abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Jihokorejská Národní daňová služba zveřejnila obnovovací fráze k zabaveným kryptoměnovým peněženkám
    včera 23:22 | Humor

    Jihokorejská Národní daňová služba (NTS) zabavila kryptoměnu Pre-retogeum (PRTG) v hodnotě 5,6 milionu dolarů. Pochlubila se v tiskové zprávě, do které vložila fotografii zabavených USB flash disků s kryptoměnovými peněženkami spolu se souvisejícími ručně napsanými mnemotechnickými obnovovacími frázemi. Krátce na to byla kryptoměna v hodnotě 4,8 milionu dolarů odcizena. O několik hodin ale vrácena, jelikož PRTG je extrémně nelikvidní, s denním objemem obchodování kolem 332 dolarů a zalistováním na jediné burze, MEXC [Bitcoin.com].

    Ladislav Hagara | Komentářů: 3
    Linux From Scratch a Beyond Linux From Scratch 13.0
    včera 16:33 | Nová verze

    Komunita kolem Linuxu From Scratch (LFS) vydala nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů Linux From Scratch 13.0 a Beyond Linux From Scratch 13.0. Pouze se systemd.

    Ladislav Hagara | Komentářů: 1
    OpenWrt 25.12
    včera 16:00 | Nová verze

    Byla vydána nová stabilní major verze 25.12 linuxové distribuce primárně určené pro routery a vestavěné systémy OpenWrt (Wikipedie). Jedná se o nástupce předchozí major verze 24.10. Přehled novinek v poznámkách k vydání. Podporováno je více než 2200 zařízení.

    Ladislav Hagara | Komentářů: 0
    Vývoj webového prohlížeče Ladybird (02/2026)
    včera 04:44 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za únor (YouTube). Odstraněn byl veškerý kód napsaný ve Swiftu. JavaScriptový engine LibJS byl reimplementován v Rustu.

    Ladislav Hagara | Komentářů: 0
    Rust 1.94.0. Výsledky průzkumu mezi vývojáři
    5.3. 21:11 | Nová verze

    Byla vydána verze 1.94.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example. Zveřejněny byly výsledky průzkumu mezi vývojáři v programovacím jazyce Rust: 2025 State of Rust Survey Results.

    Ladislav Hagara | Komentářů: 7
    Google Summer of Code 2026
    5.3. 17:33 | Komunita

    Google zveřejnil seznam 185 organizací přijatých do letošního Google Summer of Code (GSoC). Dle plánu se zájemci přihlašují od 16. do 31. března. Vydělat si mohou od 750 do 6600 dolarů. V Česku a na Slovensku je to 900 dolarů za malý, 1800 dolarů za střední a 3600 dolarů za velký projekt. Další informace v často kladených otázkách (FAQ). K dispozici jsou také statistiky z minulých let.

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.110
    4.3. 22:55 | Nová verze

    Byla vydána únorová aktualizace aneb nová verze 1.110 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.110 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 8
    MacBook Neo
    4.3. 18:11 | IT novinky

    Apple představil 13palcový MacBook Neo s čipem A18 Pro. V základní konfiguraci za 16 990 Kč.

    Ladislav Hagara | Komentářů: 55
    Ověřování věku na úrovni operačního systému
    4.3. 12:22 | Komunita

    Kalifornský zákon AB 1043 platný od 1. ledna 2027 vyžaduje, aby operační systémy požadovaly po uživatelích věk nebo datum narození a skrze API poskytovaly aplikacím informaci, zda je uživatel mladší 13 let, má 13 až 16 let, má 16 až 18 let nebo má alespoň 18 let. Vývojáři linuxových distribucí řeší, co s tím (Ubuntu, Fedora, …).

    Ladislav Hagara | Komentářů: 104
    Konference LinuxDays 2026 proběhne o víkendu 3. a 4. října
    4.3. 11:44 | Pozvánky

    Konference LinuxDays 2026 proběhne o víkendu 3. a 4. října v Praze v areálu ČVUT v Dejvicích na FIT. Čekají vás desítky přednášek, workshopy, stánky a setkání se spoustou chytrých lidí.

    Petr Krčmář | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (7%)
     (0%)
     (11%)
     (28%)
     (2%)
     (5%)
     (2%)
     (13%)
     (25%)
    Celkem 1026 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Multicast routing (ACL)
    Štítky: firewall, firewally, input, iptables, mc, PC, router, routing, správci souborů, stream, vytvořil

    Dotaz: Multicast routing (ACL)

    18.5.2017 15:07 MaraCh
    Multicast routing (ACL)
    Přečteno: 603×
    Ahoj.

    Mám PC router s Linuxem, který má čtyři síťové rozhraní: l0, w0, f0 a a0. Jedním z úkolů tohoto PC je routování multicast provozu mezi síťovými rozhraními, ale s poměrně úzkými omezeními. Například:
    • mc vysílání na adresy 239.255.0.0/16 má být routováno jedině z rozhraní f0 do l0
    • mc vysílání na adresy 239.23.0.0/16 má být routováno jedině z rozhraní w0 do l0
    Tedy nesmí například být routováno vysílání 239.255.0.0/16 z w0 do l0, nebo jakýkoliv multicast provoz z f0 do w0.

    Výše uvedené mám zatím realizováno pomocí pimd v2.3.2 a firewall pravidel, které zakazují především forwardování toku, který nevyhovuje.

    Problémy a nedostatky zjištěné v rámci testů:
    • pimd umožňuje definovat rozsahy mc adres, kde se bude zabývat routováním - bohužel jen obecně jako celek s nemožností říci jaké skupiny adres se týkají jakého rozhraní odkud/kam
    • definice firewall pravidel zabraňuje sice nechtěných toků přes router, ale nedokáže zamezit vniku vysílání před routerem a nutnosti zahazování toku routerem (který by zahazován být nemusel, pokud by nechtěl routerem protékat)
    Například pokud bude nějaké zařízení za w0 přihlášeno k odběru 239.255.0.1 a v síti za f0 bude nějaké vysílací zařízení poskytující stream na 239.255.0.1, tak sice tento zakázaný tok (f0->w0) přes router díky firewall pravidlům neprojde, ale:
    1. na routeru vznikne routovací pravidlo zobrazitelné přes "ip mroute" a tento zbytečný multicast tok bude muset na příkaz iptables router zahazovat
    2. přestože neexistuje žádný povolený odběratel tak vysílací zařízení musí tento tok generovat (což by pokud se nepletu, kdyby opravdu nikdo přihlášen nebyl nedělalo)
    Existuje nějaká možnost jak to řešit elegantněji?

    Je to vůbec v silách síťové vrstvi na linuxu? Udivuje mne totiž, že i když jsem v rámci testů kompletně začal zahazovat pakety směřující do f0 jak v INPUT tak v FORWARD, tak ten router se nějak prostě dozvěděl, že tam za f0 někdo vysílá (nechápu jak) a při zahájení jeho vysílání vytvořil routovací pravidlo (viditelné přes: ip mroute).
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    18.5.2017 15:48 NN
    Rozbalit Rozbalit vše Re: Multicast routing (ACL)
    Nevyplatilo by se pouzit statcky multicast routing pomoci smcroute doporucovany v odkazu misto dynamickeho? Mimojine umoznuje specifikovat rozsahy, rozhrani i smery.
    18.5.2017 16:11 MaraCh
    Rozbalit Rozbalit vše Re: Multicast routing (ACL)
    Nevidím, že by tam šlo definovat rozsahy u multicast adres - dívám se špatně?
    18.5.2017 17:27 NN
    Rozbalit Rozbalit vše Re: Multicast routing (ACL)
    Lze to definovat per vysilac, default limit je 20. Kolik jich mas, ze to potrebujes na cely subnet? Imho u milticastu se nevysila tam, kde neni alespon jeden prijemce u z principu protokolu, nebo se pletu?
    19.5.2017 08:11 MaraCh
    Rozbalit Rozbalit vše Re: Multicast routing (ACL)
    Těch potenciálních vysílačů bude v reálu přibližně kolem 20. Problém je v tom, že se rekrutují ze skupiny zařízení, kterých budou až stovky. Těch routerů budou v síti desítky. Desítky routerů není možné před každou akcí předefinovávat na ~20 potencionálně možných vysílačů, které asi zrovna budou v akci připadat v úvahu. Bylo by to administrativně neúnosné. Proto jsou definovány velké multicast prostory u kterých je však zřejmé kudy mohou téci. Teoreticky také hrozí nebezpečí špatného zapojení do nechtěného segmentu sítě (nebo průtoky do nechtěných segmentů sítě) a to je jeden z důvodů proč některé toky nesmí vznikat, protože by mohly zahltit část sítě, která má omezenou přenosovou kapacitu (je rádiová).

    Hledám tedy dynamický multicast routing se slušnou možností definovat možné toky. Ten statický vypadá na slušné možnosti, ale nemožnost definovat obecně velké multicast rozsahy ho dělají pro můj účel nepoužitelný.

    Multicast je v celku pěknej prevít - třeba zařízení s úplně jinou IPv4 konfigurací než je síť v které se nachází, nemá problém vysílat či přijímat multicasty...

    Čemu zatím také nemohu přijít na kloub (nerozumím tomu) je ten jeden z testů co jsem provedl. Přestože jsem zavřel přes iptables v INPUT i ve FORWARD komunikaci přicházející z jedné ze sítí na jedné straně routeru a potencionální posluchač byl aktivován na jiné straně routeru, tak v okamžiku zahájení vysílání zařízení na té zavřené straně routeru se v routeru vytvořila routa pro tento multicast (ukázal to ip mroute). Nechápu jak je to možné - jak se ten router dozvěděl, že tam je nějaký vysílač multicastu, příchozí tok k routeru z té strany je zcela zahazován. Budu ten test muset zopakovat - hlava mi to nebere (snad nějaké komunikace na L2 mimo L3?).
    19.5.2017 09:00 NN
    Rozbalit Rozbalit vše Re: Multicast routing (ACL)
    Blokujes cely IGMP ptotokol Query/Membership pakety, nebo jen multicast skupinu? Muzes to oddelit na L2, nebo je zadouci i jina L3 komunikace na rozhranich?
    19.5.2017 14:53 MaraCh
    Rozbalit Rozbalit vše Nemožnost odfiltrovat některé multicast dohody přes iptables - TEST
    Uvedu nyní přesně "výzkumný test", který zmiňuji v závěru své otázky a jehož výsledky nechápu.

    Mám router, kde běží pimd. Router má síťová rozhraní w0 a f0.

    Schema zapojení: 
    PC_before_w0 <---> [w0]-router-[f0] <----> PC_before_f0
    1. Zákaz veškerého toku na router přícházejícího z rozhraní f0 (povoleno jen ssh): 
    router#
iptables -t filter -F
iptables -t nat -F
iptables -A INPUT -i f0 -p TCP --source-port 22 -j ACCEPT
iptables -A INPUT -i f0 -j DROP
iptables -A FORWARD -i f0 -j DROP
    2. Zahájení naslouchání (příjmu) multicast: 
    PC_before_w0$ iperf -s -u -B 239.255.0.1
    3. Kontrola routovacích pravidel: 
    router# ip mroute
(nic nevypýše - žádná pravidla nejsou)
    4. Zahájení multicast vysílání: 
    PC_before_f0$ iperf -u -c 239.255.0.1 -T 3 -t 30
    5. Kontrola routovacích pravidel: 
    router# ip mroute
(ip_adresa_PC_before_f0, 239.255.0.1)       Iif: f0       Oifs: w0
    Z výpisu routovacích pravidel je vidět, že vznikla multicast routa. K samotnému toku dat přes router nedojde. Jak je však možné, že vznikla ta routovací pravidla? Jak se router dozvěděl o existenci nějakého multicast vysílání před rozhraním f0, když v iptables je vše příchozí zahazováno? Může to prosím někdo vysvětlit?
    19.5.2017 15:09 MaraCh
    Rozbalit Rozbalit vše Re: Nemožnost odfiltrovat některé multicast dohody přes iptables - TEST
    Ještě dodám, že situace se nezmění ani když ještě k 1. bodu přidám následující pravidla: 
    iptables -A OUTPUT -o f0 -p TCP --destination-port 22 -j ACCEPT
iptables -A OUTPUT -o f0 -j DROP
iptables -A FORWARD -o f0 -j DROP
    Kromě ssh nemohou IP data tam ni zpět, ale přesto se to nějak domluví. Jo kdyby to tak bylo i u lidí:-)
    19.5.2017 21:12 martinvolf
    Rozbalit Rozbalit vše Re: Nemožnost odfiltrovat některé multicast dohody přes iptables - TEST
    Nepomohlo by zahazovat to v tabulce raw? 
    iptables -t raw -A PREROUTING -i f0 -j DROP
    21.5.2017 20:11 Ondrej Santiago Zajicek
    Rozbalit Rozbalit vše Re: Nemožnost odfiltrovat některé multicast dohody přes iptables - TEST
    Jak je však možné, že vznikla ta routovací pravidla? Jak se router dozvěděl o existenci nějakého multicast vysílání před rozhraním f0, když v iptables je vše příchozí zahazováno?
    AFAIK prichozi paket se nejdriv paket prozene routovanim, aby se zjistilo, co s nim, a pak teprve se aplikuji prislusna pravidla z filter tabulky (INPUT ci FORWARD chainy). Pri multicast routingu pak pri nepritomnosti routy kernel preda paket specialnim kanalem routovacimu demonu (tedy jeste pred aplikaci pravidel z filter tabulky) a ten prida routu do routovaci tabulky. Jak pise martinvolf nize, mohlo by pomoci filtrovat to v PREROUTING chainu tabulky raw.
    22.5.2017 12:14 MaraCh
    Rozbalit Rozbalit vše Re: Nemožnost odfiltrovat některé multicast dohody přes iptables - TEST
    Děkuji za odpověď i za odpověď předřečníkovi.

    V uvedeném konkrétním případě stačí pravidlo: 
    iptables -t raw -A PREROUTING -i f0 -d 239.255.0.1/32 -j DROP
    A routa pak nevznikne. Trochu mi to bourá představu, že mcast tok vzniká jen když jsou odběratelé - zde je routa asi vytvořena až vznikne mcast tok (a jen pokud ho zamlčím tak routa nevnikne) (nebo snad vysílací strana ví o tom posluchači i když tam mám výše uvedené iptables pravidlo?).

    Uvedená pravidla v tabulce raw mohou zajistit nevznikání mcast routovacích pravidel na konkrétní rozsahy mcast cílů. Žel nelze s nimi zajistit, že cíl je povolen, ale jen k forwardování na konkrétní síťové rozhraní a na jiné ne.

    Jinými slovy hledám daemona na mcast routování, který bude umožňovat definovat přesnější pravidla. pimd to asi neumí. Zná někdo takového daemona?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.