abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 19:00 | Zajímavý projekt

Byla vyhlášena soutěž Hackaday Prize 2017. Soutěž je určena vývojářům open source hardwaru. Pro výherce je připraveno celkově 250 tisíc dolarů. Každý ze 120 finalistů získá tisíc dolarů. Nejlepší pak navíc 50, 30, 20, 15, 10 a 5 tisíc dolarů. Jedná se již o čtvrtý ročník soutěže. V roce 2014 zvítězil projekt globální sítě open source pozemních satelitních stanic SatNOGS. V roce 2015 zvítězil open source systém pro řízení elektrických invalidních vozíků pohybem očí Eyedriveomatic. V roce 2016 zvítězil modulární robot Dtto.

Ladislav Hagara | Komentářů: 0
dnes 15:00 | Bezpečnostní upozornění

Byla vydána Samba ve verzích 4.6.1, 4.5.7 a 4.4.12. Řešen je bezpečnostní problém CVE-2017-2619. Pomocí symbolických odkazů a souběhu (symlink race) lze "teoreticky" získat přístup k souborům, které nejsou sdíleny. Linuxové distribuce jsou postupně aktualizovány (Debian).

Ladislav Hagara | Komentářů: 0
dnes 07:43 | Nová verze

Na Steamu se objevil port hry Arma: Cold War Assault (Operation Flashpoint) pro Mac a Linux. … více »

creon | Komentářů: 24
dnes 05:55 | Nová verze

Po 18 měsících od vydání verze 8.0 byla vydána verze 9.0 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 03:33 | Komunita

Platnost posledního patentu souvisejícího s Dolby Digital (AC-3) vypršela. Po MP3 se tak do Fedory oficiálně dostane také kodek AC-3.

Ladislav Hagara | Komentářů: 4
dnes 00:44 | Komunita

Feral Interactive, společnost zabývající se vydáváním počítačových her pro operační systémy macOS a Linux, nabízí své hry na Steamu vývojářům open source 3D grafické knihovny Mesa zdarma. Podmínkou je minimálně 25 commitů za posledních 5 let. Stejnou nabídku dostali vývojáři knihovny Mesa v roce 2015 od Valve. O rok dříve dostali od Valve tuto nabídku vývojáři Debianu a Ubuntu.

Ladislav Hagara | Komentářů: 0
včera 23:55 | Nová verze

Opera 44, verze 44.0.2510.857, byla prohlášena za stabilní. Nejnovější verze tohoto webového prohlížeče je postavena na Chromiu 57. Z novinek vývojáři Opery zdůrazňují podporou Touch Baru na nejnovějších MacBoocích Pro (gif). Přehled novinek pro vývojáře na blogu Dev.Opera.

Ladislav Hagara | Komentářů: 1
včera 20:56 | Pozvánky

V úterý 28. dubna se koná další Prague Containers Meetup. Přijďte si zopakovat, jak psát kvalitnější Dockerfile a jaké novinky a ulehčení přináší ansible-container, který vám umožní spravovat celý životní cyklus vašeho kontejneru. Místo konání: Concur, Bucharova 11, Praha-Stodůlky.

little-drunk-jesus | Komentářů: 0
včera 17:00 | Nová verze

Po půl roce od vydání verze 3.22 bylo vydáno GNOME ve verzi 3.24 s kódovým názvem Portland. Vydání obsahuje 28 459 změn od přibližně 753 přispěvatelů. Z novinek lze zmínit funkci noční světlo, přepracovaná nastavení, aplikaci Recepty, zdokonalenou oblast pro upozornění nebo zdokonalený webový prohlížeč. Podrobnosti i s náhledy v poznámkách k vydání a v novinkách pro vývojáře a správce systémů.

Ladislav Hagara | Komentářů: 10
včera 11:55 | Humor

Majitelé koček by měli být obezřetní při používání desktopového prostředí XFCE ve výchozím nastavení. Používání XFCE může mást jejich kočky a vést k poškrábání displeje. Jedná se o chybu 12117. K dispozici je již patch.

Ladislav Hagara | Komentářů: 20
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 919 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: Skrytí serveru za nat

    8.9.2015 18:33 Gepard
    Skrytí serveru za nat
    Přečteno: 413×
    Ahoj, potřeboval bych skrýt jeden server tak, aby tam byl mezikrok v podobě jiného serveru.

    Něco takového:
    	klient (předem neznámá IP) -> server_A (70.70.70.70) -> cilovy_server_B (90.90.90.90)
    
    	server_A - eth0: 70.70.70.70
    	server_A - eth1: 80.80.80.80
    
    	---
    
    	PREROUTING	klientska_IP -> 70.70.70.70	DNAT	klientska_IP -> 90.90.90.90	eth0
    	FORWARD
    	POSTROUTING	klientska_IP -> 90.90.90.90	SNAT	80.80.80.80 -> 90.90.90.90	eth1
    
    	--- 
    
    	PREROUTING	90.90.90.90 -> 80.80.80.80	DNAT	90.90.90.90 -> klientska_IP	eth1
    	FORWARD
    	POSTROUTING	90.90.90.90 -> klientska_IP	SNAT	70.70.70.70 -> klientska_IP	eth0
    
    	--- 
    
    Mám nástřel řešení, ale není to správně:
    iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -p tcp --dport 4444 -j DNAT --to-destination 90.90.90.90:3389
    iptables -A FORWARD -i eth0 -p tcp --dport 3389 -o eth1 -d 90.90.90.90 -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE
    
    Až po toto místo si myslím, že by to mohlo fungovat. Otázkou je, jak zajistit, aby se správně namapovala původní adresa klienta.
    # iptables -t nat -A PREROUTING -i eth1 -p tcp -s 90.90.90.90 j MASQUERADE  # tímto krokem si nejsem jistý, tady potřebuju dostat zpět adresu klienta
    iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth0 -SNAT --to-destination 70.70.70.70
    
    Můžete mi s tím pomoct?

    Díky.

    Řešení dotazu:


    Odpovědi

    8.9.2015 19:07 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    Stačí první blok příkazů. Linux má plně stavový firewall, pamatuje si, které spojení se přeložilo jedním směrem a opačný směr daného spojení přepisuje automaticky.
    Jendа avatar 8.9.2015 19:15 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    Skrytí za nat
    Pozor, pokud je to z důvodu bezpečnosti nebo anonymity, NAT ti nepomůže, Linux bude vesele přeposílat pakety z jedné strany na druhou. V takovém případě je NAT zbytečný (pokud současně neřešíš, že ti došly IP adresy) a chceš použít firewall. Navíc je potřeba udělat echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore aby to neleakovalo adresy zevnitř které mají zůstat skryté a možná některá další nastavení, o kterých nevím.
    Nezapomeňte si příští víkend posunout časovače na svých bombách o hodinu dopředu!
    8.9.2015 22:24 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    aby to neleakovalo adresy zevnitř které mají zůstat skryté

    Tohle už by skoro šlo kvalifikovat jako "šíření poplašné zprávy". Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?

    9.9.2015 15:51 Gepard
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    Bezpečnost je důležitá. Mám ten arp_ignore řešit? Vzhledem k tomu, že mám všechno drop nečekám problémy. Povoluji jenom forward.
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to 90.90.90.90:3389
    iptables -A FORWARD -i eth0 -p tcp --dport 3389 -d 90.90.90.90 -j ACCEPT
    iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    Jendа avatar 9.9.2015 16:28 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    Vzhledem k tomu, že mám všechno drop
    Si zkus zvenku ten arping, nezkoušel jsem to, ale čekal bych, že to pojede o vrstvu pod tím.

    Btw. jestli je tohle kompletní politika, tak nic moc, určitě chceš povolit třeba ICMP na tom venkovním interface.
    Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?
    Psal jsem jako jaký důvod jsem to vyhodnotil a z toho jsem odvodil, že nechce, aby se vědělo ani o tom, že tam vůbec nějaká další síť je. Pokud neplatí podmínka uvozená slovem "pokud", není třeba se čertit…
    Nezapomeňte si příští víkend posunout časovače na svých bombách o hodinu dopředu!
    Max avatar 8.9.2015 19:36 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    Buď chceš jen NAT + pár port forwardů, nebo chceš nat 1:1 (všechny požadavky na server A přesměrovat na server B)

    Zapneš port forwarde :

    sysctl -w net.ipv4.ip_forward=1
    # nebo :
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    a pro trvalé uložení :
    /etc/sysctl.conf
    net.ipv4.ip_forward = 1
    

    1. varianta : nastavení NAT 1:1
    iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -j DNAT --to-destination 90.90.90.90
    iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j SNAT --to-source 70.70.70.70
    
    2. varianta : nastavení NAT + port forwarde portu 80 a 443 :
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 90.90.90.90:80
    iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j DNAT --to 90.90.90.90:443
    

    Tebou uvedený příklad má pár chybek. Jednak není jisté, zda máš povolen forwarde. Dále máš špatně toto :
    iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE
    
    Když už chceš specifikovat adresu klienta a natovat jen tu, tak (uvádíš odchozí iface - ten vystrčený do netu):
    iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j MASQUERADE
    
    Zdar Max
    Měl jsem sen ... :(
    9.9.2015 10:54 Gepard
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    Super, díky, varianta 2 je dokonalá.
    8.9.2015 22:27 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Skrytí serveru za nat
    FAQ

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.