abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Arm Lumex Compute Subsystem (CSS) Platform
    dnes 13:22 | IT novinky

    Společnost ARM představila platformu Arm Lumex s Arm C1 CPU Cluster a Arm Mali G1-Ultra GPU pro vlajkové chytré telefony a počítače nové generace.

    Ladislav Hagara | Komentářů: 0
    Unicode 17.0
    dnes 05:44 | Nová verze

    Unicode Consortium, nezisková organizace koordinující rozvoj standardu Unicode, oznámila vydání Unicode 17.0. Přidáno bylo 4 803 nových znaků. Celkově jich je 159 801. Přibylo 7 nových Emoji.

    Ladislav Hagara | Komentářů: 0
    iPhone 17 Pro, iPhone 17 Pro Max, iPhone 17, iPhone Air, AirPods Pro 3, Watch Series 11, Watch SE 3, Watch Ultra 3
    včera 21:00 | IT novinky

    Apple představil (YouTube) telefony iPhone 17 Pro a iPhone 17 Pro Max, iPhone 17 a iPhone Air, sluchátka AirPods Pro 3 a hodinky Watch Series 11, Watch SE 3 a Watch Ultra 3.

    Ladislav Hagara | Komentářů: 4
    Warzone 2100 4.6.0
    včera 18:33 | Nová verze

    Realtimová strategie Warzone 2100 (Wikipedie) byla vydána ve verzi 4.6.0. Podrobný přehled novinek, změn a oprav v ChangeLogu na GitHubu. Nejnovější verzi Warzone 2100 lze již instalovat také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 2
    3D modely z počítačové hry Cyberpunk 2077 na Printables
    včera 12:22 | IT novinky

    Polské vývojářské studio CD Projekt Red publikovalo na Printables.com 3D modely z počítačové hry Cyberpunk 2077.

    Ladislav Hagara | Komentářů: 0
    LinuxDays 2025 mají program a otevřené registrace
    včera 11:44 | Pozvánky

    Organizátoři konference LinuxDays 2025 vydali program a zároveň otevřeli registrace. Akce se uskuteční 4. a 5. října na FIT ČVUT v pražských Dejvicích, kde vás čekají přednášky, workshopy, stánky a spousta šikovných lidí. Vstup na akci je zdarma.

    Petr Krčmář | Komentářů: 6
    Uživatelé komunikátoru Signal si mohou svá data bezpečně zálohovat
    8.9. 22:00 | IT novinky

    Uživatelé komunikátoru Signal si mohou svá data přímo v Signalu bezpečně zálohovat a v případě rozbití nebo ztráty telefonu následně na novém telefonu obnovit. Zálohování posledních 45 dnů je zdarma. Nad 45 dnů je zpoplatněno částkou 1,99 dolaru měsíčně.

    Ladislav Hagara | Komentářů: 0
    LWN.net: Nutnost spolehlivě zachovat historii naší komunity
    8.9. 18:44 | Zajímavý článek

    Server Groklaw, zaměřený na kauzy jako právní spory SCO týkající se Linuxu, skončil před 12 lety, resp. doména stále existuje, ale web obsahuje spam propagující hazardní hry. LWN.net proto v úvodníku připomíná důležitost zachovávání komunitních zdrojů a upozorňuje, že Internet Archive je také jen jeden.

    🇵🇸 | Komentářů: 19
    Adminer 5.4.0
    8.9. 14:22 | Nová verze

    Jakub Vrána vydal Adminer ve verzi 5.4.0: "Delší dobu se v Admineru neobjevila žádná závažná chyba, tak jsem nemusel vydávat novou verzi, až počet změn hodně nabobtnal."

    Ladislav Hagara | Komentářů: 3
    V Německu uvedli do provozu nejrychlejší superpočítač v Evropě
    8.9. 13:22 | IT novinky

    V Německu slavnostně uvedli do provozu (en) nejrychlejší počítač v Evropě. Superpočítač Jupiter se nachází ve výzkumném ústavu v Jülichu na západě země, podle německého kancléře Friedricha Merze otevírá nové možnosti pro trénování modelů umělé inteligence (AI) i pro vědecké simulace. Superpočítač Jupiter je nejrychlejší v Evropě a čtvrtý nejrychlejší na světě (TOP500). „Chceme, aby se z Německa stal národ umělé inteligence,“ uvedl na

    … více »
    Ladislav Hagara | Komentářů: 21
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (83%)
     (7%)
     (2%)
     (3%)
     (4%)
     (2%)
    Celkem 160 hlasů
     Komentářů: 12, poslední dnes 13:00
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Přísná output pravidla pro iptables
    Štítky: firewally, iptables, output, pravidla, projekt

    Dotaz: Přísná output pravidla pro iptables

    11.7.2016 15:01 majales | skóre: 30 | blog: Majales
    Přísná output pravidla pro iptables
    Přečteno: 449×
    Zdravím, Poradíte jak napsat příšná output pravdidla pro iptables? Doposavad jsem iptables output pravidla nasazoval akorát na linuxových routerech a to pouze ve stylu vzoru od pana Miroslava Petříčka, čili pouze takto: 
      # Povolíme odchozí pakety, které mají naše IP adresy
  $IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
  $IPTABLES -A OUTPUT -s $LAN1_IP -j ACCEPT
  $IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT
    Teď mám však na starosti napsat ip pravidla pro projekt kde jsou vyžadována přísná OUTPUT pravidla. Poradí někdo čeho se chytit a na nic nezapomenout a naopak čeho se vyvarovat abych si nezablokoval servery?

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    11.7.2016 15:24 NN
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Tak OUTPUT je lokalne generovasny provoz, zpravidla se povazuje za bezpecny a obecne se pousti cisty. Mimochodem i na OUTPUT je mozne aplikovat tracking, nicmene nikdo nevi co je to za aplikaci, kde pobezi, jake sluzby bude nabizet etc. takze tezko poradit..
    11.7.2016 15:32 ja
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Strasne blba otazka na ktoru sa neda jednoznacne odpovedat, ale skus toto: 
    /sbin/iptables --policy OUTPUT DROP
/sbin/iptables --table filter --append OUTPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
/sbin/iptables --table filter --append OUTPUT --match state --state INVALID --jump DROP

/sbin/iptables --table filter --append OUTPUT --protocol ICMP --jump ACCEPT
/sbin/iptables --table filter --append OUTPUT --out-interface lo --jump ACCEPT

/sbin/iptables --table filter --append OUTPUT --protocol TCP --match multiport --destination-port 21,80,443 --jump ACCEPT #aby fungovala napriklad aktualizacia OS
/sbin/iptables --table filter --append OUTPUT --protocol TCP --match multiport --destination-port x,y,z --jump ACCEPT #samotne porty ktore potrebuje ta tvoja aplikacia
    11.7.2016 19:12 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Bez resolvovani si moc nezaupgraduje..
    /sbin/iptables --table filter --append OUTPUT --protocol UDP --destination-port 53 --jump ACCEPT
    Prihodil bych jeste NTP a pripadne SNMP.. A spravne je dnes uz i 53 po TCP.
    11.7.2016 16:51 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Output neomezovat, nemá to opodstatnění.

    Jediné co by snad připadalo v úvahu aby se do internetu nedostaly nepovolené IP, a různé broadcasty a pod....

    Takže na eth třeba blokovat vše co nemá při odchodu vaši veřejnou IP atd...
    Řešení 1× (VjEtNaM)
    11.7.2016 20:08 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Filtrovanie OUTPUT môže upozorniť na SPAM-ujúce zombie v LAN.
    11.7.2016 20:14 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Nemůže. OUTPUT jsou pakety pocházející z daného zařízení. Pakety z LAN jdou přes FORWARD.
    11.7.2016 18:44 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    S takovýmhle zadáním je nastavení pravidel jednoduché – nenastavujte nic, neblokujte žádnou komunikaci.

    Nastavovat pravidla firewallu má smysl jedině tehdy, pokud máte nějaký důvod něco blokovat. Pokud víte co a proč chcete blokovat, pak můžete žádat o radu, pomocí jakých pravidel to konkrétně realizovat. Ale „přísná OUTPUT pravidla“ je nesmysl, to není žádné zadání. To je jako kdybyste chtěl přísnou ochranku, akorát byste nevěděl, koho, před čím nebo proč má chránit. „Prostě buďte přísní.“
    11.7.2016 21:01 majales
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Dobře.. tak já to zpřesním. Například, je tam mariadb galera cluster. Každý stroj clusteru má dvě síťovky. Jedna je pro cluster komunikaci a druhá pro monitoring a vzdálený managemnet. Input pravidla jsou nastavená, cluster běží, přístup pouze přes ssh přes druhý interface, povolený ping a DNS.
    11.7.2016 21:22 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Firewallem blokujete provoz. Když popíšete část toho, co tam je, a zbytek zablokujete, zablokujete nejspíš i tu část provozu, kterou jste v "například" vynechal. Každopádně nemá smysl nastavovat firewall, když nevíte, čeho tím chcete dosáhnout. Firewall normálně nepotřebujete, počítač s aktualizovaným software s bezpečnou konfigurací bez firewallu by neměl být napadnutelný. Firewall je další vrstva ochrany, která je navíc - a je k něčemu jedině tehdy, když víte, co a proč nastavujete. Když to nevíte, nemá smysl se snažit něco nastavit, protože to maximálně zkazíte.
    11.7.2016 21:37 majales
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Chápu všechny vaše argumenty, ale to mi moc nepomůže. Jak už jsem psal... Kdyby to bylo jen na mě nechám nastavená pouze INPUT pravidla, která mám napsaná a fungují.. Požadavek projektu který jsem nepsal a nezadával je ovšem takový, že je potřeba napsat i ta OUTPUT pravidla. Nechci to zkazit, ale nemůžu to nechat tak jak to je, protože mám za úkol ta OUTPUT pravidla nastavit. Proto jsem vložil dotaz zde na abclinuxu do poradny.
    11.7.2016 21:45 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Ale tady ani nikde jinde vám nikdo neporadí, protože neví, jaká legitimní komunikace tam má být a proti jakým útokům se chcete chránit. Když jako default policy pro OUTPUT nastavíte DROP a žádná další pravidla tam mít nebudete, máte přísně nastavená OUTPUT pravidla (dokonce nejpřísněji, jak je možné), vaše "zadání" to splňuje dokonale, ale asi to nebude to, co byste chtěl.
    11.7.2016 22:33 NN
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Kdyz podle dokumentace zablokujes, ze serveru vsechno krome portu clusteru a portu pro MGMT a portu pro system, budes to mit v podstaste osetrene..
    11.7.2016 22:42 majales
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    Přesně podle toho to mám.. V zadání projektu ovšem stojí iptables INPUT i OUTPUT pravidla.
    11.7.2016 23:32 motyq
    Rozbalit Rozbalit vše Re: Přísná output pravidla pro iptables
    je to sice divné zadání, ale prakticky by mělo stačit: output politiku default drop plus přidat "zrcadlové" pravidla k těm vašim input, pokud tedy píšete, že to máte dle toho galera howto. Buď na celé ip adresy, nebo ip a pouze potřebné porty.

    Ještě bych pak přidal (jak tu psali nademnou) :53 na vaše dns (třeba pouze na jedno, tedy stroj bude mít možnost resolvit jen přes váš rekurzor) :22 na vaše rozsahy (abyste mohl třeba přes scp kopírovat mezi těmi stroji) :80 a :443 na vaše zrcadlo repositáře - abyste nemusel povolovat http(s) do celého světa. :123 na váš timeserver

    Pokud máte svoje zrcadlo repositáře(ů), tak by šlo vyhodit i to :53 a mít všude ip adresy.

    Tímto bych řekl, že budete mít splněno. Bude to sice voser, ale vlk bude nažrán.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.