Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 03:00 | Komunita

Projekt VideoLAN a multimediální přehrávač VLC (Wikipedie) dnes slaví 25 let. Vlastní, tenkrát ještě studentský projekt, začal již v roce 1996 na vysoké škole École Centrale Paris. V první únorový den roku 2001 ale škola oficiálně povolila přelicencování zdrojových kódů na GPL a tím pádem umožnila používání VLC mimo akademickou půdu.

Ladislav Hagara | Komentářů: 0

Moltbook, sociální síť pouze pro AI

včera 18:11 | Humor

Moltbook je sociální síť podobná Redditu, ovšem pouze pro agenty umělé inteligence - lidé se mohou účastnit pouze jako pozorovatelé. Agenti tam například rozebírají podivné chování lidí, hledají chyby své vlastní sociální sítě, případně spolu filozofují o existenciálních otázkách 🤖.

NUKE GAZA! 🎆 | Komentářů: 1

Astrologický plánovač CPU

včera 18:00 | Humor

scx_horoscope je „vědecky pochybný, kosmicky vtipný“ plně funkční plánovač CPU založený na sched_ext. Počítá s polohami Slunce a planet, fázemi měsíce a znameními zvěrokruhu. Upozornil na něj PC Gamer.

|🇵🇸 | Komentářů: 0

O víkendu probíhá FOSDEM 2026

30.1. 18:22 | Komunita

O víkendu probíhá v Bruselu konference FOSDEM 2026 (Free and Open source Software Developers’ European Meeting). Program konference je velice nabitý: 37 místností, 71 tracků, 1184 přednášejících, 1069 přednášek, prezentací a workshopů. Sledovat je lze i online. K dispozici budou jejich videozáznamy. Aktuální dění lze sledovat na sociálních sítích.

Ladislav Hagara | Komentářů: 3

NexPhone

30.1. 18:00 | IT novinky

Společnost Nex Computer stojící za "notebooky bez procesorů a pamětí" NexDock představila telefon NexPhone, který může funguje jako desktop PC, stačí k němu připojit monitor, klávesnici a myš nebo NexDock. Telefon by měl být k dispozici ve třetím čtvrtletí letošního roku. Jeho cena by měla být 549 dolarů. Předobjednat jej lze s vratní zálohou 199 dolarů. V dual-bootu by měl být předinstalovaný Android s Linuxem (Debian) jako aplikací a Windows 11.

Ladislav Hagara | Komentářů: 3

Calibre 9.0

30.1. 16:00 | Nová verze

Byla vydána nová major verze 9.0 softwaru pro správu elektronických knih Calibre (Wikipedie). Přehled novinek v poznámkách k vydání. Vypíchnuta je podpora AI.

Ladislav Hagara | Komentářů: 2

Wasmer 7.0

30.1. 14:22 | Nová verze

Wasmer byl vydán ve verzi 7.0. Jedná se o běhové prostředí pro programy ve WebAssembly. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 1

Opera GX bude i pro Linux

30.1. 12:22 | Zajímavý software

V reakci na nepopulární plán Microsoftu ještě více ve Windows prohloubit integraci umělé inteligence Copilot, Opera na sociální síti 𝕏 oznámila, že připravuje nativní linuxovou verzi prohlížeče Opera GX. Jedná se o internetový prohlížeč zaměřený pro hráče, přičemž obsahuje všechny základní funkce běžného prohlížeče Opera. Kromě integrace sociálních sítí prohlížeč například disponuje 'omezovačem', který umožňuje uživatelům omezit využití sítě, procesoru a paměti prohlížečem, aby se tak šetřily systémové zdroje pro jinou aktivitu.

NUKE GAZA! 🎆 | Komentářů: 8

NVIDIA vydala klienta GeForce NOW pro Linux

30.1. 06:22 | Zajímavý software

NVIDIA vydala nativního klienta své cloudové herní služby GeForce NOW pro Linux. Zatím v beta verzi.

