abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Intel propustí 15 % zaměstnanců a opouští plán na továrny v Německu a Polsku
    včera 19:55 | IT novinky

    Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.

    Ladislav Hagara | Komentářů: 14
    MDN slaví 20 let
    včera 17:33 | Komunita

    MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.

    Ladislav Hagara | Komentářů: 0
    Wayback 0.1
    včera 14:55 | Nová verze

    Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    Tails 6.18
    včera 13:33 | Nová verze

    Byla vydána nová verze 6.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově se lze k síti Tor připojit pomocí mostu WebTunnel. Tor Browser byl povýšen na verzi 14.5.5. Thunderbird na verzi 128.12.0. Další změny v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    Náramek pro ovládaní počítače využívající povrchovou elektromyografii
    24.7. 14:33 | IT novinky

    Meta představila prototyp náramku, který snímá elektrickou aktivity svalů (povrchová elektromyografie, EMG) a umožňuje jemnými gesty ruky a prstů ovládat počítač nebo různá zařízení. Získané datové sady emg2qwerty a emg2pose jsou open source.

    Ladislav Hagara | Komentářů: 1
    OPNsense 25.7 Visionary Viper
    24.7. 14:22 | Nová verze

    Byla vydána (𝕏) nová verze 25.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 25.7 je Visionary Viper. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    Před 40 lety byla představena první Amiga
    24.7. 13:33 | IT novinky

    Před 40 lety, 23. července 1985, společnost Commodore představila první počítač Amiga. Jednalo se o počítač "Amiga od Commodore", jenž byl později pojmenován Amiga 1000. Mělo se jednat o přímou konkurenci počítače Apple Macintosh uvedeného na trh v lednu 1984.

    Ladislav Hagara | Komentářů: 2
    T‑Mobile USA spustil službu T-Satellit
    24.7. 06:00 | IT novinky

    T‑Mobile USA ve spolupráci se Starlinkem spustil službu T-Satellite. Uživatelé služby mohou v odlehlých oblastech bez mobilního signálu aktuálně využívat satelitní síť s více než 650 satelity pro posílání a příjem zpráv, sdílení polohy, posílání zpráv na 911 a příjem upozornění, posílání obrázků a krátkých hlasových zpráv pomocí aplikace Zprávy Google. V plánu jsou také satelitní data.

    Ladislav Hagara | Komentářů: 9
    Proxmox věnoval 10 000 eur nadaci Perl a Raku
    23.7. 21:55 | Komunita

    Společnost Proxmox Server Solutions stojící za virtualizační platformou Proxmox Virtual Environment věnovala 10 000 eur nadaci The Perl and Raku Foundation (TPRF).

    Ladislav Hagara | Komentářů: 2
    Apache HTTP Server (httpd) 2.4.65 řeší bezpečnostní chybu CVE-2025-54090
    23.7. 21:22 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.65 svobodného multiplatformního webového serveru Apache (httpd). Řešena je bezpečnostní chyba CVE-2025-54090.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (26%)
     (5%)
     (5%)
     (5%)
     (2%)
     (2%)
     (27%)
    Celkem 132 hlasů
     Komentářů: 17, poslední dnes 20:08
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Pravidlo v optables funguje "jen občas"
    Štítky: DHCP, DNS, firewall, Internet, LAN, PC, RDP, Samba, server, sítě, VPN, www

    Dotaz: Pravidlo v optables funguje "jen občas"

    26.3.2015 12:52 jan.rok | skóre: 21
    Pravidlo v optables funguje "jen občas"
    Přečteno: 549×
    Dobrý den,

    zdědil jsem server s Debianem, který kromě dalších služeb slouží jako firewall. Jedno z pravidel umožňuje přístup z internetu na vzdálenou plochu PC s WinXP, který je ve vnitřní síti. Poslední dobou se začalo stávat, že toto připojení nefunguje ani zvenčí, ani z vnitřní LAN, resp. občas se připojit lze, jindy ne. Přitom oskenování portu 3389 je ok (jak z WAN, tak z LAN). Dotyčný PC s WinXP jsme zkusili v jiné síti, zde funguje přístup na RDP spolehlivě.

    Nevím, kde začít hledat chybu. Jak říkám, server nastavoval někdo jiný a běží na něm samba, www, firewall, dns, dhcp, vpn a je to hw nepříliš výkonný stroj.

    Prosím o radu, kde bych měl začít hledat chybu a jak to nějak otestovat. Bohužel je to stále za plného provozu.

    Díky, JR

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    26.3.2015 13:02 NN
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    tcpdump
    26.3.2015 13:19 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Zadal jsem:

    tcpdump dst port 3389

    a výsledkem při pokusu o připojení je:

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

    13:16:25.353876 IP ps.xxxxi.cz.63331 > server.yyyy.cz.3389: Flags [S], seq 32389133, win 8192, options [mss 1460,nop,nop,sackOK], length 0 13:16:25.357964 IP ps.xxxx.cz.63331 > server.yyyy.cz.3389: Flags [.], ack 738535585, win 17520, length 0 13:16:25.358914 IP ps.xxxx.cz.63331 > server.yyyy.cz.3389: Flags [P.], seq 0:47, ack 1, win 17520, length 47

    26.3.2015 14:28 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    k tomu tcpdumpu pripis aj interface, na kterem chces poslouchat. "-i eth0" treba

    Zkus postupne oba, pres ktere to leze... pakety by mely jit obema smery (dotaz - odpoved). Pokud na zarizeni smerem k cilove masine vidis taky jen pakety smerem k ni - je potizista tim smerem. Tcpdump na sitovkach posloucha pred pouzitim iptables na vstupu a az po pouziti iptables pri odchodu. Pokud uvidis paket smerem ven... muze byt potizista jinde.

    A je to v "normalni" siti nebo je tam i nat?
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    26.3.2015 14:47 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Zkusil jsem "-i eth0" a "-i eth1". Na té vnitřní kartě se mi zobrazuje název vnitřního PC: Univ02.yyyyy.cz. Tenhle název je ve vnitřní síti viditelný (odpoví na ping na 10.0.20.55).

    Ale zjistil jsem, že DNS A-záznam u providera je Univ02.yyyyy.cz na úplně cizí veřejnou IP adresu. Nemůže být problém v tom? Že požadavek na port 3389 pošle firewall do internetu místo do vnitřní sítě? Pak by pomohla úprava DNS záznamu.

    PS: NAT tam je.

    Ale jak jsem už psal: ono to vše fungovalo a se serverem snad nikdo nic nedělal. Taky jsem zjistil přes tcpdump, že je zde velmi mnoho pokusů o přihlášení na 3389 z různých zahraničních IP adres. Možná to server vytěžuje natolik, že na korektní pokus o přihlášení neodpoví (ale třeba ssh funguje svižně, kdežto RDP hodí chybu okamžitě).
    26.3.2015 17:52 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Tak pomalu. :-)

    Jak je postaveny ten nat?

    Ocekavam, ze je tam receno, ze pokud prijde paket na JEHO vnejsi eth na nejaky port, ma se prepsat a poslat nekam dal. Jak je to napsane. Ip adresou nebo nazvem? Pokud ip adresou, nema to "tu" vliv. Pokud nazvem, zalezi jak to (odkud) preklada ten router.

    U tcpdumpu ses mel hlavne podivat, jestli ten paket jde i zpet (odpoved). Ne jen "tam". Protoze pokud jde jen tam a ne zpet, tj. z routeru Ti odejde a "nekde" zmizi... nemuze za to router. (pokud je cilova masina pretizena... muze to byt ten pripad)

    A k tomu pretezovani ... no muze. Co s temi pakety dela ten router? Posila to vsechno na dotycnou masinu? Kolik je "velmi mnoho" ? :-)

    Jako pokusne opatreni muzes zmenit ten vstupni port na neco velmi vysokeho - atypickeho. (je pak samozrejme potreba upravit nejen pravidlo ve forward, ale i ten dnat (v prerouting) ) A nasledne se pak spojovat na ten vyssi port. Zmena jen na routeru a na stanici, ktera se pripojuje z venku.

    Dalsi moznost je nastartovat openvpn nebo neco podobneho a tyhle "oblibene" sluzby schovat mimo zraky zvedave verejnosti. Zkouseni cizich klicu je vetsinou mene primocare nez zkouseni databaze hesel. :-)

    Pripadne, jestli to je tim pretezovanim, muzes docasne pristup zvenku zakazat uplne, jestli se alespon lokalne pujde pripojit.
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    26.3.2015 19:23 j
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Tuhle mas reseni: 
    -A FORWARD -p tcp -d 10.10.10.10 --dport 3389 -i eth0 -m conntrack --ctstate NEW -m recent --set
-A FORWARD -p tcp -d 10.10.10.10 --dport 3389 -i eth0 -m conntrack --ctstate NEW -m recent --update --seconds 3600 --hitcount 20 -j DROP
    Ty pakety co ti dou na to rdpcko, ti dost pravdepodobne na 100% zatezujou CPU toho stroje a tudiz se jaksi nelognes. Staci jich na to par, radove 10/s bohate.

    Proc prave 20? Mno je to maximum ... ;D, a predevsim proto, ze RDPcko posle na kazdej pokus o pripojeni pakety 3 => tohle ti umozni max 6 pokusu a pak IPcko zabanuje. V tomhle pripade na hodinu.
    26.3.2015 13:53 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    To pravidlo vypadá takto:

    -A FORWARD -d 10.0.20.55/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
    26.3.2015 17:46 Filip Jirsák
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Tohle pravidlo pustí pakety jen jedním směrem. Ještě tam někde musíte mít pravidlo pro opačný směr.
    26.3.2015 17:52 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Celý výpis vypadá takto: 
    Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  85.119.64.30         anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-dgm
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spts:bootps:bootpc dpts:bootps:bootpc
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:5900:5920
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:openvpn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:nfs
ACCEPT     udp  --  anywhere             anywhere            udp dpt:nfs
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:sunrpc
ACCEPT     udp  --  anywhere             anywhere            udp dpt:tftp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:57440
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spts:bootps:bootpc dpts:bootps:bootpc
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-dgm
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4080
ACCEPT     icmp --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
INTBLOCK   all  --  anywhere             anywhere            MAC 80:1F:02:9A:FE:65
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             Univ02.yyyyy.cz tcp dpt:3389
ACCEPT     tcp  --  anywhere             10.0.20.125         tcp dpt:gnutella-svc
ACCEPT     udp  --  anywhere             10.0.20.125         udp dpt:gnutella-svc
ACCEPT     tcp  --  anywhere             universetap002      tcp dpt:25565
ACCEPT     tcp  --  anywhere             10.0.20.145
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain INTBLOCK (1 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp dpt:www
DROP       tcp  --  anywhere             anywhere            tcp dpt:https
    26.3.2015 18:40 Filip Jirsák
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    To není celý výpis, nejsou tam vypsána rozhraní, která podle předchozího příkladu evidentně používáte. Použijte výpis iptables -nvL --line-numbers - přidá se tam sloupec s rozhraním, adresy a porty budou číselné, a jednotlivá pravidla budou očíslovaná, takže se na ně dá odkazovat.
    26.3.2015 19:26 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas" 
    sudo iptables -nvL --line-numbers
Chain INPUT (policy DROP 27406 packets, 1438K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     587K  291M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2     1919  148K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3        0     0 DROP       tcp  --  eth0   *       85.119.64.30         0.0.0.0/0
4      390 23436 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
5      152  8212 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
6        0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194
7        0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
8    73009 3795K ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
9        0     0 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           icmp type 0
10       4   378 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           icmp type 3
11      60  3848 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           icmp type 8
12       0     0 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           icmp type 11
13       0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
14      74  3720 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
15     351 28242 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp dpt:137
16     475  120K ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp dpt:138
17      10   480 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:139
18       7   536 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:445
19    1975  128K ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
20      84 27836 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp spts:67:68 dpts:67:68
21       0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpts:5900:5920
22       0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1194
23       0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
24       0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2049
25       0     0 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp dpt:2049
26       0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:111
27       0     0 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp dpt:69
28       0     0 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp dpt:57440
29       0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128
30      11   532 ACCEPT     icmp --  eth1   *       0.0.0.0/0            0.0.0.0/0
31       0     0 ACCEPT     tcp  --  eth1.10 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
32       0     0 ACCEPT     tcp  --  eth1.10 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
33       0     0 ACCEPT     udp  --  eth1.10 *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
34       0     0 ACCEPT     udp  --  eth1.10 *       0.0.0.0/0            0.0.0.0/0           udp spts:67:68 dpts:67:68
35       0     0 ACCEPT     icmp --  eth1.10 *       0.0.0.0/0            0.0.0.0/0
36      65 13518 ACCEPT     all  --  eth1.2 *       0.0.0.0/0            0.0.0.0/0
37     110 28353 ACCEPT     all  --  eth1.5 *       0.0.0.0/0            0.0.0.0/0
38       0     0 ACCEPT     tcp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
39      32  3072 ACCEPT     udp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:137
40      55 12965 ACCEPT     udp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:138
41       0     0 ACCEPT     tcp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:139
42       0     0 ACCEPT     tcp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:445
43       0     0 ACCEPT     udp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
44       0     0 ACCEPT     tcp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
45       0     0 ACCEPT     tcp  --  tap0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4080
46       0     0 ACCEPT     icmp --  tap0   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 INTBLOCK   all  --  *      *       0.0.0.0/0            0.0.0.0/0           MAC 80:1F:02:9A:FE:65
2    1356K 1744M ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3        0     0 ACCEPT     all  --  eth0   eth1.10  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
4        0     0 ACCEPT     all  --  tap0   eth0    0.0.0.0/0            0.0.0.0/0
5     983K   61M ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     all  --  eth1.10 eth0    0.0.0.0/0            0.0.0.0/0
7    19558 1017K ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            10.0.20.55          tcp dpt:3389
8        0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            10.0.20.125         tcp dpt:6346
9        0     0 ACCEPT     udp  --  eth0   eth1    0.0.0.0/0            10.0.20.125         udp dpt:6346
10       0     0 ACCEPT     tcp  --  eth0   tap0    0.0.0.0/0            10.8.0.2            tcp dpt:25565
11       0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            10.0.20.145
12       0     0 ACCEPT     all  --  tap0   eth1    0.0.0.0/0            0.0.0.0/0
13       0     0 ACCEPT     all  --  eth1   tap0    0.0.0.0/0            0.0.0.0/0
14       0     0 ACCEPT     all  --  eth1   eth1.2  0.0.0.0/0            0.0.0.0/0
15       0     0 ACCEPT     all  --  eth1.2 eth1    0.0.0.0/0            0.0.0.0/0
16       0     0 ACCEPT     all  --  tap0   eth1.2  0.0.0.0/0            0.0.0.0/0
17       0     0 ACCEPT     all  --  eth1.2 tap0    0.0.0.0/0            0.0.0.0/0
18       0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            10.0.20.55          tcp dpt:43389

Chain OUTPUT (policy ACCEPT 140K packets, 32M bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain INTBLOCK (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2        0     0 DROP       tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    26.3.2015 20:06 Filip Jirsák
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    RDP pro 10.0.20.55 tedy povolují pravidla 7 a 5 ve FORWARDu. Tahle pravidla určitě fungují pořád a v nich problém není. Není tady vidět NAT, ale problém bych hledal jinde, než ve firewallu.
    26.3.2015 20:15 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Prověřím zítra a určitě sem napíšu výsledek. Díky.
    26.3.2015 19:32 j
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    A ten stroj je jak a kde pripojen? Tahle adresa je totiz privatni a rozhodne to neni NAT.

    Nahod sem

    iptables -nvL -t nat && ip ad ls
    26.3.2015 19:41 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Omlouvám se, tu předchozí odpověď jsem neviděl.

    Když jsem tcpdumpem hlídal port 3389, je tam jedno připojení za druhým z nějakých asijských adres. Takže nejprve prohlídnu znovu tu stanici - je možné, že je příčina právě v 
    Ty pakety co ti dou na to rdpcko, ti dost pravdepodobne na 100% zatezujou CPU toho stroje a tudiz se jaksi nelognes. Staci jich na to par, radove 10/s bohate.

Proc prave 20? Mno je to maximum ... ;D, a predevsim proto, ze RDPcko posle na kazdej pokus o pripojeni pakety 3 => tohle ti umozni max 6 pokusu a pak IPcko zabanuje. V tomhle pripade na hodinu.
    27.3.2015 11:19 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    Problém vyřešen. Příčinou problémů bylo napadení veřejné IP adresy a portu 3389. Server s iptables v tom byl nevinně.

    Děkuji všem, co mi zde poradili.

    J.R.
    alles32 avatar 28.3.2015 11:00 alles32 | skóre: 15 | Evropa
    Rozbalit Rozbalit vše Re: Pravidlo v optables funguje "jen občas"
    pic

    podle me je dobry mit systemy dostupny zvenci oddeleny v dmz a stary windows se starym rdp otevrit pouze do vpnky.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.