abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Virtuální Bastlírna vol. 61: Recyklujete svoje nepovedené 3D-tisky?
    dnes 05:33 | Pozvánky

    Protože je už po aprílu, můžou strahováci opět zveřejnit program další Virtuální Bastlírny, aniž by připravená témata působila dojmem, že jde o žert. Vězte tedy, že již v úterý 7. dubna od 20:00 proběhne VB, kde se setkají bastlíři, technici, učitelé i nadšenci do techniky a kde i vy se můžete zapojit do družného hovoru, jako by všichni seděli u pomyslného piva. Co mají bastlíři tento měsíc na srdci? Pravděpodobně by nás musel zasáhnout meteorit

    … více »
    bkralik | Komentářů: 0
    Stellarium 26.1
    včera 23:33 | Nová verze

    Byla vydána verze 26.1 aneb čtvrtletní aktualizace open source počítačového planetária Stellarium (Wikipedie, GitHub). Vyzkoušet lze webovou verzi Stellaria na Stellarium Web.

    Ladislav Hagara | Komentářů: 1
    Model VOID od Netflixu
    včera 23:00 | Zajímavý projekt

    VOID (Video Object and Interaction Deletion) je nový open-source VLM model pro editaci videa, který dokáže z videí odstraňovat objekty včetně všech jejich fyzikálních interakcí v rámci scény (pády, kolize, stíny...) pomocí quadmaskingu (čtyřhodnotová maska, která člení pixely scény do čtyř kategorií: objekt určený k odstranění, překrývající se oblasti, objektem ovlivněné oblasti a pozadí scény) a dvoufázového inpaintingu. Za projektem stojí výzkumníci ze společnosti Netflix.

    NUKE GAZA! 🎆 | Komentářů: 2
    Design, 2D CAD pro GNOME
    včera 05:22 | Zajímavý software

    Design (GitHub) je 2D CAD pro GNOME. Instalovat lze i z Flathubu. Běží také ve webovém prohlížeči.

    Ladislav Hagara | Komentářů: 12
    Xogot, Godot pro iPad a iPhone
    včera 04:11 | Zajímavý software

    Příspěvek na blogu herního enginu Godot představuje aplikaci Xogot přinášející Godot na iPad a iPhone. Instalovat lze z App Storu. Za Xogotem stojí Miguel de Icaza (GitHub) a společnost Xibbon.

    Ladislav Hagara | Komentářů: 1
    Vývoj webového prohlížeče Ladybird (03/2026)
    4.4. 04:22 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za březen (YouTube).

    Ladislav Hagara | Komentářů: 13
    ESP-IDF 6.0
    3.4. 16:44 | Nová verze

    ESP-IDF (Espressif IoT Development Framework), tj. oficiální vývojový framework pro vývoj aplikací na mikrokontrolérech řady ESP32, byl vydán v nové verzi 6.0. Detaily na portálu pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    Model Gemma 4
    3.4. 12:33 | Nová verze

    DeepMind (Alphabet) představila novou verzi svého multimodálního modelu, Gemma 4. Modely jsou volně k dispozici (Ollama, Hugging Face a další) ve velikostech 5-31 miliard parametrů, s kontextovým oknem 128k až 256k a v dense i MoE variantách. Modely zvládají text, obrázky a u menších verzí i audio. Modely jsou optimalizované pro běh na desktopových GPU i mobilních zařízeních, váhy všech těchto modelů jsou uvolněny pod licencí Apache 2.0. Návod na spuštění je už i na Unsloth.

    NUKE GAZA! 🎆 | Komentářů: 12
    Cursor 3
    3.4. 03:55 | Nová verze

    Cursor (Wikipedie) od společnosti Anysphere byl vydán ve verzi 3. Jedná se o multiplatformní proprietární editor kódů s podporou AI (vibe coding).

    Ladislav Hagara | Komentářů: 0
    TouchStream LP na Apple Magic Trackpad
    2.4. 19:55 | Zajímavý projekt

    Průkopnická firma FingerWorks kolem roku 2000 vyvinula vícedotykové trackpady s gesty a klávesnice jako TouchStream LP. V roce 2005 ji koupil Apple, výrobu těchto produktů ukončil a dotykové technologie využil při vývoji iPhone. Multiplatformní projekt Apple Magic TouchstreamLP nyní implementuje funkcionalitu TouchStream LP na současném Apple Magic Trackpad, resp. jejich dvojici. Diskuze k vydání probíhá na Redditu.

    |🇵🇸 | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (14%)
     (7%)
     (1%)
     (12%)
     (30%)
     (3%)
     (6%)
     (1%)
     (14%)
     (23%)
    Celkem 1224 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Iptables: NOTRACK na INPUTu?
    Štítky: conntrack, firewall, firewally, forwarding, input, iptables, netfilter, nftables, notrack, output, PREROUTING, router, stroj

    Dotaz: Iptables: NOTRACK na INPUTu?

    6.12.2016 02:23 Harvie.CZ
    Iptables: NOTRACK na INPUTu?
    Přečteno: 575×
    Ahoj, mám router a na něm mám stavovej firewall na lokální služby.

    to ale způsobuje, že se plní conntrack tabulka informacema o tranzitních spojeních, který mě vůbec nezajímaj. narůstají pak latence. aby se to vyřešilo, tak mám ve firewallu zhruba tohle: 
    # Vypnuti conntrack tabulky na prochazejici pakety
*raw
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 10.0.0.1/32 -j ACCEPT
-A PREROUTING -j CT --notrack
COMMIT
    To je sice funkční, ale vůbec se mi to nelíbí. Ten stroj má stovky vlanů a na každym jinou adresu. Musím je teda mít všechny vyjmenovaný jako ACCEPT, aby nespadly do NOTRACKu. To mi připadá hloupý a nepřehledný.

    Nedá se prostě nějak vypnout conntrack pro FORWARD, aniž by se tím vypnul pro INPUT? Pro OUTPUT se to dá nastavovat zvlášť, pro INPUT jsem to ale bohužel zatím nevyřešil. A tak všechny příchozí packety zkončí v conntracku ať už směřují do FORWARDu nebo do INPUTU.
    Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    6.12.2016 02:36 Harvie.CZ
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    jeste by teda pomohlo, kdyby existovalo naky makro v tomhle stylu:

    -A PREROUTING -d LOCAL -j ACCEPT

    kde by "-d LOCAL" matchovalo vsechny packety co maj v dst nekterou z adres, ktery jsou na lokalnich interfacech.
    17.12.2016 15:29 Harvie.CZ
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Skutecne nakonec pomohl modul addrtype: 
    -A PREROUTING -m addrtype --src-type LOCAL -j ACCEPT
-A PREROUTING -m addrtype --dst-type LOCAL -j ACCEPT
    pavlix avatar 17.12.2016 15:50 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    To je jen test na 127.0.0.0/24, ne? Jestli tohle pokrývá tvůj problém, tak ideál. Místo src-type by mělo jít teoreticky testovat i in-interface.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.12.2016 17:26 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Ne, skutečně to testuje, jestli je to (nějaká) lokální adresa, pokud nepoužije --limit-iface-in nebo --limit-iface-out. Ale znamená to route lookup pro každý paket, což na stroji s takovým množstvím adres nemusí být moc efektivní (ale samozřejmě pořád mnohem efektivnější než chain se stovkami pravidel).
    pavlix avatar 17.12.2016 17:50 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    A to je zdokumentováno jenom ve zdrojácích nebo jsem prostě jenom nenašel ten správný zdroj?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.12.2016 20:53 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

    Manuálová stránka iptables-extensions(8) je dost neurčitá:

    This module matches packets based on their address type. Address types are used within the kernel networking stack and categorize addresses into various groups. The exact definition of that group depends on the specific layer three protocol.

    LOCAL a local address

    To je skutečně dost nejednoznačné. Při troše fantazie se to, že jde o route lookup, dá uhodnout z toho, že další možné hodnoty jsou UNICAST, MULTICAST, BROADCAST, ANYCAST, BLACKHOLE, UNREACHABLE, PROHIBIT, THROW, NAT a XRESOLVE (poslední tři zcela bez popisu). Ale stejně jsem se radši podíval do zdrojáku, abych si byl jistý.

    pavlix avatar 17.12.2016 21:47 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Právě. :)
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.12.2016 17:18 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

    Přesně k tomuhle slouží ipset:

      ipset create myaddr hash:ip
  ipset add myaddr 10.0.0.1
  ... (další stovky řádků s ostatními adresami)
  iptables -A PREROUTING -m set --match-set myaddr dst -j ACCEPT

    Pokud se všechny ty adresy vejdou do jednoho /16 rozsahu, bude efektivnější použít (např.)

      ipset create myaddr bitmap:ip range 10.0.0.0/16
    pavlix avatar 17.12.2016 15:44 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Zjistit, co přišlo přes INPUT a co ne půjde minimálně markováním. Markování vůbec řeší strašnou spoustu podobných věcí.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.