abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 23:22 | Nová verze

Byla vydána verze 3.5.0 svobodného astronomického softwaru KStars. Z novinek vývojáři zdůrazňují integraci StellarSolveru.

Ladislav Hagara | Komentářů: 0
včera 19:55 | Zajímavý článek

MojeFedora.cz upozorňuje, že Fedora 33 zpřísnila kryptografickou politiku. Pokud jste po upgradu na Fedoru 33 narazili na to, že se nemůžete připojit k šifrované Wi-Fi, VPN apod., které jste dosud bez problémů používali, je to velmi pravděpodobně způsobené přísnější politikou.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Komunita

Eben Upton na blogu Raspberry Pi informuje, že ovladač V3DV pro Raspberry Pi 4 úspěšně prošel testy kompatibility s Vulkan 1.0 u Khronosu.

Ladislav Hagara | Komentářů: 0
včera 15:11 | Bezpečnostní upozornění

Od 11. ledna 2021 začne autorita Let’s Encrypt vystavovat certifikáty na základě nového kořene. Ten existuje už od roku 2015 a většina zařízení již má potřebné aktualizace a nový kořen ISRG Root X1 obsahuje. Problémy ovšem bude mít přibližně třetina přístrojů s operačním systémem Android. Ten nový kořen obsahuje od verze 7.1.1 vydané v prosinci 2016. Pokud máte starší systém, nový kořen v něm nenajdete a v průběhu příštího roku se vám velká

… více »
Petr Krčmář | Komentářů: 5
včera 07:00 | Zajímavý projekt

Společnost Clockwork Tech představila DevTerm aneb open source přenosný terminál pro všechny vývojáře. Předobjednat jej lze v několika konfiguracích. K zájemcům by se měl dostat do dubna 2021. I s termální tiskárnou.

Ladislav Hagara | Komentářů: 11
23.11. 23:11 | Nová verze

Po více než roce od vydání verze 13.0 byla vydána nová verze 14.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání. Vývojáři Fedory aktuálně řeší, zda zvukový server PulseAudio nenahradit již ve Fedoře 34 multimediálním serverem PipeWire (Wikipedie).

Ladislav Hagara | Komentářů: 12
23.11. 16:33 | Nová verze

Po sedmi měsících vývoje od vydání verze 1.1.0, v den osmého výročí představení projektu, byla vydána nová verze 1.2.0 správce balíčků GNU Guix a na něm postaveném stejnojmenném operačním systému GNU Guix. Tentokrát i s písní "Ode to One Two Oh" (ogg, txt). Na vývoji se podílelo 200 vývojářů. Přibylo 2 000 nových balíčků. Jejich aktuální počet je 15 329. Aktualizována byla také dokumentace. Včera proběhla Online Guix Day Conference. Odkazy na videozáznamy přednášek jsou na stránce konference.

Ladislav Hagara | Komentářů: 3
23.11. 14:22 | Zajímavý článek

Jiří Eischmann v článku Rygel: DLNA server, který je po ruce na MojeFedora.cz představuje DLNA (Digital Living Network Alliance) server Rygel, jenž je obsažen ve výchozí instalaci Fedora Workstation. Spuštění a nastavení Rygelu v GNOME je jednoduché, ale ve skutečnosti to je celkem pokročilý DLNA server, který nabízí řadu funkcí a nastavení.

Ladislav Hagara | Komentářů: 1
23.11. 00:55 | Nová verze

Po půl roce vývoje od vydání verze 4.12 byla vydána nová verze 4.13 svobodné náhrady proprietárních BIOSů a UEFI coreboot (Wikipedie). Na vývoji se podílelo 234 vývojářů. Provedli 4 200 commitů. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 0
23.11. 00:44 | Nová verze

Byla vydána nová verze 6.4 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled novinek i s náhledy v oficiálním oznámení. Zdůraznit lze podporu VST3 pluginů.

Ladislav Hagara | Komentářů: 1
Jak nakládáte s řetězovými e-maily?
 (6%)
 (41%)
 (3%)
 (2%)
 (4%)
 (10%)
 (58%)
Celkem 282 hlasů
 Komentářů: 8, poslední 16.11. 22:50
Rozcestník

Dotaz: Odfiltrovani lokalnich IP adres

7.7.2004 19:54 JetCat | skóre: 2
Odfiltrovani lokalnich IP adres
Přečteno: 118×
Dobry den,

hledal jsem nejprve odpoved v diskuzich ale nic jsem k tomuto tematu nenasel.

Potreboval bych odfiltrovat na routeru resp. na sitovce smerem do Internetu pakety, ktere maji jako zdrojovou nebo cilovou adresu lokalni IP adresu. Nevim, zda nasledujici zapis je spravny. Sitovka do Internetu je eth0.

# zablokuj pakety do Internetu, ktere maji jako cil lokalni IP

iptables -A OUTPUT -o eth0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -d 96.0.0.0/4 -j DROP

# zablokuj pakety do Internetu, ktere maji jako zdroj lokalni IP

iptables -A OUTPUT -o eth0 -s 10.0.0.0/8 -j DROP

iptables -A OUTPUT -o eth0 -s 192.168.0.0/16 -j DROP

iptables -A OUTPUT -o eth0 -s 172.16.0.0/12 -j DROP

iptables -A OUTPUT -o eth0 -s 96.0.0.0/4 -j DROP

Diky za pripadnou pomoc.

Jet

Odpovědi

7.7.2004 19:56 Petr
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Jestli ti do internetu putuji pakety s cilovou adresou tve vnitrni site, tak je neco spatne, prinejmensim ti to blbe routuje.
7.7.2004 20:02 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Je tam NAT, takze ani ne tak routovani jako preklad adres. Predpokladam, ze pokud by zablokovani tech lokalnich IP adres smerem do Internetu zpusobilo nejaky problem, tak by se nekdo z lidicek za routerem ozval ;)

Zatim vsechno funguje, ale nevim, zda vyse uvedene skutecne ty pakety odfiltrovava.

Jet
7.7.2004 20:22 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Vypadá to OK, ale možná by to ještě chtělo přidat totéž pro FORWARD (OUTPUT se týká jen paketů, které "vyrábí" ten router).
7.7.2004 20:36 Martin
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Aha, je tam NAT, takže úplně totéž pro FORWARD by mohla být kravina. Pro "zdravé" adresy je samozřejmě potřeba něco jako

iptables -A FORWARD -i eth0 -d zdravé_adresy -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth0 -s zdravé_adresy -j ACCEPT

jinak by to moc neNATovalo ;-)
7.7.2004 21:32 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ja jsem nejdrive zkousel ten FORWARD logovat, abych videl, zda tam skutecne dochazi k vyskytu packetu s lokalnimi adresami a vzhledem k tomu, ze se tam zadne takove pakety neobjevily (coz je spravne, protoze diky NATu by ani nemely), tak jsou pravidla pro FORWARD asi zbytecna - logicka uvaha.

U toho OUTPUTu pocitam s nejakym bordelem routeru, takze tam to filtrovani pro jistotu necham.

Diky za pomoc.
12.7.2004 14:34 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ahojte,

takze jsem na to uz prisel, ten lokalni traffic ktery mi sel do Internetu zpusobovaly dve Windowsovske stanice klientu ktere byly napadeny Sasserem (nalogoval jsem si ty pakety, cilovy port byl 445, cilove adresy ruzne lokalni asi generovane).

Odfiltroval jsem to tedy pomoci:

iptables -I FORWARD -o eth0 -p all -d 10.0.0.0/8 -j DROP

iptables -I FORWARD -o eth0 -p all -d 192.168.0.0/16 -j DROP

iptables -I FORWARD -o eth0 -p all -d 172.16.0.0/12 -j DROP

iptables -I FORWARD -o eth0 -p all -d 96.0.0.0/4 -j DROP

kde "eth0" je moje rozhrani do Internetu.

Diky vsem za podnety a rady.

Jet
7.7.2004 20:34 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Mrkni na:

http://soban.wz.cz/linux/firewall2.html
7.7.2004 20:57 JetCat | skóre: 2
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
Ahoj,

diky za informace, ja jsem na Petrickuv firewall take koukal, mam ho aplikovany na jinem routeru (NATu), hodne veci je tam prehledne popsanych, takze mi hodne pomohl.

Na tomhle "starsim" routeru mam z jistych duvodu ale na lokalni sitovce (eth1) shared-networks, tedy nekolik subnetu soucasne. Lokalni sitovka ma tedy vice IP adres (10.0.103.1 , 10.0.104.1 ... 10.0.111.1) a obsluhuje tedy vlastne subnet 10.0.96.0/20

Nevim, jak by se chovaly ty techniky, ktere kontroluji IP adresy prichozich a odchozich paketu na danem rozhrani.
dmnc_net avatar 4.2.2010 11:16 dmnc_net | skóre: 12 | blog: dmnc
Rozbalit Rozbalit vše Re: Odfiltrovani lokalnich IP adres
kdo by referoval ke skriptu firewallu, tak POZOR, obrovsky pool 96.0.0.0/4 uz nejakou dobu neni rezervovany (http://www.iana.com/assignments/ipv4-address-space) a nektere rozsahy jsou dokonce pouzity na uzemi CR.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.