abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    LineageOS 23.2
    dnes 04:44 | Nová verze

    Byl vydán LineageOS 23.2 (Mastodon). LineageOS (Wikipedie) je svobodný operační systém pro chytré telefony, tablety a set-top boxy založený na Androidu. Jedná se o nástupce CyanogenModu.

    Ladislav Hagara | Komentářů: 0
    Na Discordu bez ověření věku pouze minimální práva vhodná pro teenagery
    dnes 03:44 | IT novinky

    Od března budou mít uživatelé Discordu bez ověření věku pouze minimální práva vhodná pro teenagery.

    Ladislav Hagara | Komentářů: 0
    Evropská komise předběžně shledala TikTok návykovým designem v rozporu s nařízením DSA
    včera 23:43 | IT novinky

    Evropská komise (EK) předběžně shledala čínskou sociální síť pro sdílení krátkých videí TikTok návykovým designem v rozporu s unijním nařízením o digitálních službách (DSA). Komise, která je exekutivním orgánem Evropské unie a má rozsáhlé pravomoci, o tom informovala v tiskovém sdělení. TikTok v reakci uvedl, že EK o platformě vykreslila podle něj zcela nepravdivý obraz, a proto se bude bránit.… více »

    Ladislav Hagara | Komentářů: 4
    Offpunk 3.0
    včera 18:33 | Nová verze

    Offpunk byl vydán ve verzi 3.0. Jedná se o webový prohlížeč běžící v terminálu a podporující také protokoly Gemini, Gopher a RSS. Přibyl nástroj xkcdpunk pro zobrazení XKCD v terminálu.

    Ladislav Hagara | Komentářů: 0
    Promethee, UEFI binding pro JavaScript
    včera 18:22 | Zajímavý projekt

    Promethee je projekt, který implementuje UEFI (Unified Extensible Firmware Interface) bindingy pro JavaScript. Z bootovacího média načítá a spouští soubor 'script.js', který může používat UEFI služby. Cílem je vytvořit zavaděč, který lze přizpůsobit pomocí HTML/CSS/JS. Repozitář se zdrojovými kódy je na Codebergu.

    NUKE GAZA! 🎆 | Komentářů: 0
    Brusel se dle americké Sněmovny dopustil cenzury
    včera 12:44 | Bezpečnostní upozornění

    Zpráva Justičního výboru Sněmovny reprezentantů upozorňuje na cenzurní kampaň Evropské komise, mířenou proti svobodě projevu na sociálních sítích. V dokumentu se uvádí, že se Evropská komise během posledních šesti let účastnila více než 100 uzavřených jednání, během nichž po platformách požadovala úpravy pravidel moderování obsahu, přičemž toto úsilí Komise zahrnovalo i cenzuru politických názorů a pravdivých informací. Výbor zdůrazňuje, že tento přístup Bruselu ohrožuje ústavou zaručená práva Američanů na svobodu projevu.

    NUKE GAZA! 🎆 | Komentářů: 11
    Linux 6.19
    včera 04:33 | Nová verze

    Linus Torvalds vydal jádro Linux 6.19. Podrobný výčet změn je ke zhlédnutí na stránce Kernel Newbies, stručné výběry v LWN (část první, druhá).

    |🇵🇸 | Komentářů: 0
    Tichá bezdrátová herní myš Logitech PRO X2 SUPERSTRIKE
    8.2. 03:33 | IT novinky

    Do prodeje jde tichá bezdrátová herní myš Logitech PRO X2 SUPERSTRIKE s analogovými spínači s haptickou odezvou (HITS, Haptic Inductive Trigger System). Cena je 4 459 Kč.

    Ladislav Hagara | Komentářů: 8
    LiteBox
    7.2. 21:00 | Zajímavý projekt

    Microsoft na GitHubu zveřejnil zdrojový kód projektu LiteBox, jedná se o 'knihovní operační systém' (library OS) zaměřený na bezpečnost, využívající systémovou architekturu LVBS k ochraně jádra před útoky z uživatelského prostoru. LiteBox je napsán v Rustu a uvolněný pod licencí MIT. Projekt je teprve v rané fázi vývoje.

    NUKE GAZA! 🎆 | Komentářů: 3
    BreezyBox
    7.2. 16:11 | Zajímavý software

    BreezyBox je open-source shell a virtuální terminál pro populární jednočip ESP32. Nabízí základní unixové příkazy, sledování aktuálního pracovního adresáře (CWD), jednoduchý instalátor a spouštěč aplikací v podobě ELF binárních souborů, zabudovaný HTTP server nebo třeba ovládání WiFi - ukázka použití coby 'malého osobního počítače'. Ačkoliv je BreezyBox inspirovaný BusyBoxem, oproti němu má tento projekt několik externích závislostí, zejména na ESP-IDF SDK. BreezyBox je dostupný pod licencí MIT.

    NUKE GAZA! 🎆 | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (19%)
     (5%)
     (0%)
     (11%)
     (26%)
     (3%)
     (5%)
     (2%)
     (12%)
     (28%)
    Celkem 819 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Iptables a INCOMING pro veřejné IP
    Štítky: databáze, firewally, iptables, KDE, NAT, proxy, sítě

    Dotaz: Iptables a INCOMING pro veřejné IP

    5.2.2007 16:34 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Iptables a INCOMING pro veřejné IP
    Přečteno: 366×
    Dobrý den, reším problém s iptables krerý přesahuje moje znalosti. Jedná se o protažení veřejných ipadres zkrze firewall (zděděný tudíš dost nestandartní).

    princip:

    veřejný rosah: 193.0.0.160 - 193.0.0.175

    adresa brány(provider): 193.0.0.161

    můj firewall: 193.0.0.162

    počítač ve vnitřní siti 193.0.0.164

    pravidla 
    #!/bin/sh
# proměnné
LO=lo
LAN=eth1
WAN=eth0


# vyresetování pravidel 
iptables -F -t mangle
iptables -F -t nat
iptables -F -t filter
iptables -F
iptables -Z
iptables -X

# politika firewalu   - byla by lepší DROP, ale takle to funguje
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P POSTROUTING ACCEPT
# definice tabulek
iptables -N Spolnet-BADFILTER # špatné pakety
iptables -N Spolnet-BANNED # zakázané pakety
iptables -N Spolnet-FORWARD # průchozí do natu
iptables -N Spolnet-INCOMING # průchozí
iptables -N Spolnet-INPUT # přístupy
iptables -N Spolnet-MACFILTER # kontrola mac adresy
# pravidla pro INPUT
iptables -A INPUT -j Spolnet-BADFILTER 
iptables -A INPUT -j Spolnet-BANNED 
iptables -A INPUT -j Spolnet-INPUT 


# pravidla pro FORWARD
iptables -A FORWARD -j Spolnet-BADFILTER 
iptables -A FORWARD -j Spolnet-MACFILTER 
iptables -A FORWARD -j Spolnet-INCOMING 
iptables -A FORWARD -j Spolnet-FORWARD 
# špatné pakety
iptables -A Spolnet-BADFILTER -m state --state INVALID -j DROP 
iptables -A Spolnet-BADFILTER -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP 
iptables -A Spolnet-BADFILTER -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP 
iptables -A Spolnet-BADFILTER -p tcp -m tcp -m multiport --dports 135,136,137,138,139,445 -m state --state NEW -j DROP  
iptables -A Spolnet-BADFILTER -p udp -m udp -m multiport --dports 135,136,137,138,139,445 -m state --state NEW -j DROP 
# routing
iptables -A Spolnet-FORWARD -p icmp -m icmp --icmp-type any -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -p tcp -m tcp --dport 15152 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 143,110,443,995,993,80,20,21,22,25,5190,1024 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp -m multiport --dports 11571,27342,26000,29999 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p udp -m udp -m multiport --dports 11571,27342,26000,29999 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 1024 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 3781 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 2280 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 26000:29999 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p udp -m state --state NEW -m udp --dport 26000:29999 -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 6667:7777 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -i eth1 -p tcp -m tcp --dport 60000:65534 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A Spolnet-FORWARD -j REJECT --reject-with icmp-host-prohibited 

# průchozí pakety
iptables -A Spolnet-INCOMING -d 193.0.0.162 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-INCOMING -d 193.0.0.160/255.255.255.240 -m state --state NEW -j ACCEPT 

# input
iptables -A Spolnet-INPUT -i lo -j ACCEPT 
iptables -A Spolnet-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
iptables -A Spolnet-INPUT -i eth1 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT 
iptables -A Spolnet-INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
iptables -A Spolnet-INPUT -p tcp -m tcp --dport 60000:65534 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A Spolnet-INPUT -i eth1 -p tcp -m tcp -m multiport --dports 25,53,15151,15152,143,110,443,995,993,80,2280,2279 -m state --state NEW -j Spolnet-MACFILTER 
iptables -A Spolnet-INPUT -p tcp -m tcp -m multiport --dports 25,53,15151,15152,143,110,443,995,993,80,2280,2279,3389 -m state --state NEW -j ACCEPT 
iptables -A Spolnet-INPUT -j REJECT --reject-with icmp-host-prohibited 

  

# macfilter
iptables -A Spolnet-MACFILTER -p udp -m state --state NEW -m udp --dport 53 -j RETURN
iptables -A Spolnet-MACFILTER -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW -j RETURN  
iptables -A Spolnet-MACFILTER -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW -j RETURN  
iptables -A Spolnet-MACFILTER -s 192.168.10.251 -m mac --mac-source 00:20:ED:88:EA:1E -m state --state NEW -j ACCEPT 
# vloží MACFILTER záznamy z databáze
# INCLUDE ---------------------
chmod +x /etc/iptables/iptables_mac_lhotska
    /etc/iptables/iptables_mac_lhotska
chmod -x /etc/iptables/iptables_mac_lhotska
# ----------------------------

# Značkování paketů podle záznamů z databáze
# INCLUDE ---------------------
chmod +x /etc/iptables/iptables_mangle_lhotska
    /etc/iptables/iptables_mangle_lhotska
chmod -x /etc/iptables/iptables_mangle_lhotska
# ----------------------------

# nastavení jádra
echo "1" > /proc/sys/net/ipv4/ip_forward # povolí routování
echo 65528 >/proc/sys/net/ipv4/ip_conntrack_max
echo 113000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

iptables -t nat -A POSTROUTING -s 192.168.10.0/255.255.255.0 -j SNAT --to-source 193.0.0.162
# Konec a vypsání pravidel
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    5.2.2007 17:08 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    ja bych to cpal spise pres "route" a ne pres iptables
    cd /pub | more beer
    5.2.2007 17:12 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Route 
    193.0.0.160  *               255.255.255.240 U     0      0        0 eth1
193.0.0.160  *               255.255.255.240 U     0      0        0 eth0
192.168.10.0    *               255.255.255.0   U     0      0        0 eth1
default         193.0.0.161  0.0.0.0         UG    0      0        0 eth0
    ifconfig 
    eth0      Link encap:Ethernet  HWaddr 00:40:F4:8B:51:57  
          inet addr:193.0.0.162  Bcast:193.179.65.175  Mask:255.255.255.240
          inet6 addr: fe80::240:f4ff:fe8b:5157/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:130662391 errors:0 dropped:0 overruns:0 frame:0
          TX packets:122939940 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:111573388854 (103.9 GiB)  TX bytes:61657008880 (57.4 GiB)
          Interrupt:58 

eth1      Link encap:Ethernet  HWaddr 00:0E:2E:56:FA:7F  
          inet addr:192.168.10.250  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe56:fa7f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:157725661 errors:4 dropped:32 overruns:2 frame:0
          TX packets:152409814 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:77950913746 (72.5 GiB)  TX bytes:125454307691 (116.8 GiB)
          Interrupt:50 Base address:0x4c00 

eth1:1    Link encap:Ethernet  HWaddr 00:0E:2E:56:FA:7F  
          inet addr:193.0.0.163  Bcast:193.179.65.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:50 Base address:0x4c00 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1265 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1265 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:141180 (137.8 KiB)  TX bytes:141180 (137.8 KiB)
    5.2.2007 17:13 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Zkrze route ? Jak je to myšleno ?
    5.2.2007 17:18 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Začal bych na FAQ: Jak zprovoznit veřejnou IP adresu ve vnitřní síti (nebo DMZ)?

    Zatímco výpis vašeho fw je téměř kompletní, tak nějak postrádám popis problému :-)
    6.2.2007 12:53 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Obecně je problém v tom že na jiném stroji vše běhá jak má. Jediný rozdíl je v tom že stroj má do internetu jinou ip adresu 82.208.38.0 než veřejné ip 82.208.2.0 v tomhle případě je rosah stejný a nikam se nedostanu. Takže chyba bude asi v route. Je potřeba mít bránu ve stejném rosahu jak daná veřejná Ip ? Nebo můžu posílat na jinou bránu ?
    6.2.2007 13:07 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Promiňte, ale váš popis je naprosto zmatený. Vůbec nechápu, co je "stroj" - stanice, která se potřebuje dostat ven, nebo router? Zkuste v klidu a srozumitelně napsat, jak vypadá vaše topologie, kde máte jaké adresy a čeho chcete docílit.
    6.2.2007 14:00 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Prominte opravdu se vyjadřuju dost zmatečně.

    Takže ještě jednou:

    Mám přidělený rosah Ip adres od providera, které můžu použít. První v rosahu je brána providera 193.0.0.161. Moje brána má venkovní (k providerovi) 193.0.0.162 a vnitřní (nevím jestli je potřeba) 193.0.0.163. Stanice s přidělenou 193.0.0.164 se dostane až na vnější na bráně 193.0.0.162, ale už ne na 193.0.0.161 a hledám chybu. problém bude asi v route (výpis dříve). Procházím články a řešení, ale veřejky potřebuju co nejdříve nasadit :( (vím to se říkat nemá - jen se ospravedlňuju)
    6.2.2007 14:06 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Pokud skutečně chcete používat adresy z jednoho rozsahu na dvou různých segmentech, budete muset použít něco na způsob Proxy ARP (nebo rovnou bridge - se všemi nevýhodami z toho plynoucími). Přečtěte si to FAQ, na které tu byl odkaz, je to tam popsané celkem důkladně.
    6.2.2007 17:23 Grumpa | skóre: 5
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Možná to půjde jinak: Respektujme, že jedna síť má jeden rozsah IP adres, takže to co chcete je vlastně tak trochu prasárnička, že? :o)

    Počítači ve vnitřní síti dejte v pohodě IP adresu z privátního rozsahu (třeba 192.168.1.10). Tu IP, kterou jste chtěl pro sebe uvnitř, přidělte jakou druhou IP adresu tomu firewallu: 
    ifconfig eth0 193.0.0.162
ifconfig eth0:1 193.0.0.164
    a z druhé strany 
    ifconfig eth1: 192.168.1.1
    A do pravidel IPTables si dejte, že co přijde na eth0 a má IP 192.0.0.164 se bude přesměrovávat na IP adresu 192.168.1.10.

    Nejsem expert na IPTables, ale takhle nějak by to mělo jít. Každopádně tak máte adresy z jednoho rozsahu v jedné síti.
    6.2.2007 18:14 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Tahle možnost je v tom FAQ samozřejmě taky - ale je to asi tak ta nejhorší metoda, jak to řešit. A to nemluvím o používání ifconfig
    6.2.2007 20:53 Piškot | skóre: 7 | blog: Uživatel | Přerov nad labem
    Rozbalit Rozbalit vše Re: Iptables a INCOMING pro veřejné IP
    Děkuju za pomoc, dle návodu v FAQ by řešení bylo dost náročné a neflexibilní. Řešení nakonec bylo jednoduché. Poskytovatel internetu (GTS novera) my vyšel vstříc a namapoval celý rosah na jinou veřejnou ip. Takže moje brána měla jinou vnější ip než vnitřní rosah veřejných ip. V tom případě routování funguje.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.