abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Shotcut 25.05.11
    dnes 11:44 | Nová verze

    Byla vydána nová verze 25.05.11 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 0
    GNU Taler 1.0
    dnes 11:11 | Nová verze

    Svobodný elektronický platební systém GNU Taler (Wikipedie, cgit) byl vydán ve verzi 1.0. GNU Taler chrání soukromí plátců a zároveň zajišťuje, aby byl příjem viditelný pro úřady. S vydáním verze 1.0 byl systém spuštěn ve Švýcarsku.

    Ladislav Hagara | Komentářů: 2
    Pozvánka na 209. sraz OpenAltu v Brně. OpenAlt komunita se potká s komunitou OpenSSL
    dnes 00:55 | Pozvánky

    Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 209. brněnský sraz, který proběhne tento pátek 16. května od 18:00 ve studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Jelikož se Brno stalo jedním z hlavních míst, kde se vyvíjí open source knihovna OpenSSL, tentokrát se OpenAlt komunita potká s komunitou OpenSSL. V rámci srazu Anton Arapov z OpenSSL

    … více »
    Ladislav Hagara | Komentářů: 0
    GNOME Foundation má nového výkonného ředitele
    dnes 00:22 | Komunita

    GNOME Foundation má nového výkonného ředitele. Po deseti měsících skončil dočasný výkonný ředitel Richard Littauer. Vedení nadace převzal Steven Deobald.

    Ladislav Hagara | Komentářů: 3
    Vývoj renderovacího jádra Servo za uplynulé dva měsíce
    10.5. 15:00 | Zajímavý článek

    Byl publikován přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie) za uplynulé dva měsíce. Servo zvládne už i Gmail. Zakázány jsou příspěvky generované pomocí AI.

    Ladislav Hagara | Komentářů: 12
    Raspberry Pi Connect 2.5
    9.5. 17:22 | Nová verze

    Raspberry Pi Connect, tj. oficiální služba Raspberry Pi pro vzdálený přístup k jednodeskovým počítačům Raspberry Pi z webového prohlížeče, byla vydána v nové verzi 2.5. Nejedná se už o beta verzi.

    Ladislav Hagara | Komentářů: 4
    1272 projektů (vývojářů) přijatých do Google Summer of Code 2025
    9.5. 15:22 | Komunita

    Google zveřejnil seznam 1272 projektů (vývojářů) od 185 organizací přijatých do letošního, již jednadvacátého, Google Summer of Code. Plánovaným vylepšením v grafických a multimediálních aplikacích se věnuje článek na Libre Arts.

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.100
    8.5. 19:22 | Nová verze

    Byla vydána (𝕏) dubnová aktualizace aneb nová verze 1.100 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.100 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    Home Assistant 2025.5
    8.5. 18:00 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.5.

    Ladislav Hagara | Komentářů: 0
    OpenSearch 3.0
    8.5. 01:22 | Nová verze

    OpenSearch (Wikipedie) byl vydán ve verzi 3.0. Podrobnosti v poznámkách k vydání. Jedná se o fork projektů Elasticsearch a Kibana.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký filesystém primárně používáte?
     (58%)
     (1%)
     (8%)
     (22%)
     (4%)
     (2%)
     (3%)
     (1%)
     (1%)
     (3%)
    Celkem 587 hlasů
     Komentářů: 26, poslední 8.5. 09:58
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Štítky: APT, komunikace, server, sítě

    Dotaz: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního

    16.6.2023 10:19 kotum
    iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Přečteno: 509×
    Už nějakou dobu se peru s nastavením firewallu, imho by to mělo být vcelku jednoduché, ale nedaří se mi. Zjednodušeně mám tenhle skript (reálně větší). Jde však o to, že když ho obvykle takto nastavím, tak buď funguje nějaká komunikace, která by neměla jít (typicky odchozí) a nebo naopak není možné se připojit na ty porty 8070 / 443 kde je to přesměrování. Zkoušel jsem to i převést na nft, ale chovalo se to imho hůře. Je možné, že tam mám nějakou zásadní botu.. 
    #!/bin/sh
#maybe flush all tables?
iptables --flush;
ip6tables --flush;

#allow local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#DNS
iptables -A OUTPUT -p udp -m udp -d 10.0.3.1 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp -d 1.1.1.1 --dport 53 -j ACCEPT

#access http server
iptables -A INPUT -p tcp --dport 8070 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#redirect to port
iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-port 8070;

#ssh allow incomming
iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT

#rest drop connections to ssh
iptables -A INPUT -p tcp --dport 22 -j DROP

#allow connections from specific ips and to specific and ports
iptables -A INPUT -p tcp -s 10.0.3.5 --dport 2000:3000 -j ACCEPT
iptables -A OUTPUT -p tcp -d 10.0.3.5 --dport 2000:3000 -j ACCEPT
iptables -A OUTPUT -p tcp -d 10.0.3.5 --dport 443 -j ACCEPT

#drop all other connections to these ports
iptables -A INPUT -p tcp --dport 2000:3000 -j DROP
ip6tables -A INPUT -p tcp --dport 2000:3000 -j DROP

#allow other communication -> apt and updates
iptables -A OUTPUT -p tcp -d 185.125.190.39 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d 185.125.190.39 --dport 443 -j ACCEPT
ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 80 -j ACCEPT
ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 443 -j ACCEPT

#allow sending email
iptables -A OUTPUT -p tcp -d 142.250.0.0/15 --dport 587 -j ACCEPT

#alow communication with NFS storage
iptables -A OUTPUT -d 10.0.3.6 -j ACCEPT

#drop rest
iptables -A INPUT -p tcp -j DROP
iptables -A OUTPUT -p tcp -j DROP
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    16.6.2023 11:38 X
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Jen to ukaz cele, protoze jen tady je tolik veci blbe, ze nevim kde zacit. Dve chyby a jeste na:
    iptables -A OUTPUT -p udp -m udp -d 10.0.3.1 --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -m udp -d 1.1.1.1 --dport 53 -j ACCEPT
    Proc? Tohle nedava smysl. Stavovy pravidla se davaji vzdy prvni a pravidla se prochaze sekvencne.
    iptables -A INPUT -p tcp --dport 8070 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    Kdyz delas presmerovani tak na co to potom povolujes?? Prerouting pravidla maji prednost.
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT ...

    iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-port 8070;
    Zbytecne, nema zadny vyznam. Kdyz to stejne ve finale zariznes.
    iptables -A INPUT -p tcp --dport 22 -j DROP
    Zbycerne, ve finale stejne zahodis.
    iptables -A INPUT -p tcp --dport 2000:3000 -j DROP ip6tables -A INPUT -p tcp --dport 2000:3000 -j DROP
    Michat do sebe ipv6 a ipv4 pravidla? Proc? Kde je zbytek ipv6?
    ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 80 -j ACCEPT ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 443 -j ACCEPT
    Kde mas definovane porty, kdyz to ma byt NFS?
    iptables -A OUTPUT -d 10.0.3.6 -j ACCEPT
    Polovina pravidel k nicemu a naopak ta co maji byt chybi. Spatne poradi. PStana logika. Zadna politika. Hnus.
    16.6.2023 14:26 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Dobře díky za info. Zkusím odstranit ty zbytečné pravidla na DROP. Zkontroluji to pořadí u toho přesměrování a to povolení.

    ipv6, tam je minimálně (původně jsem měl v nft).

    Napsal jste, že tam nějaká pravidla chybí a nějaké je špatně, můžete prosím rozvést?
    16.6.2023 16:50 X
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Klidne muzu pokracovat. Nemas definou politiku a pouzivas ACCEPT, takze vsechno co explicitne nezakazes povolujes. Napriklad libovolne UDP spojeni. Sledovani spojeni mas jen pro INPUT. Neresis vube ICMP provoz. Rozsah pro gmail ma smyslenou masku. Pokud mas pravidel takto malo je prehlednejsi kdyz to rozdelis podle smeru a protokolu. Mimochodem, pouzivas stare neuaktulizovane ubuntu a stare prasive repo. Az to cele prepises tak to sem dej opravene a ucesane znova CELE a muzeme se bavit.
    AraxoN avatar 16.6.2023 12:10 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Všetky tie pravidlá na DROP sú tam IMHO zbytočné. Namiesto toho by DROP mala byť východzia politika a pravidlá by mali špecifikovať len to, čo je povolené.

    Nikde tam napríklad nemáš pravidlo na DROP udp, icmp, či hocijaký z ďalších exotickejších IP packetov. Je ľahké na niečo zabudnúť, práve to rieši východzia politika DROP.
    16.6.2023 14:21 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Díky za info ohledně ostatních protokolů. Upravím ten poslední drop. Co se týče těch předchozích drop, jsou tam kvůli tomu, že jsou to oddělené části (povolení & zákaz zároveň). Ohledně výchozí DROP politiky, můj názor na ní je, že je to vcelku nebezpečné (hlavně bez fyzického přístupu). Viděl jsem několik lidí co díky tomu museli dělat hodně problematické věci...
    2.7.2023 17:59 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Tak udělal jsem pár úprav a zjistil jsem, že ten základní problém je už pouze v tom redirectu / posledním pravdilu pro DROP 
    #clean
iptables --flush;
ip6tables --flush;
iptables -t nat --flush;
#redirect
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8070;
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#allow ports
iptables -A INPUT -p tcp --dport 8070 -j ACCEPT;
iptables -A INPUT -p tcp --dport 443 -j ACCEPT;
#drop all 
#jak toto pravidlo opravit, aby se vše zahodilo, ale zůstal ten redirect?
iptables -A OUTPUT -j DROP
    Jakmile aktivuji to poslední pravidlo, tak ten redirect přestane fungovat.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.