abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 15:44 | Nová verze

Byla vydána verze 3.12 prohlížeče obrázků gThumb (Wikipedie, GitLab). Z novinek lze zdůraznit například přidání podpory AVIF, HEIF a JPEG XL.

Ladislav Hagara | Komentářů: 0
dnes 12:11 | Nová verze

Byla vydána nová verze 5.5 programovacího jazyka Swift (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu. Ke stažení jsou oficiální binární balíčky pro Ubuntu 16.04, Ubuntu 18.04, Ubuntu 20.04, CentOS 7, CentOS 8 a Amazon Linux 2.

Ladislav Hagara | Komentářů: 0
dnes 09:00 | Komunita

Do pátku probíhá konference vývojářů Linuxu aneb linuxových instalatérů Linux Plumbers Conference 2021 (LPC 2021). Přednášky lze sledovat online.

Ladislav Hagara | Komentářů: 1
včera 23:11 | Zajímavý software

Prohlížeč obrázků nsxiv (Neo (or New or Not) Simple (or Small or Suckless) X Image Viewer) byl vydán ve verzi 27.1. Jedná se o fork již nevyvíjeného prohlížeče obrázku sxiv. Přehled novinek v CHANGELOGu.

Ladislav Hagara | Komentářů: 0
včera 21:33 | Zajímavý článek

MojeFedora.cz informuje co nového přinese Fedora Workstation 35: Lepší podpora Waylandu pod ovladačem od NVidie, režim pro kiosky, myši s vysokým rozlišením, PipeWire, podpora zatemňovacích obrazovek, OpenGL nad Vulkanem a profily napájení.

Ladislav Hagara | Komentářů: 7
včera 11:00 | Nová verze

Byla vydána nová verze 1.9.10 multiplatformního frontendu k emulátorům, herním enginům a multimediálním přehrávačům RetroArch (Wikipedie). Přehled novinek v příspěvku na blogu. RetroArch je nově k dispozici také na Steamu.

Ladislav Hagara | Komentářů: 0
včera 10:22 | Pozvánky

Od 23. do 25. září bude probíhat online konference LibreOffice 2021. Během tří dnů je připraveno okolo padesáti přednášek, workshopů a komunitních setkání s tématy týkající se kancelářského balíku, komunity a open source. Program je k dispozici na stránce konference. Konference se bude konat na komunikační platformě Jitsi a je zdarma. Připravuje se také YouTube přenos. Registrace je dostupná na stránce konference.

Zdeněk Crhonek | Komentářů: 0
včera 08:00 | Zajímavý software

Chafa (GitHub) je utilita a knihovna pro zobrazování libovolných obrázků v terminálu. Novinky v nejnovější verzi 1.8 v příspěvku na blogu.

Ladislav Hagara | Komentářů: 9
19.9. 12:11 | Nová verze

Společnost Jolla oznámila vydání verze 4.2.0 s kódovým názvem Verla mobilního operačního systému Sailfish OS (Wikipedie). Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
18.9. 20:33 | Nová verze

Foreman (Wikipedie), nástroj pro kompletní správu životního cyklu fyzických i virtuálních serverů, byl vydán ve verzi 3.0. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
Dotykový displej na notebooku nebo desktopu
 (36%)
 (7%)
 (6%)
 (52%)
Celkem 471 hlasů
 Komentářů: 11, poslední 18.9. 18:45
Rozcestník



Dotaz: Router???

29.6.2005 07:31 Waran
Router???
Přečteno: 369×
Chápu, že už to tu bylo probíráno několikrát, ale přesto Vás žádám o pomoc. Potřeboval bych poradit s nastavením routeru... V mašině jsou celkem 4 síťové karty. První je napojená na ADSL, druhá je jedna LAN, pak druhá LAN a třetí LAN. Je to taková zvláštnost, ale bylo to nutné a tak jsem to musel udělat, jenomže teď mám problém. Potřebuji, aby se všechny LAN routovaly přes jedno rozhraní do internetu, ale aby mezi sebe zároveň neviděly... A to je docela oříšek, který nejsem s to rozlousknout... A další věcí je požadavek, že pro dvě z těch tří LAN má být použito QoS... Najde se někdo, kdo mi poradí???

Thx, Waran...

Odpovědi

29.6.2005 09:04 ujaja
Rozbalit Rozbalit vše Re: Router???
nastavte vsechny karty do LAN kazdou na jiny subnet, zapnete ipforwarding, pak NAT na eth0 a nakonec pomoci iptables ve FORWARDU zakazte komunikaci mezi rozhranimi lokalni site..
Josef Kufner avatar 29.6.2005 16:47 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Router???
Ještě malá drobnost: v tom forwardu je lépe zakazovat pomocí REJECT než DROP. Ty timeouty docela lezou na nervy. Pripadne ještě přidat "--reject-with icmp-host-unreachable" nebo něco takového.
Hello world ! Segmentation fault (core dumped)
26.8.2007 23:21 fojtik
Rozbalit Rozbalit vše Re: Router???

