abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 0
dnes 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
včera 21:32 | Nasazení Linuxu

Canonical představuje nejnovější verzi chytré helmy DAQRI s Ubuntu pro rozšířenou realitu. K vidění bude příští týden v Barceloně na veletrhu Mobile World Congress 2017.

Ladislav Hagara | Komentářů: 0
včera 21:31 | Pozvánky

Pro zájemce o hlubší znalosti fungování operačních systémů připravila MFF UK nový předmět Pokročilé operační systémy, v rámci něhož se vystřídají přednášející nejen z řad pracovníků fakulty, ale dorazí také odborníci ze společností AVAST, Oracle, Red Hat a SUSE. Tento předmět volně navazuje na kurz Operační systémy ze zimního semestru, ale pokud máte praktické zkušenosti odjinud (například z přispívání do jádra Linuxu) a chcete si

… více »
Martin Děcký | Komentářů: 6
včera 21:30 | Pozvánky

Czech JBoss User Group Vás srdečně zve na setkání JBUG v Brně, které se koná ve středu 1. března 2017 v prostorách Fakulty Informatiky Masarykovy Univerzity v místnosti A318 od 18:00. Přednáší Tomáš Remeš a Matěj Novotný na téma CDI 2.0 - New and Noteworthy. Více informací na Facebooku a na Twitteru #jbugcz.

mjedlick | Komentářů: 0
20.2. 23:45 | Zajímavý software

Na blogu Qt bylo představeno Qt 3D Studio. Jedná se o produkt dosud známý pod názvem NVIDIA DRIVE™ Design Studio. NVIDIA jej věnovala Qt. Jedná se o několik set tisíc řádků zdrojového kódu. Qt 3D Studio bude stejně jako Qt k dispozici jak pod open source, tak pod komerční licencí. Ukázka práce s Qt 3D Studiem na YouTube.

Ladislav Hagara | Komentářů: 10
20.2. 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
20.2. 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 45
20.2. 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 29
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (71%)
 (4%)
 (10%)
Celkem 684 hlasů
 Komentářů: 66, poslední dnes 18:57
Rozcestník

Dotaz: routing přístupu zvenku

20.5.2012 13:45 adam
routing přístupu zvenku
Přečteno: 515×
Prosím zdvořile a snaživě o pomoc. Mám Linuxrouter s :
eth0 s ip 10.0.0.3 + na 10.0.0.138 router s public Internet IP
eth1 s ip 192.168.91.1 - vnitřní klientská síť 1
eth2 s ip 192.168.92.1 - vnitřní klientská síť 2
eth3 s ip 192.168.3.2 + na 192.168.3.1 router s hlavním Inet spojem

(vše netmask /24)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        *               255.255.255.0   U     0      0        0 eth3
192.168.3.0     *               255.255.255.0   U     0      0        0 eth0
192.168.92.0    *               255.255.255.0   U     0      0        0 eth2
192.168.91.0    *               255.255.255.0   U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         192.168.3.1     0.0.0.0         UG    1      0        0 eth0

Z klientských sítí jde Internetový traffic na default gateway a maškarádou ven.

Je třeba zařídit prostup zvenku přes public Internet IP na stanici (na http) na klientské síti 1 a zpět zase ven přes ten router s Public IP.

Na routeru s PublicIP mám portforward na 10.0.0.3:80 a na linuxrouteru mám forward a překlad na tu stanici 192.168.1.26:80.

Nedaří se mi nastavení, aby se zase pakety vracely zpět (nyní dorazí až k 192.168.1.26, a jak jsem vysledoval, vrací se pak defaultgatewayi dopryč).

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.3 --dport 80 -j DNAT --to 192.168.91.26:80
iptables -A FORWARD -p tcp -i eth3 -o eth1 -d 192.168.91.26 --dport 80 -j ACCEPT

iptables -A INPUT -p ALL -i eth1 -j ACCEPT
iptables -A INPUT -p ALL -i eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -i eth2 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Řešení dotazu:


Odpovědi

20.5.2012 14:00 NN
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Podle meho chybi ta cast, ktera ti ten provoz do vnitrni site na port 80 za se odfiltruje a posle spatky a misto toho ti to spadne do maskarady. Takze bych dodelal ten NAT a dal ho pred tu maskaradu:
iptables -t nat -a POSTROUTING -s 192.168.91.26 --sport 80 -j SNAT --to-source 10.0.0.3:80
NN
20.5.2012 17:42 adam
Rozbalit Rozbalit vše Re: routing přístupu zvenku
ano, něco takového tam asi chybí, ale zrovna toto ukazuje chabu v syntaxi...

i když ji zobecním na iptables -t nat -A POSTROUTING -s 192.168.91.26 -j SNAT --to 10.0.0.3 nebo se směrováním na router iptables -t nat -A POSTROUTING -s 192.168.91.26 -j SNAT --to 10.0.0.138 tak to nejede :(
21.5.2012 08:38 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Znamená to, že ten linuxrouter není výchozí brána pro danou stanici? Pak musíte na tom routeru kromě DNATu dělat také SNAT (nebo maškarádu), tj. nastavit paketu pro server jako zdrojovou IP adresu adresu linuxrouteru. Tím pádem stanice (web server) odpoví zpět linuxrouteru, a ten dostane příležitost udělat reverzní operaci k nastavenému DNATu.
iptables -t nat -A POSTROUTING -p tcp -d 192.168.91.26 --dport 80 -j SNAT --to-source 192.168.91.???
PS: Když už prosíte snaživě, byl by takový problém si příspěvek před odesláním prohlédnout, a opravit chybné znaky, formátování kódu a zapnutý caps-lock?
21.5.2012 08:49 adam
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Stanice má IP 192.168.91.26 a její default gateway je linuxrouter IP 192.168.91.1 (tj. ethrozhraní linuxrouteru). Linuxrouter pak má sám defaultgateway 192.168.3.1.

Na tu stanici se zvnějšku ale přistupuje přes třetí rozhraní (přes tu síť 10.0.0.0), takže tudy je potřeba aby to také odešlo...

zatím jsem nepokročil :(
21.5.2012 11:19 NN
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Davas to pravidlo pred tu maskaradu ?

NN
21.5.2012 11:51 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Takže schéma vaší sítě vypadá nějak takhle?
INTERNET ---- LinuxRouter ---- stanice (web server)
     \             |
      \            |
       \------- Router
Pak na LinuxRouteru není potřeba dělat SNAT. Je tam jenom potřeba zařídit správné routování těch spojení, která pocházejí z routeru. Udělal bych to pomocí pravidel (ip rule) z balíčku iproute2. Pro pakety se zdrojovou IP adresou v síti 10.0.0.0 bych nastavil jinou routovací tabulku, kde bude jako default gateway uveden ten Router. Říká se tomu source based routing.
21.5.2012 16:58 adam
Rozbalit Rozbalit vše Re: routing přístupu zvenku
ne takto :

INTERNET 1 (default gw linuxrouteru)------------ eth0

vnitřní síť se stanicí (webserver) ----------------- eth1

vnitřní síť 2 ------------------------------------------- eth2

INTERNET 2 veřejné IP (zde naslouchá webserver stanice)-- eth3

Linuxrouter má rozhraní eth0-3

INTERNET 1 a 2 jsou segmenty kde jsou ADSLroutery s přístupem ven.
21.5.2012 18:03 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: routing přístupu zvenku
V tomhle se nevyznám. V původním dotazu je napsáno, že při přístupu z internetu na web server jde paket nejprve přes Router a pak přes LinuxRouter. To bych v tom schématu potřeboval vidět. A pak další spoje – k webovému serveru a do internetu.

Druhá možnost zapojení, aby komunikace šla přes Router a pak LinuxRouter by bylo lineární
Internet ---- Router ---- LinuxRouter ---- web server
ale tomu zase neodpovídají IP adresy a výchozí brány zmiňované v dalších komentářích.

Nejlepší by asi bylo namalovat nějaké jednoduché schéma v grafickém editoru (do schématu se pak vejdou i IP adresy) a obrázek vložit jako přílohu komentáře.
21.5.2012 18:43 adam
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Příloha:
obrázek přílohou
21.5.2012 21:08 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: routing přístupu zvenku
To je v podstatě to, co jsem namaloval výše - to, že linuxový router není ani přes eth0 připojen přímo "do internetu", ale do jiného routeru, tam nehraje roli. Platí tedy to, co jsem napsal v daném komentáři - musíte nějak rozpoznat odchozí pakety pro spojení, která na router přišla přes síť 10.0.0.0/16, a ty směrovat pomocí jiné routovací tabulky. Já bych je rozpoznával podle toho, že mají jako zdrojovou IP adresu buď 10.0.0.3, nebo celý odpovídající rozsah. Tj. když na webserver dorazí paket zahajující HTTP spojení, webserver odpoví paketem, kde bude jako zdrojová adresa 192.168.1.26. Paket přijde na linuxový router, tam se "odDNATuje", tj. 192.168.1.26 se přepíše na 10.0.0.3. Pak se podle pravidla vloženého přes ip rule vybere speciální routovací tabulka, kde bude jako výchozí brána uveden router 10.0.0.138 a paket odejde na router inet2, kde se znova "odDNATuje" na veřejnou IP adresu a hurá do internetu.

A nebo si můžete přát rychlé zprovoznění IPv6.
22.5.2012 11:05 miro
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Tak zkuste použít ten příkaz, který vám pan Jirsák napsal (místo těch třech otazníků tam dejte jedničku), a pak jasně napište "tenhle příkaz nefunguje, místo toho se stane to a to". "Zatím jsem nepokročil" není odpověď na konkrétní radu. Já jsem si to prošel, a dospěl jsem ke stejnému závěru jako pan Jirsák. Mělo by to fungovat (pokud to nezprzní nějaké jiné pravidlo iptables, jejichž úplný výpis jste sem nedodal).
23.5.2012 02:21 adam
Rozbalit Rozbalit vše Re: routing přístupu zvenku
řešení : do iptables přidáno před NAT maškarádu :
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.3 --dport 80 -j DNAT --to 192.168.91.26:80
iptables -A FORWARD -p tcp -i eth3 -o eth1 -d 192.168.91.26 --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.91.26 -j SNAT --to 10.0.0.138

do routovacích pravidel přidáno :
echo "12 isp2" >> /etc/iproute2/rt_tables
ip route add default via 10.0.0.138 table isp2
ip rule add from 10.0.0.0/24 table isp2
ip rule add from 192.168.91.26/255.255.255.255 table isp2

děkuji všem za příspěvky, finále jsem ladil po prostudování zdrojů : http://linux-ip.net/html/adv-multi-internet.html, http://goo.gl/d3J66, a zdroje o iptables
23.5.2012 08:06 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Ten SNAT je tam zbytečný, pokud je ten linuxový router stejně výchozí bránou pro web server. A čím méně NATu, tím lépe.


Jinak s tím formátováním příspěvků jste zdá se nepoučitelný. Myslím ale, že v současné podobě je to mnohem čitelnější, a bylo by dobré to tak vložit rovnou a nečekat, až to opraví některý z administrátorů Abíčka.
23.5.2012 09:08 NN
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Neni, protoze tam je jeste maskarada:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ktera je osem nastavena tak, ze sebere vsechno ostatni..

NN
23.5.2012 09:44 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: routing přístupu zvenku
Jo takhle, ono je to směrem do internetu. Takže na požadavky na webový server to nebude mít vliv a týká se to jenom spojení, která webový server navazuje ven. A je to vlastně duplicita té maškarády, takže je to zbytečné až nebezpečné (nevím, co se stane, když se má na jedno spojení uplatnit dvakrát SNAT).
23.5.2012 12:12 miro
Rozbalit Rozbalit vše Re: routing přístupu zvenku
týká se to jenom spojení, která webový server navazuje ven

IMHO se to týká veškerého provozu odcházejícího z 192.168.91.26.

nevím, co se stane, když se má na jedno spojení uplatnit dvakrát SNAT

Myslím, že se neuplatní. Od webserveru půjde přes:

ip rule add from 192.168.91.26/255.255.255.255 table isp2
ip route add default via 10.0.0.138 table isp2

takže půjde přes eth3, tudíž

iptables -t nat -A POSTROUTING -s 192.168.91.26 -j SNAT --to 10.0.0.138

ale

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

se už neuplatní kvůli tomu -o eth0

Nějak jsem si při přemýšlení o tomhle problému neuvědomil, že ten "INET2 Router" směrem dovnitř evidentně nenatuje, jinak by tazatel tenhle problém vůbec neměl. Pokud natování na vnitřním rozhraní nelze nastavit, tak se ten problém bez úpravy routovacích tabulek zřejmě vyřešit nedá.

23.5.2012 12:27 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: routing přístupu zvenku
IMHO se to týká veškerého provozu odcházejícího z 192.168.91.26.
Ano, což ale bude provoz do internetu, jiný nemá důvod jít přes router. Poprvé jsem to pravidlo moc nezkoumal a myslel jsem, že je to upravené to mé původní, které mělo upravovat spojení z internetu na web server – a tím „navazuje ven“ jsem myslel, že je ve skutečnosti určené pro opačný směr, tedy spojení zahájena z počítače, kde běží webový server.
Myslím, že se neuplatní.
Máte pravdu, je tam to omezení -o eth0.
Nějak jsem si při přemýšlení o tomhle problému neuvědomil, že ten "INET2 Router" směrem dovnitř evidentně nenatuje, jinak by tazatel tenhle problém vůbec neměl.
Ten router asi dělá DNAT (z veřejné IP adresy na privátní rozsah), nedělá SNAT (který je zbytečný při typickém použití SOHO routerů, kde je router zároveň jedinou bránou do dalších sítí).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.