Wings 3D, tj. open source 3D modelovací program naprogramovaný v programovacím jazyce Erlang zaměřený na modelování pomocí subdivision a inspirovaný programy Nendo a Mirai od Izware, byl vydán v nové opravné verzi 2.4.1. Ke stažení již také ve formátu Flatpak z Flathubu.
Webový prohlížeč Dillo byl vydán ve verzi 3.2.0. Přidává podporu vzorců v SVG, obrázků ve WebP, změny velikosti stránky či možností posouvání. Nedávno oslavil 25. výročí vzniku.
Hra Mini Thief je na Steamu zdarma napořád, když aktivaci provedete do 24. ledna do 19.00 [ProtonDB].
Certifikační autorita Let's Encrypt oznámila, že bude volitelně nabízet krátkodobé certifikáty s šestidenní platností a navíc s možností vystavit je na IP adresu. Zvolit typ certifikátu bude možné v certifikačním profilu ACME.
Herní konzole Nintendo Switch 2 byla oficiálně potvrzena. Vyjde letos. Trailer na YouTube. Více ve středu 2. dubna na Nintendo Direct.
Byl vydán Linux Mint 22.1 s kódovým jménem Xia. Podrobnosti v přehledu novinek a poznámkách k vydání. Linux Mint 22.1 bude podporován do roku 2029.
Google Chrome 132 byl prohlášen za stabilní. Nejnovější stabilní verze 132.0.6834.83 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 16 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube).
Byla vydána verze 11.0.0 knihovny libvirt (Wikipedie) zastřešující různé virtualizační technologie a vytvářející jednotné rozhraní pro správu virtuálních strojů. Současně byl ve verzi 11.0.0 vydán související modul pro Python libvirt-python. Přehled novinek v poznámkách k vydání.
Byla vydána nová verze 3.4.0 nástroje pro inkrementální kopírování souborů rsync (Wikipedie). Přehled oprav a vylepšení v souboru NEWS. Řešeno je 6 zranitelností.
V srpnu loňského roku byla vyhlášena RP2350 Hacking Challenge aneb oficiální výzva Raspberry Pi na prolomení bezpečnosti mikrokontroléru RP2350. Povedlo se. Včera byli představeni čtyři vítězové a jejich techniky.
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
chcem to na to, aby sa príchodzie www požiadavky smerovali priamo na routri do na ňom bežiaceho thttp. nič iné by to nemalo dovoliť, len teda smerovať www požiadavky na stránky. vďaka.
iptables
nikdy nemůže být bezpečný nebo nebezpečný. A nemůže takové být ani nastavení firewallu – firewall buď propouští jen takovou komunikaci, kterou propouštět má, nebo propouští i něco navíc – to by pak bylo možné nazvat „nebezpečným“ nastavením. Ale vždy je to v kontextu toho, jak jej chcete mít nastaven.
Tímto příkazem povolíte veškeré příchozí pakety protokolu TCP na port 80. Pokud má komunikace fungovat, musíte ještě povolit odpovídající odchozí pakety (v řetězci OUTPUT). Záleží také na výchozích politikách jednotlivých řetězců a na dalších pravidlech – bylo by lepší dát sem výstup
iptables --line-numbers -nvLZ toho bude vidět celkové nastavení firewallu. Je rozumné povolit také
icmp
zprávy, nejspíš budete chtít, aby server uměl překládat DNS názvy, možná se taky budete chtít připojovat přes SSH – takže těch prostupů nejspíš budete chtít víc.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 136 13523 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 2 4135 383K ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 0 0 DROP udp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 4 0 0 DROP udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 5 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 6 25 1440 logaccept tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:22 7 4 158 logdrop icmp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 8 0 0 logdrop 2 -- * * 0.0.0.0/0 0.0.0.0/0 9 2 882 ACCEPT udp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 10 4 176 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW 11 1810 152K logaccept 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 12 628 80564 logdrop 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT 0 -- br0 br0 0.0.0.0/0 0.0.0.0/0 2 14153 679K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 3 1826K 549M lan2wan 0 -- * * 0.0.0.0/0 0.0.0.0/0 4 1800K 547M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 5 0 0 logdrop tcp -- * vlan2 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 6 0 0 logdrop udp -- * vlan2 0.0.0.0/0 0.0.0.0/0 udp dpt:1701 7 0 0 logdrop udp -- * vlan2 0.0.0.0/0 0.0.0.0/0 udp dpt:500 8 0 0 TRIGGER 0 -- vlan2 br0 0.0.0.0/0 0.0.0.0/0 TRIGGER type:in match:0 relate:0 9 25413 2078K trigger_out 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 10 23488 2001K ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 11 1925 77000 logdrop 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 5890 packets, 2747K bytes) num pkts bytes target prot opt in out source destination Chain advgrp_1 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_10 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_2 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_3 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_4 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_5 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_6 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_7 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_8 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_9 (0 references) num pkts bytes target prot opt in out source destination Chain grp_1 (0 references) num pkts bytes target prot opt in out source destination Chain grp_10 (0 references) num pkts bytes target prot opt in out source destination Chain grp_2 (0 references) num pkts bytes target prot opt in out source destination Chain grp_3 (0 references) num pkts bytes target prot opt in out source destination Chain grp_4 (0 references) num pkts bytes target prot opt in out source destination Chain grp_5 (0 references) num pkts bytes target prot opt in out source destination Chain grp_6 (0 references) num pkts bytes target prot opt in out source destination Chain grp_7 (0 references) num pkts bytes target prot opt in out source destination Chain grp_8 (0 references) num pkts bytes target prot opt in out source destination Chain grp_9 (0 references) num pkts bytes target prot opt in out source destination Chain lan2wan (1 references) num pkts bytes target prot opt in out source destination Chain logaccept (2 references) num pkts bytes target prot opt in out source destination 1 1835 153K LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT ' 2 1835 153K ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain logdrop (7 references) num pkts bytes target prot opt in out source destination 1 609 79568 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP ' 2 1948 78154 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID LOG flags 7 level 4 prefix `DROP ' 3 2557 158K DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain logreject (0 references) num pkts bytes target prot opt in out source destination 1 0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 7 level 4 prefix `WEBDROP ' 2 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp reject-with tcp-reset Chain trigger_out (1 references) num pkts bytes target prot opt in out source destination
iptables
vidím povolené SSH (port 22), pokud přes něj přistupujete k routeru, povolte jej taky – třeba jen pro vnitřní síť.
Určitě jednou přijde chvíle, kdy oceníte nastavené limitu provozu pro takovéto pravidlo ...
iptables -N web_filter iptables -A web_filter -m recent --set --name web iptables -A web_filter -m recent --update --seconds 2 --hitcount 20 --name WEB -j LOG --log-level info --log-prefix "WEB attack blocked: " iptables -A web_filter -m recent --update --seconds 2 --hitcount 20 --name WEB -j DROP iptables -A web_filter -j RETURN iptables -I INPUT -p tcp --dport 80 -j web_filteraneb omezíte přístup na 20 spojení za 2 vteřiny.
Tazatel se ptá, zda může na routeru povolit přístup na nějaký port a službu. Pokud tohle poběží na routeru, asi bude fungovat nějaký výkonnostní strop, který při překročení způsobí nedostupnost celého routeru.
recent
, není limit 20 spojení za sekundu, ale 20 paketů za sekundu. Takže když se tenhle limit překročí, začnou se zahazovat pakety i z již navázaných spojení, odesílatel je tedy bude posílat znovu, a celkový počet paketů procházejících linkou k routeru se tedy naopak zvýší.
Jsou firewally, které umí omezit počet spojení z jednoho zdroje. Jestli je tohle jádrem odkazu?
As an aside - DROP isn't what you want in this case. DROP leaves the tracking burden on all the stateful gear between you and the endpoint - which doesn't fix the problem.
Hmm. Mně přijde, že při masivnim DoSu ani tohle nepomůže? Třeba poznam
Tiskni Sdílej: