Přihlášení | Registrace

napište » Zprávičky

Instalace 5G opakovačů ve vlacích ČD je dokončena

dnes 14:44 | IT novinky

Na lepší pokrytí mobilním signálem a dostupnější mobilní internet se mohou těšit cestující v Pendolinech, railjetech a InterPanterech Českých drah. Konsorcium firem ČD - Telematika a.s. a Kontron Transportation s.r.o. dokončilo instalaci 5G opakovačů mobilního signálu do jednotek Pendolino a InterPanter. Tento krok navazuje na zavedení této technologie v jednotkách Railjet z letošního jara.

Ladislav Hagara | Komentářů: 2

Rozšíření webového prohlížeče slibující ochranu soukromí prodává AI konverzace milionů uživatelů

dnes 12:22 | Bezpečnostní upozornění

Rozšíření webového prohlížeče Urban VPN Proxy a další rozšíření od stejného vydavatele (např. 1ClickVPN Proxy, Urban Browser Guard či Urban Ad Blocker) od července 2025 skrytě zachytávají a odesílají celé konverzace uživatelů s AI nástroji (včetně ChatGPT, Claude, Gemini, Copilot aj.), a to nezávisle na tom, zda je VPN aktivní. Sběr probíhá bez možnosti jej uživatelsky vypnout a zahrnuje plný obsah dotazů a odpovědí, metadata relací i

… více »

Ladislav Hagara | Komentářů: 4

QStudio je open source

dnes 05:22 | Zajímavý software

QStudio, tj. nástroj pro práci s SQL podporující více než 30 databází (MySQL, PostgreSQL, DuckDB, QuestDB, kdb+, …), se stal s vydáním verze 5.0 open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí Apache 2.0.

Ladislav Hagara | Komentářů: 2

systemd 259

dnes 04:55 | Nová verze

Byla vydána nová verze 259 správce systému a služeb systemd (Wikipedie, GitHub).

Ladislav Hagara | Komentářů: 0

Cloudflare Radar / Přehled za rok 2025

dnes 02:55 | Zajímavý článek

Cloudflare Radar poskytuje aktuální informace o globálním internetovém provozu, útocích nebo trendech. Publikován byl celkový přehled za rok 2025. Globální internetový provoz vzrostl v roce 2025 o 19 %.

Ladislav Hagara | Komentářů: 0

Warner Bros odmítá nabídku na převzetí od Paramountu, preferuje Netflix

včera 15:22 | IT novinky

Správní rada americké mediální skupiny Warner Bros. Discovery (WBD) podle očekávání odmítla nepřátelskou nabídku na převzetí od firmy Paramount Skydance za 108,4 miliardy dolarů (2,25 bilionu Kč). Paramount podle ní neposkytl dostatečné finanční záruky. Akcionářům proto doporučuje nabídku od Netflixu.

Ladislav Hagara | Komentářů: 0

Nový podvod vám může ukrást účet na WhatsAppu i bez hesla

včera 14:22 | Bezpečnostní upozornění

Na WhatsAppu se šíří nový podvod, který ovšem vůbec nevypadá jako hackerský útok. Žádná krádež hesla. Žádné narušení zabezpečení. Žádné zjevné varovné signály. Místo toho jsou lidé trikem donuceni, aby útočníkům sami poskytli přístup, a to pouhým provedením toho, co vypadá jako běžný ověřovací krok. Bezpečnostní experti Avastu tento nový typ útoku nazývají ghostpairing, protože útočníci si při něm tiše vytvářejí „zařízení duchů“, které žije uvnitř vašeho účtu.

Ladislav Hagara | Komentářů: 6

Český překlad příručky LibreOffice Draw 25.8

včera 12:33 | Nová verze

Český LibreOffice tým vydává aktualizaci překladu příručky LibreOffice Draw 25.8. Tato kniha se zabývá hlavními funkcemi programu Draw, vektorové grafické komponenty systému LibreOffice. Pomocí Draw lze vytvářet širokou škálu grafických obrázků. Příručka je ke stažení na stránce dokumentace a tým hledá dobrovolníky pro další překlady.

ZCR | Komentářů: 2

Anthony Enzor-DeMeo je novým CEO Mozilla Corporation

včera 04:00 | IT novinky

Anthony Enzor-DeMeo je novým CEO Mozilla Corporation. Mozillu převzal po dočasné CEO Lauře Chambers. Vybudovat chce nejdůvěryhodnější softwarovou společnost na světě. Firefox by se měl vyvinout v moderní AI prohlížeč.

Ladislav Hagara | Komentářů: 8

DietPi 9.20

16.12. 17:11 | Nová verze

Byla vydána nová verze 9.20 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Vypíchnout lze například nový balíček RustDesk Server pro vzdálený přístup.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (35%)

Gitlab (48%)

Atlassian (20%)

Bitbucket (17%)

Gitea (23%)

Mercurial (15%)

jen git (24%)

jen svn (16%)

Jiné (uvedu v diskusi) (17%)

Celkem 482 hlasů

Komentářů: 19, poslední 11.12. 20:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / nastaveni iptables, ICQ, ESTABLISHED

Štítky: Apache, distribuce, DNS, firewally, FTP, ICQ, Instant messaging, Internet, iptables, Jabber, sítě, Slackware, SSH

Dotaz: nastaveni iptables, ICQ, ESTABLISHED

30.6.2006 17:31 Michal Wirth | skóre: 26
nastaveni iptables, ICQ, ESTABLISHED

Přečteno: 533×

Odpovědět | Admin

Dobry den,
jiz asi 3 dny se snazim nastavit firewall pres iptables pro muj desktopovy pc. Mam Slackware 10.2, jadro 2.6.16. Mam zavedeny moduly ip_conntrack_ftp a ip_nat_ftp (mimo jine).
Nastaveni iptables provadim pomoci:


IPTABLES="/usr/sbin/iptables"

VNEJSI_IP="192.168.1.1"

VNEJSI_ZARIZENI="eth1"

VNEJSI_DNS="x.x.x.x"



$IPTABLES -F

$IPTABLES -P INPUT DROP

$IPTABLES -P FORWARD DROP

$IPTABLES -P OUTPUT DROP



$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p TCP -d $VNEJSI_IP --sport 80 -j ACCEPT

$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p TCP -d $VNEJSI_IP --sport 20:21 -j ACCEPT



# prijmame od naseho DNS serveru informace

$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p UDP -s $VNEJSI_DNS -d $VNEJSI_IP --sport 53 -j ACCEPT



# jiz otevrena spojeni jsou v poradku

$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p TCP -d $VNEJSI_IP -m state --state ESTABLISHED,RELATED -j ACCEPT



# povolujeme odchod TCP paketu ze vsech portu az na jmenovane

$IPTABLES -A OUTPUT -o $VNEJSI_ZARIZENI -p TCP -s $VNEJSI_IP -m multiport --sports ! 20,21,22,80  -j ACCEPT



# neomezujeme odchod UDP paketu

$IPTABLES -A OUTPUT -o $VNEJSI_ZARIZENI -p UDP -s $VNEJSI_IP -j ACCEPT

Zatim to stale upravuji. Ale mam problem. Prestoze jsou takto nastavena pravidla, pripoji se mi ICQ i Jabber klient. Dle meho by nemel. Nepripoji se pouze tehdy, pokud mam zakomentovan radek s statusem ESTABLISHED,RELATED. To ovsem zase (logicky) nejde aktivni FTP. Uz si nevim rady.
Predem dekuji za jakekoliv odpovedi.

Důležité se časem stává absurdním, absurdní se časem mění v důležité.

Nástroje: Začni sledovat (0) ?

Odpovědi

30.6.2006 18:10 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

$IPTABLES -A OUTPUT -o $VNEJSI_ZARIZENI -p TCP -s $VNEJSI_IP -m multiport --sports ! 20,21,22,80 -j ACCEPT

IMO tohle povolí všechnu komunikaci do vnějšího světa, pokud neodchází z portů 20,21,22,80, což neprivilegované procesy stejně nemůžou. Proto se ICQ i Jabber klient připojí.

Když vyhodíš ten řádek s ESTABLISHED, tak se připojí taky, ale odpověď se zahodí (proto se v konečném důsledku nepřipojí)

$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p TCP -d $VNEJSI_IP --sport 80 -j ACCEPT

IMHO tohle s největší pravděpodobností nebude dělat to, co po tom chceš. Takto zapsané pravidlo povoluje všechen příchozí provoz, pokud pochází z portu 80 bez ohledu na to, jestli jsi ho začal ty nebo ne.

Quando omni flunkus moritati

30.6.2006 18:26 Michal Wirth | skóre: 26
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

Prvni, vami zminovane pravidlo, tam mam, protoze obcas mi bezi Apache a nechci, aby byl z venku pristupny (stejne tak FTP a SSH).

Za druhe, myslel jsem, ze ten radek s ESTABLISHED dela jen to, ze jiz schvalenou komunikaci automaticky prijima (mohlo by to hned byt jako prvni pravidlo).

A za treti, cilem toho pravidla bylo, abych si mohl prohlizet internetove stranky. Jak teda rozlisit, kdo ten provoz zacal???

Důležité se časem stává absurdním, absurdní se časem mění v důležité.

30.6.2006 18:29 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

úplně stejně jako poznáváte ty ESTABLISHED a RELATED spojení ...

-m state --state NEW

30.6.2006 18:54 Michal Wirth | skóre: 26
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

takze ted tam mam:

# jiz otevrena spojeni jsou v poradku

$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p TCP -d $VNEJSI_IP -m state --state ESTABLISHED,RELATED -j ACCEPT



# povolene porty

$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p TCP -d $VNEJSI_IP --sport 80 -m state --state NEW -j ACCEPT



# prijmame od naseho DNS serveru informace

$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p UDP -s $VNEJSI_DNS -d $VNEJSI_IP --sport 53 -j ACCEPT



# povolujeme odchod TCP paketu ze vsech portu az na jmenovane

$IPTABLES -A OUTPUT -o $VNEJSI_ZARIZENI -p TCP -s $VNEJSI_IP -m multiport --sports ! 20,21,22,80  -j ACCEPT



# neomezujeme odchod UDP paketu

$IPTABLES -A OUTPUT -o $VNEJSI_ZARIZENI -p UDP -s $VNEJSI_IP -j ACCEPT

Prozatim jsem odstranil pravidlo o FTP, abych to nekomplikoval.
Stejne se ICQ i Jabber pripoji, jak je to mozne, kdyz prijimam jen vse co pochazi z portu 80? Nebo se nekde pletu?

Důležité se časem stává absurdním, absurdní se časem mění v důležité.

30.6.2006 18:58 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

ICQ spojení navazujete vy (tedy první paket jde přes OUTPUT). Odpověď už spadne do ESTABLISHED ...

30.6.2006 19:04 Michal Wirth | skóre: 26
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

aha, uz to chapu, diky moc za nakopnuti :-)

, ted uz si poradim

Důležité se časem stává absurdním, absurdní se časem mění v důležité.

30.6.2006 19:31 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

Prvni, vami zminovane pravidlo
(-A OUTPUT -o $VNEJSI_ZARIZENI -p TCP -s $VNEJSI_IP -m multiport --sports ! 20,21,22,80 -j ACCEPT)
tam mam, protoze obcas mi bezi Apache a nechci, aby byl z venku pristupny (stejne tak FTP a SSH).

To ale oním pravidlem neovlivníš. Tímto pravidlem říkáš, že povoluješ všechen odchozí provoz, který nepochází z vyjmenovaných portů. O přístupnosti zvenku toto pravidlo nijak nerozhoduje.

# povolene porty
$IPTABLES -A INPUT -i $VNEJSI_ZARIZENI -p TCP -d $VNEJSI_IP --sport 80 -m state --state NEW -j ACCEPT

Tímto pravidlem umožňuješ komukoliv venku, kdo má na svém stroji účet roota, připojit se k tobě a to na kterýkoliv port a poslat ti data.

Quando omni flunkus moritati

30.6.2006 20:02 Michal Wirth | skóre: 26
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

Tak se mi zda, ze asi nejak nechapu vyznam chainu INPUT a OUTPUT. Mel jsem za to, ze rikaji, co se ma dit s prichozim nebo odchozim paketem.
Byl by tedy nekdo od te dobroty, a napsal mi teda pravidla, jak resit to, o co se snazim uz tolik hodin (dni)?
Ve zkratce vysvetlim. Mam normalni 1 pc pripojeny na Internet pres sitovku eth1. Chci si prohlizet internetové stránky, pripojovat se na FTP, ICQ a Jabber. Nechci, aby se nekdo mohl pokouset o prihlaseni pres SSH, aby byl pristupny muj obcasne bezici Apache.
Budu vdecny za cokoliv. Asi jsem celkove spatne pochopil cely system netfilteru. :-(

Důležité se časem stává absurdním, absurdní se časem mění v důležité.

30.6.2006 20:18 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

Ahoj, upravil jsem trochu muj konfigurák a mohlo by to v základu být to co potřebuješ.

Ven je povolené vše, k tobě jen ty co jsi vyvolal ty.

Snad je to dobře.

LFCIB

/sbin/depmod -a

# moduly
/sbin/modprobe ip_conntrack_ftp

# cisticka pravidel
/sbin/iptables -F
/sbin/iptables -X

# nastaveni implicitni politiky
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT

# loopback
/sbin/iptables -A INPUT -i lo -j ACCEPT

# probihajici a navazana spojeni povolime
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# icmp pakety s zadosti na odezvu povolime
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

30.6.2006 20:27 Michal Wirth | skóre: 26
Rozbalit Rozbalit vše Re: nastaveni iptables, ICQ, ESTABLISHED

za priklad dekuji,
uz mi to docvaklo (to jsem ale tup), prosim vas ingnorujte vse co jsem dneska do ted napsal, ja uz mam dneska totalne vypatlano :-)