Fedora 40 release party v Praze proběhne v pátek 17. května od 18:30 v prostorách společnosti Etnetera Core na adrese Jankovcova 1037/49, Praha 7. Součástí bude program kratších přednášek o novinkách ve Fedoře.
Stack Overflow se dohodl s OpenAI o zpřístupnění obsahu Stack Overflow pro vylepšení OpenAI AI modelů.
AlmaLinux byl vydán v nové stabilní verzi 9.4 (Mastodon, 𝕏). S kódovým názvem Seafoam Ocelot. Přehled novinek v příspěvku na blogu a v poznámkách k vydání.
Před 50 lety, 5. května 1974 v žurnálu IEEE Transactions on Communications, Vint Cerf a Bob Kahn popsali protokol TCP (pdf).
Bylo vydáno do češtiny přeložené číslo 717 týdeníku WeeklyOSM přinášející zprávy ze světa OpenStreetMap.
Byla vydána (Mastodon, 𝕏) nová stabilní verze 2.10.38 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.
Google zveřejnil seznam 1220 projektů od 195 organizací (Debian, GNU, openSUSE, Linux Foundation, Haiku, Python, …) přijatých do letošního, již dvacátého, Google Summer of Code.
Na základě DMCA požadavku bylo na konci dubna z GitHubu odstraněno 8535 repozitářů se zdrojovými kódy open source emulátoru přenosné herní konzole Nintendo Switch yuzu.
Webový prohlížeč Dillo (Wikipedie) byl vydán ve verzi 3.1.0. Po devíti letech od vydání předchozí verze 3.0.5. Doména dillo.org již nepatří vývojářům Dilla.
O víkendu probíhá v Bostonu, a také virtuálně, konference LibrePlanet 2024 organizovaná nadací Free Software Foundation (FSF).
Tiskni
Sdílej:
S timto problemem jsem se take setkal, ale z druhe strany - jako administrator CRFreeNetu. Vnitrni sit mame na privatnich adresach (a je asi nerealne ji celou preklopit na verejne, a ani tolik verejnych adres nemame) a verejne adresy resime metodou NAT 1:1 na brane. Problem je takovy, ze pri tomhle pristupu nefunguje zminena verejna adresa z vnitrni site. A zatim vsechny zpusoby, jak tenhle problem obejit, (ktere me napadly) maji vic problemu nez je jejich prinos. Na druhou stranu - ve vnitrni siti je pocitac dostupny pod privatni adresou, tak neni takovy problem, ze neni dostupny pod verejnou adresou.
A zatim vsechny zpusoby, jak tenhle problem obejit, (ktere me napadly) maji vic problemu nez je jejich prinos.
Toto: iptables --table nat --append PREROUTING --destination ${MOJA_VEREJNA_IP_88.212.X.X} --jump DNAT --to-destination ${MOJA_SUKROMNA_IP_10.32.X.X} požívam dosť často v mojich sieťach s takýmto používaním verejnej IP a funguje to úplne bez problému.
Na druhou stranu - ve vnitrni siti je pocitac dostupny pod privatni adresou, tak neni takovy problem, ze neni dostupny pod verejnou adresou.
Ale to je problém a sakra veľký, lebo ja som zasa doteraz neprišiel na to ako prinútiť DNS aby odpovedal na požiadavky z rozsahu 10.32.X.X inak ako na požiadavky zo sveta. Samozrejme, že nemyslím na to, že by som mal nejaké problémy s viacerými DNS zónami, ale keď si používateľ na tom intranete "klikne" na www.domena.sk tak ho to odkáže na DNS 88.212.X.X a je to v prdeli, tam sa proste nedostane aby od neho dostal už tú neverejnú IP.
> Toto: iptables --table nat --append PREROUTING --destination ${MOJA_VEREJNA_IP_88.212.X.X} --jump DNAT --to-destination ${MOJA_SUKROMNA_IP_10.32.X.X} požívam dosť často v mojich sieťach s takýmto používaním verejnej IP a funguje to úplne bez problému.
Pokud myslis dat tohle pravidlo na branu, tak to obecne nemusi fungovat - paket od druhe strany pujde podel default gateway na branu, tam se prenatuje na vnitrni adresu a dojde do cile, ale odpoved bude smerovana na puvodni zdrojovou adresu, muze se vyhnout brane a puvodnimu odesilateli dojde odpoved s privatni zdrojovou adresou (kterou zahodi). Takze to funguje jen kdyz cesta mezi dvema komunikujicimi pocitaci v siti vede pres branu (nebo pres misto, kde probiha ten NAT).
Slo by to vynutit tak, ze na brane by se vzdy natoval i zdrojova adresa (z privatni na verejnou), ale to ma zas jine problemy.
Slo by to vynutit tak, ze na brane by se vzdy natoval i zdrojova adresa (z privatni na verejnou), ale to ma zas jine problemy.
Aké? Nepodrývam, ale sa fakt seriózne pýtam, lebo mi evidentne niečo ušlo.
Minimalne to, ze veskery interni provoz pak musi jit pres branu (i kdyz jde treba o komunikaci mezi dvema pocitaci na stejne ethernetove siti). Pak taky je docela netrivialni popsat pripady, kdy se ma na brane provadet SNAT a kdy ne (zatimco tradicne se provadi SNAT jen kdyz paket odchazi na vnejsi rozhrani). Myslim, ze tam byla jeste nejaka dalsi potiz vyplyvajici z te posledne zminene, na kterou si ted nevzpominam.
Takze to funguje jen kdyz cesta mezi dvema komunikujicimi pocitaci v siti vede pres branu (nebo pres misto, kde probiha ten NAT).Múj provider používá nejspíš přesně tuhle metodu - veškerá komunikace musí jít skrz brány, které dělají NAT, navíc každý má vnitřní adresu ve formě 10.x.x.x/2 - sudá je adresa stroje, lichá adresa brány (tj. každý klient má vlastni adresu na místní bránu).
11.8.2009 13:14
xxx | skóre: 42
| blog: Na Kafíčko
To je podezrele. Me tohle totiz kdysi nefungovalo. Tusim, ze problem byl v tom, ze na vnitrinm rozhrani dojde k tomu ze se pouzije prerouting, z nej vypadne [SRC=addr_in_cli, DST=addr_ext_srv] z gw pak odejde [SRC=addr_ext_gw DST=addr_in_srv]. Ta doputuje k serveru, ten logicky odpovi se [SRC=addr_in_srv, DST=addr_ext_gw]. Jenze to pravidlo u preroutingu uz tenhle paket nepozna, protoze ocekava [SRC=addr_ext_srv, DST=addr_in_cli]. Doufam, ze je to alespon trochu pochopitelne. Podivjete se na to prochazeni. Melo by to vyt videt pokud si dokreslite adresy do toho digramu.
Pokud vam to funguje, tak jsem asi neco tehda opominul. nicmene resit se to nejak da.
11.8.2009 20:35
Josef Kufner | skóre: 70
Na druhou stranu - ve vnitrni siti je pocitac dostupny pod privatni adresou, tak neni takovy problem, ze neni dostupny pod verejnou adresou. Ale to je problém a sakra veľký, lebo ja som zasa doteraz neprišiel na to ako prinútiť DNS aby odpovedal na požiadavky z rozsahu 10.32.X.X inak ako na požiadavky zo sveta.To mám doma rozchozené: Běžná domácí síť, pár počítačů a server, na privátním rozsahu za NATem. DNS (bind) běží na serveru, který je současně i routerem a firewallem. Na požadavky z Internetu odpovídá, že všecko je on (tedy *.domena.tld = verejna IP adresa) a z vnitřní sítě (192.168.*.*) vraci poslušně privátní IP adresy jednotlivých počítačů. Navíc mám ještě nastavený mailserver tak, aby poštu z Internetu přijímal na všech adresách a uživatelé si je pak mohou vyzvednout. Takže pokud je odeslán mail z Internetu na neco.domena.tld, je doručen na server a tam počká než si ho stáhnu. A pokud je odeslán z vnitřní sítě, jde rovnou na daný počítač. Nastavení zón v bindu:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
acl lan {
127.0.0.1;
192.168.0.0/16;
};
acl internet {
!lan;
any;
};
view "local_net_view" {
match-clients { lan; };
allow-recursion { lan; };
...
}
view "internet_view" {
match-clients { internet; };
...
}
Soubory s adresama pak samozřejmě existují ve dvou variantách.
Btw, uvažoval jsi o reklamaci?
11.8.2009 20:38
Josef Kufner | skóre: 70
Mozna by mohlo fungovat nastavit pevnou routu na ten host ve stejnej siti pres jejich router. Tvuj comp by posilal komunikaci na jejich router a ten by to preposilal na cilovej server. Muzes to treba zkusit, bohuzel je to uchylny reseni.Mám podobně řešené routování do sousední LAN. Abych nemusel nastavovat routy na každém počítači v síti, tak to mám nastavené jen na serveru. Může se zdát, že pak pakety lítají zbytečně tam a zpět, ale naštěstí jsou ty počítače celkem chytré a server pošle ICMP redirect a vyjma pár prvních paketů to lítá přímo (doporučuji ověřit tcpdumpem).
Jak bylo zmíněno nade mnou, tak by měl být počítač přístupný pod privátní adresou z vnitřní sítě. A pokud tomu tak je, tak logicky stačí jen záznam v privátním DNS, ne? Sice byste měl dva záznamy (venku v Internetu na vaší veřejnou IP a uvnitř na vaši privátní IP) ale mohlo by to fungovat, nepletu-li se někde...
Ale to sa bohužiaľ pletieš. Pokiaľ mi je známe, tak ešte neexistuje možnosť vytvárania zón v koreňovom DNS. Proste po lopate povedané, ako som to napísal už vyššie: ja si môžem urobiť do DNS novú zónu pre celú sieť 10.0.0.0 ale je mi to prd platné, lebo keď si hocijaký klient na tejto sieti klikne na moju www.domenu.sk tak ho to koreňový DNS odkáže na IP adresu 88.212.X.X a tým pádom celá komunikácia skončila. Takže asi tak.
Blbé je, že stačí aby pak někdo v síti Antiku nepoužíval jejich DNS (z jakéhokoli důvodu), a celý problém je to znovu. A když někdo nepoužije DNS a nastaví si někde přímo IP adresu?
Jako jediné spolehlivě funkční řešení bych viděl tu nápravu routingu, ale když všichni píšou že to sebou nese další komplikace ... :(. A proč vlastně brána nemůže jen oběma stranám poslat ICMP redirect místo aby se o celý provoz starala sama (když jsou oba počítače na vnitřní síti zjevně schopné bavit se spolu samy)? Samozřejmě za předpokladu že ten počítač bude mít na příslušném interfejsu jak interní IP, tak i alias pro externí IP.
No, každopádně jsem rád že nemám takovéhohle ISP :).
11.8.2009 13:29
AraxoN | skóre: 47
| blog: slon_v_porcelane
| Košice
Odpoveďou sú T-Com, Orange, Chello, a možno aj ďalší, ktorí majú v Košiciach optickú sieť a defaultne poskytujú normálne verejné IPčky.
No - to je posledné a asi aj jediné riešenie - jedine čo ma pri antiku držalo bolo synchrónne 34Mb (sice reálne okolo 10-15Mb ale aj tak) za cenu 690,- Sk. No čo už - čo iné by som mohol asi chcieť za takú cenu (okrem pravidelných výpadkov 
)
11.8.2009 15:11
jose17 | skóre: 44
| blog: Joseho_blog
| Bratislava
btw ja mam od antiku public IP a zdarma. 150 kaciek stalo povodne, potom ten poplatok zrusili. j
Nuze kamo, neviem, kde ten problem je, ale u Antiku to s najvacsou pravdepodobnostou nebude 
1.) za verejnu IP uz peknych par mesiacov platit nemusis, staci ak prides na sidlo spolocnosti a po podpise novej zmluvy ju dostnanes zdarma
2.) priamo v zmluve je uvedene, ze je to verejna IP adresa realizovana formou NAT1:1 (ako v starej zmluve, kde sa za nu platilo150,- , tak aj v novej, kde ju mas zdarma)
3.) sam verejnu IP od nich mam uz peknych par rokov, a vzdy mi fungovala aj v ich vnutornej sieti. Jedina nefungujuca vec bola, ze som sa na nu nevedel dopingat zo svojho vlastneho stroja (toho, na ktory bol ten NAT nasmerovany). Z hociktoreho ineho stroja v ich sieti to uz slo.
Skus si pre istotu este raz skontrolovat, ci problem nie je niekde u teba
Bolo by mozne, ze v jednej casti siete to ide a v druhej nie, ale po tohtorocnej modernizacii, ked presli na optiku a vsade nakupili nove masiny neverim, ze by ich siet nebola pekne homogenna co sa vlastnosti tyka.
Viktor
1.) to svedčí len o ich neserióznosti
2.) no a?
3.) ked ju máš omylom routovanu, tak ti to samozrejme, že funguje a ak máš NAT 1:1 tak ti neverím - klameš
Problém u mňa nie je a to potvrdil aj pán Hrabčák (vedúci sieťového oddelenia) z antiku a ináč fakt nič proti antiku (lebo až na dosť časté výpadky ktoré prežijem) taká ponuka za takú cenu v KE proste nie je ale žeby sa dala ich sieť považovať za homogénnu, ha ha, väčší zliepanec si len tažko predstaviť.
1.) to svedčí len o ich neserióznosti
ja v tom sice ziadnu neserioznost nevidim, ale to je vec uhla pohladu
2.) no a?
reagoval som na toto:
Preto sa pýtam (sorry, že je to v blogu - ale z poradne by to asi bolo vymazané): môžu toto robiť, že "prenajímajú" IP adresu ktorá nefunguje tak ako by normálny používateľ očakával?
V zmluve je priamo uvedene, akym technockym sposobom je tato verejna IP realizovana, ze to nie je routovana IP, ale len NATovana
3.) ked ju máš omylom routovanu, tak ti to samozrejme, že funguje a ak máš NAT 1:1 tak ti neverím - klameš
Problém u mňa nie je a to potvrdil aj pán Hrabčák (vedúci sieťového oddelenia) z antiku a ináč fakt nič proti antiku (lebo až na dosť časté výpadky ktoré prežijem) taká ponuka za takú cenu v KE proste nie je ale žeby sa dala ich sieť považovať za homogénnu, ha ha, väčší zliepanec si len tažko predstaviť.
Routovanu je nemam, mam je NATovanu. Tak ako kazdy radovy zakaznik. A ide mi to
Samozrejme, aby som nezavadzal, len co budem doma, vyskusam si to este raz, ci sa nahodou za posledny meciac nieco nezmenilo.
Co sa homogennosti tyka, zrejme ani jeden z nas nie je kompetentny sa k tomu vyjadrovat
Pekny den
Viktor
ospravedlnujem sa za zmatocne formatovanie
-i eth0), tak sa to imho môže takto blbo chovať.
Si loosa, Antik su kapacity, NAT 1:1 je uplne bezne a nemozes s tym mat problem, i ked mi to robime bez toho, povodne sme zvazovali 1:1. Nic na tom nie je, a problem je niekde inde a nie v Antiku
11.8.2009 22:08
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
12.8.2009 01:16
AraxoN | skóre: 47
| blog: slon_v_porcelane
| Košice
Haha, Antik sú kapacity! Už od doby, keď Kolla doma na byte lepiacou páskou "opravoval" počítače Amiga aby ho nespokojní zákaznici neubili topánkou.
Ale vážne... počul som strašné veci o Antikáckej sieti ešte z dôb keď nemali optiku. Možno to je teraz už inak, ale vtedy sa mi vlasy ježili - ethernet omotaný okolo bleskozvodu, switche na priamom daždi a tak podobne. A to hovoríme o období cca 2004, a nie 10 rokov predtým, takže sa nemôže nikto vyhovárať, že sa ešte nevedelo ako sa to má správne robiť.
Keď to bolo myslene ako vtip, tak sa ti to nepodarilo. Ak to bolo myslene vážne, tak ... no všetci sme nejaký a väčšinou za to nemôžeme.
Přidám se k názoru, že NATkovat veřejnou IP vevnitř sítě sice technicky jde, ale prakticky je to děs. Zvlášť třeba pokud stejná mašina dělá i řízení provozu - pak se vnitřní provoz započítává do internetového, a to je třeba v případě czfree sítí politický problém (o zbytečném zatěžování toho routeru nemluvě).
Další problém je též zde někde zmíněný ICMP redirect. Už ho někdo někdy viděl defaultně povolený na firewallech? A zkoušel navádět BFU na změnu firewallu na windows po telefonu "chceš vidět moje webové stránky? Povol si redirect ...". Ono to ani není zrovna bezpečné si to nechat povolené, přesměruju ti jedním paketem třeba mail.seznam.cz ... a ty nic nepoznáš a dáš mi heslo.
Ideální řešení je dvojitá DNS. Někde výše byly zmíněny "views" od BINDu. Pak je to jednoduché - členové sítě musí používat vnitřní DNSky, tedy vždy vyfasují vnitřní IP. Kdokoliv z internetu ale veřejnou. A je klid.
tak co, ako si u nich pochodil? ja mam s nimi len pozitivne skusenosti (az na wifi oddelenie, tam su sami jebovia, najma ten ich sef) a co sa tyka hocakeho problemu, stale ho dokazili vyriesit promptne a k mojej spokojnosti.
na druhej strane mam z overeneho zdroja, ze vobec nepouzivaju linux a teda iptables ako uvadzas priklad, vsetko routuju na cisco zariadeniach. uz ani pomaly neviem, kedy som mal vypadok, aj ked v minulosti to bolo horsie