abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:22 | Komunita

V Norimberku probíhá do neděle 28. května openSUSE Conference 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online. K dispozici jsou také videozáznamy (YouTube) již proběhnuvších přednášek. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
včera 11:33 | IT novinky

Red Hat kupuje společnost Codenvy stojící za stejnojmenným webovým (cloudovým) integrovaným vývojovým prostředím (WIDE) postaveném na Eclipse Che.

Ladislav Hagara | Komentářů: 0
včera 08:55 | Nová verze

V listopadu 2014 byl představen fork Debianu bez systemd pojmenovaný Devuan. Po dva a půl roce jeho vývojáři oznámili vydání první stabilní verze 1.0. Jedná se o verzi s dlouhodobou podporou (LTS) a její kódové jméno je Jessie, podle planetky s katalogovým číslem 10 464.

Ladislav Hagara | Komentářů: 7
25.5. 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
25.5. 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 10
25.5. 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 7
24.5. 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
24.5. 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 11
23.5. 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 27
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 622 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: Předávání paketů mezi PREROUTING mangle a nat

    26.6.2007 16:10 dustin | skóre: 61 | blog: dustin
    Předávání paketů mezi PREROUTING mangle a nat
    Přečteno: 424×
    Zdravím, znovu poprosím místní guru o radu.

    Dle např. http://www.faqs.org/docs/iptables/traversingoftables.html by zřejmě mělo probíhat zpracování vstupních paketů tak, že nejdříve projedou PREROUTING chainem tabulky mangle a poté PREROUTING chainem tabulky nat.

    Testuji příkazem
    telnet -b 192.168.101.254 81.0.237.25 25
    kde 192.168.101.254 je eth1, za kterým je NATující ADSL modem.

    Protože se mi nedostávají pakety do INPUTu (testovací telnet čeká na odpověď), zkusil jsem pár logovacích příkazů. Pakety přicházejí na rozhraní eth1, jde o odpovědi od smtp serveru na netu.

    iptables -v -t mangle -L PREROUTING
    Chain PREROUTING (policy ACCEPT 1108K packets, 556M bytes)
     pkts bytes target     prot opt in     out     source               destination         
       54  3634 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy mangle top PREROUTING: ' 
    
    iptables -v -t nat -L PREROUTING
    Chain PREROUTING (policy ACCEPT 1705K packets, 148M bytes)
     pkts bytes target     prot opt in     out     source               destination         
       29  1400 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy nat top PREROUTING: ' 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
        0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380
    xxxxxxxxxx je IP adresa druhého rozhraní, které vede přímo do netu (eth2).

    V mangle je pouze onen LOG, v natu je LOG jako první příkaz. Očekával bych, že každý vstupní paket bude zalogován oběma logy. Bohužel všechny návratové pakety z telnetího pokusu o spojení jsou logovány pouze manglem:
    Jun 26 15:58:06 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
    Jun 26 15:58:09 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
    
    Pakety na eth1 přicházejí, výstup tcpdumpu:
    tcpdump -vv  -n -i eth1 port 25
    tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
    15:59:05.501682 IP (tos 0x10, ttl  64, id 38072, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1f96 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516257481 0,nop,wscale 4>
    15:59:05.516635 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xdd33 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065451964 516257481,nop,wscale 2>
    15:59:08.500659 IP (tos 0x10, ttl  64, id 38073, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1ca8 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516258231 0,nop,wscale 4>
    15:59:08.514515 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xda46 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452713 516257481,nop,wscale 2>
    15:59:09.193070 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xd99c (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452883 516257481,nop,wscale 2>
    
    Zajímavé je, že některé jiné než testovací pakety projdou přes mangle to natu:
    Jun 26 16:02:53 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    Jun 26 16:02:53 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    Jun 26 16:02:56 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    Jun 26 16:02:56 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
    
    Předem díky za radu.

    Odpovědi

    26.6.2007 16:26 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
    Zajímavé je, že pakety, které projdou do natu, jsou úvodní packety spojení navazovaného zvenku (ADSL modem tento port forwarduje dovnitř, nic na něm ale stejně neposlouchá).
    26.6.2007 18:00 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
    To je v pořádku, je to stavový NAT, takže se stará pouze o "první" pakety, další jsou přeloženy podle stavové tabulky a pravidly tabulky nat zpracovávány nejsou.
    26.6.2007 18:51 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat
    Díky díky díky, to jsou přesně ty odpovědi, které usnadní život. Tož přesunu logování o krok dál.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.