abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 0
včera 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 14
včera 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 1
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 5
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 49
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 26
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 18
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 777 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Jednoduché IPTABLES v OpenWRT

Jaja avatar 15.11.2008 09:01 Jaja | skóre: 2
Jednoduché IPTABLES v OpenWRT
Přečteno: 1355×
Zdravím,
Mám problém se zdánlivě jednoduchým případem:
Potřebuji z internetu přístup na jeden z lokálních PC, kde mi běží intranetový WWW. Na Routeru mám web na portu :80, proto chci přistupovat na lokální web přes wan na portu :81

Zde je IPTABLES:
/etc/firewall.user

#!/bin/sh
# Copyright (C) 2006 OpenWrt.org

iptables -F input_rule
iptables -F output_rule
iptables -F forwarding_rule
iptables -t nat -F prerouting_rule
iptables -t nat -F postrouting_rule

# The following chains are for traffic directed at the IP of the
# WAN interface

iptables -F input_wan
iptables -F forwarding_wan
iptables -t nat -F prerouting_wan

### Open port to WAN
iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT
 iptables        -A input_wan      -p tcp --dport 22 -j ACCEPT
 iptables -t nat -A prerouting_wan -p tcp --dport 80 -j ACCEPT
 iptables        -A input_wan      -p tcp --dport 80 -j ACCEPT
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
 iptables        -A input_wan      -p tcp --dport 81 -j ACCEPT


### Port forwarding
## -- This forwards port 81 on the WAN to port 80 on 192.168.1.11
 iptables -t nat -A prerouting_wan -p tcp --dport 81 -j DNAT --to 192.168.1.11:80
 iptables        -A forwarding_wan -p tcp --dport 80 -d 192.168.1.11 -j ACCEPT

Zde je /etc/config/firewall

forward:dport=81:192.168.1.11:80

Server je však na portu :81 z venku nedostupný.

Vidí z vás někdo chybu?

Díky za radu..

Mira

Odpovědi

15.11.2008 09:31 snajpa | skóre: 19 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Ja jsem to vyresil tak, ze jsem kompletne vyhodil sitovaci skripty openwrt a napsal si svoje na miru.
--- vpsFree.cz --- Virtuální servery svobodně
Jaja avatar 15.11.2008 10:03 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
A je to někde publikované, abych se poučil, jak na to??
16.11.2008 20:40 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Teda mě se nezdá ten chain prerouting_wan a forwarding_wan. Jestli tedy nemá OpenWRT nějaký hack, který "normální" netfilter předělává nebo se to v dalších pravidlech usměrňuje do správnýho chainu. Podle mě by to předávání mělo být v PREROUTING a FORWARD a ne v prerouting_wan a forwarding_wan.
17.11.2008 17:24 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Mozna hloupy dotaz, ale mas povolene forwardovani? (je to nekde v /proc/sys/net/ tusim, pohledej, tady se to resilo mockrat)

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
Jaja avatar 20.11.2008 16:25 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
V souboru /proc/sys/net/ipv4/ip_forward mám nastavenu hodnotu "1", což by mělo podle dokumentace povolovat forward..
17.11.2008 18:47 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Tak jsem se na to podival jeste jednou a mam nasledujici pripominky:
  • nelibi se mi tam dva radky:
    iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
     iptables        -A input_wan      -p tcp --dport 81 -j ACCEPT
    Podle me totiz povoluji port 81 na tom routeru, coz by patrne byt nemelo (ten web ti bezi uvnitr site)

  • Tak jako tak si myslim, ze pakety se k vyhodnoceni vlastne vubec nedostanou, protoze ti tam chybi predani paketu do chainu prerouting_wan a forwarding_wan
A taky se pridavam ke snajpovi (nebo snajpe?) - vlastni skript je IMHO srozumitelnejsi ( = prehlednejsi), nez ty "vestavene".

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
Jaja avatar 20.11.2008 16:29 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Na routeru z venku povoluji port 81, abych se pak přes www.mujrouter.cz:81/ dostal na vnitřní adresu 192.168.1.11:80 , teda alespoň tak jsem to plánoval..
21.11.2008 08:43 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Tim, ze mas
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
iptables        -A input_wan      -p tcp --dport 81 -j ACCEPT
pred
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j DNAT --to 192.168.1.11:80
iptables        -A forwarding_wan -p tcp --dport 80 -d 192.168.1.11 -j ACCEPT
ti IMHO pakety na port 81 zustanou na routeru.

Posli vystupy z iptables -nvL a iptables -t nat -nvL, jak jsem uz zminil, chybi mi tam presmerovani do chainu prerouting_wan a input_wan, tak at nevestime z vody.

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
Jaja avatar 21.11.2008 10:06 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
VYŘEŠENO.
Děkuji Vám za radu, opravdu stačilo přehodit takto:

### Port forwarding
## -- This forwards port 81 on the WAN to port 80 on 192.168.1.11
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j DNAT --to 192.168.1.11:80
iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.1.11 -j ACCEPT
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
iptables -A input_wan -p tcp --dport 81 -j ACCEPT
24.11.2008 08:14 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT

Najde o to, ze by ta pravidla byla prehozena, ale o to, ze pokud port 81 ma byt presmerovan "dovnitr", tak nemuzes ty pakety ACCEPTovat. A tim, ze je DNATujes, tak nasledujici pravidlo s ACCEPTem je zbytecne a nadbytecne (mluvim samozrejme o tabulce NAT, ta pravidla musi byt "ve dvojici" tak, jak jsi to mel a mas). Zamysli se nad tim:

iptables -t nat         -A prerouting_wan  -p tcp                --dport 81           -j ACCEPT
         v tabulce NAT  chain prerouting   pakety protokolu TCP  s cilovym portem 81  povol = nic dalsiho s nima nedelej

Nikde ani slovo o tom, ze by paket mel jit na jiny pocitac.

A nasledujici

iptables                    -A input_wan   -p tcp                --dport 81           -j ACCEPT
         v tabulce filter   chain input    pakety protokolu TCP  s cilovym portem 81  povol = nic dalsiho s nima nedelej

ty pakety taky povoli - ale v INPUTu, takze na lokale.

Pakety prochazi postupne vsemi pravidly a pokud nektere vyhovi natolik, ze je jednoznacne urceno, co se s tim paketem ma udelat, pruchod konci, s paketem se nalozi podle vysledku a vyhodnocuje se dalsi paket. A ty jsi mel napred ACCEPT a az potom DNAT. Takze ten DNAT se nikdy nemohl dostat ke slovu.

Zkus si precist neco o tom, jak se provadi (v jakem poradi a kdy konci) pruchod paketu skrz iptables. Mozna ti taky pomuze tohle nebo tohle.

Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
24.11.2008 09:29 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT

pokud pouzivas verzi Kamikaze (7.09), tak mrkni na soubor /etc/config/firewall

never use rm after eight
24.11.2008 11:56 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT

Doporucuji pred psanim odpovedi projit komentare, ktere uz u dotazu jsou. Treba bys prisel na to, z problem uz je vyresen.

Dejv

Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.