abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    LibrePods, sluchátka AirPods s Androidem a Linuxem
    dnes 11:55 | Zajímavý software

    Software LibrePods osvobozuje bezdrátová sluchátka AirPods z ekosystému Applu. Exkluzivní funkce AirPods umožňuje využívat na Androidu a Linuxu. Díky zdokumentování proprietárního protokolu AAP (Apple Accessory Protocol).

    Ladislav Hagara | Komentářů: 0
    AlmaLinux OS 10.1
    dnes 05:00 | Nová verze

    Byl vydán AlmaLinux OS 10.1 s kódovým názvem Heliotrope Lion. S podporou Btrfs. Podrobnosti v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Služba Mozilla Monitor Plus bude 17. prosince ukončena
    dnes 04:33 | Komunita

    Placená služba prohledávání zprostředkovatelů dat a automatického odstraňování uniklých osobních údajů Mozilla Monitor Plus bude 17. prosince ukončena. Bezplatná monitorovací služba Mozilla Monitor bude i nadále poskytovat okamžitá upozornění a podrobné pokyny k omezení rizik úniku dat. Služba Mozilla Monitor Plus byla představena v únoru loňského roku.

    Ladislav Hagara | Komentářů: 0
    Waydroid 1.6.0
    včera 22:44 | Nová verze

    Waydroid (Wikipedie, GitHub) byl vydán v nové verzi 1.6.0. Waydroid umožňuje spouštět aplikace pro Android na běžných linuxových distribucích. Běhové prostředí vychází z LineageOS.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi Imager 2.0
    včera 15:44 | Nová verze

    Příspěvek na blogu Raspberry Pi představuje novou kompletně přepracovanou verzi 2.0 aplikace Raspberry Pi Imager (YouTube) pro stažení, nakonfigurování a zapsání obrazu operačního systému pro Raspberry Pi na SD kartu. Z novinek lze vypíchnout volitelnou konfiguraci Raspberry Pi Connect.

    Ladislav Hagara | Komentářů: 2
    Memtest86+ 8.00
    včera 11:22 | Nová verze

    Memtest86+ (Wikipedie), svobodný nástroj pro kontrolu operační paměti, byl vydán ve verzi 8.00. Přináší podporu nejnovějších procesorů Intel a AMD nebo také tmavý režim.

    Ladislav Hagara | Komentářů: 0
    Racket 9.0
    včera 10:55 | Nová verze

    Programovací jazyk Racket (Wikipedie), tj. jazyk z rodiny jazyků Lisp a potomek jazyka Scheme, byl vydán v nové major verzi 9.0. Hlavní novinku jsou paralelní vlákna (Parallel Threads).

    Ladislav Hagara | Komentářů: 0
    Arduino ke změnám podmínek používání a zásad ochrany osobních údajů
    včera 10:11 | Komunita

    Před šesti týdny bylo oznámeno, že Qualcomm kupuje Arduino. Minulý týden byly na stránkách Arduina aktualizovány podmínky používání a zásady ochrany osobních údajů. Objevily se obavy, že by otevřená povaha Arduina mohla být ohrožena. Arduino ubezpečuje, že se nic nemění a například omezení reverzního inženýrství v podmínkách používání se týká pouze SaaS cloudové aplikace.

    Ladislav Hagara | Komentářů: 0
    libpng 1.6.51 opravuje 4 bezpečnostní chyby
    23.11. 13:33 | Bezpečnostní upozornění

    Knihovna libpng, tj. oficiální referenční knihovna grafického formátu PNG (Portable Network Graphics), byla vydána ve verzi 1.6.51. Opraveny jsou 4 bezpečnostní chyby obsaženy ve verzích 1.6.0 (vydána 14. února 2013) až 1.6.50. Nejvážnější z chyb CVE-2025-65018 může vést ke spuštění libovolného kódu.

    Ladislav Hagara | Komentářů: 11
    Raspberry Pi Official Magazine 159
    23.11. 12:22 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 159 (pdf).

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (46%)
     (19%)
     (18%)
     (22%)
     (15%)
     (23%)
     (16%)
     (17%)
    Celkem 396 hlasů
     Komentářů: 17, poslední 19.11. 21:57
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Iptables - monitor prietoku dat
    Štítky: firewally, iptables, Linux, NAT, PC, router, sítě, skript

    Dotaz: Iptables - monitor prietoku dat

    10.12.2008 19:56 Juraj
    Iptables - monitor prietoku dat
    Přečteno: 381× 
    Zdravim, hlavne linux komunitu.
Obraciam sa na vas s prosbou o pomoc pri rieseni hlavolamu zvaneho IPTABLES.
Ja sam som z iptables-u dost mimo. Uz par krat som sa ho pokusal pochopit
no nikdy som nepresiel za ciaru zaciatocnika-amatera.

Bohuzial to co chcem vyriesit bude vyzadovat viac nez som sa kedy mohol
naucit a teda popis problemu:
------------------------------------------------------------------------
Predstavte si T-Com Cisco router pripojeny k eth1 na Linux-Debian serveri.
Predstavte si obrovsku skolsku siet zo (cca) 70 PC, preswitchovanu k
jednemu kabliku, ktory je pripojeny do toho isteho servera, do sietovej
karty eth0.

Na premostenie tychto dvoch sieti (sieti z Cisca a skolskej sieti)
pouzivam nasledovny skript:

iptables --flush # Flush all the rules in filter and nat tables
iptables --table nat --flush
iptables --delete-chain # Delete all chains that are not in default filter
and nat table
iptables --table nat --delete-chain
# Set up IP FORWARDing and Masquerading
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE
iptables --append FORWARD --in-interface eth0 -j ACCEPT
echo "1" >/proc/sys/net/ipv4/ip_forward

Tato cast skriptiku funguje dokonale. K tomu nie je co dodat.
Dnes, som pripojil do nasej lokalnej siete (t.j. za serverom) skolsky
internat. Po dlho-tyzdnovych prosbach sme obyvatelom skolskeho internatu
umoznili zakupit WiFi router na ktory sa par z nich pripaja laptopom a
pouzivaju net vo svojom volnom case priamo zo svojej izby. Wifi router ma
IP adresu 10.0.0.3 a okrem mnozstva upozorneni chcem spravit monitoring
prietoku dat na IP adresu 10.0.0.3.  Znova som siahol po IPTABLESe a
skript som doplnil:
-----------------------------------------------------------------
iptables -N segment-A
iptables -A FORWARD -d 10.0.0.0/26 -j segment-A
iptables -A FORWARD -s 10.0.0.0/26 -j segment-A

iptables -A segment-A -d 10.0.0.3
iptables -A segment-A -s 10.0.0.3
------------------------------------------------------------------

Uspech je ale len polovicny. Po napisani prikazu:
# iptables -L -v -n

Chain FORWARD (policy ACCEPT 10M packets, 12G bytes)
 pkts bytes target     prot opt in     out     source              
destination
17977 2236K ACCEPT     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
23186   22M segment-A  0    --  *      *       0.0.0.0/0           
10.0.0.0/26
    0     0 segment-A  0    --  *      *       10.0.0.0/26          0.0.0.0/0

Chain segment-A (2 references)
 pkts bytes target     prot opt in     out     source              
destination
20194   18M            0    --  *      *       0.0.0.0/0            10.0.0.3
    0     0            0    --  *      *       10.0.0.3             0.0.0.0/0
-----------------------------------------------------------------

Ako vidite z vypisu, dobre sa pocitaju DOWNLOADnute data.
Ale VOBEC sa nepocitaju tie UPLOADNUTE.
Uz nad tym sedim 4 hodiny a neviem na nic prist. Mozno mi nieco
uniklo/unika, mozno som len nieco zle pochopil/napisal/spravil/nespravil.

Mohol by mi niekto skusenejsi poradit kde robim chybu?

Dakujem za kazdu radu.
J.
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    10.12.2008 22:22 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Máte to trochu pomotané.

    iptables --append FORWARD --in-interface eth0 -j ACCEPT

    Řetězec FORWARD má policy (implicitní závěrečné pravidlo) ACCEPT. Takže znovu povolovat vstup packetů z eth0 je zbytečné.

    S tím souvisí váš problém. Jak je vidět zpořadí pravidel ve FORWARD

    # iptables -L -v -n

Chain FORWARD (policy ACCEPT 10M packets, 12G bytes)
 pkts bytes target     prot opt in     out     source              
destination
17977 2236K ACCEPT     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
23186   22M segment-A  0    --  *      *       0.0.0.0/0           
10.0.0.0/26
    0     0 segment-A  0    --  *      *       10.0.0.0/26          0.0.0.0/0

    veškerý provoz z eth0, ve kterém jsou i packety se zdrojovou adresou 10.0.0.0/26, se zpravuje hned prvním pravidlem a tudíž se takové packety k dalším pravidlům už nedostanou.

    Doporučuji smazat první pravidlo z FORWARD.

    Dále doporučuji si nastudovat, které cíle ukončují procházení tabulek (prakticky všechny) a které nikoliv (přesměrování do jiného řetězce, LOG, NFLOG, ULOG, RETURN).

    11.12.2008 05:38 Juraj
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Dakujem, vyskusam.

    11.12.2008 06:46 Juraj
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Chcem sa este raz podakovat. Vasa poznamka bola spravna a bol to ten problem co som mal.

    Neuvedomil som si, ze na "poradi pravidiel zalezi".

     

    11.12.2008 08:28 koleckovnicek
    Rozbalit Rozbalit vše Re: Iptables - monitor prietoku dat

    Tohle je jeste celkem trivialni nastaveni. Pockejte, az tam budete mit nekolik set ruznorodych pravidel na vice zarizenich, to je teprve poradnej bordel ;-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.