abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 14:55 | Zajímavý projekt

Vyšlo piate číslo Magazínu KPI — webového časopisu Katedry počítačov a informatiky Technickej univerzity v Košiciach. V čísle sú články o vizualizácii dát v jazyku Python, nástroji Docker, a použití protokolu MQTT.

sergejx | Komentářů: 1
dnes 10:44 | Nová verze

Po dvou a půl měsících vývoje od vydání verze 5.0 byla vydána nová verze 5.1 svobodného open source redakčního systému WordPress. Kódové označením Betty bylo vybráno na počest americké jazzové zpěvačky Betty Carter.

Ladislav Hagara | Komentářů: 0
včera 16:11 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2019-8912. Jedná se o vážnou (CVSS v3.0: 9.8) bezpečnostní chybu typu CWE-416: Use After Free v crypto/af_alg.c. Chyba byla nalezena pomocí detektoru chyb při práci s pamětí KASAN (Kernel Address Sanitizer).

Ladislav Hagara | Komentářů: 5
včera 11:11 | Komunita

Mozilla.cz informuje, že další vydání SeaMonkey se zdrží. Infrastruktura projektu SeaMonkey prochází mnoha změnami. Důvodem je požadavek na nezávislost na infrastruktuře Firefoxu do konce roku, protože jeho vývoj nebude SeaMonkey následovat ve stejném tempu a rozdíly jsou moc veliké. Bohužel se při těchto přesunech nepodařilo udržet vše ve funkčním stavu a tak není možné sestavovat a vydávat nové verze SeaMonkey.

Ladislav Hagara | Komentářů: 0
20.2. 16:55 | Bezpečnostní upozornění

V Drupalu byla nalezena vysoce kritická zranitelnost PSA-2019-02-19. Podrobnosti a opravy 8.5.x a 8.6.x budou zveřejněny dnes mezi 19:00 a 23:00.

Ladislav Hagara | Komentářů: 1
20.2. 16:33 | Zajímavý projekt

Mozilla.cz informuje o stavu češtiny v projektu Common Voice. Projekt Common Voice sbírá hlasová data, na základě kterých bude možné trénovat modely a software pro rozpoznávání řeči. Aktuálně je nutné rozšířit počet vět v datové sadě a alespoň 5 tisíc vět musí být ručně ověřených několika lidmi.

Ladislav Hagara | Komentářů: 0
20.2. 16:22 | Nová verze

Byla vydána nová vývojová verze datového formátu a souvisejících nástrojů Relational pipes. Hlavní novinkou verze v0.10 je nástroj relpipe-tr-guile, který díky GNU Guile umožňuje filtrovat a transformovat relační data pomocí výrazů jazyka Scheme.

xkucf03 | Komentářů: 0
20.2. 00:33 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje na kritickou zranitelnost ve WordPressu umožňující vzdálené spuštění libovolného kódu. Prakticky se jedná o kombinací dvou různých zranitelností (Directory Traversal a Local File Inclusion), pro jejichž úspěšné zneužití musí útočník získat v rámci instance WordPressu alespoň oprávnění autora.

Ladislav Hagara | Komentářů: 2
19.2. 17:33 | Nová verze

Po dvou a půl letech od vydání verze 5.0.0 byla oficiálně vydána nová major verze 6.0.0 správce digitálních fotografií a nově i videí digiKam (digiKam Software Collection). Přehled novinek i s náhledy v oficiálním oznámení. Ke stažení je také balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 1
19.2. 00:44 | Komunita

Do 2. dubna se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 20. května do 20. srpna 2019, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 1
Máte v desktopovém prostředí zapnutou zvukovou znělku po přihlášení se do systému?
 (8%)
 (1%)
 (90%)
 (1%)
Celkem 385 hlasů
 Komentářů: 11, poslední 14.2. 07:59
Rozcestník

Dotaz: Odfiltrovani lokalnich IP adres

7.7.2004 19:54 JetCat | skóre: 2
Odfiltrovani lokalnich IP adres
Přečteno: 114×
Dobry den,

hledal jsem nejprve odpoved v diskuzich ale nic jsem k tomuto tematu nenasel.

Potreboval bych odfiltrovat na routeru resp. na sitovce smerem do Internetu pakety, ktere maji jako zdrojovou nebo cilovou adresu lokalni IP adresu. Nevim, zda nasledujici zapis je spravny. Sitovka do Internetu je eth0.

# zablokuj pakety do Internetu, ktere maji jako cil lokalni IP

iptables -A OUTPUT -o eth0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -d 96.0.0.0/4 -j DROP

# zablokuj pakety do Internetu, ktere maji jako zdroj lokalni IP

iptables -A OUTPUT -o eth0 -s 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -s 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -s 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -s 96.0.0.0/4 -j DROP

Diky za pripadnou pomoc.

Jet

Odpovědi

7.7.2004 19:56 Petr
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Jestli ti do internetu putuji pakety s cilovou adresou tve vnitrni site, tak je neco spatne, prinejmensim ti to blbe routuje.
7.7.2004 20:02 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Je tam NAT, takze ani ne tak routovani jako preklad adres. Predpokladam, ze pokud by zablokovani tech lokalnich IP adres smerem do Internetu zpusobilo nejaky problem, tak by se nekdo z lidicek za routerem ozval ;)

Zatim vsechno funguje, ale nevim, zda vyse uvedene skutecne ty pakety odfiltrovava.

Jet
7.7.2004 20:22 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Vypadá to OK, ale možná by to ještě chtělo přidat totéž pro FORWARD (OUTPUT se týká jen paketů, které "vyrábí" ten router).
7.7.2004 20:36 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Aha, je tam NAT, takže úplně totéž pro FORWARD by mohla být kravina. Pro "zdravé" adresy je samozřejmě potřeba něco jako

iptables -A FORWARD -i eth0 -d zdravé_adresy -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth0 -s zdravé_adresy -j ACCEPT

jinak by to moc neNATovalo ;-)
7.7.2004 21:32 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ja jsem nejdrive zkousel ten FORWARD logovat, abych videl, zda tam skutecne dochazi k vyskytu packetu s lokalnimi adresami a vzhledem k tomu, ze se tam zadne takove pakety neobjevily (coz je spravne, protoze diky NATu by ani nemely), tak jsou pravidla pro FORWARD asi zbytecna - logicka uvaha.

U toho OUTPUTu pocitam s nejakym bordelem routeru, takze tam to filtrovani pro jistotu necham.

Diky za pomoc.
12.7.2004 14:34 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ahojte,

takze jsem na to uz prisel, ten lokalni traffic ktery mi sel do Internetu zpusobovaly dve Windowsovske stanice klientu ktere byly napadeny Sasserem (nalogoval jsem si ty pakety, cilovy port byl 445, cilove adresy ruzne lokalni asi generovane).

Odfiltroval jsem to tedy pomoci:

iptables -I FORWARD -o eth0 -p all -d 10.0.0.0/8 -j DROP

iptables -I FORWARD -o eth0 -p all -d 192.168.0.0/16 -j DROP

iptables -I FORWARD -o eth0 -p all -d 172.16.0.0/12 -j DROP

iptables -I FORWARD -o eth0 -p all -d 96.0.0.0/4 -j DROP

kde "eth0" je moje rozhrani do Internetu.

Diky vsem za podnety a rady.

Jet
7.7.2004 20:34 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Mrkni na:

http://soban.wz.cz/linux/firewall2.html
7.7.2004 20:57 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ahoj,

diky za informace, ja jsem na Petrickuv firewall take koukal, mam ho aplikovany na jinem routeru (NATu), hodne veci je tam prehledne popsanych, takze mi hodne pomohl.

Na tomhle "starsim" routeru mam z jistych duvodu ale na lokalni sitovce (eth1) shared-networks, tedy nekolik subnetu soucasne. Lokalni sitovka ma tedy vice IP adres (10.0.103.1 , 10.0.104.1 ... 10.0.111.1) a obsluhuje tedy vlastne subnet 10.0.96.0/20

Nevim, jak by se chovaly ty techniky, ktere kontroluji IP adresy prichozich a odchozich paketu na danem rozhrani.
dmnc_net avatar 4.2.2010 11:16 dmnc_net | skóre: 12 | blog: dmnc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
kdo by referoval ke skriptu firewallu, tak POZOR, obrovsky pool 96.0.0.0/4 uz nejakou dobu neni rezervovany (http://www.iana.com/assignments/ipv4-address-space) a nektere rozsahy jsou dokonce pouzity na uzemi CR.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.