A co treba tento priklad:

route add default gw 10.23.22.1 dev ath0 metric 1

#routovaci tabulky
route add -host 10.23.0.5 dev eth0
route add -host 10.23.1.5 dev eth1
route add -host 10.23.2.5 dev eth2
route add -host 10.23.22.1 dev ath0

echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp

iptables -A POSTROUTING -t nat -s 10.23.0.5 -o ath0 -j SNAT --to 10.23.22.18
iptables -A POSTROUTING -t nat -s 10.23.1.5 -o ath0 -j SNAT --to 10.23.22.19
iptables -A POSTROUTING -t nat -s 10.23.2.5 -o ath0 -j SNAT --to 10.23.22.20

Ted si nejsem jisty jak to syntakticky napsat, ale proste zahodis veskerou komunikaci mezi eth0, eth1, eth2. Pak na sebe pocitace ani za boha neuvidi. Komunikace mezi eth0 a adsl ci obracene pojede OK.

iptables -A INPUT -i eth0 -o eth1 DROP
iptables -A INPUT -i eth0 -o eth2 DROP
iptables -A INPUT -i eth1 -o eth0 DROP
iptables -A INPUT -i eth1 -o eth2 DROP
iptables -A INPUT -i eth2 -o eth0 DROP
iptables -A INPUT -i eth2 -o eth1 DROP
26.8.2007 23:51 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Router???
iptables -A INPUT -i eth0 -o eth1 DROP
iptables -A INPUT -i eth0 -o eth2 DROP
iptables -A INPUT -i eth1 -o eth0 DROP
iptables -A INPUT -i eth1 -o eth2 DROP
iptables -A INPUT -i eth2 -o eth0 DROP
iptables -A INPUT -i eth2 -o eth1 DROP
:-D
Při čtení dotazu jsem přemýšlel nad vícenásobnou DMZ, ale řešit to takhle jednodušše mě nenapadlo.. nicméně bych řekl, že to funovat nebude, neboť
  • Packety se dostanou do FORWARD chainu místo INPUT
  • V INPUTu nelze použít (nebo přinejmenším nešlo) --out-interface
Jako řešení bych viděl packety v PREROUTINGu markovat (-j MARK) a v POSTROUTINGu kontrolovat odchozí interface a na základě marku dropovat/rejectovat...
Pokud je libo jednodušší řešení, v chainu FORWARD je pokud vím povoleno --in-interface i --out-interface, takže stačí INPUT zaměnit za FORWARD.. (ip_forward povolený)..
27.8.2007 17:30 František Ryšánek
Rozbalit Rozbalit vše Re: Router???
V tomto případě možná ani není třeba vyčerpávajícím způsobem rozepisovat jednotlivé možnosti, co odkud kam zakázat (mezi LANkami navzájem). Spíš bych selektivně povolil, co se smí, a v chainu FORWARD bych dal policy DROP. Nebo pokud chceme REJECT, tak to uvést jako poslední pravidlo, které matchne všecko, dřív než se uplatní "policy".

Konkrétně:

1) SNAT na -o $OUTSIDE_INTERFACE (a taky -s ADRESA/MASKA nebo -i $INSIDE_INTERFACES)

2) povolit všechno ven, zpátky jenom -m state --state ESTABLISHED,RELATED

3) netuším, jestli se dá jako policy zadat REJECT --reject-with icmp-port-unreachable . Kdyžtak rozdělit do dvou pravidel:

iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable

iptables -P FORWARD DROP

Možná ještě před tuhle dvojici dát logovací pravidlo, pokud nás zajímají pokusy o narušení.

Jinak obecně úvodní rozskok na všechny možnosti N^2-N, kde N je počet rozhraní, u ručně psaných firewallových skriptů s IPtables, je fajn věc. Mě to třeba zjednodušuje orientaci (věc názoru a stylové úpravy skriptu) a optimalizuje to délku procházených chainů (snižuje zátěž CPU) - neprocházejí se všechna pravidla sekvenčně, ale jenom daná větev odkud-kam. Ideovou inspiraci si můžete opatřit třeba tady (bacha na rozdíl v chování chainů INPUT/OUTPUT u ipchains a iptables):

starobylé IPChains HOWTO, kapitola 7.4

Plus se tam dá vymyslet spousta dalších pentliček pro kontrolu duševního zdraví provozu. Viz třeba:

IPTables Tutorial, příklady skriptů

Zajímavý je například custom chain nazvaný "bad_tcp_packets", "číslování kapitol" ve firewallovém skriptu apod.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.