Přihlášení | Registrace

napište » Zprávičky

dnes 16:16 | Zajímavý článek

Ruská firma Operation Zero nabízí až $4 miliony za funkčí exploit komunikační platformy Telegram. Nabídku učinila na platformě X. Firma je známá prodejem exploitů ruské vládě a soukromým společnostem. Další informace na securityweek.com.

Max | Komentářů: 0

Linux 6.14

dnes 16:00 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 6.13 oznámil Linus Torvalds vydání Linuxu 6.14. Proč až v pondělí? V neděli prostě zapomněl :-). Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna a Linux Kernel Newbies.

Ladislav Hagara | Komentářů: 0

Konference LinuxDays 2025 proběhne o víkendu 4. a 5. října

dnes 14:22 | Komunita

Konference LinuxDays 2025 proběhne o víkendu 4. a 5. října v Praze v areálu ČVUT v Dejvicích na FIT.

Ladislav Hagara | Komentářů: 0

Mapy.cz postupně přechází na Mapy.com

dnes 12:55 | IT novinky

Mapy.cz rostou a postupně přechází na Mapy.com. V plánu je vylepšení Map novými zahraničními uživateli.

Ladislav Hagara | Komentářů: 5

Raspberry Pi PoE+ Injector

dnes 12:22 | IT novinky

Byl představen Raspberry Pi PoE+ Injector pro napájení Raspberry Pi po datovém síťovém kabelu (PoE). Cena je 25 dolarů.

Ladislav Hagara | Komentářů: 0

AI plugin sql-gemini pro Adminer

včera 21:33 | Zajímavý software

Jakub Vrána napsal AI plugin sql-gemini pro nástroj pro správu databáze v jednom PHP souboru Adminer. Plugin dovoluje sestavovat SQL dotazy pomocí AI, konkrétně pomocí Google Gemini.

Ladislav Hagara | Komentářů: 1

Týden v GNOME a Týden v KDE Plasma (21. a 22. března 2025)

včera 01:44 | Komunita

Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

Ladislav Hagara | Komentářů: 0

ReactOS 0.4.15

21.3. 23:11 | Nová verze

Byla vydána nová verze 0.4.15 (𝕏) svobodného operačního systému ReactOS (Wikipedie), jehož cílem je kompletní binární kompatibilita s aplikacemi a ovladači pro Windows. Přehled novinek i s náhledy v oznámení o vydání.

Ladislav Hagara | Komentářů: 42

rpi-image-gen

21.3. 16:44 | Zajímavý software

Byl představen rpi-image-gen, tj. oficiální nástroj pro vytváření vlastních softwarových obrazů pro zařízení Raspberry Pi.

Ladislav Hagara | Komentářů: 0

Calibre 8.0

21.3. 12:44 | Nová verze

Byla vydána nová major verze 8.0, aktuálně 8.0.1, softwaru pro správu elektronických knih Calibre (Wikipedie). Přehled novinek v poznámkách k vydání. Vypíchnuta je lepší podpora Kobo KEPUB formátu nebo integrovaný lokálně běžící engine Piper pro převod textu na řeč používaný pro čtení nahlas (již od verze 7.18).

Ladislav Hagara | Komentářů: 7

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké je vaše preferované prostředí?

Vlastní on-prem kubernetes (27%)

Amazon AWS VPC (1%)

Amazon Elastic Kubernetes Service (EKS) (1%)

Azure VM (2%)

Azure Kubernetes Service (AKS) (1%)

Google Cloud Platform (GCP) (1%)

Vlastní server, nebo VM (64%)

Jiné (uvedu v komentáři) (2%)

Celkem 214 hlasů

Komentářů: 10, poslední dnes 12:37

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / nefunkcni pravidla pro iptables

Štítky: firewally, input, Internet, iptables, klient, NAT, output, pravidla, sítě, TCP

Dotaz: nefunkcni pravidla pro iptables

31.5.2011 14:51 netfilter
nefunkcni pravidla pro iptables

Přečteno: 151×

Odpovědět | Admin

Ahoj, mam nasledujici firewall:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i br-lan -o eth0 -j ACCEPT
iptables -A

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -j REJECT --reject-with icmp-admin-prohibited

Potrebuju pripojit pocitace pripojene k sitovce br-lan na internet pres sitovku eth0.

Klient se vubec nepripoji a iptables -L -n -v rika (po jednom pokusu o pripojeni):

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    7  2044 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-admin-prohibited

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  br-lan eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED

Nevidite nekdo, kde mam chybu? Ja ji nemuzu najit :-(

Nástroje: Začni sledovat (1) ?

Odpovědi

31.5.2011 14:53 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i br-lan -o eth0 -j ACCEPT
iptables -A

Ten radek iptables -A tam nemam, spatne jsem to vlozil.

31.5.2011 15:02 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

Máte správně nastavené routování?

31.5.2011 15:31 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

snad ano:

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.7.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

31.5.2011 15:08 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

Pro začátek bych zakázal ten RP filter, většinou nadělá víc škody než užitku. To rozhraní br-lan je normální karta nebo nějaký bridge?

31.5.2011 15:25 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

br-lan je bridge (wlan0 + eth1)

co myslite tim RP filtrem?

31.5.2011 15:33 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje