abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 14:55 | Bezpečnostní upozornění

Pod společným názvem DNSpooq byly zveřejněny informace o 7 bezpečnostních chybách v DNS caching a DHCP serveru dnsmasq. Jedná se o cache poisoning (CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) a buffer overflow (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681). Jejich kombinací lze dosáhnout závažnosti CVSS 9.8. Chyby jsou opraveny v dnsmasq 2.83.

Ladislav Hagara | Komentářů: 1
dnes 13:33 | Nová verze

Byla vydána nová stabilní verze 19.07.6 (Changelog) linuxové distribuce primárně určené pro routery a vestavěné systémy OpenWrt (Wikipedie). Řešena je také řada bezpečnostních chyb. Především v dnsmasq (DNSpooq).

Ladislav Hagara | Komentářů: 0
dnes 08:00 | Nová verze

Google Chrome 88 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 88.0.4324.96 přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 36 bezpečnostních chyb. Nálezci nejvážnější z nich (CVE-2021-21117) bylo vyplaceno 30 000 dolarů.

Ladislav Hagara | Komentářů: 3
dnes 07:00 | Nová verze

Byla vydána nová verze 4.4.2 svobodného programu pro skicování, malování a úpravu obrázků Krita (Wikipedie). Přehled novinek i s náhledy v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 14:33 | Komunita

Vedle Hectora "marcan" Martina a Asahi Linuxu portují Linux na Apple Silicon aneb na počítače Apple s novým ARM procesorem M1 také lidé ze společnosti Corellium. V sobotu se na Twitteru pochlubili bootováním Linuxu na M1. Dnes zveřejnili zdrojové kódy (Preloader-M1 a Linux-M1).

Ladislav Hagara | Komentářů: 48
včera 11:33 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje na kritické zranitelnosti v Orbit Fox pluginu pro WordPress. Správci CMS WordPress, kteří mají nainstalované rozšíření Orbit Fox, by měli provést co nejdříve upgrade rozšíření na poslední verzi 2.10.3. Dvě nedávno nalezené zranitelnosti, stored XSS a možnost eskalace oprávnění, umožňují útočníkovi kompletní ovládnutí webové stránky.

Ladislav Hagara | Komentářů: 0
včera 11:11 | Zajímavý projekt

bladeRF-wiphy je open source IEEE 802.11 / Wi-Fi kompatibilní SDR VHDL modem pro bladeRF 2.0 micro xA9. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv2.

Ladislav Hagara | Komentářů: 0
včera 09:11 | Bezpečnostní upozornění

V sobotu brzo ráno někdo naboural administrátorský účet diskusního fóra OpenWrt a odcizil citlivá data uživatelů (emailové adresy, API klíče, statistiky, ...).

Ladislav Hagara | Komentářů: 1
včera 08:00 | Nová verze

Byla vydána verze 1.9.0 emulátoru terminálu Terminology (GitHub) postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 3
18.1. 23:33 | Nová verze

Byla vydána nová verze 3.0.12 multiplatformního multimediálního přehrávače VLC (Wikipedie). Jedná se o minor verzi mimo jiné vylepšující podporu Bluray, DASH a RIST. Řešena je také bezpečnostní chyba CVE-2020-26664.

Ladislav Hagara | Komentářů: 4
Jestliže používáte distribuci CentOS, kterou náhradu plánujete vzhledem k oznámenému ukončení vydávání?
 (29%)
 (2%)
 (2%)
 (24%)
 (0%)
 (2%)
 (41%)
Celkem 169 hlasů
 Komentářů: 3, poslední 10.1. 13:01
Rozcestník

Dotaz: Jak filtrovat pakety?

21.2.2003 16:01 Zdeněk | skóre: 3
Jak filtrovat pakety?
Přečteno: 126×
Linux pc s RH 7.0 je připojené rozhraním eth1 (bezdrátové připojení) k internetu a rozhraním eth0 k win pc. Linux má sloužit jako webserver, mailserver, dns a firewall. Proxy ještě uvážím. Pro maškarádování a filtrování paketů chci použít následující skripty:

skript 1)
#!/bin/bash
ipchains -P forward DENY
ipchains -A forward -i eth1 -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_masq_ftp
skript 2)
#!/bin/bash

RETVAL=0

# See how we were called.
case "$1" in
  start)
	echo -n "Starting Firewall script:"
	#maskarada
	/sbin/ipchains -P forward DENY
	/sbin/ipchains -A forward -i eth1 -j ACCEPT
	echo 1 > /proc/sys/net/ipv4/ip_forward
	/sbin/insmod ip_masq_ftp
	#paketove filtry
	/sbin/ipchains -A input -i eth1 -p ICMP -j ACCEPT
	#DNS
	/sbin/ipchains -A input -i eth1 -p TCP --source-port 53 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p TCP --destination-port 53 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p UDP --source-port 53 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p UDP --destination-port 53 -j ACCEPT
	#http
	/sbin/ipchains -A input -i eth1 -p tcp --source-port 80 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p tcp --source-port 8080 -j ACCEPT
	#http z venku
	/sbin/ipchains -A input -i eth1 -p tcp --destination-port 80 -j ACCEPT
	#ftp
	/sbin/ipchains -A input -i eth1 -p tcp --source-port 21 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p tcp --source-port 20 -j ACCEPT
	#ssh
	/sbin/ipchains -A input -i eth1 -p tcp --source-port 22 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p tcp --destination-port 22 -j ACCEPT
	#smtp
	/sbin/ipchains -A input -i eth1 -p tcp --source-port 25 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p tcp --destination-port 25 -j ACCEPT
	#pop3
	/sbin/ipchains -A input -i eth1 -p tcp --source-port 110 -j ACCEPT
	/sbin/ipchains -A input -i eth1 -p tcp --destination-port 110 -j ACCEPT
	#zakazani vseho ostatniho
	/sbin/ipchains -A input -i eth1 -j DENY
	#filtr samby
	#/sbin/ipchains -A input -i eth1 --destination-port 137:139 -j DENY
	#/sbin/ipchains -A output -i eth1 --source-port 137:139 -j DENY
	#filtr proxy z vnejsku
	#/sbin/ipchains -A input -i eth1 -p tcp --destination-port 3128 -j DENY
	#/sbin/ipchains -A input -i eth1 -p tcp --destination-port 3128 -j DENY

	;;
  stop)
	echo -n "Stopping Firewall script: "
	echo 0 > /proc/sys/net/ipv4/ip_forward
	/sbin/ipchains -F
	/sbin/ipchains -P forward ACCEPT
	/sbin/ipchains -P input ACCEPT -i eth1
	/sbin/rmmod ip_masq_ftp
	;;
  restart)
  	$0 stop
	$0 start
	;;
  *)
	echo "Usage: firewall {start|stop|restart}"
	exit 1
esac

exit $RETVAL
Můžete mi poradit, kam mám ty skripty uložit a pod jakým názvem a co si mám předtím zálohovat?

Odpovědi

21.2.2003 17:51 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Jak filtrovat pakety?
Deláš to špatně. 1.) Použij iptables (jsou novější 2.) Použij skrypty které již máš v RH tj udělej si skrypt s pravidly který spustíš jednou a potom ho zapiš do konfiguračního souboru příkazem /etc/rc.d/init.d/iptables save a pokud budeš mít povolenou službu iptables tak se ti to bude nastavovat samo. Moduly dej do /etc/rc.d/rc.local Jinak můj skrypt je pro inspiraci:
#!/bin/sh

echo "0" > /proc/sys/net/ipv4/ip_forward

MOJE_IP=192.168.3.67
DNS_SERVER=192.168.1.254

# Firevall
/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j LOG --log-level 6
/sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j REJECT

# local
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

# to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
#/sbin/iptables -A INPUT -p icmp -j ACCEPT
#/sbin/iptables -A FORWARD -p icmp -j ACCEPT

# max5 pingu za s
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

/sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
/sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
/sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT

# DNS
/sbin/iptables -A INPUT -p udp -s $DNS_SERVER --sport 53 -j ACCEPT

# WWW
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT

# odmitne port 113 auth
/sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT

# LOGUJ OSTATNI
/sbin/iptables -A OUTPUT -j LOG --log-level 6
/sbin/iptables -A INPUT -j LOG --log-level 6
/sbin/iptables -A FORWARD -j LOG --log-level 6
21.2.2003 19:42 Zdeněk | skóre: 3
Rozbalit Rozbalit vše Jak filtrovat pakety?
Díky za odpověď. Linuxconf ukazuje, že iptables mám mezi nainstalovanými balíčky, ale asi se nepoužívají:
/sbin/iptables -L
iptables v1.1.1: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Naproti tomu
/sbin/ipchains -L
vypíše seznam pravidel. Jak bych tedy měl zprovoznit iptables? A potřebuji také balíček iptables-ipv6?
21.2.2003 20:35 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Jak filtrovat pakety?
Třeba zakázat původní to znamena zastavit služby ipchains a povolit iptables. Klidně balíčky ipchains můžete vyhodit. /etc/rc.d/init.d/ipchains stop Zadáte pravidla iptables a zadate /etc/rc.d/init.d/iptables save pro uložení no a /etc/rc.d/init.d/iptables start co to asi udělá ??? Jinak na linux@linux.cz už skrytizovaly můj skrypt takže se mrkněte tam a do skriptu přidat pouze tu maškarádu a mělo by to chodit... ipv6 balíčky nepotřebujete pokud nepoužíváte ipv6 adresy (asi ne používáte určitě ipv4) :-)
21.2.2003 20:40 Aloner | skóre: 24 | blog: Aloner | Praha
Rozbalit Rozbalit vše Jak filtrovat pakety?
Tak presne tenhle problem jsem tady resil nedavno.
A vyresil jsem to spustenim configuracni utilitky
SETUP (jako root) a odskrtnul jsem IPCHAINS a
zasktnul jsem IPTABLES. Od te doby to jede jako fik !
21.2.2003 20:45 Aloner | skóre: 24 | blog: Aloner | Praha
Rozbalit Rozbalit vše Jak filtrovat pakety?
ojoj, nez jsem stihnul odpovedet, uz mne nekdo prebehnul... :-) Moje odpoved patri k prispevku, kde se objevuje ta chybova hlaska...
21.2.2003 21:14 Zdeněk | skóre: 3
Rozbalit Rozbalit vše Jak filtrovat pakety?
Utilitka "setup" mi nabízí jen ipchains. Podle iptables-howto mi teď není tak úplně jasné, kterou že verzi jádra vlastně iptables potřebují. Já mám momentálně k dispozici distribuci RH 7.0 s jádrem 2.2.16-22, 2cd pack od cpress.cz a iptables jsou součástí instalace, ale různé zdroje na webu uvádějí, že iptables vyžadují jádro 2.4. Takže jsem z toho "volaaký zmetený" :-) Jak tedy zjistím, jestli můžu na své distribuci používat ipchains nebo iptables?
21.2.2003 21:33 Aloner | skóre: 24 | blog: Aloner | Praha
Rozbalit Rozbalit vše Jak filtrovat pakety?
Mam pocit, ze featury okolo IPTABLES jsou vymozenosti az jader 2.4.x
21.2.2003 23:08 Zdeněk | skóre: 3
Rozbalit Rozbalit vše Jak filtrovat pakety?
Ano, většina zdrojů to tak uvádí. Tak zkusím laborovat s ipchains. Díky všem za názory i za pomoc!

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.