Přihlášení | Registrace

napište » Zprávičky

ROCm 7.0.0

dnes 16:22 | Nová verze

Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

Ladislav Hagara | Komentářů: 0

systemd 258

dnes 15:22 | Nová verze

Byla vydána nová verze 258 správce systému a služeb systemd (GitHub).

Ladislav Hagara | Komentářů: 5

Java 25 / JDK 25

dnes 15:11 | Nová verze

Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

Ladislav Hagara | Komentářů: 0

Věra Pohlová před 26 lety: „Já bych všechny ty internety a počítače zakázala“

dnes 14:44 | Humor

Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

Ladislav Hagara | Komentářů: 3

Výroční zpráva Blender Foundation za rok 2024

dnes 11:33 | Zajímavý článek

Byla publikována Výroční zpráva Blender Foundation za rok 2024 (pdf).

Ladislav Hagara | Komentářů: 0

Firefox 143.0

včera 21:44 | Nová verze

Byl vydán Mozilla Firefox 143.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Nově se Firefox při ukončování anonymního režimu zeptá, zda chcete smazat stažené soubory. Dialog pro povolení přístupu ke kameře zobrazuje náhled. Obzvláště užitečné při přepínání mezi více kamerami. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 143 bude brzy k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Fedora Linux 43 Beta

včera 17:22 | Nová verze

Byla vydána betaverze Fedora Linuxu 43 (ChangeSet), tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 21. října.

Ladislav Hagara | Komentářů: 0

Ghostty 1.2

včera 12:22 | Nová verze

Multiplatformní emulátor terminálu Ghostty byl vydán ve verzi 1.2 (𝕏, Mastodon). Přehled novinek, vylepšení a nových efektů v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Godot 4.5

včera 00:11 | Nová verze

Byla vydána nová verze 4.5 (𝕏, Bluesky, Mastodon) multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

asciinema CLI 3.0

15.9. 21:33 | Nová verze

Byla vydána verze 3.0 (Mastodon) nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). S novou verzí formátu záznamu asciicast v3, podporou live streamingu a především kompletním přepisem z Pythonu do Rustu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (38%)

Gitlab (62%)

Atlassian (0%)

Bitbucket (8%)

Gitea (15%)

Mercurial (8%)

jen git (15%)

jen svn (8%)

Jiné (uvedu v diskusi) (15%)

Celkem 13 hlasů

Komentářů: 1, poslední dnes 13:49

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Router???

Štítky: ADSL, firewally, Internet, iptables, KDE, komunikace, LAN, NAT, QoS, sítě, textové editory, Vim

Dotaz: Router???

29.6.2005 07:31 Waran
Router???

Přečteno: 398×

Odpovědět | Admin

Chápu, že už to tu bylo probíráno několikrát, ale přesto Vás žádám o pomoc. Potřeboval bych poradit s nastavením routeru... V mašině jsou celkem 4 síťové karty. První je napojená na ADSL, druhá je jedna LAN, pak druhá LAN a třetí LAN. Je to taková zvláštnost, ale bylo to nutné a tak jsem to musel udělat, jenomže teď mám problém. Potřebuji, aby se všechny LAN routovaly přes jedno rozhraní do internetu, ale aby mezi sebe zároveň neviděly... A to je docela oříšek, který nejsem s to rozlousknout... A další věcí je požadavek, že pro dvě z těch tří LAN má být použito QoS... Najde se někdo, kdo mi poradí???

Thx, Waran...

Nástroje: Začni sledovat (0) ?

Odpovědi

29.6.2005 09:04 ujaja
Rozbalit Rozbalit vše Re: Router???

nastavte vsechny karty do LAN kazdou na jiny subnet, zapnete ipforwarding, pak NAT na eth0 a nakonec pomoci iptables ve FORWARDU zakazte komunikaci mezi rozhranimi lokalni site..

29.6.2005 16:47 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Router???

Ještě malá drobnost: v tom forwardu je lépe zakazovat pomocí REJECT než DROP. Ty timeouty docela lezou na nervy. Pripadne ještě přidat "--reject-with icmp-host-unreachable" nebo něco takového.

Hello world ! Segmentation fault (core dumped)

26.8.2007 23:21 fojtik
Rozbalit Rozbalit vše Re: Router???

A co treba tento priklad:

route add default gw 10.23.22.1 dev ath0 metric 1

#routovaci tabulky
route add -host 10.23.0.5 dev eth0
route add -host 10.23.1.5 dev eth1
route add -host 10.23.2.5 dev eth2
route add -host 10.23.22.1 dev ath0

echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp

iptables -A POSTROUTING -t nat -s 10.23.0.5 -o ath0 -j SNAT --to 10.23.22.18
iptables -A POSTROUTING -t nat -s 10.23.1.5 -o ath0 -j SNAT --to 10.23.22.19
iptables -A POSTROUTING -t nat -s 10.23.2.5 -o ath0 -j SNAT --to 10.23.22.20

Ted si nejsem jisty jak to syntakticky napsat, ale proste zahodis veskerou komunikaci mezi eth0, eth1, eth2. Pak na sebe pocitace ani za boha neuvidi. Komunikace mezi eth0 a adsl ci obracene pojede OK.

iptables -A INPUT -i eth0 -o eth1 DROP
iptables -A INPUT -i eth0 -o eth2 DROP
iptables -A INPUT -i eth1 -o eth0 DROP
iptables -A INPUT -i eth1 -o eth2 DROP
iptables -A INPUT -i eth2 -o eth0 DROP
iptables -A INPUT -i eth2 -o eth1 DROP

26.8.2007 23:51 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Router???

iptables -A INPUT -i eth0 -o eth1 DROP
iptables -A INPUT -i eth0 -o eth2 DROP
iptables -A INPUT -i eth1 -o eth0 DROP
iptables -A INPUT -i eth1 -o eth2 DROP
iptables -A INPUT -i eth2 -o eth0 DROP
iptables -A INPUT -i eth2 -o eth1 DROP

Při čtení dotazu jsem přemýšlel nad vícenásobnou DMZ, ale řešit to takhle jednodušše mě nenapadlo.. nicméně bych řekl, že to funovat nebude, neboť

Packety se dostanou do FORWARD chainu místo INPUT
V INPUTu nelze použít (nebo přinejmenším nešlo) --out-interface

Jako řešení bych viděl packety v PREROUTINGu markovat (-j MARK) a v POSTROUTINGu kontrolovat odchozí interface a na základě marku dropovat/rejectovat...
Pokud je libo jednodušší řešení, v chainu FORWARD je pokud vím povoleno --in-interface i --out-interface, takže stačí INPUT zaměnit za FORWARD.. (ip_forward povolený)..

27.8.2007 17:30 František Ryšánek
Rozbalit Rozbalit vše Re: Router???

V tomto případě možná ani není třeba vyčerpávajícím způsobem rozepisovat jednotlivé možnosti, co odkud kam zakázat (mezi LANkami navzájem). Spíš bych selektivně povolil, co se smí, a v chainu FORWARD bych dal policy DROP. Nebo pokud chceme REJECT, tak to uvést jako poslední pravidlo, které matchne všecko, dřív než se uplatní "policy".

Konkrétně:

1) SNAT na -o $OUTSIDE_INTERFACE (a taky -s ADRESA/MASKA nebo -i $INSIDE_INTERFACES)

2) povolit všechno ven, zpátky jenom -m state --state ESTABLISHED,RELATED

3) netuším, jestli se dá jako policy zadat REJECT --reject-with icmp-port-unreachable . Kdyžtak rozdělit do dvou pravidel:

iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable

iptables -P FORWARD DROP

Možná ještě před tuhle dvojici dát logovací pravidlo, pokud nás zajímají pokusy o narušení.

Jinak obecně úvodní rozskok na všechny možnosti N^2-N, kde N je počet rozhraní, u ručně psaných firewallových skriptů s IPtables, je fajn věc. Mě to třeba zjednodušuje orientaci (věc názoru a stylové úpravy skriptu) a optimalizuje to délku procházených chainů (snižuje zátěž CPU) - neprocházejí se všechna pravidla sekvenčně, ale jenom daná větev odkud-kam. Ideovou inspiraci si můžete opatřit třeba tady (bacha na rozdíl v chování chainů INPUT/OUTPUT u ipchains a iptables):

starobylé IPChains HOWTO, kapitola 7.4

Plus se tam dá vymyslet spousta dalších pentliček pro kontrolu duševního zdraví provozu. Viz třeba:

IPTables Tutorial, příklady skriptů

Zajímavý je například custom chain nazvaný "bad_tcp_packets", "číslování kapitol" ve firewallovém skriptu apod.

Založit nové vlákno • Nahoru

Tiskni Sdílej: