abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 0
dnes 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 1
dnes 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
dnes 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
dnes 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
dnes 00:08 | Pozvánky

V sobotu 18. 2. se v Praze v prostorách VŠE uskuteční od 9:30 již 4. ročník největší české konference o open source redakčním systému WordPress (WP) - WordCamp Praha 2017.

… více »
smíťa | Komentářů: 0
včera 23:58 | Komunita

Kryptoměnová komunita zahájila nový rok spuštěním projektu Blockchain.cz, jehož cílem je kolektivně nalézt ideální překlad pro čím dál frekventovanější slovo „blockchain“. Přispět návrhem může kdokoli. Sběr bude trvat až do konce září 2017. Následně bude probíhat dvoutýdenní veřejné hlasování, které bude zakončeno výběrem toho nejlepšího návrhu.

xHire | Komentářů: 8
včera 15:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno je celkově 270 bezpečnostních chyb. V Oracle Java SE je například opraveno 17 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 16 z nich. V Oracle MySQL je opraveno 27 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 5 z nich.

Ladislav Hagara | Komentářů: 0
včera 02:48 | Nová verze

Po půl roce od vydání verze 9.0 (zprávička) byla vydána verze 10.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 31
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 339 hlasů
 Komentářů: 24, poslední 17.1. 10:14
    Rozcestník
    Reklama

    Dotaz: NAT router

    15.4.2013 19:28 georgo23
    NAT router
    Přečteno: 313×
    Zdravim, resim problem v nasi siti a jsem v koncich. Sit ma cca 2500 uzivatelu a cca 300 aktivnich prvku, de facto je temer cela jiz postavena na MRT, az na hranicni cast, kde je HP server a ten natuje cca nejakych 2000 useru do 16 verejnych IP adres. Problem je v tom, ze se nam urcite nahodne casti site zpomalily, a my hledame reseni. Patere jsou na 17 GHz ALcoma, sit je routovana. Vytizenost CPU je cca 15-45 % na obou jadrech. Natovaci tabulka je velmi jednoducha vzdy 4-16 subnetu pod jednou verejnou ip adresu. V ramci nasi site je sit da se rici rychla, rekneme ze dokud nedojde prave k LINUXU, jsou hodnoty na Bandw. testech takove, jake maji byt, pres uz vsak neprojde vse tak jak bychom ocekavali. Rekneme ze klient co ma mit nekde 20 Mb, je rad ze ma 4-6, a jinde treba ob vedle ma to co ma mit. Upozornuji, ze sit neni pretizena, Muj osobni nazor je ten, pruchodnost pres LINUX je ten problem, a tak hledam radu co vse se da doladit na nastaveni NATU ? Zde ukazka jednoho ze 16 pravidel NAT tabulky:

    iptables -t nat -A POSTROUTING -s 192.168.1.0/21 -j SNAT --to-source VEREJN.NA.IP.ADRESA

    Odpovědi

    15.4.2013 20:23 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: NAT router

    Možeš sem vložiť obsah celých iptables ?

    sec.linuxpseudosec.sk
    15.4.2013 21:59 georgo23
    Rozbalit Rozbalit vše Re: NAT router
    root@main:~# iptables -t nat -L -n
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    DNAT       tcp  --  192.168.104.173      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.ip:80
    DNAT       tcp  --  192.168.104.198      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.104.58       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.121.141      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.126.14       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
    DNAT       tcp  --  192.168.126.5        0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
    DNAT       tcp  --  192.168.227.13       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.245.16       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    DNAT       tcp  --  192.168.54.3         0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
    
    
    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination
    SNAT       all  --  192.168.0.0/21       0.0.0.0/0           to:ip.ip.ip.66
    SNAT       all  --  192.168.8.0/21       0.0.0.0/0           to:ip.ip.ip.67
    SNAT       all  --  192.168.16.0/20      0.0.0.0/0           to:ip.ip.ip68
    SNAT       all  --  192.168.40.0/21      0.0.0.0/0           to:ip.ip.ip69
    SNAT       all  --  192.168.48.0/21      0.0.0.0/0           to:ip.ip.ip70
    SNAT       all  --  192.168.56.0/21      0.0.0.0/0           to:ip.ip.ip71
    SNAT       all  --  192.168.64.0/21      0.0.0.0/0           to:ip.ip.ip72
    SNAT       all  --  192.168.100.0/23     0.0.0.0/0           to:ip.ip.ip66
    SNAT       all  --  192.168.104.0/21     0.0.0.0/0           to:ip.ip.ip73
    SNAT       all  --  192.168.120.0/21     0.0.0.0/0           to:ip.ip.ip74
    SNAT       all  --  192.168.128.0/20     0.0.0.0/0           to:ip.ip.ip75
    SNAT       all  --  192.168.192.0/19     0.0.0.0/0           to:ip.ip.ip76
    SNAT       all  --  192.168.224.0/20     0.0.0.0/0           to:ip.ip.ip77
    SNAT       all  --  192.168.240.0/20     0.0.0.0/0           to:ip.ip.ip78
    SNAT       all  --  192.168.98.0/23      0.0.0.0/0           to:ip.ip.ip66
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    
    pak je tam jeste pro FORWARD, ale tam je cca 2800 pravidel
    15.4.2013 23:11 ewew | skóre: 36 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: NAT router

    Máš v reťazi FORWARD aj takéto pravidla ?

    • iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/21 -j ACCEPT
    • iptables -A FORWARD -i eth1 -o eth0 -s ! 192.168.0.0/21 -m state --state ESTABLISHED -j ACCEPT
    • iptables -A POSTROUTING -t nat -s 192.168.20.0/21 -o eth1 -j SNAT ip
    • iptables -I FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT

    Prvé pravidlo povolí prevádzku vstupujúcu cez eth0 z rozsahu 192.168.0.0/21. Druhe pravidlo povolí prevádzku z eth1, ktorá nie je v rozsahu 192.168.0.0/21 a je už vytvorené spojenie. Tretie je SNAT pre daný rozsah. Posledné pravidlo by malo povoliť prevádzku, ktorá už má záznam v conntrack tabuľke. Skúšal si pozerať prevádzku, ktorá prechádza, či tam nemáš nejake ICMP redirect ?

    sec.linuxpseudosec.sk
    15.4.2013 22:41 j
    Rozbalit Rozbalit vše Re: NAT router
    Trochu malo informaci ... ale prvni nastrel - kolik mas tak otevrenych konexi v NAT tabulce? Kolik to papa RAMky?

    Jinak ta sit je IMO dost velka na to, aby si zaslouzila vetsi porci IPcek ... ale ve 4ce to ted uz bude asi problem. Mozna by nebylo od veci NATu lehce ulehcit a nahodit IPv6 (mam na IPv6 kolem 20% trafficu generovanyho BFUckama = zadny spesl pouzivani).

    Router na linuxu uroutuje klido desitky Gbit, takze v tom bych problem nehledal. Forward a 2k8 pravidel, to uz problem byt muze, pokud jsou blbe postavena. Nebylo by od veci to prozkoumat, a podivat se na to. Obecne plati, ze je nejlepsi postupovat od obecnych ke konkretnim pravidlum a paket terminovat co nejdriv. Je dobry mit trebas primo ve forwardu jen nejaky omezeny mnoztvi pravidel a dal to rozpadat do chainu. Pokud mas pravidla jako jednu hromadu pekne jedno za druhym ... tak to problem byt muze i zasadni, pokud se nejaky beznejsi nachazi nekde na konci, musi se otestovat vsechna.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.