Přihlášení | Registrace

napište » Zprávičky

CUDA 13.0

dnes 04:00 | Nová verze

Společnost NVIDIA vydala verzi 13.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

28. ročník IOCCC

včera 04:22 | IT novinky

Byly vyhlášeni vítězové a zveřejněny vítězné zdrojové kódy (YouTube, GitHub) již 28. ročníku soutěže International Obfuscated C Code Contest (IOCCC), tj. soutěže o nejnepřehlednější (nejobfuskovanější) zdrojový kód v jazyce C.

Ladislav Hagara | Komentářů: 9

Vývoj webového prohlížeče Ladybird (07/2025)

3.8. 14:22 | Komunita

Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za červenec (YouTube).

Ladislav Hagara | Komentářů: 0

Virtuální Bastlírna vol. 53: Dá se špaček použít jako RAM?

3.8. 01:11 | Pozvánky

Konečně se ochladilo, možná i díky tomu přestaly na chvíli padat rakety jako přezrálé hrušky, díky čemuž se na Virtuální Bastlírně dostane i na jiná, přízemnější témata. Pokud si chcete jako každý měsíc popovídat s dalšími bastlíři, techniky, vědci a profesory u virtuálního pokecu u piva, Virtuální Bastlírna je tu pro Vás.

Ještě před ochlazením se drát na vedení V411 roztáhl o 17 metrů (přesné číslo není známé, ale drát nepřežil) a způsobil tak… více »

bkralik | Komentářů: 2

Týden v GNOME a Týden v KDE Plasma (1. a 2. srpna 2025)

2.8. 23:44 | Komunita

Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

Ladislav Hagara | Komentářů: 0

PixiEditor 2.0

1.8. 15:44 | Nová verze

PixiEditor byl vydán ve verzi 2.0. Jedná se o multiplatformní univerzální all-in-one 2D grafický editor. Zvládne rastrovou i vektorovou grafiku, pixel art, k tomu animace a efekty pomocí uzlového grafu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GNU LGPL 3.0.

Ladislav Hagara | Komentářů: 2

Novinky v Raspberry Pi Connect for Organisations

1.8. 13:22 | Nová verze

Byly představeny novinky v Raspberry Pi Connect for Organisations. Vylepšen byl protokol auditu pro lepší zabezpečení. Raspberry Pi Connect je oficiální služba Raspberry Pi pro vzdálený přístup k jednodeskovým počítačům Raspberry Pi z webového prohlížeče. Verze pro organizace je placená. Cena je 0,50 dolaru za zařízení za měsíc.

Ladislav Hagara | Komentářů: 0

Thorium, platforma pro automatizovanou analýzu malwaru

1.8. 01:33 | Zajímavý software

CISA (Cybersecurity and Infrastructure Security Agency) oznámila veřejnou dostupnost škálovatelné a distribuované platformy Thorium pro automatizovanou analýzu malwaru. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0

Ubuntu 25.10 (Questing Quokka) Snapshot 3

31.7. 17:22 | Nová verze

Ubuntu nově pro testování nových verzí vydává měsíční snapshoty. Dnes vyšel 3. snapshot Ubuntu 25.10 (Questing Quokka).

Ladislav Hagara | Komentářů: 0

Proton Authenticator

31.7. 16:11 | Zajímavý software

Společnost Proton AG stojící za Proton Mailem a dalšími službami přidala do svého portfolia Proton Authenticator. S otevřeným zdrojovým kódem a k dispozici na všech zařízeních. Snadno a bezpečně synchronizujte a zálohujte své 2FA kódy. K používání nepotřebujete Proton Account.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (28%)

5-15 (28%)

16-30 (5%)

31-50 (7%)

51-70 (4%)

71-100 (1%)

101-130 (2%)

>131 (25%)

Celkem 211 hlasů

Komentářů: 23, poslední včera 13:01

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / správa velkého množství iptables pravidel

Štítky: firewalld, firewally, iptables, komunikace, konfigurace, Mate, pohled, pravidla, SLED, správa

Dotaz: správa velkého množství iptables pravidel

13.11.2016 13:31 fish | skóre: 22
správa velkého množství iptables pravidel

Přečteno: 383×

Odpovědět | Admin

Zdravím,

jakým způsobem byste spravovali velké množství pravidel v iptables? Nejde o pravidla, na která jde aplikovat ipset, ale o rozvětvenou konfiguraci routeru. Rozhraní je momentálně 60+, pravidel okolo 1000. Výchozí pravidlo DROP a následně se pro každou službu explicitně povoluje komunikace jen pro konkrétní kombinaci if+src+dst+proto+port, plus odpovídající match v opačném směru. Ponechme stranou, proč to tak je.

iptables volám skriptem a samozřejmě to v takovém množství už poměrně trvá (řádově vteřiny), což vede k narušení provozu. Nechci používat iptables-save / restore, protože ve skriptu můžu pohodlně udržovat komentáře, měnit interface / subnety pomocí proměnných, generovat opakující se bloky podle seznamu IP (to by zrovna přes ipset asi nahradit šlo) a můžu si obecně organizovat jeho obsah tak, abych se v tom na první pohled vyznal.

Ovšem iptables-restore má nespornou výhodu v tom, že všechny pravidla předá netfilteru jako blok, takže jejich načtení je téměř okamžité.

Zkoušel jsem pátrat a UFW zřejmě umí z vlastní konfigurace generovat buď podobný sled volání iptables nebo přímo formát pro iptables-restore, takže jeho načtení by mělo být rychlé, při zachování možnosti definovat pravidla v lépe čitelném souboru. Jen nevím, nakolik je UFW ověřený a poradí si s komplikovanějšími pravidly (používání set-mark a podobně).

Máte s něčím praktickou zkušenost? UFW, firewalld nebo něco dalšího na co jsem zatím nenarazil?

díky

Řešení dotazu:

Nástroje: Začni sledovat (2) ?

Odpovědi

13.11.2016 13:42 NN
Rozbalit Rozbalit vše Re: správa velkého množství iptables pravidel

Neslo by vyuzit stare dobre pojmenovane chainy? Nemusel by jsi "prejizdet" cele iptables, ale konkretni bloky..

13.11.2016 15:23 fish | skóre: 22
Rozbalit Rozbalit vše Re: správa velkého množství iptables pravidel

Tak to částečně mám. Nejčastěji upravovanou část mám jako chain v odděleném skriptu, takže ho můžu volat sólo. Ale přišlo mi to jako provizorium, na to abych tak rozkouskoval celý ten hlavní skript. Takže nejdřív zkouším najít elegantnější řešení.

Popravdě jsem zvažoval něco si na to napsat, co projde strukturu adresářů s dílčími skripty, založí chainy podle jejich názvů atd. Po prvním spuštění už by se daly ty bloky volat podle potřeby. Ale přijde mi zbytečný se do toho pouštět, pokud už by něco obdobnýho existovalo.

13.11.2016 15:43 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: správa velkého množství iptables pravidel

Napadají mne tři možné přístupy.

Omezit počet pravidel. Asi k tomu máš nějaký důvod, ale asi by stálo za zamyšlení, zda není lepší cesta. Možná by obecnější pravidla mohla významně zredukovat počet pravidel při zachování srovnatelné bezpečnosti.
Můžeš skriptem generovat soubor ve formátu pro iptables-restore. Pak využiješ výhod skriptu i výhod rychlého zpracování všech pravidel najednou.
Můžeš skriptem pomalu vytvořit dočasný nepoužívaný chain. Pak jen upravit pravidlo, které ho volá a starý chain vyhodit. Úprava pravidel bude stále pomalá, ale nebude to vadit provozu.

Hello world ! Segmentation fault (core dumped)

13.11.2016 16:10 petzah | skóre: 1
Rozbalit Rozbalit vše Re: správa velkého množství iptables pravidel

nftables to rescue (nftables wiki

nftables scripting

13.11.2016 17:29 fish | skóre: 22
Rozbalit Rozbalit vše Re: správa velkého množství iptables pravidel

To vypadá dobře (a zároveň to dokazuje, že nejsem sám, kdo narazil na problém s možností skriptování pravidel). Bohužel v Debianu zatím jen jako backport. Aktuálně bych se potřeboval zaměřit na řešení pro stable a old-stable. Každopádně někde vyzkouším, díky.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje