abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 11:55 | Komunita

Vývojový tým OpenSSL ve spolupráci s iniciativou Core Infrastructure konsorcia Linux Foundation spustil proces přelicencování této kryptografické knihovny ze současné licence na licenci Apache Licence v 2.0 (ASLv2). Nová licence usnadní začleňování OpenSSL do dalších svobodných a open source projektů. Všichni dosavadní vývojáři OpenSSL (Authors) obdrží v následujících dnech email s prosbou o souhlas se změnou licence.

Ladislav Hagara | Komentářů: 7
včera 01:11 | Komunita

Před třemi týdny Mozilla.cz představila projekt Photon, jehož cílem je návrh a implementace nového vzhledu Firefoxu. Včera zveřejnila první náhled vzhledu Photon. Práce na projektu Photon jsou rozděleny do pěti týmů, které celkem čítají 19 lidí. Zaměřují se na zlepšení prvního spuštění Firefoxu a zaujetí nových uživatelů, celkovou úpravu vzhledu, zlepšení animací, zrychlení odezvy uživatelského rozhraní a také upravení nabídek. Vývoj lze sledovat v Bugzille.

Ladislav Hagara | Komentářů: 28
23.3. 20:00 | Komunita

OneDrive pro firmy je již ve webových prohlížečích na Linuxu stejně rychlý jako na Windows. Microsoft opravil chybu z listopadu loňského roku. OneDrive pro firmy běžel na Linuxu mnohem pomaleji než na Windows. V popisu chyby bylo uvedeno, že stačilo v prohlížeči na Linuxu nastavit v user-agentu Windows a vše se zrychlilo. Odpovědí Microsoftu bylo (Internet Archive: Wayback Machine), že Linux není podporován. Po bouřlivých diskusích na redditu i Hacker News byla chyba nalezena a opravena.

Ladislav Hagara | Komentářů: 6
23.3. 19:00 | Zajímavý projekt

Byla vyhlášena soutěž Hackaday Prize 2017. Soutěž je určena vývojářům open source hardwaru. Pro výherce je připraveno celkově 250 tisíc dolarů. Každý ze 120 finalistů získá tisíc dolarů. Nejlepší pak navíc 50, 30, 20, 15, 10 a 5 tisíc dolarů. Jedná se již o čtvrtý ročník soutěže. V roce 2014 zvítězil projekt globální sítě open source pozemních satelitních stanic SatNOGS. V roce 2015 zvítězil open source systém pro řízení elektrických invalidních vozíků pohybem očí Eyedriveomatic. V roce 2016 zvítězil modulární robot Dtto.

Ladislav Hagara | Komentářů: 0
23.3. 15:00 | Bezpečnostní upozornění

Byla vydána Samba ve verzích 4.6.1, 4.5.7 a 4.4.12. Řešen je bezpečnostní problém CVE-2017-2619. Pomocí symbolických odkazů a souběhu (symlink race) lze "teoreticky" získat přístup k souborům, které nejsou sdíleny. Linuxové distribuce jsou postupně aktualizovány (Debian).

Ladislav Hagara | Komentářů: 0
23.3. 07:43 | Nová verze

Na Steamu se objevil port hry Arma: Cold War Assault (Operation Flashpoint) pro Mac a Linux. … více »

creon | Komentářů: 29
23.3. 05:55 | Nová verze

Po 18 měsících od vydání verze 8.0 byla vydána verze 9.0 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 0
23.3. 03:33 | Komunita

Platnost posledního patentu souvisejícího s Dolby Digital (AC-3) vypršela. Po MP3 se tak do Fedory oficiálně dostane také kodek AC-3.

Ladislav Hagara | Komentářů: 5
23.3. 00:44 | Komunita

Feral Interactive, společnost zabývající se vydáváním počítačových her pro operační systémy macOS a Linux, nabízí své hry na Steamu vývojářům open source 3D grafické knihovny Mesa zdarma. Podmínkou je minimálně 25 commitů za posledních 5 let. Stejnou nabídku dostali vývojáři knihovny Mesa v roce 2015 od Valve. O rok dříve dostali od Valve tuto nabídku vývojáři Debianu a Ubuntu.

