abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 07:00 | Zajímavý software

Byla vydána nová verze 0.25 herního enginu Fyrox, původně rg3d. Přehled novinek s kódy, náhledy i videi v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
dnes 00:11 | Nová verze

Multiplatformní audio přehrávač Qmmp (Wikipedie) byl vydán ve verzi 2.1.0. Z novinek lze zmínit například podporu XDG Base Directory Specification.

Ladislav Hagara | Komentářů: 0
včera 23:22 | Komunita

Letošní konference LibreOffice proběhne 28. září až 1. října v Bolzanu. The Document Foundation hledá přednášející.

Zdeněk Crhonek | Komentářů: 0
včera 14:11 | Zajímavý článek

Jiří Eischmann na MojeFedora.cz řeší, jak zlepšit konzistenci mezi GTK 4 a GTK 3. Pokud už používáte Fedora 36 Workstation, asi jste si všimli, že vzhled aplikací není tak konzistentní jako dřív. Aplikace, které jsou už portované na GTK 4 mají "ploché" téma vzhledu definované knihovnou libadwaita. Aplikace používající GTK 3 zůstávají u původního tématu Adwaita.

Ladislav Hagara | Komentářů: 9
včera 12:33 | Pozvánky

Byl zveřejněn program konference InstallFest 2022. Konference proběhne o víkendu 11. a 12. června v Praze na Karlově náměstí 13.

Ladislav Hagara | Komentářů: 1
včera 09:44 | Nová verze

Rocky Linux 8.6, klon Red Hat Enterprise Linuxu (RHEL) 8.6, byl vydán. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 01:11 | Nová verze

Byla vydána nová verze 13.1 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 00:11 | Nová verze

Byla vydána nová verze 1.2 svobodného multiplatformního vektorového grafického editoru Inkscape. Podrobný přehled novinek i s náhledy a animovanými gify v poznámkách k vydání a ve videu na YouTube.

Ladislav Hagara | Komentářů: 0
16.5. 23:33 | Nová verze

Multiplatformní audio přehrávač DeaDBeeF (Wikipedie) byl vydán v nové verzi 1.9.0 a krátce na to v opravné verzi 1.9.1. Odstraněna byla ruská lokalizace.

Ladislav Hagara | Komentářů: 22
16.5. 18:22 | Nová verze

Byla vydána nová verze 2022.2 průběžně aktualizované linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek i s náhledy a seznamem nových nástrojů v oficiálním oznámení.

Ladislav Hagara | Komentářů: 0
Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
 (61%)
 (17%)
 (22%)
Celkem 266 hlasů
 Komentářů: 19, poslední včera 17:03
Rozcestník


Dotaz: iptables

15.8.2005 16:56 secido
iptables
Přečteno: 193×
Mám router a potrebujem na ňom nastaviť iptables tak, aby bolo blokované všetko okrem mnou zvolených portov. Myslím, že sa to bude týkať chainu FORWARD, eth0 je von, eth1 je lokálna:
#!/bin/bash
NET="192.168.1.0/24"
IPT="/sbin/iptables"
TCP="ssh,smtp,www,https,ftp,ftp-data,irc,5190,pop3,pop3s"

$IPT -P FORWARD DROP

$IPT -A FORWARD -m multiport -p tcp -i eth1 \
    --dports $TCP -s $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p tcp -o eth1 \
    --sports $TCP -d $NET -j ACCEPT

$IPT -A FORWARD -m multiport -p udp -i eth1 \
    --dports domain -j ACCEPT
Zdá sa, že to negunguje dokonale, kde mám chybu?

Odpovědi

15.8.2005 18:08 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables
Jenom taková blbost a přes jaké zařízení to má odcházet když to má routovat ?

Přijímání a odesílání těch portů máš pouze na eth1 a o jiném zařízení tam není ani řeči :-) takže dodat pravidla pro eth0 a taktéž pro input a output neboť ten router taky určitě musí nějak komunikovat i když třeba jenom přes lo. (127.0.0.1).

PS. Podívej se na internetu je hromada firewallů a trochu to nastuduj a předělej.
15.8.2005 18:28 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
V tom bych neviděl problém, pokud nezablokuje INPUT a OUTPUT, může klidně FORWARD nechat takhle, i když já bych pochopitelně raději psal '-i eth0 -o eth1' resp. naopak. No, vlastně bych spíš psal spíš '-i $EXTIF -o $INTIF'… :-)
15.8.2005 18:08 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
  $IPT -A FORWARD -m multiport -p tcp -o eth1 \
      --sports $TCP -d $NET -j ACCEPT
Tak tohle je přímo ukázková chyba. Tím totiž nepovolujete odpovědi na své dotazy na vybrané služby ale jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník jako zdrojový některý z vyjmenovaných portů. To ovšem není nejmenší problém a vzhledem k tomu, že tam máte i neprivilegované porty, nepotřebuje k tomu ani práva roota na svém počítači.

Správnější by bylo místo toho použít

  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
To by mohlo řešit i váš problém, který by mohl spočívat v tom, že sice povolujete DNS dotazy ven, ale už ne odpovědi na ně. Jestli to nepomůže, nezbyde než odtajnit informaci, co konkrétně znamená vaše "to negunguje dokonale".
15.8.2005 18:52 karel
Rozbalit Rozbalit vše Re: iptables
němelo by to být obráceně? nejdřív povolit potřebný služby a pak na konci vše zakázat. ( ne zakazat a pak povolovat. to mi nidky nešlo). Co vubec znamena to -m state --state ESTABLISHED,RELATED -j ACCEPT ?
15.8.2005 19:04 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables
Na pořadí nezáleží, politika je nezávislá na obsahu chainu. Problém to může být jedině v případě, že zadáváte příkazy postupně (interaktivně) shellu při vzdáleném připojení. Co se týká významu toho pravidla, to je popsáno prakticky v jakémkoli dostupném tutorialu, takže to ponecháme laskavému čtenáři k nastudování. :-)
16.8.2005 17:52 secido
Rozbalit Rozbalit vše Re: iptables
Tak som to urobil cez state, ale problém je, že spojenia, ktoré boli nadviazané predtým, to nechá bežať, čo je nežiadúce.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.