Přihlášení | Registrace

napište » Zprávičky

Microsoft se vyhnul pokutě EU, slíbil oddělit Teams od programů Office

dnes 01:33 | IT novinky

Microsoft se vyhnul pokutě od Evropské komise za zneužívání svého dominantního postavení na trhu v souvislosti s aplikací Teams. S komisí se dohodl na závazcích, které slíbil splnit. Unijní exekutivě se nelíbilo, že firma svazuje svůj nástroj pro chatování a videohovory Teams se sadou kancelářských programů Office. Microsoft nyní slíbil jasné oddělení aplikace od kancelářských nástrojů, jako jsou Word, Excel a Outlook. Na Microsoft si

… více »

Ladislav Hagara | Komentářů: 0

Samba 4.23.0

včera 14:00 | Nová verze

Samba (Wikipedie), svobodná implementace SMB a Active Directory, byla vydána ve verzi 4.23.0. Počínaje verzí Samba 4.23 jsou unixová rozšíření SMB3 ve výchozím nastavení povolena. Přidána byla podpora SMB3 přes QUIC. Nová utilita smb_prometheus_endpoint exportuje metriky ve formátu Prometheus.

Ladislav Hagara | Komentářů: 0

F-Droid: Jak FOSS projekty řeší žádosti o odstranění nelegálního obsahu

včera 12:00 | Zajímavý článek

Správcovský tým repozitáře F-Droid pro Android sdílí doporučení, jak řešit žádosti o odstranění nelegálního obsahu. Základem je mít nastavené formální procesy, vyhrazenou e-mailovou adresu a být transparentní. Zdůrazňují také důležitost volby jurisdikce (F-Droid je v Nizozemsku).

🇵🇸 | Komentářů: 12

Další zranitelnost v procesorech: VMScape (CVE-2025-40300)

včera 05:33 | Bezpečnostní upozornění

Byly publikovány informace o další zranitelnosti v procesorech. Nejnovější zranitelnost byla pojmenována VMScape (CVE-2025-40300, GitHub) a v upstream Linuxech je již opravena. Jedná se o variantu Spectre. KVM host může číst data z uživatelského prostoru hypervizoru, např. QEMU.

Ladislav Hagara | Komentářů: 0

Apache Software Foundation má nové logo

11.9. 22:00 | Komunita

V červenci loňského roku organizace Apache Software Foundation (ASF) oznámila, že se částečně přestane dopouštět kulturní apropriace a změní své logo. Dnes bylo nové logo představeno. "Indiánské pírko" bylo nahrazeno dubovým listem a text Apache Software Foundation zkratkou ASF. Slovo Apache se bude "zatím" dál používat. Oficiální název organizace zůstává Apache Software Foundation, stejně jako názvy projektů, například Apache HTTP Server.

Ladislav Hagara | Komentářů: 11

Visual Studio Code a VSCodium 1.104

11.9. 17:33 | Nová verze

Byla vydána (𝕏) srpnová aktualizace aneb nová verze 1.104 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.104 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Spotify spustilo přehrávání v bezztrátové kvalitě

11.9. 15:33 | IT novinky

Spotify spustilo přehrávání v bezztrátové kvalitě. V předplatném Spotify Premium.

Ladislav Hagara | Komentářů: 0

Ellison vystřídal Muska na postu nejbohatšího člověka světa

11.9. 15:00 | IT novinky

Spoluzakladatel a předseda správní rady americké softwarové společnosti Oracle Larry Ellison vystřídal spoluzakladatele automobilky Tesla a dalších firem Elona Muska na postu nejbohatšího člověka světa. Hodnota Ellisonova majetku díky dnešnímu prudkému posílení ceny akcií Oraclu odpoledne vykazovala nárůst o více než 100 miliard dolarů a dosáhla 393 miliard USD (zhruba 8,2 bilionu Kč). Hodnota Muskova majetku činila zhruba 385 miliard dolarů.

Ladislav Hagara | Komentářů: 5

Eclipse IDE 2025-09 aneb Eclipse 4.37

10.9. 21:22 | Nová verze

Bylo vydáno Eclipse IDE 2025-09 aneb Eclipse 4.37. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

Ladislav Hagara | Komentářů: 0

T-Mobile od 15. září zpřístupňuje RCS zprávy i pro iPhone

10.9. 18:22 | IT novinky

T-Mobile od 15. září zpřístupňuje RCS (Rich Communication Services) zprávy i pro iPhone.

Ladislav Hagara | Komentářů: 3

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (83%)

Panely (7%)

Záložky (2%)

Listy (2%)

Něco jiného (4%)

Nic (2%)

Celkem 167 hlasů

Komentářů: 12, poslední 10.9. 13:00

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Iptables - slozitejsi forward ...

Štítky: firewally, iptables, klient, LAN, router, sítě, TCP, VPN

Dotaz: Iptables - slozitejsi forward ...

17.8.2009 15:28 svaca | skóre: 38
Iptables - slozitejsi forward ...

Přečteno: 517×

Odpovědět | Admin

Ahoj, mam prosbicku, mam router s natem + VPN a potrebuju trosku poradit. Potrebuju, aby urcity klient VPN site (rekneme 10.100.100.0/24) mohl pres firewall, kde je eth0 (WAN) eth1 (LAN) a tun1 (vpn) mohl jen na URCITY pocitac v LAN na urcitem portu ....

VPN klient ma IP : 10.100.100.6
Pocitac v LAN ma: 192.168.11.5
povoleny PORT je : 80

Pravidlo jsem vytvoril a funguje, jedine proc tu postuju je, zda je to da zapsat jednoduseji, protoze mi to pipada dost krkolomne :-)

iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --sport 80 -j ACCEPT
iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT
iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --dport 80 -j ACCEPT

Diky

Never give up ! Stay ATARI !

Nástroje: Začni sledovat (1) ?

Odpovědi

17.8.2009 16:06 chytracek
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

potrebujes akorat tyhle, paklize ze klienta lezes na server:80 ... ty zbyly dva radky ti delaly server -> client:80, coz predpokladam neni to co chces.

iptables -I FORWARD -o tun1 -i eth1 -s 192.168.11.5 -d 10.100.100.6 -p tcp --sport 80 -j ACCEPT
iptables -I FORWARD -i tun1 -o eth1 -s 10.100.100.6 -d 192.168.11.5 -p tcp --dport 80 -j ACCEPT

17.8.2009 16:53 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

JJ diky

Uz mi to taky doslo ...

Dik.

Never give up ! Stay ATARI !

17.8.2009 18:43 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Je rok 2009 a máme stavový firewall. Takto bude moct "server" dělat cokoliv klientovi, pokud zrovna půjde z portu 80, navíc nepostihujete ICMP, a tak. A ty interfacy jsou tam IMHO zbytečně.

iptables -A FORWARD -s 192.168.11.5 -d 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT
iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -m state --state ESTABLISHED,RELATED,INVALID -j ACCEPT
iptables -A FORWARD -d 192.168.11.5 -s 10.100.100.6 -p tcp --dport 80 -m state --state NEW -j ACCEPT

In Ada the typical infinite loop would normally be terminated by detonation.

17.8.2009 19:26 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Treba si priucim...

Mate nejaky zvlastni duvod, proc akceptujete i INVALID pakety?

17.8.2009 19:36 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

A co s nima mám dělat?

In Ada the typical infinite loop would normally be terminated by detonation.

17.8.2009 22:45 Sinuhet
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Zahazovat?

18.8.2009 07:18 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

A proč? Když jsou invalid tak nikomu neublíží. Nejsem si jistý, že ve 100% případů je odpověď systému bez firewallu zahození, takže pokud bych je začal zahazovat, můžu přinejmenším napovídat, že mám firewall a přinejhorším rozesrat chování nějakého protokolu. Jinými slovy: systém si s nima poradí sám.

In Ada the typical infinite loop would normally be terminated by detonation.

18.8.2009 12:23 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Co vas vede k presvedceni, ze nikomu nemohou ublizit?

K cemu mi je, kdyz si ostatni mysli, ze nemam firewall? BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT? Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.

Pokud nastanou problemy, tak vzdycky muzete INVALID povolit pro konkretni porty, obecne s tim zadny problem neni a je doporucovano tyto pakety zahazovat.

18.8.2009 18:41 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Co vas vede k presvedceni, ze nikomu nemohou ublizit?

TCP/IP stack Linuxu je poměrně dobře odladěný a neřekl bych že je nějakým způsobem nerobustní vůči špatným paketům. Navíc jelikož je logika stavového FW dost pevně spjatá s logikou TCP/IP stacku tak pokud by TCP/IP stack trpěl nějakým problémem způsobeným špatným paketem, bude jím pravděpodobně stavový FW trpět taky.

K cemu mi je, kdyz si ostatni mysli, ze nemam firewall?

Že nedáváte k dispozici víc informací než musíte.

BTW, to znamena, ze na vasich strojich je defaultnim pravidlem REJECT?

Ano.

Tim mimo jine o neco usnadnite skanovani portu a odhaleni typu/verze OS.

Pro verzi OS jsou podstatnější otevřené porty než zavřené. A skenování tím usnadní jak, když je odpověď na filtrovaném portu stejná jako na zavřeném (verzus žádná odpověď)?

vzdycky muzete INVALID povolit pro konkretni porty

INVALIDní pakety nemusí chodit na nějaké porty a už vůbec ne na ty, na které chodí normální provoz.

a je doporucovano tyto pakety zahazovat

Ukažte mi nějaký seriózní zdroj (nejlépe RFC) k tomuto tvrzení a já otočím gard.

In Ada the typical infinite loop would normally be terminated by detonation.

18.8.2009 10:33 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

pht:

ten zapis chapu a snad chapu jak to i funguje, ale s timto zapisem, kdyz navazu to spojeni na te 80, pak pak jde i pingat, to pravdepodobne dovoluje RELATED, pri tom mem zapisu to ovsem ale nejde ....

Jaky je tedy presny rozdil, co ziskam hlavne pomoci ESTABLISHED,RELATED ?

Diky.

Never give up ! Stay ATARI !

18.8.2009 18:46 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

ale s timto zapisem, kdyz navazu to spojeni na te 80, pak pak jde i pingat

Jste si jist, že se to povoluje tím mým zápisem a ničím jiným? Co myslíte tím když navážete spojení?

Jaky je tedy presny rozdil, co ziskam hlavne pomoci ESTABLISHED,RELATED ?

ESTABLISHED propouští pouze pakety které patří nějakému navázanému spojení - tedy ne libovolný packet, který má náhodou stejná čísla portů.

RELATED pak propouští i jiné pakety, které sice nepatří tomu TCP spojení ale souvisí s ním. Například ICMP pakety "source quench" nebo "redirect" nebo "destination unreachable". Nikoliv ale "ping".

In Ada the typical infinite loop would normally be terminated by detonation.

18.8.2009 20:04 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Jsem si jist, mezi tun1 a eth1 NENI povolena zadna komunikace, zadny forward (muzu postnout cely FW)

1. muj zapis pusti (navaze komunikaci) na portu 80 z te VPN do te lan (ping neprojde)
2. pouziji-li Vas zapis, tak po navazani te komunikace z venku na portu 80 muzu pote pingat na tu 192.168.11.5 ...

Never give up ! Stay ATARI !

18.8.2009 21:12 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

tak po navazani te komunikace z venku na portu 80

Tj. jak? Před navázáním komunikace to nepingá? Pokud komunikace probíhá, tak ano? Po skončení spojení také / jak dlouho?

In Ada the typical infinite loop would normally be terminated by detonation.

19.8.2009 10:39 svaca | skóre: 38
Rozbalit Rozbalit vše Re: Iptables - slozitejsi forward ...

Tak jsem to ted zkousel znova a je to OK, nepinga, takze asi to byl nejaky otevreny retezec, jak jsem to testoval .... Takze nevim :-)

Nicmene diky.

Never give up ! Stay ATARI !

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje