Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Ardour 9.7

včera 22:22 | Nová verze

Byla vydána nová verze 9.7 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled novinek, vylepšení a oprav v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Vývojáři prohlížeče Ladybird mění způsob vývoje

včera 18:22 | Komunita

Vývojáři webového prohlížeče Ladybird dnes oznámili, že mění způsob vývoje. S blížícím se vydáním alfa verze přestávají přijímat veřejné pull requesty. Všechny otevřené veřejné pull requesty budou uzavřeny. Tým nedokáže garantovat bezpečnost AI generovaných pull requestů.

Ladislav Hagara | Komentářů: 2

OpenLogi, open source Logi Options+

včera 17:33 | Zajímavý software

OpenLogi (GitHub) je open source náhrada aplikace Logi Options+ pro přizpůsobení myší od společnosti Logitech. Zatím běží pouze na macOS.

Ladislav Hagara | Komentářů: 0

Vývoj webového prohlížeče Ladybird (05/2026)

včera 04:33 | Nová verze

Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za květen (YouTube).

Ladislav Hagara | Komentářů: 9

Ze státního systému unikly osobní údaje zaměstnanců firem

4.6. 11:22 | Bezpečnostní upozornění

Úřad pro ochranu osobních údajů řeší desítky stížností na jednotné měsíční hlášení zaměstnavatele, které stát spustil počátkem dubna. Systém, jenž má firmám odlehčit od desítek formulářů, nejenže výrazně zatížil jejich účetní oddělení, ale docházelo v něm i k únikům osobních dat zaměstnanců k firmám, kde nepracovali. Podle ministerstva práce a sociálních věcí stála za problémem technická chyba. „Incident se týkal několika stovek

… více »

Ladislav Hagara | Komentářů: 18

Angular 22.0.0

4.6. 10:46 | Nová verze

Byla vydána (𝕏, Bluesky) nová verze 22.0.0 open source webového aplikačního frameworku Angular (Wikipedie). Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Vim Classic 8.3

4.6. 04:33 | Nová verze

Vim Classic byl vydán ve verzi 8.3. Drew DeVault oznámil tento fork editoru Vim (verze 8.2.0148, tj. těsně před zavedením Vim9 skriptování) v březnu letošního roku. Důvodem forku bylo, že vývojáři editorů Vim a Neovim začali při vývoji využívat LLM.

Ladislav Hagara | Komentářů: 7

DevConf.CZ 2026 / Program a registrace

4.6. 03:44 | Komunita

Open source konference DevConf.CZ 2026 proběhne 18. a 19. června v Brně na FIT VUT. Publikován byl program a spuštěna byla registrace.

Ladislav Hagara | Komentářů: 0

Velký jazykový model Mellum2

3.6. 19:44 | Nová verze

Společnost JetBrains uvolnila verzi 2 svého open-source velkého jazykového modelu (LLM) pro vývojáře Mellum.

Ladislav Hagara | Komentářů: 0

Microsoft Build 2026

3.6. 14:44 | IT novinky

Probíhá konference Microsoft Build 2026. Microsoft představuje své novinky: kvantový čip Majorana 2, Surface Laptop Ultra a Surface RTX Spark Dev Box s NVIDIA RTX Spark, Intelligent Terminal, Coreutils for Windows (fork Rust Coreutils), AI modely MAI, AI agenta Scout, platformu pro agent-first zařízení Project Solara, …

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Iptables: NOTRACK na INPUTu?

Štítky: conntrack, firewall, firewally, forwarding, input, iptables, netfilter, nftables, notrack, output, PREROUTING, router, stroj

Dotaz: Iptables: NOTRACK na INPUTu?

6.12.2016 02:23 Harvie.CZ
Iptables: NOTRACK na INPUTu?

Přečteno: 584×

Odpovědět | Admin

Ahoj, mám router a na něm mám stavovej firewall na lokální služby.

to ale způsobuje, že se plní conntrack tabulka informacema o tranzitních spojeních, který mě vůbec nezajímaj. narůstají pak latence. aby se to vyřešilo, tak mám ve firewallu zhruba tohle:

# Vypnuti conntrack tabulky na prochazejici pakety
*raw
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 10.0.0.1/32 -j ACCEPT
-A PREROUTING -j CT --notrack
COMMIT

To je sice funkční, ale vůbec se mi to nelíbí. Ten stroj má stovky vlanů a na každym jinou adresu. Musím je teda mít všechny vyjmenovaný jako ACCEPT, aby nespadly do NOTRACKu. To mi připadá hloupý a nepřehledný.

Nedá se prostě nějak vypnout conntrack pro FORWARD, aniž by se tím vypnul pro INPUT? Pro OUTPUT se to dá nastavovat zvlášť, pro INPUT jsem to ale bohužel zatím nevyřešil. A tak všechny příchozí packety zkončí v conntracku ať už směřují do FORWARDu nebo do INPUTU.

Nástroje: Začni sledovat (3) ?

Odpovědi

6.12.2016 02:36 Harvie.CZ
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

jeste by teda pomohlo, kdyby existovalo naky makro v tomhle stylu:

-A PREROUTING -d LOCAL -j ACCEPT

kde by "-d LOCAL" matchovalo vsechny packety co maj v dst nekterou z adres, ktery jsou na lokalnich interfacech.

17.12.2016 15:29 Harvie.CZ
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Skutecne nakonec pomohl modul addrtype:

-A PREROUTING -m addrtype --src-type LOCAL -j ACCEPT
-A PREROUTING -m addrtype --dst-type LOCAL -j ACCEPT

17.12.2016 15:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

To je jen test na 127.0.0.0/24, ne? Jestli tohle pokrývá tvůj problém, tak ideál. Místo src-type by mělo jít teoreticky testovat i in-interface.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 17:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Ne, skutečně to testuje, jestli je to (nějaká) lokální adresa, pokud nepoužije --limit-iface-in nebo --limit-iface-out. Ale znamená to route lookup pro každý paket, což na stroji s takovým množstvím adres nemusí být moc efektivní (ale samozřejmě pořád mnohem efektivnější než chain se stovkami pravidel).

17.12.2016 17:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

A to je zdokumentováno jenom ve zdrojácích nebo jsem prostě jenom nenašel ten správný zdroj?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 20:53 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Manuálová stránka iptables-extensions(8) je dost neurčitá:

This module matches packets based on their address type. Address types are used within the kernel networking stack and categorize addresses into various groups. The exact definition of that group depends on the specific layer three protocol.

…

LOCAL a local address

To je skutečně dost nejednoznačné. Při troše fantazie se to, že jde o route lookup, dá uhodnout z toho, že další možné hodnoty jsou UNICAST, MULTICAST, BROADCAST, ANYCAST, BLACKHOLE, UNREACHABLE, PROHIBIT, THROW, NAT a XRESOLVE (poslední tři zcela bez popisu). Ale stejně jsem se radši podíval do zdrojáku, abych si byl jistý.

17.12.2016 21:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Právě. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 17:18 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Přesně k tomuhle slouží ipset:

  ipset create myaddr hash:ip
  ipset add myaddr 10.0.0.1
  ... (další stovky řádků s ostatními adresami)
  iptables -A PREROUTING -m set --match-set myaddr dst -j ACCEPT

Pokud se všechny ty adresy vejdou do jednoho /16 rozsahu, bude efektivnější použít (např.)

  ipset create myaddr bitmap:ip range 10.0.0.0/16

17.12.2016 15:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Zjistit, co přišlo přes INPUT a co ne půjde minimálně markováním. Markování vůbec řeší strašnou spoustu podobných věcí.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vlákno • Nahoru

Tiskni Sdílej: