Přihlášení | Registrace

napište » Zprávičky

Open source webový aplikační framework Django slaví 20. narozeniny

včera 22:22 | Komunita

Open source webový aplikační framework Django slaví 20. narozeniny.

DebConf25

včera 16:11 | Komunita

V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0

Před 30 lety se začala používat přípona .mp3

včera 11:33 | IT novinky

Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

Ladislav Hagara | Komentářů: 15

Commodore 64 Ultimate

včera 10:55 | IT novinky

Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

Ladislav Hagara | Komentářů: 16

Reachy Mini, open source robot od Hugging Face

13.7. 17:55 | Zajímavý projekt

Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

Ladislav Hagara | Komentářů: 11

Počítačová hra DOGWALK

11.7. 16:44 | Komunita

Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

Ladislav Hagara | Komentářů: 3

AI řešení náboru pracovníku pro McDonald's mělo přihlašovací jméno 123456 a heslo 123456

11.7. 14:55 | Humor

McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

Ladislav Hagara | Komentářů: 16

Visual Studio Code a VSCodium 1.102

11.7. 00:11 | Nová verze

Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Apache HTTP Server (httpd) 2.4.64 řeší 8 bezpečnostních chyb

10.7. 21:00 | Bezpečnostní upozornění

Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 4

Grok 4

10.7. 15:22 | Nová verze

Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.

Ladislav Hagara | Komentářů: 12

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (59%)

python (26%)

perl (7%)

powershell (3%)

batch (1%)

vbscript (1%)

jiný, uvedu v diskusi (4%)

Celkem 393 hlasů

Komentářů: 16, poslední 8.6. 21:05

Rozcestník

AbcLinuxu

HDmag.cz

Administrace komentářů

Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

Příspěvek

10.3.2022 17:14 Filip | skóre: 2
Rozbalit Rozbalit vše Re: Nftables revize

Ahoj, pravidla prikladam. Jen trochu zasnu jak se to tu agresivne resi a radi. Ja nedelam zadny enterprise firewall. Mam pro svuj domaci home lab. Zelezo na kterem to bezi je od Pcengines APU4D4 a debian 11 netinst. Samozrejme pokud bych nechtel nic resit a mit pekne klikaci rozhrani nainstaluji na to pfsense a neresim nic. Ja jdu cestou neco se naucit a pochopit to co bezi na tom podkladu. Tak tady je ten firewall. Mám více modifikovanou struktura dle tohoto:

https://wiki.nftables.org/wiki-nftables/index.php/Classic_perimetral_firewall_example

/etc/nftables.conf slouzi jako globalni rozcestnik.

#!/usr/sbin/nft -f

flush ruleset

include "/etc/nftables/defines.nft"
include "/etc/nftables/set-intdev.nft"

# The main table
table inet filter {
#	include "/etc/nftables/nftables-geoip/geoip-def-all.nft"
#	include "/etc/nftables/nftables-geoip/geoip-ipv4.nft"
#	include "/etc/nftables/nftables-geoip/geoip-ipv6.nft"

#chain geoip-mark-input {
#                type filter hook input priority -1; policy accept;
#		meta mark set ip saddr map @geoip4
#                meta mark set ip6 saddr map @geoip6
#	counter
#        }

	chain global {
		iif lo accept comment "povoleni loopback"
		#iif != lo ip daddr 127.0.0.1/8 counter drop
		ct state invalid counter drop
		ct state established,related counter accept
		meta l4proto ipv6-icmp icmpv6 type { echo-request, destination-unreachable, packet-too-big, time-exceeded, parameter-problem, mld-listener-query, mld-listener-report, mld-listener-reduction, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld2-listener-report } counter accept comment "Accept ICMPv6"
		meta l4proto icmp icmp type { echo-request, destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } counter accept comment "Accept ICMP"
		ip protocol igmp counter accept
		udp dport { mdns, domain } counter accept
	counter comment "Count any other traffic"
	}

	include "/etc/nftables/inet-filter-sets.nft"
	include "/etc/nftables/inet-filter-chain-local.nft"
        include "/etc/nftables/inet-filter-chain-forward.nft"
	include "/etc/nftables/inet-filter-chain-nat.nft"
 }

Pok se jiz skace do ostatnich retezcu a znich zpet do tabulky inet filter. Zahesovane include s geoip chain geoip mam dle navodu ale jeste neaplikuji. Samotna blokace adres by se provadela az v retezci inet-filter.chain-local.nft:

hain input {
        type filter hook input priority 0 ; policy drop;
        jump global
	# Country geo-blockation rules for input.
	#meta mark { $RU, $BY } log prefix "RU,BY_block: " counter drop comment "Block Russia and Belarus public IPs range"
	# Allow ssh to firewall for allowed nets.
	ip saddr @Allowed_Nets ct state new tcp dport { ssh } meter ssh-meter4 {ip saddr limit rate 10/minute burst 15 packets} log prefix "SSH_IN:" counter  accept comment "SSH_In: "
	# Allow Wireguard vpn in to firewall.
	ct state new udp dport { 51820 } log prefix "WireguardIn: " counter accept comment "WireguardAccessIn"
	# Allow Openvpn in to firewall.
	ct state new udp dport { openvpn } log prefix "OpenvpnIn: " counter accept comment "OpenvpnAccessIn"
	# Allow ntp sync for lan network.
	ip saddr { $net_lan, $net_wg, $net_ovpn, $net_dmz } ct state new udp dport { ntp } counter accept comment "NTpSyncLanIn" 
	# Allow iperf speed test to router for both UDP/TCP packets and from allowed nets.
	ip saddr @Allowed_Nets ct state new udp dport { 5201 } counter accept comment "IperfSpeedTest"
	ip saddr @Allowed_Nets ct state new tcp dport { 5201 } counter accept comment "IperfSpeedTest"
	# Allow DHCP requests/discovery on firewall.
	udp sport bootpc udp dport bootps ip saddr 0.0.0.0 ip daddr 255.255.255.255 counter accept comment "Accept DHCPDISCOVER (for DHCP)"
	# Allow Netdata for allowed nets.
	ip saddr { $net_lan, $net_wg, $net_vlan, $net_ovpn } ct state new tcp dport { 19999 } log prefix "Netdata_In: " counter accept comment "NetdataAccess"
	# All other traffic is drop.
	counter comment "CountAllOtherTraffic"
}

chain output {
        type filter hook output priority 0 ; policy drop;
        jump global
        # your rules for traffic originated from the firewall itself here
	counter accept
}

Toto je retezec kde jdou pravidle na firewall "it self" hned prvni pravidlo by blokovala dane rozsahy (Rusko,Cina). Je to takto providetelne aby to skvencne davalo smysl ? Dekuji za rady.

V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

Offtopic diskuse použijte pro diskusi mimo záběr našeho portálu (včelařství, windows), která by měla být smazána.
Duplicitní diskuse je určena pro případ, kdy uživatel odeslal svůj dotaz několikrát.
Návrh na cenzuru použijte, pokud komentář obsahuje urážky, vulgarismy nebo porušuje zákony.
Návrh na smazání komentáře je velmi neobvyklá akce používaná obvykle při nepovolené reklamě či spamu, výkřicích psychicky nemocných jedinců (ještírci) nebo pro smazání duplikátních komentářů.
Oprava formátování je žádost pro úpravu formy příspěvku, například pokud někdo píše bez odstavců nebo použije PRE pro celý komentář. Žádosti o změnu obsahu budou zamítnuty.

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje

Vaše jméno
Váš email
Typ požadavku

Slovní popis