V Berlíně probíhá konference vývojářů a uživatelů desktopového prostředí KDE Plasma Akademy 2025. Při té příležitosti byla oznámena alfa verze nové linuxové distribuce KDE Linux.
Byl vydán Debian 13.1, tj. první opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.12, tj. dvanáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
Evropská komise potrestala Google ze skupiny Alphabet pokutou 2,95 miliardy eur (71,9 miliardy Kč) za porušení antimonopolní legislativy. Podle EK, která mimo jiné plní funkci antimonopolního orgánu EU, se Google dopustil protisoutěžních praktik ve svém reklamním byznysu. Google v reakci uvedl, že rozhodnutí považuje za chybné a hodlá se proti němu odvolat. EK ve věci rozhodovala na základě stížnosti Evropské rady vydavatelů. Podle
… více »Podpora 32bitového Firefoxu pro Linux skončí v roce 2026. Poslední podporované 32bitové verze budou Firefox 144 a Firefox 140 s rozšířenou podporou, jehož podpora skončí v září 2026.
Společnost Raspberry Pi nově nabízí Raspberry Pi SSD s kapacitou 1 TB za 70 dolarů.
Microsoft BASIC pro mikroprocesor 6502 byl uvolněn jako open source. Zdrojový kód je k dispozici na GitHubu.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil k dokumentu „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“, který vydala americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) s Národní bezpečnostní agenturou (NSA), spolu s dalšími mezinárodními partnery. Dokument vznikl v rámci globálního expertního fóra pro SBOM, které má za cíl motivovat k širšímu využívání … více »
Švýcarská AI centra EPFL, ETH Zurich a CSCS představila otevřený vícejazyčný velký jazykový model (LLM) s názvem Apertus. Vyzkoušet lze na stránce Public AI Inference Utility.
Byl vydán Linux Mint 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.
Čínská společnost Tencent uvolnila svůj AI model HunyuanWorld-Voyager pro generování videí 3D světů z jednoho obrázku a určené trajektorie kamery. Licence ale nedovoluje jeho používání na území Evropské unie, Spojeného království a Jižní Koreje.
Řešení dotazu:
64 bytes from 8.8.8.8: icmp_seq=1 ttl=114 time=79.9 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=114 time=84.0 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=114 time=67.4 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=114 time=84.7 ms 64 bytes from 8.8.8.8: icmp_seq=5 ttl=114 time=59.1 ms 64 bytes from 8.8.8.8: icmp_seq=6 ttl=114 time=79.7 ms 64 bytes from 8.8.8.8: icmp_seq=7 ttl=114 time=56.1 ms 64 bytes from 8.8.8.8: icmp_seq=8 ttl=114 time=7232 ms 64 bytes from 8.8.8.8: icmp_seq=9 ttl=114 time=6195 ms 64 bytes from 8.8.8.8: icmp_seq=10 ttl=114 time=5178 ms 64 bytes from 8.8.8.8: icmp_seq=11 ttl=114 time=6274 ms 64 bytes from 8.8.8.8: icmp_seq=12 ttl=114 time=5984 ms 64 bytes from 8.8.8.8: icmp_seq=13 ttl=114 time=4944 ms 64 bytes from 8.8.8.8: icmp_seq=14 ttl=114 time=4055 ms 64 bytes from 8.8.8.8: icmp_seq=15 ttl=114 time=3590 ms
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related,untracked add action=accept chain=input protocol=icmp add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp add action=accept chain=input dst-port=1701 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachable add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WAN
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related,untracked add action=accept chain=input protocol=icmp # Tohle je zbytečný: add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp # Tohle vyhodit, proč povoluješ L2TP napřímo do routeru bez šifrování? # L2TP by mělo být zabaleno vždy v ipsecu, tj pro L2TP over IPSEC stačí mít povolené porty UDP500 a UDP4500 add action=accept chain=input dst-port=1701 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp # zbytečný, protože dole máš drop connection new add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachable add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN # měl by jsi dělat kompletní drop a ne si jen vybírat add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WANZa mně bych to nastavil takto:
add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp add action=drop chain=input in-interface-list=WANZdar Max
add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=drop chain=input in-interface-list=WANa vysledek je stejny, kdyz posledni pravidlo zmenim z DROP na REJECT, tak je to OK
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j DROP nmap 127.0.0.1 PORT STATE SERVICE 22/tcp filtered ssh iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j REJECT nmap 127.0.0.1 PORT STATE SERVICE 22/tcp filtered ssh iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j REJECT --reject-with tcp-reset nmap 127.0.0.1 PORT STATE SERVICEZdar Max
iptables -A INPUT -s 127.0.0.1 -p udp --dport 53 -j DROP nmap -sU 127.0.0.1 PORT STATE SERVICE 53/udp open|filtered domain iptables -A INPUT -s 127.0.0.1 -p udp --dport 53 -j REJECT nmap -sU 127.0.0.1 PORT STATE SERVICEZdar Max
Pokud se na odeslaný paket nevrátí žádná odpověď, ví odesilatel pořád ještě kulový. V uvedeném příkladu si může myslet, že na portu třeba něco běží a příjemce mu to dropuje, protože ho nemá rád, a ono je to ve skutečnosti třeba tak, že tam nic neběží a příjemce jenom dropuje všechny příchozí pakety a nenamáhá se posíláním odpovědi.PORT STATE SERVICE 53/udp open|filtered domain
blokovaci pravidlo pro DNSTo je jako co konkretne? Blokujes dotazy na DNS server ktery ani neexistuje? Co ma ping spolecneho s UDP na portu 53? To bude pekny gulas..
add action=reject chain=input dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-host-unreachablenyni aktualne Rate: 325 kbps, Packet rate: 549 p/s Kdyz zapnu logovani toho pravidla, tak mam neco takovyho:
21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 91.175.157.92:13838->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 84.205.22.53:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 203.190.14.123:30049->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 14.102.10.10:888->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 47.106.34.105:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 190.12.131.224:13988->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 47.106.177.163:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 195.211.27.148:12139->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 118.107.29.131:28645->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 195.211.27.148:29739->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 106.15.225.175:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 38.6.218.20:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 84.205.22.53:80->x.x.x.x:53, len 71
/ip dns set allow-remote-requests=yesTak to posloucha na vsech rozhranich => na WAN se uplne vykasli a vsechno rovnou zahazuj. Zadny reject, zadne icmp-unreachable, nic na*rat a rovou to vsechno zahazuj. Bohuzel uz jsi se dostal do hledacku nejakeho botnetu etc. a snazi se to pres tebe amplifikovat DNS DDoS.
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachableTohle staci na vsechno:
add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WANDal, vyres ten ping = budes pingat postupne vsechna zarizeni na ceste, dokud nenajdes botu -> ping lokalni gateway, ping wan interface, ping gateway providera, ping ceske ip, ping zahranicni IP. Zacni IP adresama bez DNS prekladu. Take muzes zkusit traceroute nekam ven a uvidime.
# nov/23/2024 09:37:48 by RouterOS 6.48.6 # software id = XL6J-3WUP # # model = RB750Gr3 # serial number = HCQ08APYDF2 /interface bridge add admin-mac=18:FD:74:2B:24:93 auto-mac=no comment=defconf name=bridge /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=default-dhcp ranges=192.168.1.100-192.168.1.254 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.1.1/24 interface=bridge network=192.168.1.0 add address=109.x.x.12/24 interface=ether1 network=109.x.x.0 /ip dhcp-server network add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=reject chain=input comment="WAN->DNS REJECT" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-host-unreachable add action=drop chain=input comment="ALL WAN INPUT DROP" in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN add action=dst-nat chain=dstnat dst-port=15001 in-interface-list=all protocol=tcp to-addresses=192.168.1.2 to-ports=15001 add action=src-nat chain=srcnat dst-address=192.168.1.2 dst-port=15001 protocol=tcp to-addresses=109.x.x.12 add action=dst-nat chain=dstnat dst-port=81 in-interface-list=all protocol=tcp to-addresses=192.168.1.10 to-ports=81 add action=src-nat chain=srcnat dst-address=192.168.1.10 dst-port=81 protocol=tcp to-addresses=109.x.x.12 /ip route add distance=1 gateway=109.x.x.1 /system clock set time-zone-name=Europe/Prague /system identity set name=RouterOS /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
Tiskni
Sdílej: