abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 2
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 28
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 807 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: iptables - zmena zdrojove adresy

marek_s avatar 22.2.2007 18:45 marek_s | skóre: 8 | Loučky
iptables - zmena zdrojove adresy
Přečteno: 237×
Zdravim. Nevite nekdo jak by se pomoci iptables (nebo jinak) dala zmenit zdrojova ipadresa paketu?

Pro upresneni:
Potrebuji nektere pakety routovat jinudy nez zbyle. Muj napad tedy byl:

iptables -t mangle -A OUTPUT [popis-paketu] -j ROUTE --gw jinam

Jenze navic potrebuji zaridit, aby zdrojova adresa paketu byla ta patrici onomu sitovemu rozhrani kde sidli jinam. Defaultne se ovsem pouzije adresa patrici druhemu sitovemu rozhrani, kam se routuje vsechno ostatni...

"Consummatum est" -- Iesus Nazarenus

Odpovědi

22.2.2007 23:24 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Nějak nechápu ?

To kam se který paket pošle o to se stará tabulka route viz: ip route

Takže si tam přidejte příslušné IP a že se mají posílat na příslušné rozhraní....
23.2.2007 08:57 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
zmena zdrojove adresy paketu se provadi v tabulce nat v POSTROUTING pomoci -j SNAT nebo -j MASQUERADE vice v manu
23.2.2007 09:00 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Nepomůže kromě --gw použít i --oif?
23.2.2007 09:16 Hubik
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Precti si "Linux advenced routing HOWTO". To co hledas je popsano asi tady: http://lartc.org/howto/lartc.netfilter.html

iptables pouzijes pouze pro markovani paketu. O zbytek se postara routing.

J.
23.2.2007 10:07 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Nepostará, protože v době, kdy paket prochází řetězcem OUTPUT v tabulce MANGLE, už je o směrování rozhodnuto.
23.2.2007 11:12 Hubik
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Ne tak uplne. Po pruchodu OUTPUT/MANGLE je znovu overen routing - prave z duvodu mozne zmeny.

Hezky je to popsano tady: http://iptables-tutorial.frozentux.net/iptables-tutorial.html#TRAVERSINGOFTABLES

J.
23.2.2007 12:16 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Bohužel máte pravdu také jen částečně. Zkusil jsem si nasimulovat situaci, kterou řeší tazatel, tj. odlišné směrování paketů na základě značky nastavené v mangle.OUTPUT, a pakety jsou sice směrovány správně (tj. označkované jdou jinudy než neoznačkované), ale všem zůstává původní zdrojová adresa (jako by označkované nebyly). Použití SNAT sice problém zdrojové adresy řeší, ale moc uspokojivé řešení to není, lepší by byl Fast NAT, kdyby fungoval. Také by bylo dobré zjistit, co všechno ze zvolené položky směrovací tabulky se ještě při tom "druhém průchodu" ignoruje.
23.2.2007 12:37 Hubik
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Na pouziti SNATu nevidim zadny problem. Do POSTROUTING daneho adapteru bych soupl Masqueradu a je vymalovano.

Postup by byl asi takovy: iptables -A OUTPUT -t mangle ... -j MARK ... - nastaveni znacky ip route ... ip rule ... - routing na zaklade znacky iptables -A POSTROUTING ... -o ethX -j MASQUERADE

Popripade by slo resit i NATing na zaklade znacky.

J.
23.2.2007 13:21 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
To je spíš takový můj pocit, že stavový NAT by se měl používat jen tam, kde je potřeba, aby byl stavový. Větší problém ale vidím spíš v otázce, co všechno se ještě (kromě zdrojové adresy) v tom "druhém průchodu" ignoruje.
23.2.2007 14:12 Hubik
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Hmmm. Tak hluboce jsem do toho nesel.

Dovedu si predstavit, ze pouze otestuje, zda-li se zmenily podminky pro routing (cilova adresa, mark, TOS a co ja vim). A pokud se neco z toho zmenilo, tak znovu projde routovaci pravidla. Prvni pruchod tam je hlavne kvuli zjsiteni "outgoing interface".

Nerekl bych ze se neco "ignoruje".

(Podotykam, ze jsme se dostali na tenky led a v tuto chvili spis odhaduju. Najde se nekdo, kdo ma cas to overit v kodu?)

Faktem je, ze to funguje :o)

J.

PS: Se soucasnym HW bych nad nepouzitim stavoveho NATu zacal uvazovat az ve chvili, kdy bych mel duvod jej nepouzit (treba proto, ze nepouzivam soucasny HW ;o) ). V opacnem pripade si s tim nema smysl lamat hlavu.
23.2.2007 14:23 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Při mých testech se určitě se ignoroval parametr src té položky, a to i když jsem ho zadal explicitně při jejím přidávání pomocí 'ip route add'. Paket sice odešel přes druhou gateway, ale se zdrojovou adresou odpovídající té původní. To se u průchozích paketů, značkovaných v mangle.PREROUTING, neděje.
23.2.2007 14:55 Hubik
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
src primo nemeni zdrojovou ip adresu. Pouze upravuje chovani routingu tak, jako by zdrojova adresa byla src. (Coz je uzitecne prave pro lokalne generovane pakety, ktere nemaji zadnou zdrojovou adresu).

A ted opet spekulace. V nejakem okamziku se ta zdrojova adresa musi nastavit (ve vetsine pripadu se tak deje prave na zaklade "routing decision", coz svadi k predstave ze src meni zdrojovou adresu primo). Toto nastaveni zdrojove adresy se pravdepodobne deje prave mezi temito routingy. Nicmene nemam cas to prave ted overit.

J.
23.2.2007 15:06 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
src primo nemeni zdrojovou ip adresu. Pouze upravuje chovani routingu tak, jako by zdrojova adresa byla src. (Coz je uzitecne prave pro lokalne generovane pakety, ktere nemaji zadnou zdrojovou adresu).

S takovým výkladem nemohu souhlasit, podle dokumentace (i podle mých zkušeností) parametr src určuje preferovanou zdrojovou adresu, tedy zdrojovou adresu, která se přiřadí, není-li zdrojová adresa předem určena jinak (např. u forwardovaných paketů, paketů patřících do existujícího flow nebo paketů, kde si o konkrétní zdrojovou adresu řekla aplikace). Tento parametr nemůže ovlivnit chování routingu, protože se k němu dostaneme teprve v okamžiku, kdy už routing vybral optimální směrovací položku (takže už není co ovlivňovat).

23.2.2007 15:34 Hubik
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Ano. Nase vyklady se lisi pouze mirou abstrkce.

Ja rikam, ze src samo o sobe nezmeni adresu. Jen pripravi podminky k jeji zmene (lepe receno k jejimu ziskani pokud neni definovana). Toto ziskani pak probiha (pravdepodobne - zde si jisty nejsem) nekde mezi nami diskutovanymi routingy.

V nasem pripade to pak funguje asi takto: Vzhledem k tomu, ze prvni routing nema paru o tom, ze paket bude oznackovan, posle paket na defaultni interface. Podle nej dojde k prirazeni jeho IP. Nasledne je paket oznacen a znovu projde routingem kde je preroutovan - lec adresa zustava.

V pripade ze by nebylo pouzito finty s oznacenim paketu, bude se system chovat presne tak, jak popisujete a parametr src bude mit na zmenu adresy vliv.

Nas problem tedy lze elegantne resit NATingem zdrojove adresy v POSTROUTING tabulce. S tim oba souhlasime (dodavam jen pro ostatni citatele, protoze se nase diskuze stala mozna kapku zamotanou).

J.
marek_s avatar 23.2.2007 16:01 marek_s | skóre: 8 | Loučky
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Diky za vsechny rady. Problem jsem zatim vyresil trosku jinak, nez jsem chtel puvodne, nicmene az budu mit nekdy naladu, tak to zkusim predelat:-)

Delat NAT jsem take zkousel, nicmene to nechtel a nechtel natovat. Predpokladam proto, ze se vzdy aplikovalo pouze jedno pravidlo z iptables...

BTW, nevite nekdo tu banalni vec (ktera je asi tak banalni, ze jsem ji nikde nenasel), jak se aplikuji v iptables pravidla? Je mi jasne, ze vyhovuje-li nejake pravidlo nejakeho chainu, dalsi pravidla uz se v nem netestuji. Co ale jine chainy? A jine tabulky?

"Consummatum est" -- Iesus Nazarenus
23.2.2007 16:11 Hubik
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
Jeste jednou uvadim http://iptables-tutorial.frozentux.net/iptables-tutorial.html#TRAVERSINGOFTABLES

Je tam hezky obrazek, ktery ukazuje pruchod paketu jednotlivymi chainy a tabulkami. Kazdym oblackem na obrazku (chain) se prochazi dokud u nektere jeho polozky nedojde ke splneni vsech definovanych pravidel (nebo dokud neni aplikovano defaultni pravidlo po pruchodu vsech pravidel). Pak se pruchod chainem ukonci a presouvas se na nasledujici oblacek.

PS: Pro jednoducost zapomen na NAT a udelej maskaradu, coz je tebou pozadovany pripad NATu.
marek_s avatar 23.2.2007 17:49 marek_s | skóre: 8 | Loučky
Rozbalit Rozbalit vše Re: iptables - zmena zdrojove adresy
To je skvele, obrazky mam rad. Hnedle se na to podivam:-)
"Consummatum est" -- Iesus Nazarenus

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.