Přihlášení | Registrace

napište » Zprávičky

včera 18:33 | Nová verze

Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.

Ladislav Hagara | Komentářů: 0

Bezpečnostní problém PKFail v ekosystému UEFI

včera 05:11 | Bezpečnostní upozornění

Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.

Ladislav Hagara | Komentářů: 11

/e/OS 2.2

včera 02:22 | Nová verze

Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.

Ladislav Hagara | Komentářů: 2

Společnost OpenAI představila vyhledávač SearchGPT

včera 01:22 | IT novinky

Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.

Ladislav Hagara | Komentářů: 0

Linux Mint 22 „Wilma“

včera 00:11 | Nová verze

Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.

Fluttershy, yay! | Komentářů: 2

Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu

25.7. 17:44 | Zajímavý článek

Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.

Ladislav Hagara | Komentářů: 2

Qt Creator 14

25.7. 17:22 | Nová verze

Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.

Ladislav Hagara | Komentářů: 0

Rust 1.80.0

25.7. 17:11 | Nová verze

Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

Beta verze Apple Maps na webu

25.7. 14:11 | IT novinky

Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.

Ladislav Hagara | Komentářů: 23

2024 Stack Overflow Developer Survey

25.7. 13:11 | IT novinky

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables nastaveni

Štítky: Apache, DNS, firewally, HTML, Internet, iptables, NAT, sítě, web

Dotaz: iptables nastaveni

25.7.2004 17:03 Mart!n | skóre: 3
iptables nastaveni

Přečteno: 329×

Odpovědět | Admin

Zdravim, zejtra svuj server budu pripojovat na internet, ale jeste poradne nevim, jak nastavit firewall. Prvni co sem udelal bylo nastaveni INPUT retezce na DROP. Tetme zajima, jestli musim dat DROP i FORWARD a OUTPUT, podle me je to zbytecne, kdyz na tom bezi dejme tomu jen treba Apache ne ? A dal me zajima, kdyz sem vsechno zakazal, jak si muzu nejake porty povolit. Zkousel sem

iptables -A INPUT --sport 80 -j ACCEPT

, ale to mi nejak nejde.

Nástroje: Začni sledovat (0) ?

Odpovědi

25.7.2004 17:12 ailas
Rozbalit Rozbalit vše Re: iptables nastaveni

nejak Vam dam tento odkaz http://www.netfilter.org/documentation/index.html

25.7.2004 17:20 Pavel
Rozbalit Rozbalit vše Re: iptables nastaveni

Mohl bys zacit tim, ze prestanes pokladat podobne stupidni dotazy a pouzijes vyhledavac. Na tema iptables bylo napsano tolik clanku, ze je skutecne tezke si nevybrat. Napr. na rootu je 3 dilny serial.

Pokud chces zprovoznit web server u sebe, asi budes muset povolit --dport 80 a ne --sport 80, to je docela logicky, ne?

Jinak docela rozumnou konfiguraci mas tady: iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type any -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

25.7.2004 18:10 Mart!n | skóre: 3
Rozbalit Rozbalit vše Re: iptables nastaveni

Dik, uz to mam ,ale tet mam dalsi docela podstatnej problem ,a to je, ze po restartu je zas vsechno na ACCEPT. co s tim ? (mam DEBIAN).

25.7.2004 18:29 #2453 | skóre: 21
Rozbalit Rozbalit vše Re: iptables nastaveni

Bud si napises shell skript, ve ktery budes mit pravidla a das si ho do /etc/init.d/ udelas na nej odkazy v /etc/rc* ( update-rc, tusim ) a tim se ti pravidla budou loadovat po startu, bohuze tim vznika casova mezera, kdy je sit "up", ale iptables jeste nemaj naladovany pravidla. Pak by to melo jit udelat nejak pres skript "iptables-save", to uz nevim. Server mi nepada ani ho nerestartuju, takze sem si tam pustil ten skriptik...

Tomas

25.7.2004 18:46 Mart!n | skóre: 3
Rozbalit Rozbalit vše Re: iptables nastaveni

Ok, dik napadlo me to, ale rikal sem si, ze je to blbost, aby se pravidla zadavali pri restartu, tet koukam ,ze ne ;-)

26.7.2004 13:37 #2453 | skóre: 21
Rozbalit Rozbalit vše Re: iptables nastaveni

Treba by se ti mohlo hodit jeste tohle... Ale vygenerovany skript si stejne prostuduj - at vis co si tam poustis.

Tomas

25.7.2004 18:47 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: iptables nastaveni

zkusil jsi to vyhledávání tu nebo jinde? odpovím za tebe NEEEEEEEEEEEEEEE

25.7.2004 18:58 Mart!n | skóre: 3
Rozbalit Rozbalit vše Re: iptables nastaveni

Hm, nekdo je tu nervozni ... ,vyhledavani sem zkousel, vzdycky to delam, jenomze me uz nebavi porad cist 10 prisspevku a pak tam nenajdu co hledam.

25.7.2004 20:31 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: iptables nastaveni

no někdy je lepší si přečíst 10 příspěvků (stejného tématu) a dovědět se i co nepotřebuju (a když narazím na jiný problém už to vím), než se 10x ptát na to co už je tu vyřešené 100x. A kolik času jsi strávil tím hledáním nebo čtením manuálu? Hmm???

12.8.2004 02:03 Petr
Rozbalit Rozbalit vše Re: iptables nastaveni

Nedivim se, ze kdyz se nekoho ptas 20x na stejnou vec, ze pak ten nekdo nechce 20x psat to, co lze snadno najit. Kdyz se na hledani kazdy vykasle, pak tu nepujde v zaplave dotazu nic vyhledat.

12.8.2004 08:12 Tomáš | skóre: 31 | blog: Tomik
Rozbalit Rozbalit vše Re: iptables nastaveni

Viz /etc/default/iptables, /etc/init.d/iptables, /var/lib/iptables/.

V debianu je to tak, ze se pravidla tahaji z /var/lib/iptables/, kam se musi predtim naladovat.

Udelas si potrebnou konfiguraci a potom napises neco ve smyslu `/etc/init.d/iptables save active` a on si to nastaveni ulozi do zmineneho adresare.

25.7.2004 20:26 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: iptables nastaveni

hmmm, neni tohle trosku moc volne?

ja sem zacinal s timhle (netvrdim ze je to bezchybne, ale aspon se defaultne zahazuje) (je to soubor /etc/network/if-up.d ....takze se pousti pri nahazovani sitovek)

#!/bin/sh

[ "$IFACE" != "wlan0" ] && exit;

IPT="/sbin/iptables"
INET_IFACE="$IFACE"

/sbin/script/loadker.pl

echo "zakazat vsechno"
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

echo "INPUT povolit ESTABLISHED, RELATED na $INET_IFACE"
$IPT -A INPUT -p all -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "INPUT povolit na ! $INET_IFACE"
$IPT -A INPUT -p all -i ! $INET_IFACE -j ACCEPT

echo "OUTPUT povolit na $INET_IFACE"
$IPT -A OUTPUT -p all -o $INET_IFACE -j ACCEPT
echo "OUTPUT povolit na ! $INET_IFACE"
echo "...hmmm tak proc tam mam drop, kdyz pak vsechno povolim? "
$IPT -A OUTPUT -p all -o ! $INET_IFACE -j ACCEPT

echo "FORWARD povolit ESTABLISHED,RELATED na $INET_IFACE"
$IPT -A FORWARD -p all -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "FORWARD povolit na ! $INET_IFACE"
$IPT -A FORWARD -p all -i ! $INET_IFACE -j ACCEPT

echo "maskarada"
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

rekl bych, ze to je takove nejvic orezane, a pritom funkcni (prosim neservavejte me, pokud je to od zakladu spatne ;-)

)

libor

Urine should only be green if you're Mr. Spock.

25.7.2004 20:27 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: iptables nastaveni

ehm je to soubor /etc/network/if-up.d/iptables

Urine should only be green if you're Mr. Spock.

26.7.2004 15:55 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: iptables nastaveni

hmm, ale pokud nepouzivas v pravidlech IP adresu, tak je imho lepsi to dat do "/etc/network/if-pre-up.d", aby byly pravydla nactena uz pri nahozeni sitovky... ;)

Hello world ! Segmentation fault (core dumped)

26.7.2004 16:06 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: iptables nastaveni

tady ne, ale v tom co pouzivam doopravdy tak ziskavam ip adresu jednoho server z dns, takze az po potrebuji ;-)

Urine should only be green if you're Mr. Spock.

25.7.2004 21:34 Pavel
Rozbalit Rozbalit vše Re: iptables nastaveni

Samozrejme, je to nastaveni pro DOMACI pouziti, nic vic. A kdyz se podivate na moje pravidla poradne, zjistite, ze jsou velice podobna. Sice mam -P INPUT ACCEPT, ale na poslednim radku je:

iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

Takze se povoli jen provoz z localhostu, icmp a ESTABLISHED,RELATED (mimochodem, jsou to vychozi pravidla z Fedory).

25.7.2004 21:49 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: iptables nastaveni

ok...doufam ze sem neurazil nebo tak neco

tohle mi vzniklo, kdyz jsem si daval wifi a podival se na skript co jsem delal asi pred 4 roky pro modem, serezal jsem to na tohle z tech prisernych konstrukci co jsem tam mel predtim ;-)

....pak jsem to samozrejme trosku rozsiril....ale tenhle "zakladni" jsem si nechal bokem......

libor

Urine should only be green if you're Mr. Spock.

26.7.2004 15:35 misoz
Rozbalit Rozbalit vše Re: iptables nastaveni

Ja len tolko, ze to si prepisal existujuci subor?
Ten sa ti ale zrusi(prepise) pri automatickom(myslim nie
rucnom, ale pouzitim novsieho distro) upgrade systemu...

26.7.2004 15:57 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: iptables nastaveni

Ne, je to adresar na scripty. Co se tam umisti se po nahozeni sitovky spusti. Pri upgradu se to neprepise.

Hello world ! Segmentation fault (core dumped)

26.7.2004 16:09 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: iptables nastaveni

/etc/network/if-up.d je samozrejme adresar, pak jsem se opravil ze v nem mam soubor iptables, ten skript musi byt spustitelny, a je volan pri ifup kazde sitovky, jako prvni parametr dostava jmeno rozhrani

libor

Urine should only be green if you're Mr. Spock.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje