abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    První preview verze xfwl4
    dnes 10:55 | Nová verze

    V lednu bylo oznámeno, že desktopové prostředí Xfce bude mít vlastní kompozitor pro Wayland s názvem xfwl4. O víkendu byla vydána první preview verze.

    Ladislav Hagara | Komentářů: 0
    Android 17
    včera 23:44 | Nová verze

    Minulý týden byl oficiálně vydán Android 17. Detaily na blogu a stránkách věnovaných vývojářům.

    Ladislav Hagara | Komentářů: 3
    Zařízení Steam Machine jde do prodeje
    včera 20:00 | IT novinky

    Dnes jde do prodeje zařízení Steam Machine. Steam Machine 512 GB za 1 039 EUR a Steam Machine 2 TB za 1 359 EUR. Do čtvrtka 25. června do 19:00 se lze zapsat na seznamy. Ty budou jednorázově náhodně slosovány, čímž bude určeno pořadí rezervací a čekacích listin.

    Ladislav Hagara | Komentářů: 9
    OpenMW 0.51.0
    včera 14:44 | Nová verze

    Vývojáři OpenMW (Wikipedie) oznámili vydání verze 0.51.0 této svobodné implementace enginu pro hru The Elder Scrolls III: Morrowind. Přehled novinek v oznámení o vydání a také na YouTube a PeerTube.

    Ladislav Hagara | Komentářů: 0
    ScummVM 2026.3.0 "Carousels & Killer Whales"
    včera 13:33 | Nová verze

    Byla vydána nová verze 2026.3.0 "Carousels & Killer Whales" svobodného softwaru ScummVM (Wikipedie) umožňujícího bezproblémový běh mnoha klasických adventur na zařízeních, pro které nebyly nikdy určeny. Přehled novinek v poznámkách k vydání a na GitHubu.

    Ladislav Hagara | Komentářů: 1
    Vypršení platnosti Microsoft certifikátu v UEFI
    včera 12:22 | IT novinky

    Tento týden (24. a 27. června) vyprší platnost Microsoft certifikátu v UEFI vydaných v roce 2011. Nové certifikáty byly vydány v roce 2023. Kdo na počítačích, i virtuálních, používá zabezpečené spouštění (Secure Boot), měl by si ověřit, že má certifikáty aktualizovány, viz např. články na Red Hat nebo Fedora. Pro stávající systémy se nic nemění. Nadále se budou normálně spouštět. Zavaděče podepsané pouze klíčem z 2023 se ale na počítačích s pouze certifikátem 2011 nespustí. Ve Fedoře je zavaděč shim ve verzi 16.1-6 podepsán klíči 2011 i 2023.

    Ladislav Hagara | Komentářů: 6
    Mobilní Datovka pro Linux
    21.6. 19:55 | Zajímavý software

    Uživatelé mobilních telefonů s Linuxem si nyní mohou nainstalovat aplikaci Mobilní Datovka. Díky tomu je přístup k datovým schránkám dostupný i na zařízeních s mobilními linuxovými distribucemi, jako jsou například Mobian, NixOS Mobile, pmOS atd. Aplikace je dostupná na Flathubu.

    David Heidelberg | Komentářů: 3
    Doporučení SFC pro používání generativní AI při přispívání do FOSS
    21.6. 13:33 | Komunita

    Software Freedom Conservancy v novém dokumentu shrnuje doporučení, jak přistupovat ke generativní AI založené na LLM při přispívání do svobodného a open-source softwaru. Mimo jiné vyzývá k obezřetnosti, transparentnosti a revizi generovaného kódu člověkem.

    |🇵🇸 | Komentářů: 9
    darktable 5.6.0
    21.6. 13:22 | Nová verze

    Byla vydána nová verze 5.6.0 programu na úpravu digitálních fotografií darktable (Wikipedie).

    Ladislav Hagara | Komentářů: 2
    Týden v GNOME a Týden v KDE Plasma (20. června 2026)
    20.6. 20:11 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma. V Týdnu v GNOME je zmíněn flatpak balíček pro GIMP 0.54.1 z roku 1996. Jedná se o poslední verzi GIMPu postavenou nad toolkitem Motif.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (16%)
     (31%)
     (3%)
     (6%)
     (2%)
     (16%)
     (26%)
    Celkem 1968 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Štítky: APT, komunikace, server, sítě


    Dotaz: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního

    16.6.2023 10:19 kotum
    iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Přečteno: 545×
    Už nějakou dobu se peru s nastavením firewallu, imho by to mělo být vcelku jednoduché, ale nedaří se mi. Zjednodušeně mám tenhle skript (reálně větší). Jde však o to, že když ho obvykle takto nastavím, tak buď funguje nějaká komunikace, která by neměla jít (typicky odchozí) a nebo naopak není možné se připojit na ty porty 8070 / 443 kde je to přesměrování. Zkoušel jsem to i převést na nft, ale chovalo se to imho hůře. Je možné, že tam mám nějakou zásadní botu.. 
    #!/bin/sh
#maybe flush all tables?
iptables --flush;
ip6tables --flush;

#allow local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#DNS
iptables -A OUTPUT -p udp -m udp -d 10.0.3.1 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp -d 1.1.1.1 --dport 53 -j ACCEPT

#access http server
iptables -A INPUT -p tcp --dport 8070 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#redirect to port
iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-port 8070;

#ssh allow incomming
iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT

#rest drop connections to ssh
iptables -A INPUT -p tcp --dport 22 -j DROP

#allow connections from specific ips and to specific and ports
iptables -A INPUT -p tcp -s 10.0.3.5 --dport 2000:3000 -j ACCEPT
iptables -A OUTPUT -p tcp -d 10.0.3.5 --dport 2000:3000 -j ACCEPT
iptables -A OUTPUT -p tcp -d 10.0.3.5 --dport 443 -j ACCEPT

#drop all other connections to these ports
iptables -A INPUT -p tcp --dport 2000:3000 -j DROP
ip6tables -A INPUT -p tcp --dport 2000:3000 -j DROP

#allow other communication -> apt and updates
iptables -A OUTPUT -p tcp -d 185.125.190.39 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d 185.125.190.39 --dport 443 -j ACCEPT
ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 80 -j ACCEPT
ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 443 -j ACCEPT

#allow sending email
iptables -A OUTPUT -p tcp -d 142.250.0.0/15 --dport 587 -j ACCEPT

#alow communication with NFS storage
iptables -A OUTPUT -d 10.0.3.6 -j ACCEPT

#drop rest
iptables -A INPUT -p tcp -j DROP
iptables -A OUTPUT -p tcp -j DROP
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    16.6.2023 11:38 X
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Jen to ukaz cele, protoze jen tady je tolik veci blbe, ze nevim kde zacit. Dve chyby a jeste na:
    iptables -A OUTPUT -p udp -m udp -d 10.0.3.1 --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -m udp -d 1.1.1.1 --dport 53 -j ACCEPT
    Proc? Tohle nedava smysl. Stavovy pravidla se davaji vzdy prvni a pravidla se prochaze sekvencne.
    iptables -A INPUT -p tcp --dport 8070 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    Kdyz delas presmerovani tak na co to potom povolujes?? Prerouting pravidla maji prednost.
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT ...

    iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-port 8070;
    Zbytecne, nema zadny vyznam. Kdyz to stejne ve finale zariznes.
    iptables -A INPUT -p tcp --dport 22 -j DROP
    Zbycerne, ve finale stejne zahodis.
    iptables -A INPUT -p tcp --dport 2000:3000 -j DROP ip6tables -A INPUT -p tcp --dport 2000:3000 -j DROP
    Michat do sebe ipv6 a ipv4 pravidla? Proc? Kde je zbytek ipv6?
    ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 80 -j ACCEPT ip6tables -A OUTPUT -p tcp -d 2620:2d:4000:1::19 --dport 443 -j ACCEPT
    Kde mas definovane porty, kdyz to ma byt NFS?
    iptables -A OUTPUT -d 10.0.3.6 -j ACCEPT
    Polovina pravidel k nicemu a naopak ta co maji byt chybi. Spatne poradi. PStana logika. Zadna politika. Hnus.
    16.6.2023 14:26 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Dobře díky za info. Zkusím odstranit ty zbytečné pravidla na DROP. Zkontroluji to pořadí u toho přesměrování a to povolení.

    ipv6, tam je minimálně (původně jsem měl v nft).

    Napsal jste, že tam nějaká pravidla chybí a nějaké je špatně, můžete prosím rozvést?
    16.6.2023 16:50 X
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Klidne muzu pokracovat. Nemas definou politiku a pouzivas ACCEPT, takze vsechno co explicitne nezakazes povolujes. Napriklad libovolne UDP spojeni. Sledovani spojeni mas jen pro INPUT. Neresis vube ICMP provoz. Rozsah pro gmail ma smyslenou masku. Pokud mas pravidel takto malo je prehlednejsi kdyz to rozdelis podle smeru a protokolu. Mimochodem, pouzivas stare neuaktulizovane ubuntu a stare prasive repo. Az to cele prepises tak to sem dej opravene a ucesane znova CELE a muzeme se bavit.
    AraxoN avatar 16.6.2023 12:10 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Všetky tie pravidlá na DROP sú tam IMHO zbytočné. Namiesto toho by DROP mala byť východzia politika a pravidlá by mali špecifikovať len to, čo je povolené.

    Nikde tam napríklad nemáš pravidlo na DROP udp, icmp, či hocijaký z ďalších exotickejších IP packetov. Je ľahké na niečo zabudnúť, práve to rieši východzia politika DROP.
    16.6.2023 14:21 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Díky za info ohledně ostatních protokolů. Upravím ten poslední drop. Co se týče těch předchozích drop, jsou tam kvůli tomu, že jsou to oddělené části (povolení & zákaz zároveň). Ohledně výchozí DROP politiky, můj názor na ní je, že je to vcelku nebezpečné (hlavně bez fyzického přístupu). Viděl jsem několik lidí co díky tomu museli dělat hodně problematické věci...
    2.7.2023 17:59 kotum
    Rozbalit Rozbalit vše Re: iptables -> nastavení fw s redirectem, povolením specifických částí a drop všeho ostatního
    Tak udělal jsem pár úprav a zjistil jsem, že ten základní problém je už pouze v tom redirectu / posledním pravdilu pro DROP 
    #clean
iptables --flush;
ip6tables --flush;
iptables -t nat --flush;
#redirect
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8070;
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#allow ports
iptables -A INPUT -p tcp --dport 8070 -j ACCEPT;
iptables -A INPUT -p tcp --dport 443 -j ACCEPT;
#drop all 
#jak toto pravidlo opravit, aby se vše zahodilo, ale zůstal ten redirect?
iptables -A OUTPUT -j DROP
    Jakmile aktivuji to poslední pravidlo, tak ten redirect přestane fungovat.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.