abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 16:22 | Nová verze

    Byla vydána nová verze 8.5 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled oprav, vylepšení a novinek v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 0
    včera 23:22 | Komunita

    Ubuntu 24.04 (Noble Numbat) Beta bylo vydáno, staženo a po opravě opět vydáno. Oficiální oznámení v diskusním listu. Přehled novinek v poznámkách k vydání. Vydání ostré verze je naplánováno na 25. dubna.

    Ladislav Hagara | Komentářů: 6
    včera 21:11 | IT novinky

    Letošní Turingovou cenu (2023 ACM A.M. Turing Award) získal Avi Wigderson.

    Ladislav Hagara | Komentářů: 0
    včera 15:33 | Zajímavý software

    Na itch.io si lze nově (𝕏) zahrát nebo i zdarma stáhnout počítačovou hru ROTA. Postavena na herním enginu Godot a její zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3.

    Ladislav Hagara | Komentářů: 1
    včera 00:22 | Komunita

    O finance Gentoo Linuxu se v USA bude nově starat nezisková organizace Software in the Public Interest (SPI). Aktuálně je pod křídly této organizace 44 projektů. V Evropě se o peníze Gentoo Linuxu stará Förderverein Gentoo e.V..

    Ladislav Hagara | Komentářů: 1
    10.4. 21:22 | IT novinky

    Společnost Proton AG stojící za Proton Mailem a dalšími službami přidala do svého portfolia Standard Notes, tj. open source aplikaci a službu s end-to-end šifrováním pro psaní poznámek. K vyzkoušení je webové demo.

    Ladislav Hagara | Komentářů: 19
    10.4. 13:33 | IT novinky

    V Norimberku probíhá embedded world 2024. Firmy představují novinky. Canonical představil Ubuntu Pro for Devices aneb desetiletou podporu Ubuntu na IoT zařízení a oznámil spolupráci se společností Qualcomm.

    Ladislav Hagara | Komentářů: 0
    10.4. 09:33 | Nová verze

    Turris OS, operační systém pro síťová zařízení Turris postavený na OpenWrt, byl vydán v nové verzi 7.0. Postavený je na OpenWrt 22.03.

    Ladislav Hagara | Komentářů: 7
    10.4. 03:00 | IT novinky

    Společnost Fairphone stojící za stejnojmennými mobilními telefony představila (pdf) bezdrátová špuntová sluchátka Fairbuds. Opravitelná, s vyměnitelnými bateriemi a tříletou zárukou. Cena 149 eur.

    Ladislav Hagara | Komentářů: 9
    9.4. 20:44 | IT novinky

    Intel na konferenci Intel Vision 2024 představuje své novinky. Důraz klade na AI. Představil AI akcelerátor Gaudi 3.

    Ladislav Hagara | Komentářů: 0
    KDE Plasma 6
     (47%)
     (18%)
     (3%)
     (32%)
    Celkem 266 hlasů
     Komentářů: 4, poslední 6.4. 15:51
    Rozcestník

    Dotaz: iptables

    15.8.2005 16:56 secido
    iptables
    Přečteno: 209×
    Mám router a potrebujem na ňom nastaviť iptables tak, aby bolo blokované všetko okrem mnou zvolených portov. Myslím, že sa to bude týkať chainu FORWARD, eth0 je von, eth1 je lokálna:
    #!/bin/bash
    NET="192.168.1.0/24"
    IPT="/sbin/iptables"
    TCP="ssh,smtp,www,https,ftp,ftp-data,irc,5190,pop3,pop3s"
    
    $IPT -P FORWARD DROP
    
    $IPT -A FORWARD -m multiport -p tcp -i eth1 \
        --dports $TCP -s $NET -j ACCEPT
    
    $IPT -A FORWARD -m multiport -p tcp -o eth1 \
        --sports $TCP -d $NET -j ACCEPT
    
    $IPT -A FORWARD -m multiport -p udp -i eth1 \
        --dports domain -j ACCEPT
    
    Zdá sa, že to negunguje dokonale, kde mám chybu?

    Odpovědi

    15.8.2005 18:08 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: iptables
    Jenom taková blbost a přes jaké zařízení to má odcházet když to má routovat ?

    Přijímání a odesílání těch portů máš pouze na eth1 a o jiném zařízení tam není ani řeči :-) takže dodat pravidla pro eth0 a taktéž pro input a output neboť ten router taky určitě musí nějak komunikovat i když třeba jenom přes lo. (127.0.0.1).

    PS. Podívej se na internetu je hromada firewallů a trochu to nastuduj a předělej.
    15.8.2005 18:28 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables
    V tom bych neviděl problém, pokud nezablokuje INPUT a OUTPUT, může klidně FORWARD nechat takhle, i když já bych pochopitelně raději psal '-i eth0 -o eth1' resp. naopak. No, vlastně bych spíš psal spíš '-i $EXTIF -o $INTIF'… :-)
    15.8.2005 18:08 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables
      $IPT -A FORWARD -m multiport -p tcp -o eth1 \
          --sports $TCP -d $NET -j ACCEPT
    
    Tak tohle je přímo ukázková chyba. Tím totiž nepovolujete odpovědi na své dotazy na vybrané služby ale jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník jako zdrojový některý z vyjmenovaných portů. To ovšem není nejmenší problém a vzhledem k tomu, že tam máte i neprivilegované porty, nepotřebuje k tomu ani práva roota na svém počítači.

    Správnější by bylo místo toho použít

      iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    To by mohlo řešit i váš problém, který by mohl spočívat v tom, že sice povolujete DNS dotazy ven, ale už ne odpovědi na ně. Jestli to nepomůže, nezbyde než odtajnit informaci, co konkrétně znamená vaše "to negunguje dokonale".
    15.8.2005 18:52 karel
    Rozbalit Rozbalit vše Re: iptables
    němelo by to být obráceně? nejdřív povolit potřebný služby a pak na konci vše zakázat. ( ne zakazat a pak povolovat. to mi nidky nešlo). Co vubec znamena to -m state --state ESTABLISHED,RELATED -j ACCEPT ?
    15.8.2005 19:04 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables
    Na pořadí nezáleží, politika je nezávislá na obsahu chainu. Problém to může být jedině v případě, že zadáváte příkazy postupně (interaktivně) shellu při vzdáleném připojení. Co se týká významu toho pravidla, to je popsáno prakticky v jakémkoli dostupném tutorialu, takže to ponecháme laskavému čtenáři k nastudování. :-)
    16.8.2005 17:52 secido
    Rozbalit Rozbalit vše Re: iptables
    Tak som to urobil cez state, ale problém je, že spojenia, ktoré boli nadviazané predtým, to nechá bežať, čo je nežiadúce.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.