Přihlášení | Registrace

napište » Zprávičky

dnes 15:00 | Nová verze

Byla vydána nová verze 21.05.01 svobodného multiplatformního video editoru Shotcut (Wikipedie). Z novinek vývojáři zdůrazňují Time Remap. Shotcut je k dispozici také ve formátech AppImage, Flatpak a Snap.

Ladislav Hagara | Komentářů: 0

Generování a podepisování zóny .CZ nyní nově provádí Knot DNS

dnes 14:44 | IT novinky

Sdružení CZ.NIC, správce české národní domény, provedlo výměnu systémů pro generování zóny .CZ a její podepisování pomocí technologie DNSSEC. Od minulého týdne zajišťuje tyto procesy autoritativní server Knot DNS, který tak vystřídal DNS démona BIND a speciální interně vyvíjené podepisovací skripty. Podrobněji v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Android Studio 4.2

dnes 09:00 | Nová verze

Android Studio (Wikipedie), tj. oficiální integrované vývojové prostředí pro vývoj aplikací pro mobilní operační systém Android, bylo vydáno v nové stabilní verzi 4.2. Přehled novinek i s náhledy v oficiálním oznámení a také na YouTube.

Ladislav Hagara | Komentářů: 0

Ladění programů v C a C++ pomocí frameworku rr

včera 22:22 | Zajímavý článek

William Cohen publikoval na blogu Red Hat Developer článek Instant replay: Debugging C and C++ programs with rr věnovaný ladění programů v C a C++ pomocí nástroje a frameworku rr.

Ladislav Hagara | Komentářů: 0

21 bezpečnostních chyb v Eximu

včera 21:22 | Bezpečnostní upozornění

Společnost Qualys na svém blogu informuje o 21 bezpečnostních chybách v MTA Exim zneužitelných lokálně i vzdáleně. Některé z nich k získání práva roota. Detaily v 21nails.txt. Chyby jsou opraveny v upstream verzi 4.94.2.

Ladislav Hagara | Komentářů: 6

nginx nejrozšířenějším webovým serverem

včera 20:44 | IT novinky

Dle aktuálního žebříčků W3Techs je nginx nejrozšířenějším webovým serverem. Poprvé překonal Apache.

Ladislav Hagara | Komentářů: 0

Apache OpenOffice 4.1.10 řeší bezpečnostní chybu CVE-2021-30245

včera 17:11 | Bezpečnostní upozornění

Byla vydána nová verze 4.1.10 kancelářského balíku Apache OpenOffice. Řešena je především bezpečnostní chyba CVE-2021-30245. Kliknutí na odkaz (ne HTTP a HTTPS) může vést ke spuštění zákeřného kódu. Chyba je v OpenOffice (StarOffice/OpenOffice.org) od roku 2005.

Ladislav Hagara | Komentářů: 2

Trinity Desktop Environment (TDE) R14.0.10

včera 07:00 | Nová verze

Byla vydána verze R14.0.10 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5, Wikipedie). Přehled novinek v poznámkách k vydání. Podrobný přehled v Changelogu. Zdůraznit lze například dvě nové aplikace: KlamAV a Komposé.

Ladislav Hagara | Komentářů: 26

Warpinator pro Android. Linux Mint na Shells.com

3.5. 23:44 | Komunita

V rámci dubnových novinek v Linux Mintu bylo oznámeno, že grafická aplikace Warpinator umožňující snadný přenos souborů po lokální síti je vedle Flathubu pro jiné linuxové distribuce nově k dispozici také pro Android. Instalovat lze z Google Play. Vývoj tohoto na Linux Mintu nezávislého projektu probíhá na GitHubu. Linux Mint lze nově oficiálně provozovat na cloudové službě Shells.com.

Ladislav Hagara | Komentářů: 0

glxgears na Apple M1 GPU pomocí open source ovladače

3.5. 13:22 | Komunita

Alyssa Rosenzweig informuje o aktuálním stavu open source ovladače pro Apple M1 GPU. Po trojúhelníku a kostce na M1 běží už také glxgears. Ovladač je součástí upstream Mesa.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Transakční aktualizace

používám pro celý systém (např. OSTree nebo GuixSD/NixOS) (9%)

používám pouze pro aplikace (např. Guix/Nix nebo Snap) (4%)

řeším snapshoty souborového systému (7%)

nepoužívám, ale chci začít (2%)

nepoužívám a určitě nechci začít (12%)

neřeším (66%)

Celkem 82 hlasů

Komentářů: 0

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / pri pouziti iptables pomale odezvy

Štítky: DNS, firewally, HTML, Internet, iptables, KDE, NAT, sítě, SSH, web

Dotaz: pri pouziti iptables pomale odezvy

12.8.2003 23:30 keyem
pri pouziti iptables pomale odezvy

Přečteno: 81×

Odpovědět | Admin

dobry den,

mam v internetu server - jen jedna sitovka - rozhrani ven, proste klasicky server-housingovy server..

firewall jsem mel v umyslu postavit takhle:

iptables -P INPUT DROP

a pak povolit jen jednotlive sluzby:

iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -s x.x.x.x -d x.x.x.x -p tcp --dport 22 -j ACCEPT

atd atd.

problem je v tom, ze pravidla sice funguji dobre, delaji to co jsem chtel aby delaly, ale napr. pri prihlasovani pomoci ssh je prodleva pred login promptem strasne dlouha v porovnani s tim, jaka je bez firewallu.. urcite to neni hardwarem, ptz je dost hodne naslapnuty..

prosim poradte jak muzete

a jeste jeden dotaz, kdyz zmenim vychozi policy INPUT chainu na DROP a chci aby primo ze stroje slo vramci neho vsechno, musim zadavat tohle ? (x.x.x.x - je vnejsi IP toho serveru)

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d x.x.x.x/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d x.x.x.x/32 -j ACCEPT

a jeste posledni dotaz, jak muzu omezit provoz smerem ze serveru ? nemam na mysli rychlostne, ale spis odfiltrovat..

napr. kdyz bych chtel, aby se ze serveru dalo naconnectit jen na vzdalene porty 25 apod..

diky moc vsem zkusenejsim nez ja.. keyem

Nástroje: Začni sledovat (0) ?

Odpovědi

12.8.2003 23:43 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

ad x.x.x.x/32: dost úchylná metoda, jak specifikovat jednu IP -- proč to nepíšeš jen x.x.x.x? ad odezva: nevím, co máš v těch pravidlech dál, ale tipuji, že nemáš povolené v INPUT DNS odpovědi, takže ssh nemůže ověřit hostname počítače, ze kterého se přihlašuješ (a čeká na timeout) -- nebo něco v tom smyslu ad localhost: pakety křížem x.x.x.x <-> 127.0.0.1 by ti neměly chodit, takže je nepovoluj; můžeš jednoduše povolit vše na loopbacku (-i lo -j ACCEPT). a z x.x.x.x sám na sebe to můžeš chtít povolit, ale nemusí to být třeba, v každém případě to už je jen jedno pravidlo. ad provoz ze serveru: INPUT není jediný chain, zkus třeba OUTPUT ;-)

13.8.2003 00:27 keyem
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

jak mam teda povolit ty DNS odpovedi ? iptables -A INPUT -s dns_server_ip -d moje_ip --dport 53 -p udp -j ACCEPT je to tak ? diky

13.8.2003 09:38 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Povolím vše co navázal můj PC

# to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT

13.8.2003 10:47 cooler | skóre: 19 | Medzilaborce
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Proste povol len OUTPUT na destination port 53 a INPUT zo source port 53 ... myslim,ze by to malo fachat

13.8.2003 17:16 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

no protoze se pta ten serverhousingovej stroj(server sshd) u svyho dns serveru a protoze se nejspis pta po udp, tak je podle me uplne jedno, jestli tam das:

-s x.x.x.x -d d.n.s.x --state NEW -j ACCEPT
-s d.n.s.x -d x.x.x.x --state ESTABLISHED -j ACCEPT

nebo vypustis ty "--state ..." vzhledem k tomu, jak funguje stavova filtrace udp u iptables...
jestli ses tochu technictejsi typ, tak muzes vzit todle a predelat ten projekt z DNS NAT na DNS conntrack, protoze ja se k tomu jeste pekne dlouho nedostanu, kazdopadne docela slusny zaklad pro conntrack v podobe cteni dns paketu v jadre by tam byl.

13.8.2003 17:18 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

samozrejme jsem jeste zapomel -p udp --source-port 53, -p tcp --source-port 53 a s/source/destination/g, ze...

12.8.2003 23:46 Beda
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

povol port sluzby ident nebo auth, ci jak tomu kdo rika cislo tusim 11x kde x je nekde v <1,5> nebo to aspon zmen z DROP na neco rozzumenjsiho (REJECT)

13.8.2003 09:36 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Trochu se inspiruj http://soban.wz.cz/linux/firewall.html :-)

Pokud nepoužíváš autorizaci tak tam dej
# odmitne port 113 auth
/sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT
Potom to nebude čekat na timeout a mělo by to být rychlejší :-)

14.8.2003 21:41 Tomáš Vitha | skóre: 18
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Výchozí politiku chainů na DROP změníš takhle :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje