abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Lazygit 0.42.0
    dnes 12:55 | Nová verze

    Lazygit byl vydán ve verzi 0.42.0. Jedná se o TUI (Text User Interface) nadstavbu nad gitem.

    Ladislav Hagara | Komentářů: 0
    Open source herní konzole Picopad a Picopad Pro
    dnes 12:22 | IT novinky

    K open source herní konzole Picopad přibyla (𝕏) vylepšená verze Picopad Pro s větším displejem, lepšími tlačítky a větší baterii. Na YouTube lze zhlédnout přednášku Picopad - open source herní konzole z LinuxDays 2023.

    Ladislav Hagara | Komentářů: 0
    GitLab 17
    17.5. 13:44 | Nová verze

    Byla vydána (𝕏) nová major verze 17 softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech GitLab (Wikipedie). Představení nových vlastností i s náhledy a videi v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 0
    Sovereign Tech Fund podpoří vývoj FFmpeg
    17.5. 12:22 | Komunita

    Sovereign Tech Fund, tj. program financování otevřeného softwaru německým ministerstvem hospodářství a ochrany klimatu, podpoří vývoj FFmpeg částkou 157 580 eur. V listopadu loňského roku podpořil GNOME částkou 1 milion eur.

    Ladislav Hagara | Komentářů: 0
    24. září 2024 budou zveřejněny zdrojové kódy přehrávače Winamp
    17.5. 01:55 | Komunita

    24. září 2024 budou zveřejněny zdrojové kódy přehrávače Winamp.

    Ladislav Hagara | Komentářů: 12
    Google Chrome 125
    16.5. 23:33 | Nová verze

    Google Chrome 125 byl prohlášen za stabilní. Nejnovější stabilní verze 125.0.6422.60 přináší řadu oprav a vylepšení (YouTube). Podrobný přehled v poznámkách k vydání. Opraveno bylo 9 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 2
    Neovim 0.10
    16.5. 21:11 | Nová verze

    Textový editor Neovim byl vydán ve verzi 0.10 (𝕏). Přehled novinek v příspěvku na blogu a v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Tails 6.3
    16.5. 20:55 | Nová verze

    Byla vydána nová verze 6.3 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.15.

    Ladislav Hagara | Komentářů: 0
    Byla spuštěna první aukce domén .CZ
    16.5. 13:33 | IT novinky

    Dnes ve 12:00 byla spuštěna první aukce domén .CZ. Zatím největší zájem je o dro.cz, kachnicka.cz, octavie.cz, uvycepu.cz a vnady.cz [𝕏].

    Ladislav Hagara | Komentářů: 10
    JackTrip 2.3.0
    16.5. 13:22 | Nová verze

    JackTrip byl vydán ve verzi 2.3.0. Jedná se o multiplatformní open source software umožňující hudebníkům z různých částí světa společné hraní. JackTrip lze instalovat také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (78%)
     (5%)
     (9%)
     (8%)
    Celkem 369 hlasů
     Komentářů: 16, poslední 14.5. 11:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables pravidla
    Štítky: firewally, Internet, iptables, LAN, NAT, pravidla, problém, sítě, VPN

    Dotaz: iptables pravidla

    29.5.2011 21:18 kunago
    iptables pravidla
    Přečteno: 339×
    Příloha:
    Potřeboval bych poradit od nějakého zkušeného administrátora; sám bohužel zatím nemám tolik zkušeností s nastavováním iptables.

    Starám se o 4 LAN (172.17.1.0/24, 172.17.2.0/24, 172.17.3.0/24, 172.17.4.0/24), které jsou spojené do jedné VPN (172.17.10.0/24). Všichni klienti spolu můžou v rámci VPN sítě komunikovat (viz. ilustrace).

    Musím upravit pravidla iptables pro jednu z LAN sítí; pro klienty, kterým je přidělovaná adresa v rozsahu 172.17.2.150 - 172.17.2.199. U těchto klientů potřebuji, aby:
    1. mohli komunikovat pouze mezi sebou,
    2. se dostali na internet
    Chci jim zakázat jakoukoli komunikaci v rámci VPN s dalšími klienty.

    Dal jsem dohromady následující pravidla a byl bych rád, kdyby se na ně někdo podíval zkušeným okem a poradil mi, jestli nevidí nějaký problém. 
    iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.1.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.2.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.3.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.4.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.10.0/255.255.255.0 -j DROP
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -m iprange --dst-range 172.17.2.150-172.17.2.199 -j ACCEPT
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -d 0/0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    Řešení dotazu:

    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    29.5.2011 22:12 NN
    Rozbalit Rozbalit vše Re: iptables pravidla
    Pokud nespecifikujes destination je to to same jako -d 0/0. Maskarada je obecna, takze sem nepatri. Pokud by jsi pouzival rozumnejsi subnety obejdes se i bez iprange. Pokud volas modul tak to staci udelat jednou. Jelikoz plati pravidlo, co neni povoleno je zakazano(pokud nemas jinou politiku) tak staci povolit komunikaci mezi sebou a ven. Takze celkove staci: 
    iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --dst-range 172.17.2.150-172.17.2.199 -j ACCEPT
iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -o eth0 -j ACCEPT
    NN
    30.5.2011 11:24 kunago
    Rozbalit Rozbalit vše Re: iptables pravidla
    Jedná se o nastavení pravidel iptables na routeru s DD-WRT, kde spíš platí opačná politika; tedy co není zakázáno, je povoleno. Těmi pravidly se pokouším izolovat návštěvníky mé sítě, kterým nechci umožnit přístup jinam než ven ze sítě.

    Pokud jsem to tedy správně pochopil, pro mé účely je vhodných prvních 5 pravidel, kde se komunikace blokuje. Správně?
    tajny_007 avatar 30.5.2011 01:32 tajny_007 | skóre: 8 | /dev/null
    Rozbalit Rozbalit vše Re: iptables pravidla
    nevím, jestli to potřebuješ, ale zkus se kouknout na tohle

    http://www.northsun.net/vpn/
    HP Elitebook 8440p
    30.5.2011 11:30 kunago
    Rozbalit Rozbalit vše Re: iptables pravidla
    Díky za dokument, ale VPN mi běží bez problému. Abych to upřesnil, každá LAN má vlastní bránu, přes kterou se přistupuje na internet. VPN server je potom bránou jen při propojování jednotlivých LAN mezi sebou.

    V této situaci potřebuju blokovat nejen všechny vzdálené LAN (172.17.1.0, 172.17.3.0, 172.17.4.0) a VPN (172.17.10.0), ale i klienty na LAN, přes kterou se uživatelé budou připojovat (172.17.2.0), kde VPN nehraje roli.
    30.5.2011 11:36 chutracek
    Rozbalit Rozbalit vše Re: iptables pravidla
    Pokud koukam spravne, projde to prvnim pravidlem kde se packet dropne a do toho acceptu to uz neproleze - chce je to prohodit mezi sebou nebo u druhyho misto 'A'ppend dat 'I'nsert

    iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 --destination 172.17.2.0/255.255.255.0 -j DROP iptables -A FORWARD -m iprange --src-range 172.17.2.150-172.17.2.199 -m iprange --dst-range 172.17.2.150-172.17.2.199 -j ACCEPT
    Řešení 1× (kunago (tazatel))
    31.5.2011 22:34 kunago
    Rozbalit Rozbalit vše Re: iptables pravidla
    Prakticky fungující řešení nakonec vypadá nakonec trochu odlišně.

    Router s DD-WRT spoustu komunikace automaticky propouští, proto jsem vybral pouze DROP pravidla. Protože na router na síti 172.17.2.0 jsou napojená 3 APčka, vytvořil jsem 2 izolované virtuální sítě přímo v administraci DD-WRT (první VLAN zahrnuje 1 AP, druhá VLAN se týká 2 AP). Tu část sítě, kterou jsem chtěl izolovat, jsem umístil na vlastní rozsah IP adres (172.17.20.0/24). Pravidla pro omezení komunikace pro klienty připojované s dynamickou IP adresou přidělovanou DHCP jsou následující: 
    iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.10.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.4.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.3.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.2.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 172.17.21.160/255.255.255.224 -d 172.17.1.0/255.255.255.0 -j DROP
    Klienti mohou komunikovat pouze na vlastní síti (172.17.20.0/24) a druhá část sítě (172.17.2.0/24) připojená na stejný router jim není dostupná. Stejně tak jim je nedostupný celý zbytek VPN. Jediné, co jsem nedokázal vyřešit, je zamezení přístupu k AP a routeru (samozřejmě jsou zaheslované, takže se nejedná o velký problém).

    Za zmínku taky stojí skutečnost, že DD-WRT zpracovává pravidla v opačném pořadí, než jak jsou zadávaná v příslušné části administrace.
    31.5.2011 22:36 kunago
    Rozbalit Rozbalit vše Re: iptables pravidla
    Přirozeně se nejedná o síť 172.17.20.0/24, ale o 172.17.21.0/24 (překlep). DHCP přiděluje adresy v rozsahu 172.17.21.161-190.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.