Před 60 lety, 1. května 1964, byl představen programovací jazyk BASIC (Beginners' All-purpose Symbolic Instruction Code).
Byla vydána nová verze 12.0 minimalistické linuxové distribuce (JeOS, Just enough Operating System) pro Kodi (dříve XBMC) a multimediálního centra LibreELEC (Libre Embedded Linux Entertainment Center). Jedná se o fork linuxové distribuce OpenELEC (Open Embedded Linux Entertainment Center). LibreELEC 12.0 přichází s Kodi 21.0 "Omega".
Microsoft vydal novou velkou aktualizaci 2404.23 v září 2019 pod licencí SIL Open Font License (OFL) zveřejněné rodiny písma Cascadia Code pro zobrazování textu v emulátorech terminálu a vývojových prostředích.
OpenTofu, tj. svobodný a otevřený fork Terraformu vzniknuvší jako reakce na přelicencování Terraformu z MPL na BSL (Business Source License) společností HashiCorp, bylo vydáno ve verzi 1.7.0. Přehled novinek v aktualizované dokumentaci. Vypíchnout lze State encryption.
Spouštět webový prohlížeč jenom kvůli nákupu kávy? Nestačí ssh? Stačí: ssh terminal.shop (𝕏).
Yocto Project byl vydán ve verzi 5.0. Její kódové jméno je Scarthgap. Yocto Project usnadňuje vývoj vestavěných (embedded) linuxových systémů na míru konkrétním zařízením. Cílem projektu je nabídnou vývojářům vše potřebné. Jedná se o projekt Linux Foundation.
Operační systém 9front, fork operačního systému Plan 9, byl vydán v nové verzi "do not install" (pdf). Více o 9front v FQA.
Svobodná webová platforma pro sdílení a přehrávání videí PeerTube (Wikipedie) byla vydána v nové verzi 6.1. Přehled novinek i s náhledy v oficiálním oznámení a na GitHubu. Řešeny jsou také 2 bezpečnostní chyby.
Lennart Poettering na Mastodonu představil utilitu run0. Jedná se o alternativu k příkazu sudo založenou na systemd. Bude součástí systemd verze 256.
Hudební přehrávač Amarok byl vydán v nové major verzi 3.0 postavené na Qt5/KDE Frameworks 5. Předchozí verze 2.9.0 vyšla před 6 lety a byla postavená na Qt4. Portace Amaroku na Qt6/KDE Frameworks 6 by měla začít v následujících měsících.
caute
na zaklde mojej temy : Dotaz: Router a AP - DDWRT/OpenWRT
som si kupil rb3011 + ubi ap a potreboval by som si overit zakladnu konfiguraciu routera (asi hlavne firewall).
Postupoval som podla tohto navodu s malymi odlisnostami: Mikrotik poprvé: základní konfigurace
vo firewall filtry mam zatial iba skopirovane pravidla podla navodu:
Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 1 ;;; FastTrack chain=forward action=fasttrack-connection connection-state=established,related 2 ;;; Established, Related chain=forward action=accept connection-state=established,related 3 chain=input action=accept protocol=icmp 4 ;;; Drop invalid chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid" 5 ;;; Drop incoming packets that are not NATted chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes log-prefix="!NAT" 6 ;;; Drop incoming from internet which is not public IP
Pravidlu c. 6 vobec nerozumiem. Viem si ten koment samozrejme prelozit tak ze sa zablokuju vstky prich. pripojenia z wanu ktore nemaju verejnu ip, ale nerozumiem preco filter zobrazuje len comment k tomuto pravidlu bez ziadnych prikazov (chain, action...). Pravidlo som do terminalu zadal takto:
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
Pravidlu cislo 6 nerozumiem aj preto ze podla pravidla 5 by sa mala blokovat vsetka prichadzajuca komunikacia s vynimkou tej ktoru manualne povolim. Rozumiem tomu tak ze pravidlo cislo 5 blokuje vsetku prich. komunikaciu a keby som nahodou NATol nejake PC/server atd... tak to pusti ostatne nie. Takze ak je to tak ako som to pochopil preco do toho motat este 6. pravidlo o blokovani neverejnych IP?
Address list vo firewalle mam tiez len skopirovany z navodu a neviem ci sa address list moze dostat do konfliktu s mojimi nastavenymi adresami v mikrotiku lebo ako som uz pisal ja som pri nastaveni pouzil IP podla vlastneho uvazenia a nie priamo tie z
navodu.Neviem co teda presne pouzite address listy znamenaju (moze mi to niekto vysvetlit?) ale mam to takto:
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet add address=224.0.0.0/4 comment=Multicast list=not_in_internet add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
+ zoznam povolenych ip s pristupom do routera
Este sem pridam vypis nastavenia natu:
Flags: X - disabled, I - invalid, D - dynamic 0 I ;;; pppoe-out1 not ready chain=srcnat action=masquerade src-address=X.X.X.0/24 out-interface=pppoe-out1
Predpokladam ze not ready je len pretoze router neni na nete
V navode su tiez napisane pravidla pre vyhnutie sa brute force utokom ale tie som zatial nepouzil. Je to nutne?
Viem ze navod z ktoreho vychadzam je starsi a preto sa pytam co by som mal este pridat/zmenit/odobrat aby bol router schopny standardnej bezpecnej prevadzky? Nasledne sa uz sam budem pokusat ucit metodou pokus - omyl pracovat s roznymi moznostami routera.
Diky za rady a odpovede na otazku ohladom address listu a 6. pravidla.
BTW: Doteraz som bol zvyknuty na SOHO routery typu asus tplink a v nich bud ddwrt alebo original fw
BTW2: Sorry za formatovanie ale nefunguje mi tu editor
Řešení dotazu:
Diky. Vypis bol cely a pravidlo c. 6 som vlozil tymto prikazom
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
ale vo vypise mam z neho iba comment neviem preco.
Este sa chcem spytat: Na co vseobecne v mikrotiku sluzia address listy? Povodne som si totiz myslel ze su to zoznamy viacerych IP adries pricom pre kazdy zoznam nastavim jednu akciu spolocnu pre vsetky IP v danom zozname (napr. drop, accept, forward atd...) ale teraz ked som sa zamyslel nad tym navodom podla ktoreho som tie IP pridal tak vidim ze tam chyba nejaky "prikaz" co sa ma s tymi IP urobit. Aky to ma teda zmysel? Myslim ten address list
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internetTj. provést drop na forwardu všeho, co má IP z lokálních segmentů, protože se předpokládá, že lokální IP na internetu nemají co dělat, resp. se zřejmě předpokládá, že to nebude dobrý provoz.
Diky za vysvetlenie. Lepsie som si pozrel niektore pravidla a uz som asi pochopil ako funguje address list resp. pochopil som ze ip do neho sa vkladaju pri pisani celeho pravidla cez firewall filter to som predtym nevedel a preto ma to pomylilo. To 6. pravidlo teda vymazem ked neni potrebne lebo aj tak mi vo vypise zobrazuje len comment takze mozno to pravidlo ani nefunguje tak ako by malo.
Pravidlo 5 teda chapem dobre ked ho chapem tak ze bude blokovana vsetka prichadzajuca komunikacia s vynimkou tej ktoru manualne povolim resp. ked neNATujem nic tak dovnutra neprejde nic?
Celkovo si myslite ze tych 5 pravidiel + vypnute sluzby a zmene porty staci na standardne bezpecnu prevadzku routera?
v logu sa mi opakovane zobrazuju tieto zaznamy a neviem co presne znamenaju:
firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (ACK,FIN), XXX.XXX.XXX.XXX:56872->185.14.116.10:80, len 40
20:15:30 firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (RST), XXX.XXX.XXX.XXX:53024->31.13.84.36:443, len 40
20:15:42 firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (ACK,FIN), XXX.XXX.XXX.XXX:56872->185.14.116.10:80, len 40
20:16:12 firewall,info invalid forward: in:LAN out:pppoe-out1, src-mac XXXX, proto TCP (ACK,FIN), XXX.XXX.XXX.XXX:56872->185.14.116.10:80, len 40
pravidla firewallu pouzivam tieto (nakoniec som postupoval podla oficialne odporucanych pravidiel priamo na mikrotik wiki
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; default configuration
chain=input action=accept connection-state=established,related
2 chain=input action=accept src-address-list=allowed_to_router
3 chain=input action=accept protocol=icmp
4 ;;; FastTrack
chain=forward action=fasttrack-connection connection-state=established,related
5 ;;; Established, Related
chain=forward action=accept connection-state=established,related
6 chain=input action=drop
7 ;;; Drop invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid"
8 ;;; Drop tries to reach not public addresses from LAN
chain=forward action=drop dst-address-list=not_in_internet in-interface=LAN out-interface=!LAN log=yes log-prefix="!public_from_LAN"
9 ;;; Drop incoming packets that are not NATted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes log-prefix="!NAT"
10 ;;; Drop incoming from internet which is not public IP
chain=forward action=drop src-address-list=not_in_internet in-interface=ether1 log=yes log-prefix="!public"
11 ;;; Drop packets from LAN that do not have LAN IP
chain=forward action=drop src-address=!XXX.XXX.XXX.0/24 in-interface=LAN log=yes log-prefix="LAN_!LAN"
Ktore pravidlo sposobuje tie zaznamy resp. preco tie zaznamy vznikaju?
Tiskni Sdílej: