IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.
Byla vydána nová verze 30.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí JavaScriptu, HTML a CSS Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 124.0.6367.49, V8 na verzi 12.4 a Node.js na verzi 20.11.1. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.
Byla vydána nová verze 9.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn.
Evropský parlament dnes přijal směrnici týkající se tzv. práva spotřebitele na opravu. Poslanci ji podpořili 584 hlasy (3 bylo proti a 14 se zdrželo hlasování). Směrnice ujasňuje povinnosti výrobců opravovat zboží a motivovat spotřebitele k tomu, aby si výrobky nechávali opravit a prodloužili tak jejich životnost.
Bylo oznámeno (cs) vydání Fedora Linuxu 40. Přehled novinek ve Fedora Workstation 40 a Fedora KDE 40 na stránkách Fedora Magazinu. Současně byl oznámen notebook Slimbook Fedora 2.
ČTK (Česká tisková kancelář) upozorňuje (X), že na jejím zpravodajském webu České noviny byly dnes dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem „BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho“ a o údajné mimořádné prohlášení ministra Lipavského k témuž. Tyto dezinformace byly útočníky zveřejněny i s příslušnými notifikacemi v mobilní aplikaci Českých novin. ČTK ve svém zpravodajském servisu žádnou informaci v tomto znění nevydala.
route add -net 172.20.0.0 gw 172.22.162.254Na síti jsou jak windows, tak linux klienti. Zkoušel jsem nastavit routu na routeru, který mají všichni jako gateway, ale funguje jen ping - brána ho totiž přesměruje, ale jiné služby nefungují. Díky za rady.
root@pandora:/# dhcpd --version isc-dhcpd-V3.0.1
Volba routers umí nastavit pouze výchozí bránu, specifický routing se jejím prostřednictvím nastavit nedá.
V popisovaném uspořádání je asi jedinou šancí specifický routing nenastavovat a spolehnout se na redirekty, které zajistí výchozí brána. To by rozhodně fungovat mělo a, jak už bylo řečeno, jestliže funguje ping, pak v routingu problém není.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
7.9.2005 01:34
routers jde nastavit pro každý subnet zvlášť, ne? Stačí mít subnety nadefinované i v DHCP a každému přidělit jiný router, a mělo by to fungovat.
To máte pravdu, ale zde je jiná situace. V tomto případě má subnet X výchozí bránu X1 (kterou stanicím samozřejmě předáte volbou routers) a zároveň pro přístup do subnetu Y používá bránu X2, kde X1!=X2. A ten specifický routing ip r a Y via X2 prostě přes DHCP nadefinovat nelze.
route nepoužívám, ale nezdá se mi, že byste mu nemusel říct, jak je ten rozsah velký. Raději použijte něco jako
ip route add 172.20.0.0/24 via 172.22.162.254nebo si aspoň pomocí '
ip route' zkontrolujte, co do té směrovací tabulky skutečně zapsal.
Jinak obvyklá rada: použijte tcpdump nebo ethereal ke zjištění, kde přesně se ty pakety vlastně ztrácejí, pak budete moudřejší.
option routers 172.22.162.1;IP DHCP serveru a zároveň brány je 172.22.162.1
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.120.0 172.22.162.222 255.255.255.0 UG 0 0 0 eth0 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 172.22.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 172.20.0.0 172.22.162.254 255.255.0.0 UG 0 0 0 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 192.168.10.1 0.0.0.0 UG 1 0 0 eth1takto se chová ping, pokud se chci pingnout na stroj v síti, do které mě musí brána redirektovat:
mira@krumpl:~$ ping 172.20.123.223 PING 172.20.123.223 (172.20.123.223) 56(84) bytes of data. 64 bytes from 172.20.123.223: icmp_seq=1 ttl=127 time=7.31 ms From 172.22.162.1: icmp_seq=2 Redirect Host(New nexthop: 172.22.162.254) 64 bytes from 172.20.123.223: icmp_seq=2 ttl=127 time=6.79 msPing prostě funguje, ale pokud se chci spojit třeba na ssh toho stroje, tak dostanu chybu o timeoutu, pokud nastavím routu na mém počítači, všechno funguje jak má. Vůbec to nechápu! Díky za rady
No a co vám poví tcpdump, když posloucháte na odchozím rozhraní stroje, z nějž se přihlašujete, na rozhraních příslušných bran a na příchozím rozhraní stroje, na nějž se přihlašujete?
Teorie říká, že když uděláte to, co děláte vy (tj. generujete provoz přes výchozí bránu, přičemž tento by měl být routován jinudy), tak vám 1) výchozí brána pošle zprávu ICMP redirect, 2) výchozí brána váš provoz předá tam, kam má, 3) váš stroj si to zapamatuje a příště už půjde správnou cestou.
Přestože by za normálních okolností měly být splněny všechny tři body, nemusí to být vždy pravda. Brána nemusí posílat ICMP redirekty (jde to jednak vypnout na úrovni jádra a jednak to jde zablokovat firewallem). Brána nemusí předat provoz tam, kam má (což by bylo sice hrubé porušení RFC, protože brána routovat musí VŽDY, i když existuje lepší trasa jinudy), ale dokážu si představit různé situace a pseudoimplementace, kde se brána bude chovat nekorektně. No a váš stroj může ignorovat ICMP redirekty a "nepřeučí" se podle nich routing (to je situace poměrně běžná, tyto redirekty se často záměrně ignorují jako bezpečnostní riziko, ovšem nelze to dělat v případě, kdy na nich routing spoléhá).
Kromě toho může být branou předávaný provoz na různých místech zahazován, protože typicky příchází odjinud, než by odpovídalo zdrojové adrese, takže jej mohou různě zahazovat firewally a/nebo rp-filtry.
Jinak řečeno, možných příčin jsou celé soustavy a přesnou diagnostiku musíte provést sám pomocí tcpdumpu nebo etherealu nebo něčeho takového. Víc už vám těžko někdo bez dalších informací poradí.
Používám iptables, díky moc
Takže, teď už jenom věštím, protože nemám dost údajů. Tipuju, že na bráně máte (bez omezení) forwardován protokol ICMP (což je žádoucí nastavení). No a nějak tam omezujete nějaké ty vyšší protokoly, spojení odkudsi kamsi a podobně, v čemž je zrada.
Řekněme, že máte PC s IP 10.1.0.100/24, jeho výchozí brána je 10.1.0.1/24 a přes tuto bránu snažíte se o SSH na stroj 10.2.0.100/24 do sítě 10.2.0.0/24, přičemž správně byste měl do této sítě routovat přes 10.1.0.10/24, nikoliv přes výchozí bránu.
Ta výchozí brána přijme rozhraním (řekněme) eth0 váš (neoptimálně routovaný) TCP SYN určený pro 10.2.0.100, prožene jej svým forward chainem a pak jej eventuálně opět rozhraním eth0 routuje na 10.1.0.10. (Zkuste si to namalovat.) No takže musíte mít pravidla nastavena tak, aby tato operace byla možná. Nenechte se zmýlit tím, že to ta brána "jenom odrazí stejným rozhraním", ona to normálně routuje, akorát (shodou okolností) je příchozí a odchozí rozhraní stejné.
Pravidla holt musíte posoudit a vymyslet sám, to už vám fakt bez křišťálové koule nadiktovat nejde.
Omylem jsem firewall vypnul a všechno fungovalo, ale po zapnutí opět ne. Představit si to umím, ale přesně nevím co mám povolit! Povolil jsem
--icmp-type network-redirectale bez výsledku! Zkoušel jsem i samotný redirect, ale stále nic. Vím, že bych to někde našel, ale pokud mi to řeknete, bude to myslím rychlejší
No to mě těší, sám jsem z vašeho příspěvku o vyřešení poněkud rozpačitě nechápal, jak vám to mohlo začít fungovat.
Takže se vrátíme k mému vysvětlení, jo? Vy posíláte nějaký paket někam blbou routou. Vaše brána na to zareaguje tak, že vám 1) pošle ICMP redirect (to ona dělá, je to vidět na tom pingu), 2) má to přeroutovat správně, to ale zjevně nedělá, protože jí to zakáže vaše nastavení firewallu a 3) vaše stanice by se měla z ICMP redirectu poučit a příště to udělat správně, to ale zjevně nedělá, protože to má (asi defaultně) zakázáno.
Pochopte prosím, že nejde o filtraci ICMP redirectu. To je jen informativní zpráva, podle které by se vaše stanice mohla zařídit (ale zjevně se nezařizuje). Jde o to, že brána neforwarduje věci, které by forwardovat měla. Ale to sakra musíte nastavit sám.
Budete-li ve stavu nouze (a tím nemyslím, že jenom zmodráte), tím myslím velkou nouzi, tak sem zkuste vypsat nastavení iptables na té vaší bráně.
Takže věc se má asi tak: už jsem konečně pochopil, že to není o ICMP zprávách Tak jsem hledal chybu v chainu FORWARD, tam mám nastaveno, že všechno ze zdrojových adres naší sítě, má forward povoleno-jinak by ani nešel internet
iptables -A FORWARD -i $LAN -s muj_pocitac -j ACCEPTv tom by podle mě problém být neměl. Potom je tu pravidlo v chainu INPUT:
iptables -A INPUT -i $LAN -j ACCEPTtady by taky problém neměl být! Vypadalo to, že problém je v chainu OUTPUT, do kterého jsem proto dopsal pravidlo
iptables -A OUTPUT -o $LAN -j ACCEPTZapnu firewall a zase to nefunguje
Definitivně jste překročil hranice toho, co dokážu vyčuchat a co si dokážu vycucat z prstu. Co kdybyste mi ten skript třeba mailnul?
ale až na ten redirect to funguje
# Routing zevnitr site a zase zpet neomezujeme (kravina)Jste si jistý, že je to kravina, a že by to mělo být zakomentováno?
Teď už to fakt funguje! V první řade vám proto děkuji, ale opravdu nechápu, jakou kombinaci pravidel jsem předtím vymyslel, že ani po zadání tohoto, routing nefungoval správně Ještě jednou opavdu ze srdce děkuji!
V tom případě to nechápu taky. Pokud v tom skriptu máte
$IPTABLES -A FORWARD -i $LAN1_IFACE -o $LAN1_IFACE -j ACCEPT
a o řádek níž pak
$IPTABLES -A FORWARD -i $LAN1_IFACE -s milan -j ACCEPT
a z počítače milan vám to*) bez prvního pravidla nefunguje a s prvním pravidlem jo, tak to samozřejmě nedává smysl.
Jediné vysvětelní, které mám, je to, že skript, který jste uvedl, není tak úplně přesně stejný jako skript, kterým ten firewall finálně nastavujete. Ale to už není můj problém
*)To = to, o čem se tady celou tu dobu bavíme.
Tiskni
Sdílej:
