abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 16:33 | Nová verze

    Byla vydána nová verze 1.54.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Jan Václav.

    Ladislav Hagara | Komentářů: 0
    dnes 14:11 | IT novinky

    Knižní edice správce české národní domény přináší novou knihu zkušeného programátora Pavla Tišnovského s názvem Programovací jazyk Go. Publikace nabízí srozumitelný a prakticky zaměřený pohled na programování v tomto moderním jazyce. Nejedná se však o klasickou učebnici, ale spíše o průvodce pro vývojáře, kteří s Go začínají, nebo pro ty, kdo hledají odpovědi na konkrétní otázky či inspiraci k dalšímu objevování. Tištěná i digitální verze knihy je již nyní k dispozici u většiny knihkupců.

    Ladislav Hagara | Komentářů: 0
    dnes 13:11 | IT novinky

    OpenAI zpřístupnila (en) nové nenáročné otevřené jazykové modely gpt-oss (gpt-oss-120b a gpt-oss-20b). Přístupné jsou pod licencí Apache 2.0.

    Ladislav Hagara | Komentářů: 2
    dnes 04:33 | Nová verze

    Byla vydána RC verze openSUSE Leap 16. S novým instalátorem Agama, Xfce nad Waylandem a SELinuxem.

    Ladislav Hagara | Komentářů: 0
    dnes 03:44 | Nová verze

    Google Chrome 139 byl prohlášen za stabilní. Nejnovější stabilní verze 139.0.7258.66 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 12 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře. S verzí 139 přestal být podporován Android 8.0 (Oreo) a Android 9.0 (Pie).

    Ladislav Hagara | Komentářů: 0
    včera 19:11 | Komunita

    Společnost JetBrains se stala platinovým sponzorem multiplatformního open source herního enginu Godot. K vývoji her lze používat Rider for Godot. Zdarma pro nekomerční účely.

    Ladislav Hagara | Komentářů: 0
    včera 16:55 | Nová verze

    Byla vydána verze 9.0 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Verze 9.0 je založena na Debianu 13 Trixie. Přehled novinek v poznámkách k vydání a informačním videu.

    Ladislav Hagara | Komentářů: 0
    včera 13:44 | IT novinky

    Operátor O2 dává všem svým zákazníkům s mobilními službami poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství jako omluvu za pondělní zhoršenou dostupnost služeb.

    Ladislav Hagara | Komentářů: 12
    včera 04:00 | Nová verze

    Společnost NVIDIA vydala verzi 13.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    4.8. 04:22 | IT novinky

    Byly vyhlášeni vítězové a zveřejněny vítězné zdrojové kódy (YouTube, GitHub) již 28. ročníku soutěže International Obfuscated C Code Contest (IOCCC), tj. soutěže o nejnepřehlednější (nejobfuskovanější) zdrojový kód v jazyce C.

    Ladislav Hagara | Komentářů: 9
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (30%)
     (27%)
     (5%)
     (7%)
     (3%)
     (1%)
     (2%)
     (23%)
    Celkem 230 hlasů
     Komentářů: 23, poslední 4.8. 13:01
    Rozcestník

    Dotaz: iptables na vstupe vsetko povoli

    22.8.2018 08:25 jany2 | skóre: 30 | blog: jany_blog
    iptables na vstupe vsetko povoli
    Přečteno: 510×
    spravil som si jednoduchy iptables a spustil som ho cez skript (v debiane)
    #!/bin/bash
    iptables -F
    iptables -X
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
    iptables -N VPN-INPUT
    iptables -A INPUT -i tun0 -j VPN-INPUT
    iptables -A VPN-INPUT -p tcp -m multiport --dports 15000,16000 -j ACCEPT
    iptables -A VPN-INPUT -s 10.8.0.103,10.8.0.104 -j ACCEPT
    iptables -A VPN-INPUT -j DROP
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p icmp --fragment -j DROP
    iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
    iptables -A INPUT -p ICMP -j DROP
    iptables -A INPUT -p tcp --dport 22 -s 192.168.1.2 -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -s 192.168.1.2 -d 192.168.1.100 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
    iptables -A INPUT -s 192.168.1.2 -d 192.168.1.100 -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
    iptables -A INPUT -s 192.168.1.2 -d 192.168.1.100 -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp -m multiport --dports 15000,16000 -j ACCEPT
    iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
    iptables -A INPUT -s 192.168.1.2 -p tcp --dport 10000 -j ACCEPT
    Ked si vypisem iptables, tak mam tam
    Chain INPUT (policy DROP)
    target     prot opt source               destination         
    VPN-INPUT  all  --  anywhere             anywhere            
    ACCEPT     all  --  anywhere             anywhere            
    DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
    DROP       icmp -f  anywhere             anywhere            
    ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply
    ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
    ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
    ACCEPT     icmp --  anywhere             anywhere             icmp fragmentation-needed
    DROP       icmp --  anywhere             anywhere            
    ACCEPT     tcp  --  192.168.1.2          anywhere             tcp dpt:ssh
    DROP       all  --  anywhere             anywhere             state INVALID
    ACCEPT     tcp  --  192.168.1.2          192.168.1.100        tcp dpt:ftp ctstate NEW,ESTABLISHED
    ACCEPT     tcp  --  192.168.1.2          192.168.1.100        tcp dpt:ftp-data ctstate ESTABLISHED
    ACCEPT     tcp  --  192.168.1.2          192.168.1.100        tcp spts:1024:65535 dpts:1024:65535 ctstate RELATED,ESTABLISHED
    ACCEPT     tcp  --  anywhere             anywhere             multiport dports 15000,16000
    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:openvpn
    ACCEPT     tcp  --  192.168.1.2          anywhere             tcp dpt:10000
    
    Chain FORWARD (policy DROP)
    target     prot opt source               destination         
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination         
    
    Chain VPN-INPUT (1 references)
    target     prot opt source               destination         
    ACCEPT     tcp  --  anywhere             anywhere             multiport dports 15000.16000
    ACCEPT     all  --  10.8.0.103           anywhere            
    ACCEPT     all  --  10.8.0.104           anywhere            
    DROP       all  --  anywhere             anywhere        
    Znepokojuje ma riadok 4 v retazci input
    ACCEPT     all  --  anywhere             anywhere 
    ktory hovori, povol vsetko vsetkym. Okial sa to tam vzalo ??
    upozornujem, ze v linuxe som vecny zaciatocnik ...

    Řešení dotazu:


    Odpovědi

    22.8.2018 08:36 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli

    Já tam vidím

    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
    

    což odpovídá tomu pravidlu, které jste si tam jako čtvrté přidal.

    22.8.2018 09:09 jany2 | skóre: 30 | blog: jany_blog
    Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
    pocital som aj z riadkom kde je retazec input (preto to bol riadok 4).
    Ale pravidlo som uviedol
    ACCEPT     all  --  anywhere             anywhere            
    
    Ale je to ako pise Max, je to localhost, len som dal blbo vypisat pravidla (aby som mal v tom mensi chaos). Cize vsetko je OK
    upozornujem, ze v linuxe som vecny zaciatocnik ...
    Řešení 1× (Filip Jirsák)
    22.8.2018 09:55 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
    pocital som aj z riadkom kde je retazec input (preto to bol riadok 4)

    No jo, já jsem holt zvyklý brát čísla podle toho, co ukazuje --line-numbers

    len som dal blbo vypisat pravidla (aby som mal v tom mensi chaos)

    IMHO je lepší si zafixovat "iptables -nvL" jako idiom. Situací, kdy má smysl nepoužít "-n", je málo a těch, kdy má smysl vynechat "-v" ještě méně (dost možná žádná).

    Řešení 1× (jany2 (tazatel))
    Max avatar 22.8.2018 08:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
    Pokud myslíš ten řádek hned po VPN-INPUT, tak je to jasné, jen si špatně vypisuješ pravidla. Pro výpis pravidel používej toto :
    iptables -nL -v
    iptables -t nat -nL -v
    ...
    
    Pak ten čtvrtý řádek ve výpisu ukáže, že to je all pro loopback komunikaci.
    Pokud čtvrtým řádkem myslíš čtvrté pravidlo, tak tam je RELATED,ESTABLISHED, což znamená, že to povolí komunikaci u navázaných spojení. Když někam pošleš dotaz, tak to něco ti odpoví. Odpověď jde na dohodnutý port někde na x tisícátém, který je jako všechny ostatní zablokován. Toto pravidlo zařídí, že ti ta odpověď dorazí a port je povolen jen pro toto navázané spojení.
    Zdar Max
    Měl jsem sen ... :(
    6.9.2018 11:59 macnux
    Rozbalit Rozbalit vše Re: iptables na vstupe vsetko povoli
    Pravidla jsou důležitá. Zkontrolujte tento článek a dozvíte se více o firewall iptables

    $ iptables -I INPUT 3 -i eth1 -p udp -j ACCEPT

    $ iptables -I INPUT 4 -i eth1 -p udp --dport 80 -j DROP

    Zde platí, že první pravidlo přijme provoz, druhá nezmizí to, co již bylo přijato.

    Pozdravy,

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.