Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.
Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.
Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.
Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.
Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.
Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.
Obrovská poptávka po plynových turbínách zapříčinila, že datová centra začala používat v generátorech dodávajících energii pro provoz AI staré dobré proudové letecké motory, konvertované na plyn. Jejich výhodou je, že jsou menší, lehčí a lépe udržovatelné než jejich průmyslové protějšky. Proto jsou ideální pro dočasné nebo mobilní použití.
Typst byl vydán ve verzi 0.14. Jedná se o rozšiřitelný značkovací jazyk a překladač pro vytváření dokumentů včetně odborných textů s matematickými vzorci, diagramy či bibliografií.
Specialisté společnosti ESET zaznamenali útočnou kampaň, která cílí na uživatele a uživatelky v Česku a na Slovensku. Útočníci po telefonu zmanipulují oběť ke stažení falešné aplikace údajně od České národní banky (ČNB) nebo Národní banky Slovenska (NBS), přiložení platební karty k telefonu a zadání PINu. Malware poté v reálném čase přenese data z karty útočníkovi, který je bezkontaktně zneužije u bankomatu nebo na platebním terminálu.
V Ubuntu 25.10 byl balíček základních nástrojů gnu-coreutils nahrazen balíčkem rust-coreutils se základními nástroji přepsanými do Rustu. Ukázalo se, že nový "date" znefunkčnil automatickou aktualizaci. Pro obnovu je nutno balíček rust-coreutils manuálně aktualizovat.
Potřebuji pro asi 20 IP adres povolit přístup z LAN do WAN a napadlo mě, že lepší než napsat 20 pravidel by bylo použití IP Sets. Bohužel z oficiálního popisu https://wiki.openwrt.org/doc/uci/firewall#ip_sets nejsem moc moudrý a tak bych chtěl poprosit o nějaký příklad, jak nastavit IP Sets a jak ho pak použít v nějakém pravidlu. IP adresy jsou "náhodné" a nejsou v žádném bloku, takže se musí vyjmenovat po jedné.
A druhý dotaz je k nastavení DNS - chtěl bych, aby pro PC v LAN (mají DNS server nastaven na router s OpenWRT) se mi překládaly lokální jména na IP. Například aby když na PC napíšu "router" se mi vrátila IP adresa routeru 192.168.1.1 V konfiguraci jsem našel jen nastavení hosts, kde když uvedu tento překlad, tak se mi v luci na routeru ukazují přeložené IP adresy na tato jména, ale DNS dotaz ze stanice je nefunkční.
Řešení dotazu:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
iptables -A FORWARD -i $LAN1_IFACE -m set --match-set povol src -j ACCEPT
Potom do tabulky povol si dáš povolené IP.
ipset -A povol X.X.X.X
Co se týče DNS hledej BIND,ale nevím jestli je na Openwrt.
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
To samo vyzaduje udelat totez pri kazdy aktualizaci jadra.
Ne nutně. Pokud distribuce při updatech zachovává kABI, bude modul fungovat bez rebuildu.
Ostatne, vykonostne je jedno, set ma smysl kdyz ti to vadi kvuli prehlednosti, ne kvuli vykonu.
Pro 20 adres nejspíš ano, při větším počtu tam bude i výrazný rozdíl v náročnosti na CPU (a latencích). Použití ipset je také výrazně výhodnější, pokud je potřeba tu množinu často měnit.
config dnsmasq option domainneeded '1' option boguspriv '1' option localise_queries '1' option rebind_protection '1' option rebind_localhost '1' option expandhosts '1' option authoritative '1' option leasefile '/tmp/dhcp.leases' option resolvfile '/tmp/resolv.conf.auto' option domain 'soban.cz' option dnsforwardmax '50' list server '217.31.204.130' list server '193.29.206.206' list server '2001:1488:800:400::130' list server '2001:678:1::206' config dhcp 'lan' option interface 'lan' option start '20' option limit '64' option leasetime '12h' option dhcpv6 'server' option ra_management '1' option ra 'server' config dhcp 'wan' option interface 'wan' option ignore '1' config odhcpd 'odhcpd' option maindhcp '0' option leasefile '/tmp/hosts/odhcpd' option leasetrigger '/usr/sbin/odhcpd-update' config host option name 'htpc' option mac '00:26:18:f3:96:60' option ip '192.168.1.12' config domain option name 'htpc' option ip '192.168.1.12' config domain option name 'petr' option ip '192.168.1.11' config domain option name 'hodiny' option ip '192.168.1.100' config host option name 'petr' option mac '54:04:a6:a6:81:6f' option ip '192.168.1.11' config host option name 'hodiny' option mac '22:da:e2:a8:86:2a' option ip '192.168.1.100'
config system option zonename 'Europe/Prague' option timezone 'CET-1CEST,M3.5.0,M10.5.0/3' option conloglevel '8' option cronloglevel '8' option hostname 'router.soban.cz'Taky je to z 15.05, ale teď tam mám originál FW protože na 15.05 jsou zmršené wifi ovladače.
tak jako hostname v tom systém configu mám jen router a přesto mi to funguje jen s tou doménou
jinak jsem zjistil proč mi nešel ten překlad smtp serveru - v logu jsem v záplavě info hlášek zahlédl jednu warn s chybou possible DNS-rebind attack detected s odkazem na ten smtp server, takže jsem v konfiguraci vypnul "Rebind protection" a už to funguje
option boguspriv '1' zakazovala překlad neveřejných adres a včera nejspíš byly nakešovaný i ty negativní odpovědi, takže dnes po novém spuštění PC mi už chodí i ty reverzní záznamy.
Takže jediné co mě teď asi nejvíc chybí ke spokojenosti je to použití IP sets.
rule https://wiki.openwrt.org/doc/uci/firewall#rules pak odkázat na definovanou ip sadu.
config rule
option name 'Drop v6 traffic'
option src 'wan6'
option dest 'lan'
option ipset 'badgeo6'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config rule
option name 'Drop v6 traffic'
option src 'lan'
option dest 'wan6'
option ipset 'badgeo6_dest'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config ipset
option external 'badgeo6'
option storage 'hash'
option match 'src_net'
config ipset
option name 'badgeo6_dest'
option external 'badgeo6'
option storage 'hash'
option match 'dest_net'
Ještě tam chybí naplnění tabulek a pod....a nevím zda je to funkční, fakt nejednoduší bude se na ipset vykašlat a nebo si napsat vlastní skript a ten po startu firewallu spustit.
#vytvoření hash tabulky
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
#zadaní ip tables na forward podle source adresy
iptables -A FORWARD -i br-lan -m set --match-set povol src -j ACCEPT
#naplnění hash tabulky
ipset -A povol 192.168.88.11
ipset -A povol 192.168.88.12
ipset -A povol 192.168.88.13
ipset create test hash:ippak v terminálu přidávám ipadresy:
ipset add test 93.185.104.6 ipset add test 93.185.104.7 ipset add test 82.142.82.139ty lze přidávat kdykoliv a není potřeba restart firevalu - ihned se přidané IP adresy v té sadě používají v /etc/config/firewall mám následující definice (a díky tomu, že jsou zde uvedené, tak se dá ovlivnit pořadí pravidla s IP set, neboť považuji za vhodné, aby bylo až na konci, aby se snížila zátěž routeru - aby nejčastěji používaná pravidla se vyhodnotila dřív, než toto pravidlo s IP sadou):
config ipset option storage 'hash' option external 'test' option match 'dest_ip' config rule option target 'ACCEPT' option src 'lan' option dest 'wan' option ipset 'test' option name 'imaps' option family 'ipv4' option proto 'tcp' option src_ip '172.21.163.80/30' option dest_port '993'pravidlo je napsaný co "nejsložitěji" abych ověřil, že se vše použije - takže obsahuje omezení jen na určité IP adresy z LAN a pak je tam ještě omezení na cílový port, takže výsledkem je, že jen z určitých IP adres v LAN se lze dostat na v sadě vyjmenované poštovní servery zabezpečeným protokolem IMAP - to sice není důvod proč jsem se snažil IP sets dát dohromady, ale bylo to dobrý na otestování funkčnosti, díky tomu, že poštu stahuji z vícero serverů No a aby se vytvořené sady "neztrácely" při restartu, tak jsem vytvořil službu, která zajišťuje zazálohování a zase obnovení sad při zapínání/vypínání. Konfigurace IP sets je uložena v /etc/ipset-rules Takže v /etc/init.d je soubor ipsets
#!/bin/sh /etc/rc.common
START=15
STOP=95
start() {
echo "Restoring saved ipset rules"
touch /etc/ipset-rules
ipset restore < /etc/ipset-rules
}
stop() {
save
echo "Flushing and destroying"
ipset flush
ipset destroy
}
shutdown() {
save
}
save() {
echo "Saving current ipset rules"
ipset save > /etc/ipset-rules
}
pak jsem v konzoli vytvořil symlinky do /etc/rc.d/
ln -s /etc/init.d/ipsets /etc/rc.d/S15ipset ln -s /etc/init.d/ipsets /etc/rc.d/K95ipsetA je to
Tiskni
Sdílej:
