abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Radicle 1.6.0
    dnes 17:55 | Nová verze

    Radicle byl vydán ve verzi 1.6.0 s kódovým jménem Amaryllis. Jedná se o distribuovanou alternativu k softwarům pro spolupráci jako např. GitLab.

    Ladislav Hagara | Komentářů: 0
    Zemřel Scott Adams, tvůrce komiksových stripů Dilbert
    dnes 13:22 | Upozornění

    Zemřel Scott Adams, tvůrce komiksových stripů Dilbert parodujících pracovní prostředí velké firmy.

    Ladislav Hagara | Komentářů: 2
    Knot Resolver 6.1, první stabilní vydání v řadě 6
    dnes 13:00 | Nová verze

    Sdružení CZ.NIC vydalo novou verzi Knot Resolveru (6.1.0). Jedná se o první vydanou stabilní verzi 6, která je nyní oficiálně preferovanou a doporučovanou verzí, namísto předešlé verze 5. Více o Knot Resolveru 6 je možné se dočíst přímo v dokumentaci.

    VSladek | Komentářů: 1
    Linux Mint 22.3 Zena
    dnes 01:22 | Nová verze

    Byl vydán Linux Mint 22.3 s kódovým jménem Zena. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze, že nástroj Systémová hlášení (System Reports) získal mnoho nových funkcí a byl přejmenován na Informace o systému (System Information). Linux Mint 22.3 bude podporován do roku 2029.

    Ladislav Hagara | Komentářů: 1
    Wine 11.0
    včera 21:33 | Nová verze

    Wine bylo po roce vývoje od vydání verze 10.0 vydáno v nové stabilní verzi 11.0. Přehled novinek na GitLabu. Vypíchnuta je podpora NTSYNC a dokončení architektury WoW64.

    Ladislav Hagara | Komentářů: 5
    Firefox 147.0
    včera 16:11 | Nová verze

    Byl vydán Mozilla Firefox 147.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Firefox nově podporuje Freedesktop.org XDG Base Directory Specification. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 147 bude brzy k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    To nejhorší z veletrhu CES
    včera 13:22 | Humor

    Asociace repair.org udělila anticeny těm nejhorším produktům představeným na veletrhu CES 2026. Oceněnými jsou například šmírující kamery Amazon Ring AI, chytrý běžecký pás od společnosti Merach, která otevřeně přiznává, že nedokáže zabezpečit osobní data uživatelů, případně jednorázové lízátko, které rozvibrovává čelisti uživatele a tak přehrává hudbu. Absolutním vítězem je lednička od Samsungu, která zobrazuje reklamy a kterou lze otevřít pouze hlasovým příkazem přes cloudovou službu.

    NUKE GAZA! 🎆 | Komentářů: 11
    Írán ruší signál satelitů Starlink
    včera 12:00 | IT novinky

    Íránští protirežimní aktivisté si všímají 30% až 80% ztráty packetů při komunikaci se satelity služby Starlink. Mohlo by se jednat o vedlejší důsledek rušení GPS, kterou pozemní přijímače Starlinku používají k výpočtu polohy satelitů a kterou se režim rovněž snaží blokovat, podle bezpečnostního experta a iranisty Amira Rashidiho je ale pravděpodobnější příčinou terestrické rušení přímo satelitní komunikace Starlinku podobnou

    … více »
    NUKE GAZA! 🎆 | Komentářů: 13
    Brusel zvažuje, že zařadí WhatsApp mezi platformy podléhající větší regulaci
    včera 00:55 | IT novinky

    Evropská komise (EK) zvažuje, že zařadí komunikační službu WhatsApp americké společnosti Meta mezi velké internetové platformy, které podléhají přísnější regulaci podle unijního nařízení o digitálních službách (DSA). Firmy s více než 45 miliony uživatelů jsou podle DSA považovány za velmi velké on-line platformy (Very Large Online Platforms; VLOP) a podléhají přísnějším pravidlům EU pro internetový obsah. Pravidla po

    … více »
    Ladislav Hagara | Komentářů: 22
    Hodnota Alphabetu přesáhla čtyři biliony dolarů po oznámení, že Apple bude v oblasti AI spolupracovat s Googlem
    včera 00:44 | IT novinky

    Tržní hodnota technologické společnosti Alphabet poprvé v historii přesáhla čtyři biliony dolarů (83 bilionů Kč). Stalo se tak poté, co Apple oznámil, že bude na poli umělé inteligence (AI) spolupracovat s dceřinou firmou Alphabetu, společností Google.

    Ladislav Hagara | Komentářů: 5
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (14%)
     (4%)
     (0%)
     (8%)
     (19%)
     (3%)
     (6%)
     (3%)
     (11%)
     (45%)
    Celkem 429 hlasů
     Komentářů: 12, poslední dnes 21:12
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Iptables: NOTRACK na INPUTu?
    Štítky: conntrack, firewall, firewally, forwarding, input, iptables, netfilter, nftables, notrack, output, PREROUTING, router, stroj

    Dotaz: Iptables: NOTRACK na INPUTu?

    6.12.2016 02:23 Harvie.CZ
    Iptables: NOTRACK na INPUTu?
    Přečteno: 558×
    Ahoj, mám router a na něm mám stavovej firewall na lokální služby.

    to ale způsobuje, že se plní conntrack tabulka informacema o tranzitních spojeních, který mě vůbec nezajímaj. narůstají pak latence. aby se to vyřešilo, tak mám ve firewallu zhruba tohle: 
    # Vypnuti conntrack tabulky na prochazejici pakety
*raw
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 10.0.0.1/32 -j ACCEPT
-A PREROUTING -j CT --notrack
COMMIT
    To je sice funkční, ale vůbec se mi to nelíbí. Ten stroj má stovky vlanů a na každym jinou adresu. Musím je teda mít všechny vyjmenovaný jako ACCEPT, aby nespadly do NOTRACKu. To mi připadá hloupý a nepřehledný.

    Nedá se prostě nějak vypnout conntrack pro FORWARD, aniž by se tím vypnul pro INPUT? Pro OUTPUT se to dá nastavovat zvlášť, pro INPUT jsem to ale bohužel zatím nevyřešil. A tak všechny příchozí packety zkončí v conntracku ať už směřují do FORWARDu nebo do INPUTU.
    Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    6.12.2016 02:36 Harvie.CZ
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    jeste by teda pomohlo, kdyby existovalo naky makro v tomhle stylu:

    -A PREROUTING -d LOCAL -j ACCEPT

    kde by "-d LOCAL" matchovalo vsechny packety co maj v dst nekterou z adres, ktery jsou na lokalnich interfacech.
    17.12.2016 15:29 Harvie.CZ
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Skutecne nakonec pomohl modul addrtype: 
    -A PREROUTING -m addrtype --src-type LOCAL -j ACCEPT
-A PREROUTING -m addrtype --dst-type LOCAL -j ACCEPT
    pavlix avatar 17.12.2016 15:50 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    To je jen test na 127.0.0.0/24, ne? Jestli tohle pokrývá tvůj problém, tak ideál. Místo src-type by mělo jít teoreticky testovat i in-interface.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.12.2016 17:26 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Ne, skutečně to testuje, jestli je to (nějaká) lokální adresa, pokud nepoužije --limit-iface-in nebo --limit-iface-out. Ale znamená to route lookup pro každý paket, což na stroji s takovým množstvím adres nemusí být moc efektivní (ale samozřejmě pořád mnohem efektivnější než chain se stovkami pravidel).
    pavlix avatar 17.12.2016 17:50 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    A to je zdokumentováno jenom ve zdrojácích nebo jsem prostě jenom nenašel ten správný zdroj?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.12.2016 20:53 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

    Manuálová stránka iptables-extensions(8) je dost neurčitá:

    This module matches packets based on their address type. Address types are used within the kernel networking stack and categorize addresses into various groups. The exact definition of that group depends on the specific layer three protocol.

    LOCAL a local address

    To je skutečně dost nejednoznačné. Při troše fantazie se to, že jde o route lookup, dá uhodnout z toho, že další možné hodnoty jsou UNICAST, MULTICAST, BROADCAST, ANYCAST, BLACKHOLE, UNREACHABLE, PROHIBIT, THROW, NAT a XRESOLVE (poslední tři zcela bez popisu). Ale stejně jsem se radši podíval do zdrojáku, abych si byl jistý.

    pavlix avatar 17.12.2016 21:47 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Právě. :)
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.12.2016 17:18 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

    Přesně k tomuhle slouží ipset:

      ipset create myaddr hash:ip
  ipset add myaddr 10.0.0.1
  ... (další stovky řádků s ostatními adresami)
  iptables -A PREROUTING -m set --match-set myaddr dst -j ACCEPT

    Pokud se všechny ty adresy vejdou do jednoho /16 rozsahu, bude efektivnější použít (např.)

      ipset create myaddr bitmap:ip range 10.0.0.0/16
    pavlix avatar 17.12.2016 15:44 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?
    Zjistit, co přišlo přes INPUT a co ne půjde minimálně markováním. Markování vůbec řeší strašnou spoustu podobných věcí.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.