Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 03:11 | Zajímavý software

Vývojář Alexandre Gomes Gaigalas na GitHubu zveřejnil c89cc.sh, parser a kompilátor jazyka C89 napsaný v pouhém jediném skriptu o přibližně 8000 řádcích čistého bashe (bez dalších externích závislostí), který generuje ELF64 binárky pro x86-64. Jedná se o velmi jednoduchý kompilátor, který nepodporuje direktivy #include a dokonce ani funkci printf (lze použít puts), všechny dostupné deklarace lze nalézt v proměnné _BUILTIN_LIBC na konci skriptu. Skript je volně dostupný pod ISC licencí.

» FIDESZ🧡! « | Komentářů: 4

Francouzská vláda přechází na Linux

včera 23:33 | Nasazení Linuxu

Francouzská vláda oznámila, že v rámci strategie 'digitální suverenity' zahájí 'přechod od systému Windows k počítačům s operačním systémem Linux' (sa sortie de Windows au profit de postes sous système d'exploitation Linux). DINUM (meziresortní ředitelství pro digitální technologie) požádalo ministerstva, aby do podzimu 2026 vypracovaly konkrétní plány nasazení Linuxu. Francie již dříve migrovala části státní správy na otevřená řešení.

» FIDESZ🧡! « | Komentářů: 2

Electronic Frontier Foundation (EFF) opouští platformu X (dříve Twitter)

včera 05:22 | IT novinky

Nezisková organizace Electronic Frontier Foundation (EFF) hájící občanské svobody v digitálním světě po téměř 20 letech opouští platformu X (dříve Twitter). Na platformách Bluesky, Mastodon, LinkedIn, Instagram, TikTok, Facebook, Threads a YouTube zůstává.

Ladislav Hagara | Komentářů: 5

GNU nano 9.0

včera 03:33 | Nová verze

Terminálový textový editor GNU nano byl vydán ve verzi 9.0. Vylepšuje chování horizontálního posouvání pohledu na dlouhé řádky a chování některých klávesových zkratek. Více v seznamu změn.

|🇵🇸 | Komentářů: 0

Předvyplnění daňového přiznání pomocí umělé inteligence

9.4. 19:22 | IT novinky

Ministerstvo financí ve spolupráci s finanční správou dnes představilo beta verzi aplikace využívající umělou inteligenci pro předvyplnění daňového přiznání. Není třeba přepisovat údaje z různých potvrzení, ani hledat správné řádky, kam údaje napsat. Stačí nahrát dokumenty a využít AI.

Ladislav Hagara | Komentářů: 7

Veřejně dostupná schémata periferií Keychron

9.4. 18:33 | Zajímavý projekt

Výrobce počítačových periferií Keychron zveřejnil repozitář se schématy šasi klávesnic a myší. Licence je restriktivní, zakazuje většinu komerčních užití a v podstatě jsou tak data vhodná pouze pro výukové účely, hlášení a opravy chyb, případně výrobu vlastního příslušenství.

|🇵🇸 | Komentářů: 5

APT 3.2

9.4. 18:22 | Nová verze

Správce balíčků APT, používaný v Debianu a odvozených distribucích, byl vydán ve verzi 3.2 (seznam změn). Mezi novinkami figurují nové příkazy pro práci s historií, včetně vracení transakcí.

|🇵🇸 | Komentářů: 0

Projekt Glasswing a s ní související AI model Claude Mythos Preview

9.4. 14:33 | IT novinky

Společnost Anthropic oznámila Projekt Glasswing a s ní související AI model Claude Mythos Preview. Jedná se o iniciativu zaměřenou na kybernetickou bezpečnost, do které se zapojily velké technologické společnosti Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA a Palo Alto Networks. Anthropic věří, že nový AI model Claude Mythos Preview dokáže

… více »

Ladislav Hagara | Komentářů: 2

Little Snitch pro Linux a zdarma

9.4. 13:55 | Zajímavý software

Firma Ojective Development vydala svůj nástroj pro monitorování a řízení odchozích síťových připojení Little Snitch i pro operační systém Linux. Linuxová verze se skládá ze tří komponent: eBPF program pro zachytávání provozu a webové rozhraní jsou uvolněny pod GNU GPLv2 a dostupné na GitHubu (převážně Rust a JavaScript), jádro backendu je proprietární pod vlastní licencí, nicméně zdarma k použití a redistribuci (cena přitom normálně … více »

» FIDESZ🧡! « | Komentářů: 1

Vojenské zpravodajství se zapojilo do akce proti ruským hackerům, ovládli routery

8.4. 18:44 | IT novinky

Vojenské zpravodajství (VZ) se v březnu zapojilo do mezinárodní operace proti aktivitám hackerské skupiny APT28, která je spojovaná s ruskou vojenskou zpravodajskou službou GRU a která přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v ČR i zahraničí. Operaci vedl americký Federální úřad pro vyšetřování (FBI) a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně … více »

Ladislav Hagara | Komentářů: 47

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / pri pouziti iptables pomale odezvy

Štítky: DNS, firewally, HTML, Internet, iptables, KDE, NAT, sítě, SSH, web

Dotaz: pri pouziti iptables pomale odezvy

12.8.2003 23:30 keyem
pri pouziti iptables pomale odezvy

Přečteno: 146×

Odpovědět | Admin

dobry den,

mam v internetu server - jen jedna sitovka - rozhrani ven, proste klasicky server-housingovy server..

firewall jsem mel v umyslu postavit takhle:

iptables -P INPUT DROP

a pak povolit jen jednotlive sluzby:

iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -s x.x.x.x -d x.x.x.x -p tcp --dport 22 -j ACCEPT

atd atd.

problem je v tom, ze pravidla sice funguji dobre, delaji to co jsem chtel aby delaly, ale napr. pri prihlasovani pomoci ssh je prodleva pred login promptem strasne dlouha v porovnani s tim, jaka je bez firewallu.. urcite to neni hardwarem, ptz je dost hodne naslapnuty..

prosim poradte jak muzete

a jeste jeden dotaz, kdyz zmenim vychozi policy INPUT chainu na DROP a chci aby primo ze stroje slo vramci neho vsechno, musim zadavat tohle ? (x.x.x.x - je vnejsi IP toho serveru)

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d x.x.x.x/32 -j ACCEPT

/sbin/iptables -A INPUT -s x.x.x.x/32 -d 127.0.0.1/32 -j ACCEPT

/sbin/iptables -A INPUT -s 127.0.0.1/32 -d x.x.x.x/32 -j ACCEPT

a jeste posledni dotaz, jak muzu omezit provoz smerem ze serveru ? nemam na mysli rychlostne, ale spis odfiltrovat..

napr. kdyz bych chtel, aby se ze serveru dalo naconnectit jen na vzdalene porty 25 apod..

diky moc vsem zkusenejsim nez ja.. keyem

Nástroje: Začni sledovat (0) ?

Odpovědi

12.8.2003 23:43 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

ad x.x.x.x/32: dost úchylná metoda, jak specifikovat jednu IP -- proč to nepíšeš jen x.x.x.x? ad odezva: nevím, co máš v těch pravidlech dál, ale tipuji, že nemáš povolené v INPUT DNS odpovědi, takže ssh nemůže ověřit hostname počítače, ze kterého se přihlašuješ (a čeká na timeout) -- nebo něco v tom smyslu ad localhost: pakety křížem x.x.x.x <-> 127.0.0.1 by ti neměly chodit, takže je nepovoluj; můžeš jednoduše povolit vše na loopbacku (-i lo -j ACCEPT). a z x.x.x.x sám na sebe to můžeš chtít povolit, ale nemusí to být třeba, v každém případě to už je jen jedno pravidlo. ad provoz ze serveru: INPUT není jediný chain, zkus třeba OUTPUT ;-)

13.8.2003 00:27 keyem
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

jak mam teda povolit ty DNS odpovedi ? iptables -A INPUT -s dns_server_ip -d moje_ip --dport 53 -p udp -j ACCEPT je to tak ? diky

13.8.2003 09:38 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Povolím vše co navázal můj PC

# to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT

13.8.2003 10:47 cooler | skóre: 19 | Medzilaborce
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Proste povol len OUTPUT na destination port 53 a INPUT zo source port 53 ... myslim,ze by to malo fachat

13.8.2003 17:16 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

no protoze se pta ten serverhousingovej stroj(server sshd) u svyho dns serveru a protoze se nejspis pta po udp, tak je podle me uplne jedno, jestli tam das:

-s x.x.x.x -d d.n.s.x --state NEW -j ACCEPT
-s d.n.s.x -d x.x.x.x --state ESTABLISHED -j ACCEPT

nebo vypustis ty "--state ..." vzhledem k tomu, jak funguje stavova filtrace udp u iptables...
jestli ses tochu technictejsi typ, tak muzes vzit todle a predelat ten projekt z DNS NAT na DNS conntrack, protoze ja se k tomu jeste pekne dlouho nedostanu, kazdopadne docela slusny zaklad pro conntrack v podobe cteni dns paketu v jadre by tam byl.

13.8.2003 17:18 asdf
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

samozrejme jsem jeste zapomel -p udp --source-port 53, -p tcp --source-port 53 a s/source/destination/g, ze...

12.8.2003 23:46 Beda
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

povol port sluzby ident nebo auth, ci jak tomu kdo rika cislo tusim 11x kde x je nekde v <1,5> nebo to aspon zmen z DROP na neco rozzumenjsiho (REJECT)

13.8.2003 09:36 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Trochu se inspiruj http://soban.wz.cz/linux/firewall.html :-)

Pokud nepoužíváš autorizaci tak tam dej
# odmitne port 113 auth
/sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT
Potom to nebude čekat na timeout a mělo by to být rychlejší :-)

14.8.2003 21:41 Tomáš Vitha | skóre: 18
Rozbalit Rozbalit vše pri pouziti iptables pomale odezvy

Výchozí politiku chainů na DROP změníš takhle :

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Založit nové vlákno • Nahoru

Tiskni Sdílej: