abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:44 | Zajímavý software

Příspěvek na blogu Ubuntu představuje etrace, tj. víceúčelový nástroj pro profilování snap balíčků aneb nástroj pro vyhledávání míst v snap balíčcích, která jsou vhodná pro optimalizaci.

Ladislav Hagara | Komentářů: 3
včera 16:11 | IT novinky

Příspěvek na blogu Microsoftu informuje o novince ve WSL (Windows Subsystem pro Linux) ve Windows 10 Insider Preview Build 20246. Linuxové distribuce lze jednoduše instalovat příkazem "wsl --install -d distribuce". Bez "-d distribuce" je nainstalováno Ubuntu. Seznam podporovaných distribucí lze vypsat příkazem "wsl --list --online".

Ladislav Hagara | Komentářů: 22
včera 13:33 | Bezpečnostní upozornění

Samba, svobodná implementace síťového protokolu SMB/CIFS, byla vydána ve verzích 4.13.1, 4.12.9 a 4.11.15. Řešeny jsou 3 bezpečnostní chyby: CVE-2020-14318, CVE-2020-14323 a CVE-2020-14383.

Ladislav Hagara | Komentářů: 0
včera 09:00 | Nová verze

Byla vydána nová stabilní verze 3.4.0 analyzátoru síťového provozu Wireshark (Wikipedie). Přehled novinek v poznámkách k vydání. Zaujme možnost zobrazování paketů ve formátu známém z RFC a učebnic (Packet Diagram, ukázka mp4).

Ladislav Hagara | Komentářů: 1
včera 08:00 | Zajímavý článek

Drew DeVault v reakci na nedávný incident s odstraněním youtube-dl z GitHubu kvůli požadavku RIAA podle DMCA argumentuje, že e-mailové konference jsou vůči takovému postupu odolnější, jelikož každý účastník konference disponuje kopií.

Fluttershy, yay! | Komentářů: 15
včera 07:00 | Nová verze

Společnost Red Hat představila Red Hat Enterprise Linux 8.3. Vedle nových vlastností a oprav chyb přinese také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
29.10. 23:16 | Zajímavý projekt

Začal vycházet nový online magazín Branch, který se snaží přispět k diskusi o udržitelnosti IT technologií a využití Internetu k ochraně klimatu. Obsah je publikován pod licencí Creative Commons BY 4.0. V prvním čísle se lze dočíst například o udržitelném webdesignu, nebo vztahu mezi AI a udržitelností.

milosk | Komentářů: 12
29.10. 19:33 | Komunita

Pygame (Wikipedie), tj. multiplatformní sada modulů jazyka Python určená k tvorbě počítačových her, slaví 20 let. Při této příležitosti byla vydána verze 2.0.

Ladislav Hagara | Komentářů: 0
29.10. 18:44 | IT novinky

Společnost SiFive představila (YouTube) Mini-ITX desku s RISC-V procesorem SiFive Freedom U740 HiFive Unmatched. Její cena je 665 dolarů.

Ladislav Hagara | Komentářů: 1
29.10. 15:11 | Komunita

Dnes je druhý den konference eBPF Summit 2020. Přednášky lze od 17:00 sledovat na YouTube nebo Zoom. Na Youtube je ke zhlédnutí také záznam ze včerejšího dne.

Ladislav Hagara | Komentářů: 0
Které aspekty uživatelského rozhraní textového editoru považujete za důležité?
 (71%)
 (36%)
 (33%)
 (18%)
 (24%)
 (15%)
Celkem 245 hlasů
 Komentářů: 21, poslední 23.10. 17:33
Rozcestník

Dotaz: iptables

15.8.2005 16:56 secido
iptables
Přečteno: 186×
Mám router a potrebujem na ňom nastaviť iptables tak, aby bolo blokované všetko okrem mnou zvolených portov. Myslím, že sa to bude týkať chainu FORWARD, eth0 je von, eth1 je lokálna:
#!/bin/bash
NET="192.168.1.0/24"
IPT="/sbin/iptables"
TCP="ssh,smtp,www,https,ftp,ftp-data,irc,5190,pop3,pop3s"

$IPT -P FORWARD DROP

$IPT -A FORWARD -m multiport -p tcp -i eth1 \
    --dports $TCP -s $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p tcp -o eth1 \
    --sports $TCP -d $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p udp -i eth1 \
    --dports domain -j ACCEPT
Zdá sa, že to negunguje dokonale, kde mám chybu?

Odpovědi

15.8.2005 18:08 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables
Jenom taková blbost a přes jaké zařízení to má odcházet když to má routovat ?

Přijímání a odesílání těch portů máš pouze na eth1 a o jiném zařízení tam není ani řeči :-) takže dodat pravidla pro eth0 a taktéž pro input a output neboť ten router taky určitě musí nějak komunikovat i když třeba jenom přes lo. (127.0.0.1).

PS. Podívej se na internetu je hromada firewallů a trochu to nastuduj a předělej.
15.8.2005 18:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
V tom bych neviděl problém, pokud nezablokuje INPUT a OUTPUT, může klidně FORWARD nechat takhle, i když já bych pochopitelně raději psal '-i eth0 -o eth1' resp. naopak. No, vlastně bych spíš psal spíš '-i $EXTIF -o $INTIF'… :-)
15.8.2005 18:08 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
  $IPT -A FORWARD -m multiport -p tcp -o eth1 \
      --sports $TCP -d $NET -j ACCEPT
Tak tohle je přímo ukázková chyba. Tím totiž nepovolujete odpovědi na své dotazy na vybrané služby ale jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník jako zdrojový některý z vyjmenovaných portů. To ovšem není nejmenší problém a vzhledem k tomu, že tam máte i neprivilegované porty, nepotřebuje k tomu ani práva roota na svém počítači.

Správnější by bylo místo toho použít

  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
To by mohlo řešit i váš problém, který by mohl spočívat v tom, že sice povolujete DNS dotazy ven, ale už ne odpovědi na ně. Jestli to nepomůže, nezbyde než odtajnit informaci, co konkrétně znamená vaše "to negunguje dokonale".
15.8.2005 18:52 karel
Rozbalit Rozbalit vše Re: iptables
němelo by to být obráceně? nejdřív povolit potřebný služby a pak na konci vše zakázat. ( ne zakazat a pak povolovat. to mi nidky nešlo). Co vubec znamena to -m state --state ESTABLISHED,RELATED -j ACCEPT ?
15.8.2005 19:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
Na pořadí nezáleží, politika je nezávislá na obsahu chainu. Problém to může být jedině v případě, že zadáváte příkazy postupně (interaktivně) shellu při vzdáleném připojení. Co se týká významu toho pravidla, to je popsáno prakticky v jakémkoli dostupném tutorialu, takže to ponecháme laskavému čtenáři k nastudování. :-)
16.8.2005 17:52 secido
Rozbalit Rozbalit vše Re: iptables
Tak som to urobil cez state, ale problém je, že spojenia, ktoré boli nadviazané predtým, to nechá bežať, čo je nežiadúce.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.