Přihlášení | Registrace

napište » Zprávičky

Perplexity AI nabízí 34,5 miliardy dolarů za převzetí prohlížeče Chrome

včera 11:55 | IT novinky

Společnost Perplexity AI působící v oblasti umělé inteligence (AI) podala nevyžádanou nabídku na převzetí webového prohlížeče Chrome internetové firmy Google za 34,5 miliardy dolarů (zhruba 723 miliard Kč). Informovala o tom včera agentura Reuters. Upozornila, že výše nabídky výrazně převyšuje hodnotu firmy Perplexity. Společnost Google se podle ní k nabídce zatím nevyjádřila.

Ladislav Hagara | Komentářů: 4

Bezpečnostní chyby v produktech od Intelu – 08/2025. Mikrokód 20250812

včera 04:33 | Bezpečnostní upozornění

Intel vydal 34 upozornění na bezpečnostní chyby ve svých produktech. Současně vydal verzi 20250812 mikrokódů pro své procesory řešící 6 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0

Go 1.25

včera 04:22 | Nová verze

Byla vydána nová verze 1.25 programovacího jazyka Go (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Linux Mint 22.2 Zara – Beta

12.8. 13:44 | Nová verze

Byla vydána beta verze Linux Mintu 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 0

Britský soud zamítl žalobu Wikipedie proti novému zákonu o on-line bezpečnosti

12.8. 13:00 | IT novinky

Provozovatel internetové encyklopedie Wikipedie prohrál v Británii soudní spor týkající se některých částí nového zákona o on-line bezpečnosti. Soud ale varoval britského regulátora Ofcom i odpovědné ministerstvo před zaváděním přílišných omezení. Legislativa zpřísňuje požadavky na on-line platformy, ale zároveň čelí kritice za možné omezování svobody slova. Společnost Wikimedia Foundation, která je zodpovědná za fungování

… více »

Ladislav Hagara | Komentářů: 2

Syncthing 2.0.0

12.8. 12:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro synchronizaci dat mezi vícero počítači bez centrálního serveru Syncthing (Wikipedie). Přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 2

Trump po osobním setkání chválil šéfa Intelu, před týdnem ho vyzval k rezignaci

12.8. 12:33 | IT novinky

Americký prezident Donald Trump se v pondělí osobně setkal s generálním ředitelem firmy na výrobu čipů Intel Lip-Bu Tanem. Šéfa podniku označil za úspěšného, informují agentury. Ještě před týdnem ho přitom ostře kritizoval a požadoval jeho okamžitý odchod. Akcie Intelu v reakci na schůzku po oficiálním uzavření trhu zpevnily asi o tři procenta.

Ladislav Hagara | Komentářů: 12

Debian GNU/Hurd 2025

11.8. 04:55 | Nová verze

Byl vydán Debian GNU/Hurd 2025. Jedná se o port Debianu s jádrem Hurd místo obvyklého Linuxu.

Ladislav Hagara | Komentářů: 6

openSUSE je s námi už 20 let

11.8. 02:44 | Komunita

V sobotu 9. srpna uplynulo přesně 20 let od oznámení projektu openSUSE na konferenci LinuxWorld v San Franciscu. Pokuď máte archivní nebo nějakým způsobem zajímavé fotky s openSUSE, můžete se o ně s námi podělit.

lkocman | Komentářů: 6

Debian 13 Trixie

9.8. 21:11 | Nová verze

Byl vydán Debian 13 s kódovým názvem Trixie. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 8

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (52%)

5-15 (19%)

16-30 (4%)

31-50 (5%)

51-70 (3%)

71-100 (1%)

101-130 (1%)

>131 (16%)

Celkem 388 hlasů

Komentářů: 23, poslední 4.8. 13:01

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / mam to spravne? - FireWall

Štítky: DNS, e-mail, firewally, FTP, ICQ, Instant messaging, Internet, iptables, KDE, komunikace, MTA, NAT, proxy, P2P, sítě, SMTP, web

Dotaz: mam to spravne? - FireWall

19.12.2004 02:44 Vaškic | skóre: 6 | blog: vaskic
mam to spravne? - FireWall

Přečteno: 268×

Odpovědět | Admin

Tak jsem konecne rozchodil router+FireWall o kterym musim pristi tyden odevzdat semestralku a protoze jsem v tomto zacatecnik tak bych se rad zeptal jestli to mam spravne? Sice to funguje, ale bral bych nazory a co vylepsit... :-)

Jedna se o router na kterym nic nebezi (proto on ma cokoliv zakazano) a pouze zprostredkovava inet z eth0 na eth1 do vnitrni site.
# zapnu routovani paketu
echo 1 > /proc/sys/net/ipv4/ip_forward
# nejprve spustim firewall, kteremu budu predavat pravidla pomoci iptables
modprobe ip_tables
# umoznim pruchod aktivniho ftp firewallu
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# prekladac adres - maskarada
modprobe ipt_MASQUERADE
# zprostredkovani pripojeni vnitrni site k internetu
iptables -t nat -I POSTROUTING -j MASQUERADE -s 192.168.0.0/24
#
# nastaveni pravidel FireWallu
#
#vychazim ze zahazovani vsech paketu ve vsech retezcich
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# povoleni portu 20 sluzba ftp data
iptables -A FORWARD -o eth0 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 20 -j ACCEPT
# povoleni portu 21 sluzba ftp
iptables -A FORWARD -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 21 -j ACCEPT
# povoleni portu 25 sluzba smtp
iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 25 -j ACCEPT
# povoleni portu 53 sluzba TCP/UDP pro DNS
iptables -A FORWARD -o eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --sport 53 -j ACCEPT
# povoleni portu 80 sluzba http
iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 80 -j ACCEPT
# povoleni portu 110 sluzba pop3
iptables -A FORWARD -o eth0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 110 -j ACCEPT
# povoleni portu 443 sluzba HTTPS
iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 443 -j ACCEPT
# povoleni portu 5190 sluzba ICQ
iptables -A FORWARD -o eth0 -p tcp --dport 5190 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --sport 5190 -j ACCEPT

Tot vse, jinac na netu je mooooc navoda a ukazek, ale takovejhle obycejnej jednoduchej sem nikde nenasel, tak doufam, ze to i treba nekomu pomuze...

Nástroje: Začni sledovat (0) ?

Odpovědi

19.12.2004 07:54 martin
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Myslim, ze to je uplne spatne. Rozhodne by tam nemela byt pravidla iptables -A FORWARD -i eth0 ..., pokud nechcete, aby se dalo dostat z internetu do lokalni site. Misto toho by tam melo byt neco jako

iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Dale bych misto MASQUERADE pouzil SNAT, ale to uz neni tak hrozny.

19.12.2004 10:04 Vaškic | skóre: 6 | blog: vaskic
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Nejak to nejsem schopnej s timhle rozchodit. Mohl byste mne please ukazat jak by to melo vypadat napr. pro port 80?
A myslim, ze SNAT je jen pro jedno pripojeni, ja tam ale mam na eth1 vic pocitacu takze tam myslim maskarada musi byt?

19.12.2004 10:18 ttt
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Ten SNAT by mohl vypadat treba takto: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to verejneIP

19.12.2004 11:12 Vaškic | skóre: 6 | blog: vaskic
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Uz jsem snad prisel na to kde byla chipka takze tady mam verzi 1.0.0.1 stabile ... :-)

Doufam, ze uz je to lepsi.

# zapnu routovani paketu
echo 1 > /proc/sys/net/ipv4/ip_forward
# nejprve spustim firewall, kteremu budu predavat pravidla pomoci iptables
modprobe ip_tables
# umoznim pruchod aktivniho ftp firewallu
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# prekladac adres - maskarada
modprobe ipt_MASQUERADE
# zprostredkovani pripojeni vnitrni site k internetu
iptables -t nat -I POSTROUTING -j MASQUERADE -s 192.168.0.0/24
#
# nastaveni pravidel FireWallu
#
#vychazim ze zahazovani vsech paketu ve vsech retezcich
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# povoleni portu 20 sluzba ftp data
iptables -A FORWARD -o eth0 -p tcp --dport 20 -j ACCEPT
# povoleni portu 21 sluzba ftp
iptables -A FORWARD -o eth0 -p tcp --dport 21 -j ACCEPT
# povoleni portu 25 sluzba smtp
iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
# povoleni portu 53 sluzba TCP/UDP pro DNS
iptables -A FORWARD -o eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --dport 53 -j ACCEPT
# povoleni portu 80 sluzba http
iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT
# povoleni portu 110 sluzba pop3
iptables -A FORWARD -o eth0 -p tcp --dport 110 -j ACCEPT
# povoleni portu 443 sluzba HTTPS
iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT
# povoleni portu 5190 sluzba ICQ
iptables -A FORWARD -o eth0 -p tcp --dport 5190 -j ACCEPT
# povoleni navratu paketu patrici nami vytvorenemu spojeni
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Takze please zase nejaky pripominky, napady... Diky

19.12.2004 12:00 Jesus Jimenez | skóre: 29
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

;) hlavne do te semestralky nepiste nic o "chipkach", nebo vas vyhodi hned mezi dvermi ;)

Doaenův zákon průtahů: Čím pomaleji pracuješ, tím méně naděláš chyb. -- Murphy

19.12.2004 12:42 Michal Kubeček
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Moc nerozumím tomu, proč vlastně cítíte potřebu omezovat, na které porty se smí přistupovat z vnitřní sítě ven...

Pravidlo pro překlad adres vypadá trochu divně, jednak bych na vašem místě přidal podmínku, aby se překládaly jen pakety, které jdou ven, jednak se mi moc nezdá ta podmínka až za akcí.

A ještě jedna praktická rada: kvůli efektivitě je vhodné, aby pravidla, která řeší největší část provozu, byla testována jako první. Vy to pravidlo, které typicky řeší největší část provozu, máte jako úplně poslední...

19.12.2004 13:54 Jarek Šeděnka
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

aspoň pujde v logach videt, kdyz zacne radit Sasser nebo neco podobneho.. Taky se tim dost omezi trojsti konici (vim ze zvenku se pripojit nepujde, ale treba veci co napadnou pocitac a pak se poslusne hlasi u sveho pana? :-)

19.12.2004 14:22 Michal Kubeček
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Tuto úvahu už jsem několikrát viděl a považuji ji za naprosto zcestnou. Představte si, že takového trojáka budete psát. Jakou formu komunikace zvolíte: něco zcela netypického na neobvyklém portu, co na sebe na první pohled upozorní, nebo raději něco, co bude pokud možno co nejvíce připomínat běžný provoz? Nevím jak vy, ale já bych určitě zvolil komunikaci, která by co nejvíce připomínala HTTP (a dost možná bych to udělal i tak, aby to opravdu bylo HTTP), SMTP, POP3 nebo podobně všudypřítomný protokol, který nikomu nebude naznačovat, že se děje něco nepatřičného...

19.12.2004 14:01 Vaškic | skóre: 6 | blog: vaskic
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Ja jsem prave myslel, ze nejlepsi je filozofie vsechno zakazat a pak postupne povolovat jen to co potrebuju.
Ten preklad adres zkusim jeste vylepsit (pokud zbyde cas)
Posledni podminku jsem uz dal na zacatek - diky

19.12.2004 14:01 Vaškic | skóre: 6 | blog: vaskic
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

19.12.2004 14:25 Michal Kubeček
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

To samozřejmě je. Jenže to je filosofie při řešení přístupu zvenku, přičemž zvenku tu znamená i třeba přístup z vnitřní sítě na firewall samotný. Nemá ale IMHO smysl bránit vlastním uživatelům v přístupu ven. Bezpečnosti tím nepomůžete a budete jim jen zbytečně komplikovat život. Navíc tím podporujete čím dál rozšířenější pocit, že Internet je jen web (a možná ještě e-mail) a zbytek nestojí za řeč.

19.12.2004 17:13 Ondřej Suchý
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Firewallové omezení přístupu na vybrané služby zevnitř ven je stejně legitimní jako zvenku dovnitř. Může pro to být celá řada důvodů, například omezení aktivit zaměstnanců, ochrana vnějšího prostředí před útoky zevnitř (zejména viry a červy), či vynucení některých fines bezpečnostní politiky.

19.12.2004 18:34 Michal Kubeček
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

Legitimní to samozřejmě je, ale o praktické užitečnosti mám vážné pochybnosti. Aktivity zaměstnanců výše popsané řešení neomezí - stačí jeden kamarád venku a stejně se dostanou, kam budou potřebovat; nemluvě o tom, že kdyby chtěl správce něco omezit, zrovna ICQ (které je zde mezi povolenými) bude na čelních místech. Vnější prostředí by se jednak mělo ochránit samo, jednak každý autor červa, který má rozum, pro komunikaci ven použije právě ty porty, které jsou zde povoleny (jak už jsem psal v minulém příspěvku). A co se vynucení bezpečnostní politiky týká, dokážu si představit omezování toho typu, že např. zakážu TCP provoz ven na port 25, aby pošta ven musela jít přes náš MTA, případně vynucení HTTP provozu přes proxy (s již několikrát zmíněnou výhradou) - jenže popsané řešení opět funguje přesně opačně. Takže ano, za určitých okolností má smysl omezovat provoz zevnitř ven, ale nevidím moc smyslu v tom, aby to někdo dělal tak, jak bylo popsáno v příspěvku tazatele.

26.12.2004 05:39 sake
Rozbalit Rozbalit vše Re: mam to spravne? - FireWall

No, ci ono to obmedzenie nebolo myslene tak, aby napr. zamestnanci nestahovali filmy z P2P sieti a pod. a nezatazovali tym siet.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje