abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:22 | Komunita

Společnost Purism představila kryptografický token Librem Key. Koupit jej lze za 59 dolarů. Token byl vyvinut ve spolupráci se společností Nitrokey a poskytuje jak OpenPGP čipovou kartu, tak zabezpečení bootování notebooků Librem a také dalších notebooků s open source firmwarem Heads.

Ladislav Hagara | Komentářů: 0
včera 20:33 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 10.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 20:00 | Upozornění

Příspěvek Jak přežít plánovanou údržbu DNS na blogu zaměstnanců CZ.NIC upozorňuje na historicky poprvé podepsání DNS root zóny novým klíčem dne 11. října 2018 v 18:00. Software, který nebude po tomto okamžiku obsahovat nový DNSSEC root klíč, nebude schopen resolvovat žádná data. Druhým důležitým datem je 1. února 2019, kdy významní výrobci DNS softwaru, také historicky poprvé, přestanou podporovat servery, které porušují DNS standard

… více »
Ladislav Hagara | Komentářů: 4
včera 15:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 156. brněnský sraz, který proběhne v pátek 21. září od 18:00 v restauraci Na Purkyňce na adrese Purkyňova 80.

Ladislav Hagara | Komentářů: 0
včera 13:22 | Nová verze

Alan Griffiths z Canonicalu oznámil vydání verze 1.0.0 display serveru Mir (GitHub, Wikipedie). Mir byl představen v březnu 2013 jako náhrada X serveru a alternativa k Waylandu. Dnes Mir běží nad Waylandem a cílen je na internet věcí (IoT).

Ladislav Hagara | Komentářů: 0
20.9. 22:00 | Nasazení Linuxu
Stabilní aktualizace Chrome OS 69 (resp. Chromium OS), konkrétně 69.0.3497.95, přináší mj. podporu linuxových aplikací. Implementována je pomocí virtualizace, a proto je tato funkce také omezena na zařízení s dostatkem paměti a podporou hardwarové akcelerace, tudíž nejsou podporovány chromebooky s 32bitovými architekturami ARM, či Intel Bay Trail (tzn. bez Intel VT-x).
Fluttershy, yay! | Komentářů: 5
20.9. 21:32 | Zajímavý projekt
Došlo k uvolnění linuxové distribuce CLIP OS, vyvíjené francouzským úřadem pro kybernetickou bezpečnost ANSSI, jako open source. Vznikla za účelem nasazení v úřadech, kde je potřeba omezit přístup k důvěrným datům. Je založená na Gentoo.
Fluttershy, yay! | Komentářů: 1
20.9. 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 12
20.9. 12:22 | Nová verze

V dubnu letošního roku Mozilla představila webový prohlížeč pro rozšířenou a virtuální realitu Firefox Reality (GitHub). V úterý oznámila vydání verze 1.0. Ukázka na YouTube. Firefox Reality je k dispozici pro Viveport, Oculus a Daydream.

Ladislav Hagara | Komentářů: 2
20.9. 12:00 | Komunita

V srpnu loňského roku společnost Oracle oznámila, že Java EE (Enterprise Edition) bude uvolněna jako open source. O měsíc později bylo rozhodnuto, že tato open source Java EE bude přejmenována a předána Eclipse Foundation. Nové jméno bylo oznámeno v únoru letošního roku. Z Java EE se stala Jakarta EE. Eclipse Foundation včera oznámila dosažení dalšího milníku. Zdrojové kódy aplikačního serveru GlassFish jsou již k dispozici v git repozitářích Eclipse Foundation (GitHub).

Ladislav Hagara | Komentářů: 0
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (14%)
 (21%)
 (23%)
 (25%)
 (4%)
 (1%)
Celkem 384 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník

Dotaz: Nastavení HTB

12.5.2005 10:45 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Nastavení HTB
Přečteno: 200×
Zdravim, nevim si rady s nastaveni HTB. postup dle http://www.root.cz/clanky/htb-jemny-uvod

Diky moc za pomoc.

Mam FC1, Iptables, Iproute.

Muj skript:
#!/bin/sh
tc qdisc del dev ppp0 root
tc qdisc add dev ppp0 root handle 1:0 htb default 14

tc class add dev ppp0 parent 1:0 classid 1:1 htb rate 600kbit
tc class add dev ppp0 parent 1:0 classid 1:11 htb rate 128kbit ceil 500kbit
tc class add dev ppp0 parent 1:0 classid 1:12 htb rate 128kbit ceil 256kbit
tc class add dev ppp0 parent 1:0 classid 1:13 htb rate 128kbit ceil 256kbit
tc class add dev ppp0 parent 1:0 classid 1:14 htb rate 128kbit ceil 256kbit

tc qdisc add dev ppp0 parent 1:11 handle 11:0 sfq perturb 10
tc qdisc add dev ppp0 parent 1:11 handle 12:0 sfq perturb 10
tc qdisc add dev ppp0 parent 1:11 handle 13:0 sfq perturb 10
tc qdisc add dev ppp0 parent 1:11 handle 14:0 sfq perturb 10

iptables -t mangle -A POSTROUTING -j MARK --set-mark 4
iptables -t mangle -A POSTROUTING -d 192.168.0.36 -j MARK --set-mark 1
iptables -t mangle -A POSTROUTING -d 192.168.0.18 -j MARK --set-mark 2

tc filter ad dev ppp0 parent 1:0 protocol ip handle 1 fw flowid 1:11
tc filter ad dev ppp0 parent 1:0 protocol ip handle 2 fw flowid 1:12 
Muj firewall:
#!/bin/sh
if ping -w 3 10.0.0.138 ; then
pptp 10.0.0.138
fi

route del default gw `route -n|awk '$1=="0.0.0.0" {print $2}'|head -1`
route add default gw `ifconfig ppp0|grep "P-t-P"|awk '{print $3}'|cut -d ':' -f2`


IPTABLES=iptables
PATH="/sbin"

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_MASQUERADE

iptables -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -X
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t mangle -X
iptables -t mangle -F OUTPUT
iptables -t mangle -F PREROUTING



#Zapneme routovani packetu
echo "1" > /proc/sys/net/ipv4/ip_forward

# IMPLICITNI POLITIKA> ZAHAZUJEME VSECHNY PACKETY

#Zamezeni spoofingu
#for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
#  echo "1" > ${interface}
#done

#MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to 200.200.200.200

#Tos flagy slouzi k optimalizaci datovych cest. Pro ssh,ftp a telnet
iptables -t mangle -A PREROUTING -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
iptables -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
iptables -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
iptables -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
iptables -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput

iptables -N logdrop
iptables -F logdrop
iptables -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Log droop :" --log-level 6
iptables -A logdrop -j DROP


#kontrola nesmyslne IP
iptables -N IN_FW
iptables -F IN_FW
iptables -A IN_FW -s 172.16.0.0/12 -j logdrop

#ochrana pred synfloodingem

##iptables -N syn-flood
##iptables -F syn-flood
##iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
##iptables -A syn-flood -j DROP

#Paket je sice oznacen jako new, ale nema nastavenz priznak SYN pryc s nim
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP


#Routing zevnitr ven neomezujem
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -j ACCEPT


# routing zvenku dovnitr pouze pro navazana spojeni
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Sluzba AUTH se nefiltruje DROP,ale genuruje se ICMP chybova zprava
iptables -A INPUT -i ppp0 -p tcp --dport 113 -j REJECT --reject-with tcp-reset

#ostatni packety zahozeny
iptables -A FORWARD -m limit --limit 12/h -j LOG --log-prefix "FORWARD drop: " --log-level 6

#Retezce INPUT

iptables -A INPUT -i ppp0 -p tcp ! --syn -m state --state NEW -j DROP

#LOOPBACK
iptables -A INPUT -p icmp -i lo -j ACCEPT


#Loopback neni radno omezovat
iptables -A INPUT -i lo -j ACCEPT

#Zbavime se nezadoucich adres
iptables -A INPUT -j IN_FW

#Odfiltrovat zahlceni ICPM pakety

##iptables -A INPUT -p icmp -j syn-flood
##iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

#Pakety od navazanych spojenijsou OK
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#taktez packety v siti
iptables -A INPUT -i eth1 -d 192.168.1.2 -j ACCEPT
iptables -A INPUT -i eth1 -d 192.168.0.50 -j ACCEPT
#iptables -A INPUT -i eth1 -d 213.210.175.67 -j ACCEPT
iptables -A INPUT -i eth0 -d 10.0.0.5 -j ACCEPT

#INPUT POTRTY
#ptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 193.85.241.156 -j ACCEPT #prozatim vsechny
iptables -A INPUT -i ppp0 -p tcp -s 83.208.155.1 -j ACCEPT


iptables -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 110 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp -i eth1 --dport 67 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 67 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 68 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 68 -j ACCEPT

iptables -A INPUT -p tcp -i eth1 --dport 137 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 138 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 139 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 137 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 138 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 139 -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT


#Propoustime pouze vybrane ICMP zpravy
iptables -A INPUT -i ppp0 -p ICMP --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i ppp0 -p ICMP --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i ppp0 -p ICMP --icmp-type echo-request -j ACCEPT
iptables -A INPUT -i ppp0 -p ICMP --icmp-type time-exceeded -j ACCEPT

#output

iptables -t mangle -A OUTPUT -o ppp0 -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --sport 3389 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 3389 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport ftp -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -s 192.168.0.50 -j ACCEPT
iptables -A OUTPUT -s 192.18.0.200 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.2 -j ACCEPT
iptables -A OUTPUT -s 213.210.175.67 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 10.0.0.5 -j ACCEPT
Taky si udělám nějakou studii.

Odpovědi

12.5.2005 11:24 Petr Dvořáček
Rozbalit Rozbalit vše Re: Nastavení HTB
http://www.abclinuxu.cz/forum/show/80835

PS: Na FC1 to běží taky.
12.5.2005 11:38 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: Nastavení HTB
Dikec, otazku povazuju za zodpovezenou. Snad to klapne.

Jeste jednou diky.
Taky si udělám nějakou studii.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.