abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 23:45 | Zajímavý software

Na blogu Qt bylo představeno Qt 3D Studio. Jedná se o produkt dosud známý pod názvem NVIDIA DRIVE™ Design Studio. NVIDIA jej věnovala Qt. Jedná se o několik set tisíc řádků zdrojového kódu. Qt 3D Studio bude stejně jako Qt k dispozici jak pod open source, tak pod komerční licencí. Ukázka práce s Qt 3D Studiem na YouTube.

Ladislav Hagara | Komentářů: 0
včera 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
včera 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 7
včera 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 4
19.2. 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 18
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 31
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 3
17.2. 09:00 | Nová verze

Bylo vydáno Ubuntu 16.04.2 LTS, tj. druhé opravné vydání Ubuntu 16.04 LTS s kódovým názvem Xenial Xerus. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 57
17.2. 06:00 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje tvorbě pluginů (modulů) pro bitmapový grafický editor GIMP. Pomocí pluginů lze GIMP rozšiřovat o další funkce. Implementovat lze například nové filtry nebo pomocné utility pro tvorbu animací či poloautomatickou retuš snímků.

Ladislav Hagara | Komentářů: 6
16.2. 23:32 | Komunita

Do 30. března se lze přihlásit do dalšího kola programu Outreachy, jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 30. května do 30. srpna 2017, v participujících organizacích lze vydělat 5 500 USD. Jedná se již o 14. kolo tohoto programu.

Ladislav Hagara | Komentářů: 11
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 670 hlasů
 Komentářů: 53, poslední včera 18:38
Rozcestník
Reklama

Dotaz: Předávání paketů mezi PREROUTING mangle a nat

26.6.2007 16:10 dustin | skóre: 60 | blog: dustin
Předávání paketů mezi PREROUTING mangle a nat
Přečteno: 424×
Zdravím, znovu poprosím místní guru o radu.

Dle např. http://www.faqs.org/docs/iptables/traversingoftables.html by zřejmě mělo probíhat zpracování vstupních paketů tak, že nejdříve projedou PREROUTING chainem tabulky mangle a poté PREROUTING chainem tabulky nat.

Testuji příkazem
telnet -b 192.168.101.254 81.0.237.25 25
kde 192.168.101.254 je eth1, za kterým je NATující ADSL modem.

Protože se mi nedostávají pakety do INPUTu (testovací telnet čeká na odpověď), zkusil jsem pár logovacích příkazů. Pakety přicházejí na rozhraní eth1, jde o odpovědi od smtp serveru na netu.

iptables -v -t mangle -L PREROUTING
Chain PREROUTING (policy ACCEPT 1108K packets, 556M bytes)
 pkts bytes target     prot opt in     out     source               destination         
   54  3634 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy mangle top PREROUTING: ' 
iptables -v -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT 1705K packets, 148M bytes)
 pkts bytes target     prot opt in     out     source               destination         
   29  1400 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy nat top PREROUTING: ' 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380
xxxxxxxxxx je IP adresa druhého rozhraní, které vede přímo do netu (eth2).

V mangle je pouze onen LOG, v natu je LOG jako první příkaz. Očekával bych, že každý vstupní paket bude zalogován oběma logy. Bohužel všechny návratové pakety z telnetího pokusu o spojení jsou logovány pouze manglem:
Jun 26 15:58:06 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
Jun 26 15:58:09 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
Pakety na eth1 přicházejí, výstup tcpdumpu:
tcpdump -vv  -n -i eth1 port 25
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:59:05.501682 IP (tos 0x10, ttl  64, id 38072, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1f96 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516257481 0,nop,wscale 4>
15:59:05.516635 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xdd33 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065451964 516257481,nop,wscale 2>
15:59:08.500659 IP (tos 0x10, ttl  64, id 38073, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1ca8 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516258231 0,nop,wscale 4>
15:59:08.514515 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xda46 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452713 516257481,nop,wscale 2>
15:59:09.193070 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xd99c (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452883 516257481,nop,wscale 2>
Zajímavé je, že některé jiné než testovací pakety projdou přes mangle to natu:
Jun 26 16:02:53 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
Jun 26 16:02:53 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
Jun 26 16:02:56 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
Jun 26 16:02:56 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
Předem díky za radu.

Odpovědi

26.6.2007 16:26 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
Zajímavé je, že pakety, které projdou do natu, jsou úvodní packety spojení navazovaného zvenku (ADSL modem tento port forwarduje dovnitř, nic na něm ale stejně neposlouchá).
26.6.2007 18:00 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
To je v pořádku, je to stavový NAT, takže se stará pouze o "první" pakety, další jsou přeloženy podle stavové tabulky a pravidly tabulky nat zpracovávány nejsou.
26.6.2007 18:51 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
Díky díky díky, to jsou přesně ty odpovědi, které usnadní život. Tož přesunu logování o krok dál.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.