abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:00 | Zajímavý článek

    Jiří Eischmann v příspěvku na svém blogu představuje typy, jak lépe chránit své soukromí na mobilním telefonu: "Asi dnes neexistuje způsob, jak se sledování vyhnout úplně. Minimálně ne způsob, který by byl kompatibilní s tím, jak lidé technologie běžně používají. Soukromí ovšem není binární věc, ale škála. Absolutního soukromí je dnes na Internetu dost dobře nedosažitelné, ale jen posun na škále blíže k němu se počítá. Čím méně dat se o vás posbírá, tím nepřesnější budou vaše profily a tím méně budou zneužitelné proti vám."

    Ladislav Hagara | Komentářů: 1
    dnes 00:22 | Nová verze

    Byla vydána nová stabilní verze 25.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Warbler. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    včera 18:11 | Nová verze

    Multiplatformní open source spouštěč her Heroic Games Launcher byl vydán v nové stabilní verzi 2.17.0 Franky (Mastodon, 𝕏). Přehled novinek na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 18:00 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 26 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 14:55 | IT novinky

    Klávesnice IBM Enhanced Keyboard, známá také jako Model M, byla poprvé představena v roce 1985, tzn. před 40 lety, s počítači IBM 7531/7532 Industrial Computer a 3161/3163 ASCII Display Station. Výročí připomíná článek na zevrubném sběratelském webu Admiral Shark's Keyboards. Rozložení kláves IBM Enhanced Keyboard se stalo průmyslovým standardem.

    Fluttershy, yay! | Komentářů: 4
    včera 12:00 | Nová verze

    Vyšlo Pharo 13 s vylepšenou podporou HiDPI či objektovým Transcriptem. Pharo je programovací jazyk a vývojové prostředí s řadou pokročilých vlastností.

    Pavel Křivánek | Komentářů: 1
    včera 04:00 | IT novinky

    Java má dnes 30. narozeniny. Veřejnosti byla představena 23. května 1995.

    Ladislav Hagara | Komentářů: 7
    22.5. 21:55 | IT novinky

    1. července Mozilla vypne službu Fakespot pro detekci podvodných recenzí v internetových obchodech. Mozilla koupila Fakespot v květnu 2023.

    Ladislav Hagara | Komentářů: 1
    22.5. 21:33 | IT novinky

    8. července Mozilla vypne službu Pocket (Wikipedie) pro ukládání článků z webu na později. Do 8. října si uživatelé mohou vyexportovat data. Mozilla koupila Pocket v únoru 2017. Několik měsíců byl Pocket integrovanou součástí Firefoxu.

    Ladislav Hagara | Komentářů: 5
    22.5. 13:22 | Upozornění

    Turris OS má aktuálně problém s aktualizací související s ukončením podpory protokolu OCSP u certifikační autority Let's Encrypt.

    Ladislav Hagara | Komentářů: 4
    Jaký je váš oblíbený skriptovací jazyk?
     (58%)
     (27%)
     (6%)
     (3%)
     (0%)
     (0%)
     (5%)
    Celkem 93 hlasů
     Komentářů: 6, poslední 22.5. 14:43
    Rozcestník

    Dotaz: porty v iptables

    18.3.2006 17:06 petr
    porty v iptables
    Přečteno: 880×
    zdravim,
    chtel bych se zeptat jake porty je potreba povolit v IPTABLES kdyz na routru/fw potrebuju mit pustenou Sambu a FTP server a na pc za firewallem portebuji akorat prohlizet web a stahovat z FTP z internetu. vim ze se to tu nekolikrat resilo ale kdyz jsem povolil porty 21(ftp), 53(podle me DNS), 80(http) a 5190(gaim IM) ve FORWARD a 21 a 139 v INPUT a OUTPUT tak z PC neslo ani prohlizet web ani se nikam pripojit na FTP a na routeru prestala byt dostupna Samba i FTP.
    poradite me nekdo ? dekuji.

    Odpovědi

    18.3.2006 17:47 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: porty v iptables

    Dejte sem komletní výpis pravidel firewallu, jinak můžem jenom věštit...

    Každý má právo na můj názor!
    18.3.2006 19:29 petr
    Rozbalit Rozbalit vše Re: porty v iptables
    
    #vymazani vsech pravidel pro INPUT a OUTPUT 
    
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD  
    
    #
    #vychozi zahozeni vseho
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP  
    #
    
    #vytvoreni NAT
    
    iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j SNAT --to-source=10.7.128.17
    
    #
    #
    #FORWARD
    
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80   -j ACCEPT  #http
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 21   -j ACCEPT  #ftp
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 22   -j ACCEPT  #ssh
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 53   -j ACCEPT  #DNS tcp
    iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53   -j ACCEPT  #DNS udp
    iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53   -j ACCEPT  #DNS tcp
    iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53   -j ACCEPT  #DNS udp
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5190 -j ACCEPT  #gaim tcp
    iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 5190 -j ACCEPT  #gaim udp
    iptables -A FORWARD -p tcp --dport 111 -j ACCEPT 
    iptables -A FORWARD -p tcp --dport 113 -j ACCEPT  
    iptables -A FORWARD -p tcp --dport 445 -j ACCEPT  
    iptables -A FORWARD -p tcp --dport 665 -j ACCEPT  
    
    #
    #
    #INPUT
    
    iptables -A INPUT -i eth0 -p udp --dport 53     -j ACCEPT   #DNS udp 
    iptables -A INPUT -i eth0 -p tcp --dport 53      -j ACCEPT   #DNS tcp
    iptables -A INPUT -i eth0 -p tcp --dport 445  -j ACCEPT    #samba
    iptables -A INPUT -i eth0 -p tcp --dport 139  -j ACCEPT  #samba
    iptables -A INPUT -i eth0 -p udp --dport 139  -j ACCEPT  #samba udp
    iptables -A INPUT -i eth0 -p tcp --dport 22     -j ACCEPT  #ssh
    iptables -A INPUT -i eth1 -p tcp --dport 22     -j ACCEPT  #ssh na eth1
    #
    #
    #
    #OUTPUT
    #
    iptables -A OUTPUT -o eth0 -p udp --sport 53  -j ACCEPT  #DNS udp 
    iptables -A OUTPUT -o eth0 -p tcp --sport 53  -j ACCEPT  #DNS tcp 
    iptables -A OUTPUT -o eth0 -p tcp --sport 445 -j ACCEPT #samba
    iptables -A OUTPUT -o eth0 -p tcp --sport 139 -j ACCEPT  #samba
    iptables -A OUTPUT -o eth0 -p tcp --sport 22  -j ACCEPT  #ssh
    iptables -A OUTPUT -o eth1 -p tcp --sport 22  -j ACCEPT  #ssh na eth1
    19.3.2006 14:48 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: porty v iptables

    Problém je minimálně v tom, že předpokládáte, že pro DNS dotazy klienti (Tedy PC ve vnitřní síti) používají, stejně jako server port 53, což je samozřejmě nesmysl (obvykle to jsou nějaké vysoké porty). Pravidla

    iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT  #DNS tcp
    iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT  #DNS udp
    

    tedy nedávají smysl (vše za předpokladu, že eth1 je rozhraní do internetu*) a tudíž vám na stanicích nefunguje překlad adres. Buď zaměňte --dport za --sport (což je ale z bezpečnostního hlediska pěkná blbost...), nebo zkuste využít možností stavového filtru a použijte obligátní:

    iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT;
    

    * ve vašem případě se samozřejmě jedná o privátní síť (10.7.128.17)

    Každý má právo na můj názor!
    19.3.2006 14:53 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: porty v iptables

    Ještě jsem zapomněl dodat, že služby, který chcete ze stanic využívat

    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80   -j ACCEPT  #http
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 21   -j ACCEPT  #ftp
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 22   -j ACCEPT  #ssh
    

    Pouštíte taky jenom jednim směrem (ven). Výše uvedenej příklad s ESTABLISHED, RELATED nicméně řeší i toto.

    Každý má právo na můj názor!
    19.3.2006 15:01 manasekp | skóre: 29 | blog: manasekp | Brno
    Rozbalit Rozbalit vše Re: porty v iptables
    zapomel jsem napsat ze eth1 je do moji vnitrni site(192.168.x.x) a eth0 je do vnejsi site(taky z privatniho rpzsahu 10.x.x.x)
    BIOKOMP | Cas od casu se pokousim nekoho srazit k zemi abych se tam nevalel sam.
    19.3.2006 15:07 Martin Tůma | skóre: 39 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: porty v iptables

    Na moje příspěvky výše to nicméně nemá moc zásadní vliv ;-)

    Každý má právo na můj názor!

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.