abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 23:28 | Zajímavý software

    Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 0
    dnes 22:22 | Zajímavý software

    V Seattlu a také online probíhá konference Microsoft Build 2025. Microsoft představuje své novinky. Windows Subsystem for Linux je nově open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 0
    dnes 13:11 | Zajímavý článek

    Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."

    Ladislav Hagara | Komentářů: 1
    dnes 12:44 | Nová verze

    Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    dnes 12:33 | Nová verze

    Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | Nasazení Linuxu

    Spolek vpsFree.cz vydal statistiky týkající se distribucí nasazených na serverech členů. V dlouhodobém pohledu je zřejmé, že většina uživatelů z původního CentOS přechází na Rocky Linux. Pozoruhodný je také nárůst obliby distribuce NixOS, která dnes zaujímá třetí místo po Debianu a Ubuntu.

    Petr Krčmář | Komentářů: 0
    dnes 04:11 | IT novinky

    Google minulý týden představil Material 3 Expressive, tj. novou verzi svého designového jazyka Material Design pro Android 16 a Wear OS 6.

    Ladislav Hagara | Komentářů: 5
    včera 03:55 | Nová verze

    Byl vydán Debian 12.11, tj. jedenáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

    Ladislav Hagara | Komentářů: 0
    17.5. 14:55 | Zajímavý software

    Makepad dospěl do verze 1.0 (𝕏). Jedná se o multiplatformní open source UI framework pro Rust napsaný v Rustu.

    Ladislav Hagara | Komentářů: 12
    16.5. 17:11 | Komunita

    Konference OpenAlt 2025 hledá přednášející. Proběhne o víkendu 1. a 2. listopadu na půdě Fakulty informačních technologií VUT v Brně. Témata konference jsou: Otevřený a svobodný software, IoT a Hnutí tvůrců, Vzdělávání, Bezpečnost a soukromí, Otevřená společnost, komunity a data, OpenMobility a další.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (64%)
     (14%)
     (11%)
     (0%)
     (0%)
     (0%)
     (11%)
    Celkem 28 hlasů
     Komentářů: 4, poslední dnes 22:41
    Rozcestník

    Dotaz: Prerouting iptables

    2.8.2006 20:24 Chap
    Prerouting iptables
    Přečteno: 727×
    ahoj, snazim se smerovat porty na routeru. bohuzel tomu zas tak moc nerozumim. na nekolika forech jsem videla jak na to ale stejne se mi nejak nedari. Kdyz dam iptables-save tak vidim: :PREROUTING ACCEPT [403:33726] a :INPUT DROP [183:25759] :FORWARD DROP [712:34348]

    z ceho jsem usoudil ze prerouting funguje asi dobre ale pakety to zahodi nekde mezi vnejsi a vnitrni sitovkou :-(

    na forwardeni mam nastaveno tohle:

    iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -i ath0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    na ath0 je verejna ip. Snad jsem se zeptal dost srozumitelne. predem diky za odpoved Chap

    Odpovědi

    2.8.2006 21:41 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Snad jsem se zeptal dost srozumitelne.

    Obávám se že ne.

    2.8.2006 22:12 M
    Rozbalit Rozbalit vše Re: Prerouting iptables
    nechces napsat ostatni pravidla na "smerovani portu" co tam mas?;)
    2.8.2006 22:22 Chap
    Rozbalit Rozbalit vše Re: Prerouting iptables
    tak tady je kompletni nastaveni meho FW (1.2.3.4 je moje verejna IP) delal jsem to podle serialu na root.cz

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -N tcp_segmenty
    iptables -N udp_segmenty
    iptables -A INPUT -p TCP -i ath0 -j tcp_segmenty
    iptables -A INPUT -p UDP -i ath0 -j udp_segmenty
    iptables -A udp_segmenty -p UDP --dport 5001 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 5000 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 80 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 20 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 21 -j ACCEPT
    iptables -A tcp_segmenty -p TCP --dport 22 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 0 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 3 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 8 -j ACCEPT
    iptables -A INPUT -p ICMP -i ath0 --icmp-type 11 -j ACCEPT


    iptables -A INPUT -p ALL -i eth0 -j ACCEPT
    iptables -A INPUT -p ALL -i lo -j ACCEPT

    iptables -A INPUT -j LOG

    iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
    iptables -A OUTPUT -p ALL -s 192.168.10.1 -j ACCEPT
    iptables -A OUTPUT -p ALL -s 1.2.3.4 -j ACCEPT
    iptables -A OUTPUT -j LOG



    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A FORWARD -i ath0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth0 -o ath0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -t nat -A POSTROUTING -o ath0 -j MASQUERADE


    iptables -t nat -A POSTROUTING -o ath0 -j SNAT --to 1.2.3.4
    iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 5000 -j DNAT --to 192.168.10.2:5000
    iptables -t nat -A PREROUTING -p udp -d 1.2.3.4 --dport 5001 -j DNAT --to 192.168.10.2:5001

    iptables -N spoofing
    iptables -A spoofing -s 192.168.0.0/16 -j DROP
    iptables -A spoofing -s 172.16.0.0/12 -j DROP
    iptables -A spoofing -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -i ath0 -j spoofing
    iptables -A FORWARD -i ath0 -j spoofing

    iptables -N syn_flood
    iptables -A INPUT -i ath0 -p tcp --syn -j syn_flood
    iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
    iptables -A INPUT -m limit --limit 3/hour --limit-burst 5 -j LOG
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
    2.8.2006 22:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Výpis aktuální iptables tabulky získáte příkazem iptables -nL --line-numbers, tabulka nat se pak vypíše příkazem iptables -t nat -nL --line-numbers. Obojí sem pokud možno vložte. Směrovat porty na routeru znamená co přichází na port 8080 přesměrovat na tom samém počítači na port 80? Později zase ale píšete o forwardování… Aby jádro povolilo předávání paketů z jednoho síťového rozhraní na jiné, je ještě nutné zapnout
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    Pro vkládání příkazů a výstupů do diskuze prosím použijte tagy <pre class="kod">…</pre>, které zachovají formátování textu a bude jasné, co jsou jednotlivé řádky.

    Ještě pár odkazů:
    2.8.2006 23:04 Chap
    Rozbalit Rozbalit vše Re: Prerouting iptables
    tak tady je vypis iptables a nat.
    Chain INPUT (policy DROP)
    num  target     prot opt source               destination
    1    tcp_segmenty  tcp  --  0.0.0.0/0            0.0.0.0/0
    2    udp_segmenty  udp  --  0.0.0.0/0            0.0.0.0/0
    3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0
    4    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3
    5    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
    6    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11
    7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    9    LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
    10   spoofing   all  --  0.0.0.0/0            0.0.0.0/0
    11   syn_flood  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
    12   LOG        all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 3/hour 5 LOG flags 0 
    13   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5 
    level 4
    
    Chain FORWARD (policy DROP)
    num  target     prot opt source               destination
    1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    3    spoofing   all  --  0.0.0.0/0            0.0.0.0/0
    4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    
    Chain OUTPUT (policy DROP)
    num  target     prot opt source               destination
    1    ACCEPT     all  --  127.0.0.1            0.0.0.0/0
    2    ACCEPT     all  --  192.168.10.1         0.0.0.0/0
    3    ACCEPT     all  --  1.2.3.4       0.0.0.0/0
    4    LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
    
    Chain spoofing (2 references)
    num  target     prot opt source               destination
    1    DROP       all  --  192.168.0.0/16       0.0.0.0/0
    2    DROP       all  --  172.16.0.0/12        0.0.0.0/0
    3    DROP       all  --  10.0.0.0/8           0.0.0.0/0
    
    Chain syn_flood (1 references)
    num  target     prot opt source               destination
    1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 5
    
    Chain tcp_segmenty (1 references)
    num  target     prot opt source               destination
    1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5000
    2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
    4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
    5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    
    Chain udp_segmenty (1 references)
    num  target     prot opt source               destination
    1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:5001
    root@slax:/# iptables -t nat -nL --line-numbers
    Chain PREROUTING (policy ACCEPT)
    num  target     prot opt source               destination
    1    DNAT       tcp  --  0.0.0.0/0            1.2.3.4      tcp dpt:5000 to:192.168.10.2:5000
    2    DNAT       udp  --  0.0.0.0/0            1.2.3.4      udp dpt:5001 to:192.168.10.2:5001
    
    Chain POSTROUTING (policy ACCEPT)
    num  target     prot opt source               destination
    1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0
    2    SNAT       all  --  0.0.0.0/0            0.0.0.0/0           to:1.2.3.4
    
    Chain OUTPUT (policy ACCEPT)
    num  target     prot opt source               destination
    
    
    3.8.2006 09:11 Jiri Strapina
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Jeste lepsi vypis z iptables je s prepinacem -v (ukecanejsi), vypise i interface a pocitadla packetu, takze uvidis, zda se pravidlo vubec uplatnilo.

    Kdyz si pridas nasledujici dva radku do forwardu, tak by to melo fungovat
    iptables -A FORWARD -m state --state NEW -i ath0 -o eth0 -p tcp -d 192.168.10.2 --dport 5000 -j ACCEPT
    iptables -A FORWARD -m state --state NEW -i ath0 -o eth0 -p udp -d 192.168.10.2 --dport 5001 -j ACCEPT
    
    3.8.2006 18:18 Chap
    Rozbalit Rozbalit vše Re: Prerouting iptables
    Diky moc, ted uz to jde.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.