V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).
Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.
Společnost Meta představila OpenZL. Jedná se o open source framework pro kompresi dat s ohledem na jejich formát. Zdrojové kódy jsou k dispozici na GitHubu.
Google postupně zpřístupňuje českým uživatelům Režim AI (AI Mode), tj. nový režim vyhledávání založený na umělé inteligenci. Režim AI nabízí pokročilé uvažování, multimodalitu a možnost prozkoumat jakékoliv téma do hloubky pomocí dodatečných dotazů a užitečných odkazů na weby.
Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.
Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.
Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.
Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.
Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.
iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --sport 80 -j ACCEPT iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --dport 80 -j ACCEPTDiky
potrebujes akorat tyhle, paklize ze klienta lezes na server:80 ... ty zbyly dva radky ti delaly server -> client:80, coz predpokladam neni to co chces.
iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.11.5 -d 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -p tcp --dport 80 -m state --state NEW -j ACCEPT
Treba si priucim...
Mate nejaky zvlastni duvod, proc akceptujete i INVALID
pakety?
Zahazovat?
Co vas vede k presvedceni, ze nikomu nemohou ublizit?
K cemu mi je, kdyz si ostatni mysli, ze nemam firewall? BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT
? Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.
Pokud nastanou problemy, tak vzdycky muzete INVALID
povolit pro konkretni porty, obecne s tim zadny problem neni a je doporucovano tyto pakety zahazovat.
Co vas vede k presvedceni, ze nikomu nemohou ublizit?TCP/IP stack Linuxu je poměrně dobře odladěný a neřekl bych že je nějakým způsobem nerobustní vůči špatným paketům. Navíc jelikož je logika stavového FW dost pevně spjatá s logikou TCP/IP stacku tak pokud by TCP/IP stack trpěl nějakým problémem způsobeným špatným paketem, bude jím pravděpodobně stavový FW trpět taky.
K cemu mi je, kdyz si ostatni mysli, ze nemam firewall?Že nedáváte k dispozici víc informací než musíte.
BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT?Ano.
Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.Pro verzi OS jsou podstatnější otevřené porty než zavřené. A skenování tím usnadní jak, když je odpověď na filtrovaném portu stejná jako na zavřeném (verzus žádná odpověď)?
vzdycky muzete INVALID povolit pro konkretni portyINVALIDní pakety nemusí chodit na nějaké porty a už vůbec ne na ty, na které chodí normální provoz.
a je doporucovano tyto pakety zahazovatUkažte mi nějaký seriózní zdroj (nejlépe RFC) k tomuto tvrzení a já otočím gard.
ale s timto zapisem, kdyz navazu to spojeni na te 80, pak pak jde i pingatJste si jist, že se to povoluje tím mým zápisem a ničím jiným? Co myslíte tím když navážete spojení?
Jaky je tedy presny rozdil, co ziskam hlavne pomoci ESTABLISHED,RELATED ?ESTABLISHED propouští pouze pakety které patří nějakému navázanému spojení - tedy ne libovolný packet, který má náhodou stejná čísla portů. RELATED pak propouští i jiné pakety, které sice nepatří tomu TCP spojení ale souvisí s ním. Například ICMP pakety "source quench" nebo "redirect" nebo "destination unreachable". Nikoliv ale "ping".
tak po navazani te komunikace z venku na portu 80Tj. jak? Před navázáním komunikace to nepingá? Pokud komunikace probíhá, tak ano? Po skončení spojení také / jak dlouho?
Tiskni
Sdílej: