Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).
Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.
Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.
Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.
Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.
Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapy a AI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.
Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).
Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.
Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.
3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.
Potřebuji pro asi 20 IP adres povolit přístup z LAN do WAN a napadlo mě, že lepší než napsat 20 pravidel by bylo použití IP Sets. Bohužel z oficiálního popisu https://wiki.openwrt.org/doc/uci/firewall#ip_sets nejsem moc moudrý a tak bych chtěl poprosit o nějaký příklad, jak nastavit IP Sets a jak ho pak použít v nějakém pravidlu. IP adresy jsou "náhodné" a nejsou v žádném bloku, takže se musí vyjmenovat po jedné.
A druhý dotaz je k nastavení DNS - chtěl bych, aby pro PC v LAN (mají DNS server nastaven na router s OpenWRT) se mi překládaly lokální jména na IP. Například aby když na PC napíšu "router" se mi vrátila IP adresa routeru 192.168.1.1 V konfiguraci jsem našel jen nastavení hosts, kde když uvedu tento překlad, tak se mi v luci na routeru ukazují přeložené IP adresy na tato jména, ale DNS dotaz ze stanice je nefunkční.
Řešení dotazu:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
iptables -A FORWARD -i $LAN1_IFACE -m set --match-set povol src -j ACCEPT
Potom do tabulky povol si dáš povolené IP.
ipset -A povol X.X.X.X
Co se týče DNS hledej BIND,ale nevím jestli je na Openwrt.
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
To samo vyzaduje udelat totez pri kazdy aktualizaci jadra.
Ne nutně. Pokud distribuce při updatech zachovává kABI, bude modul fungovat bez rebuildu.
Ostatne, vykonostne je jedno, set ma smysl kdyz ti to vadi kvuli prehlednosti, ne kvuli vykonu.
Pro 20 adres nejspíš ano, při větším počtu tam bude i výrazný rozdíl v náročnosti na CPU (a latencích). Použití ipset je také výrazně výhodnější, pokud je potřeba tu množinu často měnit.
config dnsmasq option domainneeded '1' option boguspriv '1' option localise_queries '1' option rebind_protection '1' option rebind_localhost '1' option expandhosts '1' option authoritative '1' option leasefile '/tmp/dhcp.leases' option resolvfile '/tmp/resolv.conf.auto' option domain 'soban.cz' option dnsforwardmax '50' list server '217.31.204.130' list server '193.29.206.206' list server '2001:1488:800:400::130' list server '2001:678:1::206' config dhcp 'lan' option interface 'lan' option start '20' option limit '64' option leasetime '12h' option dhcpv6 'server' option ra_management '1' option ra 'server' config dhcp 'wan' option interface 'wan' option ignore '1' config odhcpd 'odhcpd' option maindhcp '0' option leasefile '/tmp/hosts/odhcpd' option leasetrigger '/usr/sbin/odhcpd-update' config host option name 'htpc' option mac '00:26:18:f3:96:60' option ip '192.168.1.12' config domain option name 'htpc' option ip '192.168.1.12' config domain option name 'petr' option ip '192.168.1.11' config domain option name 'hodiny' option ip '192.168.1.100' config host option name 'petr' option mac '54:04:a6:a6:81:6f' option ip '192.168.1.11' config host option name 'hodiny' option mac '22:da:e2:a8:86:2a' option ip '192.168.1.100'
config system option zonename 'Europe/Prague' option timezone 'CET-1CEST,M3.5.0,M10.5.0/3' option conloglevel '8' option cronloglevel '8' option hostname 'router.soban.cz'Taky je to z 15.05, ale teď tam mám originál FW protože na 15.05 jsou zmršené wifi ovladače.
tak jako hostname v tom systém configu mám jen router a přesto mi to funguje jen s tou doménou
jinak jsem zjistil proč mi nešel ten překlad smtp serveru - v logu jsem v záplavě info hlášek zahlédl jednu warn s chybou possible DNS-rebind attack detected s odkazem na ten smtp server, takže jsem v konfiguraci vypnul "Rebind protection" a už to funguje
option boguspriv '1' zakazovala překlad neveřejných adres a včera nejspíš byly nakešovaný i ty negativní odpovědi, takže dnes po novém spuštění PC mi už chodí i ty reverzní záznamy.
Takže jediné co mě teď asi nejvíc chybí ke spokojenosti je to použití IP sets.
rule https://wiki.openwrt.org/doc/uci/firewall#rules pak odkázat na definovanou ip sadu.
config rule
option name 'Drop v6 traffic'
option src 'wan6'
option dest 'lan'
option ipset 'badgeo6'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config rule
option name 'Drop v6 traffic'
option src 'lan'
option dest 'wan6'
option ipset 'badgeo6_dest'
option proto 'all'
option family 'ipv6'
option target 'DROP'
config ipset
option external 'badgeo6'
option storage 'hash'
option match 'src_net'
config ipset
option name 'badgeo6_dest'
option external 'badgeo6'
option storage 'hash'
option match 'dest_net'
Ještě tam chybí naplnění tabulek a pod....a nevím zda je to funkční, fakt nejednoduší bude se na ipset vykašlat a nebo si napsat vlastní skript a ten po startu firewallu spustit.
#vytvoření hash tabulky
ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50
#zadaní ip tables na forward podle source adresy
iptables -A FORWARD -i br-lan -m set --match-set povol src -j ACCEPT
#naplnění hash tabulky
ipset -A povol 192.168.88.11
ipset -A povol 192.168.88.12
ipset -A povol 192.168.88.13
ipset create test hash:ippak v terminálu přidávám ipadresy:
ipset add test 93.185.104.6 ipset add test 93.185.104.7 ipset add test 82.142.82.139ty lze přidávat kdykoliv a není potřeba restart firevalu - ihned se přidané IP adresy v té sadě používají v /etc/config/firewall mám následující definice (a díky tomu, že jsou zde uvedené, tak se dá ovlivnit pořadí pravidla s IP set, neboť považuji za vhodné, aby bylo až na konci, aby se snížila zátěž routeru - aby nejčastěji používaná pravidla se vyhodnotila dřív, než toto pravidlo s IP sadou):
config ipset option storage 'hash' option external 'test' option match 'dest_ip' config rule option target 'ACCEPT' option src 'lan' option dest 'wan' option ipset 'test' option name 'imaps' option family 'ipv4' option proto 'tcp' option src_ip '172.21.163.80/30' option dest_port '993'pravidlo je napsaný co "nejsložitěji" abych ověřil, že se vše použije - takže obsahuje omezení jen na určité IP adresy z LAN a pak je tam ještě omezení na cílový port, takže výsledkem je, že jen z určitých IP adres v LAN se lze dostat na v sadě vyjmenované poštovní servery zabezpečeným protokolem IMAP - to sice není důvod proč jsem se snažil IP sets dát dohromady, ale bylo to dobrý na otestování funkčnosti, díky tomu, že poštu stahuji z vícero serverů No a aby se vytvořené sady "neztrácely" při restartu, tak jsem vytvořil službu, která zajišťuje zazálohování a zase obnovení sad při zapínání/vypínání. Konfigurace IP sets je uložena v /etc/ipset-rules Takže v /etc/init.d je soubor ipsets
#!/bin/sh /etc/rc.common
START=15
STOP=95
start() {
echo "Restoring saved ipset rules"
touch /etc/ipset-rules
ipset restore < /etc/ipset-rules
}
stop() {
save
echo "Flushing and destroying"
ipset flush
ipset destroy
}
shutdown() {
save
}
save() {
echo "Saving current ipset rules"
ipset save > /etc/ipset-rules
}
pak jsem v konzoli vytvořil symlinky do /etc/rc.d/
ln -s /etc/init.d/ipsets /etc/rc.d/S15ipset ln -s /etc/init.d/ipsets /etc/rc.d/K95ipsetA je to
Tiskni
Sdílej:
