abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Finanční zpráva Zig Software Foundation za rok 2024
    dnes 01:33 | Komunita

    Zig Software Foundation stojící za programovacím jazykem Zig publikovala finanční zprávu za rok 2024. Současně s prosbou o finanční příspěvek.

    Ladislav Hagara | Komentářů: 0
    Vývoj webového prohlížeče Ladybird (08/2025)
    dnes 00:22 | Nová verze

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za srpen (YouTube). Vypíchnuta je podpora Tabulek Google, implementace Gamepad API a Cookie Store API nebo také podpora WebGL na Linuxu.

    Ladislav Hagara | Komentářů: 0
    openSUSE Leap a Leap Micro s 24měsíční podporou
    včera 20:44 | Komunita

    openSUSE Leap 16, včetně Leap Micra 6.2+, nově nabízí 24 měsíců podpory pro každé vydání. To je dva roky aktualizací a stability, což z něj činí nejdéle podporovanou komunitní distribuci vůbec. Leap se tak stává ideální platformou pro všechny, kdo hledají moderní, stabilní a dlouhodobě podporovanou komunitní Linux distribuci.

    lkocman | Komentářů: 0
    NÚKIB vydal varování před hrozbou spočívající v předávání dat a ve výkonu vzdálené správy z Čínské lidové republiky
    včera 16:33 | Bezpečnostní upozornění

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 3. 9. 2025 VAROVÁNÍ před hrozbou v oblasti kybernetické bezpečnosti spočívající v předávání systémových a uživatelských dat do Čínské lidové republiky a ve vzdálené správě technických aktiv vykonávané z území Čínské lidové republiky. Varováním se musí zabývat povinné osoby podle zákona o kybernetické bezpečnosti.

    Ladislav Hagara | Komentářů: 26
    Soud: Google nemusí prodat Chrome a Android, má ale sdílet data s konkurencí
    včera 11:55 | IT novinky

    Americká internetová společnost Google nemusí prodat svůj prohlížeč Chrome ani operační systém Android. Rozhodl o tom soud ve Washingtonu, který tak zamítl požadavek amerického ministerstva spravedlnosti. Soud ale firmě nařídil sdílet data s jinými podniky v zájmu posílení konkurence v oblasti internetového vyhledávání. Zároveň Googlu zakázal uzavírat dohody s výrobci mobilních a dalších zařízení, které by znemožňovaly

    … více »
    Ladislav Hagara | Komentářů: 3
    Tvůrce seriálu Ajťáci (The IT Crowd) zatčen za hatecrime
    včera 11:33 | Humor

    Prvního září ozbrojení policisté zatkli na na londýnském letišti Heathrow scénáristu a režiséra Grahama Linehana, známého především komediálními seriály Ajťáci, Otec Ted nebo Black Books. Během výslechu měl 57letý Graham nebezpečně zvýšený krevní tlak až na samou hranici mrtvice a proto byl z policejní stanice převezen do nemocnice. Důvodem zatčení bylo údajné podněcování násilí v jeho 'vtipných' příspěvcích na sociální síti

    … více »
    Gréta | Komentářů: 80
    Virtuální Bastlírna vol. 54: Letní novinky
    včera 10:22 | Pozvánky

    Studentská dílna Macgyver zve na další Virtuální Bastlírnu - pravidelné online setkání všech, kdo mají blízko k bastlení, elektronice, IT, vědě a technice. Letní prázdniny jsou za námi a je čas probrat novinky, které se přes srpen nahromadily. Tentokrát jich je více než 50! Těšit se můžete mimo jiné na:

    Hardware – Bus Pirate na ESP32, reverse engineering Raspberry Pi, pseudo-ZX-80 na RISC-V, PicoCalc, organizéry na nářadí z pěny nebo … více »
    bkralik | Komentářů: 0
    Google Chrome 140
    včera 03:11 | Nová verze

    Google Chrome 140 byl prohlášen za stabilní. Nejnovější stabilní verze 140.0.7339.80 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 6 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    LeoCAD 25.09
    včera 02:22 | Nová verze

    LeoCAD (Wikipedie) je svobodná multiplatformní aplikace umožňující také na Linuxu vytvářet virtuální 3D modely z kostek lega. Vydána byla verze 25.09. Zdrojové kódy a AppImage jsou k dispozici na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 2
    RubyMine nově zdarma pro nekomerční použití
    2.9. 21:00 | IT novinky

    RubyMine, tj. IDE pro Ruby a Rails od společnosti JetBrains, je nově zdarma pro nekomerční použití.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (82%)
     (8%)
     (2%)
     (3%)
     (4%)
     (1%)
    Celkem 137 hlasů
     Komentářů: 10, poslední dnes 10:16
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Štítky: APT, komunikace, server, sítě

    Dotaz: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního

    16.6.2023 10:19 kotum
    iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Přečteno: 515×
    Už nějakou dobu se peru s nastavením firewallu, imho by to mělo být vcelku jednoduché, ale nedaří se mi. Zjednodušeně mám tenhle skript (reálně větší). Jde však o to, že když ho obvykle takto nastavím, tak buď funguje nějaká komunikace, která by neměla jít (typicky odchozí) a nebo naopak není možné se připojit na ty porty 8070 / 443 kde je to přesměrování. Zkoušel jsem to i převést na nft, ale chovalo se to imho hůře. Je možné, že tam mám nějakou zásadní botu.. 
    #!/bin/sh
#maybe flush all tables?
iptables --flush;
ip6tables --flush;

#allow local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#DNS
iptables -A OUTPUT -p udp -m udp -d 10.0.3.1 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp -d 1.1.1.1 --dport 53 -j ACCEPT

#access http server
iptables -A INPUT -p tcp --dport 8070 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#redirect to port
iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-port 8070;

#ssh allow incomming
iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT

#rest drop connections to ssh
iptables -A INPUT -p tcp --dport 22 -j DROP

#allow connections from specific ips and to specific and ports
iptables -A INPUT -p tcp -s 10.0.3.5 --dport 2000:3000 -j ACCEPT
iptables -A OUTPUT -p tcp -d 10.0.3.5 --dport 2000:3000 -j ACCEPT
iptables -A OUTPUT -p tcp -d 10.0.3.5 --dport 443 -j ACCEPT

#drop all other connections to these ports
iptables -A INPUT -p tcp --dport 2000:3000 -j DROP
ip6tables -A INPUT -p tcp --dport 2000:3000 -j DROP

#allow other communication -> apt and updates
iptables -A OUTPUT -p tcp -d 185.125.190.39 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d 185.125.190.39 --dport 443 -j ACCEPT
ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 80 -j ACCEPT
ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 443 -j ACCEPT

#allow sending email
iptables -A OUTPUT -p tcp -d 142.250.0.0/15 --dport 587 -j ACCEPT

#alow communication with NFS storage
iptables -A OUTPUT -d 10.0.3.6 -j ACCEPT

#drop rest
iptables -A INPUT -p tcp -j DROP
iptables -A OUTPUT -p tcp -j DROP
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    16.6.2023 11:38 X
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Jen to ukaz cele, protoze jen tady je tolik veci blbe, ze nevim kde zacit. Dve chyby a jeste na:
    iptables -A OUTPUT -p udp -m udp -d 10.0.3.1 --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -m udp -d 1.1.1.1 --dport 53 -j ACCEPT
    Proc? Tohle nedava smysl. Stavovy pravidla se davaji vzdy prvni a pravidla se prochaze sekvencne.
    iptables -A INPUT -p tcp --dport 8070 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    Kdyz delas presmerovani tak na co to potom povolujes?? Prerouting pravidla maji prednost.
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT ...

    iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-port 8070;
    Zbytecne, nema zadny vyznam. Kdyz to stejne ve finale zariznes.
    iptables -A INPUT -p tcp --dport 22 -j DROP
    Zbycerne, ve finale stejne zahodis.
    iptables -A INPUT -p tcp --dport 2000:3000 -j DROP ip6tables -A INPUT -p tcp --dport 2000:3000 -j DROP
    Michat do sebe ipv6 a ipv4 pravidla? Proc? Kde je zbytek ipv6?
    ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 80 -j ACCEPT ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 443 -j ACCEPT
    Kde mas definovane porty, kdyz to ma byt NFS?
    iptables -A OUTPUT -d 10.0.3.6 -j ACCEPT
    Polovina pravidel k nicemu a naopak ta co maji byt chybi. Spatne poradi. PStana logika. Zadna politika. Hnus.
    16.6.2023 14:26 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Dobře díky za info. Zkusím odstranit ty zbytečné pravidla na DROP. Zkontroluji to pořadí u toho přesměrování a to povolení.

    ipv6, tam je minimálně (původně jsem měl v nft).

    Napsal jste, že tam nějaká pravidla chybí a nějaké je špatně, můžete prosím rozvést?
    16.6.2023 16:50 X
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Klidne muzu pokracovat. Nemas definou politiku a pouzivas ACCEPT, takze vsechno co explicitne nezakazes povolujes. Napriklad libovolne UDP spojeni. Sledovani spojeni mas jen pro INPUT. Neresis vube ICMP provoz. Rozsah pro gmail ma smyslenou masku. Pokud mas pravidel takto malo je prehlednejsi kdyz to rozdelis podle smeru a protokolu. Mimochodem, pouzivas stare neuaktulizovane ubuntu a stare prasive repo. Az to cele prepises tak to sem dej opravene a ucesane znova CELE a muzeme se bavit.
    AraxoN avatar 16.6.2023 12:10 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Všetky tie pravidlá na DROP sú tam IMHO zbytočné. Namiesto toho by DROP mala byť východzia politika a pravidlá by mali špecifikovať len to, čo je povolené.

    Nikde tam napríklad nemáš pravidlo na DROP udp, icmp, či hocijaký z ďalších exotickejších IP packetov. Je ľahké na niečo zabudnúť, práve to rieši východzia politika DROP.
    16.6.2023 14:21 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Díky za info ohledně ostatních protokolů. Upravím ten poslední drop. Co se týče těch předchozích drop, jsou tam kvůli tomu, že jsou to oddělené části (povolení & zákaz zároveň). Ohledně výchozí DROP politiky, můj názor na ní je, že je to vcelku nebezpečné (hlavně bez fyzického přístupu). Viděl jsem několik lidí co díky tomu museli dělat hodně problematické věci...
    2.7.2023 17:59 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Tak udělal jsem pár úprav a zjistil jsem, že ten základní problém je už pouze v tom redirectu / posledním pravdilu pro DROP 
    #clean
iptables --flush;
ip6tables --flush;
iptables -t nat --flush;
#redirect
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8070;
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#allow ports
iptables -A INPUT -p tcp --dport 8070 -j ACCEPT;
iptables -A INPUT -p tcp --dport 443 -j ACCEPT;
#drop all 
#jak toto pravidlo opravit, aby se vše zahodilo, ale zůstal ten redirect?
iptables -A OUTPUT -j DROP
    Jakmile aktivuji to poslední pravidlo, tak ten redirect přestane fungovat.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.