Ladislav Hagara | Komentářů: 0
22.3. 23:55 | Nová verze

Opera 44, verze 44.0.2510.857, byla prohlášena za stabilní. Nejnovější verze tohoto webového prohlížeče je postavena na Chromiu 57. Z novinek vývojáři Opery zdůrazňují podporou Touch Baru na nejnovějších MacBoocích Pro (gif). Přehled novinek pro vývojáře na blogu Dev.Opera.

Ladislav Hagara | Komentářů: 1
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 929 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: povolit pouze pop3 přes maškarádu

    26.2.2005 08:46 Petr Šigut | skóre: 34 | blog: PhaX_blog
    povolit pouze pop3 přes maškarádu
    Přečteno: 166×
    Dobrý den,

    Mám Linuxový stroj a chci přes něj pro vnitřní síť povolit pouze POP3 protokol (a pak SMTP, ale předpokládám, že jen změním porty.)

    Zde uvádím (snad) relevantní část z mého rc.firewall skriptu
    IPTABLES=/usr/sbin/iptables
    
    $IPTABLES -X
    $IPTABLES -F INPUT
    $IPTABLES -F OUTPUT
    $IPTABLES -F FORWARD
    $IPTABLES -F POSTROUTING -t nat
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD DROP
    
    ETH_NET=eth0 # sitovka do netu
    ETH_LAN=eth1 # sitovka do vnitrni site
    
    IP_NET=1.2.3.4 # moje verejna IP
    
    $IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 192.168.0.0/16 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 172.16.0.0/12 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 10.0.0.0/8 -j DROP
    
    $IPTABLES -A INPUT -i lo -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
    
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -j ACCEPT
    
    
    
    $IPTABLES -A INPUT -i $ETH_LAN -p tcp --dport 3128  -j ACCEPT
    $IPTABLES -A INPUT -i $ETH_LAN -p udp --dport 3128  -j ACCEPT
    
    
    
    $IPTABLES -A POSTROUTING -t nat -s 192.168.1.0/255.255.255.0 -o $ETH_NET -j MASQUERADE
    
    
    Nevím kde mám chybu - z vnitřní síťe je povolený squid proxy (kurzíva) a to funguje v pořádku. Taky mám možná trochu zmatek v udp paketech, nevím kde je mám povolit a kdy nemusím

    Děkuji za rady

    Odpovědi

    26.2.2005 09:21 ZAH
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Myslímže jsou chybně pravidla pro forward nemužňuješ navazovat nová spojení. Dle mne chybí state NEW.
    26.2.2005 09:25 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT  
    
    Přidal jsem tam to NEW a stále to bohužel nefunguje.

    Jestli je to podstatné tak ve vnitřní síťi je Win XP a na poštu Thunderbird.

    Díky za odpověd
    26.2.2005 09:45 ZAH
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Tak od začátku. Zavést modul pro maškarádu a pro jistotu i ty ostatní co kdybych za chvíli zkoušel něco jiného.
    # Inicializace databaze modulu
    /sbin/depmod -a
    # Zavedeme moduly pro nestandardni cile
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    
    povolit routování
    # Zapneme routovani paketu
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    Pro první pokusy povolit vše Potom nasadit omezení a prohlížet log.
     # Implicitni politikou je zahazovat nepovolene pakety
    $IPTABLES -P INPUT ACCEPT
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWRD ACCEPT
    
    Povolit maškarádu
    # IP maskarada - SNAT
    $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
    
    Vyzkoušet a ozvat se. Jinak squid je proxy server a ten potřebuje pouze přístup k netu nikoliv routování.
    26.2.2005 10:53 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Implicitní politikou je zahazovat nepovolené pakety, proto nastavujete řetězcům FORWARD a INPUT politiku na ACCEPT? :-)
    26.2.2005 10:07 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Ten stavovy firewall mi prijde zbytecny, kdyz to v nasledujicim prikazu vsechno poustis. Taky si myslim, ze je treba povolit zdrojovy port namisto ciloveho. Treba nejak takto:

    $IPTABLES -A FORWARD -i $ETH_LAN -p tcp --sport 110 -j ACCEPT
    26.2.2005 10:12 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    ted vidim, ze spravne by spis melo byt: -i $ETH_NET
    26.2.2005 10:51 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Proboha, jen to ne, jedině snad jako odstrašující příklad. To je klasická chyba, kdy začátečník v domnění, že povoluje odpovědi na svá POP3 (HTTP, SMTP, …) spojení, povolí jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník zdrojový port 110 (80, 25, …). Právě sem patří stavové pravidlo. Takže např.:

    iptables -P FORWARD DROP
    iptables -F FORWARD
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 113 -j REJECT
    
    26.2.2005 11:40 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Ano, souhlasim co jsem napsal je blbost, ale napadla mi doplnujici otazka. Muze povoleny forward nejakym zpusobem ohrozit sit za NATem? Pokud ano, tak jakym.
    26.2.2005 12:16 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Díky za vaše rady, ale stále asi někde dělám chybu, zavádím teď takovéto pravidla:
    IPTABLES=/usr/sbin/iptables
    
    /sbin/depmod -a
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    
    ETH_NET=eth0 # sitovka do netu
    ETH_LAN=eth1 # sitovka do vnitrni site
    
    IP_NET=1.2.3.4 # moje verejna IP
    
    
    $IPTABLES -X
    $IPTABLES -F INPUT
    $IPTABLES -F OUTPUT
    $IPTABLES -F FORWARD
    $IPTABLES -F POSTROUTING -t nat
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD DROP
    
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
    
    $IPTABLES -A INPUT -i lo -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_LAN -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -p udp -d $IP_NET --dport 9176 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH_NET -p tcp -d $IP_NET --dport 9176 -j ACCEPT
    
    A přijímání pošty stále nefunguje, když změním policy u FORWARD na accept, tak funguje.

    Díky
    26.2.2005 12:19 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    A ještě:
    cat /proc/sys/net/ipv4/ip_forward
    1
    26.2.2005 12:37 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Zkus vypustit '-o $ETH_NET' v chainu FORWARD, toto se deje pred NATem, a nejsem si jist zda paket tusi kterym rozhranim pujde ven.
    26.2.2005 12:47 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Vypustil jsem to:
    $IPTABLES -A FORWARD -i $ETH_LAN -p tcp --dport 110 -j ACCEPT
    
    Ale stále to nefunguje...

    Dík
    26.2.2005 12:48 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    To samozřejmě ví, na konci se přepisuje zdrojová adresa, která na to nemá vliv.
    26.2.2005 12:52 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Pokud přidáte ještě ten překlad adres, nevidím důvod, proč by to nemělo fungovat. Zkuste tcpdump na vnitřním a vnějším rozhraní, případně zapnout logování všech zahozených paketů, abyste zjistil, kde to mizí. Nebude to nějaký trapný problém typu nefunkčních DNS dotazů?
    26.2.2005 13:06 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Ano, přidal jsem ten překlad a už to funguje:
    $IPTABLES -t nat -A POSTROUTING -o $ETH_NET -j SNAT --to $IP_NET
    
    Díky moc všem za pomoc!

    Kdybyste někdo věděli o nějaké hezké knížce o iptables (nejradši česky, pak anglicky) rád bych si ji koupil.

    Mějte se
    26.2.2005 11:01 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    UDP komunikaci povolte jen tam, kde ji potřebujete povolit. POP3 ani HTTP proxy to rozhodně nejsou. Z běžně používaných služeb vás bude zajímat asi jen DNS (pozor, tam je to TCP i UDP) a NTP.

    Pokud to máte opravdu takto, squid vám na vnitřním rozhraní nemá šanci fungovat, protože propustíte pouze SYN paket (ESTABLISHED pouštíte jen zvenku). O dalších chybách (v tučné části vždy druhé pravidlo zahrnuje všechno co první, takže první je zbytečné) už se tu mluvilo.

    A jedna metodická poznámka: názvy tabulek naznačují, k čemu slouží. Tedy filter k filtraci paketů, nat k překladu adres a mangle k dalším manipulacím s pakety (které nespadají pod NAT). Filtrovat v tabulce nat můžete sice v zásadě také, ale není to příliš šťastné.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.