Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Videozáznamy z LinuxDays 2025

včera 20:00 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

Ladislav Hagara | Komentářů: 0

Turris Omnia NG

4.10. 15:22 | IT novinky

Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

Ladislav Hagara | Komentářů: 19

Přímý přenos z LinuxDays 2025

4.10. 05:22 | Komunita

Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

Ladislav Hagara | Komentářů: 11

Soud zrušil rekordní pokutu pro Avast

3.10. 22:44 | IT novinky

V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

… více »

Ladislav Hagara | Komentářů: 5

Google Chrome 141

3.10. 19:00 | Nová verze

Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

eDoklady mají kvůli vysoké zátěži technické potíže

3.10. 17:11 | Upozornění

eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.

Ladislav Hagara | Komentářů: 14

Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling

3.10. 17:00 | Komunita

Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.

Ladislav Hagara | Komentářů: 1

Vývoj webového prohlížeče Ladybird (09/2025)

3.10. 14:33 | Komunita

Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za září (YouTube).

Ladislav Hagara | Komentářů: 0

Vyšla kniha Počítačové programy a autorské právo

3.10. 12:33 | Upozornění

Vyšla kniha Počítačové programy a autorské právo. Podle internetových stránek nakladatelství je v knize "Významný prostor věnován otevřenému a svobodnému softwaru, jeho licencím, důsledkům jejich porušení a rizikům „nakažení“ proprietárního kódu režimem open source."

javokajifeng | Komentářů: 0

Neoprávněný přístup do GitLab instance používané konzultačním týmem Red Hatu

3.10. 01:11 | Bezpečnostní upozornění

Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané svým konzultačním týmem.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (38%)

Gitlab (45%)

Atlassian (16%)

Bitbucket (18%)

Gitea (20%)

Mercurial (15%)

jen git (18%)

jen svn (16%)

Jiné (uvedu v diskusi) (16%)

Celkem 176 hlasů

Komentářů: 12, poslední 4.10. 20:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Nefunguje iptables rule pokud specifikuji input interface

Štítky: ano, firewally, input, iptables, ip6tables, komunikace, následující, pravidla, test

Dotaz: Nefunguje iptables rule pokud specifikuji input interface

4.5.2018 00:35 v.
Nefunguje iptables rule pokud specifikuji input interface

Přečteno: 232×

Odpovědět | Admin

Ahoj, lámu si hlavu nad tímto. Zkoušel jsem v ip6tables v chainu INPUT následující pravidla (vždy jen jedno):

    4   301 test  all      ens224 *       ::/0                 ::/0
    5   365 test  all      *      *       ::/0                 ::/0
    0     0 test  all      docker0 *       ::/0                 ::/0
    0     0 test  all      !docker0 *       ::/0                 ::/0

A pokaždé jsem zkoušel s dotyčným strojem komunikovat tak, abych viděl narůstající počty paketů. Pokud je v chainu jen pravidlo "0 0 test all !docker0 * ::/0 ::/0", pak se neaplikuje a do chainu test se vůbec nejde. Pokud je tam toto " 4 301 test all ens224 * ::/0 ::/0", pak ano.

Proč když řeknu, aby to platilo pro všechna rozhraní mimo docker0 tak to nefunguje, ale když uvedu, aby to platilo pro ens224, tak to jede? Vždyť by to mělo dělat to samé... pokud jde komunikace z ens224 (tzn. platí že nejde z docker0)?
Díky.

Nástroje: Začni sledovat (0) ?

Odpovědi

4.5.2018 08:43 NN
Rozbalit Rozbalit vše Re: Nefunguje iptables rule pokud specifikuji input interface

To je jen nejaky vypis? Kde vidis pravidla? Je to allow, nebo deny? Je to input, nebo output rozhrani? Mohl by jsi poslat zapis tech providel ie.:

ip6tables -A INPUT ! -o docker0 -j DROP

Dale hraje roli poradi vsech pravidel, jestli se nejedna o forward etc.

4.5.2018 09:14 Sten
Rozbalit Rozbalit vše Re: Nefunguje iptables rule pokud specifikuji input interface

To bude proto, že druhé pravidlo je * *, takže matchne všechno, ten řetěz test zpracování ukončí a další pravidla se už neaplikují.

4.5.2018 09:50 v.
Rozbalit Rozbalit vše Re: Nefunguje iptables rule pokud specifikuji input interface

Jedná se o input interface a jak jsem psal je tam vždy jen jedno pravidlo. Tzn. například toto jedinné pravidlo se neaplikuje:

ip6tables -I INPUT 1 -i !docker0 -j test

Pokud ale nespecifikuji input interface nebo dám jako input interface ens224 (vnější - ethernet), pak se to aplikuje:

ip6tables -I INPUT 1 -i ens224 -j test

Zkouším to tak, že v INPUT chainu je naráz pouze jedno pravidlo, aby se navzájem neovlivňovaly.

4.5.2018 10:15 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nefunguje iptables rule pokud specifikuji input interface

-i !docker0

Nejsem si jistý, jestli tohle vůbec někdy fungovalo - a jestli to bez escapování vůbec projde přes shell. Přes bash určitě ne:

  unicorn:~ # iptables -A test -i !docker0
  -bash: !docker0: event not found

Stará syntaxe byla

  -i \! docker0

ale tenhle zápis je už nějaký pátek deprecated (a třeba iptables 1.6.2 už ho nepodporuje) a mělo by se používat

  \! -i docker0

Zrada ovšem je, že "iptables -L" vypíše oboje stejně:

unicorn:~ # iptables -N test
unicorn:~ # iptables -A test -i \!docker0
unicorn:~ # iptables -A test -i \! docker0
Bad argument `docker0'
Try `iptables -h' or 'iptables --help' for more information.
unicorn:~ # iptables -A test \! -i docker0
unicorn:~ # iptables -nvL test
Chain test (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0            all  --  !docker0 *       0.0.0.0/0            0.0.0.0/0           
    0     0            all  --  !docker0 *       0.0.0.0/0            0.0.0.0/0           
unicorn:~ # iptables-save 
# Generated by iptables-save v1.6.2 on Fri May  4 10:10:07 2018
*filter
:INPUT ACCEPT [35:7638]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20:1452]
:test - [0:0]
-A test -i !docker0
-A test ! -i docker0
COMMIT
# Completed on Fri May  4 10:10:07 2018

4.5.2018 10:51 v.
Rozbalit Rozbalit vše Re: Nefunguje iptables rule pokud specifikuji input interface

Supr. Díky moc, už to funguje. Zrada byla s tím pořadím vykřičník vs. přepínač. Tzn. ve výpise se to zobrazuje stejně, ale nefunguje stejně. (escapování vykříčníku dávám, jen jsem ho nenapsal sem do diskuse)

4.5.2018 11:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nefunguje iptables rule pokud specifikuji input interface

Nejde ani tak o pořadí (to by prostě žádné pravidlo nepřidalo - a se starší verzí by to fungovalo správně), ale o to, že jste mezi vykřičníkem a jménem rozhraní neudělal mezeru, takže se vykřičník považoval za součást jména rozhraní.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje