Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

SolveSpace 3.2

včera 23:11 | Nová verze

SolveSpace (Wikipedie), tj. multiplatformní open source parametrický 2D/3D CAD, byl vydán v nové verzi 3.2. Přehled novinek v Changelogu na GitHubu. Vyzkoušet lze novou oficiální webovou verzi.

Ladislav Hagara | Komentářů: 1

Den IPv6 proběhne 4. června. Organizátoři vyhlásili Call for Abstracts

včera 18:22 | Pozvánky

Organizátoři Dne IPv6, tradiční akce věnované tématům spojeným s tímto protokolem, vyhlásili Call for Abstracts. Na webu konference mohou zájemci přihlašovat příspěvky o délce 20 nebo 40 minut či 10minutové lighting talky a to až do 30. dubna. Tvůrci programu uvítají návrhy přednášek z akademického i komerčního sektoru, které mohou být technického i netechnického zaměření. Den IPv6 se letos uskuteční 4. června a místem konání bude i

… více »

VSladek | Komentářů: 1

Euro-Office, evropský fork OnlyOffice

včera 15:00 | Zajímavý software

Euro-Office (Wikipedie) je evropský fork open source kancelářského balíku OnlyOffice. Za forkem stojí koalice firem IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian a BTactic. Cílem je zajistit digitální suverenitu Evropy a snížit závislost na neevropských platformách. Projekt vznikl mimo jiné v reakci na nedávné uzavření cloudové služby OnlyOffice. OnlyOffice obviňuje Euro-Office z porušení licenčních podmínek. Na možné problémy upozorňuje i Collabora Online. Jednostranná změna licence není v pořádku.

Ladislav Hagara | Komentářů: 21

Videozáznamy přednášek z Installfestu 2026

včera 05:11 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.

Ladislav Hagara | Komentářů: 1

Arduino: Open Source Report 2025 a 7 nových produktů kompatibilních s UNO Q

včera 00:22 | Komunita

Během akce Arduino Days 2026 byl publikován Arduino Open Source Report 2025 (pdf) a oznámeno 7 nových produktů kompatibilních s deskou UNO Q (Arduino USB-C Power Supply, USB-C Cable, USB-C Hub, UNO Media Carrier, UNO Breakout Carrier, Bug Hopper, Modulino LED Matrix).

Ladislav Hagara | Komentářů: 2

Google Vyhledávání Live

29.3. 20:22 | IT novinky

Google v pátek spustil v Česku Vyhledávání Live. Tato novinka umožňuje lidem vést plynulou konverzaci s vyhledávačem v češtině. A to prostřednictvím hlasu, nebo prostřednictvím toho, na co ukážou svým fotoaparátem či kamerou v mobilu. Rozšíření této multimodální funkce je možné díky nasazení Gemini 3.1 Flash Live, nového hlasového a audio modelu, který je od základu vícejazyčný, takže umožňuje lidem po celém světě mluvit na vyhledávač přirozeně a v jazyce, který je jim nejbližší.

Ladislav Hagara | Komentářů: 1

Prohledávadlo JSON souborů Jsongrep

29.3. 12:55 | Zajímavý software

Jsongrep je open-source nástroj, který efektivně prohledává JSON dokumenty (editovat je neumí). Kompiluje regulérní jazyk dotazu do podoby deterministického konečného automatu (DFA), díky čemuž prochází strom JSON dokumentu pouze jednou a je v tom tedy rychlejší než jiné nástroje jako jsou například jq, JMESPath nebo jql. Jsongrep je napsaný v programovacím jazyce Rust, zdrojový kód je dostupný na GitHubu.

NUKE GAZA! 🎆 | Komentářů: 4

O víkendu probíhá Installfest 2026

28.3. 05:55 | Komunita

O víkendu probíhá v Praze na Karlově náměstí 13 konference Installfest 2026. Na programu je celá řada zajímavých přednášek a workshopů. Vstup na konferenci je zcela zdarma, bez nutnosti registrace. Přednášky lze sledovat i online na YouTube.

Ladislav Hagara | Komentářů: 12

Mozilla a Mila oznámily partnerství za účelem rozvoje open source a suverénní AI

28.3. 05:22 | Komunita

Mozilla a společnost Mila oznámily strategické partnerství za účelem rozvoje open source a suverénní AI. Cílem je ukázat, že open source AI může konkurovat uzavřeným systémům. Obě organizace chtějí posílit technologickou suverenitu a snížit závislost na hrstce velkých technologických firem.

Ladislav Hagara | Komentářů: 4

DOOM přes DNS

28.3. 04:00 | Humor

Adam Rice předvedl, že pomocí DNS lze distribuovat a spustit kompletní hru DOOM. Rozdělil WAD soubory a binárky do téměř 2000 DNS záznamů v Cloudflare zóně (jeden TXT záznam v DNS může nést okolo 2000 znaků textu). Ty pak stáhl PowerShellem, dekomprimoval a spustil přímo v paměti počítače bez nutnosti zápisu na disk, což prakticky dokazuje, že DNS může sloužit jako distribuované úložiště dat a možný kanál pro načítání kódu. Repozitář projektu je na GitHubu.

NUKE GAZA! 🎆 | Komentářů: 9

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 27, poslední 17.3. 19:26

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables a mandrake

Štítky: bezpečnost, DHCP, firewally, Internet, iptables, KDE, práva, sítě, textové editory, Vim

Dotaz: iptables a mandrake

9.7.2005 22:04 NbS | skóre: 26 | blog: Linux jako Linux ... vsude je neco jako /etc | Prague
iptables a mandrake

Přečteno: 147×

Odpovědět | Admin

Dobry den

mam nasledujici :

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

provoz local

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT

z meho pc veskere navazane spojeni

iptables -A INPUT -m -i eth0 --state ESTABLISHED -j ACCEPT

muj www

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

a problem mam ze bohuzel me nejde vubec nic (po zadani pravidel). Mozna tam mam chybu - nevim, pisu je poprve, clanky na root a zde o FW jsem cetl ale chova se to nevyzpitatelne (mam MDV), kdyz zadam pravidla, a) nic nejde - ale mohu tam mit chybu, a za b) pri vypisu iptables -L se me vypise seznam na 2 strany ...? Dale nekdy nejdou vymazat a stale se objevuji - ovsem ne ty co jsem psal ja. Urcite to dela neco v MDV ale ja nevim co :(

chctel bych se teda zeptat, mam alespon ty pravidla v poradku ?

Pan Bily byli bily strop, aby byl bily ... (Opravdu si myslite, ze je to spravne) ?

Nástroje: Začni sledovat (0) ?

Odpovědi

9.7.2005 22:38 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables a mandrake

Pokud opravdu chcete, aby z vašeho počítače neodešlo nic jiného než ICMP, pak ta pravidla v pořádku jsou; pak je ale naprosto zbytečné povolovat ESTABLISHED pakety zvenku, protože tak jako tak žádné nemohou existovat (kromě ICMP, které jste už povolil výše).

9.7.2005 22:43 NbS | skóre: 26 | blog: Linux jako Linux ... vsude je neco jako /etc | Prague
Rozbalit Rozbalit vše Re: iptables a mandrake

Aha

takze kdyz odeberu

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT

tak by to melo fungovat

ode me veskery navazany provoz ven oki z venku jen na www a nic vic

je to tak ?

Jak rikam pisu to poprve :)

Pan Bily byli bily strop, aby byl bily ... (Opravdu si myslite, ze je to spravne) ?

9.7.2005 22:48 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables a mandrake

Ne, pak už nebude směrem ven fungovat ani to ICMP. Směrem dovnitř sice přijmete úvodní paket spojení na váš HTTP server, ale neprojde už ani odpověď. Doporučuji nevnímat pravidla intuitivně, ale jako program. Vezměte si (myšlenkově) paket a projděte si postupně (tak, jak jsou pravidla zapsána v řetězcích, ne ve skriptu) jednotlivá pravidla a simulujte si rozhodování systému. Tak poznáte, co se vlastně děje.

Hint: filtrování v chainu OUTPUT má smysl jenom tam, kde opravdu chcete omezovat provoz od sebe směrem ven. Pokud ne, pak je lepší nechat OUTPUT prázdný s politikou ACCEPT.

9.7.2005 22:51 NbS | skóre: 26 | blog: Linux jako Linux ... vsude je neco jako /etc | Prague
Rozbalit Rozbalit vše Re: iptables a mandrake

Dobre

zkusim to... mate pravdu - neco jsem slepe napastoval. vezmu to z manualu a kdyz tak se jeste ozvu (ps : spis 100%) :))

zatim a diky

Pan Bily byli bily strop, aby byl bily ... (Opravdu si myslite, ze je to spravne) ?

9.7.2005 22:54 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: iptables a mandrake

OUTPUT bych ven zakazoval z portů do 1024 a jen explicitně povoloval, co chci, aby mohlo ven. I když tak udělám chybu někde jinde (např. v INPUT, tcp_wrappers, konfiguraci démona, ...), tak lokální službu nevystavím útočníkovi, protože nebude moci ven odpovědět.

9.7.2005 22:50 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: iptables a mandrake

Když odebereš tohle, tak už teprve neprojde nic.

Tvůj základní problém je (jak už popsal Michal), že aby mohl přijít ESTABLISHED paket, musí nejprve projít nějaký NEW a to spojení vytvořit. Jelikož vytváření spojení nepovoluješ, tak nic neprojde.

9.7.2005 22:52 NbS | skóre: 26 | blog: Linux jako Linux ... vsude je neco jako /etc | Prague
Rozbalit Rozbalit vše Re: iptables a mandrake

Oki - pujdu logicky jak prochazi paket (snad) :))

kdyz tak se ozvu zatim diky :)

Pan Bily byli bily strop, aby byl bily ... (Opravdu si myslite, ze je to spravne) ?

10.7.2005 02:12 NbS | skóre: 26 | blog: Linux jako Linux ... vsude je neco jako /etc | Prague
Rozbalit Rozbalit vše Re: iptables a mandrake

Ahoj

jeste bych mel dotaz...

kdyz vynecham vyprazdeni pravidel a -P INPUT/OUTPUT a FORWARD DROP

a vyzvorim jen jedno jedinne pravidlo ktere by melo predavat veskery http provoz ktery prichazi z verejne IP

-A FORWARD -p tcp --dport 80 -j ACCEPT

tak by se melo (podle me jit dostat jen z venku na www server) nic vic.

Jeste pro uplnost moje sit : DSL PRIPOJENI (hw router) -> preposila verejnou IP na www server a pro zbytek site pouziva DHCP

a me se porad jedna o to aby na www, kde je verejna byl provoz fw omezen jen na provoz nezbytny pro www server nic vic.

Pan Bily byli bily strop, aby byl bily ... (Opravdu si myslite, ze je to spravne) ?

10.7.2005 11:49 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: iptables a mandrake

Když vynecháš vyprázdnění pravidel (iptables -F), tak všechna pravidla zůstanou a nová se k nim budou přidávat. To znamená, že to co přidáš, se vlastně díky předchozím pravidlům nemusí ani dostat ke slovu - první splněné pravidlo určí, co se s paketem udělá a další se nezkoumají.

Když vynecháš -P INPUT DROP atd., tak zůstane nastavené to, co jsi tam měl naposled.

Pravidlo pro povolení provozu na www ve FORWARD bude fungovat, pokud máš www server na jiném počítači, než na kterém běží firewall. Jestli má ten www server privátní IP adresu, tak je ještě potřeba nastavit DNAT

K tomu, že se některá pravidla objevují a nejdou smazat - V Mandrake defaultně běží program msec, který "hlídá bezpečnost systému". Mě například měnil práva k adresářům v /home, možná mění i pravidla v iptables.

A jinak bych doporučil přečíst si pořádně tohle, tam zjistíš, jak funguje to, co se snažíš nastavovat.

Quando omni flunkus moritati

10.7.2005 14:00 NbS | skóre: 26 | blog: Linux jako Linux ... vsude je neco jako /etc | Prague
Rozbalit Rozbalit vše Re: iptables a mandrake

Myslel jsem tady v textu :) ze je vyecham a nebudu je sem vypisovat :))

Ale diky moc vsem, uz vim kde byla ta nejvetsi chyba... v MDV a iptables, instalovanych pres jejich spravce sw.

Dneska jsem si iptables stahl a rucne "zakomponoval" do systemu (bez spravce sw a jinych blbin). A vida, problemy (spojene ze neco v systemu me prepisovalo to co jsem napsal a nebo me to rucne vubec nereagovalo co jsem zadal)ustaly. Nyni si jiz procitam (Linux Prakticka Bezpecnost) a je mi okolo iptables hodne vecí jasna...))

PS: jeste jednou dikes

Pan Bily byli bily strop, aby byl bily ... (Opravdu si myslite, ze je to spravne) ?

Založit nové vlákno • Nahoru

Tiskni Sdílej: