abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 14:55 | Zajímavý projekt

Vyšlo piate číslo Magazínu KPI — webového časopisu Katedry počítačov a informatiky Technickej univerzity v Košiciach. V čísle sú články o vizualizácii dát v jazyku Python, nástroji Docker, a použití protokolu MQTT.

sergejx | Komentářů: 1
dnes 10:44 | Nová verze

Po dvou a půl měsících vývoje od vydání verze 5.0 byla vydána nová verze 5.1 svobodného open source redakčního systému WordPress. Kódové označením Betty bylo vybráno na počest americké jazzové zpěvačky Betty Carter.

Ladislav Hagara | Komentářů: 0
včera 16:11 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2019-8912. Jedná se o vážnou (CVSS v3.0: 9.8) bezpečnostní chybu typu CWE-416: Use After Free v crypto/af_alg.c. Chyba byla nalezena pomocí detektoru chyb při práci s pamětí KASAN (Kernel Address Sanitizer).

Ladislav Hagara | Komentářů: 5
včera 11:11 | Komunita

Mozilla.cz informuje, že další vydání SeaMonkey se zdrží. Infrastruktura projektu SeaMonkey prochází mnoha změnami. Důvodem je požadavek na nezávislost na infrastruktuře Firefoxu do konce roku, protože jeho vývoj nebude SeaMonkey následovat ve stejném tempu a rozdíly jsou moc veliké. Bohužel se při těchto přesunech nepodařilo udržet vše ve funkčním stavu a tak není možné sestavovat a vydávat nové verze SeaMonkey.

Ladislav Hagara | Komentářů: 0
20.2. 16:55 | Bezpečnostní upozornění

V Drupalu byla nalezena vysoce kritická zranitelnost PSA-2019-02-19. Podrobnosti a opravy 8.5.x a 8.6.x budou zveřejněny dnes mezi 19:00 a 23:00.

Ladislav Hagara | Komentářů: 1
20.2. 16:33 | Zajímavý projekt

Mozilla.cz informuje o stavu češtiny v projektu Common Voice. Projekt Common Voice sbírá hlasová data, na základě kterých bude možné trénovat modely a software pro rozpoznávání řeči. Aktuálně je nutné rozšířit počet vět v datové sadě a alespoň 5 tisíc vět musí být ručně ověřených několika lidmi.

Ladislav Hagara | Komentářů: 0
20.2. 16:22 | Nová verze

Byla vydána nová vývojová verze datového formátu a souvisejících nástrojů Relational pipes. Hlavní novinkou verze v0.10 je nástroj relpipe-tr-guile, který díky GNU Guile umožňuje filtrovat a transformovat relační data pomocí výrazů jazyka Scheme.

xkucf03 | Komentářů: 0
20.2. 00:33 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje na kritickou zranitelnost ve WordPressu umožňující vzdálené spuštění libovolného kódu. Prakticky se jedná o kombinací dvou různých zranitelností (Directory Traversal a Local File Inclusion), pro jejichž úspěšné zneužití musí útočník získat v rámci instance WordPressu alespoň oprávnění autora.

Ladislav Hagara | Komentářů: 2
19.2. 17:33 | Nová verze

Po dvou a půl letech od vydání verze 5.0.0 byla oficiálně vydána nová major verze 6.0.0 správce digitálních fotografií a nově i videí digiKam (digiKam Software Collection). Přehled novinek i s náhledy v oficiálním oznámení. Ke stažení je také balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 1
19.2. 00:44 | Komunita

Do 2. dubna se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 20. května do 20. srpna 2019, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 1
Máte v desktopovém prostředí zapnutou zvukovou znělku po přihlášení se do systému?
 (8%)
 (1%)
 (90%)
 (1%)
Celkem 384 hlasů
 Komentářů: 11, poslední 14.2. 07:59
Rozcestník

Dotaz: filtrování podle zdrojového portu

8.4.2004 15:17 Aleš Maňák
filtrování podle zdrojového portu
Přečteno: 40×
Mám malou síť s routerem na RedHatu 8.0, jádro 2.4.21 -pre 4. Tento počítač neposkytuje žádné služby. Mám tyto rozhraní:
wlan0 -adr. 192.168.200.213 do Internetu (poskytovatel to NATuje)
wlan1 -adr. 172.16.2.1 - pro připojení kamarádů
eth0 -adr. 172.16.3.1 - síť u nás doma
Používám SNAT na adresu 192.168.200.213 Na ostatních počítačích jsou Windows.
Pokouším se nastavit firewall tak, aby mohly procházet pouze určité služby - pro začátek www.
Zkusil jsem podle Linux dokumentační projekt strana 403 toto:
iptables -P FORWARD DROP
iptables -A FORWARD -m tcp -p tcp -s 0/0 --sport 80 -d 172.16.3.0/24 --syn -j DROP
iptables -A FORWARD -m tcp -p tcp -s 172.16.3.0/24 --sport 80 -d 0/0 -j ACCEPT
iptables -A FORWARD -m tcp -p tcp -d 172.16.3.0/24 --dport 80 -s 0/0 -j ACCEPT
ale nefunguje to a ani v logu se nic neobjeví.
Pak jsem vyzkoušel
iptables -A FORWARD -o wlan0 -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
podle ROOTa
To funguje, ale myslím, že v případě, že by si někdo stáhl nějakého trojana, pak by tento mohl posílat co by chtěl a tímto firewallem by to prošlo. V logu se na mé straně objevuje zdrojový port např 1096 a pokaždé je jiný a navíc se mění i v průběhu spojení. Jak tedy podle něho filtrovat, nebo jak napsat pravidla tak, aby prošlo jen www? Další služby, které bych chtěl postupně povolit, jsou ftp a pošta.Nevíte někdo jak to vyřešit? Děkuju za každý nápad

Odpovědi

8.4.2004 15:24 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Pletete si zrejme zdrojovy a cilovy port.

Taky nevim jak chcete na routeru rozeznat chytreho trojana od weboveho prohlizece.
8.4.2004 15:45 l4m4
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
jinak receno zdrojovy port klienta je vzdycky nejaky nahodny vysoky port, at je klient cokoli (browser, trojan, wget, proxy, linkchecker, rpm, ...). konstatnich 80 je vzdycky akorat cilovy port. (v paketech smerem od serveru logicky naopak)
9.4.2004 00:11 knovy
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Zkus neco takovyho:
# povolit pouze nektery portu ven.
iptables -A FORWARD -o wlan0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o wlan0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 110 -j ACCEPT
# povolit dovnitr jenom co stim souvisi.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ale asi by to chtelo doladit...
9.4.2004 08:17 Yeti
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Já bych asi admina, který by mi povolil připojení ven jen na jím vybrané porty, nejprve osobně uškrtil, a pak si na nějakém z nich rozchodil na nějakém počítači venku tunel...
9.4.2004 09:04 jm
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Ano, za tohle bych taky na miste strilel. :-(

Tyhle lidi nejsou schopny pochopit, ze mam treba na a.b.c.d:8888 rozchozenej webmail pres HTTPS. A proc na 8888? No treba protoze na 443 mi uz bezi neco jinyho a IP adresu mam jenom jednu. Anebo ze se potrebuju pripojovat pres SSH na port 222 a ne jenom 22. Ach jo. :-(
9.4.2004 11:14 Tom K | skóre: 20
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
ale holky
existujou dve zakladni politiky pro nastaveni FW
1. co neni zakazano je povoleno
2. co neni povoleno je zakazano
Kazda z nich ma pro urcity druh pouziti dost dobre duvody.
Zkuste se nad tim zamyslet.
echo -n "u48" | sha1sum | head -c3; echo
9.4.2004 11:25 Yeti
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Nazdar kotě, nedělalas náhodou INDOŠ? ;-)

Existují dva základní způsoby komunikace: iniciovaná lokálně počítače a iniciovaná zvnějšku. Můžeš uvést nějaký důvod, proč by pro ně měly být identické politiky?
9.4.2004 14:07 jm
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
No, asi tak nejak... ale mam zkusenost, ze v podobnych pripadech je vysvetlovani zbytecne, oni maji proste pocit, jak to genialne zabezpecili... lepsim resenim je opravdu ten tunel pres nektery z povolenych portu, pominu-li zavrazdeni dotycneho spravce. :-D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.