Fedora je od 10. února dostupná v Sýrii. Sýrie vypadla ze seznamu embargovaných zemí a Fedora Infrastructure Team mohl odblokovat syrské IP adresy.
Ministerstvo zahraničí Spojených států amerických vyvíjí online portál Freedom.gov, který umožní nejenom uživatelům v Evropě přístup k obsahu blokovanému jejich vládami. Portál bude patrně obsahovat VPN funkci maskující uživatelský provoz tak, aby se jevil jako pocházející z USA. Projekt měl být původně představen již na letošní Mnichovské bezpečnostní konferenci, ale jeho spuštění bylo odloženo.
Byla vydána pro lidi zdarma ke stažení kniha The Book of Remind věnovaná sofistikovanému kalendáři a připomínači Remind.
Grafický editor dokumentů LyX, založený na TeXu, byl vydán ve verzi 2.5.0. Oznámení připomíná 30. výročí vzniku projektu. Novinky zahrnují mj. vylepšení referencí nebo použití barev napříč aplikací, od rozhraní editoru po výstupní dokument.
F-Droid bannerem na svých stránkách a také v aplikacích F-Droid a F-Droid Basic upozorňuje na iniciativu Keep Android Open. Od září 2026 bude Android vyžadovat, aby všechny aplikace byly registrovány ověřenými vývojáři, aby mohly být nainstalovány na certifikovaných zařízeních Android. To ohrožuje alternativní obchody s aplikacemi jako F-Droid a možnost instalace aplikací mimo oficiální obchod (sideloading).
Svobodná historická realtimová strategie 0 A.D. (Wikipedie) byla vydána ve verzi 28 (0.28.0). Její kódový název je Boiorix. Představení novinek v poznámkách k vydání. Ke stažení také na Flathubu a Snapcraftu.
Multimediální server a user space API PipeWire (Wikipedie) poskytující PulseAudio, JACK, ALSA a GStreamer rozhraní byl vydán ve verzi 1.6.0 (Bluesky). Přehled novinek na GitLabu.
UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.2 a 20.04 OTA-12.
Byla vydána (Mastodon, 𝕏) nová stabilní verze 2.0 otevřeného operačního systému pro chytré hodinky AsteroidOS (Wikipedie). Přehled novinek v oznámení o vydání a na YouTube.
WoWee je open-source klient pro MMORPG hru World of Warcraft, kompatibilní se základní verzí a rozšířeními The Burning Crusade a Wrath of the Lich King. Klient je napsaný v C++ a využívá vlastní OpenGL renderer, pro provoz vyžaduje modely, grafiku, hudbu, zvuky a další assety z originální kopie hry od Blizzardu. Zdrojový kód je na GitHubu, dostupný pod licencí MIT.
Cau mam takovy problem s iptables. Mam centos se dvema rozhranima. ETH0 a ETH1. A chci se zeptat zda kdyz napisu "iptables -P INPUT DROP. Tak jestli to znamena ze cokoliv co prijde na obe rozhrani se zahodi a nebo A TO ME HLAVNE ZAJIMA jestli jde definovat politika na konkretni rozhrani jako ze by ta politika "iptables -P INPUT DROP platila treba jen na EHT0 ale nevztahovala se na ETH1. Diky za rady.
7.7.2009 23:14
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
No popravde me za to sef nadal kdyz jsem to pravidlo zadal do FW a to z toho duvodu ze na vnitrni rozhrani chodi plno "packetu" a jadro by se muselo zabyvat filteringem kazdym z nich a tim padem by jadro bylo vytizeno jenom "blbym" firewalem. Jste si jisty tim o pisete? Nebo me sef jen zkousel co "vim"? dekuji
7.7.2009 23:33
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
7.7.2009 23:02
# iptables -P INPUT DROP -i eth1
iptables v1.4.2: Illegal option `-i' with this commandiptables -P INPUT DROP -i eth0iptables -P INPUT ACCEPT -i eth1 Je po tom mozne napsat neco takove? Pro kazde rozhrani jina politika?
jeste jinak bych to udelal...
iptables -A INPUT -i eth0 -p all -j ACCEPT
iptables -A INPUT -i eth1 -p all -j DROP
sice to nejsou politiky ale da se rict ze to funguje stejne kdyz to zaradim na konec pravidel ne?
7.7.2009 23:35
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd). Mam se teda vykaslat na politiky typu
iptables -P INPUT DROP
iptables -P FORWARD DROP
a dat tam teda radsi nakonec tyhle 4 pravidla
iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP
iptables -A FORWARD -i eth0 -p all -j DROP
iptables -A FORWARD -i eth1 -p all -j DROP
Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd)
Pokud používáte DROP a ne REJECT, žádné odmítání paketů se neděje, pakety se prostě zahazují. Vysoké zátěže jádra bych se nebál, pokud nemáte příliš komplikovanou strukturu pravidel, příliš vysoký provoz (tisíce až desetitisíce paketů za sekundu) a pomalý procesor. Jinak to '-p all' můžete klidně vynechávat, to je jen jeden z takových artefaktů, které jednou někdo někde použil v článku a od té doby to od něj všichni opisují.
K politikám: politiku každý builtin řetězec mít musí (uživatelským ji naopak nastavit nelze), protože builtin řetězec musí vždy rozhodnout o osudu paketu (propustit nebo zahodit). Nemůžete se dostat do stavu, kdy paket projde celým builtin řetězcem a jádro pořád nebude vědět, co s ním. Takže pro takový případ se definuje politika - ta definuje, co se udělá pakety, které prošly celým řetězcem, aniž by se rozhodlo. Proto také nemá smysl uvažovat o nějaké "politice jen pro jedno rozhraní" apod. Na rozlišování paketů podle rozhraní máte pravidla.
Celkově je náročnost filtru dána tím, kolik a jak složitých podmínek je potřeba testovat a kolik a jak složitých akcí je potřeba provést pro jednotlivé pakety. Takže chcete-li nějak optimalizovat náročnost filtru, je dobré řadit pravidla tak, aby se jako první testovala ta, která rozhodnou o co největším množství paketů. Typickým příkladem je pravidlo povolující veškeré ESTABLISHED a RELATED pakety (používáte-li stavový filtr) nebo pravidla povolující veškerý provoz z konkrétního rozhraní (nechcete-li výjimky). Tak docílíte toho, že o většině paketů rozhodne prvních pár pravidel a ta další se budou testovat jen pro "mimořádné". Ty "optimalizace", které navrhujete vy, jsou ale celkem bezpředmětné.
Mohu se jeste zeptat na 2 veci? 1)Co je builtin retezec?
2) Je tahle politika iptables -P INPUT DROP ekvivalentni temto dvema pravidlum?
iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP
Se sefem jsem mel takovy spor: rekl jsem ze iptables -P INPUT DROP je politika ktera zahazuje vsechny pakety(vstupni) na VSECH sitovych rozhranich toho daneho stroje(samozrejme pokud nevyhovi nejakemu pravidlu). A on mi rekl na VSECH? A rikal neco ve smyslu ze to neni pravda. Ale podle me se to vztahuje jak na ETH0 tak na ETH1. Kdo z nas mel teda pravdu?
Samozrejme ze by byli na konci... Tzn pravdu jsme mel ja iptables -P INPUT DROP se uplatnuje na vsechna rozhrani jak ETH0 tak ETH1. Samozrejme pokud se na neuplatnilo nejake pravidlo.
1. Už jednou jsem vám napsal, že eth0 a eth1 nejsou všechna rozhraní.
2. Jména rozhraní jsou case sensitive, takže ETH0 je něco jiného než eth0.
1. Builtin (vestavěný) řetězec je takový, který vytváří jádro automaticky a který nemůžete ani smazat. Opakem jsou uživatelské řetězce, které si vytváříte sám (iptables -N) a sám je také mažete (iptables -X). Do builtin řetězce se paket dostává v určité fázi svého zpracování, do uživatelského řetězce tehdy, když ho tam pošlete pravidlem z jiného řetězce. V tabulce filter jsou builtin řetězce tři: INPUT, FORWARD a OUTPUT.
2a. Ekvivalentní to není, protože kromě rozhraní eth0 a eth1 existuje ještě přinejmenším lo. Pokud byste ale na konci řetězce měl 'iptables -A INPUT -j DROP', bude to ekvivalentní nastavení politiky na DROP, tedy aspoň z hlediska toho, co řetězcem projde a co ne. Nezapomínejte ale na to, že řetězec vždycky má nějakou politiku, pro jistotu si ještě jednou pořádně přečtěte můj minulý příspěvek, když už jsem si s ním dal tu práci. Až pochopíte, co je to politika, bude vám jasné, že nemá smysl se ptát, jestli se týká jen určitého rozhraní; politika se aplikauje na všechny pakety, o kterých nerozhodla pravidla v daném řetězci (bez ohledu na vstupní interface, výstupní interface, protokol, barvu pleti, vyznání atd.).
Jen bych rád upozornil, že pravidlo INPUT neřeší všechny paktey, které přijdou na dané rozhraní. INPUT se týká jen paketů určených pro stroj, na němž filtr běží. Pokud jde o pakety, které na dané rozhraní přijdou, ale pokračují dále skrz na další rozhraní, pak se na ně aplikuje řetězec FORWARD.
FORWARD.
Tiskni
Sdílej:
