abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 17:55 | Nová verze

Bylo oznámeno vydání nové verze 3.0.0 a krátce na to opravných verzí 3.0.1 a 3.0.2 nástroje mitmproxy určeného pro vytváření interaktivních MITM proxy pro HTTP a HTTPS komunikaci. Přehled novinek v příspěvku na blogu. Přispělo 56 vývojářů. Aktualizována byla také dokumentace [Hacker News].

Ladislav Hagara | Komentářů: 0
dnes 01:11 | Nová verze

Byla vydána nová major verze 3.0 svobodného multiplatformního geografického informačního systému QGIS (Wikipedie). Její kódové jméno je Girona, dle názvu města, ve kterém proběhlo 15. setkání vývojářů QGISu. Přehled novinek i s náhledy a animacemi v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 20:33 | Zajímavý článek

Nadace Raspberry Pi vydala sedmašedesáté číslo (pdf) anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a čtvrté číslo (pdf) časopisu pro kutily HackSpace věnovanému navíc 3D tisku, pájení, řezání nebo i elektronice a IoT.

Ladislav Hagara | Komentářů: 0
včera 18:33 | Komunita

Morevna Project, který stojí za řadou svobodného softwaru pro animátory (např. Synfig Studio, RenderChan nebo Papagayo-NG) a svobodnými (CC-BY-SA) animovanými filmy/komiksy Morevna (3. díl) a Pepper&Carrot: The Potion Contest (6. díl), sbírá do 1. března příspěvky na 4. díl svého animovaného filmu Morevna. Mezi odměnami přispěvatelům lze najít např. i videokurzy animace v Synfigu či Blenderu.

xHire | Komentářů: 0
včera 12:22 | Bezpečnostní upozornění

Ve středu vydaná "npm@next" verze 5.7.0 správce balíčků pro JavaScript npm (Wikipedie, Node Package Manager) přinesla řadě uživatelů Linuxu nečekanou nepříjemnost. V závislosti na způsobu instalace a ve spojení s příkazem sudo mohlo dojít ke změně vlastníka u systémových souborů, také například /. Chyba je opravena v před několika hodinami vydané verzi npm 5.7.1 [reddit].

Ladislav Hagara | Komentářů: 10
včera 10:00 | Nová verze

Byla vydána verze 10.5 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu. Zdůraznit lze integrovanou podporu Let's Encrypt.

Ladislav Hagara | Komentářů: 0
22.2. 12:33 | Komunita

Příspěvek na blogu Signalu (Wikipedie) informuje o založení neziskové nadace Signal Foundation, jež bude zastřešovat další vývoj tohoto svobodného bezpečného komunikátoru běžícího také na Linuxu (Signal Desktop). Brian Acton, spoluzakladatel WhatsAppu, věnoval nadaci 50 milionů dolarů [Hacker News].

Ladislav Hagara | Komentářů: 1
22.2. 05:55 | Zajímavý článek

Článek na Fedora Magazine krátce představuje programovací jazyk Rust a několik zajímavých v Rustu naprogramovaných terminálových aplikací. Jedná se o alternativu k příkazu grep ripgrep, moderní barevnou alternativu k příkazu ls exa, příkazem cloc inspirovaný tokei a zvířátko v terminálu ternimal.

Ladislav Hagara | Komentářů: 0
21.2. 23:55 | Zajímavý projekt

Byl spuštěn Humble Classics Return Bundle. Za vlastní cenu lze koupit hry Broken Sword 5 - The Serpent's Curse, Shadowrun Returns a Shadowrun: Dragonfall - Director's Cut. Při nadprůměrné platbě (aktuálně 8,48 $) také Shadowrun: Hong Kong - Extended Edition, Wasteland 2: Director's Cut - Standard Edition, Age of Wonders III a Xenonauts. Při platbě 15 $ a více lze získat navíc Torment: Tides of Numenera a Dreamfall Chapters: The Final Cut Edition.

Ladislav Hagara | Komentářů: 0
21.2. 00:11 | Bezpečnostní upozornění

Vývojáři linuxové distribuce Mageia na svém blogu upozorňují na narušení bezpečnosti Mageia Identity. Narušitel získal přístup k LDAP databázi a zveřejnil jména uživatelů, jejich emailové adresy a haše hesel. Hesla uživatelů byla resetována.

Ladislav Hagara | Komentářů: 3
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (0%)
 (1%)
 (1%)
Celkem 445 hlasů
 Komentářů: 35, poslední 21.2. 19:51
    Rozcestník

    Dotaz: IP Tables pomoc...

    18.3.2011 17:09 Tomas B
    IP Tables pomoc...
    Přečteno: 428×
    Dobry den odbornici,

    potrebujem pomoct s mojim problemom ohladom prikazov iptables. Tu je popis:

    1.2.3.4 - server1

    2.3.4.5 - server2

    Na serveri 1 bezi aplikacia na ktoru sa pripajaju klienti prostrednictvom servera2. Na nom mam nastavene iptables tak aby redirectoval komunikaciu na server1.

    iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 1.2.3.4:10000-20000

    problem je v tom ze na serveri1 potrebujem vidiet originalnu IP adresu pripajajucich sa klientov ale vidim iba IP adresu servera2.

    To co chcem docielit je ochrana IP adresy servera1. Mozno na to idem uplne zle, preto Vas, odbornikov ziadam aby ste sa mi na to pozreli a poradili mi ako na to.

    Dakujem

    Řešení dotazu:


    Odpovědi

    18.3.2011 18:00 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Uvedeným příkazem komunikaci nikam nepřesměrováváte, ale jako zdrojovou IP adresu uvádíte adresu 1.2.3.4. Tohle pravidlo vůbec neodpovídá tomu, co jste popsal v dotazu – pokud byste měl na firewallu serveru2 tohle pravidlo a uplatňovalo se, komunikace určitě nebude fungovat.

    Nevím, čemu říkáte „ochrana IP adresy“. Nejlepší by bylo, aby klienti komunikovali přímo se serverem1, není důvod dávat tam nějaký mezikrok s přepisem adres.
    18.3.2011 19:39 Tomas B
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Dakujem za rychlu odpoved,

    viem ze prikaz nie je taky aky potrebujem preto Vas tu ziadam o pomoc. Nechcem aby klienti komunikovali priamo so serverom1 ale tak ako som popisal v uvode. Mozno uplatnenie prikazov iptables nie je vhodne pre to, co ja potrebujem.

    Proste chcem aby klienti videli iba server2 a cela komunikacia by bola presmerovana na server1 tak aby server1 videl originalnu IP adresu klienta.

    O dovodoch sa tu zmienovat nechcem ale je jasne ze to je kvoli bezpecnosti serveru.

    Dakujem za odpovede

    Tomas
    18.3.2011 19:49 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Když nevíme, jak ta síť vypadá a proč to tak má být nastavené, těžko vám můžeme poradit něco, co bude fungovat. Podle mne je nejjednodušší v klientech nastavit přímo IP adresu (resp. odpovídající DNS název) serveru, a pokud chcete server nějak síťově chránit, dejte před něj firewall.
    18.3.2011 22:25 Tomas B
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    ved mate vsetky potrebne informacie ktore je treba - oba servery su ubuntu 10.10, a preco to tak chcem mat nastavene to vam tu skutocne nechcem vysvetlovat. mozno je lepsie povedat "neviem" ako menit moj model na vas model ktory je pre mna ale nevyhovujuci.
    cynic_asshole avatar 18.3.2011 23:21 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    IMO není možné. Klient bude komunikovat se server2, ale zpět k němu přijdou data z server1. Jenže klient navazoval spojení se server2 a tak příchozí data ze server1 zahodí (asymetrický routing). Tobě by mohla pomoct snad aplikační proxy, která by aplikaci na server1 předávala nějakým způsobem i klientskou adresu (obdoba hlavičky X-Forwarded-For z http proxy serveru)
    Neznáš nějakou linuxovou distribuci pro Windows?
    19.3.2011 00:04 MMichal | skóre: 22
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    A kdyby server1 mel nastavenou default GW na server2, nebo pripadne staticky routing dle IP adres/rozsahu klientu skrze server2, tak server2 by pak mohl delat nejen DNAT pri ceste klient->server, ale i SNAT pri ceste zpet. Neco podobneho kolega implementuje pomoci F5-ky.

    Jeste me napada, ze by mohl server1 delat SNAT pro odchozi na dane klienty (ale to asi neni uplne OK)

    Michal
    cynic_asshole avatar 19.3.2011 00:56 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Co ty F5 vlastně všechno umí? Já mám akorát školení na loadbalancing.
    Neznáš nějakou linuxovou distribuci pro Windows?
    19.3.2011 01:09 MMichal | skóre: 22
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Ja bohuzel F5 moc neznam. Tohle vychazelo z pozadavku zakaznika, ze chteji v logach na web serverech (umistenych za F5) videt zdrojovou adresu WWW klienta (nikoliv odchozi adresu F5).
    pavlix avatar 20.3.2011 02:47 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Není problém dělat DNAT i SNAT pro stejné pakety, pokud si pomůžeš značkováním.

    Stejně tak není problém z inetd pustit netcat, který pak funguje jako univerzální tcp nebo udp proxy.

    Obojí funguje.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    19.3.2011 00:41 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IP Tables pomoc...

    Pokud opravdu chcete užitečnou odpověď, tak místo podobných podrážděných reakcí raději pořádně popište situaci a to, čeho chcete docílit. Bez toho musejí potenciální odpovídající místo řešení vašeho problému naslepo hádat, co jste asi tak mohl mít na mysli.

    Také si uvědomte, že tohle není placený support ale veřejné fórum, kde lidé odpovídají z dobré vůle. Takže je naprosto v pořádku, když na otázku "Jak udělat X?" dostanete odpověď "X nedělejte."

    19.3.2011 11:47 Tomas B
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Dakujem vsetkym za odpovede. Myslim ze som svoj problem uz vyssie popisal, ale skusim to este raz.

    na serveri (server1) mi bezi aplikacia na ktoru sa pripajaju klienti. server musi vidiet IP adresu klienta nakolko im na zaklade tejto adresu zadava prava. to je implementovane v samotnej aplikacii.

    To co ja chcem docielit je, aby klienti nevideli IP adresu servera, preto som dal medzi server a klienta iny server (server2) ktory bude sluzit iba ako fake IP. Ci to budem robit prostrednictvom proxy, redirect,firewallu alebo vpn by som chcel pocut od vas, odbornikov. tento model nemozem zmenit z bezpecnostneho hladiska, musi fungovat tak ako som tu popisal.

    nechcem aby klient komunikoval so serverom2 a dostaval odpoved od servera1 ako to tu niekto napisal. ja chcem aby klient komunikoval a dostaval odpovede iba od servera2 a ten musi but prepojeny so serverom1. cele mi to funguje tak ako som to tu popisal pomocou prikazov iptables ale jediny problem je v tej originalnej IP adrese klieta ako som uz pisal vyssie.

    Dakujem za postrehy
    19.3.2011 12:25 camel1cz | skóre: 24
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Pokud mi něco uniká, tak se omlouvám, ale vidím následující požadavky:
    • aplikační server není přímo vidět pro klienty
    • aplikační server musí znát zdrojové IP klientů
    tak
    • zapomněl bych na 2 linuxové boxy a koupil jednoúčelový firewall (typ záleží na aplikaci a její důležitosti)
    • aplikační server bych nakonfiguroval s IP v interním rozsahu
    • firewall bych nastavil tak, aby forwardoval povolenou komunikaci na interní IP aplikačního serveru
    • administrace aplikačního serveru může být řešena stejně jako přístupy klientů (+ např. restrikce IP)
    Samozřejmě se to dá vylepšovat dle přesnějších požadavků, ale tohle je jako jádro OK. "Ušetřený" stroj můžete použít na HA řešení :-)
    19.3.2011 12:43 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IP Tables pomoc...

    Pokud je server2 opravdu mezi klienty a server1, pak bude stačit prostý překlad cílové adresy:

      iptables -t nat -A PREROUTING -i $EXTIF -d $server2 -p tcp --dport 80 -j DNAT --to $server1
    

    Protože mám ale podezření, že ve skutečnosti je vaše situace trochu jiná než popisujete, raději si přečtěte tento popis.

    Podle míry očekávaného odstínění (a zásahu do komunikace) jsou pak další možností i rinetd nebo squid.

    19.3.2011 13:13 Tomas B
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Dakujem za radu, idem to vyskusat a dam vediet ako to dopadlo
    19.3.2011 13:25 Cuda
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    plně souhlasím, že dle popisu to vypadá na klasický forward. já to mám na OpenWrt WhiteRussian v /etc/firewall.user něco takového:

    iptables -t nat -A prerouting_wan -p tcp --dport 20001 -j DNAT --to 192.168.7.223:80

    iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.7.223 -j ACCEPT

    a funguje to dobře. Ale co vidí končený server za ipadresu nevím, jelikož to k ničemu nepotřebuju
    19.3.2011 13:27 Cuda
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    pokud nejste ten stejný člověk, který se tu ptal na proxy s openwrt, tak to berte jako nepředmětné, ale nějako mi přijde, že to je hodně podobný dotaz :-), i když je jiný nick.
    19.3.2011 13:51 Tomas B
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    pri tomto nastaveni stale nevidim IP adresu klienta
    19.3.2011 13:57 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    V tom případě máte v NATu nastavené ještě něco dalšího, protože tenhle příkaz zdrojovou IP adresu nemění. Kdybyste nám to prozradil, bylo by to mnohem jednodušší, než když po nás chcete, abychom to uhodli.
    19.3.2011 17:25 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Podstatné informace stále zarputile tajíte, tak nezbývá než hádat… Příliš obecné pravidlo pro maškarádu?
    pavlix avatar 20.3.2011 02:54 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Doplním Michala...

    Pravděpodobně se snažíte o něco, co TCP/IP síť neumí.

    Pokud půjde paket od klienta na server2, klient očekává odpověď od server2. Pokud server2 přepošle jeho požadavek server1, odpoví klientovi server1. Klient takovou odpověď zahodí.

    Teď mě napadlo, že by toto šlo napravit na iptables u klienta dalším přepisem adresy.

    Ale mám za to, že celá tahle šaškárna je úplně k ničemu.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    19.3.2011 13:59 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Odpověď vzhledem k informacím, které jste nám zatím dal, už jsem vám napsal dvakrát – v klientech nastavit IP adresu serveru, kde běží aplikace, mezi klienty a server dát firewall.
    19.3.2011 16:40 Tomas B
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Příloha:
    pre lepsie pochopenie som nakreslil obrazok zapojenia.

    tak keby Vas nieco napadlo tak cakam na napady.

    Dakujem vsetkym
    19.3.2011 17:31 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: IP Tables pomoc...

    Tohle má být použitelný popis situace? Jednak tam máte vymyšlené adresy, takže se můžeme jen dohadovat, jestli jsou adresy "1.1.1.1" a "2.2.2.2" opravdu obě veřejné nebo jestli třeba jedna není z privátního rozsahu nebo také jestli nejsou privátní obě, dokonce je tu pořád ještě možnost, že jsou ve skutečnosti ze stejného rozsahu a týká se vás situace řešená ve zmíněném FAQ. Za druhé ten obrázek vypadá, jako by měl router čtyři rozhraní, zatímco ve skutečnosti má nejspíš jen dvě, adresa "2.2.2.2" je napsaná u dolního rozhraní, zatímco ve skutečnosti ji nejspíš máte na horním…

    Dost by také pomohl výpis "iptables -nvL" a "iptables -t nat -nvL", ale pokud možno skutečný, ne v zájmu národní bezpečnosti náhodně popřepisovaný.

    19.3.2011 21:13 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Stále platí to, co už jsem napsal několikrát – na klientech nastavit IP adresu serveru na 1.1.1.1, na 2.2.2.2 nastavit firewall. Routování v té síti máte předpokládám nastavené správně.
    pavlix avatar 20.3.2011 02:44 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    ved mate vsetky potrebne informacie ktore je treba - oba servery su ubuntu 10.10, a preco to tak chcem mat nastavene to vam tu skutocne nechcem vysvetlovat. mozno je lepsie povedat "neviem" ako menit moj model na vas model ktory je pre mna ale nevyhovujuci.
    Tomáši, tady jste na bezplatné poradně.

    Možná je lepší se tady neptat, pokud nechcete dostávat odpovědi s jinými návrhy, jako od pana Jirsáka.

    Lidi tady vám budou radit řešení, která jsou z jejich pohledu nejlepší. Já se taky hlásím za skutečnou ochranu daného serveru radši než nějaké obezličky.

    A jinak taky existuje příkaz man, kterému dáte jako parametr iptables, a on vám zobrazí celý detailní manuál.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    22.3.2011 20:46 Tom
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Tazateli bych nejprve doporucil mit prehled o tom co se mu v siti hybe jak se mu tam muze co hybat(komunikovat, prenos dat). Pote by bodlo kdyby bud si nasel nekoho komu bude duverovat a s jeho dohledem bez psani hesel v pritomnosti tohoto odbornika ho necha vyresit problem.

    Kombinace obycejneho IT uzivatele snaziciho se pracovat na funkci IT admina bez prehledu a znalosti je krute postavena na hlavu.
    pavlix avatar 25.3.2011 12:21 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Tak za to bych se postavil taky. Je spousta docela šikovných síťařů, třeba i studentů, kteří by se takové brigádky rádi ujali. A je dost pravděpodobné, že dotyčný někoho takového mezi svými známými má.

    Tady je ale trochu jiný problém... rozumný člověk, když po někomu chce podobnou práci, tak se s ním nejdříve poradí, jak by se to mělo dělat... a ne že nejdřív rozhodne o detailech a pak hledá, jak jich docílit.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    19.3.2011 17:37 NN
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    Na VPS si povol FORWARDING pro konkretni porty..

    NN

    19.3.2011 17:39 NN
    Rozbalit Rozbalit vše Re: IP Tables pomoc...
    a dej to pred NAT jestli na VPS nejaky mas..

    NN

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.