Bylo vydáno Eclipse IDE 2024-09 aneb Eclipse 4.33. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.
Byla vydána (Mastodon, 𝕏) nová verze 2024.3 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení.
Ve FreeBSD byla nalezena a opravena kritická bezpečnostní chyba CVE-2024-43102 s CVSS 10.
K posouzení byly předány patche přidávající do linuxových stromů zařízení (device trees) zařízení s SoC A7 až A11 od Applu (iPhone, iPad, iPod a Apple TV).
Vývoj webového prohlížeče nad renderovacím jádrem Servo, aktuální příspěvek na blogu Serva (Wikipedie). Vedle referenčního prohlížeče servoshell vzniká prohlížeč Verso. Vyzkoušet lze noční sestavení.
Unicode Consortium, nezisková organizace koordinující rozvoj standardu Unicode, oznámila vydání Unicode 16.0. Přidáno bylo 5 185 nových znaků. Celkově jich je 154 998. Přibylo 7 nových Emoji.
Byla vydána první major verze 1.0 oficiálního firmwaru pro zařízení Flipper Zero (Wikipedie). Po třech letech vývoje. Přehled novinek i s náhledy a videi v příspěvku na blogu: podpora aplikací třetích stran, nový NFC podsystém, podpora JavaScriptu pro psaní aplikací, vylepšení spotřeby, zrychlení Bluetooth přenosu…
Radicle, distribuovaná alternativa k softwaru pro spolupráci jako např. GitLab, byl vydán ve verzi 1.0. Nyní obsahuje nad gitem postavený, rozšiřitelný protokol pro diskuze a nakládání s patchi, autentizaci a autorizaci, integraci Toru a uživatelské rozhraní v příkazovém řádku či jednoduché webové rozhraní pro prohlížení repozitářů. Projekt byl dříve představen a diskutován na Linux Weekly News.
Byla vydána nová verze 6.7 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.5.3. Thunderbird na verzi 115.15.0. OnionShare z verze 2.2 na verzi 2.6.
Rozsudky Soudního dvora Evropské unie ve věcech C-465/20 P (Apple) a C-48/22 P (Google a Alphabet): Irsko poskytlo společnosti Apple protiprávní daňová zvýhodnění ve výši 13 miliard eur a je povinné je získat zpět. Byla potvrzena pokuta ve výši 2,4 miliardy eur uložená společnosti Google za to, že zneužívala svého dominantního postavení tím, že upřednostňovala vlastní službu srovnávání výrobků.
Cau mam takovy problem s iptables. Mam centos se dvema rozhranima. ETH0 a ETH1. A chci se zeptat zda kdyz napisu "iptables -P INPUT DROP. Tak jestli to znamena ze cokoliv co prijde na obe rozhrani se zahodi a nebo A TO ME HLAVNE ZAJIMA jestli jde definovat politika na konkretni rozhrani jako ze by ta politika "iptables -P INPUT DROP platila treba jen na EHT0 ale nevztahovala se na ETH1. Diky za rady.
No popravde me za to sef nadal kdyz jsem to pravidlo zadal do FW a to z toho duvodu ze na vnitrni rozhrani chodi plno "packetu" a jadro by se muselo zabyvat filteringem kazdym z nich a tim padem by jadro bylo vytizeno jenom "blbym" firewalem. Jste si jisty tim o pisete? Nebo me sef jen zkousel co "vim"? dekuji
# iptables -P INPUT DROP -i eth1
iptables v1.4.2: Illegal option `-i' with this command
Politika je pre všetky rozhrania spoločná.
iptables -P INPUT DROP -i eth0
iptables -P INPUT ACCEPT -i eth1 Je po tom mozne napsat neco takove? Pro kazde rozhrani jina politika?
jeste jinak bych to udelal...
iptables -A INPUT -i eth0 -p all -j ACCEPT
iptables -A INPUT -i eth1 -p all -j DROP
sice to nejsou politiky ale da se rict ze to funguje stejne kdyz to zaradim na konec pravidel ne?
Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd). Mam se teda vykaslat na politiky typu
iptables -P INPUT DROP
iptables -P FORWARD DROP
a dat tam teda radsi nakonec tyhle 4 pravidla
iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP
iptables -A FORWARD -i eth0 -p all -j DROP
iptables -A FORWARD -i eth1 -p all -j DROP
Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd)
Pokud používáte DROP
a ne REJECT
, žádné odmítání paketů se neděje, pakety se prostě zahazují. Vysoké zátěže jádra bych se nebál, pokud nemáte příliš komplikovanou strukturu pravidel, příliš vysoký provoz (tisíce až desetitisíce paketů za sekundu) a pomalý procesor. Jinak to '-p all
' můžete klidně vynechávat, to je jen jeden z takových artefaktů, které jednou někdo někde použil v článku a od té doby to od něj všichni opisují.
K politikám: politiku každý builtin řetězec mít musí (uživatelským ji naopak nastavit nelze), protože builtin řetězec musí vždy rozhodnout o osudu paketu (propustit nebo zahodit). Nemůžete se dostat do stavu, kdy paket projde celým builtin řetězcem a jádro pořád nebude vědět, co s ním. Takže pro takový případ se definuje politika - ta definuje, co se udělá pakety, které prošly celým řetězcem, aniž by se rozhodlo. Proto také nemá smysl uvažovat o nějaké "politice jen pro jedno rozhraní" apod. Na rozlišování paketů podle rozhraní máte pravidla.
Celkově je náročnost filtru dána tím, kolik a jak složitých podmínek je potřeba testovat a kolik a jak složitých akcí je potřeba provést pro jednotlivé pakety. Takže chcete-li nějak optimalizovat náročnost filtru, je dobré řadit pravidla tak, aby se jako první testovala ta, která rozhodnou o co největším množství paketů. Typickým příkladem je pravidlo povolující veškeré ESTABLISHED
a RELATED
pakety (používáte-li stavový filtr) nebo pravidla povolující veškerý provoz z konkrétního rozhraní (nechcete-li výjimky). Tak docílíte toho, že o většině paketů rozhodne prvních pár pravidel a ta další se budou testovat jen pro "mimořádné". Ty "optimalizace", které navrhujete vy, jsou ale celkem bezpředmětné.
Mohu se jeste zeptat na 2 veci? 1)Co je builtin retezec?
2) Je tahle politika iptables -P INPUT DROP ekvivalentni temto dvema pravidlum?
iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP
Se sefem jsem mel takovy spor: rekl jsem ze iptables -P INPUT DROP je politika ktera zahazuje vsechny pakety(vstupni) na VSECH sitovych rozhranich toho daneho stroje(samozrejme pokud nevyhovi nejakemu pravidlu). A on mi rekl na VSECH? A rikal neco ve smyslu ze to neni pravda. Ale podle me se to vztahuje jak na ETH0 tak na ETH1. Kdo z nas mel teda pravdu?
Samozrejme ze by byli na konci... Tzn pravdu jsme mel ja iptables -P INPUT DROP se uplatnuje na vsechna rozhrani jak ETH0 tak ETH1. Samozrejme pokud se na neuplatnilo nejake pravidlo.
1. Už jednou jsem vám napsal, že eth0
a eth1
nejsou všechna rozhraní.
2. Jména rozhraní jsou case sensitive, takže ETH0
je něco jiného než eth0
.
1. Builtin (vestavěný) řetězec je takový, který vytváří jádro automaticky a který nemůžete ani smazat. Opakem jsou uživatelské řetězce, které si vytváříte sám (iptables -N
) a sám je také mažete (iptables -X
). Do builtin řetězce se paket dostává v určité fázi svého zpracování, do uživatelského řetězce tehdy, když ho tam pošlete pravidlem z jiného řetězce. V tabulce filter
jsou builtin řetězce tři: INPUT
, FORWARD
a OUTPUT
.
2a. Ekvivalentní to není, protože kromě rozhraní eth0
a eth1
existuje ještě přinejmenším lo
. Pokud byste ale na konci řetězce měl 'iptables -A INPUT -j DROP'
, bude to ekvivalentní nastavení politiky na DROP
, tedy aspoň z hlediska toho, co řetězcem projde a co ne. Nezapomínejte ale na to, že řetězec vždycky má nějakou politiku, pro jistotu si ještě jednou pořádně přečtěte můj minulý příspěvek, když už jsem si s ním dal tu práci. Až pochopíte, co je to politika, bude vám jasné, že nemá smysl se ptát, jestli se týká jen určitého rozhraní; politika se aplikauje na všechny pakety, o kterých nerozhodla pravidla v daném řetězci (bez ohledu na vstupní interface, výstupní interface, protokol, barvu pleti, vyznání atd.).
Jen bych rád upozornil, že pravidlo INPUT neřeší všechny paktey, které přijdou na dané rozhraní. INPUT se týká jen paketů určených pro stroj, na němž filtr běží. Pokud jde o pakety, které na dané rozhraní přijdou, ale pokračují dále skrz na další rozhraní, pak se na ně aplikuje řetězec FORWARD.
FORWARD
.
Tiskni Sdílej: