abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    včera 22:44 | Zajímavý článek

    David Tschumperlé v obšírném článku se spoustou náhledů shrnuje vývoj multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie) za poslední rok a půl.

    Ladislav Hagara | Komentářů: 0
    včera 17:11 | Nová verze

    Vývojáři postmarketOS vydali verzi 23.06 tohoto před šesti lety představeného operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME Shell, Phosh, Plasma a Sxmo. Aktuálně podporovaných zařízení je 30.

    Ladislav Hagara | Komentářů: 0
    včera 16:33 | Nová verze

    Byla vydána distribuce openSUSE Leap verze 15.5 (poznámky k vydání). Jde o konzervativní distribuci odpovídající komerčnímu SUSE Linux Enterprise 15, nyní Service Pack 5. Mělo jít o poslední aktualizaci Leap v současné podobě před přechodem na Adaptable Linux Platform s „neměnným“ základem, ale padlo rozhodnutí, že v roce 2024 ještě vyjde Leap 15.6 s podporou do konce roku 2025.

    Fluttershy, yay! | Komentářů: 0
    včera 12:11 | Komunita

    Alyssa Rosenzweig v příspěvku na blogu oznámila, že Asahi Linux už zvládá OpenGL 3.1. Dokončuje se podpora OpenGL ES 3.1. Dalším krokem bude Vulkan 1.0.

    Ladislav Hagara | Komentářů: 3
    včera 11:11 | Komunita

    Intel nedávno představil a pod licencí SIL Open Font License (OFL) na GitHubu zveřejnil font Intel One Mono. Font je určen především pro zobrazování textu v emulátorech terminálu a vývojových prostředích (Přehled fontů s pevnou šířkou).

    Ladislav Hagara | Komentářů: 3
    včera 01:44 | Zajímavý projekt

    Na redditu byly publikovány zajímavé QR kódy vygenerované pomocí Stable Diffusion. Přehled použitého softwaru v článku na Ars Technica.

    Ladislav Hagara | Komentářů: 0
    6.6. 15:11 | Nová verze

    Byl vydán Mozilla Firefox 114.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Nově jsou také na Linuxu podporovány USB FIDO2/WebAuthn bezpečnostní klíče. WebTransport je ve výchozím stavu povolen. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 114 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 3
    6.6. 11:44 | Nová verze

    Byla vydána červnová aktualizace aneb verze 2023.06-1 linuxové distribuce OSMC (Open Source Media Center). Z novinek lze zdůraznit povýšení verze multimediálního centra Kodi na 20. Na léto je plánováno představení nového vlajkového zařízení Vero, jež nahradí Vero 4K +.

    Ladislav Hagara | Komentářů: 0
    6.6. 11:11 | Pozvánky

    Už zítra 7. června od 17 hodin proběhne SUSE Czech Open House 2023 aneb den otevřených dveří pražské pobočky SUSE. Těšit se lze na komentovanou prohlídku nebo přednášku o spotřebě procesorů.

    Ladislav Hagara | Komentářů: 0
    5.6. 22:33 | IT novinky

    Na vývojářské konferenci Applu WWDC23 byla představena řada novinek (cz): brýle Apple Vision Pro, MacBook Air 15” s čipem M2, Mac Studio s čipem M2 Max nebo M2 Ultra, Mac Pro s čipem M2 Ultra, iOS 17, iPadOS 17, macOS Sonoma, watchOS 10, …

    Ladislav Hagara | Komentářů: 5
    Twitter (nejen pro příležitostné čtení)
     (91%)
     (1%)
     (7%)
    Celkem 211 hlasů
     Komentářů: 6, poslední 6.6. 09:40
    Rozcestník

    Dotaz: Iptables - slozitejsi forward ...

    17.8.2009 15:28 svaca | skóre: 38
    Iptables - slozitejsi forward ...
    Přečteno: 468×
    Ahoj, mam prosbicku, mam router s natem + VPN a potrebuju trosku poradit. Potrebuju, aby urcity klient VPN site (rekneme 10.100.100.0/24) mohl pres firewall, kde je eth0 (WAN) eth1 (LAN) a tun1 (vpn) mohl jen na URCITY pocitac v LAN na urcitem portu ....

    VPN klient ma IP : 10.100.100.6
    Pocitac v LAN ma: 192.168.11.5
    povoleny PORT je : 80

    Pravidlo jsem vytvoril a funguje, jedine proc tu postuju je, zda je to da zapsat jednoduseji, protoze mi to pipada dost krkolomne :-) :
    iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --sport 80 -j ACCEPT
    iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT
    iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT
    iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --dport 80 -j ACCEPT
    
    
    Diky :-)
    Never give up ! Stay ATARI !

    Odpovědi

    17.8.2009 16:06 chytracek
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

    potrebujes akorat tyhle, paklize ze klienta lezes na server:80 ... ty zbyly dva radky ti delaly server -> client:80, coz predpokladam neni to co chces.

    iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT
    iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT
    17.8.2009 16:53 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    JJ diky :-) Uz mi to taky doslo ...

    Dik.
    Never give up ! Stay ATARI !
    17.8.2009 18:43 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    Je rok 2009 a máme stavový firewall. Takto bude moct "server" dělat cokoliv klientovi, pokud zrovna půjde z portu 80, navíc nepostihujete ICMP, a tak. A ty interfacy jsou tam IMHO zbytečně.
    iptables -A FORWARD -s 192.168.11.5 -d 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT
    iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT
    iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -p tcp --dport 80 -m state --state NEW -j ACCEPT
    
    In Ada the typical infinite loop would normally be terminated by detonation.
    17.8.2009 19:26 Sinuhet | skóre: 31
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

    Treba si priucim...

    Mate nejaky zvlastni duvod, proc akceptujete i INVALID pakety?

    17.8.2009 19:36 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    A co s nima mám dělat?
    In Ada the typical infinite loop would normally be terminated by detonation.
    17.8.2009 22:45 Sinuhet
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

    Zahazovat?

    18.8.2009 07:18 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    A proč? Když jsou invalid tak nikomu neublíží. Nejsem si jistý, že ve 100% případů je odpověď systému bez firewallu zahození, takže pokud bych je začal zahazovat, můžu přinejmenším napovídat, že mám firewall a přinejhorším rozesrat chování nějakého protokolu. Jinými slovy: systém si s nima poradí sám.
    In Ada the typical infinite loop would normally be terminated by detonation.
    18.8.2009 12:23 Sinuhet | skóre: 31
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

    Co vas vede k presvedceni, ze nikomu nemohou ublizit?

    K cemu mi je, kdyz si ostatni mysli, ze nemam firewall? BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT? Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.

    Pokud nastanou problemy, tak vzdycky muzete INVALID povolit pro konkretni porty, obecne s tim zadny problem neni a je doporucovano tyto pakety zahazovat.

    18.8.2009 18:41 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    Co vas vede k presvedceni, ze nikomu nemohou ublizit?
    TCP/IP stack Linuxu je poměrně dobře odladěný a neřekl bych že je nějakým způsobem nerobustní vůči špatným paketům. Navíc jelikož je logika stavového FW dost pevně spjatá s logikou TCP/IP stacku tak pokud by TCP/IP stack trpěl nějakým problémem způsobeným špatným paketem, bude jím pravděpodobně stavový FW trpět taky.
    K cemu mi je, kdyz si ostatni mysli, ze nemam firewall?
    Že nedáváte k dispozici víc informací než musíte.
    BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT?
    Ano.
    Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.
    Pro verzi OS jsou podstatnější otevřené porty než zavřené. A skenování tím usnadní jak, když je odpověď na filtrovaném portu stejná jako na zavřeném (verzus žádná odpověď)?
    vzdycky muzete INVALID povolit pro konkretni porty
    INVALIDní pakety nemusí chodit na nějaké porty a už vůbec ne na ty, na které chodí normální provoz.
    a je doporucovano tyto pakety zahazovat
    Ukažte mi nějaký seriózní zdroj (nejlépe RFC) k tomuto tvrzení a já otočím gard.
    In Ada the typical infinite loop would normally be terminated by detonation.
    18.8.2009 10:33 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    pht:

    ten zapis chapu a snad chapu jak to i funguje, ale s timto zapisem, kdyz navazu to spojeni na te 80, pak pak jde i pingat, to pravdepodobne dovoluje RELATED, pri tom mem zapisu to ovsem ale nejde ....

    Jaky je tedy presny rozdil, co ziskam hlavne pomoci ESTABLISHED,RELATED ?

    Diky.
    Never give up ! Stay ATARI !
    18.8.2009 18:46 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    ale s timto zapisem, kdyz navazu to spojeni na te 80, pak pak jde i pingat
    Jste si jist, že se to povoluje tím mým zápisem a ničím jiným? Co myslíte tím když navážete spojení?
    Jaky je tedy presny rozdil, co ziskam hlavne pomoci ESTABLISHED,RELATED ?
    ESTABLISHED propouští pouze pakety které patří nějakému navázanému spojení - tedy ne libovolný packet, který má náhodou stejná čísla portů.

    RELATED pak propouští i jiné pakety, které sice nepatří tomu TCP spojení ale souvisí s ním. Například ICMP pakety "source quench" nebo "redirect" nebo "destination unreachable". Nikoliv ale "ping".
    In Ada the typical infinite loop would normally be terminated by detonation.
    18.8.2009 20:04 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    Jsem si jist, mezi tun1 a eth1 NENI povolena zadna komunikace, zadny forward (muzu postnout cely FW)

    1. muj zapis pusti (navaze komunikaci) na portu 80 z te VPN do te lan (ping neprojde)
    2. pouziji-li Vas zapis, tak po navazani te komunikace z venku na portu 80 muzu pote pingat na tu 192.168.11.5 ...
    Never give up ! Stay ATARI !
    18.8.2009 21:12 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    tak po navazani te komunikace z venku na portu 80
    Tj. jak? Před navázáním komunikace to nepingá? Pokud komunikace probíhá, tak ano? Po skončení spojení také / jak dlouho?

    In Ada the typical infinite loop would normally be terminated by detonation.
    19.8.2009 10:39 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...
    Tak jsem to ted zkousel znova a je to OK, nepinga, takze asi to byl nejaky otevreny retezec, jak jsem to testoval .... Takze nevim :-)

    Nicmene diky.

    Never give up ! Stay ATARI !

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.