abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 21:11 | Humor

    Kdo chce podpořit společnost Nintendo v jejím boji proti open source softwaru (Ryujinx, yuzu, …), může si koupit Nintendo budík Alarmo za 100 dolarů. Za jak dlouho bude na budík naportován Doom?

    Ladislav Hagara | Komentářů: 5
    včera 14:11 | Humor

    Včera měl na Maxu premiéru film Money Electric: The Bitcoin Mystery (Tajemství Bitcoinu). Tvrdí, že Satoshi Nakamoto je bitcoinový vývojář Peter Todd. Ten to odmítá.

    Ladislav Hagara | Komentářů: 1
    včera 12:44 | Zajímavý projekt

    Tým soulscircuit pracuje na open source přenosných počítačích pilet 5 console a pilet 7 tablet postavených na Raspberry Pi 5. V plánu mají kampaň na Kickstarteru.

    Ladislav Hagara | Komentářů: 4
    včera 12:22 | IT novinky

    Soud ve Spojených státech nařídil společnosti Google, aby otevřela svůj obchod s aplikacemi Google Play konkurenci. Uživatelé systému Android mají získat více možností stahovat aplikace a platit za transakce v nich uskutečněné. Rozsudek navazuje na loňský verdikt poroty týkající se tvůrce hry Fortnite, firmy Epic Games.

    Ladislav Hagara | Komentářů: 23
    včera 12:11 | Nová verze

    Mastodon (Wikipedie), svobodná federalizovaná sociální síť, byl vydán ve verzi 4.3. Vylepšena byla správa notifikací i vlastní vzhled.

    Ladislav Hagara | Komentářů: 1
    včera 02:22 | Komunita

    Organizace Free Software Foundation Europe u příležitosti včerejšího Dne Ady Lovelace vydala pod licencí CC BY-SA (Uveďte původ - Zachovejte licenci) půlhodinový animovaný film Ada & Zangemann - Příběh softwaru, skateboardů a malinové zmrzliny vycházející ze stejnojmenné knížky (online verze ve francouzštině).

    Ladislav Hagara | Komentářů: 0
    8.10. 22:33 | Nová verze

    Byla vydána nová verze 1.11.0 dynamického programovacího jazyka Julia (Wikipedie) určeného zejména pro vědecké výpočty. Přehled novinek v příspěvku na blogu a v poznámkách k vydání. Aktualizována byla také dokumentace. S vydáním verze 1.11 se předchozí verze 1.10 stala novou LTS verzí nahrazující verzi 1.6.

    Ladislav Hagara | Komentářů: 0
    8.10. 20:11 | Nová verze

    Byla vydána nová verze 6.8 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.5.6.

    Ladislav Hagara | Komentářů: 0
    8.10. 15:44 | Nová verze

    Byla vydána nová stabilní verze 6.8 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání. Jedná se o LTS verzi. Pro komerční uživatele byla prodloužena podpora ze 3 na 5 let.

    Ladislav Hagara | Komentářů: 0
    8.10. 15:22 | Nová verze

    Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.2 (Mastodon, 𝕏). Přehled novinek i s videi a se snímky obrazovky v oficiálním oznámení. Podrobný přehled v seznamu změn.

    Ladislav Hagara | Komentářů: 8
    Rozcestník

    Dotaz: IPtables pravidlá a ACL podľa Cisca

    30.4.2012 13:53 Ján Chrastina | skóre: 4 | blog: Pavuk
    IPtables pravidlá a ACL podľa Cisca
    Přečteno: 338×
    Zdravím,

    dá sa v iptables zadefinovať v pravidle skupiny adries a portov podobne ako na Cisco ASA? Mám na mysli zložitejšie pravidlo kde je povedzme 10 zdrojových adries, 5 portov a 3 cieľové adresy.

    Na Cisco ASA sa vytvoria skupiny Network object group s 10 a troma členmi, Service group s piatimi členmi a pravidlo sa aplikuje jedným príkazom v ACL. Funguje niečo podobné aj pre iptables? Alebo treba definovať pravidlá pre vzťahy každý s každým, teda v tomto prípade cca 150 pravidel? Alebo je nejaký lepší/rýchlejší spôsob?

    Ďakujem.

    Řešení dotazu:


    Odpovědi

    30.4.2012 14:20 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Sice nevím o co jde a proč 150 pravidel, ale pravidla lze řetězit pomocí chain-ů.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    30.4.2012 18:40 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Pretože čo som videl príklady iptables, zdroj, cieľ a služba boli len jeden v pravidle. V príklade v otázke jeden klient potrebuje 5x3 pravidiel, tých klientov je 10. Preto 150 pravidiel.

    O tom zoskupovaní do chainov by nebolo niečo bližšie?

    Ďakujem.
    Řešení 1× (Ján Chrastina (tazatel))
    30.4.2012 19:27 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Pozor píšu z hlavy a neověřuji :), něco třeba jako:
    iptables -N myIP
    iptables -A myIP -s ab -j ACCEPT
    iptables -A myIP -s cd -j ACCEPT
    iptables -A myIP -s ef -j ACCEPT
    iptables -A myIP -j RETURN
    
    iptables -N myDPort
    iptables -A myDPort --dport AB -j myIP
    iptables -A myDPort --dport CD -j myIP
    iptables -A myDPort --dport EF -j myIP
    iptables -A myDPort -j RETURN
    
    iptables -I INPUT -p tcp -j myDPort
    ....
    ....
    ....
    ... iptables -A INPUT ...... DROP/REJECT
    
    Fčul jakmile to není jeden z našich třech portů, tak to proleze v řadě pravidel (které zde nejsou předmětem), jakmile to vyhoví jednomu ze tří portů leze to ověřit IP adresy, jakmile vyhoví jedné ze tří je to přijato, pokud ne, zas to normálně valí dál.
    Jestli jsem to nějak zmastil, a mě někdo popraví… :)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    30.4.2012 20:26 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Aha, už rozumiem. Ďakujem.
    30.4.2012 14:36 darkenik
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    pomocou ipset + multiport modulu to ide spravit jednym pravidlom v iptables.
    30.4.2012 14:52 NN
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Pripadne pokud lze skupiny definovat maskou..

    NN
    30.4.2012 18:31 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Mám prípad keď klienti sa nedajú zapísať ako jedna maska. Ide povedzme o 5 počítačov rôzne po Európe, 3 servre a 5 portov.
    vencour avatar 30.4.2012 19:41 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

    Měl jsem dojem, že i když máte hezky nakonfigurované network objecty, taky stejně vám to ve výsledku ASA naseká na řádky (10x5x3 = 150 řádků) a zabere to kapacitu volných ACL? To abych se podíval, co se v 8.x mění ;-)

    Sám bych to v linuxu dělal chainama, větvil přes "-j next_chain" a "-j RETURN".

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    30.4.2012 20:32 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Komentár pred tebou popísal "-j next_chain" a "-j RETURN" zrozumiteľne.

    Inak, zdá sa, že ASA vnútorne vyrobí 150 ACL, dá sa to vidieť pri filtrovaní logu v ASDM.

    Za pomoc ďakujem.
    30.4.2012 20:52 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    jj, ASA robi 150 ACL - show access-list vs show running-config access-list

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.