abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 14:00 | Nová verze

Komunita kolem Linuxu From Scratch (LFS) vydala Linux Linux From Scratch 8.0 a Linux From Scratch 8.0 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází především s Glibc 2.25 a GCC 6.3.0. Současně bylo oznámeno vydání verze 8.0 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.

Ladislav Hagara | Komentářů: 0
včera 11:11 | Nová verze

Byla vydána verze 0.10.0 webového prohlížeče qutebrowser (Wikipedie). Přehled novinek v příspěvku na blogu. Vývojáři qutebrowseru kladou důraz na ovladatelnost pomocí klávesnice a minimální GUI. Inspirovali se prohlížečem dwb a rozšířeními pro Firefox Vimperator a Pentadactyl. Prohlížeč qutebrowser je naprogramován v Pythonu a využívá PyQt5. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GNU GPL 3.

Ladislav Hagara | Komentářů: 10
25.2. 16:22 | Nová verze

Po pěti měsících od vydání Waylandu a Westonu 1.12.0 oznámil Bryce Harrington (Samsung) vydání Waylandu 1.13.0 a Westonu 2.0.0.

Ladislav Hagara | Komentářů: 0
24.2. 13:37 | Bezpečnostní upozornění

Společnost Cloudflare (Wikipedie) na svém blogu potvrdila bezpečnostní problém s její službou. V požadovaných odpovědích od reverzní proxy byla odesílána také data z neinicializované paměti. Útočník tak mohl získat cookies, autentizační tokeny, data posílaná přes HTTP POST a další citlivé informace. Jednalo se o chybu v parsování HTML. Zneužitelná byla od 22. září 2016 do 18. února 2017. Seznam webů, kterých se bezpečnostní problém potenciálně týká na GitHubu.

Ladislav Hagara | Komentářů: 1
24.2. 08:22 | Nová verze

Byla vydána první beta verze Ubuntu 17.04 s kódovým názvem Zesty Zapus. Ke stažení jsou obrazy Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu Studio a Xubuntu. Dle plánu by Ubuntu 17.04 mělo vyjít 13. dubna 2017.

Ladislav Hagara | Komentářů: 55
23.2. 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 40
23.2. 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 12
23.2. 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
23.2. 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 8
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 8
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 721 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: mam to spravne? - FireWall

    19.12.2004 02:44 Vaškic | skóre: 6 | blog: vaskic
    mam to spravne? - FireWall
    Přečteno: 225×
    Tak jsem konecne rozchodil router+FireWall o kterym musim pristi tyden odevzdat semestralku a protoze jsem v tomto zacatecnik tak bych se rad zeptal jestli to mam spravne? Sice to funguje, ale bral bych nazory a co vylepsit...:-)
    Jedna se o router na kterym nic nebezi (proto on ma cokoliv zakazano) a pouze zprostredkovava inet z eth0 na eth1 do vnitrni site.
    # zapnu routovani paketu
    echo 1 > /proc/sys/net/ipv4/ip_forward
    # nejprve spustim firewall, kteremu budu predavat pravidla pomoci iptables
    modprobe ip_tables
    # umoznim pruchod aktivniho ftp firewallu
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    # prekladac adres - maskarada
    modprobe ipt_MASQUERADE
    # zprostredkovani pripojeni vnitrni site k internetu
    iptables -t nat -I POSTROUTING -j MASQUERADE -s 192.168.0.0/24
    #
    # nastaveni pravidel FireWallu
    #
    #vychazim ze zahazovani vsech paketu ve vsech retezcich
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    # povoleni portu 20 sluzba ftp data
    iptables -A FORWARD -o eth0 -p tcp --dport 20 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 20 -j ACCEPT
    # povoleni portu 21 sluzba ftp
    iptables -A FORWARD -o eth0 -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 21 -j ACCEPT
    # povoleni portu 25 sluzba smtp
    iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 25 -j ACCEPT
    # povoleni portu 53 sluzba TCP/UDP pro DNS
    iptables -A FORWARD -o eth0 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 53 -j ACCEPT
    iptables -A FORWARD -o eth0 -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth0 -p udp --sport 53 -j ACCEPT
    # povoleni portu 80 sluzba http
    iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 80 -j ACCEPT
    # povoleni portu 110 sluzba pop3
    iptables -A FORWARD -o eth0 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 110 -j ACCEPT
    # povoleni portu 443 sluzba HTTPS
    iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 443 -j ACCEPT
    # povoleni portu 5190 sluzba ICQ
    iptables -A FORWARD -o eth0 -p tcp --dport 5190 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --sport 5190 -j ACCEPT

    Tot vse, jinac na netu je mooooc navoda a ukazek, ale takovejhle obycejnej jednoduchej sem nikde nenasel, tak doufam, ze to i treba nekomu pomuze...

