Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Pebble Round 2

včera 23:00 | IT novinky

Společnost Pebble představila (YouTube) chytré hodinky Pebble Round 2. S kulatým e-paper displejem, s open source PebbleOS a vydrží baterie přibližně dva týdny. Předobjednat je lze za 199 dolarů s plánovaným dodáním v květnu.

Ladislav Hagara | Komentářů: 0

Zákaz Raspberry Pi na inauguraci newyorského starosty

včera 14:22 | Humor

Na novoroční inauguraci starosty New Yorku Zohrana Mamdaniho bylo zakázáno si s sebou přinést Raspberry Pi anebo Flipper Zero. Raspberry Pi i Flipper Zero jsou explicitně uvedeny v seznamu zakázaných věcí jak na na veřejné pozvánce, tak i na oficiálních stránkách města.

NUKE GAZA! 🎆 | Komentářů: 18

OpenTTD 15.0

včera 11:33 | Nová verze

OpenTTD (Wikipedie), tj. open source klon počítačové hry Transport Tycoon Deluxe, byl vydán v nové stabilní verzi 15.0. Přehled novinek v seznamu změn a také na YouTube. OpenTTD lze instalovat také ze Steamu.

Ladislav Hagara | Komentářů: 2

IceWM 4.0.0

včera 11:11 | Nová verze

Správce oken IceWM byl vydán ve verzi 4.0.0, která např. vylepšuje navigaci v přepínání velkého množství otevřených oken.

|🇵🇸 | Komentářů: 4

Digitální knihovna ACM

včera 01:33 | Zajímavý projekt

Od 1. ledna 2026 jsou všechny publikace ACM (Association for Computing Machinery) a související materiály přístupné v její digitální knihovně. V rámci této změny je nyní digitální knihovna ACM nabízena ve dvou verzích: v základní verzi zdarma, která poskytuje otevřený přístup ke všem publikovaným výzkumům ACM, a v prémiové zpoplatněné verzi, která nabízí další služby a nástroje 'určené pro hlubší analýzu, objevování a organizační využití'.

NUKE GAZA! 🎆 | Komentářů: 5

Konec podpory HP-UX

1.1. 16:44 | IT novinky

S koncem roku 2025 skončila standardní podpora operačního systému HP-UX (Hewlett Packard Unix).

Ladislav Hagara | Komentářů: 10

Volná díla od 1. ledna 2026

1.1. 14:33 | Nová verze

K 1. lednu 2026 končí 70leté omezení majetkových autorských práv děl autorů zesnulých v roce 1955, viz 2026 in public domain. V americkém prostředí vstupují do public domain díla z roku 1930, viz Public Domain Day.

|🇵🇸 | Komentářů: 3

PF 2026

31.12. 15:00 | Nová verze

Všem vše nejlepší do nového roku 2026.

Ladislav Hagara | Komentářů: 12

Crown Game Engine 0.60

31.12. 13:33 | Zajímavý software

Crown je multiplatformní open source herní engine. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT a GPLv3+. Byla vydána nová verze 0.60. Vyzkoušet lze online demo.

Ladislav Hagara | Komentářů: 0

curl bez strcpy()

31.12. 12:11 | Zajímavý článek

Daniel Stenberg na svém blogu informuje, že po strncpy() byla ze zdrojových kódů curlu odstraněna také všechna volání funkce strcpy(). Funkci strcpy() nahradili vlastní funkcí curlx_strcopy().

Ladislav Hagara | Komentářů: 6

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 1, poslední včera 06:15

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Packety z vnitrni site za NATem

Štítky: databáze, distribuce, firewally, Gentoo, HTB, Internet, iptables, kernel, Linux, NAT, QoS, sítě, tcpdump

Dotaz: Packety z vnitrni site za NATem

18.11.2006 08:06 Andy | skóre: 18 | NMnMet
Packety z vnitrni site za NATem

Přečteno: 235×

Odpovědět | Admin

ahoj, zjistilo se, ze mi utikaji packety z vnitrni site za NAT nevite co s tim??

popis:

AMD64 3000+

aktualizovane Gentoo,kernel 2.6.18r2, iptables v1.3.5

3 bezdratove karty s atheros chipsetem bezici na madwifi-ng 0.9.2

mam 4 podsite v rozsahu 192.168.x.x a na rozhrani do internetu verejnou adresu a utika to z jakekoliv podsite v poctu nekolika malo packetu za hodinu a dela to kdykoli (pri zatizeni i bez)

na stroji bezi qos s htb

podstatne z lsmod:

ip_nat_ftp 4480 0

ip_conntrack_ftp 8912 1 ip_nat_ftp

iptable_nat 8452 1

ip_nat 20012 2 ip_nat_ftp,iptable_nat

ip_tables 21936 3 iptable_mangle,iptable_filter,iptable_nat

x_tables 19144 9 xt_MARK,xt_state,ipt_TOS,xt_tcpudp,xt_limit,ipt_REJECT,ipt_LOG,iptable_nat,ip_tables

vypis z tcpdump na ath0 (rozhrani smer inet)

23:52:29.257029 IP 192.168.x.x.3416 > 194.228.32.118.80: F 301461651:301461651(0) ack 1590532203 win 65535

23:52:31.631943 IP 192.168.x.x.3416 > 194.228.32.118.80: F 0:0(0) ack 1 win 65535

23:52:36.361987 IP 192.168.x.x.3416 > 194.228.32.118.80: F 0:0(0) ack 1 win 65535

23:52:46.017786 IP 192.168.x.x.3416 > 194.228.32.118.80: F 0:0(0) ack 1 win 65535

23:53:05.232423 IP 192.168.x.x.3416 > 194.228.32.118.80: F 0:0(0) ack 1 win 65535

23:53:43.661193 IP 192.168.x.x.3416 > 194.228.32.118.80: F 0:0(0) ack 1 win 65535

23:57:47.356646 IP 192.168.x.x.3437 > 194.228.32.118.80: F 3071293138:3071293138(0) ack 1877889949 win 64723

toto je jen u jedne adresy a u ostatnich je to to same

budu velmi vdecny za jakoukoli odpoved... nemuzu nikde nic najit

moc diky

-nd-

Válka je vůl ... a já taky ;) | Chaotic state of my influence.

Nástroje: Začni sledovat (0) ?

Odpovědi

18.11.2006 11:57 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Packety z vnitrni site za NATem

Tvrdíte tedy (pokud jsem to pochopil), že spousta adres v interní síti za NATem posílá pro vás neidentifikovatelné packety?


$ nslookup 194.228.32.118

notify.seznam.cz

viz. výpis WHOIS RIPE databáze

Podle "notify" hádám, že jde o nějakou featurku od seznam.cz, něco jako "Seznam pošťák" či něco obdobného. Proč to ale používají všichni, to nevím.

18.11.2006 12:38 Andy | skóre: 18 | NMnMet
Rozbalit Rozbalit vše Re: Packety z vnitrni site za NATem

asi sem vybral spatnej vzorek:

nejedna se jen o tu adresu na seznam.cz, tech cilovych adres vic

rano sem zrovna umazal ty data, protoze testuju dalsi moznost (rekompiloval sem iptables) tak az tam zase neco bude poslu vzorek adres .

jo jinak jeste sem nenapsal jak NATuju:

iptables -t nat -A POSTROUTING -o ath0 -j SNAT --to verejna adresa

Válka je vůl ... a já taky ;) | Chaotic state of my influence.

20.11.2006 13:54 Andy | skóre: 18 | NMnMet
Rozbalit Rozbalit vše Re: Packety z vnitrni site za NATem

tak doufam ze je vyreseno: za poslednich 5 hodin ani jeden packet takze doufam ze tohle je reseni: zapnuti Default Linux Capabilities v kernelu v sekci Security options

Válka je vůl ... a já taky ;) | Chaotic state of my influence.

20.11.2006 17:29 Andy | skóre: 18 | NMnMet
Rozbalit Rozbalit vše Re: Packety z vnitrni site za NATem

tak to nebylo ono. nema jeste nekdo prosim nejaky napad?

Válka je vůl ... a já taky ;) | Chaotic state of my influence.

20.11.2006 17:48 M
Rozbalit Rozbalit vše Re: Packety z vnitrni site za NATem

rad bych ti nejak pomohl, jen netusim jak :/ nemuzes mit chybu v pravidlech firewallu?

20.11.2006 18:46 Andy | skóre: 18 | NMnMet
Rozbalit Rozbalit vše Re: Packety z vnitrni site za NATem

Praveze by nemela byt, pouzivam firewall z www.root.cz od pana petricka http://www.petricek.cz/mpfw/ upraveny jen pro me potreby. nakonci je jeste navic skript na ip accounting

diky dnesnim zpravickam (iptables tutorial) jsem nasel toto:

Forwarded packets:

nat POSTROUTING

This chain should first and foremost be used for SNAT. Avoid doing filtering here, since certain packets might pass this chain without ever hitting it. This is also where Masquerading is done.

zkusim ty packety dropovat jak by ste dropovali vy?

Válka je vůl ... a já taky ;) | Chaotic state of my influence.

20.11.2006 22:44 M
Rozbalit Rozbalit vše Re: Packety z vnitrni site za NATem

ja osobne mam neco takoveho

$IPTABLES -t nat -A POSTROUTING -o $NETIF -j SNAT --to $NETIP

#forward
$IPTABLES -A FORWARD -i $NETIF -o $LANIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $LANIF -s ! $LANAREA -j REJECT
$IPTABLES -A FORWARD -i $LANIF -o $NETIF -j ACCEPT
$IPTABLES -A FORWARD -i $NETIF -o $NETIF -j REJECT
$IPTABLES -A FORWARD -i $LANIF -o $LANIF -j REJECT

Založit nové vlákno • Nahoru

Tiskni Sdílej: