Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 166 (pdf).
Blíží se prázdniny a než se rozutečete k moři, je na čase se opět sejít na Virtuální Bastlírně - pravidelném setkání elektroniků, ajťáků, bastlířů a obecně nadšenců do techniky. Co si pro vás strahovští bastlíři připravili tentokrát? Určitě proberou blížící se Linux Days i další události. U softwaru se chvíli zdrží a poví si kupříkladu o tom, jak se zbavit Bambu Cloudu, ale nepřijít o možnost ovládat tiskárnu na dálku. Řeč dojde i na AI,
… více »Vývojáři postmarketOS vydali verzi 26.06 tohoto operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME, KDE Plasma Mobile, Phosh a Sxmo.
Byla vydána nová verze 2.55.0 distribuovaného systému správy verzí Git. Přispělo 100 vývojářů, z toho 33 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.
Craig Loewen na blogu Microsoftu oznámil veřejnou preview verzi WSL kontejnerů, tj. linuxových kontejnerů ve Windows Subsystem for Linux (WSL). Spouští se příkazem wslc.exe.
Byla vydána (𝕏, Bluesky) nová verze 2026.2 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem 9 nových nástrojů v oficiálním oznámení na blogu.
Grafická aplikace Krokiet/Czkawka pro vyhledávání a odstraňovaní nepotřebných souborů (duplicitní soubory, prázdné složky, podobné obrázky, podobná videa, poškozené soubory a další) byla vydána ve verzi 12.0.0. Podrobný přehled novinek v příspěvku na Medium. Jedná se o poslední verzi frontendu Czkawka GTK nad Czkawka Core. Uživatelům se doporučuje migrovat na frontend Krokiet postavený nad frameworkem Slint. Představena byla aplikace Cedinia pro Android využívající Czkawka Core. Dostupná je jako APK pro ruční instalaci.
Po téměř třech letech od vydání verze 9 byla vydána nová verze 10 linuxové distribuce Mageia (Wikipedie). Přehled novinek v poznámkách k vydání.
Nourish (GitHub) je nový správce oken pro Linux. Tradiční plochy nahrazuje nekonečným plátnem a posouváním a přibližováním. Využívá vlastní kompozitor pro Wayland s názvem y5. Videoukázka.
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
chcem to na to, aby sa príchodzie www požiadavky smerovali priamo na routri do na ňom bežiaceho thttp. nič iné by to nemalo dovoliť, len teda smerovať www požiadavky na stránky. vďaka.
iptables nikdy nemůže být bezpečný nebo nebezpečný. A nemůže takové být ani nastavení firewallu – firewall buď propouští jen takovou komunikaci, kterou propouštět má, nebo propouští i něco navíc – to by pak bylo možné nazvat „nebezpečným“ nastavením. Ale vždy je to v kontextu toho, jak jej chcete mít nastaven.
Tímto příkazem povolíte veškeré příchozí pakety protokolu TCP na port 80. Pokud má komunikace fungovat, musíte ještě povolit odpovídající odchozí pakety (v řetězci OUTPUT). Záleží také na výchozích politikách jednotlivých řetězců a na dalších pravidlech – bylo by lepší dát sem výstup
iptables --line-numbers -nvLZ toho bude vidět celkové nastavení firewallu. Je rozumné povolit také
icmp zprávy, nejspíš budete chtít, aby server uměl překládat DNS názvy, možná se taky budete chtít připojovat přes SSH – takže těch prostupů nejspíš budete chtít víc.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 136 13523 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 2 4135 383K ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 0 0 DROP udp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 4 0 0 DROP udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 5 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 6 25 1440 logaccept tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:22 7 4 158 logdrop icmp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 8 0 0 logdrop 2 -- * * 0.0.0.0/0 0.0.0.0/0 9 2 882 ACCEPT udp -- vlan2 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 10 4 176 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW 11 1810 152K logaccept 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 12 628 80564 logdrop 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT 0 -- br0 br0 0.0.0.0/0 0.0.0.0/0 2 14153 679K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 3 1826K 549M lan2wan 0 -- * * 0.0.0.0/0 0.0.0.0/0 4 1800K 547M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 5 0 0 logdrop tcp -- * vlan2 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 6 0 0 logdrop udp -- * vlan2 0.0.0.0/0 0.0.0.0/0 udp dpt:1701 7 0 0 logdrop udp -- * vlan2 0.0.0.0/0 0.0.0.0/0 udp dpt:500 8 0 0 TRIGGER 0 -- vlan2 br0 0.0.0.0/0 0.0.0.0/0 TRIGGER type:in match:0 relate:0 9 25413 2078K trigger_out 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 10 23488 2001K ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 11 1925 77000 logdrop 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 5890 packets, 2747K bytes) num pkts bytes target prot opt in out source destination Chain advgrp_1 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_10 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_2 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_3 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_4 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_5 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_6 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_7 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_8 (0 references) num pkts bytes target prot opt in out source destination Chain advgrp_9 (0 references) num pkts bytes target prot opt in out source destination Chain grp_1 (0 references) num pkts bytes target prot opt in out source destination Chain grp_10 (0 references) num pkts bytes target prot opt in out source destination Chain grp_2 (0 references) num pkts bytes target prot opt in out source destination Chain grp_3 (0 references) num pkts bytes target prot opt in out source destination Chain grp_4 (0 references) num pkts bytes target prot opt in out source destination Chain grp_5 (0 references) num pkts bytes target prot opt in out source destination Chain grp_6 (0 references) num pkts bytes target prot opt in out source destination Chain grp_7 (0 references) num pkts bytes target prot opt in out source destination Chain grp_8 (0 references) num pkts bytes target prot opt in out source destination Chain grp_9 (0 references) num pkts bytes target prot opt in out source destination Chain lan2wan (1 references) num pkts bytes target prot opt in out source destination Chain logaccept (2 references) num pkts bytes target prot opt in out source destination 1 1835 153K LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT ' 2 1835 153K ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain logdrop (7 references) num pkts bytes target prot opt in out source destination 1 609 79568 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP ' 2 1948 78154 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID LOG flags 7 level 4 prefix `DROP ' 3 2557 158K DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 Chain logreject (0 references) num pkts bytes target prot opt in out source destination 1 0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 7 level 4 prefix `WEBDROP ' 2 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp reject-with tcp-reset Chain trigger_out (1 references) num pkts bytes target prot opt in out source destination
iptables vidím povolené SSH (port 22), pokud přes něj přistupujete k routeru, povolte jej taky – třeba jen pro vnitřní síť.
Určitě jednou přijde chvíle, kdy oceníte nastavené limitu provozu pro takovéto pravidlo ...
iptables -N web_filter iptables -A web_filter -m recent --set --name web iptables -A web_filter -m recent --update --seconds 2 --hitcount 20 --name WEB -j LOG --log-level info --log-prefix "WEB attack blocked: " iptables -A web_filter -m recent --update --seconds 2 --hitcount 20 --name WEB -j DROP iptables -A web_filter -j RETURN iptables -I INPUT -p tcp --dport 80 -j web_filteraneb omezíte přístup na 20 spojení za 2 vteřiny.
Tazatel se ptá, zda může na routeru povolit přístup na nějaký port a službu. Pokud tohle poběží na routeru, asi bude fungovat nějaký výkonnostní strop, který při překročení způsobí nedostupnost celého routeru.
recent, není limit 20 spojení za sekundu, ale 20 paketů za sekundu. Takže když se tenhle limit překročí, začnou se zahazovat pakety i z již navázaných spojení, odesílatel je tedy bude posílat znovu, a celkový počet paketů procházejících linkou k routeru se tedy naopak zvýší.
Jsou firewally, které umí omezit počet spojení z jednoho zdroje. Jestli je tohle jádrem odkazu?
As an aside - DROP isn't what you want in this case. DROP leaves the tracking burden on all the stateful gear between you and the endpoint - which doesn't fix the problem.
Hmm. Mně přijde, že při masivnim DoSu ani tohle nepomůže? Třeba poznam 
Tiskni
Sdílej: