abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 14:23 | Zajímavý článek
Check Point zveřejnil report, podle kterého NSA v roce 2013 vytvořila exploit pro operační systém MS Windows. Exploit sloužil k lokální eskalaci práv. O rok později tento exploit ukradli hackeři z Číny. Až po dvou letech byl exploit zveřejněn a Microsoft vydal aktualizaci. Jinými slovy, celé téma se točí o tom, jak NSA zřejmě přispěla ke globálnímu snížení kybernetické bezpečnosti. Celý příběh podrobně naleznete na checkpoint.com.
Max | Komentářů: 2
dnes 09:11 | Komunita

Framework Flutter (Wikipedie) pro vývoj mobilních, webových i desktopových aplikací byl vydán ve verzi 2 a související programovací jazyk Dart (Wikipedie) byl vydán ve verzi 2.12. Proběhla online konference Flutter Engage. Videozáznam je k dispozici na YouTube. Canonical zde oznámil (Twitter, YouTube), že Flutter je výchozí volba pro vývoj nových aplikací pro Ubuntu.

Ladislav Hagara | Komentářů: 0
dnes 09:00 | IT novinky

Společnost AMD na YouTube představila novou grafickou kartu AMD Radeon RX 6700 XT postavenou na architektuře RDNA 2. V prodeji bude od 18. března. Její cena byla stanovena na 479 dolarů.

Ladislav Hagara | Komentářů: 9
dnes 08:00 | Nová verze

Uživatelsky přívětivý shell fish byl vydán ve verzi 3.2.0 Vylepšuje uživatelské rozhraní (doplňování, práce s historií úprav textu aj.), přidává napovídání argumentů dalších aplikací, zjednodušuje syntaxi (expanze rozsahů), opravuje chyby.

Fluttershy, yay! | Komentářů: 0
včera 16:00 | Zajímavý software

Steam Link je nově dostupný také pro 64bitový x86 Linux. Streamovat hry z výkonného počítače s nainstalovanou službou Steam lze tedy vedle telefonu, tabletu nebo televize i do počítače s Linuxem. Instalovat Steam Link lze z Flathubu. Od prosince 2018 je k dispozici Steam Link pro Raspberry Pi.

Ladislav Hagara | Komentářů: 0
včera 14:28 | Nová verze

openSUSE Leap 15.3 je od dnešního dne v Beta fázi. Toto vydání je zajímavé tím, že využívá binárních balíčků přímo ze SUSE Linux Enterprise. Podpora ARMv7 zařízení se odštěpila do samostatného podprojektu openSUSE Step. Instalační obrazy Leapu 15.3 jsou k nalezení na get.opensuse.org/testing. Pro ty, co se zapojí do Beta testování, čeká po skončení Beta fáze tričko. Více informací naleznete v oficiálním oznámení.

lkocman | Komentářů: 3
včera 10:00 | Nová verze

Byla vydána nová verze 8.5 sady aplikací pro SSH komunikaci OpenSSH. Opětovně se upozorňuje na blížící se zákaz algoritmu ssh-rsa kvůli možnému útoku na SHA-1.

Ladislav Hagara | Komentářů: 0
včera 09:44 | Pozvánky

Ako posunúť monitoring pomocou Zabbixu na vyššiu úroveň alebo "Čo nenájdete v out of the box inštalácii" odprezentuje séria Zabbix webinárov v slovenčine. Medzi témami nájdete napr. servisný strom, integráciu Openshift klastrov, monitoring SAP prostredia a iné.

gofree | Komentářů: 0
včera 09:00 | Komunita

Společnost Adobe oznámila, že končí s multiplatformním open source textovým editorem Brackets a jeho uživatelům doporučuje přechod na Visual Studio Code s rozšířením Brackets.

Ladislav Hagara | Komentářů: 7
včera 08:00 | Nová verze

Google Chrome 89 byl prohlášen za stabilní. Nejnovější stabilní verze 89.0.4389.72 přináší řadu oprav a vylepšení (YouTube). Zdůraznit je nutno WebHID, WebNFC a Web Serial aneb možnost komunikace například s Raspberry Pi Pico nebo Stream Deck přímo z Chrome. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 47 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 2
Vzděláváte se formou hromadných online kurzů (MOOC)?
 (58%)
 (10%)
 (1%)
 (6%)
 (25%)
Celkem 88 hlasů
 Komentářů: 0
Rozcestník

Dotaz: filtrování podle zdrojového portu

8.4.2004 15:17 Aleš Maňák
filtrování podle zdrojového portu
Přečteno: 49×
Mám malou síť s routerem na RedHatu 8.0, jádro 2.4.21 -pre 4. Tento počítač neposkytuje žádné služby. Mám tyto rozhraní:
wlan0 -adr. 192.168.200.213 do Internetu (poskytovatel to NATuje)
wlan1 -adr. 172.16.2.1 - pro připojení kamarádů
eth0 -adr. 172.16.3.1 - síť u nás doma
Používám SNAT na adresu 192.168.200.213 Na ostatních počítačích jsou Windows.
Pokouším se nastavit firewall tak, aby mohly procházet pouze určité služby - pro začátek www.
Zkusil jsem podle Linux dokumentační projekt strana 403 toto:
iptables -P FORWARD DROP
iptables -A FORWARD -m tcp -p tcp -s 0/0 --sport 80 -d 172.16.3.0/24 --syn -j DROP
iptables -A FORWARD -m tcp -p tcp -s 172.16.3.0/24 --sport 80 -d 0/0 -j ACCEPT
iptables -A FORWARD -m tcp -p tcp -d 172.16.3.0/24 --dport 80 -s 0/0 -j ACCEPT
ale nefunguje to a ani v logu se nic neobjeví.
Pak jsem vyzkoušel
iptables -A FORWARD -o wlan0 -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
podle ROOTa
To funguje, ale myslím, že v případě, že by si někdo stáhl nějakého trojana, pak by tento mohl posílat co by chtěl a tímto firewallem by to prošlo. V logu se na mé straně objevuje zdrojový port např 1096 a pokaždé je jiný a navíc se mění i v průběhu spojení. Jak tedy podle něho filtrovat, nebo jak napsat pravidla tak, aby prošlo jen www? Další služby, které bych chtěl postupně povolit, jsou ftp a pošta.Nevíte někdo jak to vyřešit? Děkuju za každý nápad

Odpovědi

8.4.2004 15:24 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Pletete si zrejme zdrojovy a cilovy port.

Taky nevim jak chcete na routeru rozeznat chytreho trojana od weboveho prohlizece.
8.4.2004 15:45 l4m4
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
jinak receno zdrojovy port klienta je vzdycky nejaky nahodny vysoky port, at je klient cokoli (browser, trojan, wget, proxy, linkchecker, rpm, ...). konstatnich 80 je vzdycky akorat cilovy port. (v paketech smerem od serveru logicky naopak)
9.4.2004 00:11 knovy
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Zkus neco takovyho:
# povolit pouze nektery portu ven.
iptables -A FORWARD -o wlan0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o wlan0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -o wlan0 -p tcp --dport 110 -j ACCEPT
# povolit dovnitr jenom co stim souvisi.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ale asi by to chtelo doladit...
9.4.2004 08:17 Yeti
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Já bych asi admina, který by mi povolil připojení ven jen na jím vybrané porty, nejprve osobně uškrtil, a pak si na nějakém z nich rozchodil na nějakém počítači venku tunel...
9.4.2004 09:04 jm
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Ano, za tohle bych taky na miste strilel. :-(

Tyhle lidi nejsou schopny pochopit, ze mam treba na a.b.c.d:8888 rozchozenej webmail pres HTTPS. A proc na 8888? No treba protoze na 443 mi uz bezi neco jinyho a IP adresu mam jenom jednu. Anebo ze se potrebuju pripojovat pres SSH na port 222 a ne jenom 22. Ach jo. :-(
9.4.2004 11:14 Tom K | skóre: 21
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
ale holky
existujou dve zakladni politiky pro nastaveni FW
1. co neni zakazano je povoleno
2. co neni povoleno je zakazano
Kazda z nich ma pro urcity druh pouziti dost dobre duvody.
Zkuste se nad tim zamyslet.
echo -n "u48" | sha1sum | head -c3; echo
9.4.2004 11:25 Yeti
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
Nazdar kotě, nedělalas náhodou INDOŠ? ;-)

Existují dva základní způsoby komunikace: iniciovaná lokálně počítače a iniciovaná zvnějšku. Můžeš uvést nějaký důvod, proč by pro ně měly být identické politiky?
9.4.2004 14:07 jm
Rozbalit Rozbalit vše Re: filtrování podle zdrojového portu
No, asi tak nejak... ale mam zkusenost, ze v podobnych pripadech je vysvetlovani zbytecne, oni maji proste pocit, jak to genialne zabezpecili... lepsim resenim je opravdu ten tunel pres nektery z povolenych portu, pominu-li zavrazdeni dotycneho spravce. :-D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.