Přihlášení | Registrace

napište » Zprávičky

VASA-1, generování mluvící hlavy z jediné fotky a zvukového záznamu

dnes 14:22 | IT novinky

VASA-1, výzkumný projekt Microsoftu. Na vstupu stačí jediná fotka a zvukový záznam. Na výstupu je dokonalá mluvící nebo zpívající hlava. Prý si technologii nechá jenom pro sebe. Žádné demo, API nebo placená služba. Zatím.

Ladislav Hagara | Komentářů: 0

MagPi 140 a HackSpace 77

dnes 04:44 | Nová verze

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 140 (pdf) a HackSpace 77 (pdf).

Ladislav Hagara | Komentářů: 0

ESPHome 2024.4.0

dnes 01:00 | Nová verze

ESPHome, tj. open source systém umožňující nastavovat zařízení s čipy ESP (i dalšími) pomocí konfiguračních souborů a připojit je do domácí automatizace, například do Home Assistantu, byl vydán ve verzi 2024.4.0.

Ladislav Hagara | Komentářů: 0

Open Platform for Enterprise AI (OPEA)

včera 22:11 | IT novinky

LF AI & Data Foundation patřící pod Linux Foundation spustila Open Platform for Enterprise AI (OPEA).

Ladislav Hagara | Komentářů: 0

OpenXR 1.1

včera 20:55 | Nová verze

Neziskové průmyslové konsorcium Khronos Group vydalo verzi 1.1 specifikace OpenXR (Wikipedie), tj. standardu specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro AR (rozšířenou realitu) a VR (virtuální realitu). Do základu se z rozšíření dostalo XR_EXT_local_floor. Společnost Collabora implementuje novou verzi specifikace do platformy Monado, tj. open source implementace OpenXR.

Ladislav Hagara | Komentářů: 2

mpv 0.38.0

včera 17:22 | Nová verze

Byla vydána nová verze 0.38.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 4.4 nebo novější a také libplacebo 6.338.2 nebo novější.

Ladislav Hagara | Komentářů: 13

ClamAV 1.3.1, 1.2.3 a 1.0.6

včera 17:11 | Nová verze

ClamAV (Wikipedie), tj. multiplatformní antivirový engine s otevřeným zdrojovým kódem pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb, byl vydán ve verzích 1.3.1, 1.2.3 a 1.0.6. Ve verzi 1.3.1 je mimo jiné řešena bezpečnostní chyba CVE-2024-20380.

Ladislav Hagara | Komentářů: 2

Mobilní aplikace Portál občana je ode dneška oficiálně venku

včera 12:11 | IT novinky

Digitální a informační agentura (DIA) oznámila (PDF, X a Facebook), že mobilní aplikace Portál občana je ode dneška oficiálně venku.

Ladislav Hagara | Komentářů: 10

#HACKUJBRNO 2024

včera 05:11 | Komunita

#HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.

Ladislav Hagara | Komentářů: 2

Volla Tablet na Kickstarteru

17.4. 17:55 | IT novinky

Společnost Volla Systeme stojící za telefony Volla spustila na Kickstarteru kampaň na podporu tabletu Volla Tablet s Volla OS nebo Ubuntu Touch.

Ladislav Hagara | Komentářů: 3

Centrum | Napsat | Starší

navrhněte » Anketa

KDE Plasma 6

už používám (68%)

čekám, až se dostane do mé distibuce (10%)

čekám na pozdější vydání v řadě (2%)

preferuji jiné desktopové prostředí (20%)

Celkem 563 hlasů

Komentářů: 4, poslední 6.4. 15:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Iptables: NOTRACK na INPUTu?

Štítky: conntrack, firewall, firewally, forwarding, input, iptables, netfilter, nftables, notrack, output, PREROUTING, router, stroj

Dotaz: Iptables: NOTRACK na INPUTu?

6.12.2016 02:23 Harvie.CZ
Iptables: NOTRACK na INPUTu?

Přečteno: 506×

Odpovědět | Admin

Ahoj, mám router a na něm mám stavovej firewall na lokální služby.

to ale způsobuje, že se plní conntrack tabulka informacema o tranzitních spojeních, který mě vůbec nezajímaj. narůstají pak latence. aby se to vyřešilo, tak mám ve firewallu zhruba tohle:

# Vypnuti conntrack tabulky na prochazejici pakety
*raw
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 10.0.0.1/32 -j ACCEPT
-A PREROUTING -j CT --notrack
COMMIT

To je sice funkční, ale vůbec se mi to nelíbí. Ten stroj má stovky vlanů a na každym jinou adresu. Musím je teda mít všechny vyjmenovaný jako ACCEPT, aby nespadly do NOTRACKu. To mi připadá hloupý a nepřehledný.

Nedá se prostě nějak vypnout conntrack pro FORWARD, aniž by se tím vypnul pro INPUT? Pro OUTPUT se to dá nastavovat zvlášť, pro INPUT jsem to ale bohužel zatím nevyřešil. A tak všechny příchozí packety zkončí v conntracku ať už směřují do FORWARDu nebo do INPUTU.

Nástroje: Začni sledovat (3) ?

Odpovědi

6.12.2016 02:36 Harvie.CZ
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

jeste by teda pomohlo, kdyby existovalo naky makro v tomhle stylu:

-A PREROUTING -d LOCAL -j ACCEPT

kde by "-d LOCAL" matchovalo vsechny packety co maj v dst nekterou z adres, ktery jsou na lokalnich interfacech.

17.12.2016 15:29 Harvie.CZ
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Skutecne nakonec pomohl modul addrtype:

-A PREROUTING -m addrtype --src-type LOCAL -j ACCEPT
-A PREROUTING -m addrtype --dst-type LOCAL -j ACCEPT

17.12.2016 15:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

To je jen test na 127.0.0.0/24, ne? Jestli tohle pokrývá tvůj problém, tak ideál. Místo src-type by mělo jít teoreticky testovat i in-interface.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 17:26 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Ne, skutečně to testuje, jestli je to (nějaká) lokální adresa, pokud nepoužije --limit-iface-in nebo --limit-iface-out. Ale znamená to route lookup pro každý paket, což na stroji s takovým množstvím adres nemusí být moc efektivní (ale samozřejmě pořád mnohem efektivnější než chain se stovkami pravidel).

17.12.2016 17:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

A to je zdokumentováno jenom ve zdrojácích nebo jsem prostě jenom nenašel ten správný zdroj?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 20:53 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Manuálová stránka iptables-extensions(8) je dost neurčitá:

This module matches packets based on their address type. Address types are used within the kernel networking stack and categorize addresses into various groups. The exact definition of that group depends on the specific layer three protocol.

…

LOCAL a local address

To je skutečně dost nejednoznačné. Při troše fantazie se to, že jde o route lookup, dá uhodnout z toho, že další možné hodnoty jsou UNICAST, MULTICAST, BROADCAST, ANYCAST, BLACKHOLE, UNREACHABLE, PROHIBIT, THROW, NAT a XRESOLVE (poslední tři zcela bez popisu). Ale stejně jsem se radši podíval do zdrojáku, abych si byl jistý.

17.12.2016 21:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Právě. :)

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

17.12.2016 17:18 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Přesně k tomuhle slouží ipset:

  ipset create myaddr hash:ip
  ipset add myaddr 10.0.0.1
  ... (další stovky řádků s ostatními adresami)
  iptables -A PREROUTING -m set --match-set myaddr dst -j ACCEPT

Pokud se všechny ty adresy vejdou do jednoho /16 rozsahu, bude efektivnější použít (např.)

  ipset create myaddr bitmap:ip range 10.0.0.0/16

17.12.2016 15:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables: NOTRACK na INPUTu?

Zjistit, co přišlo přes INPUT a co ne půjde minimálně markováním. Markování vůbec řeší strašnou spoustu podobných věcí.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje