Společnost Amazon miliardáře Jeffa Bezose vypustila na oběžnou dráhu první várku družic svého projektu Kuiper, který má z vesmíru poskytovat vysokorychlostní internetové připojení po celém světě a snažit se konkurovat nyní dominantnímu Starlinku nejbohatšího muže planety Elona Muska.
Poslední aktualizací začal model GPT-4o uživatelům příliš podlézat. OpenAI jej tak vrátila k předchozí verzi.
Google Chrome 136 byl prohlášen za stabilní. Nejnovější stabilní verze 136.0.7103.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 8 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Homebrew (Wikipedie), správce balíčků pro macOS a od verze 2.0.0 také pro Linux, byl vydán ve verzi 4.5.0. Na stránce Homebrew Formulae lze procházet seznamem balíčků. K dispozici jsou také různé statistiky.
Byl vydán Mozilla Firefox 138.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 138 je již k dispozici také na Flathubu a Snapcraftu.
Šestnáctý ročník ne-konference jOpenSpace se koná 3. – 5. října 2025 v Hotelu Antoň v Telči. Pro účast je potřeba vyplnit registrační formulář. Ne-konference neznamená, že se organizátorům nechce připravovat program, ale naopak dává prostor všem pozvaným, aby si program sami složili z toho nejzajímavějšího, čím se v poslední době zabývají nebo co je oslovilo. Obsah, který vytvářejí všichni účastníci, se skládá z desetiminutových
… více »Richard Stallman přednáší ve středu 7. května od 16:30 na Technické univerzitě v Liberci o vlivu technologií na svobodu. Přednáška je určená jak odborné tak laické veřejnosti.
Jean-Baptiste Mardelle se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 25.04.0 editoru videa Kdenlive (Wikipedie). Ke stažení také na Flathubu.
TmuxAI (GitHub) je AI asistent pro práci v terminálu. Vyžaduje účet na OpenRouter.
Docházejí IPV4 adresy. Co s tím? Je to jasné - nainstalovat IPV6.
Kdo je připraven, není zaskočen - na větší rozšíření IPv6 si ještě asi počkáme, ale vůbec není na škodu, když se naučím něco nového už teď.
Obětoval jsem studiu IPv6 a nastavení své domácí sítě celou neděli. Chvíli to trvalo, protože jsem se snažil implementovat IPv6 do routeru s prastarým OpenWrt s minimem paměti. Ale nakonec se to podařilo a nyní má každé zařízení v síti jak adresu verze 4, tak verze 6.
IPv6 mě překvapilo - nastavení je jednodušší, než u IPv4. Těším se na dobu, až IPv4 zmizí ze světa - ale to si asi ještě pár let počkám.
Malé překvapení mě čekalo u nastavení iptables. Ze začátku mi síť nechtěla chodit, pro tcpdump na OpenWrt nezbylo místo, takže jsem zkusil provoz přes router sledovat pomocí pravidla PREROUTING v tabulce nat v iptables. Řeknu vám to asi takto: já vím, že IPv6 nemá NAT. Plně mi však praktický důsledek došel, až když začalo ip6tables prskat, že tabulka nat neexistuje. V ten moment jsem si uvědomil, že tu tabulku s přibližně stovkou pravidel mohu redukovat na tři - input, output a forward. Různé preroutingy, postroutingy, snatingy, forwardingy, dnatingy a jiné oblbingy, které jsou tam jen kvůli tomu, abych ze svého notebooku mohl přistupovat ke svému domácímu poštovnímu serveru z práce i doma stejně a nemusel používat v každé síti jiné nastavení, můžu vyhodit. Podobně můžu vyhodit desítky dalších pravidel kvůli přístupům přes ssh, k databázi a podobně.
Došlo mi, že si můžu s klidem zavolat ze SIP telefonu na jiný telefon v síti a dokonce se budu slyšet - každý telefon bude mít totiž vlastní IP adresu a veřejná adresa mého routeru nebude mást telefonní ústřednu. Fantazie.
Došlo mi, že internet v podání IPv4 nefunguje. Aby se zabezpečily zcela přirozené požadavky uživatelů v různých domácích či podnikových sítích, musí se v pravidlech na routeru dělat zcela nesmyslné a zbytečně složité věci. Tři čtvrtiny pravidel průměrného firewallu oddělujícího internet od vnitřní sítě dnes nemají za úkol chránit počítače uvnitř, ale zpřístupňovat vnitřní služby ven. Laciná zařízení typu "ADSL modem" většinou nedovedou poskytnout ani tuto funkci, a v sítích, které jsou přes takovéto neštěstí připojené a je potřeba zpřístupnit třeba poštu, je nutné vložit mezi modem a vlastní síť další router a další spojovací síť. Až potom je možné uvažovat o tom, že notebook bude fungovat obchodníkovi na služební cestě stejně jako ve firmě.
NAT je zvěrstvo. Pryč s IPv4. Co nejdříve. Včera bylo pozdě!
IPv6 je obrovské zjednodušení a teprve s IPv6 začne internet skutečně šlapat.
Tiskni
Sdílej:
26.1.2011 23:05
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
26.1.2011 23:26
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Prej nejpozděj od září 2011?
27.1.2011 01:02
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 10:53
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 14:52
Jendа | skóre: 78
| blog: Jenda
| JO70FB
27.1.2011 15:44
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
26.1.2011 23:52
Saljack | skóre: 28
| blog: Saljack
| Praha
.
27.1.2011 00:04
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Byl jsem jediný člověk, který se přednášejícího nahlas zastal a důkladně jsem to s ním všechno probral.
27.1.2011 00:56
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 00:58
Saljack | skóre: 28
| blog: Saljack
| Praha
27.1.2011 00:53
Saljack | skóre: 28
| blog: Saljack
| Praha
. Pak jsem tam s ním řešil, že ta část D se opravdu nedá stihnout hlavně díky tomu, že musíš vybudovat celou strukturu sám a já dojel na tom, že tam bylo málo místa a prostě jsem tam něco posral a už se mi to tam nevešlo tak jsem to tam smolil podruhé a uvědomil jsme si další blbost tak jsem to psal po třetí a někam po okrajích a na něco jsem zapoměl 
. No hlavně se musím kouknout na to dynamické programování, protože to fakt nedávám. Já bych se ho taky zastal, protože ty co si stěžujou jsou kkti, který tam už dávno nemají co dělat (vím, že to zní arogantně, ale takhle mi příjdou). Nechápu co čekali, že nebudou na STM "programovat"? Půlka z nich není schopná použít iterátor.
27.1.2011 00:59
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Půlka z nich není schopná použít iterátor.Přesně! Když jsem šel učebnou, tak jsem zíral, kolik lidí nedokáže připsat jednoduchou metodu do třídy nebo najít bug v krátkém kódu. Těm paradoxně předchozí vedení předmětu vyhovovalo, protože šlo především o nabiflování a vyblití na papír.
27.1.2011 01:05
Saljack | skóre: 28
| blog: Saljack
| Praha
27.1.2011 21:35
Saljack | skóre: 28
| blog: Saljack
| Praha
, takže to moc nedoporučuji. Luboš ti tohle taky potvrdí, taky říkal, že měl nějaké problémy v týmu.
27.1.2011 01:02
Saljack | skóre: 28
| blog: Saljack
| Praha
27.1.2011 01:31
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
A poté, co nabídnul studentům _extra_ termín zápočtového testu a udělali to jen 3 lidi ze 42 zase křičí, že to byla poprava, ačkoliv zadání nebylo o nic těžší než ta předchozí. Prostě kdo chce psa bít, hůl si najde a pro dobrotu na žebrotu v té nejčistší podobě.
27.1.2011 15:31
pavlix | skóre: 54
| blog: pavlix
.
27.1.2011 15:53
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Pak se ke mě doneslo cosi prapodivnostech jako je vstupní test do předmětu a později něco o tom, že to snad učí Píše (magor v dobrym slova smyslu, měl jsem ho na cvika na nějaký C++, ale dokážu si představit, že jako přednášející hodně lidem nesed) a že je to hrůza.No magor to je, kdo na FELu taky není
Píše hlavně chce, aby lidi problém pochopili - tedy, jak říkáš, "proč a jak to funguje". Já se na jeho testy a zkoušky, ať už to byla Java, Objektové modelování nebo DSA nikdy neučil a nikdy jsem neměl problém. A upozorňuju, že co se studia týče, jsem flákač nejtvrdší ligy a většinu cvičení jsem duchem nepřítomen.
Kdežto většina studentů FELu je zvyklá se biflovat a tohle se jim nehodí do krámu. Když C++ velel Vágner, tak taky křičeli, když po nich někdo chtěl objektivně kvalitní kód (progtest.cz).
Vždycky když slyším o tom, jak absolventi nemohou najít uplatnění, tak se nedivím, protože to vidím kolem sebe. Když jsem dělal v jedné firmě, kam mě po krátkém rozhovoru vzali, a to jsem neměl praxi, ani titul, tak tam po 2 měsících byl na pohovoru jeden FELák inženýr a byla to dokonalá ukázka celého problému: mával titulem, studijními výsledky, ale uměl prdlajs. Proč by měl někdo chtít takového člověka zaměstnat?
Tenhle spadá do kategorie "k.rva jak tohle všechno může znát a rozumět tomu", teda aspoň tak jsem ho poznal. A chce to i po studentech, i když z toho C++ mi tenkrát dal za jedna, i když mi v úkole objevil nehoráznou botu (už fakt nevím, co to bylo). Na úkol napsat garbage collector do C++ taky jentak nezapomenu...
Vágner patří do podobný kategorie, ohledně jeho progtestu jsem taky slyšel hodně nářků.
S tím biflováním máš naprostou pravdu, spolužáci na mě kolikrát koukali jak na cvoka, když jsem chtěl vědět proč a jak něco funguje. Zkouška se dá udělat i bez toho, tak proč to řešit.
27.1.2011 16:51
Saljack | skóre: 28
| blog: Saljack
| Praha
pak se zeptá kdo tomu nerozumí a nepřihlásí se nikdo a potom si stěžují. Přitom když se někdo přihlásil, že tomu nerozumí tak mu to zopakoval.Tohle je ovšem příklad dost špatné pedagogické praxe. Moc bych to nevyzdvihoval.
28.1.2011 14:44
Saljack | skóre: 28
| blog: Saljack
| Praha
28.1.2011 16:02
pavlix | skóre: 54
| blog: pavlix
27.1.2011 16:58
Jendа | skóre: 78
| blog: Jenda
| JO70FB
S tím biflováním máš naprostou pravdu, spolužáci na mě kolikrát koukali jak na cvoka, když jsem chtěl vědět proč a jak něco funguje. Zkouška se dá udělat i bez toho, tak proč to řešit.Tohle je problém celého školství, ne jen VŠ. Jako jeden z mála se na gymnáziu neučím definice a většinu vzorečků, když to skoro všechno jde odvodit.
.
27.1.2011 18:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
[c] = J/(kg×K) .
.
Jinak u těch tepelnejch jevů jsem na jedné zkoušce dokonce vzorec sestavoval intuitivně - bylo to zadání zkoušejícího.
27.1.2011 12:40
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 13:56
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
. Možná myslel ten .
27.1.2011 14:07
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 15:51
xxx | skóre: 42
| blog: Na Kafíčko
27.1.2011 15:56
xxx | skóre: 42
| blog: Na Kafíčko
27.1.2011 16:05
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 16:20
xxx | skóre: 42
| blog: Na Kafíčko
27.1.2011 16:39
Saljack | skóre: 28
| blog: Saljack
| Praha
27.1.2011 17:21
xxx | skóre: 42
| blog: Na Kafíčko
27.1.2011 17:33
Saljack | skóre: 28
| blog: Saljack
| Praha
28.1.2011 00:27
xxx | skóre: 42
| blog: Na Kafíčko
28.1.2011 11:13
Saljack | skóre: 28
| blog: Saljack
| Praha
Y36DSA, A7B36DSA – podněty studentů na zlepšení předmětu Obsah předmětu: - stále chybí souhrn (podpůrné materiály) látky v českém jazyce (slides z přednášek nejsou dostatečné) k dispozici je pouze kniha Algorithms and Data Structures. Někteří studenti nemají znalosti z odborné angličtiny na dostatečné úrovni, nemohou se tedy z knihy optimálně připravovat. - transkripty z přednášek nebyly dodány včas (objevily se až po Midterm testu) a stále nejsou kompletní. Navrhujeme přidat k transkriptům příklady, které se na přednášce probíraly - z předmětu nemáme pocit, že je dostatečně připravený. Obsah cvičení: - obsah domácích úkolů by měl upevnit znalosti probrané v daném cvičení, nezadávat řešení speciálních chování (případů) algoritmů apod. Navrhujeme zadat více jednodušších příkladů, které studentovi pomohou v přípravě na zápočtový test a ke zkoušce. - prosíme o přidání sady řešených příkladů a sady příkladů na procvičení každému cvičení (které zároveň budou sloužit pro konzultaci). - příklady v knize Algorithms and Data Structures nejsou vzhledem k požadavkům dostatečné. Zkouška, Midterm test: - žádáme o změnu hodnocení testů (True/False vzhledem k variantám testu není vhodné). - cvičící se nepodílejí na přípravě zkouškových ani zápočtových testů, obsahem zkoušky ani midtermu by tedy neměla být látka ze cvičení. - obtížnost zápočtového testu č. 1 a zápočtového testu č. 3 je velmi odlišná (JanaP.: obtížnost se zvyšovala). (úspěšnosti [prošlo/neprošlo] - 1. test: 100/208 (= 32% prošlo), 2. test: 101/67 (= 69% prošlo), 3. test: 3/42 (= 7% prošlo)zdroj). - průběh písemné zkoušky (240 minut minut písemné zkoušky, jen aby student dosáhl nejlépe na Czdroj) jen těžko odpovídá rozumným požadavkům na psychohygienu. I to mohlo být příčinou, proč druhou část zkoušky absolvovalo naprosté minimum studentů. Y36DSA: - osnova a vyučovaná látka by se neměla výrazně lišit jako při prvním zápisu předmětu. (JanaP.: ...od látky probírané při prvním zápisu předmětu)? Svým podpisem souhlasím s výše uvedeným:Přímo odkaz na ní dát nemůžu protože je to na google docs a může to upravovat každý.
28.1.2011 11:23
Saljack | skóre: 28
| blog: Saljack
| Praha
28.1.2011 11:39
xxx | skóre: 42
| blog: Na Kafíčko
Ta angličtina je trochu širší problém. Řešila se už před pěti lety, když jsem byl v prváku já. Otázka je, zda-li škola může mít nějaká očekávání ohledně jazykových znalostí studentů. Jedna strana tvrdí, že by studenti měli být na konci prváku schopni číst odborné texty. Druhá strana pak, že škola nemůže vyžadovat něco, co neučí. Tedy ne že by škola neučila Aj, ale že je třeba počítat se studenty, kteří mají Aj na VŠ poprvé v životě. K tomu tehdy byla poznámka, že jestli si FEL hraje na kvalitní školu, tak by si taková očekávání dovolit měl.
Midterm test je lehký. Vždyť jím prošlo 170 studentů z 208. ;) FEL bere skoro každého, tak je občas třeba někoho vyhodit. (No dobře je to trochu kruté, ale za nás se létalo na M1,M2,Lingebra,Fy1,EO1,EO2 tak nové obory by měly mít nějaké zabijácké předměty. A můžou být rádi, že z oboru.)
IMHO má smysl pouze ta připomínka k materiálům. Tam bych řek, že vám píše nějaké navíc dodá.
28.1.2011 12:50
xxx | skóre: 42
| blog: Na Kafíčko
28.1.2011 14:26
Saljack | skóre: 28
| blog: Saljack
| Praha
EO1EO1 není žádný zabijácký předmět, to je předmět, kde se sčítaly odpory. Totéž M1 - v praxi téměř nic jiného, než opakování látky ze střední. Kdo tohle nezvládl, neměl na FELu co dělat.
Někteří studenti nemají znalosti z odborné angličtiny na dostatečné úrovniTo si dělají prdel... studenti softwarových technologií, co neumí anglicky? A to ani nemluvím o tom, že když už píšu nějakou petici, tak by to mělo vypadat, jako kdyby to psal člověk. Tohle zní jako přímý přepis toho, co někdo smolil v hospodě u piva.
28.1.2011 14:30
Saljack | skóre: 28
| blog: Saljack
| Praha
26.1.2011 23:57
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Až potom je možné uvažovat o tom, že notebook bude fungovat obchodníkovi na služební cestě stejně jako ve firmě.S IPv4 to tak samozřejmě může fungovat taky - VPN. Dokonce se to tak velmi často dělá včetně toho, že se ten notebook přes VPN připojuje i k internetu
27.1.2011 06:44
Petr Bravenec | skóre: 43
| blog: Bravenec
27.1.2011 08:21
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Já měl původně dojem, že se mluví o CiscoVPN, které zařezává LAN provoz ... tedy že je to věc síťové politiky?
27.1.2011 19:43
Petr Bravenec | skóre: 43
| blog: Bravenec
27.1.2011 00:34
Gilhad | skóre: 20
| blog: gilhadoviny
27.1.2011 01:01
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 01:24
Gilhad | skóre: 20
| blog: gilhadoviny
27.1.2011 01:32
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.1.2011 01:40
Gilhad | skóre: 20
| blog: gilhadoviny
27.1.2011 02:06
FORWARD povolit nemuselo?
Uz jsem takovou prasarnu videl nekolikrat.
27.1.2011 09:34
Gilhad | skóre: 20
| blog: gilhadoviny
27.1.2011 09:45
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Slušně? Obvykle REJECTem?
27.1.2011 10:08
Gilhad | skóre: 20
| blog: gilhadoviny
-A INPUT -i eth0.0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A INPUT -i eth0.0 -p icmp -m icmp --icmp-type 0 -m limit --limit 4/sec --limit-burst 20 -j ACCEPT
-A INPUT -i eth0.0 -p icmp -m icmp --icmp-type 3 -m limit --limit 4/sec --limit-burst 20 -j ACCEPT
-A INPUT -i eth0.0 -p icmp -m icmp --icmp-type 8 -m limit --limit 4/sec --limit-burst 20 -j ACCEPT
-A INPUT -i eth0.0 -p icmp -m icmp --icmp-type 11 -m limit --limit 4/sec --limit-burst 20 -j ACCEPT
-A INPUT -i eth0.0 -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
nat.PREROUTING a 1 ve filter.FORWARD) budete mít totiž jen jedno. Pokud byste povoloval přístup jen na vybrané stroje, pak byste měl místo původních 2n pravidel jen n.
27.1.2011 16:32
Gilhad | skóre: 20
| blog: gilhadoviny
Ja chci povolit 22 zvenku na 5 stroju, takze to mam 5 PREROUTING a 1 FORWARD.
To je ale špatně. Pokud chcete opravdu povolit přístup na port 22 jen na těch pět strojů a na zbytek ne, pak to jedním pravidlem ve filter.FORWARD neuděláte.
27.1.2011 16:59
Gilhad | skóre: 20
| blog: gilhadoviny
-A PREROUTING -i eth0.0 -p tcp -m tcp --dport 3001 -j DNAT --to-destination 10.0.2.123:22
-A PREROUTING -i eth0.0 -p tcp -m tcp --dport 3002 -j DNAT --to-destination 10.0.2.124:22
-A PREROUTING -i eth0.0 -p tcp -m tcp --dport 3003 -j DNAT --to-destination 10.0.2.125:22
-A PREROUTING -i eth0.0 -p tcp -m tcp --dport 3004 -j DNAT --to-destination 10.0.2.126:22
-A PREROUTING -i eth0.0 -p tcp -m tcp --dport 3005 -j DNAT --to-destination 10.0.2.127:22
-A POSTROUTING -o eth0.0 -j MASQUERADE
-A FORWARD -d 10.0.2.100/24 -i eth0.0 -p tcp -m tcp --dport 22 -j ACCEPT
IMHO se na ty stroje 10.0.2.* z eth0.0 neda dostat jinak, nez ze to PREROUTINGuju
YHO is wrong.
10.0.2.100/24Tohle vám projde? Za starých dobrých časů proti takovým věcem příkaz iptables protestoval.
Tohle vám projde? Za starých dobrých časů proti takovým věcem příkaz iptables protestoval.Co je špatného na pravidle pro IP zapadající do rozsahu?
iptables odmítal zápis rozsahu, kde adresa před lomítkem neměla příslušný počet (v tomto případě osm) nejnižších bitů nulových.
27.1.2011 18:12
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Udělal jsem s iptables 1.4.10 test ...
# iptables -I OUTPUT -d 10.2.3.4/27 -j ACCEPT # iptables -I OUTPUT -d 10.2.3.4/25 -j ACCEPT # iptables-save | grep 10.2.3 -A OUTPUT -d 10.2.3.0/25 -j ACCEPT -A OUTPUT -d 10.2.3.0/27 -j ACCEPTtakže ... jen u nastavení routy linux protestuje ...
# ip route add 10.2.3.10/27 via 192.168.1.22 RTNETLINK answers: Invalid argument(chce přesnou síť)
27.1.2011 19:22
Gilhad | skóre: 20
| blog: gilhadoviny
Jde o to, že pokud k vám přijde paket se správnou cílovou adresou některého z počítačů ve vnitřní síti, tak bez ohledu na NAT projde. Technický problém je jen jak k vám ten paket dostat, ale pokud je např. útočník váš bezprostřední soused (což obecně nemůžete vyloučit), je to zcela triviální.
Je dobré si zvyknout, že k rozhodování o tom, zda je paket "hodný" nebo "zlý", a tedy zda ho pustíme nebo zahodíme, slouží tabulka filter. Snažit se její roli suplovat v tabulkách nat nebo mangle sice do určité míry lze, ale je lepší se do toho nepouštět, protože nebyly pro tento účel navrženy a moc se pro něj nehodí. Třeba na pakety se stavem ESTABLISHED, kterých je typicky výrazná většina, se pravidla tabulky nat neaplikují vůbec.
27.1.2011 20:57
pavlix | skóre: 54
| blog: pavlix
Je dobré si zvyknout, že k rozhodování o tom, zda je paket "hodný" nebo "zlý", a tedy zda ho pustíme nebo zahodíme, slouží tabulka filter. Snažit se její roli suplovat v tabulkách nat nebo mangle sice do určité míry lze, ale je lepší se do toho nepouštět, protože nebyly pro tento účel navrženy a moc se pro něj nehodí.Pod to bych se taky podepsal.
27.1.2011 21:09
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Mluvíte o routeru nebo firewallu?
filter, ne nat nebo mangle.
27.1.2011 22:13
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Jj, já jen, že jsem se dost dlouho nesetkal se strojem, kterej by neměl filter zapnutej.
27.1.2011 09:56
Gilhad | skóre: 20
| blog: gilhadoviny
-A PREROUTING -i eth0.0 -p tcp -m tcp --dport 3001 -j DNAT --to-destination 10.0.2.123:22
....
-A POSTROUTING -o eth0.0 -j MASQUERADE
-A FORWARD -d 10.0.2.100/24 -i eth0.0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i br-lan2 -o br-lan1 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i br-lan1 -o br-lan3 -p tcp -m tcp --dport 2002 -j ACCEPT
.....
default pro INPUT,OUTPUT,FORWARD je pochopitelneTo mi moc pochopitelné nepřijde
Daleko lepší smysl dává REJECT.
27.1.2011 16:38
Gilhad | skóre: 20
| blog: gilhadoviny
27.1.2011 06:01
Petr Bravenec | skóre: 43
| blog: Bravenec
NAT je zvěrstvo.A to nekteri NAT pouzivaji jako firewall nebo anonymizacni system a chteji NAT i do IPv6!!! NAT v IPv4 pouzivam a nedela mi problem. Ale v IPv6 bych ho radsi taky nepouzival. Cetl jsemv Ipv6 prirucce od NIC.CZ, ze IPv6 ma nejakej vlastni system na vygenerovani anonymnich IPv6 adres - takhle az nekdo bude kecat, ze potrebuje NAT v IPv6, tak ho timhle argumentem muzete uzemnit.
27.1.2011 14:56
Jendа | skóre: 78
| blog: Jenda
| JO70FB
27.1.2011 19:18
Petr Bravenec | skóre: 43
| blog: Bravenec
27.1.2011 19:50
Petr Bravenec | skóre: 43
| blog: Bravenec
No vidite, a co se teprve bude dit az budu domacim klientum vysvetlovat ze budou jejich pocitace viditelne z celeho internetu a zabezpeceni je jejich vec. To me asi zabijou.Zakázat na firewallu FORWARD směrem dovnitř a povolovat ho na požádání, no to je opravdu velký problém.
V uteri mi jeden "odbornik" rikal ze se mu to moc nelibi, ze by jeho firemni kompy meli byt takhle videt a ze zna nekolik lidi co k nam do site nechtej prave kvuli tomu, ze jsme strasne transparentniNo jestli do firmy přidělíte hromadu adres a všechny počítače jsou přímo viditelné v celé vaší síti, tak to se mu nelíbí naprosto oprávněně a mě by se to nelíbilo taky. Jo, jestli přidělujete subnet a ve firmě si naroutujte, jak chcete, to už je něco jiného... (ASCII zobrazení těch dvou variant: 1. - fuj
X-X-X-X-F-F-F-F-X-X-X-X2. - ok
X-X-X-X-FR-X-X-X-X
|
F-F-F-F-F
X jsou ostatní, F je firemní počítač, FR firemní router)
27.1.2011 14:31
vencour | skóre: 56
| blog: Tady je Vencourovo
| Praha+západní Čechy
Jestli by pak v takovejchhle sítích s natem a IPv4 nebylo lepší v případě IPv6 mít např. privátní AS?
27.1.2011 15:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
No vidite, a co se teprve bude dit az budu domacim klientum vysvetlovat ze budou jejich pocitace viditelne z celeho internetu a zabezpeceni je jejich vec. To me asi zabijou.K tomuhle se odjakživa používá firewall, ne NAT. Zařízni jim pro Windows rizikové porty (135-139 a možná nějaké další) nebo dej do smlouvy škrtátko
[ ] blokovat příchozí spojení. Problem fixed.
V uteri mi jeden "odbornik" rikal ze se mu to moc nelibi, ze by jeho firemni kompy meli byt takhle videt a ze zna nekolik lidi co k nam do site nechtej prave kvuli tomu, ze jsme strasne transparentni a IP rozhodne nepovazujeme za citlivy udaj.Si to může (nechat) uříznout v netfilteru na nejbližším linuxovém routeru, když se mu to nelíbí…
Bez NATu je bezpecnost zalezitosti kazdyho kompu.Nebo nejbližšího routeru, jehož admin to chce/může nastavit.
Vysvetlujte firemnimu sefovi, ze opravdu neni dobry napad nasdilet si celej disk i pro zapis vsem uzivatelum.Ale pokud by tam měl jenom NAT, pak by mu tam lidi minimálně z okolí stejně lézt mohli.
27.1.2011 13:00
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Nemohlo by to ohrozit primo stabilitu/funkci celeho systemu ?Jejich systému určitě ano
Ale oni jsou vystaveni už teď, hodně lidí má PC napíchnuté hned do modemu kabelovky a jen díky firewallu u ISP, který blokuje děravé widlácké porty, jsou chráněni.