abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    AlmaLinux OS 10.1
    dnes 05:00 | Nová verze

    Byl vydán AlmaLinux OS 10.1 s kódovým názvem Heliotrope Lion. S podporou Btrfs. Podrobnosti v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Služba Mozilla Monitor Plus bude 17. prosince ukončena
    dnes 04:33 | Komunita

    Placená služba prohledávání zprostředkovatelů dat a automatického odstraňování uniklých osobních údajů Mozilla Monitor Plus bude 17. prosince ukončena. Bezplatná monitorovací služba Mozilla Monitor bude i nadále poskytovat okamžitá upozornění a podrobné pokyny k omezení rizik úniku dat. Služba Mozilla Monitor Plus byla představena v únoru loňského roku.

    Ladislav Hagara | Komentářů: 0
    Waydroid 1.6.0
    včera 22:44 | Nová verze

    Waydroid (Wikipedie, GitHub) byl vydán v nové verzi 1.6.0. Waydroid umožňuje spouštět aplikace pro Android na běžných linuxových distribucích. Běhové prostředí vychází z LineageOS.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi Imager 2.0
    včera 15:44 | Nová verze

    Příspěvek na blogu Raspberry Pi představuje novou kompletně přepracovanou verzi 2.0 aplikace Raspberry Pi Imager (YouTube) pro stažení, nakonfigurování a zapsání obrazu operačního systému pro Raspberry Pi na SD kartu. Z novinek lze vypíchnout volitelnou konfiguraci Raspberry Pi Connect.

    Ladislav Hagara | Komentářů: 2
    Memtest86+ 8.00
    včera 11:22 | Nová verze

    Memtest86+ (Wikipedie), svobodný nástroj pro kontrolu operační paměti, byl vydán ve verzi 8.00. Přináší podporu nejnovějších procesorů Intel a AMD nebo také tmavý režim.

    Ladislav Hagara | Komentářů: 0
    Racket 9.0
    včera 10:55 | Nová verze

    Programovací jazyk Racket (Wikipedie), tj. jazyk z rodiny jazyků Lisp a potomek jazyka Scheme, byl vydán v nové major verzi 9.0. Hlavní novinku jsou paralelní vlákna (Parallel Threads).

    Ladislav Hagara | Komentářů: 0
    Arduino ke změnám podmínek používání a zásad ochrany osobních údajů
    včera 10:11 | Komunita

    Před šesti týdny bylo oznámeno, že Qualcomm kupuje Arduino. Minulý týden byly na stránkách Arduina aktualizovány podmínky používání a zásady ochrany osobních údajů. Objevily se obavy, že by otevřená povaha Arduina mohla být ohrožena. Arduino ubezpečuje, že se nic nemění a například omezení reverzního inženýrství v podmínkách používání se týká pouze SaaS cloudové aplikace.

    Ladislav Hagara | Komentářů: 0
    libpng 1.6.51 opravuje 4 bezpečnostní chyby
    23.11. 13:33 | Bezpečnostní upozornění

    Knihovna libpng, tj. oficiální referenční knihovna grafického formátu PNG (Portable Network Graphics), byla vydána ve verzi 1.6.51. Opraveny jsou 4 bezpečnostní chyby obsaženy ve verzích 1.6.0 (vydána 14. února 2013) až 1.6.50. Nejvážnější z chyb CVE-2025-65018 může vést ke spuštění libovolného kódu.

    Ladislav Hagara | Komentářů: 10
    Raspberry Pi Official Magazine 159
    23.11. 12:22 | Zajímavý článek

    Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 159 (pdf).

    Ladislav Hagara | Komentářů: 0
    Hra Warhammer: Vermintide 2 na Steamu zdarma napořád
    21.11. 22:33 | Zajímavý software

    Hru Warhammer: Vermintide 2 (ProtonDB) lze na Steamu získat zdarma napořád, když aktivaci provedete do pondělí 24. listopadu.

    Ladislav Hagara | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (46%)
     (19%)
     (18%)
     (22%)
     (15%)
     (23%)
     (16%)
     (17%)
    Celkem 396 hlasů
     Komentářů: 17, poslední 19.11. 21:57
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / pri pouziti iptables pomale odezvy
    Štítky: DNS, firewally, HTML, Internet, iptables, KDE, NAT, sítě, SSH, web

    Dotaz: pri pouziti iptables pomale odezvy

    12.8.2003 23:30 keyem
    pri pouziti iptables pomale odezvy
    Přečteno: 131×
    dobry den,

    mam v internetu server - jen jedna sitovka - rozhrani ven, proste klasicky server-housingovy server..

    firewall jsem mel v umyslu postavit takhle:

    iptables -P INPUT DROP

    a pak povolit jen jednotlive sluzby:

    iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 80 -j ACCEPT

    iptables -A INPUT -s x.x.x.x -d x.x.x.x -p tcp --dport 22 -j ACCEPT

    atd atd.

    problem je v tom, ze pravidla sice funguji dobre, delaji to co jsem chtel aby delaly, ale napr. pri prihlasovani pomoci ssh je prodleva pred login promptem strasne dlouha v porovnani s tim, jaka je bez firewallu.. urcite to neni hardwarem, ptz je dost hodne naslapnuty..

    prosim poradte jak muzete

    a jeste jeden dotaz, kdyz zmenim vychozi policy INPUT chainu na DROP a chci aby primo ze stroje slo vramci neho vsechno, musim zadavat tohle ? (x.x.x.x - je vnejsi IP toho serveru)

    /sbin/iptables -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT

    /sbin/iptables -A INPUT -s x.x.x.x/32 -d x.x.x.x/32 -j ACCEPT

    /sbin/iptables -A INPUT -s x.x.x.x/32 -d 127.0.0.1/32 -j ACCEPT

    /sbin/iptables -A INPUT -s 127.0.0.1/32 -d x.x.x.x/32 -j ACCEPT

    a jeste posledni dotaz, jak muzu omezit provoz smerem ze serveru ? nemam na mysli rychlostne, ale spis odfiltrovat..

    napr. kdyz bych chtel, aby se ze serveru dalo naconnectit jen na vzdalene porty 25 apod..

    diky moc vsem zkusenejsim nez ja.. keyem
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    12.8.2003 23:43 unchallenger | skóre: 69 | blog: unchallenger
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    ad x.x.x.x/32: dost úchylná metoda, jak specifikovat jednu IP -- proč to nepíšeš jen x.x.x.x? ad odezva: nevím, co máš v těch pravidlech dál, ale tipuji, že nemáš povolené v INPUT DNS odpovědi, takže ssh nemůže ověřit hostname počítače, ze kterého se přihlašuješ (a čeká na timeout) -- nebo něco v tom smyslu ad localhost: pakety křížem x.x.x.x <-> 127.0.0.1 by ti neměly chodit, takže je nepovoluj; můžeš jednoduše povolit vše na loopbacku (-i lo -j ACCEPT). a z x.x.x.x sám na sebe to můžeš chtít povolit, ale nemusí to být třeba, v každém případě to už je jen jedno pravidlo. ad provoz ze serveru: INPUT není jediný chain, zkus třeba OUTPUT ;-)
    13.8.2003 00:27 keyem
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    jak mam teda povolit ty DNS odpovedi ? iptables -A INPUT -s dns_server_ip -d moje_ip --dport 53 -p udp -j ACCEPT je to tak ? diky
    13.8.2003 09:38 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    Povolím vše co navázal můj PC 
    # to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT
    cooler avatar 13.8.2003 10:47 cooler | skóre: 19 | Medzilaborce
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    Proste povol len OUTPUT na destination port 53 a INPUT zo source port 53 ... myslim,ze by to malo fachat
    13.8.2003 17:16 asdf
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

    no protoze se pta ten serverhousingovej stroj(server sshd) u svyho dns serveru a protoze se nejspis pta po udp, tak je podle me uplne jedno, jestli tam das: 

    -s x.x.x.x -d d.n.s.x --state NEW -j ACCEPT
-s d.n.s.x -d x.x.x.x --state ESTABLISHED -j ACCEPT

    nebo vypustis ty "--state ..." vzhledem k tomu, jak funguje stavova filtrace udp u iptables...
    jestli ses tochu technictejsi typ, tak muzes vzit todle a predelat ten projekt z DNS NAT na DNS conntrack, protoze ja se k tomu jeste pekne dlouho nedostanu, kazdopadne docela slusny zaklad pro conntrack v podobe cteni dns paketu v jadre by tam byl.

    13.8.2003 17:18 asdf
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    samozrejme jsem jeste zapomel -p udp --source-port 53, -p tcp --source-port 53 a s/source/destination/g, ze...
    12.8.2003 23:46 Beda
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    povol port sluzby ident nebo auth, ci jak tomu kdo rika cislo tusim 11x kde x je nekde v <1,5> nebo to aspon zmen z DROP na neco rozzumenjsiho (REJECT)
    13.8.2003 09:36 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    Trochu se inspiruj http://soban.wz.cz/linux/firewall.html :-) Pokud nepoužíváš autorizaci tak tam dej
    # odmitne port 113 auth
    /sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT
    Potom to nebude čekat na timeout a mělo by to být rychlejší :-)
    14.8.2003 21:41 Tomáš Vitha | skóre: 18
    Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy
    Výchozí politiku chainů na DROP změníš takhle : 
    iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.