Svobodný elektronický platební systém GNU Taler (Wikipedie, cgit) byl vydán ve verzi 1.0. GNU Taler chrání soukromí plátců a zároveň zajišťuje, aby byl příjem viditelný pro úřady. S vydáním verze 1.0 byl systém spuštěn ve Švýcarsku.
Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 209. brněnský sraz, který proběhne tento pátek 16. května od 18:00 ve studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Jelikož se Brno stalo jedním z hlavních míst, kde se vyvíjí open source knihovna OpenSSL, tentokrát se OpenAlt komunita potká s komunitou OpenSSL. V rámci srazu Anton Arapov z OpenSSL
… více »GNOME Foundation má nového výkonného ředitele. Po deseti měsících skončil dočasný výkonný ředitel Richard Littauer. Vedení nadace převzal Steven Deobald.
Byl publikován přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie) za uplynulé dva měsíce. Servo zvládne už i Gmail. Zakázány jsou příspěvky generované pomocí AI.
Raspberry Pi Connect, tj. oficiální služba Raspberry Pi pro vzdálený přístup k jednodeskovým počítačům Raspberry Pi z webového prohlížeče, byla vydána v nové verzi 2.5. Nejedná se už o beta verzi.
Google zveřejnil seznam 1272 projektů (vývojářů) od 185 organizací přijatých do letošního, již jednadvacátého, Google Summer of Code. Plánovaným vylepšením v grafických a multimediálních aplikacích se věnuje článek na Libre Arts.
Byla vydána (𝕏) dubnová aktualizace aneb nová verze 1.100 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.100 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.5.
OpenSearch (Wikipedie) byl vydán ve verzi 3.0. Podrobnosti v poznámkách k vydání. Jedná se o fork projektů Elasticsearch a Kibana.
PyXL je koncept procesora, ktorý dokáže priamo spúštat Python kód bez nutnosti prekladu ci Micropythonu. Podľa testov autora je pri 100 MHz približne 30x rýchlejší pri riadeni GPIO nez Micropython na Pyboard taktovanej na 168 MHz.
V mem okolik neni nikdo s nejakou znalosti/zkusenosti IPv6. Marne na internetu hledam odpovedi ohledne zakladnich otazek.
1-IPv4 --- sit 100PC za linux firewallem/routerem s verejnou IPv4 adresou, ktery dela NAT. Nekolik PC maji tunelovane porty na verejnou IP na linux brane. V siti bezi DHCP a rozdava IP adresy 192.168.x.x
2-IPv6 --- ISP poskytuje IPv6, obdrzeno /48, sit 100PC za linux routerem/firewallem. Vsechny servery/stanice pouzivaji pouze IPv6, ktere jsou poskytovany pomoci radvd nebo rucne prirazeny
Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?
Předně jak se situace liší od bohužel pro vás hypotetické situace, kdy by ste měl dost IPv4 adres a žádný NAT jste neprovozoval?
Až si vyřešíte zabezpečení této hypotetické situace, tak se můžeme bavit o rozdílech mezi IPv4 a IPv6. V podstatě kromě „source-routingu“, který se v trochu jiné formě vrátil a který lze úspěšně vypnout/ignorovat/blokovat jako v IPv4, je pak už jediným závažným rozdílem ICMPv6. Ohledně toho existuje rozsáhlé pojednání.
Je ovšem nutné si uvědomit, že když zapínáte firewall na bráně, tak tím omezujete svobodu koncových stanic. Co potřebujete vy a vaši uživatelé a čemu dáte přednost, si ale musíte vyřešit sami.
Myslim ze v klidu firewallem, zalezi na distribuci:
http://tldp.org/HOWTO/Linux+IPv6-HOWTO/x2228.html
NN
Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall?Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť. Pokud tomu nevěříte, bude potřeba zavést nějaký arbitrující firewall, který rozdělí síť na zóny, mezi kterými je komunikace pevně dána nebo zakázána.
Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť.PC za NATem není tak úplně totéž jako PC připojené k internetu. A pokud je na tom routeru, který dělá NAT, rozumě nastavený firewall, tak zároveň zajišťuje zabezpečení počítačů v síti. (Například omezením forwardu na spojení, která byla iniciována z vnitřní sítě.)
28.7.2009 21:08
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?
Rozjet firewall na každém zvlášť jistě je řešení, ale proč to, když už tam firewall pro všechny máte. Na to firewallu nastavíte provoz ven a na jednotlivé PC budete pouštět porty podle potřeby. Velice jednoduše pro IPv4, pro 6 se změní jen adresy a ip6tables:
iptables -P FORWARD DROP # výchozí politika, všechno zahodit iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # navázané pustíme iptables -A FORWARD -i LAN -o INET -j ACCEPT # zevnitř ven pustíme iptables -A FORWARD --proto icmp -j ACCEPT
Předchozí kód tam budete mít 100% již dnes (v různých modifikacích). Zbytek řešíte natem a port forwardem. To už nebudete potřebovat. Teď stačí pridávat pravidla pro stroje (identifikované svoji vlastní adresou) a porty:
iptables -A FORWARD -d 1.2.3.4 --proto tcp --dport 22 -j ACCEPT # SSH na server1 iptables -A FORWARD -d 2.3.4.5 --proto tcp --dport 80 -j ACCEPT # HTTPD na server2 iptables -A FORWARD -d 3.4.5.6 -j ACCEPT # stroj 3 má vlastní FW, pustíme vše. iptables -A FORWARD -d 4.5.6.7 --proto tcp --dport 5900 -s 5.6.7.8 # na vnc stroje 4 pouze z firmy.
Je to velmi jednoduché, vše se řeší v chainu forward. Ochrana vlastního FW pak v INPUT, ale to je snad jasné.
PS: ukázka FW v tomto komentáři si neklade za cíl zabránit všem útokům, je vhodné jej doplnit o vhodné nastavení ICMP, anti spoofing a další bezpečnostní prvky.
28.7.2009 21:15
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
iptables -N server_a iptables -A server_a --proto tcp --dport 22 -j ACCEPT iptables -A server_a --proto tcp --dport 80 -j ACCEPT ........ iptables -A FORWARD -d 1.2.3.4 -j server_a
jeden z duvodu nasazeni IPv6 je prave odstraneni NATu, aby fungovaly p2p aplikace a VOIP bez berlicek. takze zablokovani vseho je fakt imbecilni reseni.
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz