abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 08:00 | IT novinky

Společnost Espressif Systems oznámila, že rodinu SoC ESP32 brzy rozšíří o ESP32-C6 s 32bitovým RISC-V jádrem a podporou Wi-Fi 6 a Bluetooth 5 (LE).

Ladislav Hagara | Komentářů: 0
9.4. 18:33 | Zajímavý článek

MojeFedora.cz informuje co nového přinese Fedora Workstation 34. Většinu uživatelů praští do očí přepracované GNOME 40, ale další důležité změny se dějí i pod povrchem. Wayland na grafických kartách Nvidia, Pipewire jako hlavní zvukový subsystém, Fedora Toolbox s RHEL, Flatpaky ve Fedoře s inkrementálními aktualizacemi.

Ladislav Hagara | Komentářů: 46
9.4. 15:11 | Nová verze

Byla vydána verze 4.4 kolekce svobodného softwaru umožňujícího nahrávání, konverzi a streamovaní digitálního zvuku a obrazu FFmpeg (Wikipedie). Kódové označení Rao bylo vybráno na počest profesora K. R. Raa za práci na DCT (diskrétní kosinová transformace).

Ladislav Hagara | Komentářů: 7
9.4. 13:55 | Nová verze

Český LibreOffice tým aktualizoval příručku LibreOffice Calc na verzi 7.0. Kniha je určena pro uživatele tabulkového procesoru LibreOffice Calc. Pokrývá hlavní oblasti programu Calc, včetně zadávání, úprav a formátování dat, funkcí a vzorců pro výpočty nad daty, statistické analýzy, kontingenčních tabulek a hledání řešení pro potřeby analýz, databázových funkcí pro nastavení, ukládání a filtrování dat, široké škály 2D a 3D grafů,

… více »
Zdeněk Crhonek | Komentářů: 0
8.4. 18:45 | Nová verze

Jamie Zawinski na apríla vydal XScreenSaver (Wikipedie) ve verzi 6.00. Přehled novinek v příspěvku na blogu a v changelogu. Proběhlo refaktorování kódu. Démon xscreensaver byl rozdělen na tři programy: xscreensaver, xscreensaver-gfx a xscreensaver-auth.

Ladislav Hagara | Komentářů: 12
8.4. 13:11 | Nová verze

Byla vydána verze 2.3.0 kryptografického softwaru GnuPG (GNU Privacy Guard), tj. svobodné implementace OpenPGP. Jedná se o první veřejnou verzi z vývojové větve 2.3. Stabilní bude až verze 2.4.0. Z novinek lze zdůraznit podporu TPM (Trusted Platform Module) 2.0 aneb soukromé klíče lze chránit pomocí tohoto kryptoprocesoru. Více v příspěvku na blogu.

Ladislav Hagara | Komentářů: 2
8.4. 09:00 | IT novinky

Úřad pro zastupování státu ve věcech majetkových (ÚZSVM) prodává v aukci 0,42337268 jednotek virtuální měny bitcoin (BTC). Nejnižší podání bylo 544 632,00 Kč. Aukce končí dnes v 15:00.

Ladislav Hagara | Komentářů: 25
8.4. 08:00 | Nová verze

Firma IBM oznámila vydání překladače jazyka COBOL pro Linux na architektuře x86, verze 1.1. Podporované distribuce jsou RHEL aspoň 7.8 a Ubuntu LTS aspoň 16.04. Jak upozorňuje The Register, je to zřejmě pro běh stávajícího softwaru v „hybridním cloudu“ IBM a migrace mezi Linuxem, AIX a z/OS.

Fluttershy, yay! | Komentářů: 26
7.4. 16:44 | Nová verze

Byla vydána verze 2021.1 integrovaného vývojového prostředí IntelliJ IDEA (Wikipedie). Představení novinek na YouTube. Instalovat lze také ze Snapcraftu.

Ladislav Hagara | Komentářů: 28
7.4. 16:00 | IT novinky

Microsoft oznámil, že nabízí vlastní distribuci OpenJDK (Open Java Development Kit). Ke stažení je také balíček pro Linux. Po změnách v licencování LTS verzí přímo od Oraclu vzniklo hned několik distribucí OpenJDK.

Ladislav Hagara | Komentářů: 13
Kolik času v průměru denně trávíte videohovory/-konferencemi? (ať už v práci, škole nebo soukromě)
 (51%)
 (13%)
 (16%)
 (10%)
 (7%)
 (1%)
 (1%)
Celkem 254 hlasů
 Komentářů: 7, poslední 8.4. 12:14
Rozcestník

Dotaz: iptables tabulky retezce

27.7.2004 20:18 korzybski
iptables tabulky retezce
Přečteno: 169×
Myslel jsem, ze v tabulkach nat, mangle a filter jsou jen nektery retezce, takze me prekvapil tenhle prikaz na pridani pravidla (peerguardian):

iptables -t nat -A INPUT -j akce

takze to vypada, ze retezec INPUT neni (jak jsem myslel) jen v tabulce filter ale ve vsech, akorat se bezne nepouziva.

Takze jestli je vubec mozny pridavat pravidla do retezce INPUT v tabulce 'nat', ptam se: je poradi zpracovani tabulek vzdycky mangle-nat-filter? Takze duvod, proc se tohle pravidlo pridava takhle, je ze ho tak dostanu pred zpracovani retezce INPUT v tabulce 'filter'? A jakej je rozdil proti

iptables -t filter -I INPUT 1 -j akce

Diky

Odpovědi

27.7.2004 20:21 korzybski
Rozbalit Rozbalit vše Re: iptables tabulky retezce
oprava ...INPUT neni (jak jsem myslel) jen v tabulkach 'mangle' a 'filter'...
27.7.2004 21:56 ttt
Rozbalit Rozbalit vše Re: iptables tabulky retezce
Muzes uvest konkretni priklad? Co jsem videl schematka (jsou na netu) tak neforwardovany paket prochazi takto:

m(PR)-->n(PR)-->m(I)-->f(I)-->LP-->m(O)-->n(O)-->f(O)-->m(PO) -->n(PO)

kde m = mangle, n = nat, f = filter, PR = PREROUTING,I = INPUT, LP = Lokalni Proces, O = OUTPUT, PO = POSTROUTING

-A ti prida pravidlo na konec chainu, -I na zacatek chainu
28.7.2004 09:03 korzybski
Rozbalit Rozbalit vše Re: iptables tabulky retezce
Jde o implementaci seznamu "zavadnych" IP adres, se kterymi chci zakazat komunikaci. Celkem pravidelne aktualizovany zdroj takovych adres je dostupny pro WIN firewall PeerGuardian. Predstava konvertovat tenhle seznam a importovat ho do Netfilteru samozrejme nanapadla me, je na to perl skript. A ten dava tenhle vystup (dokonce uz ve forme bash skriptu):

#!/bin/bash
# Create special PGD chain
iptables -t filter -N PGD
iptables -t filter -F PGD
# Create the logdrop chain to log & drop a packet
iptables -t filter -N PGD_LOGDROP
iptables -t filter -F PGD_LOGDROP
iptables -t filter -A PGD_LOGDROP -j LOG --log-prefix "PGD"
iptables -t filter -A PGD_LOGDROP -j DROP
# Jump to the special PGD chain at the end of the INPUT chain (commented out)
#iptables -t nat -A INPUT -j PGD
# List of ip ranges to ban
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
...

a tak az do konce, do toho PGD retezce se nepridava nic.

To "problematicky" pravidlo je sice zakomentovany, ale stejne by me zajimalo, o co jde a proc tam ten PGD retezec vubec je. Vsichni co jsme videl na internetu tohle beze zmeny prebiraji. Jediny co me napada je, ze je to (nepouzita) vyhybka kolem tech zakazanejch adres.

Ale ptam se spis obecne: je teda pravda, ze netfilter (iptables) prochazi v kazdem z retezcu ve scenarich PR->I nebo PR->F->PO nebo O->PO vzdycky skrz vsechny tabulky v poradi m-n-f? Akoratze davat pravidla do nekterych retezcu v nekterych tabulkach (treba do INPUT v nat) je nevhodny?

A za druhy: kdyz v nektery tabulce vytvorim vlastni retezec - pokud na nej neni jump z nejakeho pravidla, tak se ignoruje?

28.7.2004 10:42 yyy
Rozbalit Rozbalit vše Re: iptables tabulky retezce
"A za druhy: kdyz v nektery tabulce vytvorim vlastni retezec - pokud na nej neni jump z nejakeho pravidla, tak se ignoruje?"

echo "Jo. :-)" if ("retezec" eq "chain");
28.7.2004 11:02 yyy
Rozbalit Rozbalit vše Re: iptables tabulky retezce
(sakra, ctyri tuny odpovedi tu budu generovat :-( slibuju ze priste si to nejdriv prectu cely a az pak budu odpovidat). Co se tyce pridani pravidel:
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP # nechapu proc je tu jeste tahle. Vzdyt je stajna jako ta predtim
Takze bez ty "zbytecny":
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
Toto udela to same(za predpokladu ze chaina INPUT je prazdna)
iptables -t filter -A INPUT -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -A INPUT -s 206.13.62.0/24 -j PGD_LOGDROP
Oni to pravdepodobne vkladaji na zacatek kvuli tomu aby (pro pripad ze uz neco v te chaine INPUT je) se toto zpracovalo jako prvni. Pokud je to tvuj script, pak misto:
iptables -t filter -F INPUT
iptables -t filter -A INPUT ...nejaky moje pravidlo...
iptables -t filter -A INPUT ...nejaky moje dalsi pravidlo...
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
udelas tohle:
iptables -t filter -F INPUT
iptables -t filter -A INPUT -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -A INPUT -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -A INPUT ...nejaky moje pravidlo...
iptables -t filter -A INPUT ...nejaky moje dalsi pravidlo...
tak je to totez.
Jinak tabulka "filter" je defaultni tabulka. Pokud se neuvede prepinac '-t jmeno_tabulky', iptables si sam dosadi '-t filter'. PGD chaina:
Nechapu proc se vyrabi chaina s nazvem PGD v tabulce 'filter', kdyz o neco dale se chce(ano, nastesti je to zakomentovany) pouzit v tabulce 'nat' stejnojmenna chaina ktera ale v tabulce 'nat' vyrobena nebyla. To totiz nebude ta sama chaina! prikazy 'iptables -t filter -n PGD' a 'iptables -t nat -N PGD' vyrobi _dve_ chainy, kazda v jine tabulce ktere jedine co maji spolecneho je nazev. Nic vic. V tabulce nelze pouzit chainu definovanou v jine tabulce.
28.7.2004 10:39 yyy
Rozbalit Rozbalit vše Re: iptables tabulky retezce
"-A ti prida pravidlo na konec chainu, -I na zacatek chainu"

Spis by bylo o neco lepsi ocitovat manualovou stranku. Ze '-A chain' je Append tedy "pripojit (na konec)" a '-I chain [rulenum]' je Insert tedy "vlozit na pozici rulenum". Neni-li rulenum uvedeno, dosadi si iptables ze rulenum=1.
28.7.2004 12:51 korzybski
Rozbalit Rozbalit vše Re: iptables tabulky retezce
diky za info, ze vlastni chain se ignoruje, pokud na nej neni odnikud jump - - - ale na nic z toho dalsiho se neptam, to jsou jasny veci z manualu a howto

ptam se (mozna blbe), jestli se muze treba tabulka "nat" aplikovat v chainu INPUT, protoze tohle jsem nikde (krome toho uvedenyho vygenerovanyho skriptu) nevidel: v chainu INPUT se vzdycky uvadeji jenom tabulky "mangle" a "filter"

a pokud se -t nat aplikovat muze, potvrd mi jenom plz, ze se teda ve vsech implicitnich chainech (PRE - INP - OUT - FORW - POST) zpracovaji rules vzdycky podle VSECH tabulek a to v poradi "mangle" - "nat" - "filter"
28.7.2004 20:28 ttt
Rozbalit Rozbalit vše Re: iptables tabulky retezce
chain INPUT v tabulce nat neexistuje (pokud si ho sam nevytvoris) o cemz se snadno presvedcis napr: iptables -t nat -N INPUT (vytvoreni noveho chainu) ... projde bez chyboveho hlaseni, narozdil od: iptables -t filter -N INPUT ... err...chain alredy exist. Poradi prochazeni implicitnich pravidel je takove jak jsem psal nahore.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.