Čeští policisté společně se svými tureckými kolegy zadrželi 51 lidí, kteří se podle kriminalistů podíleli na provozu podvodného call centra v Istanbulu. Skupina je spojena s 1173 případy podvodů na českých občanech, při kterých vznikla škoda přes 553 milionů korun.
Immich byl vydán v nové verzi 3.0.0. Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.
Společnost Juno Computers prodávající počítače s předinstalovaným Linuxem má nově v nabídce linuxový tablet Juno Tab 4 - WiFi. Na výběr je Debian, Ubuntu a Kubuntu. Předobjednat jej lze za 949 liber (26 500 korun).
Podman (Pod Manager), nástroj umožňující vytvářet a provozovat kontejnery, aniž by uživatel potřeboval práva roota, byl vydán v nové major verzi 6.0.0. Přehled novinek v poznámkách k vydání. Řešena je i vážná bezpečnostní chyba CVE-2026-57231.
Společnost Sony oznámila, že od ledna 2028 přestane vydávat nové hry pro PlayStation na fyzických discích. Všechny budoucí tituly budou dostupné výhradně v digitální podobě na PlayStation Store.
Google Chrome 150 byl prohlášen za stabilní. Nejnovější stabilní verze 150.0.7871.46 přináší řadu novinek. Podrobný přehled v poznámkách k vydání. Opraveno bylo 433 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Soudní dvůr Evropské unie potvrdil rekordní pokutu 4,125 miliardy eur (100 miliard Kč) americké technologické firmě Google ze skupiny Alphabet. Pokutu firmě v roce 2018 vyměřila Evropská komise (EK) za to, že Google podle ní zneužívá operačního systému Android k potlačení konkurence na trhu vyhledávacích služeb.
Administrativa amerického prezidenta Donalda Trumpa povolila firmě Anthropic obnovit plný přístup klientů k modelům umělé inteligence (AI) Fable 5 a Mythos 5. Ty byly nedostupné bezmála tři týdny kvůli bezpečnostním obavám vlády, třebaže americké ministerstvo obchodu minulý pátek povolilo omezený přístup k modelu Mythos 5 pro některé „důvěryhodné“ domácí organizace.
Francúzska organizácia na ochranu spotrebiteľa, po viac než ôsmych rokoch skúmania, žaluje Epson za plánované zastarávanie tlačiarní. Súd sa začína dnes, 2. 7. 2026, vo francúzskom Nanterre.
Erin Catto, autor open source 2D fyzikálního enginu Box2D (Wikipedie), představil nový 3D fyzikální engine Box3D. Engine je již používán ve hře The Legend of California.
iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT iptables -A INPUT -i lo -j ACCEPTpokud tohle spustím na noteboku(10.0.0.140), a pinguju jeho adresu z netbooku(10.0.0.141) třeba:
ping -c 20 10.0.0.140propustí mi to uplně všechny icmp pakety... To se mi tak trochu nezdá. Když zakomentuju ten řádek se "--state ESTABLISHED,RELATED atd.", tak to těch icmp paketů propustí opravdu jen 5. Mohl by mi prosím někdo osvětlit, co tedy tenhle řádek přesně dělá. Děkuji.
Řešení dotazu:
-A ALLOW_ICMP -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT -A ALLOW_ICMP -p icmp -j DROP
Doplnim: jde o to, co autor vlastně chce. Pokud od sebe povolit vše, tak platí, že v OUTPUTu to povolí a pak už to omezit nejde, protože už to je established. Tedy u pingu z venku by to mělo limitovat odpovědi, při jeho uvedeném zadání praviděl.
Pro bližší orientaci doporučuji shlédnout (např. toto) iptables packet flow.
iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT iptables -A INPUT -p icmp -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPTPrvně jsem to totiž pochopil tak, že ten řádek
"iptables -A INPUT -p icmp -m limit --limit 1/minute --limit-burst 5 -j ACCEPT" povolí těch 5 paketů a zbytek nastaví na DROP, právě proto, že je výchozí politika DROP. Právě proto že co není povoleno, to by mělo být zakázano... nj. Každopadně dík.
man iptables (hledejte slovo braindead). Pokud nastavíte limit jak je uveden v příkladu tak mi bude stačit vás odněkud pingat a už žádnou ICMP neobdržíte. Spojení se budou rozpadat a timeoutovat. Vyhodí vás za to z práce. Opustí vás pes. Budete smutný a začnete žrát hodně čokolády. Zkazí se vám zuby. Takže neomezujte ICMP pokud nechcete trpět u zubaře.
V originále byla tuším 1/s.Jako by na tom záleželo.
To omezení dělali kvůli "Ping off Death"...A co to je?
A co to je?s iptables i o TCP/IP se to teprv učím, to se mě moc ptáš
A co to je?zde najdes to co hledas
kolikrát se diskuze stočí do velmi obecné roviny, kde je nutno se pohybovat opatrně, protože se střílí obecnými argumenty s velkým rozptylem.
Jestli srovnáváte ledničku a firewall, tak se asi půjdu omluvit vedle do diskuse, kde někdo chtěl dávat 10A spínač do obvodu jištěný 15A pojistkou a z tohoto fóra nadobro odejdu někam, kde lidé ctí normy a nějaká pravidla.
Lednička je určena pro provoz laikem (a navíc je to zařízení, které každý důvěrně zná), stejně jako např. webový prohlížeč. Firewall vyžaduje slušné znalosti sítě úplně stejně jako zásah do obvodu vyžaduje odpovídající elektrotechnické vzdělání a znalost norem.
To srovnání s ledničkou je zcela mimo mísu.
Nejdřív tam zkusí něco ohřát a bude se divit, že to má studené.
Pokud to postaví na kondenzátor dozadu, tak se mu to ohřeje
. Takže bude mít ohřívací lampu vlastně.
--icmp-type 0, 3, 8, 11 apod. Mírné omezení počtu pingů neuškodí, lepší než řešit následky icmp floodu. Samozřejmě v ideálním světě bych je taky neomezoval :)
Prostě omezovat pouze typ od kterého může hrozit nebezpečí.Jaké nebezpečí?
10.10.2004
Nejsem si jist, od kdy funguje connection tracking pro ICMP, každopádně ten článek je 6 let starý. Nebudeme na sebe vytahovat žákovskou a mlátit se po hlavě za chyby v první třídě, že ne?
následky icmp flooduJaké následky?
--limit nezahazuje pakety, a díky pěknému limitu 1/minutu to i na vlastní oči viděl, pak to je dobře a může se mu to časem v praxi hodit.
Na lidi jako jako pht, kteří na informaci od začátečníka že něco četl o "Ping of Death" ragují "a co to je?" nemíním plýtvat víc, než jen tou zkratkou, protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovat, protože poslední známá zranitelnost je z loňska a je nepravděpodobné, že by postihla zrovna vás.", a pokud je to zároveň člověk sečtělý a není líný hledat, uvede in nějaké odkazy na zdroje, které jeho tvrzení podpoří.
Zatím to ovšem spíš vypadá, že se tu všichni vyspali špatně, takže pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit má, a uvede zdroje místo hraní si na nechápavého a dělání, že o zranitelnosti přes icmp v životě neslyšel a je to asi něco z říše pohádek.
Jeden link ke kovářovi přímo na konkrétní téma. Navíc v tamní KB toho lze najít dost 
Ať se tu nemele prázdná sláma.
protože inteligentní člověk, pokud se dobře vyspal, napíše třeba "V dnešní době již není potřeba icmp nijak omezovatJelikož jsem napsal toto v naší diskusi již 2x, tak jsem zřejmě inteligentní a dobře vyspaný. Uf, to jsem si oddechl. Vážně. Pokud bych si nemyslel že ICMP není třeba omezovat, tak bych nenapsal "ICMP není třeba omezovat". Pokud mi někdo na to napíše "ale je, kvůli útoku X" tak se přirozeně zajímám "co je to útok X a proč bych měl kvůli tomu omezovat ICMP". A pokud mi někdo odpoví "najdi si to na netu" tak si pomyslím že ten člověk neví. Takže to vypadá že všichni ví že "ping of death je něco hroznýho - omg! musíme s tím něco dělat, co třeba omezit ICMP" ale nikdo neví co to ve skutečnosti je. Co se třeba zeptat?
pokud má někdo pocit, že icmp flood či Ping of Death již není aktuální, ať laskavě ráčí ON napsat, proč ten pocit máJo aha takže jste se přece jen "zeptal". Tak např. proto, že PoD má co dělat s velikostí paketu ale nic s frekvencí. A obecně např. proto, že nemá smysl chránit děravý IP stack firewallem postaveným na tomtéž IP stacku. A u ping flood vám nepomůže omezovat něco co k vám stejně přes úzkou linku už dorazilo. A protože vás můžu zahltit zrovna tak TCP paketama. A dále protože všechny tyhle kraviny jsou zabezpečeny defaultně, takže se nemusí nově koupený počítač dodatečně zabezpečovat dvaceti nastaveníma sehnanýma kdovíkde na internetu.
PS. Trocha srandy nevadí.
Tiskni
Sdílej: