Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 13:00 | Humor

OpenChaos.dev je 'samovolně se vyvíjející open source projekt' s nedefinovaným cílem. Každý týden mohou lidé hlasovat o návrzích (pull requestech), přičemž vítězný návrh se integruje do kódu projektu (repozitář na GitHubu). Hlasováním je možné změnit téměř vše, včetně tohoto pravidla. Hlasování končí vždy v neděli v 9:00 UTC.

NUKE GAZA! 🎆 | Komentářů: 1

Debian 13.3 a 12.13

dnes 03:00 | Nová verze

Byl vydán Debian 13.3, tj. třetí opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.13, tj. třináctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0

Podělte se o svůj názor s Evropskou komisí: Evropské otevřené digitální ekosystémy

včera 03:00 | Komunita

Na stránkách Evropské komise, na portálu Podělte se o svůj názor, se lze do 3. února podělit o názor k iniciativě Evropské otevřené digitální ekosystémy řešící přístup EU k otevřenému softwaru.

Ladislav Hagara | Komentářů: 6

Orion pro Linux v alfa verzi

9.1. 19:44 | Zajímavý software

Společnost Kagi stojící za stejnojmenným placeným vyhledávačem vydala (𝕏) alfa verzi linuxové verze (flatpak) svého proprietárního webového prohlížeče Orion.

Ladislav Hagara | Komentářů: 4

Bose uvolnila API starších reproduktorů

9.1. 19:11 | IT novinky

Firma Bose se po tlaku uživatelů rozhodla, že otevře API svých chytrých reproduktorů SoundTouch, což umožní pokračovat v jejich používání i po plánovaném ukončení podpory v letošním roce. Pro ovládání také bude stále možné využívat oficiální aplikaci, ale už pouze lokálně bez cloudových služeb. Dokumentace API dostupná zde (soubor PDF).

NUKE GAZA! 🎆 | Komentářů: 2

AdGuard Home: domácí ochrana nejen před reklamou

9.1. 14:22 | Zajímavý článek

Jiří Eischmann se v příspěvku na svém blogu rozepsal o open source AdGuard Home jako domácí ochraně nejen před reklamou. Adguard Home není plnohodnotným DNS resolverem, funguje jako DNS forwarder s možností filtrování. To znamená, že když přijme DNS dotaz, sám na něj neodpoví, ale přepošle ho na vybraný DNS server a odpovědi zpracovává a filtruje dle nastavených pravidel a následně posílá zpět klientům. Dá se tedy používat k blokování reklamy a škodlivých stránek a k rodičovské kontrole na úrovni DNS.

Ladislav Hagara | Komentářů: 7

Claude Code lépe rozumí frameworku Nette

9.1. 03:33 | Zajímavý software

AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.

Ladislav Hagara | Komentářů: 1

Visual Studio Code a VSCodium 1.108

9.1. 00:11 | Nová verze

Byla vydána prosincová aktualizace aneb nová verze 1.108 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.108 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Notebook s plazmovým chlazením

8.1. 20:44 | IT novinky

Na lasvegaském veletrhu elektroniky CES byl předveden prototyp notebooku chlazeného pomocí plazmových aktuátorů (DBD). Ačkoliv se nejedná o první nápad svého druhu, nepochybně to je první ukázka praktického použití tohoto způsobu chlazení v běžné elektronice. Co činí plazmové chladící akční členy technologickou výzvou je především vysoká produkce jedovatého ozonu, tu se prý podařilo firmě YPlasma zredukovat dielektrickou

… více »

NUKE GAZA! 🎆 | Komentářů: 14

Patchouli, open source implementace EMR grafického tabletu

8.1. 16:33 | Zajímavý projekt

Patchouli je open source implementace EMR grafického tabletu (polohovací zařízení). Projekt je hostován na GitLabu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 8, poslední včera 23:18

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Iptables, zakázať apache prístup na porty postfixu

Štítky: Apache, firewally, iptables, MTA, output, pěkné, Postfix, TCP

Dotaz: Iptables, zakázať apache prístup na porty postfixu

21.4.2015 20:12 Peter
Iptables, zakázať apache prístup na porty postfixu

Přečteno: 478×

Odpovědět | Admin

Dobrý deň vám prajem.

Na jednom serveri mám nainštalovaný apache aj postfix a potrebujem zakázať aby apache (samozrejme pomocou php) mohol posielať maily či už cez ten lokálny postfix alebo cez hocijaký iný. Preto mám otázku či bude stačiť toto:

iptables --policy OUTPUT DROP
iptables --table filter --append OUTPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
iptables --table filter --append OUTPUT --match state --state INVALID --jump DROP
iptables --table filter --append OUTPUT --protocol TCP --match multiport --destination-port 25,465,587 --match owner --uid-owner 48 --jump DROP
iptables --table filter --append OUTPUT --jump ACCEPT

Vopred vám veľmi pekne ďakujem za odpovede.

Nástroje: Začni sledovat (0) ?

Odpovědi

21.4.2015 21:46 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Vzhledem k tomu, ze PHP vola binarku sendmail, Ti hrani s firewallem moc nepomuze. Viz sendmail_path v php.ini.

21.4.2015 22:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Je-li takhle nakonfigurovaný (což na linuxu IIRC defaultně je), tak to naopak znamená, že tazatel žádné hraní s firewallem nepotřebuje.

21.4.2015 23:26 Peter
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Toto som trošičku nepochopil

22.4.2015 08:35 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Pokud to PHP posílá pomocí /usr/bin/sendmail, tak ten je s největší pravděpodobností (nemáte-li nainstalovaných víc MTA současně, což nedává moc smysl) součástí právě toho postfixu a řídí se jeho konfigurací.

22.4.2015 10:47 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Omlouvám se, nějak jsem se zamotal v původním dotazu, pochopil jsem ho tak, že jde o to, aby z PHP skriptů šlo odesílat maily jen prostřednictvím postfixu (kde jsou třeba nějaké kontroly a politiky) a ne jakkoli jinak (čímž by se obešly). Pokud jde o to, aby mail nešlo poslat vůbec, tak se toho samozřejmě bude muset pozakazovat víc.

21.4.2015 23:29 Peter
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Funkciu mail mám zakázanu. A neviem o inej možnosti než použiť nejakú SMTP knižnicu, ale to, že o nej neviem neznamená, že neexistuje, preto sa pýtam.

22.4.2015 08:39 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Samozřejmě že existuje. Stačí navázat rovnou TCP spojení a SMTP komunikaci implementovat sám. Protokol není až tak složitý a pokud potřebujete jen poslat e-mail, je to v podstatě úplně triviální.

Spíš bych zpochybnil ten navrhovaný přístup ve stylu "chci zakázat navazovat TCP spojení na port 25 uživateli, pod kterým běží Apache". Místo toho bych doporučil povolit navazování takových spojení právě jen tomu postfixu a nikomu jinému. Obecně: explicitními výjimkami vymezovat, co má být povoleno; ne povolit všechno a výjimkami určovat, co zakážu.

22.4.2015 07:45 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Podle mě je to zapsáno dobře, v podstatě stačí jenom ten předposlední řádek. Jen bych tam osobně napsal spíše skupinu než uživatele, ale tady je to jedno.

Co se týče 1. příspěvku, je to celkem jedno, protože fitrování je prováděno na základě vlastníka procesu, což se při spouštění procesu přirozeně dědí. Dokud server nespustí nějakou setuid binárku, není čeho se obávat.

Jiným řešením by mohlo být použítí cgroups na novějších jádrech s čerstvými iptables, ale výše uvedené je jednodušší.

22.4.2015 10:43 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Binarka sendmail v postfixu pres postdrop vytvori file v maildrop adresari. Ten si pak vyzvedne proces s pravy uz beziciho postmaster daemona. Tam nekde se panackovi prava puvodniho apache/PHP procesu ztrati.
Kazdopadne vypnuti mail() zadnym zpusobem nebrani exec(sendmail) a podobne.

22.4.2015 18:59 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

V takovém případě by pomohla úprava práv toho sendmailu.

23.4.2015 13:43 Kriegel
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

co tohle?

23.4.2015 13:58 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

To bude asi lepší. :)

22.4.2015 19:36 j
Rozbalit Rozbalit vše Re: Iptables, zakázať apache prístup na porty postfixu

Jak uz bylo receno, vuci lokalnimu posilani to iptables neresi. Vuci vzdalenemu ano.

Lokalne lze vyuzit tisic a jeden zpusob jak mail odeslat, a pokud nechces tydny resit, kde nechal tesar diru, tak ten apache spust nekde extra a tomu stroji zakaz komunikaci na smtp porty uplne.

Jen bych chtel videt, co to bude za silenej web, ze kteryho nejde poslat mail ...

Založit nové vlákno • Nahoru

Tiskni Sdílej: