Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
Lokální síť mám momentálně připojenou k Internetu přes VoIP ústřednu, která obsahuje i ADSL modem a router s NAT. Rád bych přidal do sítě server (druhý router), přes který poběží veškerý provoz. Protože mi přišla blbost dělat další NAT, vymyslel jsem pravděpodobně ještě větší blbost:
Internet --- [public IP] VoIP router [x.y.z.1] --- [x.y.z.11 eth0] server [eth1 x.y.z.12] --- lokální síť
Jakým způsobem mám nakonfigurovat server, aby se dalo dostat z vnitřní sítě ven? Půjde to pomocí iptables? Není nesmysl mít část sítě x.y.z.0/24 na eth1 a část na eth0? Jestli ano, jakou konfiguraci byste mi doporučili?
Předem díky za rady. Já myslel, že bude na serveru stačit přidat route na x.y.z.1 a povolit ip_forward, ale bohužel.
Ale to bych přišel o možnost nezávislé kontroly přístupu na server podle rozhraní. Z eth0 smí projít jenom SSH a HTTP(S), zatímco z eth1 je otevřené téměř vše.
Zatím jsem to dočasně vyřešil dvěma nezávislými sítěmi a SNAT. Nepřišel jsem ale na způsob jak zařídit forwarding mezi dvěma rozhraními bez nutnosti použít nějakou formu NAT. Je mi jedno, jestli budou obě rozhraní ve stejné síti nebo ve dvou různých. Když povolím IP forwarding v /proc/sys/net/ipv4/ip_forward, neděje se nic. Teprve až když přidám pravidlo pro iptables MASQUERADE/SNAT, začne konečně forwarding fungovat.
Ale to bych přišel o možnost nezávislé kontroly přístupu na server podle rozhraní.Ne nezbytně. Existují ebtables a bridge-nf...
Internet --- [public IP] VoIP router [x.y.1.1/24] --- [x.y.1.2/24] server [x.y.2.1/24] --- LAN
Přesně tohle jsem teď momentálně zprovoznil. Jedna síť mezi VoIP routerem a eth0, druhá na eth1.
Problém ale je, jak zprovoznit směrování. Jediné co mi funguje je NAT, což mi přijde jako blbost. Přece musí existovat jednoduchý způsob jak směrovat pakety mezi dvěma sítěmi bez překladu adres. Jenom nevím jak na to. Jak jsem psal výše, když nastavím route pro obě sítě, default route pro VoIP router, povolím IP forwarding a pro testování nastavím všechna pravidla iptables na ACCEPT, nedostanu se z jedné sítě do druhé. Až když přidám ještě pravidlo pro NAT, začne to fungovat.
nastavení směrování VoIP routeru, tomu musíte nastavit směrování do obou sítí – do té bližší přes jeho síťovou kartu zapojenou do té sítě, do té, která je schovaná za dalším routerem, musíte nastavit směrování přes IP adresu toho routeru (tu, která je ve stejné síti, jako VoIP router).
A to je ten problém... VoIP router neumožňuje moc nastavení, přece jenom je to telefonní ústředna s pár funkcemi navíc. Pokusím se ho trochu poladit přes telnet, protože přes webové rozhraní routování konfigurovat nejde.
Díky za pomoc. Už to funguje!
Měl jsem to vpodstatě dobře, jediný problém bylo chybějící nastavení route do vzdálenější sítě na VoIP routeru. Pakety z vnitřní sítě k němu tedy prošly, ale zpátky už ne.
Tiskni
Sdílej: