No a aby se vytvořené sady "neztrácely" při restartu, tak jsem vytvořil službu, která zajišťuje zazálohování a zase obnovení sad při zapínání/vypínání. Konfigurace IP sets je uložena v /etc/ipset-rules Takže v /etc/init.d je soubor ipsets
#!/bin/sh /etc/rc.common
START=15
STOP=95
start() {
echo "Restoring saved ipset rules"
touch /etc/ipset-rules
ipset restore < /etc/ipset-rules
}
stop() {
save
echo "Flushing and destroying"
ipset flush
ipset destroy
}
shutdown() {
save
}
save() {
echo "Saving current ipset rules"
ipset save > /etc/ipset-rules
}
pak jsem v konzoli vytvořil symlinky do /etc/rc.d/
ln -s /etc/init.d/ipsets /etc/rc.d/S15ipset ln -s /etc/init.d/ipsets /etc/rc.d/K95ipsetA je to
Tiskni
Sdílej:
