abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 810 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: IP Tables pomoc...

18.3.2011 17:09 Tomas B
IP Tables pomoc...
Přečteno: 424×
Dobry den odbornici,

potrebujem pomoct s mojim problemom ohladom prikazov iptables. Tu je popis:

1.2.3.4 - server1

2.3.4.5 - server2

Na serveri 1 bezi aplikacia na ktoru sa pripajaju klienti prostrednictvom servera2. Na nom mam nastavene iptables tak aby redirectoval komunikaciu na server1.

iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 1.2.3.4:10000-20000

problem je v tom ze na serveri1 potrebujem vidiet originalnu IP adresu pripajajucich sa klientov ale vidim iba IP adresu servera2.

To co chcem docielit je ochrana IP adresy servera1. Mozno na to idem uplne zle, preto Vas, odbornikov ziadam aby ste sa mi na to pozreli a poradili mi ako na to.

Dakujem

Řešení dotazu:


Odpovědi

18.3.2011 18:00 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Uvedeným příkazem komunikaci nikam nepřesměrováváte, ale jako zdrojovou IP adresu uvádíte adresu 1.2.3.4. Tohle pravidlo vůbec neodpovídá tomu, co jste popsal v dotazu – pokud byste měl na firewallu serveru2 tohle pravidlo a uplatňovalo se, komunikace určitě nebude fungovat.

Nevím, čemu říkáte „ochrana IP adresy“. Nejlepší by bylo, aby klienti komunikovali přímo se serverem1, není důvod dávat tam nějaký mezikrok s přepisem adres.
18.3.2011 19:39 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Dakujem za rychlu odpoved,

viem ze prikaz nie je taky aky potrebujem preto Vas tu ziadam o pomoc. Nechcem aby klienti komunikovali priamo so serverom1 ale tak ako som popisal v uvode. Mozno uplatnenie prikazov iptables nie je vhodne pre to, co ja potrebujem.

Proste chcem aby klienti videli iba server2 a cela komunikacia by bola presmerovana na server1 tak aby server1 videl originalnu IP adresu klienta.

O dovodoch sa tu zmienovat nechcem ale je jasne ze to je kvoli bezpecnosti serveru.

Dakujem za odpovede

Tomas
18.3.2011 19:49 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Když nevíme, jak ta síť vypadá a proč to tak má být nastavené, těžko vám můžeme poradit něco, co bude fungovat. Podle mne je nejjednodušší v klientech nastavit přímo IP adresu (resp. odpovídající DNS název) serveru, a pokud chcete server nějak síťově chránit, dejte před něj firewall.
18.3.2011 22:25 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
ved mate vsetky potrebne informacie ktore je treba - oba servery su ubuntu 10.10, a preco to tak chcem mat nastavene to vam tu skutocne nechcem vysvetlovat. mozno je lepsie povedat "neviem" ako menit moj model na vas model ktory je pre mna ale nevyhovujuci.
cynic_asshole avatar 18.3.2011 23:21 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: IP Tables pomoc...
IMO není možné. Klient bude komunikovat se server2, ale zpět k němu přijdou data z server1. Jenže klient navazoval spojení se server2 a tak příchozí data ze server1 zahodí (asymetrický routing). Tobě by mohla pomoct snad aplikační proxy, která by aplikaci na server1 předávala nějakým způsobem i klientskou adresu (obdoba hlavičky X-Forwarded-For z http proxy serveru)
Neznáš nějakou linuxovou distribuci pro Windows?
19.3.2011 00:04 MMichal | skóre: 22
Rozbalit Rozbalit vše Re: IP Tables pomoc...
A kdyby server1 mel nastavenou default GW na server2, nebo pripadne staticky routing dle IP adres/rozsahu klientu skrze server2, tak server2 by pak mohl delat nejen DNAT pri ceste klient->server, ale i SNAT pri ceste zpet. Neco podobneho kolega implementuje pomoci F5-ky.

Jeste me napada, ze by mohl server1 delat SNAT pro odchozi na dane klienty (ale to asi neni uplne OK)

Michal
cynic_asshole avatar 19.3.2011 00:56 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Co ty F5 vlastně všechno umí? Já mám akorát školení na loadbalancing.
Neznáš nějakou linuxovou distribuci pro Windows?
19.3.2011 01:09 MMichal | skóre: 22
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Ja bohuzel F5 moc neznam. Tohle vychazelo z pozadavku zakaznika, ze chteji v logach na web serverech (umistenych za F5) videt zdrojovou adresu WWW klienta (nikoliv odchozi adresu F5).
pavlix avatar 20.3.2011 02:47 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Není problém dělat DNAT i SNAT pro stejné pakety, pokud si pomůžeš značkováním.

Stejně tak není problém z inetd pustit netcat, který pak funguje jako univerzální tcp nebo udp proxy.

Obojí funguje.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
19.3.2011 00:41 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...

Pokud opravdu chcete užitečnou odpověď, tak místo podobných podrážděných reakcí raději pořádně popište situaci a to, čeho chcete docílit. Bez toho musejí potenciální odpovídající místo řešení vašeho problému naslepo hádat, co jste asi tak mohl mít na mysli.

Také si uvědomte, že tohle není placený support ale veřejné fórum, kde lidé odpovídají z dobré vůle. Takže je naprosto v pořádku, když na otázku "Jak udělat X?" dostanete odpověď "X nedělejte."

19.3.2011 11:47 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Dakujem vsetkym za odpovede. Myslim ze som svoj problem uz vyssie popisal, ale skusim to este raz.

na serveri (server1) mi bezi aplikacia na ktoru sa pripajaju klienti. server musi vidiet IP adresu klienta nakolko im na zaklade tejto adresu zadava prava. to je implementovane v samotnej aplikacii.

To co ja chcem docielit je, aby klienti nevideli IP adresu servera, preto som dal medzi server a klienta iny server (server2) ktory bude sluzit iba ako fake IP. Ci to budem robit prostrednictvom proxy, redirect,firewallu alebo vpn by som chcel pocut od vas, odbornikov. tento model nemozem zmenit z bezpecnostneho hladiska, musi fungovat tak ako som tu popisal.

nechcem aby klient komunikoval so serverom2 a dostaval odpoved od servera1 ako to tu niekto napisal. ja chcem aby klient komunikoval a dostaval odpovede iba od servera2 a ten musi but prepojeny so serverom1. cele mi to funguje tak ako som to tu popisal pomocou prikazov iptables ale jediny problem je v tej originalnej IP adrese klieta ako som uz pisal vyssie.

Dakujem za postrehy
19.3.2011 12:25 camel1cz | skóre: 23
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Pokud mi něco uniká, tak se omlouvám, ale vidím následující požadavky:
  • aplikační server není přímo vidět pro klienty
  • aplikační server musí znát zdrojové IP klientů
tak
  • zapomněl bych na 2 linuxové boxy a koupil jednoúčelový firewall (typ záleží na aplikaci a její důležitosti)
  • aplikační server bych nakonfiguroval s IP v interním rozsahu
  • firewall bych nastavil tak, aby forwardoval povolenou komunikaci na interní IP aplikačního serveru
  • administrace aplikačního serveru může být řešena stejně jako přístupy klientů (+ např. restrikce IP)
Samozřejmě se to dá vylepšovat dle přesnějších požadavků, ale tohle je jako jádro OK. "Ušetřený" stroj můžete použít na HA řešení :-)
19.3.2011 12:43 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...

Pokud je server2 opravdu mezi klienty a server1, pak bude stačit prostý překlad cílové adresy:

  iptables -t nat -A PREROUTING -i $EXTIF -d $server2 -p tcp --dport 80 -j DNAT --to $server1

Protože mám ale podezření, že ve skutečnosti je vaše situace trochu jiná než popisujete, raději si přečtěte tento popis.

Podle míry očekávaného odstínění (a zásahu do komunikace) jsou pak další možností i rinetd nebo squid.

19.3.2011 13:13 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Dakujem za radu, idem to vyskusat a dam vediet ako to dopadlo
19.3.2011 13:25 Cuda
Rozbalit Rozbalit vše Re: IP Tables pomoc...
plně souhlasím, že dle popisu to vypadá na klasický forward. já to mám na OpenWrt WhiteRussian v /etc/firewall.user něco takového:

iptables -t nat -A prerouting_wan -p tcp --dport 20001 -j DNAT --to 192.168.7.223:80

iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.7.223 -j ACCEPT

a funguje to dobře. Ale co vidí končený server za ipadresu nevím, jelikož to k ničemu nepotřebuju
19.3.2011 13:27 Cuda
Rozbalit Rozbalit vše Re: IP Tables pomoc...
pokud nejste ten stejný člověk, který se tu ptal na proxy s openwrt, tak to berte jako nepředmětné, ale nějako mi přijde, že to je hodně podobný dotaz :-), i když je jiný nick.
19.3.2011 13:51 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
pri tomto nastaveni stale nevidim IP adresu klienta
19.3.2011 13:57 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
V tom případě máte v NATu nastavené ještě něco dalšího, protože tenhle příkaz zdrojovou IP adresu nemění. Kdybyste nám to prozradil, bylo by to mnohem jednodušší, než když po nás chcete, abychom to uhodli.
19.3.2011 17:25 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Podstatné informace stále zarputile tajíte, tak nezbývá než hádat… Příliš obecné pravidlo pro maškarádu?
pavlix avatar 20.3.2011 02:54 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Doplním Michala...

Pravděpodobně se snažíte o něco, co TCP/IP síť neumí.

Pokud půjde paket od klienta na server2, klient očekává odpověď od server2. Pokud server2 přepošle jeho požadavek server1, odpoví klientovi server1. Klient takovou odpověď zahodí.

Teď mě napadlo, že by toto šlo napravit na iptables u klienta dalším přepisem adresy.

Ale mám za to, že celá tahle šaškárna je úplně k ničemu.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
19.3.2011 13:59 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Odpověď vzhledem k informacím, které jste nám zatím dal, už jsem vám napsal dvakrát – v klientech nastavit IP adresu serveru, kde běží aplikace, mezi klienty a server dát firewall.
19.3.2011 16:40 Tomas B
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Příloha:
pre lepsie pochopenie som nakreslil obrazok zapojenia.

tak keby Vas nieco napadlo tak cakam na napady.

Dakujem vsetkym
19.3.2011 17:31 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: IP Tables pomoc...

Tohle má být použitelný popis situace? Jednak tam máte vymyšlené adresy, takže se můžeme jen dohadovat, jestli jsou adresy "1.1.1.1" a "2.2.2.2" opravdu obě veřejné nebo jestli třeba jedna není z privátního rozsahu nebo také jestli nejsou privátní obě, dokonce je tu pořád ještě možnost, že jsou ve skutečnosti ze stejného rozsahu a týká se vás situace řešená ve zmíněném FAQ. Za druhé ten obrázek vypadá, jako by měl router čtyři rozhraní, zatímco ve skutečnosti má nejspíš jen dvě, adresa "2.2.2.2" je napsaná u dolního rozhraní, zatímco ve skutečnosti ji nejspíš máte na horním…

Dost by také pomohl výpis "iptables -nvL" a "iptables -t nat -nvL", ale pokud možno skutečný, ne v zájmu národní bezpečnosti náhodně popřepisovaný.

19.3.2011 21:13 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Stále platí to, co už jsem napsal několikrát – na klientech nastavit IP adresu serveru na 1.1.1.1, na 2.2.2.2 nastavit firewall. Routování v té síti máte předpokládám nastavené správně.
pavlix avatar 20.3.2011 02:44 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
ved mate vsetky potrebne informacie ktore je treba - oba servery su ubuntu 10.10, a preco to tak chcem mat nastavene to vam tu skutocne nechcem vysvetlovat. mozno je lepsie povedat "neviem" ako menit moj model na vas model ktory je pre mna ale nevyhovujuci.
Tomáši, tady jste na bezplatné poradně.

Možná je lepší se tady neptat, pokud nechcete dostávat odpovědi s jinými návrhy, jako od pana Jirsáka.

Lidi tady vám budou radit řešení, která jsou z jejich pohledu nejlepší. Já se taky hlásím za skutečnou ochranu daného serveru radši než nějaké obezličky.

A jinak taky existuje příkaz man, kterému dáte jako parametr iptables, a on vám zobrazí celý detailní manuál.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.3.2011 20:46 Tom
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Tazateli bych nejprve doporucil mit prehled o tom co se mu v siti hybe jak se mu tam muze co hybat(komunikovat, prenos dat). Pote by bodlo kdyby bud si nasel nekoho komu bude duverovat a s jeho dohledem bez psani hesel v pritomnosti tohoto odbornika ho necha vyresit problem.

Kombinace obycejneho IT uzivatele snaziciho se pracovat na funkci IT admina bez prehledu a znalosti je krute postavena na hlavu.
pavlix avatar 25.3.2011 12:21 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Tak za to bych se postavil taky. Je spousta docela šikovných síťařů, třeba i studentů, kteří by se takové brigádky rádi ujali. A je dost pravděpodobné, že dotyčný někoho takového mezi svými známými má.

Tady je ale trochu jiný problém... rozumný člověk, když po někomu chce podobnou práci, tak se s ním nejdříve poradí, jak by se to mělo dělat... a ne že nejdřív rozhodne o detailech a pak hledá, jak jich docílit.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
19.3.2011 17:37 NN
Rozbalit Rozbalit vše Re: IP Tables pomoc...
Na VPS si povol FORWARDING pro konkretni porty..

NN

19.3.2011 17:39 NN
Rozbalit Rozbalit vše Re: IP Tables pomoc...
a dej to pred NAT jestli na VPS nejaky mas..

NN

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.