abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:22 | Komunita

    Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.

    Ladislav Hagara | Komentářů: 0
    dnes 04:00 | Bezpečnostní upozornění

    V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).

    Ladislav Hagara | Komentářů: 0
    včera 19:44 | IT novinky

    Tribunál Soudního dvora Evropské unie dnes zamítl několik žalob, v nichž se americká společnost Apple ohrazovala proti pravidlům fungování velkých technologických společností na unijním trhu. Applu se nelíbilo, že jeho obchod s aplikacemi a operační systém iOS mají podléhat přísnějším povinnostem jen proto, že Brusel firmu považuje za takzvaného gatekeepera, tedy strážce přístupu.

    Ladislav Hagara | Komentářů: 0
    včera 13:11 | IT novinky

    Na WhatsAppu budou postupně v průběhu následujících měsíců zavedena uživatelská jména. Telefonní čísla tak mohou zůstat soukromá. Aktuálně si lze uživatelské jméno rezervovat.

    Ladislav Hagara | Komentářů: 3
    včera 11:11 | IT novinky

    Byl aktualizován TIOBE Index (Wikipedie). Programovací jazyk Rust se poprvé dostal do první desítky tohoto žebříčku popularity programovacích jazyků. Vede Python následovaný C, C++, Java, C#, …

    Ladislav Hagara | Komentářů: 0
    včera 01:55 | Nová verze

    Proton (Wikipedie), tj. fork Wine integrovaný ve Steamu umožňující na Linuxu hrát hry určené pouze pro Windows, byl vydán ve verzi 11.0-1. Přehled novinek se seznamem nově podporovaných her na GitHubu. Aktuální přehled všech podporovaných her na stránkách ProtonDB

    Ladislav Hagara | Komentářů: 0
    7.7. 20:44 | Zajímavý software

    Byly publikovány zdrojové kódy počítačové hry Unturned. Pro nekomerční účely. V plánu je přelicencování pod MIT. Hra Unturned je postavena nad multiplatformním herním enginem Unity.

    Ladislav Hagara | Komentářů: 1
    7.7. 15:55 | IT novinky

    První česká družice navržená a sestavená výhradně studenty se dostala na oběžnou dráhu Země. Družice KOSTKA, kterou vyvinul studentský tým YSpace z Vysokého učení technického v Brně (VUT), dnes odstartovala na palubě rakety Falcon 9 společnosti SpaceX v rámci mise Transporter-17 z kalifornské základny Vandenberg Space Force Base.

    Ladislav Hagara | Komentářů: 0
    7.7. 05:00 | IT novinky

    Po nákresech ovladače Steam Controller a puku společnost Valve na svém GitLabu publikovala projekt Inkterface, tj. podrobný návod (PDF, video v mp4) na sestavení předního panelu s e-papírovým displejem pro Steam Machine pro zobrazování systémových informací. Použity jsou součástky od společnosti Adafruit.

    Ladislav Hagara | Komentářů: 2
    7.7. 04:00 | Bezpečnostní upozornění

    V jádře Linux byla nalezena a v dubnu letošního roku v upstreamu opravena kritická zranitelnost Bad Epoll aneb CVE-2026-46242. Jedná se o zranitelnost typu "race-condition use-after-free", která běžnému uživateli umožňuje získat práva roota. Na distribucích Linuxu i na Androidu. Dokonce i zevnitř sandboxu prohlížeče Chrome. Chyba byla do Linuxu zavedena v dubnu 2023, tj. Linux 6.4.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (10%)
     (8%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (16%)
     (25%)
    Celkem 2078 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Dotaz: iptables - nefunkční konfigurace firewallu

    16.4.2012 21:56 Zopper | skóre: 15
    iptables - nefunkční konfigurace firewallu
    Přečteno: 486×

    Mám domácí server, který slouží i jako router s NATem, DHCP, DNS server... a snažím se na něm nastavit firewall. Seskládal jsem si tato pravidla, ale výsledné chování je jiné, než jsem čekal:

    Ze serveru se nedostanu přes eth0 vůbec nikam (nebo spíš myslím, že zahodí všechny příchozí pakety, i když jsou určené pro něj).

    Z jiných pc za serverem se ven dostane ICMP a DNS reques, ale protože DNS je tento server, tak pouze na IP adresy (nebo nacachované domény).


    Politika má být taková, že ven se pouští všechno, ale příchozí (nová a zatím cílená jen na server) spojení projdou jen na konkrétních portech.

    S iptables si moc netykám, takže ocením jakoukoliv radu (i upozornění na něco, co bych měl do firewallu přidat/předělat...)

    Díky.


    Síťová rozhraní:
    eth0: WAN
    všechna ostatní: LAN
    

    firewall
    # NAT je uz napevno nastaveny v iptables.conf 
    
    # zakazeme vsechno z venku
    iptables -A INPUT -i eth0  -j REJECT
    
    # povoleni navazanych spojeni - pry by melo umoznit i DNS dotazy?
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    #----------------------------------------------------------------------------------
    # povoleni konkretnich portu
    #----------------------------------------------------------------------------------
    iptables -N POVOLENO
    
    iptables -A POVOLENO  -p ICMP -j ACCEPT
    
    # Dalsi sluzby
    iptables -A POVOLENO  -p tcp --dport 22 -m state --state NEW -j ACCEPT # ssh
    iptables -A POVOLENO  -p udp --dport 88 -m state --state NEW -j ACCEPT # openvpn
    iptables -A POVOLENO  -p tcp --dport 80 -m state --state NEW -j ACCEPT # http
    iptables -A POVOLENO  -p tcp --dport 5060 -m state --state NEW -j ACCEPT # VOIP
    
    # pptp
    iptables -A POVOLENO  -p tcp --dport 47 -m state --state NEW -j ACCEPT
    iptables -A POVOLENO  -p tcp --dport 1723 -m state --state NEW -j ACCEPT
    #----------------------------------------------------------------------------------
    
    iptables -A INPUT -i eth0 -p tcp -j POVOLENO
    iptables -A FORWARD -i eth0 -p tcp -j POVOLENO
    
    
    "Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

    Řešení dotazu:


    Odpovědi

    Řešení 1× (JirkaK)
    16.4.2012 22:44 ewew | skóre: 40 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
    Skúšal si vynechať prvé pravidlo čo uvadzaš. Nezdalo sa ti divne, že máš v prvom pravidle veľa paketov a ostatné maju nuly ? Namiesto REJECT by som použil zmenu defaultnej politiky. iptables -P INPUT DROP Podobne to urobíš aj pre FORWARD, OUTPUT.

    Pozri si tento link a nalistuj si kapitolu 5.14.3.2 Manual init.d configuration.
    Root v linuxe : "Root povedal, linux vykona."
    16.4.2012 22:50 JirkaK | skóre: 15 | blog:
    Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
    Přesně tak. Já jsem na svém serveru použil pro inspiraci (k plné spokojenosti) skript z http://www.petricek.cz/mpfw/ - teda samozřejmě se spoustou změn od doby, kdy jsem podle toho splácal první skript.
    ** Počítač bez window$, to je jako ryba bez bicyklu... ** echo 'Kdo neskáče, není Čech!'|sed s/Čech/cvičená\ opice/
    17.4.2012 10:12 Zopper | skóre: 15
    Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
    Díky oběma, jdu na úpravy, teď by to mohlo fungovat. :-)
    "Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2
    17.4.2012 09:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
    Pravidla se v iptables vyhodnocují v pořadí, v jakém jsou uvedena. První pravidlo, které vyhoví, se uplatní, a tím zpracování končí. Takže když máte jako první v INPUT uvedeno pravidlo
    iptables -A INPUT -i eth0  -j REJECT
    Znemožníte tím veškerou příchozí komunikaci na router, veškerou odchozí TCP/IP komunikaci z routeru (nemohou přijít pakety s odpověďmi) a veškerou NATovanou TCP/IP komunikaci.
    17.4.2012 10:12 Zopper | skóre: 15
    Rozbalit Rozbalit vše Re: iptables - nefunkční konfigurace firewallu
    Díky, už je mi to jasné, přistupoval jsem k tomu přesně opačně. :-D
    "Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.