abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 01:22 | Zajímavý článek

Julia Evans pomocí svých kreslených obrázků proniká do Linuxu a informačních technologií. Vedle ucelených zinů publikuje také jednotlivé kreslené obrázky (RSS).

Ladislav Hagara | Komentářů: 1
včera 13:22 | Zajímavý software

Jordi Sanfeliu vydal verzi 1.0.0 svého unixového jádra Fiwix (Wikipedie) určeného také pro výuku operačních systémů. Dle článku na OSNews na něm začal pracovat již před více než dvaceti lety. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT. Stáhnout a vyzkoušet lze živou disketu nebo CD s GNU/Fiwixem.

Ladislav Hagara | Komentářů: 3
včera 06:00 | Nová verze

Byla vydána nová verze 10.7 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu. Vývojáři GitLabu zdůrazňují Web IDE (YouTube) a SAST (Static Application Security Testing) pro Go a C/C++.

Ladislav Hagara | Komentářů: 0
22.4. 14:00 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, zveřejnil na svém blogu recenzi notebooku Librem 13 od společnosti Purism. Používá jej již sedm měsíců a s ním i jako umělec spokojen. Potřebu francouzské AZERTY klávesnice vyřešil přelepkami. Na displej se podíval kalibrační sondou, barvy vyladil pomocí open source softwaru DisplayCAL, v aplikaci Inkscape nastavil zvětšování na 170 % aby 1 cm v Inkscapu byl 1 cm v reálu. Webovou kameru, mikrofon, Wi-Fi a Bluetooth lze na Librem 13 hardwarově vypnout.

Ladislav Hagara | Komentářů: 7
21.4. 23:44 | Komunita

Několik posledních verzí GNOME Shellu obsahuje chybu způsobující memory leak (únik paměti). Viz například videozáznamy verzí 3.26 nebo 3.28. Nalezení chyby #64 a její opravě se věnuje Georges Basile Stavracas Neto v příspěvku na svém blogu [reddit].

Ladislav Hagara | Komentářů: 1
21.4. 10:33 | Komunita

V pondělí měl na YouTube online premiéru otevřený krátký 2D film Hero vytvořený v 3D softwaru Blender. Cílem stejnojmenného projektu Hero je vylepšit nástroj Grease Pencil (tužka) v Blenderu 2.8.

Ladislav Hagara | Komentářů: 4
20.4. 23:22 | Nová verze

Byla vydána verze 4.0 kolekce svobodného softwaru umožňujícího nahrávání, konverzi a streamovaní digitálního zvuku a obrazu FFmpeg (Wikipedie). Přehled novinek v Changelogu (GitHub).

Ladislav Hagara | Komentářů: 0
20.4. 17:22 | Komunita

Včera vydanou hru Rise of the Tomb Raider pro Linux lze do pondělí 23. dubna koupit na Steamu s 67% slevou. Místo 49,99 € za 16,49 €.

Ladislav Hagara | Komentářů: 0
20.4. 16:11 | Komunita

Na Humble Bundle lze získat počítačovou hru Satellite Reign (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 5
20.4. 15:44 | Zajímavý software

Společnost Apple koupila před třemi lety společnost FoundationDB vyvíjející stejnojmenný NoSQL databázový systém FoundationDB (Wikipedie). Včera byl tento systém uvolněn jako open source pod licencí Apache 2.0. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
Používáte na serverech port knocking?
 (2%)
 (7%)
 (46%)
 (27%)
 (17%)
Celkem 362 hlasů
 Komentářů: 29, poslední 5.4. 12:25
    Rozcestník

    Dotaz: Předávání paketů mezi PREROUTING mangle a nat

    26.6.2007 16:10 dustin | skóre: 61 | blog: dustin
    Předávání paketů mezi PREROUTING mangle a nat
    Přečteno: 424×
    Zdravím, znovu poprosím místní guru o radu.

    Dle např. http://www.faqs.org/docs/iptables/traversingoftables.html by zřejmě mělo probíhat zpracování vstupních paketů tak, že nejdříve projedou PREROUTING chainem tabulky mangle a poté PREROUTING chainem tabulky nat.

    Testuji příkazem
    telnet -b 192.168.101.254 81.0.237.25 25
    kde 192.168.101.254 je eth1, za kterým je NATující ADSL modem.

    Protože se mi nedostávají pakety do INPUTu (testovací telnet čeká na odpověď), zkusil jsem pár logovacích příkazů. Pakety přicházejí na rozhraní eth1, jde o odpovědi od smtp serveru na netu.

    iptables -v -t mangle -L PREROUTING
    Chain PREROUTING (policy ACCEPT 1108K packets, 556M bytes)
     pkts bytes target     prot opt in     out     source               destination         
       54  3634 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy mangle top PREROUTING: ' 
    
    iptables -v -t nat -L PREROUTING
    Chain PREROUTING (policy ACCEPT 1705K packets, 148M bytes)
     pkts bytes target     prot opt in     out     source               destination         
       29  1400 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy nat top PREROUTING: ' 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380
    xxxxxxxxxx je IP adresa druhého rozhraní, které vede přímo do netu (eth2).

    V mangle je pouze onen LOG, v natu je LOG jako první příkaz. Očekával bych, že každý vstupní paket bude zalogován oběma logy. Bohužel všechny návratové pakety z telnetího pokusu o spojení jsou logovány pouze manglem:
    Jun 26 15:58:06 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
    Jun 26 15:58:09 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
    
    Pakety na eth1 přicházejí, výstup tcpdumpu:
    tcpdump -vv  -n -i eth1 port 25
    tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
    15:59:05.501682 IP (tos 0x10, ttl  64, id 38072, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1f96 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516257481 0,nop,wscale 4>
    15:59:05.516635 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xdd33 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065451964 516257481,nop,wscale 2>
    15:59:08.500659 IP (tos 0x10, ttl  64, id 38073, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1ca8 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516258231 0,nop,wscale 4>
    15:59:08.514515 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xda46 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452713 516257481,nop,wscale 2>
    15:59:09.193070 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xd99c (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452883 516257481,nop,wscale 2>
    
    Zajímavé je, že některé jiné než testovací pakety projdou přes mangle to natu:
    Jun 26 16:02:53 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    Jun 26 16:02:53 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    Jun 26 16:02:56 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    Jun 26 16:02:56 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    
    Předem díky za radu.

    Odpovědi

    26.6.2007 16:26 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
    Zajímavé je, že pakety, které projdou do natu, jsou úvodní packety spojení navazovaného zvenku (ADSL modem tento port forwarduje dovnitř, nic na něm ale stejně neposlouchá).
    26.6.2007 18:00 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
    To je v pořádku, je to stavový NAT, takže se stará pouze o "první" pakety, další jsou přeloženy podle stavové tabulky a pravidly tabulky nat zpracovávány nejsou.
    26.6.2007 18:51 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
    Díky díky díky, to jsou přesně ty odpovědi, které usnadní život. Tož přesunu logování o krok dál.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.