Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 20:22 | IT novinky

Craig Loewen na blogu Microsoftu oznámil veřejnou preview verzi WSL kontejnerů, tj. linuxových kontejnerů ve Windows Subsystem for Linux (WSL). Spouští se příkazem wslc.exe.

Ladislav Hagara | Komentářů: 0

Kali Linux 2026.2

dnes 19:00 | Nová verze

Byla vydána (𝕏, Bluesky) nová verze 2026.2 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem 9 nových nástrojů v oficiálním oznámení na blogu.

Ladislav Hagara | Komentářů: 0

Krokiet/Czkawka 12.0.0

dnes 12:55 | Nová verze

Grafická aplikace Krokiet/Czkawka pro vyhledávání a odstraňovaní nepotřebných souborů (duplicitní soubory, prázdné složky, podobné obrázky, podobná videa, poškozené soubory a další) byla vydána ve verzi 12.0.0. Podrobný přehled novinek v příspěvku na Medium. Jedná se o poslední verzi frontendu Czkawka GTK nad Czkawka Core. Uživatelům se doporučuje migrovat na frontend Krokiet postavený nad frameworkem Slint. Představena byla aplikace Cedinia pro Android využívající Czkawka Core. Dostupná je jako APK pro ruční instalaci.

Ladislav Hagara | Komentářů: 4

Mageia 10

dnes 04:22 | Nová verze

Po téměř třech letech od vydání verze 9 byla vydána nová verze 10 linuxové distribuce Mageia (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Správce oken Nourish

včera 04:00 | Zajímavý software

Nourish (GitHub) je nový správce oken pro Linux. Tradiční plochy nahrazuje nekonečným plátnem a posouváním a přibližováním. Využívá vlastní kompozitor pro Wayland s názvem y5. Videoukázka.

Ladislav Hagara | Komentářů: 5

Blender Studio má v plánu celovečerní film

27.6. 15:33 | Komunita

Po 20 letech a 17 otevřených (open source) krátkých filmech Blender Studio oznámilo plán na svůj první celovečerní film. Cílem samozřejmě není jenom nový otevřený film, ale především vývoj a vylepšení otevřených nástrojů pro spolupráci napříč celým procesem a vytvoření otevřené příručky (playbook) pro filmovou produkci ve velkém měřítku s informacemi, které jsou obvykle dostupné pouze uvnitř komerčních studií, a pomoci tak nezávislým tvůrcům překonat technické a organizační bariéry.

Ladislav Hagara | Komentářů: 0

Shotcut 26.6.25

27.6. 05:00 | Nová verze

Byla vydána nová verze 26.6.25 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Shotcut je vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

Ladislav Hagara | Komentářů: 0

Apple odstranil ze svého obchodu sociální síť VKontaktě

26.6. 14:44 | IT novinky

Apple bez varování odstranil ze svého obchodu sociální síť VKontaktě i další aplikace skupiny VK, jako je VK Music nebo VK Video [Novinky.cz].

Ladislav Hagara | Komentářů: 19

Notion Mail bude 22. září ukončen

26.6. 14:22 | IT novinky

V dubnu loňského roku představený poštovní klient Notion Mail bude 22. září ukončen.

Ladislav Hagara | Komentářů: 3

Konference OpenAlt 2026 hledá přednášející

26.6. 04:33 | Komunita

Konference OpenAlt 2026 hledá přednášející. Proběhne o víkendu 7. a 8. listopadu na půdě Fakulty informačních technologií VUT v Brně. Témata konference jsou: Otevřený a svobodný software, IoT a Hnutí tvůrců, Vzdělávání, Bezpečnost a soukromí, Otevřená společnost, komunity a data, OpenMobility a další.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / IPtables pravidlá a ACL podľa Cisca

Štítky: ACL, asA, Cisco, firewally, iptables, pravidla, vztahy

Dotaz: IPtables pravidlá a ACL podľa Cisca

30.4.2012 13:53 Ján Chrastina | skóre: 4 | blog: Pavuk
IPtables pravidlá a ACL podľa Cisca

Přečteno: 426×

Odpovědět | Admin

Zdravím,

dá sa v iptables zadefinovať v pravidle skupiny adries a portov podobne ako na Cisco ASA? Mám na mysli zložitejšie pravidlo kde je povedzme 10 zdrojových adries, 5 portov a 3 cieľové adresy.

Na Cisco ASA sa vytvoria skupiny Network object group s 10 a troma členmi, Service group s piatimi členmi a pravidlo sa aplikuje jedným príkazom v ACL. Funguje niečo podobné aj pre iptables? Alebo treba definovať pravidlá pre vzťahy každý s každým, teda v tomto prípade cca 150 pravidel? Alebo je nejaký lepší/rýchlejší spôsob?

Ďakujem.

Řešení dotazu:

Komentář #6 (Šangala, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

30.4.2012 14:20 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Sice nevím o co jde a proč 150 pravidel, ale pravidla lze řetězit pomocí chain-ů.

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

30.4.2012 18:40 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Pretože čo som videl príklady iptables, zdroj, cieľ a služba boli len jeden v pravidle. V príklade v otázke jeden klient potrebuje 5x3 pravidiel, tých klientov je 10. Preto 150 pravidiel.

O tom zoskupovaní do chainov by nebolo niečo bližšie?

Ďakujem.

Řešení 1× (Ján Chrastina (tazatel))

30.4.2012 19:27 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Pozor píšu z hlavy a neověřuji :), něco třeba jako:

iptables -N myIP
iptables -A myIP -s ab -j ACCEPT
iptables -A myIP -s cd -j ACCEPT
iptables -A myIP -s ef -j ACCEPT
iptables -A myIP -j RETURN

iptables -N myDPort
iptables -A myDPort --dport AB -j myIP
iptables -A myDPort --dport CD -j myIP
iptables -A myDPort --dport EF -j myIP
iptables -A myDPort -j RETURN

iptables -I INPUT -p tcp -j myDPort
....
....
....
... iptables -A INPUT ...... DROP/REJECT

Fčul jakmile to není jeden z našich třech portů, tak to proleze v řadě pravidel (které zde nejsou předmětem), jakmile to vyhoví jednomu ze tří portů leze to ověřit IP adresy, jakmile vyhoví jedné ze tří je to přijato, pokud ne, zas to normálně valí dál.
Jestli jsem to nějak zmastil, a mě někdo popraví… :)

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

30.4.2012 20:26 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Aha, už rozumiem. Ďakujem.

30.4.2012 14:36 darkenik
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

pomocou ipset + multiport modulu to ide spravit jednym pravidlom v iptables.

30.4.2012 14:52 NN
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Pripadne pokud lze skupiny definovat maskou..

30.4.2012 18:31 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Mám prípad keď klienti sa nedajú zapísať ako jedna maska. Ide povedzme o 5 počítačov rôzne po Európe, 3 servre a 5 portov.

30.4.2012 19:41 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Měl jsem dojem, že i když máte hezky nakonfigurované network objecty, taky stejně vám to ve výsledku ASA naseká na řádky (10x5x3 = 150 řádků) a zabere to kapacitu volných ACL? To abych se podíval, co se v 8.x mění ;-)

Sám bych to v linuxu dělal chainama, větvil přes "-j next_chain" a "-j RETURN".

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

30.4.2012 20:32 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Komentár pred tebou popísal "-j next_chain" a "-j RETURN" zrozumiteľne.

Inak, zdá sa, že ASA vnútorne vyrobí 150 ACL, dá sa to vidieť pri filtrovaní logu v ASDM.

Za pomoc ďakujem.

30.4.2012 20:52 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

jj, ASA robi 150 ACL - show access-list vs show running-config access-list

Založit nové vlákno • Nahoru

Tiskni Sdílej: