abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Claude Opus 4.6 vytvořil kompilátor jazyka C
    včera 17:22 | IT novinky

    Byla představena nová verze modelu Claude Opus 4.6 od společnosti Anthropic. Jako demonstraci možností Anthropic využil 16 agentů Claude Opus 4.6 k vytvoření kompilátoru jazyka C, napsaného v programovacím jazyce Rust. Claude pracoval téměř autonomně, projekt trval zhruba dva týdny a náklady činily přibližně 20 000 dolarů. Výsledkem je fungující kompilátor o 100 000 řádcích kódu, jehož zdrojový kód je volně dostupný na GitHubu pod licencí Creative Commons.

    NUKE GAZA! 🎆 | Komentářů: 12
    Sitcom The IT Crowd (Ajťáci) oslavil 20. narozeniny
    včera 16:44 | Komunita

    Kultovní britský seriál The IT Crowd (Ajťáci) oslavil dvacáté výročí svého prvního vysílání. Sitcom o dvou sociálně nemotorných pracovnících a jejich nadřízené zaujal diváky svým humorem a ikonickými hláškami. Seriál, který debutoval v roce 2006, si i po dvou dekádách udržuje silnou fanouškovskou základnu a pravidelně se objevuje v seznamech nejlepších komedií své doby. Nedávné zatčení autora seriálu Grahama Linehana za hatecrime však vyvolává otázku, jestli by tento sitcom v současné Velké Británii vůbec vznikl.

    NUKE GAZA! 🎆 | Komentářů: 5
    IDE založená na IntelliJ budou ve výchozím nastavení používat Wayland
    včera 13:33 | IT novinky

    Společnost JetBrains oznámila, že počínaje verzí 2026.1 budou IDE založená na IntelliJ ve výchozím nastavení používat Wayland.

    Ladislav Hagara | Komentářů: 4
    Podle SpaceX má milion satelitů pomoci zajistit provoz umělé inteligence
    včera 11:22 | IT novinky

    Společnost SpaceX amerického miliardáře Elona Muska podala žádost o vypuštění jednoho milionu satelitů na oběžnou dráhu kolem Země, odkud by pomohly zajistit provoz umělé inteligence (AI) a zároveň šetřily pozemské zdroje. Zatím se ale neví, kdy by se tak mělo stát. V žádosti Federální komisi pro spoje (FCC) se píše, že orbitální datová centra jsou nejúspornějším a energeticky nejúčinnějším způsobem, jak uspokojit rostoucí poptávku po

    … více »
    Ladislav Hagara | Komentářů: 21
    Git 2.53.0
    včera 11:11 | Nová verze

    Byla vydána nová verze 2.53.0 distribuovaného systému správy verzí Git. Přispělo 70 vývojářů, z toho 21 nových. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Pozvánka na 216. sraz spolku OpenAlt – MeshCore
    včera 04:22 | Komunita

    Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 216. sraz, který proběhne v pátek 20. února od 18:00 v Red Hat Labu (místnost Q304) na Fakultě informačních technologií VUT v Brně na ulici Božetěchova 1/2. Tématem srazu bude komunitní komunikační síť MeshCore. Jindřich Skácel představí, co je to MeshCore, předvede nejrůznější klientské zařízení a ukáže, jak v praxi vypadá nasazení vlastního repeateru.

    Ladislav Hagara | Komentářů: 0
    Ardour 9.0
    včera 03:33 | Nová verze

    Byla vydána nová major verze 9.0 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled novinek, vylepšení a oprav v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Bitcoin pod 70 000 dolarů
    5.2. 13:55 | IT novinky

    Hodnota Bitcoinu, decentralizované kryptoměny klesla pod 70 000 dolarů (1,44 milionu korun).

    Ladislav Hagara | Komentářů: 13
    Přehodnocení plánu na vydání zařízení Steam Controller, Steam Machine a Steam Frame
    5.2. 13:22 | IT novinky

    Valve z důvodu nedostatku pamětí a úložišť přehodnocuje plán na vydání zařízení Steam Controller, Steam Machine a Steam Frame: „Cílem tedy stále zůstává vydat všechna tři nová zařízení v první polovině letošního roku, ale přesná data a ceny jsou dvě věci, na kterých usilovně pracujeme a jsme si dobře vědomi toho, jak rychle se v tomto ohledu může vše změnit. Takže ač dnes žádné zveřejnitelné údaje nemáme, hned jak plány finalizujeme, budeme Vás informovat.“

    Ladislav Hagara | Komentářů: 6
    Hlasování pro wallpapery pro Ubuntu 26.04
    5.2. 03:11 | Komunita

    Do 20. února lze hlasovat pro wallpapery pro Ubuntu 26.04 s kódovým názvem Resolute Raccoon.

    Ladislav Hagara | Komentářů: 2
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (19%)
     (6%)
     (0%)
     (10%)
     (25%)
     (3%)
     (4%)
     (2%)
     (12%)
     (30%)
    Celkem 783 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Mikrotik zakladna konfiguracia
    Štítky: AbcLinuxu, ASUS, ATD, bez, bridge, C, editor, firewall, Internet, mikrotik, nastavení, návod, port, pravidla, programování, router, sítě, SSH, Su, vytvořil

    Dotaz: Mikrotik zakladna konfiguracia

    23.5.2019 14:05 googler | skóre: 6
    Mikrotik zakladna konfiguracia
    Přečteno: 1605×

    caute

    na zaklde mojej temy : Dotaz: Router a AP - DDWRT/OpenWRT

    som si kupil rb3011 + ubi ap a potreboval by som si overit zakladnu konfiguraciu routera (asi hlavne firewall).

    Postupoval som podla tohto navodu s malymi odlisnostami: Mikrotik poprvé: základní konfigurace

    • samozrejme som pouzil ip podla vlastneho uvazenia ale aj ja som pouzil podsiet /24
    • namiesto oznacenia portov master a slave som vytvoril klasicky bridge a do neho som nahadzal vsetky porty okrem eth1 lebo podla toho co som zistil routeros uz nepodporuje oznacovanie portov master/slave + u vsetkych portov v bridgei som povolil hw offroad
    • zatial som zakazal vsetky sluzby okrem winbox + som zmenil port na winbox a ssh + som pre moj ucet povolil pristup iba z konkretnych ip
    • na pripojenie do inteernetu pouzivam pppoe klienta ktoreho som uz nastavil ale router mam zatial schvalne offline lebo si chcem najskor overit ake nastavenia firewallu alebo ine treba doplnit/zmenit.
    • pppoe pripojenie som NATol podla spominaneho navodu

    vo firewall filtry mam zatial iba skopirovane pravidla podla navodu:

    Flags: X - disabled, I - invalid, D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
     chain=forward action=passthrough

1    ;;; FastTrack
     chain=forward action=fasttrack-connection connection-state=established,related

2    ;;; Established, Related
     chain=forward action=accept connection-state=established,related

3    chain=input action=accept protocol=icmp

4    ;;; Drop invalid chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid"

5    ;;; Drop incoming packets that are not NATted
     chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes log-prefix="!NAT"

6    ;;; Drop incoming from internet which is not public IP

    Pravidlu c. 6 vobec nerozumiem. Viem si ten koment samozrejme prelozit tak ze sa zablokuju vstky prich. pripojenia z wanu ktore nemaju verejnu ip, ale nerozumiem preco filter zobrazuje len comment k tomuto pravidlu bez ziadnych prikazov (chain, action...). Pravidlo som do terminalu zadal takto:

    add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet

    Pravidlu cislo 6 nerozumiem aj preto ze podla pravidla 5 by sa mala blokovat vsetka prichadzajuca komunikacia s vynimkou tej ktoru manualne povolim. Rozumiem tomu tak ze pravidlo cislo 5 blokuje vsetku prich. komunikaciu a keby som nahodou NATol nejake PC/server atd... tak to pusti ostatne nie. Takze ak je to tak ako som to pochopil preco do toho motat este 6. pravidlo o blokovani neverejnych IP?

    Address list vo firewalle mam tiez len skopirovany z navodu a neviem ci sa address list moze dostat do konfliktu s mojimi nastavenymi adresami v mikrotiku lebo ako som uz pisal ja som pri nastaveni pouzil IP podla vlastneho uvazenia a nie priamo tie z

    navodu.

    Neviem co teda presne pouzite address listy znamenaju (moze mi to niekto vysvetlit?) ale mam to takto:

    add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

    + zoznam povolenych ip s pristupom do routera

    Este sem pridam vypis nastavenia natu:

    Flags: X - disabled, I - invalid, D - dynamic
0 I  ;;; pppoe-out1 not ready
     chain=srcnat action=masquerade src-address=X.X.X.0/24 out-interface=pppoe-out1

    Predpokladam ze not ready je len pretoze router neni na nete

    V navode su tiez napisane pravidla pre vyhnutie sa brute force utokom ale tie som zatial nepouzil. Je to nutne?

    Viem ze navod z ktoreho vychadzam je starsi a preto sa pytam co by som mal este pridat/zmenit/odobrat aby bol router schopny standardnej bezpecnej prevadzky? Nasledne sa uz sam budem pokusat ucit metodou pokus - omyl pracovat s roznymi moznostami routera.

    Diky za rady a odpovede na otazku ohladom address listu a 6. pravidla.

    BTW: Doteraz som bol zvyknuty na SOHO routery typu asus tplink a v nich bud ddwrt alebo original fw

    BTW2: Sorry za formatovanie ale nefunguje mi tu editor

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    23.5.2019 14:30 NN
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia
    Fitrovani bogon IP a DDoS/Scan za tebe s velkou pravdepodobnosti udela ISP.
    Max avatar 23.5.2019 15:16 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia
    Upravil jsem ti v tom čaji formátování. Každopádně pravidlo číslo 6 ve výpisu nemáš, jen komentář. Asi jsi nevložil celý výpis z firewallu.
    Zdar Max
    Měl jsem sen ... :(
    23.5.2019 15:50 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia

    Diky. Vypis bol cely a pravidlo c. 6 som vlozil tymto prikazom

    add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet

    ale vo vypise mam z neho iba comment neviem preco.

    Este sa chcem spytat: Na co vseobecne v mikrotiku sluzia address listy? Povodne som si totiz myslel ze su to zoznamy viacerych IP adries pricom pre kazdy zoznam nastavim jednu akciu spolocnu pre vsetky IP v danom zozname (napr. drop, accept, forward atd...) ale teraz ked som sa zamyslel nad tym navodom podla ktoreho som tie IP pridal tak vidim ze tam chyba nejaky "prikaz" co sa ma s tymi IP urobit. Aky to ma teda zmysel? Myslim ten address list

    Max avatar 23.5.2019 16:52 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia
    Je to tak, jak píšeš. Adress list slouží k tomu, aby se na skupinu IP aplikovalo nějaké pravidlo a nemuselo se to pravidlo psát milionkrát pro každou IP zvlášť.
    V tom příkladu, ze kterého jsi čerpal, se pravidlo na address list v rámci firewallu uplatňuje a sám jsi ho i zmínil : 
    add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
    Tj. provést drop na forwardu všeho, co má IP z lokálních segmentů, protože se předpokládá, že lokální IP na internetu nemají co dělat, resp. se zřejmě předpokládá, že to nebude dobrý provoz.
    Jenomže pokud toto není router s veřejnou IP a je před ním ještě něco , tak se tam podobné IP vyskytovat mohou. Osobně nevidím důvod takové pravidlo aplikovat.
    Zdar Max
    Měl jsem sen ... :(
    23.5.2019 17:49 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia

    Diky za vysvetlenie. Lepsie som si pozrel niektore pravidla a uz som asi pochopil ako funguje address list resp. pochopil som ze ip do neho sa vkladaju pri pisani celeho pravidla cez firewall filter to som predtym nevedel a preto ma to pomylilo. To 6. pravidlo teda vymazem ked neni potrebne lebo aj tak mi vo vypise zobrazuje len comment takze mozno to pravidlo ani nefunguje tak ako by malo.

    Pravidlo 5 teda chapem dobre ked ho chapem tak ze bude blokovana vsetka prichadzajuca komunikacia s vynimkou tej ktoru manualne povolim resp. ked neNATujem nic tak dovnutra neprejde nic?

    Celkovo si myslite ze tych 5 pravidiel + vypnute sluzby a zmene porty staci na standardne bezpecnu prevadzku routera?

    Max avatar 23.5.2019 18:36 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia
    Osobně si myslím, že změna čísla portu pro nějaké služby je naprostá zbytečnost, která jen komplikuje práci správci. Kdo má stále myslet na to, že tady není tento výchozí port, ale jiný atd. Navíc pokud mám děravou službu, tak změna portu opravdu není řešení.
    Pokud chci, aby na ty porty nikdo jiný, než já, nepřistupoval, tak prostě na to hodím pravidlo a dám si své IP na whitelist a hotovo. A tak to také dělám, mám address-list mgmt, kde mám IP, ze kterých mohu přistupovat na administraci. Standardně mám povolený jen ssh a winbox.
    A MAC-Server mám povolený jen pro mgmt vlanu / síťovku / bridge, resp. pro mgmt interfaces-list.

    Podle mně pravidlo 5 nedává smysl, resp. je úplně zbytečný.
    Pro wanku úplně stačí něco jako toto :
    • INPUT - povolit estabilished / related komunikaci
    • INPUT - povolit icmp
    • INPUT - drop all
    Zdar Max
    Měl jsem sen ... :(
    30.5.2019 21:11 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia

    v logu sa mi opakovane zobrazuju tieto zaznamy a neviem co presne znamenaju:

    firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (ACK,FIN), XXX.XXX.XXX.XXX:56872->185.14.116.10:80, len 40

    20:15:30 firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (RST), XXX.XXX.XXX.XXX:53024->31.13.84.36:443, len 40

    20:15:42 firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (ACK,FIN), XXX.XXX.XXX.XXX:56872->185.14.116.10:80, len 40

    20:16:12 firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (ACK,FIN), XXX.XXX.XXX.XXX:56872->185.14.116.10:80, len 40

    pravidla firewallu pouzivam tieto (nakoniec som postupoval podla oficialne odporucanych pravidiel priamo na mikrotik wiki

    Flags: X - disabled, I - invalid, D - dynamic

    0 D ;;; special dummy rule to show fasttrack counters

    chain=forward action=passthrough

    1 ;;; default configuration

    chain=input action=accept connection-state=established,related

    2 chain=input action=accept src-address-list=allowed_to_router

    3 chain=input action=accept protocol=icmp

    4 ;;; FastTrack

    chain=forward action=fasttrack-connection connection-state=established,related

    5 ;;; Established, Related

    chain=forward action=accept connection-state=established,related

    6 chain=input action=drop

    7 ;;; Drop invalid

    chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid"

    8 ;;; Drop tries to reach not public addresses from LAN

    chain=forward action=drop dst-address-list=not_in_internet in-interface=LAN out-interface=!LAN log=yes log-prefix="!public_from_LAN"

    9 ;;; Drop incoming packets that are not NATted

    chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes log-prefix="!NAT"

    10 ;;; Drop incoming from internet which is not public IP

    chain=forward action=drop src-address-list=not_in_internet in-interface=ether1 log=yes log-prefix="!public"

    11 ;;; Drop packets from LAN that do not have LAN IP

    chain=forward action=drop src-address=!XXX.XXX.XXX.0/24 in-interface=LAN log=yes log-prefix="LAN_!LAN"

    Ktore pravidlo sposobuje tie zaznamy resp. preco tie zaznamy vznikaju?

    Max avatar 30.5.2019 21:21 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia
    V pravidlech máš definovaný "log-prefix" proto, aby jsi viděl, jaké pravidlo ten záznam v logu způsobuje. Tak hádej, v jakém pravidle máš pojmenované logování "invalid" :).
    Zdar Max
    Měl jsem sen ... :(
    30.5.2019 22:15 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik zakladna konfiguracia
    Sorry nevsimol som si ten prefix :D

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.