abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
včera 21:32 | Nasazení Linuxu

Canonical představuje nejnovější verzi chytré helmy DAQRI s Ubuntu pro rozšířenou realitu. K vidění bude příští týden v Barceloně na veletrhu Mobile World Congress 2017.

Ladislav Hagara | Komentářů: 0
včera 21:31 | Pozvánky

Pro zájemce o hlubší znalosti fungování operačních systémů připravila MFF UK nový předmět Pokročilé operační systémy, v rámci něhož se vystřídají přednášející nejen z řad pracovníků fakulty, ale dorazí také odborníci ze společností AVAST, Oracle, Red Hat a SUSE. Tento předmět volně navazuje na kurz Operační systémy ze zimního semestru, ale pokud máte praktické zkušenosti odjinud (například z přispívání do jádra Linuxu) a chcete si

… více »
Martin Děcký | Komentářů: 3
včera 21:30 | Pozvánky

Czech JBoss User Group Vás srdečně zve na setkání JBUG v Brně, které se koná ve středu 1. března 2017 v prostorách Fakulty Informatiky Masarykovy Univerzity v místnosti A318 od 18:00. Přednáší Tomáš Remeš a Matěj Novotný na téma CDI 2.0 - New and Noteworthy. Více informací na Facebooku a na Twitteru #jbugcz.

mjedlick | Komentářů: 0
20.2. 23:45 | Zajímavý software

Na blogu Qt bylo představeno Qt 3D Studio. Jedná se o produkt dosud známý pod názvem NVIDIA DRIVE™ Design Studio. NVIDIA jej věnovala Qt. Jedná se o několik set tisíc řádků zdrojového kódu. Qt 3D Studio bude stejně jako Qt k dispozici jak pod open source, tak pod komerční licencí. Ukázka práce s Qt 3D Studiem na YouTube.

Ladislav Hagara | Komentářů: 10
20.2. 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
20.2. 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 32
20.2. 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 24
19.2. 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 18
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 34
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 680 hlasů
 Komentářů: 61, poslední včera 13:06
Rozcestník

Dotaz: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP

27.7.2007 10:32 deepx
IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Přečteno: 958×
Mám linuxový firewall s IPTABLES, dvě síťové karty, jedna do vnitřní sítě, druhá ven s pevnou veřejnou IP. Uvnitř sítě běží poštovní server, který je dostupný i z internetu přes veřejnou IP. Potřebuji, aby tento poštovní server byl dostupný na veřejné IP adrese i z vnitřní sítě. (notebook se jenou připojuje unitř sítě, jindy z internetu). Poradíte, jak nastavit IPTABLES, aby jednu IP adresu (porty 25 a 110) směroval z vnitřní sítě zpět do vnitřní sítě, ale na lokální adresu (10.0.0.2)?

Odpovědi

honzous avatar 27.7.2007 10:41 honzous | skóre: 17 | blog: /var/log/honzous.log
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Myslim, ze si trosku protirecis. Tak ma byt pristupny na verejne nebo lokalni IP? :-)
Nevykej mi, ja ti taky nebudu vykat...↵ Mar 13 11:53:32 nevykat last message repeated 2324661 times
27.7.2007 10:48 Tom.š Ze.le.in | skóre: 21 | blog: tz
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Vhodný -j DNAT v chainu PREROUTING tabulky nat jste zkusil?
Michal Žila avatar 27.7.2007 10:48 Michal Žila | skóre: 12 | blog: holden | Banská Bystrica
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Mne funguje presne to co pozadujes:
iptables -t nat -A PREROUTING -i $vnutorny_iface -d $verejna_ip -p tcp --dport 25 -j DNAT --to 10.0.0.2:25
27.7.2007 10:52 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
tam je potreba zajistit krome toho pravidla s DNAT i to ze kdyz ma packet zdrojovou adresu z vnitrni site aby se prelozil na adresu interniho rozhrani

neco jako:
iptables -t NAT -A PREROUTING -p tcp -d verejna_ip --dport 25 -j DNAT --to-destionation 10.0.0.2
iptables -t nat -A POSTROUTING -p tcp -s vnitrni_sit -d 10.0.0.0.2 --dport 25 -j SNAT --to-source vnitrni_ip
verejna_ip je adresa na vnejsim rozhrani, vnitrni_ip na vnitrnim, vnitrni_sit je rozsah vnitrni site
27.7.2007 10:56 Tom.š Ze.le.in | skóre: 21 | blog: tz
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Pravda. Já měl pocit, že jsem to kdysi zkoušel a v té triviální implementaci byl problém (ale tehdy jsem nakonec stejně dal zvenku přístupný server i z jiných důvodů do samostatného segmentu sítě, a pak tohle nutné nebylo).
27.7.2007 11:41 Ripper | skóre: 30
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Stačí do poštovního klienta dát do POP3 a SMTP veřejnou adresu toho poštovního serveru (pokud nemáte doménu).
27.7.2007 12:24 deepx
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Zkusil jsem přidat dle rady, ale nepomohlo to. Potřebuji, aby ten poštovní server (10.0.0.3) byl přístupný z venku i zevnitř přes veřejnou IP (82.117.133.18). DNS záznam ta veřejná IP nemá.

Tady je celý IPTABLES i s těmi dvěma řádky co jsem přidal: Předem díky za jakoukoliv radu.

*nat
:PREROUTING ACCEPT [237:21154]
:POSTROUTING ACCEPT [63:5028]
:OUTPUT ACCEPT [63:5028]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.3:443
-A PREROUTING -i eth0 -p tcp -m tcp --dport 444 -j DNAT --to-destination 10.0.0.3:444
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.0.0.3:25
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.0.0.3:110
-A PREROUTING -i eth0 -p tcp -m tcp --dport 143 -j DNAT --to-destination 10.0.0.3:143

-A PREROUTING -p tcp -m tcp -i eth1 -d 82.117.133.18 --dport 110 -j DNAT --to-destination 10.0.0.3:110
-A POSTROUTING -p tcp -m tcp -s 10.0.0.0/255.0.0.0 -o eth1 -d 10.0.0.3 --dport 110 -j SNAT --to-source 10.0.0.3:110

-A POSTROUTING -s 10.0.0.0/255.0.0.0 -o eth0 -j SNAT --to-source 82.117.133.18

COMMIT

*filter
:INPUT DROP [30:2365]
:FORWARD ACCEPT [29066:27524742]
:OUTPUT ACCEPT [11730:6985578]
-A INPUT -i lo -j ACCEPT 
-A INPUT -i eth1 -j ACCEPT 
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -m state --state NEW -j ACCEPT 
-A INPUT -i eth0 -p icmp -j ACCEPT 
COMMIT
27.7.2007 12:51 outsider
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
To druhe pripsane pravidlo mate spatne. Ma tam byt --to-source <vnitrni adresa routeru>

Aspon teda doufam, ze jsem kolegu vyse pochopil spravne, a opravdu se u tech paketu ma prepisovat jak dst tak src adresa ... :-)
27.7.2007 14:22 deepx
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Ano, to bylo ono, má tam být vnitřní adresa routeru. Už to funguje přesně jak potřebuji, díky moc za rady.
27.7.2007 13:04 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Nejsem si jist, zda může SNAT a DNAT najednou na jedno spojení fungovat. Pokud vám nebude vadit, že máte poštovní server v jiné IP síti (a nebude tedy přímo dostupný z vnitřní sítě), přidělte mu IP adresu z jiného rozsahu (např. 10.0.1.0/24), druhou IP adresu z tohoto rozsahu nastavte jako alias pro příslušnou síťovou kartu routeru a pak už můžete použít obyčejný DNAT. Server se při odpovědi nebude pokoušet komunikovat přímo s klientem, ale půjde zase přes router, který tím pádem dokáže udělat přemapování zpět.

Mimochodem, v těch pravidlech máte podle mne chybu, v
-A POSTROUTING -p tcp -m tcp -s 10.0.0.0/255.0.0.0 -o eth1 -d 10.0.0.3 --dport 110 -j SNAT --to-source 10.0.0.3:110
by mělo být -o eth0, ne? Postrouting se aplikuje až po té, co se podle routovací tabulky rozhodlo, kam má paket přijít, a ten se má vrátit na eth0, do vnitřní sítě.
27.7.2007 12:43 deepx
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Ještě tedy upřesnění, potřebuji aby bylo možné stáhnout poštu Outlookem, ve kterém mám nastaven jako pop3 server adresu 82.117.133.18, v případě že je notebook připojen v místní síti ale i pokud je připojen mimo firmu přes internet, aby nebylo vždy nutné měnit adresu pop3 serveru. Stačí mi tedy pop3 port 110.
27.7.2007 13:23 Pavel | skóre: 15 | blog: Pavlův blog | Praha
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Tak nevi, ale pokud mate z vnitrni site pristup ven do internetu a nijak ho neblokujete, tak prece neni potreba nic menit. V Outlooku nechate jako pop3 adresu 82.117.133.18 a normalne by dotaz mel projit ven do internetu a pak zpatky na Vas router a pote dovnitr. Mam to takhle nastaveny a neni potreba delat nejaky speciality navic...
27.7.2007 14:24 deepx
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Takhle mi to nefungovalo, dotaz zevnitř došel pouze na router a tam skončil. Ale už jsem to vyřešil, díky.
27.7.2007 18:39 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Ono to nemusi byt uplne pravda. Provider muze blokovat pakety se srcip==dstip. Nevim, nakolik tyto pakety podle ruznych RFC a spol. maji nebo nemaji byt blokovany , ale je to ma osobni zkusenost. Na firme jsme taky potrebovali mit servery pristupne z LAN na verejnych adresach (velice podobny pripad, jako ma puvodni tazatel). Provoz sel skrz nas router/firewall (Kerio na Winserveru) ven, prolezl asi 7 stroju a vratil se zpatky. Pak jsme zmenili providera a tohle prestalo fungovat. Provoz sel ven a asi po 2 hopech traceroute koncil.

Ale tak trochu si myslim, ze blokovat to je [spravne|lepsi|regulerni].

Dejf
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
27.7.2007 19:06 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Naco IPTABLES? Pokud dany mailserver nemusi mit lokalni adresu, tak nejjednodussi by bylo dat mu tu verejnou adresu a na router pridat routu na ni.

Na router:
ip route add $verejna_ip_adresa_mailserveru dev $vnitrni_rozhrani_routeru
Na mailserver:
ip addr add $verejna_ip_adresa_mailserveru peer $privatni_ip_adresa_routeru dev eth0
ip route add default via $privatni_ip_adresa_routeru
27.7.2007 19:09 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Tohle by melo fungovat za predpokladu ze verejna adresa mailserveru je jina, nez verejna adresa pouzivana pro NAT.
27.7.2007 22:13 martyone | skóre: 18
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Pokud tam máte DNS, bude možná nejlepší řešit to přes DNS - jiná odpověď pro dotaz z venčí, jiná pro dotaz zevnitř.
27.7.2007 22:19 martyone | skóre: 18
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
Jejda :-) nemáte :-( ..jsem si prvně nevšim - mám tady trocha stísněné prostředí ;-)
27.7.2007 22:31 deepx
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
DNS nemame, jinak bych to resil pres nej. To s tim prirazenim verejne IP adresy serveru by asi nebylo to prave orechove, na tom mailserveru je soucasne interni fileserver a aplikacni server. Ale jak uz jsem psal, problem se vyresil v IPTABLES, nevidim problem v tomto reseni, pro muj ucel idealni, presne co jsem potreboval.
28.7.2007 20:35 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IPTABLES - směrování zevnitř zpět dovnitř na jinou IP
A na závěr diskuse ještě oblíbený odkaz na FAQ (kde to mělo začít, ne skončit).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.