abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 06:00 | IT novinky

Otevřená certifikační autorita Let's Encrypt v příspěvku na svém blogu informuje, že žádosti o vystavení certifikátů nově validuje z několika míst současně (Multi-Perspective Validation). Další informace v diskusním fóru.

Ladislav Hagara | Komentářů: 0
včera 13:55 | Nová verze

Byla vydána verze 15.0 na Debianu založené linuxové distribuce Untangle NG Firewall. Přehled novinek v poznámkách k vydání a ve videu na YouTube. Vyzkoušet lze (zatím neaktualizované) demo webového rozhraní.

Ladislav Hagara | Komentářů: 1
včera 12:11 | Pozvánky

Letošní ročník konference LinuxDays se uskuteční o víkendu 3. a 4. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během devátého ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru nebo Facebooku, přidat se můžete také do telegramové diskusní skupiny.

Petr Krčmář | Komentářů: 1
včera 10:22 | Zajímavý článek

Alexander Popov se v příspěvku na svém blogu podrobně věnuje možnostem zneužití bezpečnostní chyby CVE-2019-18683 v linuxovém podsystému V4L2. Videoukázka eskalace práv na YouTube. Chyba byla v upstreamu opravena v listopadu loňského roku. Alexander Popov se chybě věnoval ve své přednášce (pdf) na konferenci OffensiveCon 2020.

Ladislav Hagara | Komentářů: 0
včera 06:00 | Nová verze

Byla vydána nová verze 20.02.17 svobodného multiplatformního video editoru Shotcut (Wikipedie). Přehled novinek v oznámení o vydání. Využíván je MLT Multimedia Framework 6.20.0 a WebVfx 1.2.0. Nejnovější Shotcut je k dispozici také ve formátech AppImage, Flatpak i Snap.

Ladislav Hagara | Komentářů: 2
18.2. 16:22 | IT novinky

Spolkový úřad pro informační bezpečnost (Bundesamt für Sicherheit in der Informationstechnik) schválil používání softwarů Gpg4win a Gpg4KDE, tj. nadstaveb nad GnuPG, pro šifrování a přenos utajovaných informací stupně utajení Vyhrazené (VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)), EU RESTRICTED a NATO RESTRICTED [reddit].

Ladislav Hagara | Komentářů: 0
18.2. 12:44 | Humor

Viceprezident společnosti Oracle Matthew O'Keefe napsal na Twitteru: "Kdyby databáze Oracle neexistovala, světová ekonomika by se zastavila. Kdyby většina open source distribuovaných databází neexistovala, byl by svět pro data mnohem bezpečnějším místem". Příspěvek rozpoutal diskusi nejenom na redditu a následně byl z Twitteru smazán (Wayback Machine).

Ladislav Hagara | Komentářů: 17
18.2. 09:33 | Nová verze

Byla vydána nová verze 1.38 správce síťových připojení ConnMan (Wikipedie). Z novinek lze zdůraznit podporu WireGuardu.

Ladislav Hagara | Komentářů: 0
18.2. 06:00 | Zajímavý projekt

Byl spuštěn Humble Book Bundle: Cybersecurity 2020 by Wiley. Za 1 euro a více lze koupit 7 elektronických knih, za 7,50 eur a více lze koupit 13 elektronických knih a za 13,50 eur a více lze koupit 20 elektronických knih věnovaných kybernetické bezpečnosti od nakladatelství Wiley. Peníze lze libovolně rozdělit mezi nakladatelství Wiley, Humble Bundle, Electronic Frontier Foundation a Let's Encrypt.

Ladislav Hagara | Komentářů: 0
17.2. 21:55 | Zajímavý článek

Clear Linux je distribuce vyvíjená firmou Intel; vybočuje optimalizací na výkon, pročež se používá např. k běhu benchmarků, ale také pro vývojáře či do cloudu. Recenze na Ars Technica se zaobírá použitím Clear Linuxu jako uživatel: instalace, pozorování rychlosti spouštění Gimpu, správa balíčků a instalace Google Chrome nebo konfigurace OpenZFS. Praktické nasazení mimo specializace, kde je výkon kritický, nakonec nedoporučuje.

Fluttershy, yay! | Komentářů: 5
Vydržela vám novoroční předsevzetí?
 (9%)
 (6%)
 (3%)
 (82%)
Celkem 161 hlasů
 Komentářů: 0
Rozcestník

natd non howto

13.9.2006 17:20 | Přečteno: 941×

Na servery sme išli oddeliť www od mailov na samostatný server (tiež s verejnou ipčkou). Vzhľadom na problémy s mail klientami, sme sa rozhodli hodiť na novú ip adresu www server a maily nechať na pôvodnej. a tu začali problémy.

Kedže je dns rozhadzané u viacerých providerov (čo neovplivním), vznikla požiadavka natovať port 80 z pôvodnej jednej ipčky na tú novú (ak sa nepodarí zmeniť všetky dns záznamy aby www fungovalo trochu bez viditeľných problémov).

Logické riešenie bolo natovať port 80 zo starej na novú ipčku. V manuáloch ani v žiadnych howto sa nikde nepíše že to nie je dobrý nápad.

takže pre tých čo sa s tým trápili tiež (alebo sa chystajú trápiť):

Natovať ide iba vtedy, ked server na ktorý natujete má váš server ako default gateway. dôvodom je že natd neprepisuje hlavičku zdroja (zo smeru von). server na ktorý nanatovaný packet dojde naň sice odpovie, ale odpoved ide úplne iným smerom z úplne inej ip adresy ako klient očakáva, takže sa dostatočne rýchlo a úspešne stratí.

na takéto natovanie sa používa proxy, resp reverzné proxy (testuje pound). prípadne pravidlo firewalu, ktoré by prepisovalo ip hlavičky.

a ešte jedna rada: skôr ako vypnete natd, zrušte pravidlo firewallu ktoré všetky packety posiela na nat daemon (ešte že to bol iba testovací server :-) )

       

Hodnocení: 50 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

13.9.2006 17:24 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: natd non howto
NAT démon? WTF?
13.9.2006 19:46 maleprase | skóre: 28
Rozbalit Rozbalit vše Re: natd non howto
13.9.2006 20:12 miso | skóre: 36 | blog: iSCSI_initiator_howto | Praha
Rozbalit Rozbalit vše Re: natd non howto
bsd za odmenu? ;-)

fee vstupné
fee odměna
fee školné
fee honorář
fee plat
Project Satan infects Calculon with Werecar virus
14.9.2006 10:02 michal00 | skóre: 14 | blog: OpenStreetMap
Rozbalit Rozbalit vše Re: natd non howto
tak tak, CostlessBSD . . .
13.9.2006 21:28 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
Rozbalit Rozbalit vše Re: natd non howto
Samozrejme, ze pomoci DNAT a SNAT to lze. Jen musite proste prepsat zdrojovou adresu, tak aby odpoved sla zase pres natujici stroj. Presne jak pisete prepsat hlavicky.
Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.
14.9.2006 00:46 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: natd non howto
Přesně tak, je potřeba udělat SNAT (source NAT) i DNAT (destination NAT). Bohužel ale člověk přichází o zdrojovou adresu požadavku.

Případně jde serverům "přidělit" nějaký privátní rozsážek, třeba 192.168.123.0/30, nastavit routování a aliasy na síťovkách.

A do třetice je možné použít nějaké komplikovanější pravidlo pro routing, například podle zdrojového portu.

Radek
14.9.2006 09:34 michal00 | skóre: 14 | blog: OpenStreetMap
Rozbalit Rozbalit vše Re: natd non howto
nevedel som, že existuje čosi ako snat. všade (vo väčšine príkladov a problémoch) sa nat spája iba s dnat. idem si okolo toho trošku čítať.

privátny rozsah neviem či by pomohol (bez toho aby jeden bol default gateway, čo nechcem riskovať).

a nastavovať routovanie na dialku je cesta do pekiel (teda do studeného a hlučného pekla serverovne :-) )
14.9.2006 20:37 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: natd non howto
Bohuzel nevim, jak je to resene na FreeBSD, ale bezneserozlisuje SNAT, DNAT a masquerading (coz je specialni pripad SNATu).

A ten rozsah sam o sobe samozrejme moc nepomuze, ale je treba mozne: server A ma 172.16.222.1 a port 80 smeruje na 172.16.222.2 (server B), ktery na vsem do 172.16.222.* udela SNAT. Neni to nic uzasneho, jde jen o prevedeni natovani z jednoho serveru na druhy :)

Radek
14.9.2006 07:48 wo | skóre: 2 | blog: wo
Rozbalit Rozbalit vše Re: natd non howto
možná by mohl stačit rinted, případně přesměrování pomocí iptables (umí to i fw v *bsd)

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.