Byla vydána verze 3.0 (Mastodon) nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). S novou verzí formátu záznamu asciicast v3, podporou live streamingu a především kompletním přepisem z Pythonu do Rustu.
Canonical oznámil, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie) v Ubuntu.
Tržní hodnota americké společnosti Alphabet, která je majitelem internetového vyhledávače Google, dnes poprvé překonala hranici tří bilionů dolarů (62,1 bilionu Kč). Alphabet se připojil k malé skupině společností, které tuto hranici pokořily. Jsou mezi nimi zatím americké firmy Nvidia, Microsoft a Apple.
Spojené státy a Čína dosáhly dohody ohledně pokračování populární čínské platformy pro sdílení krátkých videí TikTok v USA. V příspěvku na síti Truth Social to dnes naznačil americký prezident Donald Trump. Dosažení rámcové dohody o TikToku vzápětí oznámil americký ministr financí Scott Bessent, který v Madridu jedná s čínskými představiteli o vzájemných obchodních vztazích mezi USA a Čínou. Bessentova slova později potvrdila také čínská strana.
MKVToolNix, tj. sada nástrojů pro práci s formátem (medialnym kontajnerom) Matroska, byl vydán ve verzi 95.0. Podpora přehrávání formátu Matroska míří do Firefoxu [Bug 1422891, Technický popis]. Přehrávání lze již testovat ve Firefoxu Nightly.
Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 211. sraz, který proběhne v pátek 19. září od 18:00 ve Studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Na srazu proběhne přednáška Jiřího Eischmanna o nové verzi prostředí GNOME 49. Nemáte-li možnost se zúčastnit osobně, přednáškový blok bude opět streamován živě na server VHSky.cz a následně i zpřístupněn záznam.
Microsoft se vyhnul pokutě od Evropské komise za zneužívání svého dominantního postavení na trhu v souvislosti s aplikací Teams. S komisí se dohodl na závazcích, které slíbil splnit. Unijní exekutivě se nelíbilo, že firma svazuje svůj nástroj pro chatování a videohovory Teams se sadou kancelářských programů Office. Microsoft nyní slíbil jasné oddělení aplikace od kancelářských nástrojů, jako jsou Word, Excel a Outlook. Na Microsoft si
… více »Samba (Wikipedie), svobodná implementace SMB a Active Directory, byla vydána ve verzi 4.23.0. Počínaje verzí Samba 4.23 jsou unixová rozšíření SMB3 ve výchozím nastavení povolena. Přidána byla podpora SMB3 přes QUIC. Nová utilita smb_prometheus_endpoint exportuje metriky ve formátu Prometheus.
Správcovský tým repozitáře F-Droid pro Android sdílí doporučení, jak řešit žádosti o odstranění nelegálního obsahu. Základem je mít nastavené formální procesy, vyhrazenou e-mailovou adresu a být transparentní. Zdůrazňují také důležitost volby jurisdikce (F-Droid je v Nizozemsku).
Byly publikovány informace o další zranitelnosti v procesorech. Nejnovější zranitelnost byla pojmenována VMScape (CVE-2025-40300, GitHub) a v upstream Linuxech je již opravena. Jedná se o variantu Spectre. KVM host může číst data z uživatelského prostoru hypervizoru, např. QEMU.
Potřebuji pro asi 20 IP adres povolit přístup z LAN do WAN a napadlo mě, že lepší než napsat 20 pravidel by bylo použití IP Sets. Bohužel z oficiálního popisu https://wiki.openwrt.org/doc/uci/firewall#ip_sets nejsem moc moudrý a tak bych chtěl poprosit o nějaký příklad, jak nastavit IP Sets a jak ho pak použít v nějakém pravidlu. IP adresy jsou "náhodné" a nejsou v žádném bloku, takže se musí vyjmenovat po jedné.
A druhý dotaz je k nastavení DNS - chtěl bych, aby pro PC v LAN (mají DNS server nastaven na router s OpenWRT) se mi překládaly lokální jména na IP. Například aby když na PC napíšu "router" se mi vrátila IP adresa routeru 192.168.1.1 V konfiguraci jsem našel jen nastavení hosts, kde když uvedu tento překlad, tak se mi v luci na routeru ukazují přeložené IP adresy na tato jména, ale DNS dotaz ze stanice je nefunkční.
Řešení dotazu:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
iptables -A FORWARD -i $LAN1_IFACE -m set --match-set povol src -j ACCEPT
Potom do tabulky povol si dáš povolené IP.
ipset -A povol X.X.X.X
Co se týče DNS hledej BIND,ale nevím jestli je na Openwrt.
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
To samo vyzaduje udelat totez pri kazdy aktualizaci jadra.
Ne nutně. Pokud distribuce při updatech zachovává kABI, bude modul fungovat bez rebuildu.
Ostatne, vykonostne je jedno, set ma smysl kdyz ti to vadi kvuli prehlednosti, ne kvuli vykonu.
Pro 20 adres nejspíš ano, při větším počtu tam bude i výrazný rozdíl v náročnosti na CPU (a latencích). Použití ipset je také výrazně výhodnější, pokud je potřeba tu množinu často měnit.
config dnsmasq option domainneeded '1' option boguspriv '1' option localise_queries '1' option rebind_protection '1' option rebind_localhost '1' option expandhosts '1' option authoritative '1' option leasefile '/tmp/dhcp.leases' option resolvfile '/tmp/resolv.conf.auto' option domain 'soban.cz' option dnsforwardmax '50' list server '217.31.204.130' list server '193.29.206.206' list server '2001:1488:800:400::130' list server '2001:678:1::206' config dhcp 'lan' option interface 'lan' option start '20' option limit '64' option leasetime '12h' option dhcpv6 'server' option ra_management '1' option ra 'server' config dhcp 'wan' option interface 'wan' option ignore '1' config odhcpd 'odhcpd' option maindhcp '0' option leasefile '/tmp/hosts/odhcpd' option leasetrigger '/usr/sbin/odhcpd-update' config host option name 'htpc' option mac '00:26:18:f3:96:60' option ip '192.168.1.12' config domain option name 'htpc' option ip '192.168.1.12' config domain option name 'petr' option ip '192.168.1.11' config domain option name 'hodiny' option ip '192.168.1.100' config host option name 'petr' option mac '54:04:a6:a6:81:6f' option ip '192.168.1.11' config host option name 'hodiny' option mac '22:da:e2:a8:86:2a' option ip '192.168.1.100'
config system option zonename 'Europe/Prague' option timezone 'CET-1CEST,M3.5.0,M10.5.0/3' option conloglevel '8' option cronloglevel '8' option hostname 'router.soban.cz'Taky je to z 15.05, ale teď tam mám originál FW protože na 15.05 jsou zmršené wifi ovladače.
tak jako hostname v tom systém configu mám jen router a přesto mi to funguje jen s tou doménou
jinak jsem zjistil proč mi nešel ten překlad smtp serveru - v logu jsem v záplavě info hlášek zahlédl jednu warn s chybou possible DNS-rebind attack detected s odkazem na ten smtp server, takže jsem v konfiguraci vypnul "Rebind protection" a už to funguje
option boguspriv '1' zakazovala překlad neveřejných adres a včera nejspíš byly nakešovaný i ty negativní odpovědi, takže dnes po novém spuštění PC mi už chodí i ty reverzní záznamy.
Takže jediné co mě teď asi nejvíc chybí ke spokojenosti je to použití IP sets.
rule https://wiki.openwrt.org/doc/uci/firewall#rules pak odkázat na definovanou ip sadu.
config rule
option name 'Drop v6 traffic'
option src 'wan6'
option dest 'lan'
option ipset 'badgeo6'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config rule
option name 'Drop v6 traffic'
option src 'lan'
option dest 'wan6'
option ipset 'badgeo6_dest'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config ipset
option external 'badgeo6'
option storage 'hash'
option match 'src_net'
config ipset
option name 'badgeo6_dest'
option external 'badgeo6'
option storage 'hash'
option match 'dest_net'
Ještě tam chybí naplnění tabulek a pod....a nevím zda je to funkční, fakt nejednoduší bude se na ipset vykašlat a nebo si napsat vlastní skript a ten po startu firewallu spustit.
#vytvoření hash tabulky
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
#zadaní ip tables na forward podle source adresy
iptables -A FORWARD -i br-lan -m set --match-set povol src -j ACCEPT
#naplnění hash tabulky
ipset -A povol 192.168.88.11
ipset -A povol 192.168.88.12
ipset -A povol 192.168.88.13
ipset create test hash:ippak v terminálu přidávám ipadresy:
ipset add test 93.185.104.6 ipset add test 93.185.104.7 ipset add test 82.142.82.139ty lze přidávat kdykoliv a není potřeba restart firevalu - ihned se přidané IP adresy v té sadě používají v /etc/config/firewall mám následující definice (a díky tomu, že jsou zde uvedené, tak se dá ovlivnit pořadí pravidla s IP set, neboť považuji za vhodné, aby bylo až na konci, aby se snížila zátěž routeru - aby nejčastěji používaná pravidla se vyhodnotila dřív, než toto pravidlo s IP sadou):
config ipset option storage 'hash' option external 'test' option match 'dest_ip' config rule option target 'ACCEPT' option src 'lan' option dest 'wan' option ipset 'test' option name 'imaps' option family 'ipv4' option proto 'tcp' option src_ip '172.21.163.80/30' option dest_port '993'pravidlo je napsaný co "nejsložitěji" abych ověřil, že se vše použije - takže obsahuje omezení jen na určité IP adresy z LAN a pak je tam ještě omezení na cílový port, takže výsledkem je, že jen z určitých IP adres v LAN se lze dostat na v sadě vyjmenované poštovní servery zabezpečeným protokolem IMAP - to sice není důvod proč jsem se snažil IP sets dát dohromady, ale bylo to dobrý na otestování funkčnosti, díky tomu, že poštu stahuji z vícero serverů No a aby se vytvořené sady "neztrácely" při restartu, tak jsem vytvořil službu, která zajišťuje zazálohování a zase obnovení sad při zapínání/vypínání. Konfigurace IP sets je uložena v /etc/ipset-rules Takže v /etc/init.d je soubor ipsets
#!/bin/sh /etc/rc.common
START=15
STOP=95
start() {
echo "Restoring saved ipset rules"
touch /etc/ipset-rules
ipset restore < /etc/ipset-rules
}
stop() {
save
echo "Flushing and destroying"
ipset flush
ipset destroy
}
shutdown() {
save
}
save() {
echo "Saving current ipset rules"
ipset save > /etc/ipset-rules
}
pak jsem v konzoli vytvořil symlinky do /etc/rc.d/
ln -s /etc/init.d/ipsets /etc/rc.d/S15ipset ln -s /etc/init.d/ipsets /etc/rc.d/K95ipsetA je to
Tiskni
Sdílej:
