Přihlášení | Registrace

napište » Zprávičky

Konference OpenAlt 2025

včera 07:33 | Komunita

O víkendu probíhá konference OpenAlt 2025. Na programu je spousta zajímavých přednášek. Pokud jste v Brně, stavte se. Vstup zdarma.

Ladislav Hagara | Komentářů: 0

Prusa CORE One L a OpenPrintTag

včera 00:55 | IT novinky

Josef Průša představil novou velkoformátovou uzavřenou CoreXY 3D tiskárnu Prusa CORE One L a nový open source standard chytrých cívek OpenPrintTag i s novou přepracovanou špulkou.

Ladislav Hagara | Komentářů: 7

Hra STASIS na GOG.com zdarma

31.10. 18:33 | IT novinky

Na GOG.com běží Autumn Sale. Při té příležitosti je zdarma hororová počítačová hra STASIS (ProtonDB: Platinum).

Ladislav Hagara | Komentářů: 0

Ubuntu 25.10 má nově balíčky sestavené také pro úroveň mikroarchitektury x86-64-v3 (amd64v3)

31.10. 13:22 | Komunita

Ubuntu 25.10 má nově balíčky sestavené také pro úroveň mikroarchitektury x86-64-v3 (amd64v3).

Ladislav Hagara | Komentářů: 8

Rust 1.91.0

31.10. 01:22 | Nová verze

Byla vydána verze 1.91.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

MPO: 800 milionů korun na projekty výzkumu a vývoje umělé inteligence v podnikání

31.10. 00:11 | IT novinky

Ministerstvo průmyslu a obchodu vyhlásilo druhou veřejnou soutěž v programu TWIST, který podporuje výzkum, vývoj a využití umělé inteligence v podnikání. Firmy mohou získat až 30 milionů korun na jeden projekt zaměřený na nové produkty či inovaci podnikových procesů. Návrhy projektů lze podávat od 31. října do 17. prosince 2025. Celková alokace výzvy činí 800 milionů korun.

Ladislav Hagara | Komentářů: 5

Keep Android Open

30.10. 23:44 | Komunita

Google v srpnu oznámil, že na „certifikovaných“ zařízeních s Androidem omezí instalaci aplikací (včetně „sideloadingu“) tak, že bude vyžadovat, aby aplikace byly podepsány centrálně registrovanými vývojáři s ověřenou identitou. Iniciativa Keep Android Open se to snaží zvrátit. Podepsat lze otevřený dopis adresovaný Googlu nebo petici na Change.org.

Ladislav Hagara | Komentářů: 0

Qt Creator 18

30.10. 15:22 | Nová verze

Byla vydána nová verze 18 integrovaného vývojového prostředí (IDE) Qt Creator. S podporou Development Containers. Podrobný přehled novinek v changelogu.

Ladislav Hagara | Komentářů: 2

Cursor 2.0

30.10. 12:55 | Nová verze

Cursor (Wikipedie) od společnosti Anysphere byl vydán ve verzi 2.0. Jedná se o multiplatformní proprietární editor kódů s podporou AI (vibe coding).

Ladislav Hagara | Komentářů: 1

Google Chrome 142

30.10. 02:55 | Nová verze

Google Chrome 142 byl prohlášen za stabilní. Nejnovější stabilní verze 142.0.7444.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 20 bezpečnostních chyb. Za nejvážnější z nich bylo vyplaceno 50 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (36%)

Gitlab (48%)

Atlassian (19%)

Bitbucket (18%)

Gitea (22%)

Mercurial (16%)

jen git (20%)

jen svn (16%)

Jiné (uvedu v diskusi) (17%)

Celkem 296 hlasů

Komentářů: 14, poslední 14.10. 09:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Omezení přístupu na weby

Štítky: doména, domény, firewally, iptables, pomoc, proxy, server, sítě

Dotaz: Omezení přístupu na weby

4.1.2013 08:37 necojakolinux | skóre: 10
Omezení přístupu na weby

Přečteno: 490×

Odpovědět | Admin

Ahoj, všechny Vás zdravím v novém roce.
Chtěla jsem se zeptat jestli má někdo zkušenost s blokováním přístupu na určité weby. U klienta není nainstalován proxy . Ale požadavek od klienta je aby jeden počítač z sítě měl přístup jen asi na 5 webu . Ten počítač samozřejmě běží na WIN7 , ale mají server s linuxem.
Tak jsem se chtěla zeptat jestli to jde nějak vyřešit třeba pomocí IPTABLES .. + nějaký whitelist kde by byly uvedeny domény které jsou povoleny ... např domena "*justice.cz*"
Identifikace počítače samozřejmě podle IP adresy . Nechci tam kvůli jednoho počítače instalovat proxy server ... :(
Děkuji za případnou pomoc či nasměrování, kde bych se o tom něco dočetla.

Nástroje: Začni sledovat (0) ?

Odpovědi

4.1.2013 09:19 NN
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Nekolik veci: Problem u domenovych nazvu je, ze muzou menit sve IP adresy. Pokud provozuji vlastni NS, pripadne lokalni NS, je mozne domeny take presmerovat..

4.1.2013 09:25 necojakolinux | skóre: 10
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Vlastní NS neprovozují , dívala jsem se na nastavení a používají od google ..

4.1.2013 09:31 NN
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Pokud lze vytvorit 'pozitivni' seznam domen/IP adres, bude jednoduzsi napsat 5 pravidel do firewallu.

4.1.2013 10:08 necojakolinux | skóre: 10
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Ano vytvořit mohu seznam, budou tam vlastně jen dvě domeny

cat whitelist
www.mapy.cz 77.75.77.138
www.justice.cz 194.213.41.145

takže jestli jsem to pochopila správně stačilo by přidat do stávajícího firewalu tohle

#omezená IP
IPBLOK1=192.168.4.53
iptables -N whitelist
iptables -A whitelist -s IPBLOK1 -j ACCEPT
iptables -A INPUT -j whitelist
iptables -A OUTPUT -j whitelist
iptables -A FORWARD -j whitelist

4.1.2013 11:53 necojakolinux | skóre: 10
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Huh tak to stačit nebude , jdu to pořádně nastudovat :) .

4.1.2013 11:55 NN
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

by mohlo stacit:

iptables -A FORWARD -s IP -d 77.75.77.138 -p tcp --destination-port 80 -j ACCEPT
iptables -A FORWARD -s IP -d 194.213.41.145 -p tcp --destination-port 80 -j ACCEPT

4.1.2013 12:16 necojakolinux | skóre: 10
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Jsem to tam přidala a znovu načetla firewall ale tu IP to neomezilo :(

4.1.2013 12:44 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Někde mi tam chybí defaultní nastavení, kde se komunikace se všemi ostatními IP zahazuje a povolují se tak jen ty, co jsou v chainu whitelist.
Dále bych v tom fw povolil pro povolené ip nejen port 80, ale i 443.
Zdar Max

Měl jsem sen ... :(

4.1.2013 13:14 necojakolinux | skóre: 10
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Raději to teď zkouším na svém notebooku :)

cat firewall.sh
#!/bin/bash

modprobe ip_conntrack

whitelist=/etc/init.d/whitelist
IP=192.168.4.73

iptables -P INPUT  DROP
iptables -P OUTPUT DROP

iptables -N  whitelist

iptables -A whitelist -s $IP -j ACCEPT
iptables -A whitelist -j RETURN

iptables -A INPUT -j whitelist
iptables -A OUTPUT -j whitelist

Výpis z whitelist

#www.mapy.cz
77.75.77.138
#www.justice.cz
194.213.41.145

iptables -L -v -n
Chain INPUT (policy DROP 24 packets, 1632 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   24  1632 whitelist  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 whitelist  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain allowed_ips (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain blacklist (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain whitelist (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       192.168.4.73         0.0.0.0/0           
   24  1632 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Ale nedostanu se nikam ani na ty dvě IP co jsou v whitelistu :) ..

4.1.2013 13:36 NN
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Kdeze ti chybi:

iptables -P FORWARD DROP

tak je tvuj firewall deravy jako cednik..

4.1.2013 14:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

a) Ke zmíněným webům potřebuješ i javascripty a obrázky, které konkrétně Seznam/Mapy tahá odjinud. To si budeš muset zjistit. Pro začátek to samozřejmě můžeš omezit takto (a uvidíš, že se ti na Mapách zobrazí tak maximálně hlavička) a nakonec asi skončíš s tím, že budeš muset povolit celý IP rozsah Seznamu.

b) Už jenom z tohoto důvodu bych to klidně přes tu proxy hnal. Privoxy má pár MB a nic nežere…

c) To, že je tam server s Linuxem… předpokládám, že provoz jde přes něj :).

4.1.2013 10:16 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Omezení přístupu na weby

Tak máš několik možností :
1) ošetřit to na konkrétním PC pomocí speciálního programu (vlastně to většinou funguje jako lokální proxy a pro win je toho tuny)
2) pokud má user práva a nepotřebuje usb, tak bych zakázal usb/mechaniku + nastavil v IE heslo a bez hesla povolil jen vybrané weby
3) rozjet na linuchu proxynu a konkrétní PC táhnout přes ní (zakázat pro onu ip komunikaci s externím webem a na pc v IE nastavit adresu proxy serveru)

Zdar Max

Měl jsem sen ... :(