abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 19:00 | Nová verze

    Turris OS, operační systém pro síťová zařízení Turris postavený na OpenWrt, byl vydán v nové verzi 6.3.0. Vývojáři upozorňují, že Netmetr byl nahrazen LibreSpeedem, viz příspěvek na blogu CZ.NIC.

    Ladislav Hagara | Komentářů: 0
    dnes 17:33 | Bezpečnostní upozornění

    Byl vydán xorg-server 21.1.8 a xwayland 22.1.9 a 23.1.1. Řešena je zranitelnost CVE-2023-1393 využitelná k lokální eskalaci práv.

    Ladislav Hagara | Komentářů: 0
    dnes 15:00 | Nová verze

    Byla vydána nová verze 10 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu.

    Ladislav Hagara | Komentářů: 0
    včera 22:33 | Komunita

    Ubuntu Cinnamon bude od Ubuntu 23.04 oficiální odnoží Ubuntu (návrh, schválení).

    Ladislav Hagara | Komentářů: 2
    včera 19:22 | Nová verze

    Byla vydána nová major verze 5.0 účetního softwaru GnuCash (Wikipedie). Ve formátu Flatpak je již k dispozici na Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 18:33 | Nová verze

    Na GOG.com běží Spring Sale. Při té příležitosti lze získat zdarma počítačovou hru Alwa's Awakening (ProtonDB).

    Ladislav Hagara | Komentářů: 1
    včera 16:55 | Nová verze

    Byla vydána verze 3.28.0 2D CAD (computer-aided design) softwaru QCAD (Wikipedie). Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    včera 08:00 | IT novinky

    Změna ve vedení společnosti SUSE. Dosavadní CEO Melissa Di Donato odstoupila. Od 1. května je novým CEO Dirk-Peter van Leeuwen, bývalý Senior Vice President a General Manager ve společnosti Red Hat.

    Ladislav Hagara | Komentářů: 9
    27.3. 22:22 | Nová verze

    CyberChef je webová aplikace pro analýzu dat a jejich kódování a dekódování, šifrování a dešifrování, kompresi a dekompresi, atd. Často je využívaná při kybernetických cvičeních a CTF (Capture the Flag). Vydána byla nová major verze 10 (aktuálně 10.4.0). Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    27.3. 19:22 | Nová verze

    UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch OTA-1 Focal založené na Ubuntu 20.04 Focal Fossa.

    Ladislav Hagara | Komentářů: 2
    Používáte WSL (Windows Subsystem for Linux)?
     (73%)
     (12%)
     (4%)
     (11%)
    Celkem 366 hlasů
     Komentářů: 7, poslední včera 17:34
    Rozcestník


    Dotaz: IPtables pravidlá a ACL podľa Cisca

    30.4.2012 13:53 Ján Chrastina | skóre: 4 | blog: Pavuk
    IPtables pravidlá a ACL podľa Cisca
    Přečteno: 311×
    Zdravím,

    dá sa v iptables zadefinovať v pravidle skupiny adries a portov podobne ako na Cisco ASA? Mám na mysli zložitejšie pravidlo kde je povedzme 10 zdrojových adries, 5 portov a 3 cieľové adresy.

    Na Cisco ASA sa vytvoria skupiny Network object group s 10 a troma členmi, Service group s piatimi členmi a pravidlo sa aplikuje jedným príkazom v ACL. Funguje niečo podobné aj pre iptables? Alebo treba definovať pravidlá pre vzťahy každý s každým, teda v tomto prípade cca 150 pravidel? Alebo je nejaký lepší/rýchlejší spôsob?

    Ďakujem.

    Řešení dotazu:


    Odpovědi

    30.4.2012 14:20 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Sice nevím o co jde a proč 150 pravidel, ale pravidla lze řetězit pomocí chain-ů.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    30.4.2012 18:40 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Pretože čo som videl príklady iptables, zdroj, cieľ a služba boli len jeden v pravidle. V príklade v otázke jeden klient potrebuje 5x3 pravidiel, tých klientov je 10. Preto 150 pravidiel.

    O tom zoskupovaní do chainov by nebolo niečo bližšie?

    Ďakujem.
    Řešení 1× (Ján Chrastina (tazatel))
    30.4.2012 19:27 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Pozor píšu z hlavy a neověřuji :), něco třeba jako:
    iptables -N myIP
    iptables -A myIP -s ab -j ACCEPT
    iptables -A myIP -s cd -j ACCEPT
    iptables -A myIP -s ef -j ACCEPT
    iptables -A myIP -j RETURN
    
    iptables -N myDPort
    iptables -A myDPort --dport AB -j myIP
    iptables -A myDPort --dport CD -j myIP
    iptables -A myDPort --dport EF -j myIP
    iptables -A myDPort -j RETURN
    
    iptables -I INPUT -p tcp -j myDPort
    ....
    ....
    ....
    ... iptables -A INPUT ...... DROP/REJECT
    
    Fčul jakmile to není jeden z našich třech portů, tak to proleze v řadě pravidel (které zde nejsou předmětem), jakmile to vyhoví jednomu ze tří portů leze to ověřit IP adresy, jakmile vyhoví jedné ze tří je to přijato, pokud ne, zas to normálně valí dál.
    Jestli jsem to nějak zmastil, a mě někdo popraví… :)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    30.4.2012 20:26 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Aha, už rozumiem. Ďakujem.
    30.4.2012 14:36 darkenik
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    pomocou ipset + multiport modulu to ide spravit jednym pravidlom v iptables.
    30.4.2012 14:52 NN
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Pripadne pokud lze skupiny definovat maskou..

    NN
    30.4.2012 18:31 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Mám prípad keď klienti sa nedajú zapísať ako jedna maska. Ide povedzme o 5 počítačov rôzne po Európe, 3 servre a 5 portov.
    vencour avatar 30.4.2012 19:41 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

    Měl jsem dojem, že i když máte hezky nakonfigurované network objecty, taky stejně vám to ve výsledku ASA naseká na řádky (10x5x3 = 150 řádků) a zabere to kapacitu volných ACL? To abych se podíval, co se v 8.x mění ;-)

    Sám bych to v linuxu dělal chainama, větvil přes "-j next_chain" a "-j RETURN".

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    30.4.2012 20:32 Ján Chrastina | skóre: 4 | blog: Pavuk
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    Komentár pred tebou popísal "-j next_chain" a "-j RETURN" zrozumiteľne.

    Inak, zdá sa, že ASA vnútorne vyrobí 150 ACL, dá sa to vidieť pri filtrovaní logu v ASDM.

    Za pomoc ďakujem.
    30.4.2012 20:52 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
    Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca
    jj, ASA robi 150 ACL - show access-list vs show running-config access-list

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.