Přihlášení | Registrace

napište » Zprávičky

včera 18:33 | Nová verze

Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.

Ladislav Hagara | Komentářů: 0

Bezpečnostní problém PKFail v ekosystému UEFI

včera 05:11 | Bezpečnostní upozornění

Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.

Ladislav Hagara | Komentářů: 11

/e/OS 2.2

včera 02:22 | Nová verze

Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.

Ladislav Hagara | Komentářů: 2

Společnost OpenAI představila vyhledávač SearchGPT

včera 01:22 | IT novinky

Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.

Ladislav Hagara | Komentářů: 0

Linux Mint 22 „Wilma“

včera 00:11 | Nová verze

Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.

Fluttershy, yay! | Komentářů: 2

Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu

25.7. 17:44 | Zajímavý článek

Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.

Ladislav Hagara | Komentářů: 2

Qt Creator 14

25.7. 17:22 | Nová verze

Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.

Ladislav Hagara | Komentářů: 0

Rust 1.80.0

25.7. 17:11 | Nová verze

Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

Beta verze Apple Maps na webu

25.7. 14:11 | IT novinky

Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.

Ladislav Hagara | Komentářů: 23

2024 Stack Overflow Developer Survey

25.7. 13:11 | IT novinky

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Odfiltrovani lokalnich IP adres

Štítky: firewally, HTML, iptables, KDE, NAT, sítě, web

Dotaz: Odfiltrovani lokalnich IP adres

7.7.2004 19:54 JetCat | skóre: 2
Odfiltrovani lokalnich IP adres

Přečteno: 137×

Odpovědět | Admin

Dobry den,

hledal jsem nejprve odpoved v diskuzich ale nic jsem k tomuto tematu nenasel.

Potreboval bych odfiltrovat na routeru resp. na sitovce smerem do Internetu pakety, ktere maji jako zdrojovou nebo cilovou adresu lokalni IP adresu. Nevim, zda nasledujici zapis je spravny. Sitovka do Internetu je eth0.

# zablokuj pakety do Internetu, ktere maji jako cil lokalni IP

iptables -A OUTPUT -o eth0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -d 96.0.0.0/4 -j DROP

# zablokuj pakety do Internetu, ktere maji jako zdroj lokalni IP

iptables -A OUTPUT -o eth0 -s 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -s 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -s 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -s 96.0.0.0/4 -j DROP

Diky za pripadnou pomoc.

Jet

Nástroje: Začni sledovat (1) ?

Odpovědi

7.7.2004 19:56 Petr
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Jestli ti do internetu putuji pakety s cilovou adresou tve vnitrni site, tak je neco spatne, prinejmensim ti to blbe routuje.

7.7.2004 20:02 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Je tam NAT, takze ani ne tak routovani jako preklad adres. Predpokladam, ze pokud by zablokovani tech lokalnich IP adres smerem do Internetu zpusobilo nejaky problem, tak by se nekdo z lidicek za routerem ozval ;)

Zatim vsechno funguje, ale nevim, zda vyse uvedene skutecne ty pakety odfiltrovava.

Jet

7.7.2004 20:22 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Vypadá to OK, ale možná by to ještě chtělo přidat totéž pro FORWARD (OUTPUT se týká jen paketů, které "vyrábí" ten router).

7.7.2004 20:36 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Aha, je tam NAT, takže úplně totéž pro FORWARD by mohla být kravina. Pro "zdravé" adresy je samozřejmě potřeba něco jako

iptables -A FORWARD -i eth0 -d zdravé_adresy -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth0 -s zdravé_adresy -j ACCEPT

jinak by to moc neNATovalo ;-)

7.7.2004 21:32 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Ja jsem nejdrive zkousel ten FORWARD logovat, abych videl, zda tam skutecne dochazi k vyskytu packetu s lokalnimi adresami a vzhledem k tomu, ze se tam zadne takove pakety neobjevily (coz je spravne, protoze diky NATu by ani nemely), tak jsou pravidla pro FORWARD asi zbytecna - logicka uvaha.

U toho OUTPUTu pocitam s nejakym bordelem routeru, takze tam to filtrovani pro jistotu necham.

Diky za pomoc.

12.7.2004 14:34 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Ahojte,

takze jsem na to uz prisel, ten lokalni traffic ktery mi sel do Internetu zpusobovaly dve Windowsovske stanice klientu ktere byly napadeny Sasserem (nalogoval jsem si ty pakety, cilovy port byl 445, cilove adresy ruzne lokalni asi generovane).

Odfiltroval jsem to tedy pomoci:

iptables -I FORWARD -o eth0 -p all -d 10.0.0.0/8 -j DROP

iptables -I FORWARD -o eth0 -p all -d 192.168.0.0/16 -j DROP

iptables -I FORWARD -o eth0 -p all -d 172.16.0.0/12 -j DROP

iptables -I FORWARD -o eth0 -p all -d 96.0.0.0/4 -j DROP

kde "eth0" je moje rozhrani do Internetu.

Diky vsem za podnety a rady.

Jet

7.7.2004 20:34 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Mrkni na:

http://soban.wz.cz/linux/firewall2.html

7.7.2004 20:57 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

Ahoj,

diky za informace, ja jsem na Petrickuv firewall take koukal, mam ho aplikovany na jinem routeru (NATu), hodne veci je tam prehledne popsanych, takze mi hodne pomohl.

Na tomhle "starsim" routeru mam z jistych duvodu ale na lokalni sitovce (eth1) shared-networks, tedy nekolik subnetu soucasne. Lokalni sitovka ma tedy vice IP adres (10.0.103.1 , 10.0.104.1 ... 10.0.111.1) a obsluhuje tedy vlastne subnet 10.0.96.0/20

Nevim, jak by se chovaly ty techniky, ktere kontroluji IP adresy prichozich a odchozich paketu na danem rozhrani.

4.2.2010 11:16 dmnc_net | skóre: 12 | blog: dmnc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres

kdo by referoval ke skriptu firewallu, tak POZOR, obrovsky pool 96.0.0.0/4 uz nejakou dobu neni rezervovany (http://www.iana.com/assignments/ipv4-address-space) a nektere rozsahy jsou dokonce pouzity na uzemi CR.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje