Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Český stát zřejmě bude Mironetu platit rekordní odškodné za protiprávní policejní zásah

včera 15:33 | IT novinky

Po 26 letech od protiprávního policejního zásahu, který byl spuštěn na základě podnětu společnosti Microsoft, Obvodní soud pro Prahu 2 rozsudkem potvrdil, že Mironet prokázal významnou část svého nároku na náhradu škody vůči Ministerstvu spravedlnosti ČR. Soudem nyní přiznaná část nároku znamená rekordní odškodné, jaké kdy české soudy přiznaly za nesprávný postup státu. Spor byl rozdělen na několik škod, u pravomocně uzavřených částí

… více »

Ladislav Hagara | Komentářů: 15

LXQt 2.4.0

včera 15:22 | Nová verze

Lehké desktopové prostředí LXQt bylo vydáno ve verzi 2.4.0. Jde o převážně opravné vydání s drobnými vylepšeními podpory Waylandu.

|🇵🇸 | Komentářů: 0

Kingdom Come: Deliverance 2 získala cenu BAFTA v kategorii nejlepší příběh

včera 12:44 | IT novinky

Počítačová hra Kingdom Come: Deliverance 2 českého studia Warhorse získala cenu BAFTA v kategorii nejlepší příběh. V konkurenci pěti dalších nominovaných děl porazila i úspěšnou francouzskou hru Clair Obscur: Expedition 33, která v letošním ročníku získala cenu za nejlepší hru roku.

Ladislav Hagara | Komentářů: 1

KDE oslaví v říjnu 30 let

včera 12:22 | Komunita

Projekt KDE oslaví v říjnu 30 let. Matthias Ettrich poslal 14. října 1996 do diskusní skupiny comp.os.linux.misc zprávu, která započala historii projektu. Důležité milníky jsou zobrazeny na časové ose KDE.

Ladislav Hagara | Komentářů: 2

Sruthi Chandran novou vedoucí projektu Debian

včera 02:55 | Komunita

Byly vyhlášeny výsledky letošní volby vedoucí/ho projektu Debian (DPL, Wikipedie). Poprvé povede Debian žena. Novou vedoucí je Sruthi Chandran. Letos byla jedinou kandidátkou. Kandidovala již v letech 2020, 2021, 2024 a 2025. Na konferenci DebConf19 měla přednášku Is Debian (and Free Software) gender diverse enough?

Ladislav Hagara | Komentářů: 16

DietPi 10.3

včera 00:55 | Nová verze

Byla vydána nová verze 10.3 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Přidána byla podpora Orange Pi 4 LTS. Přibyl balíček Prometheus.

Ladislav Hagara | Komentářů: 0

WireGuard pro Windows a WireGuardNT 1.0

19.4. 18:55 | Nová verze

Implementace VPN softwaru WireGuard (Wikipedie) pro Windows, tj. WireGuard pro Windows a WireGuardNT, dospěly do verze 1.0.

Ladislav Hagara | Komentářů: 2

2. ročník půlmaratonu humanoidních robotů

19.4. 16:11 | IT novinky

V Pekingu dnes proběhl 2. ročník půlmaratonu humanoidních robotů. První 3 místa obsadili roboti Honor Lightning v různých týmech. Nový rekord autonomního robota je 50 minut a 26 sekund. Operátorem řízený robot to zvládl i s pádem za 48 minut a 19 sekund. Řízení roboti měli časovou penalizaci 20 %. Před rokem nejrychlejší robot zvládl půlmaraton za 2 hodiny 40 minut a 42 sekund. Aktuální lidský rekord drží Jacob Kiplimo z Ugandy s časem 57 minut a 20 sekund [𝕏].

Ladislav Hagara | Komentářů: 6

Otevřené modely našly stejné chyby co Anthropic Mythos

17.4. 17:11 | Zajímavý článek

Stanislav Fort, vedoucí vědecký pracovník z Vlčkovy 'kyberbezpečnostní' firmy AISLE, zkoumal dopady Anthropic Mythos (nový AI model od Anthropicu zaměřený na hledání chyb, který před nedávnem vyplašil celý svět) a předvedl, že schopnosti umělé inteligence nejsou lineárně závislé na velikosti nebo ceně modelu a dokázal, že i některé otevřené modely zvládly v řadě testů odhalit ve zdrojových kódech stejné chyby jako Mythos (například FreeBSD CVE-2026-4747) a to s výrazně nižšími provozními náklady.

MakeIranBombedAgain❗ | Komentářů: 8

Návrh zákona požaduje ověřování věku na úrovni OS pro celé USA

17.4. 12:44 | IT novinky

Federální návrh zákona H.R.8250 'Parents Decide Act', 13. dubna předložený demokratem Joshem Gottheimerem a podpořený republikánkou Elise Stefanik coby spolupředkladatelkou (cosponsor), by v případě svého schválení nařizoval všem výrobcům operačních systémů při nastavování zařízení ověřovat věk uživatelů a při používání poskytovat tento věkový údaj aplikacím třetích stran. Hlavní rozdíl oproti kalifornskému zákonu AB 1043 a kolorádskému SB26-051 je ten, že federální návrh by platil rovnou pro celé USA.

MakeIranBombedAgain❗ | Komentářů: 13

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / IPTABLES povolenie iba vybratym MAC adresam

Štítky: firewally, Internet, iptables, mac, pravidla, router, sítě, Su, TCP

Dotaz: IPTABLES povolenie iba vybratym MAC adresam

26.12.2009 20:17 majo053
IPTABLES povolenie iba vybratym MAC adresam

Přečteno: 501×

Odpovědět | Admin

Dobry den,

chcem sa spytat ci pouzivam dobre prikaz:


iptables -I FORWARD -p ALL -m mac ! --mac-source 1 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 2 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 3 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 4 -j DROP
iptables -I FORWARD -p ALL -m mac ! --mac-source 5 -j DROP

Tym chcem zamietnut vsetky MAC adresy, ktore nie su v pravidlach. Dobre to robim? Pretoze mam spraveny router ale ked pridam tieto pravidla, tak mi nepovoli pristup na Internet.

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC ! 00:19:66:7A:4F:97 
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC ! 00:19:66:7A:4F:97 LOG flags 0 level 4 prefix ` IPTABLES DROP povolené MAC '  
    0     0 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 DROP       tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           multiport dports ! 20,21,25,53,67,64,80,143,443,465,990,993,995,5190 
    0     0 DROP       udp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           multiport dports ! 20,21,25,53,67,64,80,143,443,465,990,993,995,5190  
    0     0 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:21 state ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 state NEW,ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED

Řešení dotazu:

Komentář #4 (majo053, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

26.12.2009 20:28 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

v práci mám na routeru defaultní politiku DROPování paketů a pouze, pokud odpovídá IP a MAC, tak povolím... ostatní se zahazuje

iptables -A FORWARD -i $LANIF -o $NETIF -s 192.168.1.1 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT

Linux Dokumentační Projekt - PDF ke stažení

26.12.2009 20:32 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

jen doplním, že tobě bych také doporučoval naopak jednotlivé vyjmenované MAC adresy akceptovat a vše ostatní dropnout

Linux Dokumentační Projekt - PDF ke stažení

Řešení 1× (MMMMMMMMM)

26.12.2009 20:50 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

OK dakujem za vase reakcie!

Pri forwarde mam toto:

# Prepusti iba uz nadviazane spojenia smerom do vnutornej siete
$IPT -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

# Vsetky poziadavky z vnutornej siete, ktore nevyhovuju povolenym portom TCP/UDP sa zamietnu!

$IPT -A FORWARD -i $LAN -o $INTERNET -m multiport -p tcp ! --dports $povolene_porty -j DROP
$IPT -A FORWARD -i $LAN -o $INTERNET -m multiport -p udp ! --dports $povolene_porty -j DROP

# Zamietne nove spojenia z vnutornej siete do Internetu
$IPT -A FORWARD -i $LAN -o $INTERNET -j DROP

# IP maškaráda pri dynamickej pridelovanej IP adrese 
$IPT -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE

for mac in $POVOLENE_MAC; do
        $IPT -I FORWARD -m mac --mac-source $mac -j LOG --log-prefix " IPTABLES DROP povolené MAC "
        $IPT -I FORWARD -m mac --mac-source $mac -j ACCEPT
done

Teraz mi to uz ide. Mam tam prosim niekde chybu?

26.12.2009 21:04 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

máš tam zapnuto logování akceptovaných paketů.. to budou mraky dat v logu, to bych tedy nelogoval :)

Linux Dokumentační Projekt - PDF ke stažení

26.12.2009 21:27 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

:) samozrejme, ze to dam prec, nevsimol som si to. Povodne som logoval vsetko co sa dropne. UZ to nepotrebujem. Dufam, ze nikto nema ziadne namietky k mojmu forwardu a mozem ist dalej :)

26.12.2009 21:42 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

Ako by som spravil to, ze zamietnem vsetky porty a povolim iba vybrate?

27.12.2009 07:40 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

Snad tam neni chyba... po ranu mi to moc nemysli :-)

Zkusis a uvidis

# Prepusti iba uz nadviazane spojenia smerom do vnutornej siete
$IPT -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -N povol_forward

for mac in $POVOLENE_MAC; do
        $IPT -A FORWARD -i $LAN -o $INTERNET -m mac --mac-source $mac -j povol_forward
done

# Povolime iba porty, ake chceme. Vsetko ostatne sa DROPne diky default policy...
$IPT -A povol_forward -m multiport -p tcp --dports $povolene_porty -j ACCEPT
$IPT -A povol_forward -m multiport -p udp --dports $povolene_porty -j ACCEPT

# IP maškaráda pri dynamickej pridelovanej IP adrese 
$IPT -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE

Linux Dokumentační Projekt - PDF ke stažení

27.12.2009 12:20 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

Ano dakujem, funguje to! :)

26.12.2009 20:37 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

Ano presne takto to chcem... Len neviem ako na to...

FORWARD politiku mam na DROP.

A chcem v cykle for nacitat zo subora MAC adresy.

for mac in $POVOLENE_MAC; do     
        $IPT -I FORWARD -m mac ! --mac-source $mac -j LOG --log-prefix " IPTABLES DROP povolené MAC "        
        $IPT -I FORWARD -m mac ! --mac-source $mac -j DROP          
done

26.12.2009 21:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

Že si rýpnu, tak MAC adresu si může klient změnit, takže pokud to máš jako bezpečnostní opatření, tak to moc účinné nebude.

26.12.2009 21:28 majo053
Rozbalit Rozbalit vše Re: IPTABLES povolenie iba vybratym MAC adresam

Ano samozrejme to viem, nie je to ani tak bezpecnostne opatrenie.

Založit nové vlákno • Nahoru

Tiskni Sdílej: