Vědci z univerzity La Sapienza v Římě vyvinuli systém, který dokáže identifikovat jednotlivce pouze na základě toho, jak narušují signály Wi-Fi. Autoři tuto novou technologii nazvali WhoFi. Na rozdíl od tradičních biometrických systémů, jako jsou skenery otisků prstů a rozpoznávání obličeje, nevyžaduje tato metoda přímý fyzický kontakt ani vizuální vstupy. WhoFi může také sledovat jednotlivce na větší ploše než kamera s pevnou polohou; stačí, je-li k dispozici Wi-Fi síť.
SuperTux (Wikipedie), tj. klasická 2D plošinovka inspirovaná sérií Super Mario, byl vydán v nové verzi 0.7.0. Videoukázka na YouTube. Hrát lze i ve webovém prohlížeči.
Ageless Linux je linuxová distribuce vytvořená jako politický protest proti kalifornskému zákonu o věkovém ověřování uživatelů na úrovni OS (AB 1043). Kromě běžného instalačního obrazu je k dispozici i konverzní skript, který kompatibilní systém označí za Ageless Linux a levné jednodeskové počítače v ceně 12$ s předinstalovaným Ageless Linuxem, které se chystají autoři projektu dávat dětem. Ageless Linux je registrován jako operační
… více »PimpMyGRC upravuje vzhled toolkitu GNU Radio a přidává alternativní barevná témata. Primárním cílem autora bylo pouze vytvořit tmavé prostředí vhodné pro noční práci, nicméně k dispozici je nakonec celá škála barevných schémat včetně možností různých animací a vizuálních efektů (plameny, matrix, bubliny...), které nepochybně posunou uživatelský zážitek na zcela jinou úroveň. Témata jsou skripty v jazyce Python, které nahrazují
… více »GIMP 3.2 byl oficiálně vydán (Mastodon, 𝕏). Přehled novinek v poznámkách k vydání.
FRANK OS je open-source operační systém pro mikrokontrolér RP2350 (s FRANK M2 board) postavený na FreeRTOS, který přetváří tento levný čip na plně funkční počítač s desktopovým uživatelským rozhraním ve stylu Windows 95 se správcem oken, terminálem, prohlížečem souborů a knihovnou aplikací, ovládaný PS/2 myší a klávesnicí, s DVI video výstupem. Otázkou zůstává, zda by 520 KB SRAM stačilo každému 😅.
Administrativa amerického prezidenta Donalda Trumpa by měla dostat zhruba deset miliard dolarů (asi 214 miliard Kč) za zprostředkování dohody o převzetí kontroly nad aktivitami sociální sítě TikTok ve Spojených státech.
Projekt Debian aktualizoval obrazy stabilní větve „Trixie“ (13.4). Shrnuje opravy za poslední dva měsíce, 111 aktualizovaných balíčků a 67 bezpečnostních hlášení. Opravy se týkají mj. chyb v glibc nebo webovém serveru Apache.
Agent umělé inteligence Claude Opus ignoroval uživatelovu odpověď 'ne' na dotaz, zda má implementovat změny kódu, a přesto se pokusil změny provést. Agent si odpověď 'ne' vysvětlil následovně: Uživatel na mou otázku 'Mám to implementovat?' odpověděl 'ne' - ale když se podívám na kontext, myslím, že tím 'ne' odpovídá na to, abych žádal o svolení, tedy myslí 'prostě to udělej, přestaň se ptát'.
Po 8. květnu 2026 už na Instagramu nebudou podporované zprávy opatřené koncovým šifrováním. V chatech, kterých se bude změna týkat, se objeví pokyny o tom, jak si média nebo zprávy z nich stáhnout, pokud si je chcete ponechat.
8.6.2010 19:00
| Přečteno: 1815×
| Počítače
| 
| poslední úprava: 8.6.2010 17:40
Soubor skriptů pro nastavení pravidel firewallu
Pro nastavování pravidel do firewallu jsem si udělal sadu jednoduchých a přehledných skriptů. Pravidla mohou být u velké sítě dost složitá. Častý bývá požadavek snadného přenosu těchto pravidel na jiný počítač, například na pobočce. Pravidla bývají v takovém případě podobná, mění se pouze nastavení ip adres a podobně.
Nastavovat pravidla přes klikací prostředí samozřejmě je možné (například kmyfirewall), ale i zde se ztrácí přehlednost, nastavit složitější věci je extrémně pracné, a v neposlední řadě nelze taková pravidla spravovat v nějakém verzovacím systému - nelze se snadno vrátit k předchozímu stavu.
Klikadla pro nastavení všeho možného navíc všeobecně trpí dvěma neduhy: nic nelze zdokumentovat přímo na místě (příklad: registr windows) a odstranění nějakého pravidla "na zkoušku" s tím, že když se to neosvědčí, obnoví se původní stav, není možné (příklad: registr windows). V textových skriptech je možná jak dokumentace, tak podmíněné zpracování kusu kódu, případně zakomentování kódu.
V dobách dřevěných jsem nastavoval pravidla v jenom velkém souboru. Přehlednost s rostoucí složitostí vzala rychle za své. Časem jsem vypracoval systém podobný systému popsanému v tomto článku, jeho nevýhodou však byla filosofie "Jedno pravidlo - jeden soubor". Protože například transparentní přístup na IMAP server je potřeba nastavovat v NAT (dvakrát - jednou pro vnitřní síť a jednou pro internet) a ve FORWARD pravidlech taky dvakrát (zvenku dovnitř a zevnitř dovnitř), každá podobná služba se i v případě jednoduchého firewallu se dvěma síťovými kartami nastavovala ve čtyřech souborech. Pokud se k tomu přidala ještě demilitarizovaná zóna, pravidel a souborů ještě přibylo.
Přepracovaný systém pro tvorbu pravidel firewallu změnil filosofii na "jedna služba - jeden soubor". Transparentní přístup na IMAP v přepracované verzi se tak nastavuje v jediném souboru (zapisuje se do více pravidel najednou).
Jednoduchou verzi pro dvě síťové karty vám nyní nabízím.
Download: http://bravenec.org/cs/howto/firewall/FW-1.0.tgz
V hlavním adresáři FW je několik souborů:
firewall - spustitelná dávka, která projde a nastaví všechna pravidla přímo do kernelu. Na konci se volá uložení pravidel do systému (určeno pro Gentoo Linux).
nastaveni - textový soubor s nastavením. Zde musíte zadat IP adresy svých síťových karet. Také zde máte možnost povolit a přesměrovat některé služby přístupné z internetu (například poštu) a vyřizované v počítači někde ve vnitřní síti (ideálně v demilitarizované zóně, ale to se v tomto jednoduchém příkladě neřeší).
rules - podadresář se samotnými pravidly. V tomto adresáři jsou další podadresáře uvedené čísly (podle čísel se řídí pořadí volání).
V adresáři jsou další podadresáře. Každý podadresář shromažďuje příbuzná pravidla:
000.common - pravidla jako defaultní policy, antispoofing, synflood, icmp a podobně. Tato pravidla jsou vždy volaná z jiných pravidel.
100.pravidla - základní rozdělení do pravidel. Pravidla jsou pojmenovaná podle směru:
Pravidla jsou minimalistická, obsahují jen nezbytná nebo obvyklá nastavení. Počítá se s tím, že další pravidla se budou přidávat v následujících souborech.
300.zevnitr - soubory s pravidly pro přístupy z vnitřní sítě. Namátkou:
400.zvenku - soubory s pravidly pro přístupy z vnější sítě. Namátkou:
500.sluzby - Soubory pro zpřístupnění služeb. Služby zde uvedené mají dvě věci společné - server obsluhující službu je umístěný ve vnitřní síti a přístup na tuto službu musí být stejný jak z vnitřní sítě, tak z vnější sítě. Typickým příkladem je například http server. Ten může běžet ve vnitřní síti (počítač je z internetu nedostupný), ale stránky musejí být přístupné svou url adresou (například http://bravenec.org/) jak z vnitřní sítě, tak z internetu. Stejným způsobem je nutné přitsupovat typicky k poště (imap.bravenec.org a smtp.bravenec.org).
999.konec - ukončení pravidel vytvořených v adresáři 100.pravidla. Obvykle je zde pouze logování a drop paketů, které prošly až sem.
Pravidla mohou být velmi jednoduchá. Takto se například povoluje přístup přes ssh na firewall z vnitřní sítě:
IPTABLES -A in-loc -p tcp --dport ssh -j ACCEPT
IPTABLES je skutečně zapsané velkými písmeny - jde o wrapper kolem volání iptables (kvůli výpisům). Syntaxe je jinak stejná.
Složitější pravidla (obvykle služby) mohou být košatější:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
if [ "$IMAPS" != "" ]; then
###########
# zvnějšku
IPTABLES -t nat -A pre-out -p tcp --dport imaps -d $OUTER -j DNAT --to $IMAPS
IPTABLES -A out-in -p tcp --dport imaps -d $IMAPS -j ACCEPT
###########
# zevnitř
IPTABLES -t nat -A pre-in -p tcp --dport imaps -d $OUTER -j DNAT --to $IMAPS
IPTABLES -A in-in -p tcp --dport imaps -d $IMAPS -j ACCEPT
IPTABLES -t nat -A in-post \
-p tcp --dport imaps -d $IMAPS \
-j SNAT --to $INNER
fi
Pro vytvoření dalších pravidel stačí zkopírovat podobný soubor a upravit adresy a porty.
Pravidla jsou určená pro jednoduchý firewall se dvěma síťovými kartami. Pokud byste potřebovali oddělit demilitarizovanou zónu od vnitřní sítě (typicky http server nebo poštovní server), můžete firewall rozšířit o další síťovou kartu a o další pravidla (dmz-in, dmz-out, out-dmz, in-dmz, dmz-dmz). Pravidlo pro IMAPS by pak mohlo vypadat například takto:
if [ "$IMAPS" != "" ]; then
###########
# zvnějšku
IPTABLES -t nat -A pre-out -p tcp --dport imaps -d $OUTER -j DNAT --to $IMAPS
IPTABLES -A out-dmz -p tcp --dport imaps -d $IMAPS -j ACCEPT
###########
# zevnitř
IPTABLES -t nat -A pre-in -p tcp --dport imaps -d $OUTER -j DNAT --to $IMAPS
IPTABLES -A in-dmz -p tcp --dport imaps -d $IMAPS -j ACCEPT
###########
# z dmz (kvůli webmailu)
IPTABLES -t nat -A pre-dmz -p tcp --dport imaps -d $OUTER -j DNAT --to $IMAPS
IPTABLES -A dmz-dmz -p tcp --dport imaps -d $IMAPS -j ACCEPT
IPTABLES -t nat -A dmz-post \
-p tcp --dport imaps -d $IMAPS \
-j SNAT --to $INNER
fi
Tiskni
Sdílej:
9.6.2010 08:42
Petr Bravenec | skóre: 43
| blog: Bravenec
9.6.2010 08:56
Petr Bravenec | skóre: 43
| blog: Bravenec
9.6.2010 12:56
Petr Bravenec | skóre: 43
| blog: Bravenec
Tak si hraji se shorewall... je to docela ulehčení, ale člověk aby stejně znal iptables a navíc k tomu shorewall. Nakonec jsem stejně skončil u pravidel jako:
SSH/DNAT net loc:10.10.1.106 SSH/DNAT loc loc:10.10.1.106
Když takhle přesměruji zvenku dovnitř a zevnitř dovnitř port, návod mi vůbec nepomůže a shorewall vyrobí paskvil, který mě nepustí ven, vždy mě přesměruje dovnitř.
Nutné je vyrábět pravidla takto:
SSH/DNAT net loc:10.10.1.106 DNAT loc loc:10.10.1.106 tcp 22 22 83.214.293.13
A už zase dělám stejnou věc dvěma různými způsoby. Pokud teď ještě zjistím, že IP adresu nelze nahradit nějakou symbolickou hodnotou, budu shorewallem poněkud zklamaný. Znamenalo by to totiž, že každý počítač bych musel konfigurovat víceméně ručně.
9.6.2010 21:46
Petr Bravenec | skóre: 43
| blog: Bravenec
9.6.2010 22:25
Petr Bravenec | skóre: 43
| blog: Bravenec
Zabrousil jsem na web http://www.fwbuilder.org/ - chápu dobře, že to je klikací? To by ovšem dost významně snižovalo použitelnost takového udělátka...
9.6.2010 08:33
9.6.2010 08:46
9.6.2010 20:11