    Odpovědi

    19.12.2004 07:54 martin
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Myslim, ze to je uplne spatne. Rozhodne by tam nemela byt pravidla iptables -A FORWARD -i eth0 ..., pokud nechcete, aby se dalo dostat z internetu do lokalni site. Misto toho by tam melo byt neco jako

    iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    Dale bych misto MASQUERADE pouzil SNAT, ale to uz neni tak hrozny.
    19.12.2004 10:04 Vaškic | skóre: 6 | blog: vaskic
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Nejak to nejsem schopnej s timhle rozchodit. Mohl byste mne please ukazat jak by to melo vypadat napr. pro port 80?
    A myslim, ze SNAT je jen pro jedno pripojeni, ja tam ale mam na eth1 vic pocitacu takze tam myslim maskarada musi byt?
    19.12.2004 10:18 ttt
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Ten SNAT by mohl vypadat treba takto: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to verejneIP
    19.12.2004 11:12 Vaškic | skóre: 6 | blog: vaskic
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Uz jsem snad prisel na to kde byla chipka takze tady mam verzi 1.0.0.1 stabile ...:-) Doufam, ze uz je to lepsi.

    # zapnu routovani paketu
    echo 1 > /proc/sys/net/ipv4/ip_forward
    # nejprve spustim firewall, kteremu budu predavat pravidla pomoci iptables
    modprobe ip_tables
    # umoznim pruchod aktivniho ftp firewallu
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    # prekladac adres - maskarada
    modprobe ipt_MASQUERADE
    # zprostredkovani pripojeni vnitrni site k internetu
    iptables -t nat -I POSTROUTING -j MASQUERADE -s 192.168.0.0/24
    #
    # nastaveni pravidel FireWallu
    #
    #vychazim ze zahazovani vsech paketu ve vsech retezcich
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    # povoleni portu 20 sluzba ftp data
    iptables -A FORWARD -o eth0 -p tcp --dport 20 -j ACCEPT
    # povoleni portu 21 sluzba ftp
    iptables -A FORWARD -o eth0 -p tcp --dport 21 -j ACCEPT
    # povoleni portu 25 sluzba smtp
    iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
    # povoleni portu 53 sluzba TCP/UDP pro DNS
    iptables -A FORWARD -o eth0 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o eth0 -p udp --dport 53 -j ACCEPT
    # povoleni portu 80 sluzba http
    iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT
    # povoleni portu 110 sluzba pop3
    iptables -A FORWARD -o eth0 -p tcp --dport 110 -j ACCEPT
    # povoleni portu 443 sluzba HTTPS
    iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT
    # povoleni portu 5190 sluzba ICQ
    iptables -A FORWARD -o eth0 -p tcp --dport 5190 -j ACCEPT
    # povoleni navratu paketu patrici nami vytvorenemu spojeni
    iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    Takze please zase nejaky pripominky, napady... Diky
    Jesus Jimenez avatar 19.12.2004 12:00 Jesus Jimenez | skóre: 28
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    ;) hlavne do te semestralky nepiste nic o "chipkach", nebo vas vyhodi hned mezi dvermi ;)
    Doaenův zákon průtahů: Čím pomaleji pracuješ, tím méně naděláš chyb. -- Murphy
    19.12.2004 12:42 Michal Kubeček
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Moc nerozumím tomu, proč vlastně cítíte potřebu omezovat, na které porty se smí přistupovat z vnitřní sítě ven...

    Pravidlo pro překlad adres vypadá trochu divně, jednak bych na vašem místě přidal podmínku, aby se překládaly jen pakety, které jdou ven, jednak se mi moc nezdá ta podmínka až za akcí.

    A ještě jedna praktická rada: kvůli efektivitě je vhodné, aby pravidla, která řeší největší část provozu, byla testována jako první. Vy to pravidlo, které typicky řeší největší část provozu, máte jako úplně poslední...
    19.12.2004 13:54 Jarek Šeděnka
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    aspoň pujde v logach videt, kdyz zacne radit Sasser nebo neco podobneho.. Taky se tim dost omezi trojsti konici (vim ze zvenku se pripojit nepujde, ale treba veci co napadnou pocitac a pak se poslusne hlasi u sveho pana? :-)
    19.12.2004 14:22 Michal Kubeček
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Tuto úvahu už jsem několikrát viděl a považuji ji za naprosto zcestnou. Představte si, že takového trojáka budete psát. Jakou formu komunikace zvolíte: něco zcela netypického na neobvyklém portu, co na sebe na první pohled upozorní, nebo raději něco, co bude pokud možno co nejvíce připomínat běžný provoz? Nevím jak vy, ale já bych určitě zvolil komunikaci, která by co nejvíce připomínala HTTP (a dost možná bych to udělal i tak, aby to opravdu bylo HTTP), SMTP, POP3 nebo podobně všudypřítomný protokol, který nikomu nebude naznačovat, že se děje něco nepatřičného...
    19.12.2004 14:01 Vaškic | skóre: 6 | blog: vaskic
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Ja jsem prave myslel, ze nejlepsi je filozofie vsechno zakazat a pak postupne povolovat jen to co potrebuju.
    Ten preklad adres zkusim jeste vylepsit (pokud zbyde cas)
    Posledni podminku jsem uz dal na zacatek - diky
    19.12.2004 14:01 Vaškic | skóre: 6 | blog: vaskic
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Ja jsem prave myslel, ze nejlepsi je filozofie vsechno zakazat a pak postupne povolovat jen to co potrebuju.
    Ten preklad adres zkusim jeste vylepsit (pokud zbyde cas)
    Posledni podminku jsem uz dal na zacatek - diky
    19.12.2004 14:25 Michal Kubeček
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    To samozřejmě je. Jenže to je filosofie při řešení přístupu zvenku, přičemž zvenku tu znamená i třeba přístup z vnitřní sítě na firewall samotný. Nemá ale IMHO smysl bránit vlastním uživatelům v přístupu ven. Bezpečnosti tím nepomůžete a budete jim jen zbytečně komplikovat život. Navíc tím podporujete čím dál rozšířenější pocit, že Internet je jen web (a možná ještě e-mail) a zbytek nestojí za řeč.
    19.12.2004 17:13 Ondřej Suchý
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Firewallové omezení přístupu na vybrané služby zevnitř ven je stejně legitimní jako zvenku dovnitř. Může pro to být celá řada důvodů, například omezení aktivit zaměstnanců, ochrana vnějšího prostředí před útoky zevnitř (zejména viry a červy), či vynucení některých fines bezpečnostní politiky.
    19.12.2004 18:34 Michal Kubeček
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    Legitimní to samozřejmě je, ale o praktické užitečnosti mám vážné pochybnosti. Aktivity zaměstnanců výše popsané řešení neomezí - stačí jeden kamarád venku a stejně se dostanou, kam budou potřebovat; nemluvě o tom, že kdyby chtěl správce něco omezit, zrovna ICQ (které je zde mezi povolenými) bude na čelních místech. Vnější prostředí by se jednak mělo ochránit samo, jednak každý autor červa, který má rozum, pro komunikaci ven použije právě ty porty, které jsou zde povoleny (jak už jsem psal v minulém příspěvku). A co se vynucení bezpečnostní politiky týká, dokážu si představit omezování toho typu, že např. zakážu TCP provoz ven na port 25, aby pošta ven musela jít přes náš MTA, případně vynucení HTTP provozu přes proxy (s již několikrát zmíněnou výhradou) - jenže popsané řešení opět funguje přesně opačně. Takže ano, za určitých okolností má smysl omezovat provoz zevnitř ven, ale nevidím moc smyslu v tom, aby to někdo dělal tak, jak bylo popsáno v příspěvku tazatele.
    26.12.2004 05:39 sake
    Rozbalit Rozbalit vše Re: mam to spravne? - FireWall
    No, ci ono to obmedzenie nebolo myslene tak, aby napr. zamestnanci nestahovali filmy z P2P sieti a pod. a nezatazovali tym siet.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.