abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 05:44 | Komunita

    PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.

    Ladislav Hagara | Komentářů: 6
    dnes 04:55 | Nová verze

    Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.

    Ladislav Hagara | Komentářů: 0
    včera 21:00 | IT novinky

    Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.

    Ladislav Hagara | Komentářů: 0
    včera 17:11 | Humor

    Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.

    Ladislav Hagara | Komentářů: 1
    včera 16:11 | Komunita

    Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.

    Ladislav Hagara | Komentářů: 1
    26.10. 17:11 | IT novinky

    Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.

    Ladislav Hagara | Komentářů: 4
    26.10. 13:33 | Komunita

    Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    25.10. 15:44 | Zajímavý software

    Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.

    Ladislav Hagara | Komentářů: 0
    25.10. 05:11 | Zajímavý článek

    Obrovská poptávka po plynových turbínách zapříčinila, že datová centra začala používat v generátorech dodávajících energii pro provoz AI staré dobré proudové letecké motory, konvertované na plyn. Jejich výhodou je, že jsou menší, lehčí a lépe udržovatelné než jejich průmyslové protějšky. Proto jsou ideální pro dočasné nebo mobilní použití.

    karkar | Komentářů: 10
    24.10. 19:55 | Nová verze

    Typst byl vydán ve verzi 0.14. Jedná se o rozšiřitelný značkovací jazyk a překladač pro vytváření dokumentů včetně odborných textů s matematickými vzorci, diagramy či bibliografií.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (47%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (18%)
    Celkem 279 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Dotaz: FIREWALL fedora

    17.2.2009 11:09 PET | skóre: 1
    FIREWALL fedora
    Přečteno: 611×

    Zdravím,

    chtěl jsem se zeptat nějakého síťaře jak je to s firewallem na stanici, nebo na jednoduchém serveru kde běží akorát apache plus např svn server..  Jde mě o to zakázat vše a povolit jen určité služby (ty základní) Našel jsem plno návodů a všude se nastavuje jen DPORT.. tedy port cílový, ale po nastavení portu pro např dns 53,   pak při pokusu o ping www.seznam.cz mě firewall blokuje odpověď od dns serveru, která je teda uplně na jinačím DPORTU než 53 viz log:

    Feb 17 11:14:34 mapserver kernel: IN=eth0 OUT= MAC=xxxxxxx... SRC=dnsserver DST=mojeIP LEN=177 TOS=0x00 PREC=0x00 TTL=61 ID=10727 DF PROTO=UDP SPT=53 DPT=59695 LEN=157

    přitom Source port zůstává 53..    tedy jsem se chtěl zeptat jak vytvořit pravidlo proto abych mohl i já na tomto pc využívat služby jinačího dns serveru..  Na mem serveru totiž dns server neběží!!

    je třeba dělat pravidla misto s  DPORT  tak na  SPORT ??

    zkoušel jsem udělat pravidlo pro SPORT, .. to pak funguje..   

    proto jsem se chtěl zeptat jestli to takhle opravdu v síti funguje, že když třeba programem wget chci stáhnout nějaký soubor, můj packet výjde pod portem 80 na daný server od kterého chci soubor, a  daný server pošle soubor pod source portem 80 ale destination port změní na úplně jinačí?

    A pokud to tak je tak proč se tak děje?

    v práci máme veřejné IP,  ale jsme za firewallem, a jen pc v práci mezi sebou mohou používat jakékoliv porty.. z venku jen ICMP pakety..

    je možné tedy že tuto změnu provede až ten firewall za kterém jsou všichni? 

     

    Kdyby náhodou se někdo ptal přoč chci firewall na tom pc když už jsem za jedním FW, tak protože abych se ochráníl před PC co jsou v práci jako já za stejným firewallem a tudíž mají provoz ke mě volný..

    tady ještě posílám ukázku skriptu pro FW:

    #!/bin/sh
    #skript pro inicializaci firewallu
    #promene

    IPTABLES=/sbin/iptables
    INET_IP=MojeIP
    INET_IFACE="eth0"
    LO_IFACE="lo"
    LO_IP="127.0.0.1"


    #odstraneni vsech firewallovych pravidel
    $IPTABLES -F

    #zakazeme vse
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT DROP
    $IPTABLES -P FORWARD DROP

    #Povolit dns  zakomentováno!!! po povolení --sport tak neni problem s dns
    #$IPTABLES -A INPUT -i eth0  -p TCP --dport 53 -j ACCEPT
    #$IPTABLES -A INPUT -i eth0  -p UDP --dport 53 -j ACCEPT
    #$IPTABLES -A INPUT -i eth0  -p TCP --sport 53 -j ACCEPT
    #$IPTABLES -A INPUT -i eth0  -p UDP --sport 53 -j ACCEPT

    #povolovani sluzeb
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT # ftp
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 22 -j ACCEPT # ssh
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 53  -j ACCEPT # dns tcp
    $IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 53 -j ACCEPT # dns udp
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 80 -j ACCEPT # www
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 443 -j ACCEPT # https
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 3690 -j ACCEPT # svn
    $IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 8333 -j ACCEPT # vmware https

    # nastaveni povoleni ICMP paketu
    $IPTABLES -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
    $IPTABLES -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
    $IPTABLES -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
    $IPTABLES -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT


    #nastaveni logu pro INPUT
    $IPTABLES -A INPUT -j LOG

    #povolime output provoz z loopback a verejne ip
    $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
    $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

    $IPTABLES -A FORWARD -p ALL -s $LO_IP127.0.0.1 -j ACCEPT
    $IPTABLES -A FORWARD -p ALL -s $INET_IP -j ACCEPT


    #logovani OUTPUT
    $IPTABLES -A OUTPUT -j LOG
     

     

     

    Odpovědi

    17.2.2009 12:25 miro
    Rozbalit Rozbalit vše Re: FIREWALL fedora
    když třeba programem wget chci stáhnout nějaký soubor, můj packet výjde pod portem 80 na daný server od kterého chci soubor, a daný server pošle soubor pod source portem 80 ale destination port změní na úplně jinačí?

    Server při vrácení požadavku prohodí source port a destination port. Takže to, pod jakým číslem (destination) portu obdrží (např.) wget požadavek ze serveru, záleží na tom, pod jakým source portem ten požadavek odesílal. Spusťte wireshark a zkuste si něco stáhnout, bude to zřejmé na první pohled.

    17.2.2009 13:16 PET | skóre: 1
    Rozbalit Rozbalit vše Re: FIREWALL fedora

    Aha, no já myslel že všechny programy co pracují s http protokolem vše posílají na portu 80 ale ono to tak není..

    Jak jsem pochopil tak na portu 80 akortát naslouchá server apache:  ale všechny programy co se týče třeba prohlížeče tak svůj požadavek vyšle pod nějakým jiným portem (SOURCE) a na port 80 (DESTINATION) aby to příjmul apache na serveru z kterého chci data.. 

    ten server to teda pak prohodí a pošle zpět..

    OK, chápu..

    Takže já když budu chtít nastavit FW tak aby se mě k daným programům data i vraceli a FW je nezahazoval.. Tak musím dělat pravidla pro  SPORT??

    Kdežto u spuštěných služeb jako HTTP, FTP  povolovat DPORT?

     

    Je to takhle správně? Nebo se to v IPTABLES nastavuje úplně jinak?

     

    Díky

    michich avatar 17.2.2009 13:02 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: FIREWALL fedora
    Měl bys využít stavových možností iptables a povolit v INPUT příjem paketů, které odpovídají na tvé odeslané požadavky (stav ESTABLISHED a RELATED). Zvaž jestli by nebylo pro tebe jednodušší si ten firewall naklikat v system-config-firewall.
    17.2.2009 13:21 PET | skóre: 1
    Rozbalit Rozbalit vše Re: FIREWALL fedora

    Na tomto serveru nemám graficko prostředí.. ta utilita je myslím GUI ne?   Díky za ten tip (stav ESTABLISHED a RELATED)  zkusím o tom něco pohledat..

    Myslím že tohle bude ten směr kterým jsem potřeboval nakopnout..  Když se v tom totiž neorientuju až tak vítečně, nevěděl jsem pod čím to hledat..

    Díky moc

    17.2.2009 13:31 Pavel | skóre: 6
    Rozbalit Rozbalit vše Re: FIREWALL fedora

    Pro INPUT dej jako první pravidlo

    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     

    michich avatar 17.2.2009 21:04 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: FIREWALL fedora
    Na tomto serveru nemám graficko prostředí.. ta utilita je myslím GUI ne?

    Ano, je. Ale i když nemáš X server přímo na tom počítači, můžeš na něm spouštět grafické programy pomocí připojení s forwardovánín X protokolu: ssh -X jmenoserveru

    Kromě toho existuje i textový nástroj system-config-firewall-tui.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.