Ladislav Hagara | Komentářů: 6

Open Gaming Collective (OGC)

30.1. 04:33 | Zajímavý projekt

Open Gaming Collective (OGC) si klade za cíl sdružit všechny klíčové projekty v oblasti linuxového hraní počítačových her. Zakládajícími členy jsou Universal Blue a Bazzite, ASUS Linux, ShadowBlip, PikaOS a Fyra Labs. Strategickými partnery a klíčovými přispěvateli ChimeraOS, Nobara, Playtron a další. Cílem je centralizovat úsilí, takže namísto toho, aby každá distribuce udržovala samostatné opravy systému a podporu hardwaru na

… více »

NUKE GAZA! 🎆 | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 22, poslední 29.1. 23:06

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables

Štítky: DNS, e-mail, firewally, FTP, Internet, iptables, IRC, KDE, práva, sítě, SMTP

Dotaz: iptables

15.8.2005 16:56 secido
iptables

Přečteno: 236×

Odpovědět | Admin

Mám router a potrebujem na ňom nastaviť iptables tak, aby bolo blokované všetko okrem mnou zvolených portov. Myslím, že sa to bude týkať chainu FORWARD, eth0 je von, eth1 je lokálna:

#!/bin/bash
NET="192.168.1.0/24"
IPT="/sbin/iptables"
TCP="ssh,smtp,www,https,ftp,ftp-data,irc,5190,pop3,pop3s"

$IPT -P FORWARD DROP

$IPT -A FORWARD -m multiport -p tcp -i eth1 \
    --dports $TCP -s $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p tcp -o eth1 \
    --sports $TCP -d $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p udp -i eth1 \
    --dports domain -j ACCEPT

Zdá sa, že to negunguje dokonale, kde mám chybu?

Nástroje: Začni sledovat (0) ?

Odpovědi

15.8.2005 18:08 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables

Jenom taková blbost a přes jaké zařízení to má odcházet když to má routovat ?

Přijímání a odesílání těch portů máš pouze na eth1 a o jiném zařízení tam není ani řeči :-)

takže dodat pravidla pro eth0 a taktéž pro input a output neboť ten router taky určitě musí nějak komunikovat i když třeba jenom přes lo. (127.0.0.1).

PS. Podívej se na internetu je hromada firewallů a trochu to nastuduj a předělej.

15.8.2005 18:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables

V tom bych neviděl problém, pokud nezablokuje INPUT a OUTPUT, může klidně FORWARD nechat takhle, i když já bych pochopitelně raději psal '-i eth0 -o eth1' resp. naopak. No, vlastně bych spíš psal spíš '-i $EXTIF -o $INTIF'… :-)

15.8.2005 18:08 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables

  $IPT -A FORWARD -m multiport -p tcp -o eth1 \
      --sports $TCP -d $NET -j ACCEPT

Tak tohle je přímo ukázková chyba. Tím totiž nepovolujete odpovědi na své dotazy na vybrané služby ale jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník jako zdrojový některý z vyjmenovaných portů. To ovšem není nejmenší problém a vzhledem k tomu, že tam máte i neprivilegované porty, nepotřebuje k tomu ani práva roota na svém počítači.

Správnější by bylo místo toho použít

  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

To by mohlo řešit i váš problém, který by mohl spočívat v tom, že sice povolujete DNS dotazy ven, ale už ne odpovědi na ně. Jestli to nepomůže, nezbyde než odtajnit informaci, co konkrétně znamená vaše "to negunguje dokonale".

15.8.2005 18:52 karel
Rozbalit Rozbalit vše Re: iptables

němelo by to být obráceně? nejdřív povolit potřebný služby a pak na konci vše zakázat. ( ne zakazat a pak povolovat. to mi nidky nešlo). Co vubec znamena to -m state --state ESTABLISHED,RELATED -j ACCEPT ?

15.8.2005 19:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables

Na pořadí nezáleží, politika je nezávislá na obsahu chainu. Problém to může být jedině v případě, že zadáváte příkazy postupně (interaktivně) shellu při vzdáleném připojení. Co se týká významu toho pravidla, to je popsáno prakticky v jakémkoli dostupném tutorialu, takže to ponecháme laskavému čtenáři k nastudování. :-)

16.8.2005 17:52 secido
Rozbalit Rozbalit vše Re: iptables

Tak som to urobil cez state, ale problém je, že spojenia, ktoré boli nadviazané predtým, to nechá bežať, čo je nežiadúce.

Založit nové vlákno • Nahoru

Tiskni Sdílej: