Přihlášení | Registrace

napište » Zprávičky

Hra Warhammer: Vermintide 2 na Steamu zdarma napořád

dnes 22:33 | Zajímavý software

Hru Warhammer: Vermintide 2 (ProtonDB) lze na Steamu získat zdarma napořád, když aktivaci provedete do pondělí 24. listopadu.

Ladislav Hagara | Komentářů: 0

Xen 4.21

dnes 19:33 | Nová verze

Virtualizační software Xen (Wikipedie) byl vydán v nové verzi 4.21. Podrobnosti v poznámkách k vydání a přehledu nových vlastností.

Ladislav Hagara | Komentářů: 0

EK schválila státní pomoc 450 milionů eur na rozšíření výroby firmy onsemi v ČR

dnes 13:11 | IT novinky

Evropská komise schválila český plán na poskytnutí státní pomoci v objemu 450 milionů eur (téměř 11 miliard Kč) na rozšíření výroby amerického producenta polovodičů onsemi v Rožnově pod Radhoštěm. Komise o tom informovala v dnešní tiskové zprávě. Společnost onsemi by podle ní do nového závodu v Rožnově pod Radhoštěm měla investovat 1,64 miliardy eur (téměř 40 miliard Kč).

Ladislav Hagara | Komentářů: 3

Zork I, Zork II a Zork III oficiálně open source

dnes 06:11 | Komunita

Microsoft v příspěvku na svém blogu věnovaném open source oznámil, že textové adventury Zork I, Zork II a Zork III (Wikipedie) jsou oficiálně open source pod licencí MIT.

Ladislav Hagara | Komentářů: 0

SUSE Hack Week 25

dnes 05:55 | Komunita

První prosincový týden proběhne SUSE Hack Week 25. Zaměstnanci SUSE mohou věnovat svůj pracovní čas libovolným open source projektům, například přidání AI agenta do Bugzilly, implementaci SSH v programovacím jazyce Zig nebo portaci klasických her na Linux. Připojit se může kdokoli.

Ladislav Hagara | Komentářů: 2

Quick Share na Androidu funguje s AirDropem na iOS

včera 22:00 | IT novinky

Google oznámil, že Quick Share na Androidu funguje s AirDropem na iOS. Zatím na telefonech Pixel 10. Uživatelé tak mohou snadno přenášet soubory z telefonů s Androidem na iPhony a obráceně.

Ladislav Hagara | Komentářů: 1

PHP 8.5

včera 21:22 | Nová verze

Byla vydána nová verze 8.5 (8.5.0) skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Přináší řadu novinek a vylepšení (URI Extension, Pipe Operator, Clone With, …). Vydána byla také příručka pro přechod z předchozích verzí.

Ladislav Hagara | Komentářů: 0

EK zahájila vyšetřování cloudových platforem Amazonu a Microsoftu

včera 12:44 | IT novinky

Evropská komise zahájila tři vyšetřování týkající se cloudových platforem Amazon Web Services (AWS) a Microsoft Azure. Evropská exekutiva, která plní také funkci unijního antimonopolního orgánu, chce mimo jiné určit, zda jsou americké společnosti Microsoft a Amazon v cloudových službách takzvanými gatekeepery, tedy hráči, kteří významně ovlivňují provoz internetu a musí dle nařízení o digitálních trzích (DMA) na společném trhu

… více »

Ladislav Hagara | Komentářů: 4

Meta vyhrála soudní spor o převzetí služeb Instagram a WhatsApp

včera 12:33 | IT novinky

Společnost Meta Platforms vyhrála ostře sledovaný spor o akvizici sítě pro sdílení fotografií Instagram a komunikační aplikace WhatsApp. Podle amerického soudu firma jejich převzetím neporušila antimonopolní zákon, protože si tak nemonopolizovala trh sociálních sítí. Žalobu na Metu podala před pěti lety americká Federální obchodní komise (FTC). FTC argumentovala, že Meta, tehdy známá jako Facebook, koupila tyto dvě společnosti v letech 2012 a 2014 proto, aby s nimi nemusela soutěžit.

Ladislav Hagara | Komentářů: 0

Home Assistant Connect ZBT-2

včera 05:11 | IT novinky

Home Assistant včera představil svůj nejnovější oficiální hardware: Home Assistant Connect ZBT-2 pro připojení zařízení na sítích Zigbee nebo Thread.

Ladislav Hagara | Komentářů: 5

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (35%)

Gitlab (47%)

Atlassian (19%)

Bitbucket (18%)

Gitea (23%)

Mercurial (15%)

jen git (22%)

jen svn (15%)

Jiné (uvedu v diskusi) (17%)

Celkem 378 hlasů

Komentářů: 17, poslední 19.11. 21:57

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables

Štítky: DNS, e-mail, firewally, FTP, Internet, iptables, IRC, KDE, práva, sítě, SMTP

Dotaz: iptables

15.8.2005 16:56 secido
iptables

Přečteno: 232×

Odpovědět | Admin

Mám router a potrebujem na ňom nastaviť iptables tak, aby bolo blokované všetko okrem mnou zvolených portov. Myslím, že sa to bude týkať chainu FORWARD, eth0 je von, eth1 je lokálna:

#!/bin/bash
NET="192.168.1.0/24"
IPT="/sbin/iptables"
TCP="ssh,smtp,www,https,ftp,ftp-data,irc,5190,pop3,pop3s"

$IPT -P FORWARD DROP

$IPT -A FORWARD -m multiport -p tcp -i eth1 \
    --dports $TCP -s $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p tcp -o eth1 \
    --sports $TCP -d $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p udp -i eth1 \
    --dports domain -j ACCEPT

Zdá sa, že to negunguje dokonale, kde mám chybu?

Nástroje: Začni sledovat (0) ?

Odpovědi

15.8.2005 18:08 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables

Jenom taková blbost a přes jaké zařízení to má odcházet když to má routovat ?

Přijímání a odesílání těch portů máš pouze na eth1 a o jiném zařízení tam není ani řeči :-)

takže dodat pravidla pro eth0 a taktéž pro input a output neboť ten router taky určitě musí nějak komunikovat i když třeba jenom přes lo. (127.0.0.1).

PS. Podívej se na internetu je hromada firewallů a trochu to nastuduj a předělej.

15.8.2005 18:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables

V tom bych neviděl problém, pokud nezablokuje INPUT a OUTPUT, může klidně FORWARD nechat takhle, i když já bych pochopitelně raději psal '-i eth0 -o eth1' resp. naopak. No, vlastně bych spíš psal spíš '-i $EXTIF -o $INTIF'… :-)

15.8.2005 18:08 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables

  $IPT -A FORWARD -m multiport -p tcp -o eth1 \
      --sports $TCP -d $NET -j ACCEPT

Tak tohle je přímo ukázková chyba. Tím totiž nepovolujete odpovědi na své dotazy na vybrané služby ale jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník jako zdrojový některý z vyjmenovaných portů. To ovšem není nejmenší problém a vzhledem k tomu, že tam máte i neprivilegované porty, nepotřebuje k tomu ani práva roota na svém počítači.

Správnější by bylo místo toho použít

  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

To by mohlo řešit i váš problém, který by mohl spočívat v tom, že sice povolujete DNS dotazy ven, ale už ne odpovědi na ně. Jestli to nepomůže, nezbyde než odtajnit informaci, co konkrétně znamená vaše "to negunguje dokonale".

15.8.2005 18:52 karel
Rozbalit Rozbalit vše Re: iptables

němelo by to být obráceně? nejdřív povolit potřebný služby a pak na konci vše zakázat. ( ne zakazat a pak povolovat. to mi nidky nešlo). Co vubec znamena to -m state --state ESTABLISHED,RELATED -j ACCEPT ?

15.8.2005 19:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables

Na pořadí nezáleží, politika je nezávislá na obsahu chainu. Problém to může být jedině v případě, že zadáváte příkazy postupně (interaktivně) shellu při vzdáleném připojení. Co se týká významu toho pravidla, to je popsáno prakticky v jakémkoli dostupném tutorialu, takže to ponecháme laskavému čtenáři k nastudování. :-)

16.8.2005 17:52 secido
Rozbalit Rozbalit vše Re: iptables

Tak som to urobil cez state, ale problém je, že spojenia, ktoré boli nadviazané predtým, to nechá bežať, čo je nežiadúce.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje