Přihlášení | Registrace

napište » Zprávičky

včera 05:00 | Nová verze

Byla vydána beta verze Linux Mintu 22.3 s kódovým jménem Zena. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze, že nástroj Systémová hlášení (System Reports) získal mnoho nových funkcí a byl přejmenován na Informace o systému (System Information). Linux Mint 22.3 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 2

GNU Project Debugger aneb GDB 17.1

včera 01:55 | Nová verze

GNU Project Debugger aneb GDB byl vydán ve verzi 17.1. Podrobný přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 0

CAD soubory rámů tiskáren Prusa CORE One a CORE One L pod novou licencí OCL neboli Open Community License

19.12. 17:22 | IT novinky

Josef Průša oznámil zveřejnění kompletních CAD souborů rámů tiskáren Prusa CORE One a CORE One L. Nejsou vydány pod obecnou veřejnou licenci GNU ani Creative Commons ale pod novou licencí OCL neboli Open Community License. Ta nepovoluje prodávat kompletní tiskárny či remixy založené na těchto zdrojích.

Ladislav Hagara | Komentářů: 3

Ve Firefoxu bude existovat volba pro zakázání všech AI funkcí

19.12. 17:00 | Komunita

Nový CEO Mozilla Corporation Anthony Enzor-DeMeo tento týden prohlásil, že by se Firefox měl vyvinout v moderní AI prohlížeč. Po bouřlivých diskusích na redditu ujistil, že v nastavení Firefoxu bude existovat volba pro zakázání všech AI funkcí.

Ladislav Hagara | Komentářů: 0

V Edici CZ.NIC vychází kniha Kity, bity, neurony od Martina Malého

19.12. 10:11 | IT novinky

V pořadí šestou knihou autora Martina Malého, která vychází v Edici CZ.NIC, správce české národní domény, je titul Kity, bity, neurony. Kniha s podtitulem Moderní technologie pro hobby elektroniku přináší ucelený pohled na svět současných technologií a jejich praktické využití v domácích elektronických projektech. Tento knižní průvodce je ideální pro každého, kdo se chce podívat na současné trendy v oblasti hobby elektroniky, od

… více »

Ladislav Hagara | Komentářů: 4

Výroční zpráva Linux Foundation za rok 2025

19.12. 03:11 | Komunita

Linux Foundation zveřejnila Výroční zprávu za rok 2025 (pdf). Příjmy Linux Foundation byly 311 miliónů dolarů. Výdaje 285 miliónů dolarů. Na podporu linuxového jádra (Linux Kernel Project) šlo 8,4 miliónu dolarů. Linux Foundation podporuje téměř 1 500 open source projektů.

Ladislav Hagara | Komentářů: 0

Novinky v Kdenlive 25.12.0

19.12. 02:11 | Zajímavý článek

Jean-Baptiste Mardelle se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 25.12.0 editoru videa Kdenlive (Wikipedie). Ke stažení také na Flathubu.

Ladislav Hagara | Komentářů: 0

OpenZFS 2.4.0

19.12. 02:00 | Nová verze

OpenZFS (Wikipedie), tj. implementace souborového systému ZFS pro Linux a FreeBSD, byl vydán ve verzi 2.4.0.

Ladislav Hagara | Komentářů: 0

Mezinárodní operace OCTOPUS a CONNECT

19.12. 01:00 | IT novinky

Kriminalisté z NCTEKK společně s českými i zahraničními kolegy objasnili mimořádně rozsáhlou trestnou činnost z oblasti kybernetické kriminality. V rámci operací OCTOPUS a CONNECT ukončili činnost čtyř call center na Ukrajině. V prvním případě se jednalo o podvodné investice, v případě druhém o podvodné telefonáty, při kterých se zločinci vydávali za policisty a pod legendou napadeného bankovního účtu okrádali své oběti o vysoké finanční částky.

Ladislav Hagara | Komentářů: 8

Instalace 5G opakovačů ve vlacích ČD je dokončena

18.12. 14:44 | IT novinky

Na lepší pokrytí mobilním signálem a dostupnější mobilní internet se mohou těšit cestující v Pendolinech, railjetech a InterPanterech Českých drah. Konsorcium firem ČD - Telematika a.s. a Kontron Transportation s.r.o. dokončilo instalaci 5G opakovačů mobilního signálu do jednotek Pendolino a InterPanter. Tento krok navazuje na zavedení této technologie v jednotkách Railjet z letošního jara.

Ladislav Hagara | Komentářů: 7

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (27%)

Santa Claus (2%)

Děda Mráz (12%)

La Befana (2%)

Odin (2%)

Laskakit (2%)

Někdo z rodiny (12%)

Já sám (24%)

Nikdo (15%)

Celkem 41 hlasů

Komentářů: 14, poslední včera 19:13

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables tabulky retezce

Štítky: Bash, firewally, iptables, KDE, NAT, Perl, programování, shelly, sítě

Dotaz: iptables tabulky retezce

27.7.2004 20:18 korzybski
iptables tabulky retezce

Přečteno: 231×

Odpovědět | Admin

Myslel jsem, ze v tabulkach nat, mangle a filter jsou jen nektery retezce, takze me prekvapil tenhle prikaz na pridani pravidla (peerguardian):

iptables -t nat -A INPUT -j akce

takze to vypada, ze retezec INPUT neni (jak jsem myslel) jen v tabulce filter ale ve vsech, akorat se bezne nepouziva.

Takze jestli je vubec mozny pridavat pravidla do retezce INPUT v tabulce 'nat', ptam se: je poradi zpracovani tabulek vzdycky mangle-nat-filter? Takze duvod, proc se tohle pravidlo pridava takhle, je ze ho tak dostanu pred zpracovani retezce INPUT v tabulce 'filter'? A jakej je rozdil proti

iptables -t filter -I INPUT 1 -j akce

Diky

Nástroje: Začni sledovat (1) ?

Odpovědi

27.7.2004 20:21 korzybski
Rozbalit Rozbalit vše Re: iptables tabulky retezce

oprava ...INPUT neni (jak jsem myslel) jen v tabulkach 'mangle' a 'filter'...

27.7.2004 21:56 ttt
Rozbalit Rozbalit vše Re: iptables tabulky retezce

Muzes uvest konkretni priklad? Co jsem videl schematka (jsou na netu) tak neforwardovany paket prochazi takto:

m(PR)-->n(PR)-->m(I)-->f(I)-->LP-->m(O)-->n(O)-->f(O)-->m(PO) -->n(PO)

kde m = mangle, n = nat, f = filter, PR = PREROUTING,I = INPUT, LP = Lokalni Proces, O = OUTPUT, PO = POSTROUTING

-A ti prida pravidlo na konec chainu, -I na zacatek chainu

28.7.2004 09:03 korzybski
Rozbalit Rozbalit vše Re: iptables tabulky retezce

Jde o implementaci seznamu "zavadnych" IP adres, se kterymi chci zakazat komunikaci. Celkem pravidelne aktualizovany zdroj takovych adres je dostupny pro WIN firewall PeerGuardian. Predstava konvertovat tenhle seznam a importovat ho do Netfilteru samozrejme nanapadla me, je na to perl skript. A ten dava tenhle vystup (dokonce uz ve forme bash skriptu):

#!/bin/bash
# Create special PGD chain
iptables -t filter -N PGD
iptables -t filter -F PGD
# Create the logdrop chain to log & drop a packet
iptables -t filter -N PGD_LOGDROP
iptables -t filter -F PGD_LOGDROP
iptables -t filter -A PGD_LOGDROP -j LOG --log-prefix "PGD"
iptables -t filter -A PGD_LOGDROP -j DROP
# Jump to the special PGD chain at the end of the INPUT chain (commented out)
#iptables -t nat -A INPUT -j PGD
# List of ip ranges to ban
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
...

a tak az do konce, do toho PGD retezce se nepridava nic.

To "problematicky" pravidlo je sice zakomentovany, ale stejne by me zajimalo, o co jde a proc tam ten PGD retezec vubec je. Vsichni co jsme videl na internetu tohle beze zmeny prebiraji. Jediny co me napada je, ze je to (nepouzita) vyhybka kolem tech zakazanejch adres.

Ale ptam se spis obecne: je teda pravda, ze netfilter (iptables) prochazi v kazdem z retezcu ve scenarich PR->I nebo PR->F->PO nebo O->PO vzdycky skrz vsechny tabulky v poradi m-n-f? Akoratze davat pravidla do nekterych retezcu v nekterych tabulkach (treba do INPUT v nat) je nevhodny?

A za druhy: kdyz v nektery tabulce vytvorim vlastni retezec - pokud na nej neni jump z nejakeho pravidla, tak se ignoruje?

28.7.2004 10:42 yyy
Rozbalit Rozbalit vše Re: iptables tabulky retezce

"A za druhy: kdyz v nektery tabulce vytvorim vlastni retezec - pokud na nej neni jump z nejakeho pravidla, tak se ignoruje?"

echo "Jo.

" if ("retezec" eq "chain");

28.7.2004 11:02 yyy
Rozbalit Rozbalit vše Re: iptables tabulky retezce

(sakra, ctyri tuny odpovedi tu budu generovat :-(

slibuju ze priste si to nejdriv prectu cely a az pak budu odpovidat). Co se tyce pridani pravidel:
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP # nechapu proc je tu jeste tahle. Vzdyt je stajna jako ta predtim
Takze bez ty "zbytecny":
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
Toto udela to same(za predpokladu ze chaina INPUT je prazdna)
iptables -t filter -A INPUT -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -A INPUT -s 206.13.62.0/24 -j PGD_LOGDROP
Oni to pravdepodobne vkladaji na zacatek kvuli tomu aby (pro pripad ze uz neco v te chaine INPUT je) se toto zpracovalo jako prvni. Pokud je to tvuj script, pak misto:
iptables -t filter -F INPUT
iptables -t filter -A INPUT ...nejaky moje pravidlo...
iptables -t filter -A INPUT ...nejaky moje dalsi pravidlo...
iptables -t filter -I INPUT 1 -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -I INPUT 1 -s 206.130.8.0/24 -j PGD_LOGDROP
udelas tohle:
iptables -t filter -F INPUT
iptables -t filter -A INPUT -s 206.130.8.0/24 -j PGD_LOGDROP
iptables -t filter -A INPUT -s 206.13.62.0/24 -j PGD_LOGDROP
iptables -t filter -A INPUT ...nejaky moje pravidlo...
iptables -t filter -A INPUT ...nejaky moje dalsi pravidlo...
tak je to totez.
Jinak tabulka "filter" je defaultni tabulka. Pokud se neuvede prepinac '-t jmeno_tabulky', iptables si sam dosadi '-t filter'. PGD chaina:
Nechapu proc se vyrabi chaina s nazvem PGD v tabulce 'filter', kdyz o neco dale se chce(ano, nastesti je to zakomentovany) pouzit v tabulce 'nat' stejnojmenna chaina ktera ale v tabulce 'nat' vyrobena nebyla. To totiz nebude ta sama chaina! prikazy 'iptables -t filter -n PGD' a 'iptables -t nat -N PGD' vyrobi _dve_ chainy, kazda v jine tabulce ktere jedine co maji spolecneho je nazev. Nic vic. V tabulce nelze pouzit chainu definovanou v jine tabulce.

28.7.2004 10:39 yyy
Rozbalit Rozbalit vše Re: iptables tabulky retezce

"-A ti prida pravidlo na konec chainu, -I na zacatek chainu"

Spis by bylo o neco lepsi ocitovat manualovou stranku. Ze '-A chain' je Append tedy "pripojit (na konec)" a '-I chain [rulenum]' je Insert tedy "vlozit na pozici rulenum". Neni-li rulenum uvedeno, dosadi si iptables ze rulenum=1.

28.7.2004 12:51 korzybski
Rozbalit Rozbalit vše Re: iptables tabulky retezce

diky za info, ze vlastni chain se ignoruje, pokud na nej neni odnikud jump - - - ale na nic z toho dalsiho se neptam, to jsou jasny veci z manualu a howto

ptam se (mozna blbe), jestli se muze treba tabulka "nat" aplikovat v chainu INPUT, protoze tohle jsem nikde (krome toho uvedenyho vygenerovanyho skriptu) nevidel: v chainu INPUT se vzdycky uvadeji jenom tabulky "mangle" a "filter"

a pokud se -t nat aplikovat muze, potvrd mi jenom plz, ze se teda ve vsech implicitnich chainech (PRE - INP - OUT - FORW - POST) zpracovaji rules vzdycky podle VSECH tabulek a to v poradi "mangle" - "nat" - "filter"

28.7.2004 20:28 ttt
Rozbalit Rozbalit vše Re: iptables tabulky retezce

chain INPUT v tabulce nat neexistuje (pokud si ho sam nevytvoris) o cemz se snadno presvedcis napr: iptables -t nat -N INPUT (vytvoreni noveho chainu) ... projde bez chyboveho hlaseni, narozdil od: iptables -t filter -N INPUT ... err...chain alredy exist. Poradi prochazeni implicitnich pravidel je takove jak jsem psal nahore.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje