abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    13.9. 17:33 | Pozvánky

    Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 211. sraz, který proběhne v pátek 19. září od 18:00 ve Studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Na srazu proběhne přednáška Jiřího Eischmanna o nové verzi prostředí GNOME 49. Nemáte-li možnost se zúčastnit osobně, přednáškový blok bude opět streamován živě na server VHSky.cz a následně i zpřístupněn záznam.

    Ladislav Hagara | Komentářů: 0
    13.9. 01:33 | IT novinky

    Microsoft se vyhnul pokutě od Evropské komise za zneužívání svého dominantního postavení na trhu v souvislosti s aplikací Teams. S komisí se dohodl na závazcích, které slíbil splnit. Unijní exekutivě se nelíbilo, že firma svazuje svůj nástroj pro chatování a videohovory Teams se sadou kancelářských programů Office. Microsoft nyní slíbil jasné oddělení aplikace od kancelářských nástrojů, jako jsou Word, Excel a Outlook. Na Microsoft si

    … více »
    Ladislav Hagara | Komentářů: 7
    12.9. 14:00 | Nová verze

    Samba (Wikipedie), svobodná implementace SMB a Active Directory, byla vydána ve verzi 4.23.0. Počínaje verzí Samba 4.23 jsou unixová rozšíření SMB3 ve výchozím nastavení povolena. Přidána byla podpora SMB3 přes QUIC. Nová utilita smb_prometheus_endpoint exportuje metriky ve formátu Prometheus.

    Ladislav Hagara | Komentářů: 0
    12.9. 12:00 | Zajímavý článek

    Správcovský tým repozitáře F-Droid pro Android sdílí doporučení, jak řešit žádosti o odstranění nelegálního obsahu. Základem je mít nastavené formální procesy, vyhrazenou e-mailovou adresu a být transparentní. Zdůrazňují také důležitost volby jurisdikce (F-Droid je v Nizozemsku).

    🇵🇸 | Komentářů: 20
    12.9. 05:33 | Bezpečnostní upozornění

    Byly publikovány informace o další zranitelnosti v procesorech. Nejnovější zranitelnost byla pojmenována VMScape (CVE-2025-40300, GitHub) a v upstream Linuxech je již opravena. Jedná se o variantu Spectre. KVM host může číst data z uživatelského prostoru hypervizoru, např. QEMU.

    Ladislav Hagara | Komentářů: 0
    11.9. 22:00 | Komunita

    V červenci loňského roku organizace Apache Software Foundation (ASF) oznámila, že se částečně přestane dopouštět kulturní apropriace a změní své logo. Dnes bylo nové logo představeno. "Indiánské pírko" bylo nahrazeno dubovým listem a text Apache Software Foundation zkratkou ASF. Slovo Apache se bude "zatím" dál používat. Oficiální název organizace zůstává Apache Software Foundation, stejně jako názvy projektů, například Apache HTTP Server.

    Ladislav Hagara | Komentářů: 16
    11.9. 17:33 | Nová verze

    Byla vydána (𝕏) srpnová aktualizace aneb nová verze 1.104 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.104 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 1
    11.9. 15:33 | IT novinky

    Spotify spustilo přehrávání v bezztrátové kvalitě. V předplatném Spotify Premium.

    Ladislav Hagara | Komentářů: 0
    11.9. 15:00 | IT novinky

    Spoluzakladatel a předseda správní rady americké softwarové společnosti Oracle Larry Ellison vystřídal spoluzakladatele automobilky Tesla a dalších firem Elona Muska na postu nejbohatšího člověka světa. Hodnota Ellisonova majetku díky dnešnímu prudkému posílení ceny akcií Oraclu odpoledne vykazovala nárůst o více než 100 miliard dolarů a dosáhla 393 miliard USD (zhruba 8,2 bilionu Kč). Hodnota Muskova majetku činila zhruba 385 miliard dolarů.

    Ladislav Hagara | Komentářů: 10
    10.9. 21:22 | Nová verze

    Bylo vydáno Eclipse IDE 2025-09 aneb Eclipse 4.37. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

    Ladislav Hagara | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (81%)
     (7%)
     (3%)
     (3%)
     (4%)
     (2%)
    Celkem 176 hlasů
     Komentářů: 12, poslední 10.9. 13:00
    Rozcestník

    Vzorovy Slackware firewall postaveny na IPTABLES

    20.3.2009 10:24 | Přečteno: 1997× | Linux | poslední úprava: 20.3.2009 16:18

    Mel jsem potrebu si nakonfigurovat firewal dle svych potreb. Script je psany pro Slackware, ale i pro amatery jej lze volne doupravit i pro jine distribuce. Pouzil jsem v zakladu snad nejpouzivanejsi firewall od Mirka Petricka a doupravil dle svych potreb

    Zadani bylo jednoduche:

    1. povolit jednu IP pro administraci
    2. povolit 3x port pro IP obsazene v souboru
    3. povolit pingy
    4. udelat fw jednoduchy pro restart po pridani IP

    Par rad pro zacinajici linuxare. Ulozte vse co je v neformatovanem textu do souboru rc.firewall a soubor ulozte v /etc/rc.d . Pote nastavte souboru prislusna prava doporucuji 755 (chmod 755 /etc/rc.d/rc.firewall). Pri prvotnim testovani pres SSH doporucuji si do crontabu napr co 5 minut nastavit reset firewalu (*/5 * * * * /etc/rc.d/rc.firewall stop 1> /dev/null). Usetrite si tim cestu k serveru :) . Ted hura k vlastnimu scriptu. Pro jednoduchost jsem ho ulozil i na Rapidshare.

    #!/bin/sh
    # Start/stop/restart Firewall
    
    # Start firewall
    firewall_start() {
      if [ ! -r /etc/ip.conf ]; then # no config file, exit:
    	echo "Soubor /etc/ip.conf neexistuje"
      else  
    	#################Zacatek FIREWALLu##########################
    	#Nastaveni promennych
    	ipecka=/etc/ip.conf   	#soubor s ipeckama, edituj a dodrzuj formatovani tj. IP 2xTAB a text nemusi ani mit #
    	port1=1050		#Povolene
    	port2=2050		#porty 
    	port3=3050		#pro IP obsazene v souboru
    
    	mojeIP=777.777.777.777  #IP pro ktere je povolene uplne vse
    	
    	################################################
    	#Dale uz needituj pokud nevis co delas
    	################################################
    
    	# rp_filter na zamezeni IP spoofovani
    	#for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
    	#   echo "1" > ${interface}
    	#done
    
    	#Nastaveni default pravidel
    	iptables -P INPUT DROP
    	iptables -P OUTPUT ACCEPT
    	iptables -P FORWARD DROP
    
    	#Povoleni standatnich IP
    	iptables -A INPUT -i lo -j ACCEPT
    	# Pakety od navazanych spojeni jsou v poradku
            iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    	iptables -A INPUT -i eth0 -p ICMP --icmp-type echo-request -j ACCEPT
    
    	#Povoleni administracni IP
    	iptables -A INPUT -i eth0 -s $mojeIP -j ACCEPT
    
            cat $ipecka | awk '{ print $1}' | while read LINE ; do
                    iptables -A INPUT -i eth0 -p TCP --dport $port1 -s $LINE -j ACCEPT
                    iptables -A INPUT -i eth0 -p TCP --dport $port2 -s $LINE -j ACCEPT
                    iptables -A INPUT -i eth0 -p TCP --dport $port3 -s $LINE -j ACCEPT
            done
    
    	#uklizeni
    	rm -rf /tmp/ip.tmp
    	echo "Firewall nahozen"
    ###################Konec FIREWALLu#################
      fi
    }
    
    ###################################################
    
    # Stop Firewall:
    firewall_stop() {
            iptables -P INPUT ACCEPT
            iptables -P OUTPUT ACCEPT
            iptables -P FORWARD ACCEPT
            iptables -F
            echo " Firewall vypnut";
    }
    
    ###################################################
    
    # Restart inetd:
    firewall_restart() {
    	  firewall_stop
    	sleep 1
    	  firewall_start
    }
    
    ###################################################
    
    case "$1" in
    'start')
      firewall_start
      ;;
    'stop')
      firewall_stop
      ;;
    'restart')
      firewall_restart
      ;;
    *)
      echo "Pouziti $0 start|stop|restart"
    esac
    
    
           

    Hodnocení: 80 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    20.3.2009 11:41 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES
    Zahadzuješ užitočné ICMP ako napr. "port unreachable", "destination unreachable", ...
    20.3.2009 16:19 lowprize | skóre: 15 | blog: Nizkorozpoctak
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    Pokud mi muzes poslat jak by mel vypadat zapis budu jen rad.

    .:: www.lowprize.info ::.
    frEon avatar 20.3.2009 18:58 frEon | skóre: 40 | Praha
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES
    ja to mam na svych strojich takto (limity uprav podle potreby) + pocitam s vychozi politikou na DROP:
    $IPTABLES -A INPUT -p icmp -j ping
    $IPTABLES -A ping -p ICMP  --icmp-type 0 -m limit --limit 5/s --limit-burst 20 -j ACCEPT
    $IPTABLES -A ping -p ICMP --icmp-type 3 -m limit --limit 5/s --limit-burst 20 -j ACCEPT
    $IPTABLES -A ping -p ICMP --icmp-type 8 -m limit --limit 5/s --limit-burst 20 -j ACCEPT
    $IPTABLES -A ping -p ICMP --icmp-type 11 -m limit --limit 5/s --limit-burst 20 -j ACCEPT
    
    Talking about music is like dancing to architecture.
    20.3.2009 20:44 lowprize | skóre: 15 | blog: Nizkorozpoctak
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    Dik zapracuju to tam. V limitech se nevyznam, necham to jak to mas ty.

    .:: www.lowprize.info ::.
    20.3.2009 11:51 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    Pár postřehů ze zběžného pročtení:

    1. Použití souboru /tmp/ip.tmp způsobem, jakým to děláte, je dost hrubá bezpečnostní chyba. Použijte mktemp, adresář, který není world-writeable, nebo (což ale nestačí) ten soubor aspoň nejdřív smažte.

    2. V tomto případě je navíc použití pomocného souboru úplně zbytečné, stačí použít rouru:
    awk | while read ...; do done

    3. Když konfigurační soubor neexistuje, firewall nenaběhne; to mi nepřipadá příliš rozumné. Nebylo by vhodnější, aby se k němu v takovém případě skript choval jako k prázdnému?

    4. Mazání chainu INPUT děláte příliš krkolomně, proč nepoužijete '-F'?

    5. Doporučuji nespoléhat na to, že aktuální konfigurace vypadá tak jako při startu systému resp. tak, jak vy ji při startu nastavíte, a vyčistit ji pořádně.

    6. Pevné nastavení právě tří povolených portů - a navíc stejných tří pro každou adresu - není moc flexibilní.

    7. Nemáte-li vážný důvod nepropouštět RELATED pakety, udělal bych to.

    8. Pořadí pravidel je vhodné volit s ohledem na efektivitu. Povolení ESTABLISHED (a případně RELATED) paketů bych dal hned za začátek nebo aspoň za lokální smyčku.

    9. Psát '-p ALL' je zbytečné

    20.3.2009 14:01 lowprize | skóre: 15 | blog: Nizkorozpoctak
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    Wow Super dik, poucim se upravim

    JL

    .:: www.lowprize.info ::.
    20.3.2009 15:57 lowprize | skóre: 15 | blog: Nizkorozpoctak
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    Prvni dilci uspech roura pro AWK nasazena, zapis upraven

    .:: www.lowprize.info ::.
    20.3.2009 18:12 CET
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES
    Slackware balik iptables neobsahuje iptables-save a iptables-restore? Ja iptables-restore uspesne pouzivam na debianu i gentoo. Prakticky to vyjde na stejno, jako zapis do init skritpu, ale neni to takova prasarna, ze se meni init skript, ale meni se pouze "konfiguracni" soubor a init skript obsahuje pouze iptables-restore.

    Kdyz uz bych mel delat nejakej takovejhle skript, tak bych tam chtel mit aspon moznost vyuzivat skupiny pocitacu. Proste trosku vyssi stupen konfigurace nez otrocky zapisovani iptables prikazu. Zatim to nejak detailne neresil a pouzivam iptables-restore, protoze i tak lze jakz takz emulovat skupiny ruznyma chainama.

    Je to fakt zajimavy, kolik lidi se chytne a ma nutkani vytvorit si vlastni init skript pouhym zkopirovanim s obsahem pravidel uvnitr.
    pol128 avatar 20.3.2009 19:36 pol128 | skóre: 18
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    V Slacku je to tak, že pokiaľ sa nájde v /etc/rc.d/ súbor rc.firewall, tak sa pustí. Prečo je to tak, to vie Patrick.

    21.3.2009 14:19 Martin Matějek | skóre: 12 | blog: Flying_circus | Kladno
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    to je kvůli tomuhle v /etc/rc.d/rc.inet2

     
    # If there is a firewall script, run it before enabling packet forwarding.
    # See the HOWTOs on http://www.netfilter.org/ for documentation on
    # setting up a firewall or NAT on Linux.  In some cases this might need to
    # be moved past the section below dealing with IP packet forwarding.
    if [ -x /etc/rc.d/rc.firewall ]; then
      /etc/rc.d/rc.firewall start
    fi
    

    Čili, když sebereš (chmod -x rc.firewall) spouštěcí bit u rc.firewall, tak se nespustí.

    Don't judge me by the friends I keep. No, no, no. Judge me by the enemies I have slain!
    21.3.2009 17:51 CET
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    Nejde o to, jestli se spusti rc.firewall nebo ne, ale spis mi slo o to, ze cpat konfiguraci primo do init skriptu se mi zda prinejmensim nevhodne, ale osobne bych rek spis prasarna. Klidne at se spousti rc.firewall, ale ocekaval bych, ze ten skript nacte konfiguraci napr. z /etc/firewall.conf a to pak zpracuje. Jeden duvod muze byt, ze delam backup /etc excl. /etc/rc.d a /etc/init.d.

    Dalsi duvod muze byt ten, ze kdyz bude rc.firewall s nejakou logikou, napr. prave nejake skupiny portu a hostu, a budou ten skript vyuzivat i ostatni, tak pri pripadnych upravach toho skriptu budou moct lidi udelat pouze cp src/rc.firewall /etc/rc.d/, protoze skutecna konfigurace bude v /etc/firewall.conf, kdezto kdyz jsou prikazy primo v tom rc.firewall, tak pri aktualizaci to nemuzou ostatni lidi jednoduse zkopirovat.

    V tomhle skriptu je sice naznak konfigurace tak, ze IP adresy jsou ulozeny v externim souboru, ale porty jsou napevno v init skriptu. Klidne by v tom rc.firewall mohli zustat ty obvykly pravidla "povoleni established, related", nastaveni vychozich policy, ale zbytek (povoleni urcitych zdroju, cilu a/nebo portu) by mel byt ulozenej v jinem cfg. Tam by mohly byt i nejake "prepinace", jak by se mel firewall chovat, treba nejake hodnoty pro limit nebo logy.

    20.3.2009 21:26 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES
    Konfigurace pomocí iptables-save a iptables-restore má své výhody, ale také nevýhody. Rozhodně bych se to neodvážil označit za jednoznačně lepší volbu než použití klasického skriptu. Spíš naopak, osobně bych až na výjimky upřednostnil skript.
    21.3.2009 17:55 CET
    Rozbalit Rozbalit vše Re: Vzorovy Slackware firewall postaveny na IPTABLES

    jasne, pomoci iptables-restore nemuzu udelat for cykly.

    me nevadi pouzivat init skript s iptables prikazema, ale vadi mi, kdyz ty prikazy obsahuji konkretni hodnoty. Jak jsem napsal v 17:51, jsem pro pouzivani vlastniho init skriptu pro firewall bez pouziti iptables-restore, ale konfigurace musi byt ulozena separatne, ne v tom init skriptu - a klidne to muze delat to same jako iptables-restore, v lepsim pripade muze config soubor obsahovat nejaky pseudo programovaci/konfiguracni jazyk a ten skript by mel pouze zpracovat ten config file a podle toho nastavit firewall. Jak jsem psal, pri aktualizaci toho skriptu muzou jednoduse vsichni nahradit init skript novou verzi a vsechno funguje. Kdyz budou vsechny pravidla napevno v init skriptu, musi vsichni udelat diff a aplikovat jenom zmeny, ktery se netykaji jejich pravidel.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.