abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Android 17
    včera 23:44 | Nová verze

    Minulý týden byl oficiálně vydán Android 17. Detaily na blogu a stránkách věnovaných vývojářům.

    Ladislav Hagara | Komentářů: 3
    Zařízení Steam Machine jde do prodeje
    včera 20:00 | IT novinky

    Dnes jde do prodeje zařízení Steam Machine. Steam Machine 512 GB za 1 039 EUR a Steam Machine 2 TB za 1 359 EUR. Do čtvrtka 25. června do 19:00 se lze zapsat na seznamy. Ty budou jednorázově náhodně slosovány, čímž bude určeno pořadí rezervací a čekacích listin.

    Ladislav Hagara | Komentářů: 5
    OpenMW 0.51.0
    včera 14:44 | Nová verze

    Vývojáři OpenMW (Wikipedie) oznámili vydání verze 0.51.0 této svobodné implementace enginu pro hru The Elder Scrolls III: Morrowind. Přehled novinek v oznámení o vydání a také na YouTube a PeerTube.

    Ladislav Hagara | Komentářů: 0
    ScummVM 2026.3.0 "Carousels & Killer Whales"
    včera 13:33 | Nová verze

    Byla vydána nová verze 2026.3.0 "Carousels & Killer Whales" svobodného softwaru ScummVM (Wikipedie) umožňujícího bezproblémový běh mnoha klasických adventur na zařízeních, pro které nebyly nikdy určeny. Přehled novinek v poznámkách k vydání a na GitHubu.

    Ladislav Hagara | Komentářů: 1
    Vypršení platnosti Microsoft certifikátu v UEFI
    včera 12:22 | IT novinky

    Tento týden (24. a 27. června) vyprší platnost Microsoft certifikátu v UEFI vydaných v roce 2011. Nové certifikáty byly vydány v roce 2023. Kdo na počítačích, i virtuálních, používá zabezpečené spouštění (Secure Boot), měl by si ověřit, že má certifikáty aktualizovány, viz např. články na Red Hat nebo Fedora. Pro stávající systémy se nic nemění. Nadále se budou normálně spouštět. Zavaděče podepsané pouze klíčem z 2023 se ale na počítačích s pouze certifikátem 2011 nespustí. Ve Fedoře je zavaděč shim ve verzi 16.1-6 podepsán klíči 2011 i 2023.

    Ladislav Hagara | Komentářů: 6
    Mobilní Datovka pro Linux
    21.6. 19:55 | Zajímavý software

    Uživatelé mobilních telefonů s Linuxem si nyní mohou nainstalovat aplikaci Mobilní Datovka. Díky tomu je přístup k datovým schránkám dostupný i na zařízeních s mobilními linuxovými distribucemi, jako jsou například Mobian, NixOS Mobile, pmOS atd. Aplikace je dostupná na Flathubu.

    David Heidelberg | Komentářů: 3
    Doporučení SFC pro používání generativní AI při přispívání do FOSS
    21.6. 13:33 | Komunita

    Software Freedom Conservancy v novém dokumentu shrnuje doporučení, jak přistupovat ke generativní AI založené na LLM při přispívání do svobodného a open-source softwaru. Mimo jiné vyzývá k obezřetnosti, transparentnosti a revizi generovaného kódu člověkem.

    |🇵🇸 | Komentářů: 9
    darktable 5.6.0
    21.6. 13:22 | Nová verze

    Byla vydána nová verze 5.6.0 programu na úpravu digitálních fotografií darktable (Wikipedie).

    Ladislav Hagara | Komentářů: 2
    Týden v GNOME a Týden v KDE Plasma (20. června 2026)
    20.6. 20:11 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma. V Týdnu v GNOME je zmíněn flatpak balíček pro GIMP 0.54.1 z roku 1996. Jedná se o poslední verzi GIMPu postavenou nad toolkitem Motif.

    Ladislav Hagara | Komentářů: 0
    Home Assistant Operating System 18.0
    20.6. 19:11 | Nová verze

    Home Assistant Operating System, tj. linuxová distribuce optimalizována pro hostování Home Assistanta a jeho aplikací, byl vydán v nové major verzi 18.0.

    Ladislav Hagara | Komentářů: 4
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (16%)
     (31%)
     (3%)
     (6%)
     (2%)
     (15%)
     (26%)
    Celkem 1966 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / IPTABLES
    Štítky: DHCP, DNS, e-mail, firewally, FTP, Internet, iptables, kernel, Linux, proxy, Samba, Shorewall, sítě, SMTP, SSL


    Dotaz: IPTABLES

    20.1.2003 12:44 Vladimir
    IPTABLES
    Přečteno: 889×
    Dobry den, mozetemi prosim Vas poslat ak mate najlepsie asi RED HAT LINUX 8.0 (aby to bolo rovnake ako mam ja) vas konfiguracny script s IPTABLES? Ten, co je na strankach www.root.cz mi totiz nefunguje.

    Dakujem
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    20.1.2003 12:55 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše IPTABLES
    Musiš si udělat vlastní podle toho co potřebuješ. 
    #!/bin/sh

echo "0" > /proc/sys/net/ipv4/ip_forward

# Firevall
/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

# local
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
#/sbin/iptables -A INPUT -p icmp -j ACCEPT
#/sbin/iptables -A FORWARD -p icmp -j ACCEPT

# max5 pingu za s
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT

# odmitne port 113 auth
iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT


# DNS
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 53 -j ACCEPT

# FTP
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 21 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 1024:65535 -j ACCEPT
#/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -j ACCEPT

# SMTP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 25 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 25 -j ACCEPT

# WWW
#/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 80 -j ACCEPT
#/sbin/iptables -A INPUT -p udp -s 0/0 --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
#/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT


# POP3
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 110 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 110 -j ACCEPT

# NTP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 123 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 123 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 123 -j ACCEPT

# https
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 443 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 443 -j ACCEPT

# proxy
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 3128 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 3128 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 3128 -j ACCEPT
#/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 3128 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 3128 -j ACCEPT

# Jaber
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 5222 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 5222 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 5222 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 5222 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 5222 -j ACCEPT

# Jaber SSL
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 5223 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 5223 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 5223 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 5223 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 5223 -j ACCEPT


# PGP
/sbin/iptables -A OUTPUT -p udp -d 0/0 --dport 11371 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --sport 11371 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 0/0 --dport 11371 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 11371 --syn -j DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 11371 -j ACCEPT

# to co jsme nav�ali my
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# LOGUJ OSTATNI
/sbin/iptables -A OUTPUT -j LOG --log-level 6
/sbin/iptables -A INPUT -j LOG --log-level 6
/sbin/iptables -A FORWARD -j LOG --log-level 6
    20.1.2003 18:46 unchallenger | skóre: 69 | blog: unchallenger
    Rozbalit Rozbalit vše IPTABLES
    Žádný nejlepší skript totiž neexistuje. Každý chce od firewallu něco jiného. Můžu vám klidně poslat svůj, ale má 22k (takže ho sem nebudu pastovat), pouští pár dalších věcí, aby se dynamicky nakonfiguroval podle toho, co mi DHCP přidělí, snaží se minimalizovat počet testů, kterými musí paket projít, než se rozhodne jeho osud, a už nějakou dobu se vyvíjí, takže obsahuje různá pravidla z opravdového /života vztahující se na domény a počítače, které z nějakého důvodu nemám (nebo naopak mám) rád, a nebudete mu nejspíš rozumět. K skriptu pana Šobáně bych měl pár věcí. Smysluplné udp/25 (např.) pakety jsem tedy v životě neviděl. Takže bych je ani nepovoloval. Akceptuje cokoli, co přijde např. z portu tcp/25 (např.) -- kromě SYN paketů, které zahodí, aniž by je ovšem zalogoval. Příliš nechápu, proč se logují pokusy o spojení na obskurní porty, zatímco na ty normální ne. Neřeší spoofing. Pakety z eth0 tvrdící, že jsou z 127.0.0.1 (např.), klidně projdou. Omezovat tímhle způsobem spojení z počítače ven je diskutabliní -- když se budu chtít podívat, jestli někde jede třeba samba (137) nebo fontserver (720?), musím shazovat/předělávat firewall. Nemluvě o tom, kdybych chtěl někoho portscannovat :o+ ESTABLISHED/RELATED bych testoval na začátku. Proč by měly pakety existujících spojení procházet všemi těmi testy? Pokud firewall funguje, tak se jiné spojení předně nemohlo navázat. Pokud vám nejede na počítači žádný server a nechcete řešit pasivní FTP (což tenhle skript taky neřeší), tak prostě povolte jen RELATED a ESTABLISHED pakety, SYN a udp pakety z vašeho počítače a loobpack & ICMP (šly by sice udělat restriktivněji, ale čert to vem). Bude to mít tak 15 řádků a vyjde to myslím nastejno.
    21.1.2003 10:01 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše IPTABLES
    Prostě nejsem v tom ještě tak zběhlý a prostě ten skript se taky vivíjí podle toho na co přijdu co si přečtu atd.... Jednotlive sekce byly přidávány a ubírány podle potřeb jak co běželo na mém PC a poslal jsem ho sem jako drobnou ukázku.
    20.1.2003 13:28 Hynek (Pichi) Vychodil | skóre: 43 | blog: Pichi | Brno
    Rozbalit Rozbalit vše IPTABLES
    Zkus si nainstalovat shorewall, i kdyz se tam o iptables moc nenaucis
    XML je zbytečný, pomalý, nešikovný balast, znovu vynalézané kolo a ještě ke všemu šišaté, těžké a kýčovitě pomalované.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.