Přihlášení | Registrace

napište » Zprávičky

PF 2026

dnes 15:00 | Nová verze

Všem vše nejlepší do nového roku 2026.

dnes 13:33 | Zajímavý software

Crown je multiplatformní open source herní engine. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT a GPLv3+. Byla vydána nová verze 0.60. Vyzkoušet lze online demo.

Ladislav Hagara | Komentářů: 0

curl bez strcpy()

dnes 12:11 | Zajímavý článek

Daniel Stenberg na svém blogu informuje, že po strncpy() byla ze zdrojových kódů curlu odstraněna také všechna volání funkce strcpy(). Funkci strcpy() nahradili vlastní funkcí curlx_strcopy().

Ladislav Hagara | Komentářů: 1

Shotcut 25.12.30

dnes 03:00 | Nová verze

Byla vydána nová verze 25.12.30 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Shotcut je vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

Ladislav Hagara | Komentářů: 0

To nej roku 2025 ve službě Steam

včera 18:55 | IT novinky

Společnost Valve publikovala přehled To nej roku 2025 ve službě Steam aneb ohlédnutí za nejprodávanějšími, nejhranějšími a dalšími nej hrami roku 2025.

Ladislav Hagara | Komentářů: 0

Výsledky průzkumu mezi uživateli Blenderu

včera 16:11 | Komunita

Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu a listopadu 2025. Zúčastnilo se více než 5000 uživatelů.

Ladislav Hagara | Komentářů: 0

CVE-2025-14847 aneb MongoBleed

včera 03:33 | Bezpečnostní upozornění

V dokumentově orientované databázi MongoDB byla nalezena a v upstreamu již opravena kritická bezpečností chyba CVE-2025-14847 aneb MongoBleed.

Ladislav Hagara | Komentářů: 0

Nalezena kopie Unixu V4

29.12. 23:11 | IT novinky

Při úklidu na Utažské univerzitě se ve skladovacích prostorách náhodou podařilo nalézt magnetickou pásku s kopií Unixu V4. Páska byla zaslána do počítačového muzea, kde se z pásky úspěšně podařilo extrahovat data a Unix spustit. Je to patrně jediný známý dochovaný exemplář tohoto 52 let starého Unixu, prvního vůbec programovaného v jazyce C.

NUKE GAZA! 🎆 | Komentářů: 14

FFmpeg nechal smazat repozitář porušující LGPL

29.12. 15:55 | Komunita

FFmpeg nechal kvůli porušení autorských práv odstranit z GitHubu jeden z repozitářů patřících čínské technologické firmě Rockchip. Důvodem bylo porušení LGPL ze strany Rockchipu. Rockchip byl FFmpegem na porušování LGPL upozorněn již téměř před dvěma roky.

NUKE GAZA! 🎆 | Komentářů: 7

witr (why-is-this-running)

29.12. 15:44 | Zajímavý software

K dispozici je nový CLI nástroj witr sloužící k analýze běžících procesů. Název je zkratkou slov why-is-this-running, 'proč tohle běží'. Klade si za cíl v 'jediném, lidsky čitelném, výstupu vysvětlit odkud daný spuštěný proces pochází, jak byl spuštěn a jaký řetězec systémů je zodpovědný za to, že tento proces právě teď běží'. Witr je napsán v jazyce Go.

NUKE GAZA! 🎆 | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (31%)

Santa Claus (1%)

Děda Mráz (25%)

La Befana (1%)

Odin (1%)

Laskakit (1%)

Někdo z rodiny (11%)

Já sám (10%)

Nikdo (18%)

Celkem 212 hlasů

Komentářů: 22, poslední dnes 15:34

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / nefunkcni pravidla pro iptables

Štítky: firewally, input, Internet, iptables, klient, NAT, output, pravidla, sítě, TCP

Dotaz: nefunkcni pravidla pro iptables

31.5.2011 14:51 netfilter
nefunkcni pravidla pro iptables

Přečteno: 170×

Odpovědět | Admin

Ahoj, mam nasledujici firewall:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i br-lan -o eth0 -j ACCEPT
iptables -A

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -j REJECT --reject-with icmp-admin-prohibited

Potrebuju pripojit pocitace pripojene k sitovce br-lan na internet pres sitovku eth0.

Klient se vubec nepripoji a iptables -L -n -v rika (po jednom pokusu o pripojeni):

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    7  2044 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-admin-prohibited

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  br-lan eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED

Nevidite nekdo, kde mam chybu? Ja ji nemuzu najit :-(

Nástroje: Začni sledovat (1) ?

Odpovědi

31.5.2011 14:53 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i br-lan -o eth0 -j ACCEPT
iptables -A

Ten radek iptables -A tam nemam, spatne jsem to vlozil.

31.5.2011 15:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

Máte správně nastavené routování?

31.5.2011 15:31 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

snad ano:

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.7.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

31.5.2011 15:08 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

Pro začátek bych zakázal ten RP filter, většinou nadělá víc škody než užitku. To rozhraní br-lan je normální karta nebo nějaký bridge?

31.5.2011 15:25 netfilter
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

br-lan je bridge (wlan0 + eth1)

co myslite tim RP filtrem?

31.5.2011 15:33 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: nefunkcni pravidla pro iptables

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje