abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 05:55 | Komunita

Ubuntu 19.04 bude mít kódové jméno Disco Dingo. Dle oznámení v diskusním listu ubuntu-devel-announce je ve vývojové verzi Disco Dinga výchozím Pythonem 3 verze 3.7. Perl byl aktualizován na verzi 5.28. OpenSSL 1.0 bude nahrazeno OpenSSL 1.1.1 LTS. Nové instalace Dinga budou mít sloučený /usr. Stane se tak 7 let po sloučení /usr ve Fedoře nebo Arch Linuxu.

Ladislav Hagara | Komentářů: 4
dnes 02:22 | IT novinky

V pondělí a úterý proběhl v San Franciscu Chrome Dev Summit 2018. Přehled dění v příspěvcích na Chromium Blogu. Videozáznamy přednášek na YouTube. Představen byl například web pro webové vývojáře web.dev nebo rozšíření webového prohlížeče Chrome s názvem VisBug (YouTube) určené pro webdesignery. Slíbená je podpora Firefoxu.

Ladislav Hagara | Komentářů: 0
včera 23:22 | Zajímavý projekt

Byl spuštěn Humble Dystopian Bundle. V balíčku počítačových her jsou také hry běžící na Linuxu: Beholder, Orwell: Keeping an Eye On You, Orwell: Ignorance is Strength a Observer.

Ladislav Hagara | Komentářů: 0
včera 22:44 | Zajímavý článek

Jan Klat publikoval na Medium výsledky ankety věnované platům PHP vývojářů. Zúčastnilo se 419 respondentů. Kompletní výsledky na Tabulky Google.

Ladislav Hagara | Komentářů: 1
včera 22:22 | Nová verze

Byla vydána nová verze 1.29 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Představení novinek také na YouTube.

Ladislav Hagara | Komentářů: 0
včera 11:47 | Pozvánky
Začínáte s automatizací? Chcete se naučit správně používat Ansible? Přijďte na další Prague Containers Meetup 20. listopadu v prostorách Seznamu v Praze na Andělu.
little-drunk-jesus | Komentářů: 0
včera 11:47 | Pozvánky
V úterý 20. 11. v Praze proběhne akce Oracle Czech Republic Meetup Group. Od 18.00 si budete moct vyslechnout přednášky NetSuite Developer Toolset a Product Recommendations system at Bronto.
RichardF | Komentářů: 0
včera 10:33 | Nová verze

Byly aktualizovány živé instalační obrazy průběžně aktualizované linuxové distribuce Void Linux (Wikipedie). Nejnovější obrazy ve verzi 20181111 jsou k dispozici vedle i686 a x86_64 také pro jednodeskové počítače s ARM: BeagleBone, Cubieboard, Odroid a Raspberry Pi. Void Linux používá balíčkovací systém XBPS (X Binary Package System), LibreSSL a init systém a správce služeb runit. Ke stažení jsou obrazy postavené jak nad glibc, tak nad musl.

Ladislav Hagara | Komentářů: 3
včera 02:00 | IT novinky

Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem zůstává superpočítač Summit. Český superpočítač Salomon klesl na 213. místo. Další přehledy a statistiky na stránkách projektu. V aktuálním žebříčku GREEN500 (GFlops/watts) obsadil superpočítač Summit 3. místo.

Ladislav Hagara | Komentářů: 0
12.11. 22:55 | Zajímavý projekt

Sir Tim Berners-Lee koncem září představil myšlenku projektu Solid. Jedná se o reakci na jednak jednostranné využívání webu k neinteraktivnímu publikování dokumentů, ale také centralizaci služeb, v jejichž případě uživatelé předávají svá data několika málo centrálním entitám. Článek na webu LWN.net Solid ukazuje konkrétněji. Základním konceptem je „pod“, uzel (lokální nebo v cloudu), kde by uživatelé mohli ukládat své komentáře k obsahu třetích stran.

Fluttershy, yay! | Komentářů: 0
Jak nejčastěji otevíráte dokumenty na počítači?
 (89%)
 (3%)
 (8%)
Celkem 64 hlasů
 Komentářů: 4, poslední včera 14:36
Rozcestník

Dotaz: Odfiltrovani lokalnich IP adres

7.7.2004 19:54 JetCat | skóre: 2
Odfiltrovani lokalnich IP adres
Přečteno: 114×
Dobry den,

hledal jsem nejprve odpoved v diskuzich ale nic jsem k tomuto tematu nenasel.

Potreboval bych odfiltrovat na routeru resp. na sitovce smerem do Internetu pakety, ktere maji jako zdrojovou nebo cilovou adresu lokalni IP adresu. Nevim, zda nasledujici zapis je spravny. Sitovka do Internetu je eth0.

# zablokuj pakety do Internetu, ktere maji jako cil lokalni IP

iptables -A OUTPUT -o eth0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -d 96.0.0.0/4 -j DROP

# zablokuj pakety do Internetu, ktere maji jako zdroj lokalni IP

iptables -A OUTPUT -o eth0 -s 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -s 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -s 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -s 96.0.0.0/4 -j DROP

Diky za pripadnou pomoc.

Jet

Odpovědi

7.7.2004 19:56 Petr
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Jestli ti do internetu putuji pakety s cilovou adresou tve vnitrni site, tak je neco spatne, prinejmensim ti to blbe routuje.
7.7.2004 20:02 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Je tam NAT, takze ani ne tak routovani jako preklad adres. Predpokladam, ze pokud by zablokovani tech lokalnich IP adres smerem do Internetu zpusobilo nejaky problem, tak by se nekdo z lidicek za routerem ozval ;)

Zatim vsechno funguje, ale nevim, zda vyse uvedene skutecne ty pakety odfiltrovava.

Jet
7.7.2004 20:22 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Vypadá to OK, ale možná by to ještě chtělo přidat totéž pro FORWARD (OUTPUT se týká jen paketů, které "vyrábí" ten router).
7.7.2004 20:36 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Aha, je tam NAT, takže úplně totéž pro FORWARD by mohla být kravina. Pro "zdravé" adresy je samozřejmě potřeba něco jako

iptables -A FORWARD -i eth0 -d zdravé_adresy -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth0 -s zdravé_adresy -j ACCEPT

jinak by to moc neNATovalo ;-)
7.7.2004 21:32 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ja jsem nejdrive zkousel ten FORWARD logovat, abych videl, zda tam skutecne dochazi k vyskytu packetu s lokalnimi adresami a vzhledem k tomu, ze se tam zadne takove pakety neobjevily (coz je spravne, protoze diky NATu by ani nemely), tak jsou pravidla pro FORWARD asi zbytecna - logicka uvaha.

U toho OUTPUTu pocitam s nejakym bordelem routeru, takze tam to filtrovani pro jistotu necham.

Diky za pomoc.
12.7.2004 14:34 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ahojte,

takze jsem na to uz prisel, ten lokalni traffic ktery mi sel do Internetu zpusobovaly dve Windowsovske stanice klientu ktere byly napadeny Sasserem (nalogoval jsem si ty pakety, cilovy port byl 445, cilove adresy ruzne lokalni asi generovane).

Odfiltroval jsem to tedy pomoci:

iptables -I FORWARD -o eth0 -p all -d 10.0.0.0/8 -j DROP

iptables -I FORWARD -o eth0 -p all -d 192.168.0.0/16 -j DROP

iptables -I FORWARD -o eth0 -p all -d 172.16.0.0/12 -j DROP

iptables -I FORWARD -o eth0 -p all -d 96.0.0.0/4 -j DROP

kde "eth0" je moje rozhrani do Internetu.

Diky vsem za podnety a rady.

Jet
7.7.2004 20:34 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Mrkni na:

http://soban.wz.cz/linux/firewall2.html
7.7.2004 20:57 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ahoj,

diky za informace, ja jsem na Petrickuv firewall take koukal, mam ho aplikovany na jinem routeru (NATu), hodne veci je tam prehledne popsanych, takze mi hodne pomohl.

Na tomhle "starsim" routeru mam z jistych duvodu ale na lokalni sitovce (eth1) shared-networks, tedy nekolik subnetu soucasne. Lokalni sitovka ma tedy vice IP adres (10.0.103.1 , 10.0.104.1 ... 10.0.111.1) a obsluhuje tedy vlastne subnet 10.0.96.0/20

Nevim, jak by se chovaly ty techniky, ktere kontroluji IP adresy prichozich a odchozich paketu na danem rozhrani.
dmnc_net avatar 4.2.2010 11:16 dmnc_net | skóre: 12 | blog: dmnc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
kdo by referoval ke skriptu firewallu, tak POZOR, obrovsky pool 96.0.0.0/4 uz nejakou dobu neni rezervovany (http://www.iana.com/assignments/ipv4-address-space) a nektere rozsahy jsou dokonce pouzity na uzemi CR.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.