Immich byl vydán v nové verzi 3.0.0. Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.
Společnost Juno Computers prodávající počítače s předinstalovaným Linuxem má nově v nabídce linuxový tablet Juno Tab 4 - WiFi. Na výběr je Debian, Ubuntu a Kubuntu. Předobjednat jej lze za 949 liber (26 500 korun).
Podman (Pod Manager), nástroj umožňující vytvářet a provozovat kontejnery, aniž by uživatel potřeboval práva roota, byl vydán v nové major verzi 6.0.0. Přehled novinek v poznámkách k vydání. Řešena je i vážná bezpečnostní chyba CVE-2026-57231.
Společnost Sony oznámila, že od ledna 2028 přestane vydávat nové hry pro PlayStation na fyzických discích. Všechny budoucí tituly budou dostupné výhradně v digitální podobě na PlayStation Store.
Google Chrome 150 byl prohlášen za stabilní. Nejnovější stabilní verze 150.0.7871.46 přináší řadu novinek. Podrobný přehled v poznámkách k vydání. Opraveno bylo 433 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Soudní dvůr Evropské unie potvrdil rekordní pokutu 4,125 miliardy eur (100 miliard Kč) americké technologické firmě Google ze skupiny Alphabet. Pokutu firmě v roce 2018 vyměřila Evropská komise (EK) za to, že Google podle ní zneužívá operačního systému Android k potlačení konkurence na trhu vyhledávacích služeb.
Administrativa amerického prezidenta Donalda Trumpa povolila firmě Anthropic obnovit plný přístup klientů k modelům umělé inteligence (AI) Fable 5 a Mythos 5. Ty byly nedostupné bezmála tři týdny kvůli bezpečnostním obavám vlády, třebaže americké ministerstvo obchodu minulý pátek povolilo omezený přístup k modelu Mythos 5 pro některé „důvěryhodné“ domácí organizace.
Francúzska organizácia na ochranu spotrebiteľa, po viac než ôsmych rokoch skúmania, žaluje Epson za plánované zastarávanie tlačiarní. Súd sa začína dnes, 2. 7. 2026, vo francúzskom Nanterre.
Erin Catto, autor open source 2D fyzikálního enginu Box2D (Wikipedie), představil nový 3D fyzikální engine Box3D. Engine je již používán ve hře The Legend of California.
Byla vydána nová verze 4.0.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy nových filtrů na PIXLS.US.
Cau mam takovy problem s iptables. Mam centos se dvema rozhranima. ETH0 a ETH1. A chci se zeptat zda kdyz napisu "iptables -P INPUT DROP. Tak jestli to znamena ze cokoliv co prijde na obe rozhrani se zahodi a nebo A TO ME HLAVNE ZAJIMA jestli jde definovat politika na konkretni rozhrani jako ze by ta politika "iptables -P INPUT DROP platila treba jen na EHT0 ale nevztahovala se na ETH1. Diky za rady.
No popravde me za to sef nadal kdyz jsem to pravidlo zadal do FW a to z toho duvodu ze na vnitrni rozhrani chodi plno "packetu" a jadro by se muselo zabyvat filteringem kazdym z nich a tim padem by jadro bylo vytizeno jenom "blbym" firewalem. Jste si jisty tim o pisete? Nebo me sef jen zkousel co "vim"? dekuji
# iptables -P INPUT DROP -i eth1
iptables v1.4.2: Illegal option `-i' with this command
Politika je pre všetky rozhrania spoločná.
iptables -P INPUT DROP -i eth0iptables -P INPUT ACCEPT -i eth1 Je po tom mozne napsat neco takove? Pro kazde rozhrani jina politika?
jeste jinak bych to udelal...
iptables -A INPUT -i eth0 -p all -j ACCEPT
iptables -A INPUT -i eth1 -p all -j DROP
sice to nejsou politiky ale da se rict ze to funguje stejne kdyz to zaradim na konec pravidel ne?
Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd). Mam se teda vykaslat na politiky typu
iptables -P INPUT DROP
iptables -P FORWARD DROP
a dat tam teda radsi nakonec tyhle 4 pravidla
iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP
iptables -A FORWARD -i eth0 -p all -j DROP
iptables -A FORWARD -i eth1 -p all -j DROP
Muzu se jeste zeptat jak nejlepe nastavit FW tak aby co nejmene vytezoval jadro(nejakym odmitanim paketu atd)
Pokud používáte DROP a ne REJECT, žádné odmítání paketů se neděje, pakety se prostě zahazují. Vysoké zátěže jádra bych se nebál, pokud nemáte příliš komplikovanou strukturu pravidel, příliš vysoký provoz (tisíce až desetitisíce paketů za sekundu) a pomalý procesor. Jinak to '-p all' můžete klidně vynechávat, to je jen jeden z takových artefaktů, které jednou někdo někde použil v článku a od té doby to od něj všichni opisují.
K politikám: politiku každý builtin řetězec mít musí (uživatelským ji naopak nastavit nelze), protože builtin řetězec musí vždy rozhodnout o osudu paketu (propustit nebo zahodit). Nemůžete se dostat do stavu, kdy paket projde celým builtin řetězcem a jádro pořád nebude vědět, co s ním. Takže pro takový případ se definuje politika - ta definuje, co se udělá pakety, které prošly celým řetězcem, aniž by se rozhodlo. Proto také nemá smysl uvažovat o nějaké "politice jen pro jedno rozhraní" apod. Na rozlišování paketů podle rozhraní máte pravidla.
Celkově je náročnost filtru dána tím, kolik a jak složitých podmínek je potřeba testovat a kolik a jak složitých akcí je potřeba provést pro jednotlivé pakety. Takže chcete-li nějak optimalizovat náročnost filtru, je dobré řadit pravidla tak, aby se jako první testovala ta, která rozhodnou o co největším množství paketů. Typickým příkladem je pravidlo povolující veškeré ESTABLISHED a RELATED pakety (používáte-li stavový filtr) nebo pravidla povolující veškerý provoz z konkrétního rozhraní (nechcete-li výjimky). Tak docílíte toho, že o většině paketů rozhodne prvních pár pravidel a ta další se budou testovat jen pro "mimořádné". Ty "optimalizace", které navrhujete vy, jsou ale celkem bezpředmětné.
Mohu se jeste zeptat na 2 veci? 1)Co je builtin retezec?
2) Je tahle politika iptables -P INPUT DROP ekvivalentni temto dvema pravidlum?
iptables -A INPUT -i eth0 -p all -j DROP
iptables -A INPUT -i eth1 -p all -j DROP
Se sefem jsem mel takovy spor: rekl jsem ze iptables -P INPUT DROP je politika ktera zahazuje vsechny pakety(vstupni) na VSECH sitovych rozhranich toho daneho stroje(samozrejme pokud nevyhovi nejakemu pravidlu). A on mi rekl na VSECH? A rikal neco ve smyslu ze to neni pravda. Ale podle me se to vztahuje jak na ETH0 tak na ETH1. Kdo z nas mel teda pravdu?
Samozrejme ze by byli na konci... Tzn pravdu jsme mel ja iptables -P INPUT DROP se uplatnuje na vsechna rozhrani jak ETH0 tak ETH1. Samozrejme pokud se na neuplatnilo nejake pravidlo.
1. Už jednou jsem vám napsal, že eth0 a eth1 nejsou všechna rozhraní.
2. Jména rozhraní jsou case sensitive, takže ETH0 je něco jiného než eth0.
1. Builtin (vestavěný) řetězec je takový, který vytváří jádro automaticky a který nemůžete ani smazat. Opakem jsou uživatelské řetězce, které si vytváříte sám (iptables -N) a sám je také mažete (iptables -X). Do builtin řetězce se paket dostává v určité fázi svého zpracování, do uživatelského řetězce tehdy, když ho tam pošlete pravidlem z jiného řetězce. V tabulce filter jsou builtin řetězce tři: INPUT, FORWARD a OUTPUT.
2a. Ekvivalentní to není, protože kromě rozhraní eth0 a eth1 existuje ještě přinejmenším lo. Pokud byste ale na konci řetězce měl 'iptables -A INPUT -j DROP', bude to ekvivalentní nastavení politiky na DROP, tedy aspoň z hlediska toho, co řetězcem projde a co ne. Nezapomínejte ale na to, že řetězec vždycky má nějakou politiku, pro jistotu si ještě jednou pořádně přečtěte můj minulý příspěvek, když už jsem si s ním dal tu práci. Až pochopíte, co je to politika, bude vám jasné, že nemá smysl se ptát, jestli se týká jen určitého rozhraní; politika se aplikauje na všechny pakety, o kterých nerozhodla pravidla v daném řetězci (bez ohledu na vstupní interface, výstupní interface, protokol, barvu pleti, vyznání atd.).
Jen bych rád upozornil, že pravidlo INPUT neřeší všechny paktey, které přijdou na dané rozhraní. INPUT se týká jen paketů určených pro stroj, na němž filtr běží. Pokud jde o pakety, které na dané rozhraní přijdou, ale pokračují dále skrz na další rozhraní, pak se na ně aplikuje řetězec FORWARD.
FORWARD.
Tiskni
Sdílej: