Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Armbian 26.2.1

dnes 02:22 | Nová verze

Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 26.2.1. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0

Začaly volby do Rady openSUSE

dnes 02:11 | Komunita

Volí se dvě místa v Radě openSUSE. Seznamte se se čtyřmi kandidáty. Členové projektu openSUSE mohou hlasovat od 1. do 8. března. Výsledky budou oznámeny 9. března.

lkocman | Komentářů: 0

OpenAI uzavřela dohodu s Pentagonem

včera 19:22 | IT novinky

Společnost OpenAI uzavřela dohodu s americkým ministerstvem obrany o poskytování technologií umělé inteligence (AI) pro utajované sítě americké armády. Firma to oznámila několik hodin poté, co prezident Donald Trump nařídil vládě, aby přestala využívat služby společnosti Anthropic.

Ladislav Hagara | Komentářů: 5

Pentagon označil Anthropic za bezpečnostní riziko

včera 13:33 | IT novinky

Technologická společnost Anthropic v noci na dnešek oznámila, že se obrátí na soud kvůli rozhodnutí ministerstva obrany označit ji za bezpečnostní riziko dodavatelského řetězce poté, co nevyhověla jeho požadavkům týkajícím se používání umělé inteligence (AI). Prezident Donald Trump krátce před tím uvedl, že nařídil federálním úřadům postupně ukončit využívání jejích AI technologií. Spor mezi firmou vyvíjející chatbot Claude a

… více »

Ladislav Hagara | Komentářů: 7

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík

28.2. 15:44 | Upozornění

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík.

Ladislav Hagara | Komentářů: 6

iPhone a iPad získávají certifikaci pro práci s utajovanými informacemi NATO

27.2. 17:33 | IT novinky

Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

Ladislav Hagara | Komentářů: 13

Netflix ustoupil v bitvě o Warner Bros, slavná studia tak může převzít Paramount

27.2. 13:00 | IT novinky

Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).

Ladislav Hagara | Komentářů: 18

Apple přesune část výroby svého malého počítače Mac mini z Asie do Houstonu

27.2. 12:44 | IT novinky

Americká společnosti Apple přesune část výroby svého malého stolního počítače Mac mini z Asie do Spojených států. Výroba v závodě v Houstonu by měla začít ještě v letošním roce, uvedla firma na svém webu. Apple také plánuje rozšířit svůj závod v Houstonu o nové školicí centrum pro pokročilou výrobu. V Houstonu by měly vzniknout tisíce nových pracovních míst.

Ladislav Hagara | Komentářů: 20

Biopočítač s lidskými neurony hraje DOOM

27.2. 12:11 | Zajímavý článek

Vědci Biotechnologické společnosti Cortical Labs vytvořili biopočítač nazvaný CL1, který využívá živé lidské mozkové buňky vypěstované z kmenových buněk na čipu. Po úspěchu se hrou PONG se ho nyní snaží naučit hrát DOOM. Neurony přijímají signály podle toho, co se ve hře děje, a jejich reakce jsou převáděny na akce jako pohyb nebo střelba. V tuto chvíli systém hraje velmi špatně, ale dokáže reagovat, trochu se učit a v reálném čase se hrou

… více »

karkar | Komentářů: 10

4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon)

27.2. 01:55 | Nová verze

Pro testování byl vydán 4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon).

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / pri pouziti iptables pomale odezvy

Štítky: DNS, firewally, HTML, Internet, iptables, KDE, NAT, sítě, SSH, web

Dotaz: pri pouziti iptables pomale odezvy

12.8.2003 23:30 keyem
pri pouziti iptables pomale odezvy

Přečteno: 143×

Odpovědět | Admin

dobry den,

mam v internetu server - jen jedna sitovka - rozhrani ven, proste klasicky server-housingovy server..

firewall jsem mel v umyslu postavit takhle:

iptables -P INPUT DROP

a pak povolit jen jednotlive sluzby:

iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -s x.x.x.x -d x.x.x.x -p tcp --dport 22 -j ACCEPT

atd atd.

problem je v tom, ze pravidla sice funguji dobre, delaji to co jsem chtel aby delaly, ale napr. pri prihlasovani pomoci ssh je prodleva pred login promptem strasne dlouha v porovnani s tim, jaka je bez firewallu.. urcite to neni hardwarem, ptz je dost hodne naslapnuty..

prosim poradte jak muzete

a jeste jeden dotaz, kdyz zmenim vychozi policy INPUT chainu na DROP a chci aby primo ze stroje slo vramci neho vsechno, musim zadavat tohle ? (x.x.x.x - je vnejsi IP toho serveru)

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d x.x.x.x/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d x.x.x.x/32 -j ACCEPT

a jeste posledni dotaz, jak muzu omezit provoz smerem ze serveru ? nemam na mysli rychlostne, ale spis odfiltrovat..

napr. kdyz bych chtel, aby se ze serveru dalo naconnectit jen na vzdalene porty 25 apod..

diky moc vsem zkusenejsim nez ja.. keyem

Nástroje: Začni sledovat (0) ?

Odpovědi

12.8.2003 23:43 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

ad x.x.x.x/32: dost úchylná metoda, jak specifikovat jednu IP -- proč to nepíšeš jen x.x.x.x? ad odezva: nevím, co máš v těch pravidlech dál, ale tipuji, že nemáš povolené v INPUT DNS odpovědi, takže ssh nemůže ověřit hostname počítače, ze kterého se přihlašuješ (a čeká na timeout) -- nebo něco v tom smyslu ad localhost: pakety křížem x.x.x.x <-> 127.0.0.1 by ti neměly chodit, takže je nepovoluj; můžeš jednoduše povolit vše na loopbacku (-i lo -j ACCEPT). a z x.x.x.x sám na sebe to můžeš chtít povolit, ale nemusí to být třeba, v každém případě to už je jen jedno pravidlo. ad provoz ze serveru: INPUT není jediný chain, zkus třeba OUTPUT ;-)

13.8.2003 00:27 keyem
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

jak mam teda povolit ty DNS odpovedi ? iptables -A INPUT -s dns_server_ip -d moje_ip --dport 53 -p udp -j ACCEPT je to tak ? diky

13.8.2003 09:38 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Povolím vše co navázal můj PC

# to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT

13.8.2003 10:47 cooler | skóre: 19 | Medzilaborce
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Proste povol len OUTPUT na destination port 53 a INPUT zo source port 53 ... myslim,ze by to malo fachat

13.8.2003 17:16 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

no protoze se pta ten serverhousingovej stroj(server sshd) u svyho dns serveru a protoze se nejspis pta po udp, tak je podle me uplne jedno, jestli tam das:

-s x.x.x.x -d d.n.s.x --state NEW -j ACCEPT
-s d.n.s.x -d x.x.x.x --state ESTABLISHED -j ACCEPT

nebo vypustis ty "--state ..." vzhledem k tomu, jak funguje stavova filtrace udp u iptables...
jestli ses tochu technictejsi typ, tak muzes vzit todle a predelat ten projekt z DNS NAT na DNS conntrack, protoze ja se k tomu jeste pekne dlouho nedostanu, kazdopadne docela slusny zaklad pro conntrack v podobe cteni dns paketu v jadre by tam byl.

13.8.2003 17:18 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

samozrejme jsem jeste zapomel -p udp --source-port 53, -p tcp --source-port 53 a s/source/destination/g, ze...

12.8.2003 23:46 Beda
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

povol port sluzby ident nebo auth, ci jak tomu kdo rika cislo tusim 11x kde x je nekde v <1,5> nebo to aspon zmen z DROP na neco rozzumenjsiho (REJECT)

13.8.2003 09:36 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Trochu se inspiruj http://soban.wz.cz/linux/firewall.html :-)

Pokud nepoužíváš autorizaci tak tam dej
# odmitne port 113 auth
/sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT
Potom to nebude čekat na timeout a mělo by to být rychlejší :-)

14.8.2003 21:41 Tomáš Vitha | skóre: 18
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Výchozí politiku chainů na DROP změníš takhle :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Založit nové vlákno • Nahoru

Tiskni Sdílej: