abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Microsoft zpřístupnil FBI uživatelské šifrovací klíče
    dnes 11:55 | Humor

    Microsoft poskytl FBI uživatelské šifrovací klíče svého nástroje BitLocker, nutné pro odemčení dat uložených na discích třech počítačů zabavených v rámci federálního vyšetřování. Tento krok je prvním známým případem, kdy Microsoft poskytl klíče BitLockeru orgánům činným v trestním řízení. BitLocker je nástroj pro šifrování celého disku, který je ve Windows defaultně zapnutý. Tato technologie by správně měla bránit komukoli kromě

    … více »
    NUKE GAZA! 🎆 | Komentářů: 11
    Spotify rozdělilo 70 000 eur mezi tři open source projekty
    dnes 01:44 | Komunita

    Spotify prostřednictvím svého FOSS fondu rozdělilo 70 000 eur mezi tři open source projekty: FFmpeg obdržel 30 000 eur, Mock Service Worker (MSW) obdržel 15 000 eur a Xiph.Org Foundation obdržela 25 000 eur.

    Ladislav Hagara | Komentářů: 3
    Open source hra Nazdar!
    včera 18:11 | Zajímavý software

    Nazdar! je open source počítačová hra běžící také na Linuxu. Zdrojové kódy jsou k dispozici na GitHubu. Autorem je Michal Škoula.

    Ladislav Hagara | Komentářů: 1
    GNU Guix 1.5.0
    včera 16:55 | Nová verze

    Po více než třech letech od vydání verze 1.4.0 byla vydána nová verze 1.5.0 správce balíčků GNU Guix a na něm postavené stejnojmenné distribuci GNU Guix. S init systémem a správcem služeb GNU Shepherd. S experimentální podporou jádra GNU Hurd. Na vývoji se podílelo 744 vývojářů. Přibylo 12 525 nových balíčků. Jejich aktuální počet je 30 011. Aktualizována byla také dokumentace.

    Ladislav Hagara | Komentářů: 6
    GravIT: jednoduchý CMS napsaný ve FastAPI
    včera 15:44 | Zajímavý software

    Na adrese gravit.huan.cz se objevila prezentace minimalistického redakčního systému GravIT. CMS je napsaný ve FastAPI a charakterizuje se především rychlým načítáním a jednoduchým ukládáním obsahu do textových souborů se syntaxí Markdown a YAML místo klasické databáze. GravIT cílí na uživatele, kteří preferují CMS s nízkými nároky, snadným verzováním (např. přes Git) a možností jednoduchého rozšiřování pomocí modulů. Redakční

    … více »
    2012 | Komentářů: 0
    Modely Qwen3‑TTS jsou nyní open-source
    včera 12:55 | Zajímavý software

    Tým Qwen (Alibaba Cloud) uvolnil jako open-source své modely Qwen3‑TTS pro převádění textu na řeč. Sada obsahuje modely VoiceDesign (tvorba hlasu dle popisu), CustomVoice (stylizace) a Base (klonování hlasu). Modely podporují syntézu deseti různých jazyků (čeština a slovenština chybí). Stránka projektu na GitHubu, natrénované modely jsou dostupné na Hugging Face. Distribuováno pod licencí Apache‑2.0.

    NUKE GAZA! 🎆 | Komentářů: 0
    Zotero 8
    včera 01:11 | Nová verze

    Svobodný citační manažer Zotero (Wikipedie, GitHub) byl vydán v nové major verzi 8. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Rust 1.93.0
    22.1. 16:55 | Nová verze

    Byla vydána verze 1.93.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    ReactOS slaví 30. narozeniny
    22.1. 14:00 | Komunita

    Svobodný operační systém ReactOS (Wikipedie), jehož cílem je kompletní binární kompatibilita s aplikacemi a ovladači pro Windows, slaví 30. narozeniny.

    Ladislav Hagara | Komentářů: 8
    Raspberry Pi Flash Drive
    22.1. 11:00 | IT novinky

    Společnost Raspberry Pi má nově v nabídce flash disky Raspberry Pi Flash Drive: 128 GB za 30 dolarů a 256 GB za 55 dolarů.

    Ladislav Hagara | Komentářů: 2
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (6%)
     (0%)
     (10%)
     (22%)
     (3%)
     (5%)
     (2%)
     (11%)
     (35%)
    Celkem 594 hlasů
     Komentářů: 17, poslední 22.1. 15:24
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / stavovy firewall - vyresi utocnikovo presmerovani portu?
    Štítky: DNS, firewally, Internet, iptables, IRC, KDE, NAT, proxy, P2P, sítě

    Dotaz: stavovy firewall - vyresi utocnikovo presmerovani portu?

    17.3.2004 23:53 karel maly | skóre: 14
    stavovy firewall - vyresi utocnikovo presmerovani portu?
    Přečteno: 335×
    Pokud mam nakonfigurovany stavovy firewall (treba iptables) a uzivatel z vnitrni site pouzije redirektor na masine nekde v Internetu a presmeruje si napr. P2P nebo IRC komunikaci pres povoleny port 80 (treba), kde by tedy mel bezet webserver, zabrani mu v tom stavovy firewall, ktery by mel tedy poznat, ze se nejedna o HTTP pozadavky??

    Dekuji.
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    18.3.2004 00:10 unchallenger | skóre: 69 | blog: unchallenger
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    IMHO to nijak nesouvisí se stavovostí firewalu, to je ortogonální vlastnost.

    Na to potřebuješ hlavně fw na aplikační vrstvě (resp. ,skoro` na aplikační vrstvě), který bude nějak interpretovat obsah paketů, nejen hlavičky, což běžné moduly iptables nedělají (kromě ip_conntrack_ftp a spol.). Na boj s P2P existuje např. ipt_p2p, i když jsem ho popravdě řečeno nezkoušel, a nevím, co vlastně dělá...
    18.3.2004 07:16 unchallenger | skóre: 69 | blog: unchallenger
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Tedy, fw opravdu na aplikační vrstvě musí být samozřejmě stavový, ale tohle by nemuselo...
    18.3.2004 09:53 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    S P2P Kazaa jsem bojoval a vyhral :) Musel jsem prekompilit jadro tak, aby melo experimentalni podporu ipt_string, a pak vhodnym pravidlem ctu paket, a pokud obsahuje X-KaZaA, nebo tak nejak, dropnu ho, a tim je konec. Resil jsem to v jedne inet kavarne, kde to uspesne kazu vyhnalo z wokynek..
    18.3.2004 10:13 B0biN | skóre: 21 | blog: B0biN bloguje
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Cau, mohl by jsi presneji popsat, jaky a kde parametr v jadre a co presne pouzit v iptables ...??? diky
    cd /pub | more beer
    18.3.2004 10:27 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    http://www.securityfocus.com/infocus/1531

    a nejdriv si pomoci ngrep chvili cist pakety, a pak zvolit ten vhodny string :-)
    18.3.2004 11:45 Yeti
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Je ovšem jasné, že tohle je primitivní metoda, protože to zahodí i paket z této WWW stránky obsahující právě to X-KaZaA v příspěvku...
    18.3.2004 10:19 karel maly | skóre: 14
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    to P2P sem uvedl ciste jako priklad. Jde mi predevsim o ten stavovy firewall.

    Dejme tomu, ze zablokuji vsechny porty a povolim pouze "www". Bude pres tenhle port, ktery pouziva "www" moci nekdo z vnitrni site protlacit trebas to IRC? Jde mi jen o to, jestli to pres ten port projde nebo ne. Ale k cemu by pak byl stavovy firewall(?)

    Tohle by prece iptables mely umet a pritom se nejedna o aplikacni firewall.

    Dekuji.
    18.3.2004 10:30 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    no podle myho cislo portu je fuk, kdyz se pomoci 80ky pripoji treba na IRC bouncer, ten uz ho na IRC dostane....

    A vubec, s blokovanim IRC nesouhlasim :) Skodi jen pracovni moralce :))))
    18.3.2004 10:37 karel maly | skóre: 14
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    IRC byl take jen priklad:))) Nepotrebuji nikoho omezovat:) Berte proste jakoukoliv jinou sluzbu nez www, pokud se tedy bavime prikladove prave o www.

    A dokaze mi tedy nekdo rict k cemu nebo spise co je ten stavovy firewall (v iptables)???
    18.3.2004 11:36 Dušan Hokův | skóre: 43 | blog: Fedora a další...
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    http://www.root.cz/clanek/995
    18.3.2004 11:39 Yeti
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Stavový firewall není v iptables, stavový firewal jsou iptables (resp. iptables jsou jen user-space nástroj na ovládání netfilteru, což je firewall v jádře, ale běžně se říká iptables všemu).

    Stavový firewall si prostě pamatuje stav spojení, takže neposuzuje každý paket samostatně, ale ví, zda patří do existujícího spojení, etc. That's all.
    18.3.2004 15:23 karel maly | skóre: 14
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    ten clanek z rootu sem cetl, cetl sem i jine zdroje, kde se prave psalo o tom, ze prave v pripade protokolu HTTP to kontroluje, zdali prochazeji korektni pozadavky GET, POST, atd.

    Dobre, "neposuzuje kazdy paket samostatne,...", ale je tedy to co rikam ja spravne? Propusti to napr. IRC pres port, ktery patri www nebo ne??

    Dekuji.
    18.3.2004 19:23 unchallenger | skóre: 69 | blog: unchallenger
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Které zdroje píší o kontrole HTTP požadavků? Tak tam si najdi, co je to za modul, který to umí, pokud takový existuje.

    Jinak budeme pořád mluvit jeden o voze a druhý o koze. Co, tj. který modul netfilteru, má propustit nebo nepropustit IRC přes port 80? Ty, co jsou ve vanilla jádře, obsah HTTP paketů nekontrolují.

    Což nesouvisí se stavovostí, kromě multiportových spojení (FTP...), chybových zpráv (ICMP) a dalších věcí, kde mě zajímá stav RELATED, stačí ke zjištění stavu číst hlavičky.
    18.3.2004 18:27 kmaly
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Nevim presne jak to presmerovani funguje, ale ja kdyz jsem potreboval propustit urcity provoz pres branu s winroute, kde byly blokovany vsechny porty mimo urcitych, stacilo napsat a ted se drzte(!):

    $IPT -t nat -A POSTROUTING -o eth0 -j SNAT -p tcp --sport $PORT1 --to-port $PORT2

    Tady je videt, ze by stacilo, kdyby firewall umel filtrovat podle cilovyho portu!!!
    18.3.2004 20:16 David Jež | skóre: 42 | blog: -djz | Brno
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Tak to ti asi reknu novniku - firewall nad netfilterem realizovany pomoci iptables podle ciloveho portu samozrejme filtrovat umi. Jinak to by teda nestacilo, protoze pokud se nemilim, puvodni dotaz znel jestli jakykoliv firewall vyresi utocnikovo presmerovani portu - nevyresi, vysvetlim.
    -djz
    "Yield to temptation; it may not pass your way again." -- R. A. Heinlein
    18.3.2004 20:36 David Jež | skóre: 42 | blog: -djz | Brno
    Rozbalit Rozbalit vše stavovy firewall - vyresi utocnikovo presmerovani portu?
    Zdravim,
    jak si tak ctu diskuzi zjistuji ze vubec nevis co to vlastne znamena slovo "stavovy" a ostatni se uz odviji podle toho. Myslis sice spravne pozadavek ale pletes jablka s hruskama a takze cely dotaz vyzniva lehce usmevne a pak uz si nerozumis s diskutujicima kteri diskutuji k veci :-). Pokusim se to tedy nejak objasnit.

    Stavovy firewall pokud se budeme bavit o netfilteru a iptables znamena jednoduse receno to, ze KAZDEMU packetu se kterym prijde do styku nastavi nejaky jeho STAV. Stav znamena pouze: novy (packet navazujici spojeni), soucast jiz navazaneho spojeni, paket ktery nejak patri k navazanemu spojeni a popripade nejaky vadny paket (rozlisuje chytre podle sve tabulky a ne priznaku v paketu). Ciste na sitove urovni, ne aplikacni. To je vse co umi, vidis tam nekde jakoukoliv zminku o HTTP pozadavcich natoz ze by ji mel zvladat? Ja tedy ne. Z toho je videt ze stavovost je neco uplne jineho nez o cem mluvis. To jen tak na uvod :-).

    Ptas se jestli jsem to dobre pochopil jestli je mozne nejak zabranit tomu, ze nekdo bude mit na internetu svuj redirector kamkoliv a bude se snim spojovat pomoci firewallu. Neda, neda se tomu zabranit nijak, musis se s tim smirit.

    Pokud budes mit v odchozim smeru povolen provoz na port 80 tak se kazdy muze pripojit na tento port na jakemkoliv stroji. Tudiz pokud tam bude redirector kamkoliv jinam nebo treba pokud si nekdo udela tunel pryc do svobodneho sveta ne tebou cenzurovaneho tak to nezjistis protoze cilova adresa bude porat adresa redirectoru a jeho portu. Pouze s ni komunikuje klient a nikdo ani firewall nemuze zjistit cokoliv jine. Spoj muze byt sifrovany a pak poznas prd i podle nejakeho grepu na packetech.

    Dale pokud bys zakazal cele spojeni ze site ven a pouzil bys aplikacni proxy (treba squida) tak je to nejen nepohodlne, navic nebude fungovat ani posta a dalsi zalezitosti a navic tim neodradis ani stredne inteligentniho zluteho psa ktery si napise redirector ktery bude vse balit do HTTP protokolu. To dokonce zvlada hafo her a i hloupejsi chatovadla a vetsinou si poradi i s nekolika proxy po ceste.

    Abych to shrnul, at vymyslis cokoliv tak tim mozna stizis praci lamam ale nezabranis spojeni ven uplne. Vzdycky se najde nejaka skulina od tunelu pomoci icmp, dns az po http kterou schopnejsi uzivatel vyuzije. Jedinou moznosti je uskrceni vsech uzivatelu nebo prestrihnuti sitoveho kabelu.
    -djz

    "Yield to temptation; it may not pass your way again." -- R. A. Heinlein

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.