Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.
Byla vydána nová verze 30.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí JavaScriptu, HTML a CSS Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 124.0.6367.49, V8 na verzi 12.4 a Node.js na verzi 20.11.1. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.
Byla vydána nová verze 9.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn.
Evropský parlament dnes přijal směrnici týkající se tzv. práva spotřebitele na opravu. Poslanci ji podpořili 584 hlasy (3 bylo proti a 14 se zdrželo hlasování). Směrnice ujasňuje povinnosti výrobců opravovat zboží a motivovat spotřebitele k tomu, aby si výrobky nechávali opravit a prodloužili tak jejich životnost.
Bylo oznámeno (cs) vydání Fedora Linuxu 40. Přehled novinek ve Fedora Workstation 40 a Fedora KDE 40 na stránkách Fedora Magazinu. Současně byl oznámen notebook Slimbook Fedora 2.
ČTK (Česká tisková kancelář) upozorňuje (X), že na jejím zpravodajském webu České noviny byly dnes dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem „BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho“ a o údajné mimořádné prohlášení ministra Lipavského k témuž. Tyto dezinformace byly útočníky zveřejněny i s příslušnými notifikacemi v mobilní aplikaci Českých novin. ČTK ve svém zpravodajském servisu žádnou informaci v tomto znění nevydala.
Byla založena nadace Open Home Foundation zastřešující více než 240 projektů, standardů, ovladačů a knihoven (Home Assistant, ESPHome, Zigpy, Piper, Improv Wi-Fi, Wyoming, …) pro otevřenou chytrou domácnost s důrazem na soukromí, možnost výběru a udržitelnost.
Společnost Meta otevírá svůj operační systém Meta Horizon OS pro headsety pro virtuální a rozšířenou realitu. Vedle Meta Quest se bude používat i v připravovaných headsetech od Asusu a Lenova.
Společnost Espressif (ESP8266, ESP32, …) získala většinový podíl ve společnosti M5Stack, čímž posiluje ekosystém AIoT.
ip route add 194.x.x.224 dev eth1 ip route add 194.x.x.225 dev eth2 ip route add 194.x.x.226/31 via 10.158.0.66apod.
Obávám se, že todle bude fungovat jen pokud stanice, které mají používat ony veřejné adresy, mají nainstalován nějaký operační systém. Pokud je na nich nějaký microsoftí produkt, nebude možno (alespoň pokud vím) těmto vysvětlit, kde mají hledat def-gw. Windows tuším routing via zařízení neumějí a neumějí si nechat nastavit IP s maskou /32, takže by to na nich byl docela problém.
(Ale možná kecám, možná to nějak jde, akorát já jsem nikdy nevyvinul dostatečné úsilí.)
Záleží, kterým počítačům budete chtít ty veřejné adresy přidělit. Nejjednodušší případ bude, pokud to budou počítače na stejném segmentu, jako je LAN routeru (tedy segment 10.157.0.0/25). V takovém případě na LAN rozhraní routeru přidejte adresu 194.x.x.x+1/29 a příslušným stanicím nastavte 194.x.x.x+2 až 194.x.x.x+6, maska 255.255.255.248, brána 194.x.x.x+1. Na routeru musíte samozřejmě ošetřit, aby se tento rozsah nemaškarádoval.
Pokud byste chtěl celý ten blok adres dostat do jiného segmentu (třeba 10.158.0.0/25), pak musíte na tom svém WAN/LAN routeru naroutit 194.x.x.x/29 via 10.157.0.x (gateway do segmentu 10.158.0.0) a na této gatewai pak analogicky s předchozím odstavcem nastavit 194.x.x.x+1, atd...
Úplně nejsložitější případ by nastal, pokud byste chtěl některé z těch veřejných adres přidělovat počítačům v různých segmentech. To už by pak nešlo čistě proroutovat a muselo by se to nějak obejít (ať už SNAT/DNATem nebo přes ARPproxy).
Každopádně, to co jsem popsal je čistý routing, nic se neNATuje, prostě se to routuje, tam kam má.
Pokud přesně uvedete, co, jak, kde a komu chcete nastavit (a odkupasebelou ty vaše další subnety, rád svůj popis příslušně zpřesním.
route add -net 10.158.0.0 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.0.128 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.1.0 netmask 255.255.255.128 gw 10.157.0.3 route add -net 10.158.1.128 netmask 255.255.255.128 gw 10.157.0.3 route add -net 10.158.2.0 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.3.0 netmask 255.255.255.128 gw 10.157.0.4 route add -net 10.158.4.0 netmask 255.255.255.128 gw 10.157.0.20 route add -net 10.158.5.0 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.5.128 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.6.0 netmask 255.255.255.128 gw 10.157.0.10 iptables -t nat -A POSTROUTING -o eth1 -s 10.158.0.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.0.128/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.1.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.1.128/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.2.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.3.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.4.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.5.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.5.128/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.6.0/25 -j SNAT --to 172.x.x.aV té to chvíli bych rád nastavil veřejné IP 194.x.x.x+1 stanici 10.157.0.49, IP 194.x.x.x+2 stanici 10.158.1.33 a IP 194.x.x.x+3 stanici 10.158.0.50. Ještě pokud by to bylo možné, nejlepší by bylo, kdyby všem stanicím uvnitř zůstala zachována jejich vnitřní IP, ale není to úplně nutné, kdyby nebylo jednoduché cesty jak to vyřešit. Děkuji za dosavadní rady, rád ještě cokoliv upřesním.
Hm, tak to je malé neštěstí. Asi by to šlo nějak vyřešit pomocí ARP proxy, ale obávám se, že to ztroskotá na nastavení Windows a určitě by to bylo moc práce.
V takovém případě bych doporučil nastavit na tom routeru SNAT/DNAT a prostě příchozí provoz pro IP 194.x.x.x+1 DNATnout na 10.157.0.49, odchozí provoz z 10.157.0.49 SNATnout na 194.x.x.x+1 a tak dál. Bude to nejméně práce a na stanicích nebudete muset nic měnit.
Má to dokonce jednu výhodu, že totiž budete schopen využít všech 8 IP z té /29, při klasickém routování byste jich použil tak maximálně pět. Má to na druhé straně i nevýhodu, protože některé obskurní protokoly (FTP, kupříkladu, to je první obludnost na ráně) nemusí pracovat správně, ale to je vesměs řešitelné stavovým firewallem s vhodným modulem. Želbohu, jiná cesta asi není.
echo "NAT 1:1"
COMMENT="#"
DEV=eth0
while read PublicIP PrivateIP UserName
do
FIRST_CHAR=`echo $PublicIP|cut -c1`
if [ "$FIRST_CHAR" = "$COMMENT" ]
then
echo "$UserName commented"
else
echo "$UserName ($PrivateIP -> $PublicIP)"
iptables -t nat -A PREROUTING -d $PublicIP -j DNAT --to $PrivateIP
iptables -t nat -A POSTROUTING -o $DEV -s $PrivateIP -j SNAT --to $PublicIP
iptables -A FORWARD -i $DEV -d $PrivateIP -j ACCEPT
fi
done < /1-1-nat.conf
# verejna privatni name
212.240.181.2 10.93.0.1 ns
212.240.181.3 10.93.0.3 jiri
212.240.181.4 10.93.0.18 mikael
...
ifconfig eth1:0 194.x.x.x+1 up iptables -t nat -A PREROUTING -d 194.x.x.x+1 -j DNAT --to 10.158.1.33 iptables -t nat -A POSTROUTING -o eth1 -s 10.158.1.33 -j SNAT --to 194.x.x.x+1 iptables -A FORWARD -i eth1 -d 10.158.1.33 -j ACCEPT route add -net 10.158.0.0 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.0.128 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.1.0 netmask 255.255.255.128 gw 10.157.0.3 route add -net 10.158.1.128 netmask 255.255.255.128 gw 10.157.0.3 route add -net 10.158.2.0 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.3.0 netmask 255.255.255.128 gw 10.157.0.4 route add -net 10.158.4.0 netmask 255.255.255.128 gw 10.157.0.20 route add -net 10.158.5.0 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.5.128 netmask 255.255.255.128 gw 10.157.0.10 route add -net 10.158.6.0 netmask 255.255.255.128 gw 10.157.0.10 iptables -t nat -A POSTROUTING -o eth1 -s 10.158.0.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.0.128/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.1.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.1.128/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.2.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.3.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.4.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.5.0/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.5.128/25 -j SNAT --to 172.x.x.a iptables -t nat -A POSTROUTING -o eth1 -s 10.158.6.0/25 -j SNAT --to 172.x.x.aNa internetu už vystupuji pod veřejnou IP adresou, ale nemůžu se na ni zvenku dostat. Zkoušel jsem vypnout firewall u sebe na počítači a nevím o tom že bych něco blokoval na routeru. Takže jediné co vím, je, že SNAT funguje. Jak se dá co nejjednodušeji zjistit zda funguje DNAT pro moji IP?
Spusťte si na firewallu tcpdump na LANovém i WANovém rozhraní a zkuste ze své stanice obyčejný ping na cojávím www.seznam.cz. No a uvidíte, co jak kterým rozhraním přijde, přeloží se a odejde.
tcpdump
na routeru neni, ale snad bude stacit iptraf
ping na www.seznam.cz (212.80.76.18)
ICMP echo req (60 bytes) from 10.158.1.33 to 212.80.76.18 (src HWaddr 0011d8 ICMP echo req (60 bytes) from 194.x.x.x+1 to 212.80.76.18 (src HWaddr 001 ICMP echo rply (60 bytes) from 212.80.76.18 to 194.x.x.x+1 (src HWaddr 00 ICMP echo rply (60 bytes) from 212.80.76.18 to 10.158.1.33 (src HWaddr 00119
Pokud je to tak, že LANovým rozhraním přišel request, SNATnul se, odešel WANovým, následně se WANovým vrátil reply, DNATnul se a odešel LANovým (což vypadá, že to tak je), pak je ale všechno v pořádku.
A ta stanice, z níž jste zkoušel pingat, se tváří, že to pingá? Protože jinak teda nevím, co vám vlastně nefunguje. Eventuálně mi mailněte, zkusíme se domluvit přes ICQ.
iptables -t nat -A PREROUTING -d 194.x.x.x1 -j DNAT --to 10.158.1.33 iptables -t nat -A POSTROUTING -o eth1 -s 10.158.1.33 -j SNAT --to 194.x.x.x+1 iptables -I FORWARD -d 10.158.1.33 -j ACCEPTlze bez problému použít. Děkuji rovněž všem, kteří přispěli.
Chain PREROUTING (policy ACCEPT) target prot opt source destination nat-acl all -- 0.0.0.0/0 0.0.0.0/0 dns-preroute all -- 0.0.0.0/0 0.0.0.0/0 auto-forward all -- 0.0.0.0/0 0.0.0.0/0 port-forward all -- 0.0.0.0/0 0.0.0.0/0 DNAT all -- 0.0.0.0/0 194.x.x.x+1 to:10.158.1.33 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 10.157.0.0/25 0.0.0.0/0 dns-postroute all -- 0.0.0.0/0 0.0.0.0/0 SNAT all -- 10.158.1.33 0.0.0.0/0 to:194.x.x.x+1 SNAT all -- 10.158.0.0/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.0.128/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.1.0/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.1.128/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.2.0/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.3.0/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.4.0/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.5.0/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.5.128/25 0.0.0.0/0 to:172.20.71.21 SNAT all -- 10.158.6.0/25 0.0.0.0/0 to:172.20.71.21 Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain auto-forward (1 references) target prot opt source destination Chain dns-postroute (1 references) target prot opt source destination Chain dns-preroute (1 references) target prot opt source destination Chain nat-acl (1 references) target prot opt source destination Chain port-forward (1 references) target prot opt source destination
Tiskni Sdílej: