Hurl byl vydán ve verzi 6.0.0. Hurl je nástroj běžící v příkazovém řádku, který spouští HTTP požadavky definované v textovém souboru.
Výsledek hlasování: Výchozím grafickým motivem Debianu 13 aneb Trixie bude Ceratopsian.
Rodina jednodeskových počítačů Orange Pi se rozrostla (𝕏) o Orange Pi 5 Ultra.
Mobilní Datovka, tj. svobodná aplikace pro přístup k datovým schránkám pro zařízení s operačním systémem iOS a Android, byla vydána v nové verzi 2.2.0. Nově lze nastavit vlastní obrázky pro jednotlivé datové schránky pro jejich lepší identifikaci v seznamu schránek. Přidán byl editor vnitřních nastavení aplikace, který slouží jako přehled všech hodnot, které aplikace udržuje.
Společnost DuckDuckGo stojící za stejnojmenným vyhledávačem letos věnovala 1,1 milionu dolarů na podporu digitálních práv, online soukromí a lepšího internetového ekosystému. Peníze byly rozděleny mezi Electronic Frontier Foundation (EFF), Public Knowledge, ARTICLE 19, Demand Progress, European Digital Rights (EDRi), Fight for the Future, The Markup, OpenMedia, Restore the Fourth, Signal, Surveillance Technology Oversight
… více »LibrePCB, tj. svobodný multiplatformní softwarový nástroj pro návrh desek plošných spojů (PCB), byl vydán ve verzi 1.2.0. Přehled novinek v příspěvku na blogu a v aktualizované dokumentaci. Vypíchnut je import knihoven KiCadu. Zdrojové kódy LibrePCB jsou k dispozici na GitHubu pod licencí GPLv3.
Při mezinárodní operaci byla zablokována pokročilá služba pro šifrovanou komunikaci MATRIX, oznámil úřad pro evropskou justiční spolupráci Eurojust. K uzavření služby podle něj vedlo vyšetřování společného týmu, na němž se podílely francouzské a nizozemské úřady a který byl zřízen při Eurojustu. Službu podle něj využívaly kriminální živly. Tato služba MATRIX nemá nic společného s nadací Matrix a protokolem Matrix.
Národní filmový archiv spustil nový YouTube kanál Filmová klasika, který veřejnosti postupně zpřístupní vybrané české filmy. Nabídne především tituly, které obecenstvo v běžné nabídce televizí nebo VOD platforem nenajde. Dnes v 18:00 kanál odstartoval kultovním snímkem Kouř režiséra Tomáše Vorla. Divačky a diváci se pak každý týden budou moci těšit na dva nové filmy, které se na novém kanálu objeví vždy v úterý a v pátek. Spolu s Kouřem nabídla Filmová klasika ještě další desítku filmů ke zhlédnutí.
Příspěvek na blogu Raspberry Pi informuje, že Steam Link běží už i na Raspberry Pi 5. Nejnovější verze podporuje H.264 (1080p s 144 FPS) i HEVC (4K s 60 FPS a 1080p s 240 FPS).
Na čem aktuálně pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za listopad (YouTube).
Řešení dotazu:
64 bytes from 8.8.8.8: icmp_seq=1 ttl=114 time=79.9 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=114 time=84.0 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=114 time=67.4 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=114 time=84.7 ms 64 bytes from 8.8.8.8: icmp_seq=5 ttl=114 time=59.1 ms 64 bytes from 8.8.8.8: icmp_seq=6 ttl=114 time=79.7 ms 64 bytes from 8.8.8.8: icmp_seq=7 ttl=114 time=56.1 ms 64 bytes from 8.8.8.8: icmp_seq=8 ttl=114 time=7232 ms 64 bytes from 8.8.8.8: icmp_seq=9 ttl=114 time=6195 ms 64 bytes from 8.8.8.8: icmp_seq=10 ttl=114 time=5178 ms 64 bytes from 8.8.8.8: icmp_seq=11 ttl=114 time=6274 ms 64 bytes from 8.8.8.8: icmp_seq=12 ttl=114 time=5984 ms 64 bytes from 8.8.8.8: icmp_seq=13 ttl=114 time=4944 ms 64 bytes from 8.8.8.8: icmp_seq=14 ttl=114 time=4055 ms 64 bytes from 8.8.8.8: icmp_seq=15 ttl=114 time=3590 ms
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related,untracked add action=accept chain=input protocol=icmp add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp add action=accept chain=input dst-port=1701 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachable add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WAN
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related,untracked add action=accept chain=input protocol=icmp # Tohle je zbytečný: add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp # Tohle vyhodit, proč povoluješ L2TP napřímo do routeru bez šifrování? # L2TP by mělo být zabaleno vždy v ipsecu, tj pro L2TP over IPSEC stačí mít povolené porty UDP500 a UDP4500 add action=accept chain=input dst-port=1701 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp # zbytečný, protože dole máš drop connection new add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachable add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN # měl by jsi dělat kompletní drop a ne si jen vybírat add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WANZa mně bych to nastavil takto:
add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp add action=drop chain=input in-interface-list=WANZdar Max
add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=drop chain=input in-interface-list=WANa vysledek je stejny, kdyz posledni pravidlo zmenim z DROP na REJECT, tak je to OK
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j DROP nmap 127.0.0.1 PORT STATE SERVICE 22/tcp filtered ssh iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j REJECT nmap 127.0.0.1 PORT STATE SERVICE 22/tcp filtered ssh iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j REJECT --reject-with tcp-reset nmap 127.0.0.1 PORT STATE SERVICEZdar Max
iptables -A INPUT -s 127.0.0.1 -p udp --dport 53 -j DROP nmap -sU 127.0.0.1 PORT STATE SERVICE 53/udp open|filtered domain iptables -A INPUT -s 127.0.0.1 -p udp --dport 53 -j REJECT nmap -sU 127.0.0.1 PORT STATE SERVICEZdar Max
Pokud se na odeslaný paket nevrátí žádná odpověď, ví odesilatel pořád ještě kulový. V uvedeném příkladu si může myslet, že na portu třeba něco běží a příjemce mu to dropuje, protože ho nemá rád, a ono je to ve skutečnosti třeba tak, že tam nic neběží a příjemce jenom dropuje všechny příchozí pakety a nenamáhá se posíláním odpovědi.PORT STATE SERVICE 53/udp open|filtered domain
blokovaci pravidlo pro DNSTo je jako co konkretne? Blokujes dotazy na DNS server ktery ani neexistuje? Co ma ping spolecneho s UDP na portu 53? To bude pekny gulas..
add action=reject chain=input dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-host-unreachablenyni aktualne Rate: 325 kbps, Packet rate: 549 p/s Kdyz zapnu logovani toho pravidla, tak mam neco takovyho:
21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 91.175.157.92:13838->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 84.205.22.53:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 203.190.14.123:30049->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 14.102.10.10:888->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 47.106.34.105:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 190.12.131.224:13988->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 47.106.177.163:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 195.211.27.148:12139->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 118.107.29.131:28645->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 195.211.27.148:29739->x.x.x.x:53, len 65 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 106.15.225.175:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 38.6.218.20:80->x.x.x.x:53, len 71 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 84.205.22.53:80->x.x.x.x:53, len 71
/ip dns set allow-remote-requests=yesTak to posloucha na vsech rozhranich => na WAN se uplne vykasli a vsechno rovnou zahazuj. Zadny reject, zadne icmp-unreachable, nic na*rat a rovou to vsechno zahazuj. Bohuzel uz jsi se dostal do hledacku nejakeho botnetu etc. a snazi se to pres tebe amplifikovat DNS DDoS.
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachableTohle staci na vsechno:
add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WANDal, vyres ten ping = budes pingat postupne vsechna zarizeni na ceste, dokud nenajdes botu -> ping lokalni gateway, ping wan interface, ping gateway providera, ping ceske ip, ping zahranicni IP. Zacni IP adresama bez DNS prekladu. Take muzes zkusit traceroute nekam ven a uvidime.
# nov/23/2024 09:37:48 by RouterOS 6.48.6 # software id = XL6J-3WUP # # model = RB750Gr3 # serial number = HCQ08APYDF2 /interface bridge add admin-mac=18:FD:74:2B:24:93 auto-mac=no comment=defconf name=bridge /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=default-dhcp ranges=192.168.1.100-192.168.1.254 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.1.1/24 interface=bridge network=192.168.1.0 add address=109.x.x.12/24 interface=ether1 network=109.x.x.0 /ip dhcp-server network add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=reject chain=input comment="WAN->DNS REJECT" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-host-unreachable add action=drop chain=input comment="ALL WAN INPUT DROP" in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN add action=dst-nat chain=dstnat dst-port=15001 in-interface-list=all protocol=tcp to-addresses=192.168.1.2 to-ports=15001 add action=src-nat chain=srcnat dst-address=192.168.1.2 dst-port=15001 protocol=tcp to-addresses=109.x.x.12 add action=dst-nat chain=dstnat dst-port=81 in-interface-list=all protocol=tcp to-addresses=192.168.1.10 to-ports=81 add action=src-nat chain=srcnat dst-address=192.168.1.10 dst-port=81 protocol=tcp to-addresses=109.x.x.12 /ip route add distance=1 gateway=109.x.x.1 /system clock set time-zone-name=Europe/Prague /system identity set name=RouterOS /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
Tiskni Sdílej: