AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík

včera 15:44 | Upozornění

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík.

Ladislav Hagara | Komentářů: 3

iPhone a iPad získávají certifikaci pro práci s utajovanými informacemi NATO

27.2. 17:33 | IT novinky

Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

Ladislav Hagara | Komentářů: 13

Netflix ustoupil v bitvě o Warner Bros, slavná studia tak může převzít Paramount

27.2. 13:00 | IT novinky

Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).

Ladislav Hagara | Komentářů: 15

Apple přesune část výroby svého malého počítače Mac mini z Asie do Houstonu

27.2. 12:44 | IT novinky

Americká společnosti Apple přesune část výroby svého malého stolního počítače Mac mini z Asie do Spojených států. Výroba v závodě v Houstonu by měla začít ještě v letošním roce, uvedla firma na svém webu. Apple také plánuje rozšířit svůj závod v Houstonu o nové školicí centrum pro pokročilou výrobu. V Houstonu by měly vzniknout tisíce nových pracovních míst.

Ladislav Hagara | Komentářů: 20

Biopočítač s lidskými neurony hraje DOOM

27.2. 12:11 | Zajímavý článek

Vědci Biotechnologické společnosti Cortical Labs vytvořili biopočítač nazvaný CL1, který využívá živé lidské mozkové buňky vypěstované z kmenových buněk na čipu. Po úspěchu se hrou PONG se ho nyní snaží naučit hrát DOOM. Neurony přijímají signály podle toho, co se ve hře děje, a jejich reakce jsou převáděny na akce jako pohyb nebo střelba. V tuto chvíli systém hraje velmi špatně, ale dokáže reagovat, trochu se učit a v reálném čase se hrou

… více »

karkar | Komentářů: 9

4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon)

27.2. 01:55 | Nová verze

Pro testování byl vydán 4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon).

Ladislav Hagara | Komentářů: 0

MediaGoblin 0.15.0

26.2. 21:33 | Nová verze

Ben Sturmfels oznámil vydání MediaGoblinu 0.15.0. Přehled novinek v poznámkách k vydání. MediaGoblin (Wikipedie) je svobodná multimediální publikační platforma a decentralizovaná alternativa ke službám jako Flickr, YouTube, SoundCloud atd. Ukázka například na LibrePlanet.

Ladislav Hagara | Komentářů: 0

TerminalPhone

26.2. 15:44 | Zajímavý software

TerminalPhone (png) je skript v Bashi pro push-to-talk hlasovou a textovou komunikaci přes Tor využívající .onion adresy.

Ladislav Hagara | Komentářů: 6

Operátoři v boji s kyberšmejdy zachytí 3 miliony podvržených hovorů každý měsíc

26.2. 12:22 | IT novinky

Před dvěma lety zavedli operátoři ochranu proti podvrženým hovorům, kdy volající falšuje čísla anebo se vydává za někoho jiného. Nyní v roce 2026 blokují operátoři díky nasazeným technologiím v průměru 3 miliony pokusů o podvodný hovor měsíčně (tzn., že k propojení na zákazníka vůbec nedojde). Ochrana před tzv. spoofingem je pro zákazníky a zákaznice všech tří operátorů zdarma, ať už jde o mobilní čísla nebo pevné linky.

Ladislav Hagara | Komentářů: 11

Meta předává React nadaci React Foundation patřící pod Linux Foundation

26.2. 03:44 | Komunita

Společnost Meta (Facebook) předává React, React Native a související projekty jako JSX nadaci React Foundation patřící pod Linux Foundation. Zakládajícími členy React Foundation jsou Amazon, Callstack, Expo, Huawei, Meta, Microsoft, Software Mansion a Vercel.

Ladislav Hagara | Komentářů: 3

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

Administrace komentářů

Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

Příspěvek

27.12.2023 15:24 Deryl | skóre: 11
Rozbalit Rozbalit vše Policy based routing pro WireGuard tunel s VPS

Dobré odpoledne,

TLDR; Nedaří se mi směrovat packety s "odpovědí" zpět do wireguard tunelu.

O co jde

Mám
- VPS v cloudu s veřejnou IP adresou s nastavenou MASQUERADE na `wan0` pro odchozí komunikaci do internetu.
- server 10.11.13.21 v lokální síti (gw 10.11.13.1).

Cílem je:
- zpřístupnit služby na LAN serveru do internetu.
- aby služby na LAN serveru viděly _skutečnou src address_ klienta z internetu.
- aby komunikace počínající (state NEW) na LAN serveru byla směrována standardně přes CGNAT a nikoliv wg tunelem přes VPSku (omezená bandwith, cena).

Nestačí mi:
- Webová reverse proxy na VPSce.
- Protože ta neřeší přístup na ostatní služby (IMAP, SMTP, cokoliv nepoužívající HTTP...)

Vyzkoušel jsem, funguje to, ale nesplňuje to podmínky:
- WireGuard mezi VPS a LAN serverm s pomocí DNAT (směrování portů z veřejné IP na LAN server) a AllowedIPs=0.0.0.0/0: skript `wg-quick` automaticky změní default route a veškerá komunikace jde přes tunel.
- `rathole` mezi VPSkou a LAN serverem - službám se dotazy jeví jako od `localhost`.

Marně zkouším:
- Vypnout automatiku `wg-quick` ohledně směrování.
- Označit komunikaci přicházející na LAN server z `wg0` (tunelu).
- Stejně označit i odpovědi služeb v rámci související komunikace.
- Nastavit policy based routing, aby označené pakety použily jako default route ten tunel a tedy zbylá komunikace nešla přes tunel, ale CGNAT (lokální router a ISP).

Dotaz z internetu přes VPS dorazí na lokální server, ale odpověď se vratí přes lokální router a ISP, takže je nakonec "zahozen". Nicméně, ping mezi VPSkou a LAN serverem funguje.

Konkrétně:

/etc/wireguard/wg0.conf na LAN serveru:

[Interface]
Address = 10.0.37.2/24
... zkráceno ...
Table = off  
PostUp = iptables -t mangle -A PREROUTING -i wg0 -j CONNMARK --set-mark 0x51872  
PostUp = iptables -t mangle -A OUTPUT -m mark --mark 0x51872 -j CONNMARK --restore-mark  
PostUp = ip route add default dev wg0 table 51872  
PostUp = ip rule add fwmark 0x51872 table 51872  
[Peer]
...
AllowedIPs = 10.0.37.1/32,0.0.0.0/0

Stav na LAN serveru:

# ip rule show all  
0:      from all lookup local  
32765:  from all fwmark 0x51872 lookup 51872  
32766:  from all lookup main  
32767:  from all lookup default
# ip route show table all
default dev wg0 table 51872 scope link
default via 10.11.13.1 dev br1 proto static
10.0.37.0/24 dev wg0 proto kernel scope link src 10.0.37.2
10.11.13.0/24 dev br1 proto kernel scope link src 10.11.13.21
172.17.0.0/24 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
... zkráceno ...
local 10.0.37.2 dev wg0 table local proto kernel scope host src 10.0.37.2
broadcast 10.0.37.255 dev wg0 table local proto kernel scope link src 10.0.37.2

Co dělám špatně. Případně: jak to vyřešit jinak?

V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

Offtopic diskuse použijte pro diskusi mimo záběr našeho portálu (včelařství, windows), která by měla být smazána.
Duplicitní diskuse je určena pro případ, kdy uživatel odeslal svůj dotaz několikrát.
Návrh na cenzuru použijte, pokud komentář obsahuje urážky, vulgarismy nebo porušuje zákony.
Návrh na smazání komentáře je velmi neobvyklá akce používaná obvykle při nepovolené reklamě či spamu, výkřicích psychicky nemocných jedinců (ještírci) nebo pro smazání duplikátních komentářů.
Oprava formátování je žádost pro úpravu formy příspěvku, například pokud někdo píše bez odstavců nebo použije PRE pro celý komentář. Žádosti o změnu obsahu budou zamítnuty.

Vaše jméno
Váš email
Typ požadavku

Slovní popis