Přihlášení | Registrace

napište » Zprávičky

včera 13:44 | Nová verze

Byla vydána beta verze Linux Mintu 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 0

Britský soud zamítl žalobu Wikipedie proti novému zákonu o on-line bezpečnosti

včera 13:00 | IT novinky

Provozovatel internetové encyklopedie Wikipedie prohrál v Británii soudní spor týkající se některých částí nového zákona o on-line bezpečnosti. Soud ale varoval britského regulátora Ofcom i odpovědné ministerstvo před zaváděním přílišných omezení. Legislativa zpřísňuje požadavky na on-line platformy, ale zároveň čelí kritice za možné omezování svobody slova. Společnost Wikimedia Foundation, která je zodpovědná za fungování

… více »

Ladislav Hagara | Komentářů: 1

Syncthing 2.0.0

včera 12:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro synchronizaci dat mezi vícero počítači bez centrálního serveru Syncthing (Wikipedie). Přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 2

Trump po osobním setkání chválil šéfa Intelu, před týdnem ho vyzval k rezignaci

včera 12:33 | IT novinky

Americký prezident Donald Trump se v pondělí osobně setkal s generálním ředitelem firmy na výrobu čipů Intel Lip-Bu Tanem. Šéfa podniku označil za úspěšného, informují agentury. Ještě před týdnem ho přitom ostře kritizoval a požadoval jeho okamžitý odchod. Akcie Intelu v reakci na schůzku po oficiálním uzavření trhu zpevnily asi o tři procenta.

Ladislav Hagara | Komentářů: 9

Debian GNU/Hurd 2025

11.8. 04:55 | Nová verze

Byl vydán Debian GNU/Hurd 2025. Jedná se o port Debianu s jádrem Hurd místo obvyklého Linuxu.

Ladislav Hagara | Komentářů: 6

openSUSE je s námi už 20 let

11.8. 02:44 | Komunita

V sobotu 9. srpna uplynulo přesně 20 let od oznámení projektu openSUSE na konferenci LinuxWorld v San Franciscu. Pokuď máte archivní nebo nějakým způsobem zajímavé fotky s openSUSE, můžete se o ně s námi podělit.

lkocman | Komentářů: 5

Debian 13 Trixie

9.8. 21:11 | Nová verze

Byl vydán Debian 13 s kódovým názvem Trixie. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 8

WLED – Wi-Fi ovládání RGB LED

9.8. 15:55 | Zajímavý software

WLED je open-source firmware pro ESP8266/ESP32, který umožňuje Wi-Fi ovládání adresovatelných LED pásků se stovkami efektů, synchronizací, audioreaktivním módem a Home-Assistant integrací. Je založen na Arduino frameworku.

Indiánský lotr | Komentářů: 0

Home Assistant 2025.8

8.8. 15:33 | Nová verze

Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.8.

Ladislav Hagara | Komentářů: 11

Byla vydána Mafia: Domovina

8.8. 14:22 | IT novinky

Herní studio Hangar 13 vydalo novou Mafii. Mafia: Domovina je zasazena do krutého sicilského podsvětí na začátku 20. století. Na ProtonDB je zatím bez záznamu.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (48%)

5-15 (20%)

16-30 (4%)

31-50 (5%)

51-70 (3%)

71-100 (1%)

101-130 (1%)

>131 (18%)

Celkem 345 hlasů

Komentářů: 23, poslední 4.8. 13:01

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Iptables: NOTRACK na INPUTu?

Štítky: conntrack, firewall, firewally, forwarding, input, iptables, netfilter, nftables, notrack, output, PREROUTING, router, stroj

Dotaz: Iptables: NOTRACK na INPUTu?

6.12.2016 02:23 Harvie.CZ
Iptables: NOTRACK na INPUTu?

Přečteno: 540×

Odpovědět | Admin

Ahoj, mám router a na něm mám stavovej firewall na lokální služby.

to ale způsobuje, že se plní conntrack tabulka informacema o tranzitních spojeních, který mě vůbec nezajímaj. narůstají pak latence. aby se to vyřešilo, tak mám ve firewallu zhruba tohle:

# Vypnuti conntrack tabulky na prochazejici pakety
*raw
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 10.0.0.1/32 -j ACCEPT
-A PREROUTING -j CT --notrack
COMMIT

To je sice funkční, ale vůbec se mi to nelíbí. Ten stroj má stovky vlanů a na každym jinou adresu. Musím je teda mít všechny vyjmenovaný jako ACCEPT, aby nespadly do NOTRACKu. To mi připadá hloupý a nepřehledný.

Nedá se prostě nějak vypnout conntrack pro FORWARD, aniž by se tím vypnul pro INPUT? Pro OUTPUT se to dá nastavovat zvlášť, pro INPUT jsem to ale bohužel zatím nevyřešil. A tak všechny příchozí packety zkončí v conntracku ať už směřují do FORWARDu nebo do INPUTU.

Nástroje: Začni sledovat (3) ?

Odpovědi

6.12.2016 02:36 Harvie.CZ
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

jeste by teda pomohlo, kdyby existovalo naky makro v tomhle stylu:

-A PREROUTING -d LOCAL -j ACCEPT

kde by "-d LOCAL" matchovalo vsechny packety co maj v dst nekterou z adres, ktery jsou na lokalnich interfacech.

17.12.2016 15:29 Harvie.CZ
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Skutecne nakonec pomohl modul addrtype:

-A PREROUTING -m addrtype --src-type LOCAL -j ACCEPT
-A PREROUTING -m addrtype --dst-type LOCAL -j ACCEPT

17.12.2016 15:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

To je jen test na 127.0.0.0/24, ne? Jestli tohle pokrývá tvůj problém, tak ideál. Místo src-type by mělo jít teoreticky testovat i in-interface.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 17:26 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Ne, skutečně to testuje, jestli je to (nějaká) lokální adresa, pokud nepoužije --limit-iface-in nebo --limit-iface-out. Ale znamená to route lookup pro každý paket, což na stroji s takovým množstvím adres nemusí být moc efektivní (ale samozřejmě pořád mnohem efektivnější než chain se stovkami pravidel).

17.12.2016 17:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

A to je zdokumentováno jenom ve zdrojácích nebo jsem prostě jenom nenašel ten správný zdroj?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 20:53 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Manuálová stránka iptables-extensions(8) je dost neurčitá:

This module matches packets based on their address type. Address types are used within the kernel networking stack and categorize addresses into various groups. The exact definition of that group depends on the specific layer three protocol.

…

LOCAL a local address

To je skutečně dost nejednoznačné. Při troše fantazie se to, že jde o route lookup, dá uhodnout z toho, že další možné hodnoty jsou UNICAST, MULTICAST, BROADCAST, ANYCAST, BLACKHOLE, UNREACHABLE, PROHIBIT, THROW, NAT a XRESOLVE (poslední tři zcela bez popisu). Ale stejně jsem se radši podíval do zdrojáku, abych si byl jistý.

17.12.2016 21:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Právě. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 17:18 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Přesně k tomuhle slouží ipset:

  ipset create myaddr hash:ip
  ipset add myaddr 10.0.0.1
  ... (další stovky řádků s ostatními adresami)
  iptables -A PREROUTING -m set --match-set myaddr dst -j ACCEPT

Pokud se všechny ty adresy vejdou do jednoho /16 rozsahu, bude efektivnější použít (např.)

  ipset create myaddr bitmap:ip range 10.0.0.0/16

17.12.2016 15:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Zjistit, co přišlo přes INPUT a co ne půjde minimálně markováním. Markování vůbec řeší strašnou spoustu podobných věcí.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje