abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 20:40 | Zajímavý článek

Lukáš Růžička v článku S Hydrogenem za lepší rytmus aneb bubeníkem snadno a rychle na MojeFedora.cz představuje automatického bubeníka s názvem Hydrogen (Wikipedie): Hydrogen je velmi vydařený program, který rozhodně nesmí chybět ve výbavě žádného linuxového muzikanta. Umožňuje nejen vytváření jednoduchých bicích doprovodů, ale také sofistikované programování bicích a perkusí, jehož výsledek se naprosto vyrovná drahým

… více »
Ladislav Hagara | Komentářů: 0
včera 13:55 | Zajímavý projekt

UPSat (Twitter) je první open source nanodružice (CubeSat). Jedná se o společný projekt nadace Libre Space Foundation a University of Patras. Repozitáře projektu jsou k dispozici na GitHubu. Pod Libre Space Foundation patří také projekt SatNOGS (zprávička), projekt globální sítě open source pozemních satelitních stanic, vítězný projekt soutěže The Hackaday Prize 2014. UPSat je součástí mise QB50 (Twitter). ID UPSatu je GR02. GPS přijímač na UPSatu je od české společnosti SkyFox Labs. Součástí mise QB50 je i česká nanodružice VZLUSAT-1 s ID CZ02.

Ladislav Hagara | Komentářů: 3
21.4. 15:00 | Komunita

V diskusním listu Thunderbird planning vývojáři poštovního klienta Thunderbird řeší, zda by nebylo možné budoucí Thunderbird postavit nad webovými technologiemi, tj. nad Electronem, stejně jako například Nylas Mail. Gecko, nad kterým je Thunderbird postaven, se má hodně změnit. V plánu je odstranění vlastností, které Firefox už nepotřebuje, ale Thunderbird je na nich závislý [Hacker News, reddit].

Ladislav Hagara | Komentářů: 83
21.4. 10:22 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 299 bezpečnostních chyb. V Oracle Java SE je například opraveno 8 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 7 z nich. V Oracle MySQL je opraveno 39 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 11 z nich.

Ladislav Hagara | Komentářů: 6
21.4. 10:00 | Pozvánky

V úterý 25. dubna proběhne další Prague Containers Meetup. Přijďte se nechat inspirovat jak zlepšit build/delivery pipeline vašich kontejnerových aplikací.

little-drunk-jesus | Komentářů: 2
20.4. 21:33 | Komunita

Na Launchpadu se objevilo kódové jméno následující verze Ubuntu. Ubuntu 17.10 bude Artful Aardvark (mazaný hrabáč) [OMG! Ubuntu!].

Ladislav Hagara | Komentářů: 10
20.4. 20:11 | Zajímavý software

MojeFedora.cz informuje, že společnost Nylas oznámila vydání verze 2.0 poštovního klienta Nylas Mail (původně Nylas N1), která již plně podporuje Linux. Obchodní model společnosti je tzv. open core. Samotný klient je open source, ale uživatel si musí připlatit za některé pokročilé funkce. V základu se lze připojit k GMailu nebo libovolnému účtu přes IMAP. Podpora Exchange je pouze v placené verzi. Klient je napsaný nad Electronem.

Ladislav Hagara | Komentářů: 12
20.4. 15:55 | Zajímavý článek

České centrum pro investigativní žurnalistiku (ČCIŽ) publikovalo na svých stránkách článek s názvem Je česká státní správa „rukojmím Microsoftu“?. Drtivá většina české veřejné správy je závislá na výrobcích softwarového gigantu Microsoft – a nijak zvlášť jí to nevadí.

Ladislav Hagara | Komentářů: 18
20.4. 02:48 | Nová verze

Google Chrome 58 byl prohlášen za stabilní. Nejnovější stabilní verze 58.0.3029.81 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo 29 bezpečnostních chyb. Mezi nimi i chyba umožňující phishing s unicode doménami.

Ladislav Hagara | Komentářů: 0
19.4. 22:44 | Nová verze

Po šesti týdnech od vydání verze 52.0 byla vydána verze 53.0 webového prohlížeče Mozilla Firefox. Z novinek lze upozornit například na nové kompaktní vzhledy – tmavý z Firefoxu Developer Edition a jeho světlá varianta. Na Linuxu byla ukončena podpora procesorů starších než Pentium 4 a AMD Opteron. Podrobné informace v poznámkách k vydání a na stránce věnované vývojářům. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 11
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (35%)
 (0%)
 (7%)
 (45%)
 (10%)
Celkem 273 hlasů
 Komentářů: 31, poslední 20.4. 21:26
    Rozcestník

    Dotaz: povolit pouze pop3 přes maškarádu

    26.2.2005 08:46 Petr Šigut | skóre: 34 | blog: PhaX_blog
    povolit pouze pop3 přes maškarádu
    Přečteno: 166×
    Dobrý den,

    Mám Linuxový stroj a chci přes něj pro vnitřní síť povolit pouze POP3 protokol (a pak SMTP, ale předpokládám, že jen změním porty.)

    Zde uvádím (snad) relevantní část z mého rc.firewall skriptu
    IPTABLES=/usr/sbin/iptables
    
    $IPTABLES -X
    $IPTABLES -F INPUT
    $IPTABLES -F OUTPUT
    $IPTABLES -F FORWARD
    $IPTABLES -F POSTROUTING -t nat
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD DROP
    
    ETH_NET=eth0 # sitovka do netu
    ETH_LAN=eth1 # sitovka do vnitrni site
    
    IP_NET=1.2.3.4 # moje verejna IP
    
    $IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 192.168.0.0/16 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 172.16.0.0/12 -j DROP
    $IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 10.0.0.0/8 -j DROP
    
    $IPTABLES -A INPUT -i lo -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
    
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -j ACCEPT
    
    
    
    $IPTABLES -A INPUT -i $ETH_LAN -p tcp --dport 3128  -j ACCEPT
    $IPTABLES -A INPUT -i $ETH_LAN -p udp --dport 3128  -j ACCEPT
    
    
    
    $IPTABLES -A POSTROUTING -t nat -s 192.168.1.0/255.255.255.0 -o $ETH_NET -j MASQUERADE
    
    
    Nevím kde mám chybu - z vnitřní síťe je povolený squid proxy (kurzíva) a to funguje v pořádku. Taky mám možná trochu zmatek v udp paketech, nevím kde je mám povolit a kdy nemusím

    Děkuji za rady

    Odpovědi

    26.2.2005 09:21 ZAH
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Myslímže jsou chybně pravidla pro forward nemužňuješ navazovat nová spojení. Dle mne chybí state NEW.
    26.2.2005 09:25 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT  
    
    Přidal jsem tam to NEW a stále to bohužel nefunguje.

    Jestli je to podstatné tak ve vnitřní síťi je Win XP a na poštu Thunderbird.

    Díky za odpověd
    26.2.2005 09:45 ZAH
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Tak od začátku. Zavést modul pro maškarádu a pro jistotu i ty ostatní co kdybych za chvíli zkoušel něco jiného.
    # Inicializace databaze modulu
    /sbin/depmod -a
    # Zavedeme moduly pro nestandardni cile
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    
    povolit routování
    # Zapneme routovani paketu
    echo "1" > /proc/sys/net/ipv4/ip_forward
    
    Pro první pokusy povolit vše Potom nasadit omezení a prohlížet log.
     # Implicitni politikou je zahazovat nepovolene pakety
    $IPTABLES -P INPUT ACCEPT
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWRD ACCEPT
    
    Povolit maškarádu
    # IP maskarada - SNAT
    $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
    
    Vyzkoušet a ozvat se. Jinak squid je proxy server a ten potřebuje pouze přístup k netu nikoliv routování.
    26.2.2005 10:53 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Implicitní politikou je zahazovat nepovolené pakety, proto nastavujete řetězcům FORWARD a INPUT politiku na ACCEPT? :-)
    26.2.2005 10:07 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Ten stavovy firewall mi prijde zbytecny, kdyz to v nasledujicim prikazu vsechno poustis. Taky si myslim, ze je treba povolit zdrojovy port namisto ciloveho. Treba nejak takto:

    $IPTABLES -A FORWARD -i $ETH_LAN -p tcp --sport 110 -j ACCEPT
    26.2.2005 10:12 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    ted vidim, ze spravne by spis melo byt: -i $ETH_NET
    26.2.2005 10:51 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Proboha, jen to ne, jedině snad jako odstrašující příklad. To je klasická chyba, kdy začátečník v domnění, že povoluje odpovědi na svá POP3 (HTTP, SMTP, …) spojení, povolí jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník zdrojový port 110 (80, 25, …). Právě sem patří stavové pravidlo. Takže např.:

    iptables -P FORWARD DROP
    iptables -F FORWARD
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 113 -j REJECT
    
    26.2.2005 11:40 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Ano, souhlasim co jsem napsal je blbost, ale napadla mi doplnujici otazka. Muze povoleny forward nejakym zpusobem ohrozit sit za NATem? Pokud ano, tak jakym.
    26.2.2005 12:16 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Díky za vaše rady, ale stále asi někde dělám chybu, zavádím teď takovéto pravidla:
    IPTABLES=/usr/sbin/iptables
    
    /sbin/depmod -a
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    
    ETH_NET=eth0 # sitovka do netu
    ETH_LAN=eth1 # sitovka do vnitrni site
    
    IP_NET=1.2.3.4 # moje verejna IP
    
    
    $IPTABLES -X
    $IPTABLES -F INPUT
    $IPTABLES -F OUTPUT
    $IPTABLES -F FORWARD
    $IPTABLES -F POSTROUTING -t nat
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD DROP
    
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
    
    $IPTABLES -A INPUT -i lo -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_LAN -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
    
    $IPTABLES -A INPUT -i $ETH_NET -p udp -d $IP_NET --dport 9176 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH_NET -p tcp -d $IP_NET --dport 9176 -j ACCEPT
    
    A přijímání pošty stále nefunguje, když změním policy u FORWARD na accept, tak funguje.

    Díky
    26.2.2005 12:19 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    A ještě:
    cat /proc/sys/net/ipv4/ip_forward
    1
    26.2.2005 12:37 ttt
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Zkus vypustit '-o $ETH_NET' v chainu FORWARD, toto se deje pred NATem, a nejsem si jist zda paket tusi kterym rozhranim pujde ven.
    26.2.2005 12:47 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Vypustil jsem to:
    $IPTABLES -A FORWARD -i $ETH_LAN -p tcp --dport 110 -j ACCEPT
    
    Ale stále to nefunguje...

    Dík
    26.2.2005 12:48 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    To samozřejmě ví, na konci se přepisuje zdrojová adresa, která na to nemá vliv.
    26.2.2005 12:52 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Pokud přidáte ještě ten překlad adres, nevidím důvod, proč by to nemělo fungovat. Zkuste tcpdump na vnitřním a vnějším rozhraní, případně zapnout logování všech zahozených paketů, abyste zjistil, kde to mizí. Nebude to nějaký trapný problém typu nefunkčních DNS dotazů?
    26.2.2005 13:06 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    Ano, přidal jsem ten překlad a už to funguje:
    $IPTABLES -t nat -A POSTROUTING -o $ETH_NET -j SNAT --to $IP_NET
    
    Díky moc všem za pomoc!

    Kdybyste někdo věděli o nějaké hezké knížce o iptables (nejradši česky, pak anglicky) rád bych si ji koupil.

    Mějte se
    26.2.2005 11:01 Michal Kubeček
    Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
    UDP komunikaci povolte jen tam, kde ji potřebujete povolit. POP3 ani HTTP proxy to rozhodně nejsou. Z běžně používaných služeb vás bude zajímat asi jen DNS (pozor, tam je to TCP i UDP) a NTP.

    Pokud to máte opravdu takto, squid vám na vnitřním rozhraní nemá šanci fungovat, protože propustíte pouze SYN paket (ESTABLISHED pouštíte jen zvenku). O dalších chybách (v tučné části vždy druhé pravidlo zahrnuje všechno co první, takže první je zbytečné) už se tu mluvilo.

    A jedna metodická poznámka: názvy tabulek naznačují, k čemu slouží. Tedy filter k filtraci paketů, nat k překladu adres a mangle k dalším manipulacím s pakety (které nespadají pod NAT). Filtrovat v tabulce nat můžete sice v zásadě také, ale není to příliš šťastné.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.