Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Ratty, emulátor terminálu s podporou 3D grafiky

včera 23:33 | Zajímavý software

Byl představen emulátor terminálu Ratty (GitHub) s podporu 3D grafiky přímo v terminálu. Inspirací byl operační systém TempleOS od Terryho Davise. Ratty je napsán v jazyce Rust. Využívá knihovnu Ratatui pro tvorbu rozhraní a herní engine Bevy pro 3D vykreslování.

Ladislav Hagara | Komentářů: 0

Brusel řeší, jak omezit VPN aplikace

včera 17:55 | IT novinky

Evropské instituce i některé americké státy dál zpřísňují pravidla pro ověřování věku na internetu. Cílem je zabránit dětem v přístupu k obsahu pro dospělé. Úřady ale narážejí na zásadní problém – stále více lidí používá VPN, tedy služby umožňující skrýt identitu i skutečnou polohu na internetu. Právě VPN nyní Evropská parlamentní výzkumná služba (EPRS) označila za „mezeru v legislativě, kterou je potřeba uzavřít“ [Novinky.cz].

Ladislav Hagara | Komentářů: 9

Joplin 3.6

včera 17:22 | Nová verze

Multiplatformní open source aplikace pro psaní poznámek Joplin (Wikipedie) byla vydána v nové verzi 3.6. Nově lze mít v poznámkách embedovaný externí obsah, např. YouTube videa.

Ladislav Hagara | Komentářů: 0

Open Hardware Summit 2026

včera 16:44 | Komunita

Open Hardware Summit 2026 organizovaný OSHWA (Open Source Hardware Association) proběhne o víkendu 23. a 24. května v Berlíně na Technické univerzitě Berlín.

Ladislav Hagara | Komentářů: 0

CoMaps 2026.05.06

včera 16:33 | Nová verze

Navigace se soukromím CoMaps postavena nad OpenStreetMap byla vydána v nové verzi 2026.05.06. Přibyla možnost aktualizovat mapy v aplikaci CoMaps, aniž by bylo nutné aktualizovat i verzi aplikace. CoMaps je komunitní fork aplikace Organic Maps.

Ladislav Hagara | Komentářů: 1

OCCT3D (Open CASCADE Technology) Open Source 8.0

10.5. 05:11 | Nová verze

OCCT3D (Open CASCADE Technology) Open Source 8.0 bylo vydáno. OCCT3D (Wikipedie, GitHub) je objektově orientovaná knihovna pro 3D CAD, CAM nebo CAE. Používá se například v softwarech FreeCAD a KiCad.

Ladislav Hagara | Komentářů: 5

21letá zranitelnost ve FreeBSD, vzdálené spuštění kódu (RCE)

10.5. 02:22 | Bezpečnostní upozornění

Ve FreeBSD byla nalezena a již opravena 21letá zranitelnost CVE-2026-42511 v dhclient. Jedná se o vzdálené spuštění kódu (RCE). Útočník mající pod správou DHCP server může získat plnou kontrolu nad systémem FreeBSD pouze jeho připojením k místní síti.

Ladislav Hagara | Komentářů: 11

Týden v GNOME a Týden v KDE Plasma (8. a 9. května 2026)

9.5. 17:22 | Komunita

Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

Ladislav Hagara | Komentářů: 0

Ubuntu Touch 24.04-1.3

9.5. 00:11 | Nová verze

UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.3. Současně oznámila, že nadcházející větší vydání 24.04-2.0 bude mít modernější webový prohlížeč.

Ladislav Hagara | Komentářů: 0

Ploopy Bean Pointing Stick

8.5. 17:11 | Zajímavý projekt

Ploopy po DIY trackballech či sluchátkách představuje nový externí DIY trackpoint se čtyřmi tlačítky Bean. Obsahuje snímač Texas Instruments TMAG5273, spínače Omron D2LS-21 a řadič RP2040, používá firmware QMK. Schémata jsou na GitHubu; sadu lze předobjednat za 69 kanadských dolarů (bez dopravy a DPH).

|🇵🇸 | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables - nefunkční konfigurace firewallu

Štítky: DHCP, DNS, firewally, input, Internet, iptables, konfigurace, LAN, NAT, OpenVPN, PC, politika, PPTP, pravidla, router, server, sítě, spojení, SSH, TCP, VoIP

Dotaz: iptables - nefunkční konfigurace firewallu

16.4.2012 21:56 Zopper | skóre: 15
iptables - nefunkční konfigurace firewallu

Přečteno: 446×

Odpovědět | Admin

Mám domácí server, který slouží i jako router s NATem, DHCP, DNS server... a snažím se na něm nastavit firewall. Seskládal jsem si tato pravidla, ale výsledné chování je jiné, než jsem čekal:

Ze serveru se nedostanu přes eth0 vůbec nikam (nebo spíš myslím, že zahodí všechny příchozí pakety, i když jsou určené pro něj).

Z jiných pc za serverem se ven dostane ICMP a DNS reques, ale protože DNS je tento server, tak pouze na IP adresy (nebo nacachované domény).

Politika má být taková, že ven se pouští všechno, ale příchozí (nová a zatím cílená jen na server) spojení projdou jen na konkrétních portech.

S iptables si moc netykám, takže ocením jakoukoliv radu (i upozornění na něco, co bych měl do firewallu přidat/předělat...)

Díky.

Síťová rozhraní:

eth0: WAN
všechna ostatní: LAN

firewall

# NAT je uz napevno nastaveny v iptables.conf 

# zakazeme vsechno z venku
iptables -A INPUT -i eth0  -j REJECT

# povoleni navazanych spojeni - pry by melo umoznit i DNS dotazy?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#----------------------------------------------------------------------------------
# povoleni konkretnich portu
#----------------------------------------------------------------------------------
iptables -N POVOLENO

iptables -A POVOLENO  -p ICMP -j ACCEPT

# Dalsi sluzby
iptables -A POVOLENO  -p tcp --dport 22 -m state --state NEW -j ACCEPT # ssh
iptables -A POVOLENO  -p udp --dport 88 -m state --state NEW -j ACCEPT # openvpn
iptables -A POVOLENO  -p tcp --dport 80 -m state --state NEW -j ACCEPT # http
iptables -A POVOLENO  -p tcp --dport 5060 -m state --state NEW -j ACCEPT # VOIP

# pptp
iptables -A POVOLENO  -p tcp --dport 47 -m state --state NEW -j ACCEPT
iptables -A POVOLENO  -p tcp --dport 1723 -m state --state NEW -j ACCEPT
#----------------------------------------------------------------------------------

iptables -A INPUT -i eth0 -p tcp -j POVOLENO
iptables -A FORWARD -i eth0 -p tcp -j POVOLENO

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

Řešení dotazu:

Komentář #1 (ewew, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

Řešení 1× (JirkaK)

16.4.2012 22:44 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Skúšal si vynechať prvé pravidlo čo uvadzaš. Nezdalo sa ti divne, že máš v prvom pravidle veľa paketov a ostatné maju nuly ? Namiesto REJECT by som použil zmenu defaultnej politiky. iptables -P INPUT DROP Podobne to urobíš aj pre FORWARD, OUTPUT.

Pozri si tento link a nalistuj si kapitolu 5.14.3.2 Manual init.d configuration.

Root v linuxe : "Root povedal, linux vykona."

16.4.2012 22:50 JirkaK | skóre: 15 | blog:
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Přesně tak. Já jsem na svém serveru použil pro inspiraci (k plné spokojenosti) skript z http://www.petricek.cz/mpfw/ - teda samozřejmě se spoustou změn od doby, kdy jsem podle toho splácal první skript.

** Počítač bez window$, to je jako ryba bez bicyklu... ** echo 'Kdo neskáče, není Čech!'|sed s/Čech/cvičená\ opice/

17.4.2012 10:12 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Díky oběma, jdu na úpravy, teď by to mohlo fungovat. :-)

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

17.4.2012 09:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Pravidla se v iptables vyhodnocují v pořadí, v jakém jsou uvedena. První pravidlo, které vyhoví, se uplatní, a tím zpracování končí. Takže když máte jako první v INPUT uvedeno pravidlo

iptables -A INPUT -i eth0  -j REJECT

Znemožníte tím veškerou příchozí komunikaci na router, veškerou odchozí TCP/IP komunikaci z routeru (nemohou přijít pakety s odpověďmi) a veškerou NATovanou TCP/IP komunikaci.

17.4.2012 10:12 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu

Díky, už je mi to jasné, přistupoval jsem k tomu přesně opačně. :-D

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

Založit nové vlákno • Nahoru

Tiskni Sdílej: