abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:30 | Zajímavý článek

Mozilla.cz informuje, že webový prohlížeč Firefox bude od verze 53 obsahovat integrovaný prohlížeč dat ve formátu JSON. Firefox kromě strukturovaného prohlížení nabídne také možnost filtrace a uložení na disk. Dle plánu by měl Firefox 53 vyjít 18. 4. 2017.

Ladislav Hagara | Komentářů: 0
dnes 11:00 | Komunita

Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už zítra 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.

xkucf03 | Komentářů: 0
včera 21:55 | Komunita

Nadace pro svobodný software (FSF) oznámila aktualizaci seznamu prioritních oblastí (changelog), na které by se měli vývojáři a příznivci svobodného softwaru zaměřit. Jsou to například svobodný operační systém pro chytré telefony, hlasová a video komunikace nebo softwarový inteligentní osobní asistent.

Ladislav Hagara | Komentářů: 10
včera 16:44 | Nová verze

Byla vydána verze 2.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu.

Ladislav Hagara | Komentářů: 0
včera 15:33 | Komunita

V australském Hobartu probíhá tento týden konference linux.conf.au 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0
včera 10:20 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje bitmapovým (rastrovým) grafickým editorům ve Fedoře. V prvním dílu se věnuje editorům MyPaint, MtPaint, Pinta, XPaint, Krita a GIMP. V pokračování pak editorům GNU Paint (gpaint), GrafX2, KolourPaint, KIconEdit a Tux Paint.

Ladislav Hagara | Komentářů: 1
16.1. 17:11 | Komunita

Byl proveden bezpečnostní audit svobodného IMAP a POP3 serveru Dovecot (Wikipedie). Audit byl zaplacen z programu Mozilla Secure Open Source a provedla jej společnost Cure53. Společnost Cure53 byla velice spokojena s kvalitou zdrojových kódu. V závěrečné zprávě (pdf) jsou zmíněny pouze 3 drobné a v upstreamu již opravené bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
16.1. 15:30 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi Compute Module 3 (CM3 a CM3L), tj. zmenšené Raspberry Pi vhodné nejenom pro průmyslové využití. Jedná se o nástupce Raspberry Pi Compute Module (CM1) představeného v dubnu 2014. Nový CM3 vychází z Raspberry Pi 3 a má tedy dvakrát více paměti a desetkrát větší výkon než CM1. Verze CM3L (Lite) je dodávána bez 4 GB eMMC flash paměti. Uživatel si může připojit svou vlastní. Představena byla

… více »
Ladislav Hagara | Komentářů: 2
16.1. 01:23 | Nová verze

Oficiálně bylo oznámeno vydání verze 3.0 multiplatformního balíku svobodných kancelářských a grafických aplikací Calligra (Wikipedie). Větev 3 je postavena na KDE Frameworks 5 a Qt 5. Krita se osamostatnila. Z balíku byly dále odstraněny aplikace Author, Brainstorm, Flow a Stage. U Flow a Stage se předpokládá jejich návrat v některé z budoucích verzí Calligry.

Ladislav Hagara | Komentářů: 7
15.1. 15:25 | Nová verze

Bylo oznámeno vydání první RC (release candidate) verze instalátoru pro Debian 9 s kódovým názvem Stretch. Odloženo bylo sloučení /usr jako výchozí nastavení v debootstrap. Vydán byl také Debian 8.7, tj. sedmá opravná verze Debianu 8 s kódovým názvem Jessie.

Ladislav Hagara | Komentářů: 6
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (3%)
 (75%)
 (3%)
 (10%)
Celkem 314 hlasů
 Komentářů: 24, poslední včera 10:14
    Rozcestník
    Reklama

    Dotaz: 2 ISP, routovani a prikaz ip route

    24.6.2009 08:48 chinook | skóre: 25
    2 ISP, routovani a prikaz ip route
    Přečteno: 2910×
    mam fw ke kteremu jsou pripojeni dva ISP. Za FW je asi 100PC. Vsechny PC chodi pres linku eth0 (radio). Jen z FW se chodi na internet pres linku eth1 (O2). Je to kvuli poste, kterou FW prijima i odesila a ja nechci druhou linku zatezovat, protoze na postu nespecham. Bohuzel na FW bezi i proxy a openVpn a tyto 2 sluzby bych chtel rozbehat prave na druhe lince. Jde nejak predelat routovaci tabulka ci nejak tento tok rozeznat a zprovoznit na druhe lince? Ted to funguje tak, ze se k dane sluzbe pripojim pres linku eth0 (radio) a vrati se mne to z linky eth1 (O2), protoze to je default gw na FW.
    ip route show 85.x.x.x/29 dev eth0 scope link src 85.x.x.x 10.0.0.0/24 dev eth1 scope link src 10.0.0.1 192.168.120.0/24 dev eth2 proto kernel scope link src 192.168.120.254 169.254.0.0/16 dev eth2 scope link default via 10.0.0.138 dev eth1
    ip rule show 0: from all lookup 255 32706: from 10.0.0.1 lookup o2 32707: from 85.x.x.x lookup radio 32708: from all fwmark 0x65 lookup o2 32709: from all fwmark 0x66 lookup radio 32766: from all lookup main 32767: from all lookup default

    Odpovědi

    24.6.2009 09:01 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Stačí OpenVPN a proxy nastavit, aby jako jako IP adresy pro odchozí komunikaci používaly IP adresu z rozsahu toho druhého spojení. Pokud by to ty programy neumožňovaly, pak tu odchozí IP adresu změňte přes SNAT v iptables. ip rule k tomu vůbec nepotřebujete (stačí výchozí nastavení, kdy se podle odchozí IP adresy vybere příslušné rozhraní – aspoň doufám, že je to výchozí nastavení). Směřování downoladu (který je hlavně u proxy důležitější) ovlivníte právě přes odchozí IP adresu. Navíc by ISP mohl blokovat komunikaci, pokud by zdrojová IP adresa z vaší sítě nepatřila do rozsahu, který vám přidělil.
    24.6.2009 10:25 chinook | skóre: 25
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Abych rekl pravdu, tak to moc nechapu. Bud nerozumim routovani nebo Vam. Nikde jsem nenasel jak muzu nastavit odchozi rozhrani ani na OpenVpn ani u Proxy. Neni to tak, ze vzdy z fw odejde paket pres defaultni gateway? A jak jde SNATovat OUTPUT? Jinak diky za radu, ohledne maskarady. Nenapadlo me resit odchozi trafik maskaradou. Ip route resi tez jen odchozi trafik.
    24.6.2009 11:16 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Bud nerozumim routovani nebo Vam. Nikde jsem nenasel jak muzu nastavit odchozi rozhrani ani na OpenVpn ani u Proxy.
    Ne odchozí rozhraní, ale odchozí IP adresu. Nevím, co konkrétně máte za proxy server, ale třeba pro Squid se to nastavuje parametrem tcp_outgoing_address.
    Neni to tak, ze vzdy z fw odejde paket pres defaultni gateway?
    Firewall s routováním nesouvisí. Nejprve (před routováním) se aplikují některá pravidla firewallu (překvapivě ta v řetězci PREROUTING tabulky nat a dále OUTPUT ze stejné tabulky), pak se podle routovacích tabulek rozhodne o routování, pak se aplikují ostatní pravidla firewallu a nakonec se aplikuje POSTROUTING z natu. Při routování se nejprve podle pravidel vybere příslušná routovací tabulka a následně se v této tabulce vyhledá odpovídající záznam. Nevím teď z hlavy, zda je výchozí nastavení takové, aby se při routování bral ohled na zdrojovou IP adresu, ale i pokud není, je jednoduché podle zdrojové IP adresy vybrat správnou tabulku, která bude mít nastavenu požadovanou výchozí bránu.
    A jak jde SNATovat OUTPUT?
    Nejde, máte pravdu. Muselo by se to udělat pomocí pravidle ip rule. Pokud nemůžete nastavit adresu odchozích spojení, je potřeba si spojení pomocí iptables značkovat a pak podle značek pomocí ip rule vybírat správnou routovací tabulku (a také udělat onen nat, pokud chcete, aby se stejným spojem vracely také odpovědi).
    Ip route resi tez jen odchozi trafik.
    Jistě, ale podle zdrojové IP adresy se určí, kudy se budou vracet odpovědi (které budou směrované právě na tuto adresu a tedy půjdou přes toho ISP, který tuto IP adresu routuje k vám).
    24.6.2009 15:33 chinook | skóre: 25
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Ne odchozí rozhraní, ale odchozí IP adresu.
    Mne ani tak nejde o to, aby neco odchazelo pres tu nebo onu IP, ale jde mne prave o to, aby neco slo pres to rozhrani a neco pres druhe. Protoze to jedno je neklokanasobne rychlejsi.
    Je jednoduché podle zdrojové IP adresy vybrat správnou tabulku, která bude mít nastavenu požadovanou výchozí bránu.
    Kdyz se na to OpenVpn ci proxy pripojim nekde z internetu jak urcim ten tok aby sel pres to rozhrani pres ktere chci? Ja mam problem, ze se pripojuju na rozhrani eth0, ale zpatky se mne to vraci z rozhrani eth1. Ja chci aby to prislo zpet z toho eth0.
    24.6.2009 15:39 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Mne ani tak nejde o to, aby neco odchazelo pres tu nebo onu IP, ale jde mne prave o to, aby neco slo pres to rozhrani a neco pres druhe. Protoze to jedno je neklokanasobne rychlejsi.
    Odchozí IP adresa ale určuje, přes které rozhraní se vrátí odpověď. Pokud je u OpenVPN poměr upload/download zhruba stejný, nebo je upload vyšší, je to jedno. Ale proxy je předpokládám web proxy, takže tam bude převažovat download, a pak potřebujete řídit hlavně tu odchozí IP adresu – asi by bylo k ničemu posílat požadavky přes rychlý upload a stahovat pomalým downloadem.

    Druhá věc je, jak už jsem psal, že ISP může blokovat provoz s odchozími IP adresami, které nepatří do rozsahu, který vám přidělil. Dokonce by to měl dělat, protože jinak klidně můžete z jeho sítě dělat ICMP nebo UDP útoky pod falešnou identitou (pod cizí IP adresou).
    Kdyz se na to OpenVpn ci proxy pripojim nekde z internetu jak urcim ten tok aby sel pres to rozhrani pres ktere chci? Ja mam problem, ze se pripojuju na rozhrani eth0, ale zpatky se mne to vraci z rozhrani eth1. Ja chci aby to prislo zpet z toho eth0.
    Pokud se připojujete z internetu, určíte to tím, na kterou IP adresu se připojíte. Pokud odpověď jde přes rozhraní druhého ISP, než ke kterému patří IP adresa, je to špatně (a jak jsem popsal výše, ISP by vám to ve vlastním zájmu neměl povolit). Pak musíte nastavit pravidla routování tak, aby se podle zdrojové IP adresy vybrala správná routovací tabulka.
    24.6.2009 16:18 chinook | skóre: 25
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    linka pres kterou to jde standardne z fw je nesymetrycka. Pres tu chodi posta i se vybira. linku pres kterou chci jit ja je symetricka. Na te se chci z internetu pripojovat na proxy a openvpn.
    Pokud se připojujete z internetu, určíte to tím, na kterou IP adresu se připojíte. Pokud odpověď jde přes rozhraní druhého ISP, než ke kterému patří IP adresa, je to špatně (a jak jsem popsal výše, ISP by vám to ve vlastním zájmu neměl povolit). Pak musíte nastavit pravidla routování tak, aby se podle zdrojové IP adresy vybrala správná routovací tabulka.
    ISP to nejspis povoli protoze ke mne to vzdy prijde po druhe lince nez na kterou to posilam. Zkus naznacit pls jak to nastavit, aby kdyz prijde dotaz na jedno rozhrani aby se to z nej i vratilo. Ted to takto funguje jen na jednom. diky a zaroven aby jel i na FW internet.
    24.6.2009 16:43 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Podle mne by mělo stačit
    ip rule add from rozsah_O2 table o2
    ip rule add from rozsah_radio table radio
    
    24.6.2009 16:59 chinook | skóre: 25
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    zitra to vyzkousim. Dnes u toho stroje nejsem a nerad bych se odrizl. Ale podle me pokud tam nebude default GW nepojede internet z FW. Jinde nejspis jo. A pokud tam zase ta GW bude, bude to z FW chodit pres ni. Aspon ted se zda, ze se to tak chova. Mam to nastavene takto:
    
    ip route add 10.0.0.0/24 dev eth1 src 10.0.0.1 table o2
    ip route add default via 10.0.0.138 table o2
    
    ip route add x.x.x.x/29 dev eth0 src x.x.x.x table radio
    ip route add default via x.x.x.x table radio
    
    ip route add 10.0.0.0/24 dev eth1 src 10.0.0.1
    ip route add x.x.x.x/29 dev eth0 src 85.207.156.98
    ip route add default via 10.0.0.138
    
    ip rule add fwmark 0x66 table radio
    ip rule add fwmark 0x65 table o2
    
    ip rule add from x.x.x.x table radio
    ip rule add from 10.0.0.1 table o2
    
    24.6.2009 17:05 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Samozřejmě předpokládám, že v těch tabulkách je příslušná výchozí brána, a že je i v hlavní tabulce (pro provoz, který nevyhoví žádnému pravidlu).
    24.6.2009 19:20 JF | skóre: 23
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route

    Mam obdobnou konfiguraci (2 ISP) ale jen pro 4 lidi.

    Default GW musis do obou tabulek dat. Jinak ti pakety neodejdou. Dulezita je predchozi klasifikace paketu, ktere pakety odesles do ktere tabulky. A ta musi byt konzistentni.

    Podle me to mas chybne, prootoze kdyz se paket neklasifikuje ani do "o2" ani do "radio" tak spadne do implicitni tabulky "default", kterou vubec nemas naplnenou.

    A pokud jsi to pastnul, tak je tento prikaz take blbe:

       ip rule add from x.x.x.x table radio
    asi jsi tam chtel zadat

    x.x.x.x/29

    Doporucuji si vyklasifikovat kyslik a vse ostatni soupnout do radia. Tohle neni default routa, to je pouze default tabulka. Nesmi se mi stat aby nejaky paket nevedel do jake tabulky patri.

    #Vsechny kyslikaty pravidla:
    ip rule add fwmark 0x65 table o2
    ip rule add from 10.0.0.1 table o2
     

    #zbytek sypu do radia
    ip rule add from default table radio 

    A i tohle je pravdepodobne spatne, protoze myslis pri komunikaci s 10.0.0.1 pouze na jeden smer. Je potreba znat kompletne topologii, aby se dalo poznat, co se kam ma routovat.

    2.7.2009 21:44 chinook | skóre: 25
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Tak konecne jsem se k tomu dostal, ale nepodarilo se mne to nastavit. Vzdy kdyz se pripojim na FW (je jedno jestli na O2 nebo RADIO), tak se mne to vraci pres default GW coz je O2. na prikaz:
    ip rule add from default table radio to vraci: RTNETLINK answers: Numerical result out of range
    topologie site je:
    
    eth0(ISP RADIO)(IP 85.x.x.98)(GW 85.x.x.97) 
    eth1(ISP O2)(IP 10.0.0.1)(GW 10.0.0.138)
    eth2(NAT)(IP 192.168.1.254)
    
    Doufam, ze to jde pochopit

    vsechny rozhrani jsou na FW. Se zmenou odchoziho rozhrani neni problem na zadnem stroji krome FW. Co delam spatne?
    2.7.2009 22:19 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Co to znamená "připojit se na FW"? TCP spojení, a na kterou z IP adresu brány?
    3.7.2009 07:59 chinook | skóre: 25
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Potrebuju se pripojit na tuto IP 85.x.x.98 pres OpenVPN. Protokol mne je celkem jedno, muze to byt UDP nebo TCP. Bohuzel se mne to vraci z druhe IP. Ja potrebuju, aby cely spoj sel pres IP 85.x.x.98.
    3.7.2009 10:57 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Pokud se připojujete protokolem TCP/IP na IP adresu 85.x.x.98, musí z té samé adresy přijít i odpověď. Kdyby přišla z jiné, nespáruje se to jako jedno spojení a počítač navazující spojení paket s odpovědí zahodí.

    Nějak se přestávám orientovat v tom, jak vlastně ta vaše síť vypadá a co dělá router. Asi by bylo rozumné sem vložit nějaké schémátko sítě, výpis celého firewallu (hlavně NAT) a výpis všech routovacích tabulek a routovacích pravidel. A pak také výpis z tcpdumpu, když se pokusíte připojit z venku na nějakou adresu té brány, jak vypadá příchozí paket (zdrojová a cílová IP adresa), přes které rozhraní přijde, a jak vypadá a kudy odejde odchozí paket.
    3.7.2009 15:06 chinook | skóre: 25
    Rozbalit Rozbalit vše Re: 2 ISP, routovani a prikaz ip route
    Tak jste mel pravdu. Opravdu to normalne chodi pres to rozhrani na ktere to prijde. Chyba byla v konfiguraci OpenVpn. Nemel jsem zadano na kterem rozhrani to ma naslouchat. A klient hlasil chybu, vzdy kdy jsem se pripojil na rozhrani 85.X.X.X, tak ze rozhrani 80.X.X.X to zamitl (uz nevim presne, ale vypadalo to jako by se to vracelo z druhe linky. Az tcpdump to odhalil, ze se to vraci z te stejne. Omlouvam se za zdrzovani. I tak jste mne hodne pomohli.

    Diky

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.