abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 15:55 | Bezpečnostní upozornění

Samba, svobodná implementace síťového protokolu SMB/CIFS, byla vydána ve verzích 4.12.7, 4.11.13 a 4.10.18. Řešena je bezpečnostní chyba CVE-2020-1472 v protokolu Netlogon (Zerologon). Microsoft ji ve svých produktech opravil 11. srpna. Jedná se o chybu s CVSS 9.8. Neautentizovaný útočník se může stát správcem domény.

Ladislav Hagara | Komentářů: 0
18.9. 16:22 | Nová verze

Byla vydána eRouška 2.0 pro Android a iOS. Nově využívá systém oznámení o možném kontaktu vyvinutý společnostmi Google a Apple. Zdrojové kódy eRoušky jsou k dispozici na GitHubu (Android, iOS).

Ladislav Hagara | Komentářů: 35
18.9. 15:33 | Humor

Máte na klávesnici málo kláves? Pomoci vám může 433% Keyboard [reddit, Wayback Machine].

Ladislav Hagara | Komentářů: 16
18.9. 13:33 | Komunita

Otevřená certifikační autorita Let’s Encrypt (Wikipedie) včera na svém blogu oznámila vydání 6 svých nových certifikátů: 1 kořenový, 4 mezilehlé a 1 křížově podepsaný. Kořenový certifikát ISRG Root X2 a mezilehlé E1 a E2 jsou již ECDSA místo RSA. Certifikační autorita Let’s Encrypt byla představena v listopadu 2014. První certifikát vydala přesně před pěti lety, v září 2015. Dnes jich denně vydává milion a půl.

Ladislav Hagara | Komentářů: 0
17.9. 23:11 | Komunita

Mozilla Corporation na svém blogu informuje, že ukončila služby Firefox Send a Firefox Notes. Mozilla Foundation na druhé straně představila rozšíření RegretsReporter. Jedná se o rozšíření pro Firefox a Chrome umožňující Mozillu informovat o doporučených videích na YouTube, jejíchž zhlédnutí uživatel lituje.

Ladislav Hagara | Komentářů: 32
17.9. 15:44 | Zajímavý článek

Společnost Nethemba informuje o již opravené kritické zranitelnosti v aplikaci Moje eZdravie na Slovensku. Kdokoli si mohl stáhnout informace o všech osobách testovaných na COVID-19 (jméno, příjmení, rodné číslo, telefonní číslo, místo pobytu, datum a výsledek odběru).

Ladislav Hagara | Komentářů: 41
17.9. 13:55 | Zajímavý software

GitHub CLI dospěl do verze 1.0.0. GitHub CLI umožňuje pracovat s GitHubem z příkazové řádky (gh issue list; gh pr status; gh release create; gh repo view; …).

Ladislav Hagara | Komentářů: 3
17.9. 09:00 | Nová verze

LabPlot (Wikipedie) je svobodná multiplatformní KDE aplikace pro interaktivní vytváření grafů a analýzu vědeckých dat. Téměř po roce vývoje byla vydána nová verze 2.8.

Ladislav Hagara | Komentářů: 0
17.9. 07:00 | Nová verze

Bylo vydáno Eclipse IDE 2020-09 aneb Eclipse 4.17. Představení novinek tohoto vývojového prostředí také na YouTube.

Ladislav Hagara | Komentářů: 0
17.9. 01:44 | IT novinky

Facebook na konferenci Facebook Connect představil brýle pro virtuální realitu Oculus Quest 2 (YouTube) s rozlišením 1832 x 1920 pixelů na jedno oko. Verze s úložištěm 64 GB stojí 299 dolarů, tj. o 100 dolarů méně než první Quest. Quest 2 vyžaduje přihlášení pomocí účtu na Facebooku.

Ladislav Hagara | Komentářů: 2
Používáte aplikaci eRouška?
 (16%)
 (4%)
 (2%)
 (12%)
 (52%)
 (8%)
 (7%)
Celkem 347 hlasů
 Komentářů: 34, poslední dnes 09:04
Rozcestník

Dotaz: Iptables+blokování adres

Shteffi avatar 29.3.2005 12:15 Shteffi | skóre: 21 | blog: Shteffi
Iptables+blokování adres
Přečteno: 423×
Zdravim.. Vim, že okolo Iptables se tu toho válí hodně.. dokonce jsem si prostudoval články na rootu a diskuze co tu jsou ale pořád nemůžu přijít a to jak nastavit firewall na routeru tak aby blokoval komunikaci s určitou adresou. Konkrétně:
mam router a za nim celou síť
na routeru mam firewall nastavenej podle skriptu Mirka
petříčka http://www.petricek.cz/mpfw/
do něj potřebuju přidat pravidlo který by blokovalo určitou adresu z venku pro určitou adresu vevnitř, popřípadě určitej rozsah adres uvnitř...

Asi se vám to bude zdát jednoduchý ale už si nevim rady.

Taky by mě zajímalo jakym bezpečnym způsobem se dájí obnovit pravidla pro iptables, který mam uložený v debianu v /etc/network/if-pre-up.d/ zatim používam restart, ale musí to jít i bez něj.. ale nevim jak...

Díky za radu...

Odpovědi

29.3.2005 12:28 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Iptables+blokování adres
iptables -A INPUT -i vnější_rozhraní -s zlá_adresa -d hodná_adresa -j DROP

nebo tak něco.
29.3.2005 12:32 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: Iptables+blokování adres
řekl bych, v INPUTu to asi nebude... spíš nějakej FORWARD nebo tak něco...
29.3.2005 12:35 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Iptables+blokování adres
Jo, sorry, to je postaru ;-) Má to být FORWARD.
Shteffi avatar 29.3.2005 12:51 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
tak nevim ale pořád mi to nefunguje a prochází to.. jak INPUT tak FORWARD nevadí tomu, že tam sou povolený related, established spojení?
29.3.2005 12:56 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Iptables+blokování adres
Pokud spojení nenavazuje ten uvnitř, tak ne. Nemáš tam náhodou NAT?
Shteffi avatar 29.3.2005 13:05 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
No to bude asi tim... Nat samozřejmě mam.. a spojení navazuje ten uvnitř Potřebuju uživatelům zakázat některý adresy...
29.3.2005 13:11 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Iptables+blokování adres
V tom případě by pomohlo, kdybys v dotazu napsal, jakou máš situaci, a ne něco úplně jiného...

Vyměň -d a -s, změň -i na vnitřní interface a spíš to REJECTni, než DROPni.
29.3.2005 13:13 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Iptables+blokování adres
A kromě toho je v této situaci blokování neúčinné, protože si uživatel na libovolném jiném, povoleném počítači na světě rozjede port forward...
29.3.2005 13:14 wake
Rozbalit Rozbalit vše Re: Iptables+blokování adres
jen tak od oka:iptables -t NAT -I PREROUTING -i _inner_iface_ -s _inner_machine_ -d _outer_machine_ -j DROP
29.3.2005 13:17 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: Iptables+blokování adres
DROP ne, pokud lze REJECT. Timeouty jsou zlé...

Kromě toho: filtrovat jde ve všech tabulkách, ale dělal bych to v tabulce filter...
Shteffi avatar 29.3.2005 13:34 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
takhle mi to vrátí : target problem... nevim co s tim...
29.3.2005 13:45 wake
Rozbalit Rozbalit vše Re: Iptables+blokování adres
misto NAT piste nat. rikal jsem, ze to je vod voka ;)
Shteffi avatar 29.3.2005 13:51 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
toho sem si všim.. ale stejně to hází tu chybu...
29.3.2005 13:53 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: Iptables+blokování adres
Shteffi avatar 29.3.2005 14:00 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
sorry, ale už z toho mam zamotanou šišku.. mohl bys uvést konkrétní příklad? Díky..
29.3.2005 14:08 wake
Rozbalit Rozbalit vše Re: Iptables+blokování adres
iptables -t filter -I FORWARD -i _inner_iface_ -s _inner_machine_ -d _outer_machine_ -j DROP
29.3.2005 14:09 wake
Rozbalit Rozbalit vše Re: Iptables+blokování adres
resp. misto DROP psat REJECT, aby to bylo uplne koser.
Shteffi avatar 29.3.2005 14:20 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
Konečně.. díky takhle to už bezvadně funguje...
Shteffi avatar 29.3.2005 13:41 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
buďte tak hodný.. podívejte se na tohle

http://www.petricek.cz/mpfw/

přesně takhle mam ten firewall nastavenej. jestli se tam něco s něčim netluče.. A poraďte mi jak ty adresy blokovat... Děkuju moc...
29.3.2005 14:15 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: Iptables+blokování adres
Já být tebou začnu od nuly...přečtu si jak ten firewall vůbec funguje..co je chain INPUT, FORWARD, OUTPUT...jak se to chová, kdy tím proletí paket a kdy ne. To bude zcela nejlepší.
Shteffi avatar 29.3.2005 14:22 Shteffi | skóre: 21 | blog: Shteffi
Rozbalit Rozbalit vše Re: Iptables+blokování adres
já vim že jo.. dokonce sem se o to nejednou snažil, ale je toho tolik, že i když si myslim, že tomu rozumim, tak se najde něco co mi to postaví na hlavu.. ale takhle na živejch příkladech se to dá pochopit úplně nejlíp...
29.3.2005 18:05 ttt
Rozbalit Rozbalit vše Re: Iptables+blokování adres
Nesouhlasim, protoze ja znamo "Nejpraktictejsi veci na svete je dobra teorie". :-)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.