abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 06:00 | Komunita

Byl zveřejněn seznam 46 osob přijatých do programu Outreachy od 4. prosince 2018 do 4. března 2019. Cílem programu Outreachy je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny.

Ladislav Hagara | Komentářů: 28
včera 22:22 | Nová verze

Tým vyvíjející hru SuperTuxKart vydal před týdnem novou alfa verzi přinášející víceuživatelský mód umožňující hrát hru po síti. Zatím jsou k dispozici pouze zdrojové kódy. Binární balíček by mohl vyjít během týdne.

Indiánský lotr | Komentářů: 0
včera 22:11 | Zajímavý článek

V Edici CZ.NIC vyšla kniha On-line ZOO seznamující děti předškolního a mladšího školního věku s nejčastějšími riziky spojenými s používáním Internetu. Kniha je určena především pedagogům, ale nejen jim. Knihu v elektronické verzi lze zdarma stáhnout ve formátu PDF (15,6MB).

Ladislav Hagara | Komentářů: 0
včera 21:33 | Zajímavý článek

Daniel Robbins informuje komunitu kolem linuxové distribuce Funtoo, že ve výchozím nastavení bude Funtoo používat LTS (Long-Term Stable) jádro 4.9 z Debianu. Klady vidí ve stabilitě pro serverové použití, ale také v méně problémech s ovladači třetích stran, například s ovladači od společnosti Nvidia.

D81 | Komentářů: 8
včera 20:44 | Pozvánky

Fedora 29 Release Party, oslava nedávného vydání Fedory 29 a 15 let Fedory, se uskuteční v pondělí 26. listopadu v Brně a v úterý 4. prosince a v Praze.

Ladislav Hagara | Komentářů: 0
včera 20:11 | IT novinky

Hodnota Bitcoinu, decentralizované kryptoměny, klesla pod 5 000 dolarů. Před 11 měsíci byla hodnota Bitcoinu téměř 20 000 dolarů.

Ladislav Hagara | Komentářů: 6
16.11. 17:00 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2018-11-13 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Přehled novinek v poznámkách k vydání. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Simon Long z novinek zdůrazňuje multimediální přehrávač VLC s hardwarovou akcelerací nebo vývojové prostředí pro Python Thonny ve verzi 3. Ke stažení jsou nově také lite a full obrazy Raspbianu. Raspbian Full opět obsahuje software Mathematica.

Ladislav Hagara | Komentářů: 1
16.11. 02:00 | Nová verze

Krátce po vydání Debianu 9.6 oznámil Tomáš Matějíček vydání verze 9.6 dnes již na Debianu založené živé linuxové distribuce Slax. Vedle vylepšení z Debianu je opraveno několik malých chyb. Opraveno bylo bootování pomocí PXE. Novinkou je skript s názvem pxe pro spuštění vlastního PXE serveru.

Ladislav Hagara | Komentářů: 0
16.11. 01:00 | Nová verze

Byla vydána beta verze Red Hat Enterprise Linuxu 8. Přehled novinek v příspěvku na blogu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 4
15.11. 13:44 | IT novinky

Nadace Raspberry Pi na svém blogu představila (YouTube) jednodeskový počítač Raspberry Pi 3 Model A+. Toto menší Raspberry Pi 3 lze koupit za 25 dolarů.

Ladislav Hagara | Komentářů: 2
Jak nejčastěji otevíráte dokumenty na počítači?
 (93%)
 (3%)
 (4%)
Celkem 135 hlasů
 Komentářů: 10, poslední včera 00:13
Rozcestník

Dotaz: filtrování podle zdrojového portu

8.4.2004 15:17 Aleš Maňák
filtrování podle zdrojového portu
Přečteno: 40×
Mám malou síť s routerem na RedHatu 8.0, jádro 2.4.21 -pre 4. Tento počítač neposkytuje žádné služby. Mám tyto rozhraní:
wlan0 -adr. 192.168.200.213 do Internetu (poskytovatel to NATuje)
wlan1 -adr. 172.16.2.1 - pro připojení kamarádů
eth0 -adr. 172.16.3.1 - síť u nás doma
Používám SNAT na adresu 192.168.200.213 Na ostatních počítačích jsou Windows.
Pokouším se nastavit firewall tak, aby mohly procházet pouze určité služby - pro začátek www.
Zkusil jsem podle Linux dokumentační projekt strana 403 toto:
iptables -P FORWARD DROP
iptables -A FORWARD -m tcp -p tcp -s 0/0 --sport 80 -d 172.16.3.0/24 --syn -j DROP
iptables -A FORWARD -m tcp -p tcp -s 172.16.3.0/24 --sport 80 -d 0/0 -j ACCEPT
iptables -A FORWARD -m tcp -p tcp -d 172.16.3.0/24 --dport 80 -s 0/0 -j ACCEPT
ale nefunguje to a ani v logu se nic neobjeví.
Pak jsem vyzkoušel
iptables -A FORWARD -o wlan0 -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
podle ROOTa
To funguje, ale myslím, že v případě, že by si někdo stáhl nějakého trojana, pak by tento mohl posílat co by chtěl a tímto firewallem by to prošlo. V logu se na mé straně objevuje zdrojový port např 1096 a pokaždé je jiný a navíc se mění i v průběhu spojení. Jak tedy podle něho filtrovat, nebo jak napsat pravidla tak, aby prošlo jen www? Další služby, které bych chtěl postupně povolit, jsou ftp a pošta.Nevíte někdo jak to vyřešit? Děkuju za každý nápad

Odpovědi

8.4.2004 15:24 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Pletete si zrejme zdrojovy a cilovy port.

Taky nevim jak chcete na routeru rozeznat chytreho trojana od weboveho prohlizece.
8.4.2004 15:45 l4m4
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
jinak receno zdrojovy port klienta je vzdycky nejaky nahodny vysoky port, at je klient cokoli (browser, trojan, wget, proxy, linkchecker, rpm, ...). konstatnich 80 je vzdycky akorat cilovy port. (v paketech smerem od serveru logicky naopak)
9.4.2004 00:11 knovy
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Zkus neco takovyho:
# povolit pouze nektery portu ven.
iptables -A FORWARD -o wlan0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o wlan0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 110 -j ACCEPT
# povolit dovnitr jenom co stim souvisi.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ale asi by to chtelo doladit...
9.4.2004 08:17 Yeti
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Já bych asi admina, který by mi povolil připojení ven jen na jím vybrané porty, nejprve osobně uškrtil, a pak si na nějakém z nich rozchodil na nějakém počítači venku tunel...
9.4.2004 09:04 jm
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Ano, za tohle bych taky na miste strilel. :-(

Tyhle lidi nejsou schopny pochopit, ze mam treba na a.b.c.d:8888 rozchozenej webmail pres HTTPS. A proc na 8888? No treba protoze na 443 mi uz bezi neco jinyho a IP adresu mam jenom jednu. Anebo ze se potrebuju pripojovat pres SSH na port 222 a ne jenom 22. Ach jo. :-(
9.4.2004 11:14 Tom K | skóre: 20
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
ale holky
existujou dve zakladni politiky pro nastaveni FW
1. co neni zakazano je povoleno
2. co neni povoleno je zakazano
Kazda z nich ma pro urcity druh pouziti dost dobre duvody.
Zkuste se nad tim zamyslet.
echo -n "u48" | sha1sum | head -c3; echo
9.4.2004 11:25 Yeti
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Nazdar kotě, nedělalas náhodou INDOŠ? ;-)

Existují dva základní způsoby komunikace: iniciovaná lokálně počítače a iniciovaná zvnějšku. Můžeš uvést nějaký důvod, proč by pro ně měly být identické politiky?
9.4.2004 14:07 jm
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
No, asi tak nejak... ale mam zkusenost, ze v podobnych pripadech je vysvetlovani zbytecne, oni maji proste pocit, jak to genialne zabezpecili... lepsim resenim je opravdu ten tunel pres nektery z povolenych portu, pominu-li zavrazdeni dotycneho spravce. :-D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.