Přihlášení | Registrace

napište » Zprávičky

Webináře zdarma: PostgreSQL, Zabbix a Wazuh + záznamy předchozích webinářů

dnes 02:11 | Pozvánky

Připojte se ve středu 30. 10. 2024 od 10:00 do 12:00 na náš webinář "Řízení přístupu do PostgreSQL prostřednictvím externího autentizačního providera" (registrace zdarma) a naučte se, jak nastavit ověřování pomocí GSSAPI pro bezpečný přístup k databázím (Microsoft Active Directory nebo FreeIPA). Záznam předchozího webináře "Co je nového v PostgreSQL 17" můžete zhlédnout zde.

… více »

Heřmi | Komentářů: 0

Unvanquished 0.55

včera 21:33 | Nová verze

Byla vydána nová verze 0.55 open source počítačové hry Unvanquished (Wikipedie), forku počítačové hry Tremulous. Instalovat ji lze také z Flathubu.

Ladislav Hagara | Komentářů: 0

Vydáno Factorio 2.0 a Factorio: Space Age

včera 14:22 | IT novinky

Dle plánu bylo dnes vydáno Factorio 2.0 a Factorio: Space Age, tj. aktualizace 2.0 počítačové hry Factorio (Wikipedie) oficiálně běžící také na Linuxu a velké vesmírní rozšíření Factorio: Space Age.

Ladislav Hagara | Komentářů: 0

Program konference OpenAlt 2024 zveřejněn

včera 10:33 | Pozvánky

Byl zveřejněn průběžně aktualizovaný program konference OpenAlt 2024 o otevřeném softwaru a datech, IT bezpečnosti, DIY a IoT. Konference proběhne o víkendu 2. a 3. listopadu v prostorách FIT VUT v Brně. Vstup je zdarma.

Ladislav Hagara | Komentářů: 0

Ubuntu oslavilo 20 let

včera 07:00 | Komunita

Ubuntu oslavilo 20 let. První Ubuntu 4.10 s kódovým názvem Warty Warthog bylo vydáno 20. října 2004.

Ladislav Hagara | Komentářů: 1

MicroBlocks 2.0

20.10. 04:44 | Nová verze

Vizuální programovací jazyk MicroBlocks určený pro programování mikropočítačů jako micro:bit pomoci bloků byl vydán v nové verzi 2.0. MicroBlocks je inspirovaný Scratchem.

Ladislav Hagara | Komentářů: 0

Mapy.cz zavádí placenou verzi Premium

18.10. 22:44 | IT novinky

Mapy.cz zavádí placenou verzi Premium (𝕏). Cena předplatného bude zveřejněna v další verzi aplikace (𝕏). Aplikace i web budou dál fungovat zdarma. Mění se způsob ukládání offline map. Nově bude možné bezplatně uložit offline mapu pouze jednoho státu (𝕏).

Ladislav Hagara | Komentářů: 33

Ardour 8.10

18.10. 11:44 | Nová verze

Byla vydána nová verze 8.10 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Pravděpodobně poslední osmičková verze. V průběhu několika měsíců by měla vyjít verze 9.

Ladislav Hagara | Komentářů: 0

Maker Faire Brno a GameDev Connect

18.10. 04:22 | Pozvánky

O víkendu 19. a 20. října lze na brněnském výstavišti v pavilonu A1 navštívit s jednou vstupenkou dvě akce: Maker Faire Brno, "festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí", a GameDev Connect, "akci určenou pro všechny současné a hlavně budoucí herní vývojáře, kteří touží proniknout do jednoho z nejúžasnějších průmyslů na světě".

Ladislav Hagara | Komentářů: 0

Asterisk 22.0.0

18.10. 00:33 | Nová verze

Asterisk (Wikipedie), svobodná softwarová implementace telefonní ústředny (PBX), byl vydán ve verzi 22.0.0. Přehled novinek v této nové major verzi v oznámení na webu a na GitHubu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Předávání paketů mezi PREROUTING mangle a nat

Štítky: ADSL, bezpečnost, e-mail, firewally, HTML, Internet, iptables, KDE, logování, NAT, sítě, SMTP, tcpdump, TELNET, web

Dotaz: Předávání paketů mezi PREROUTING mangle a nat

26.6.2007 16:10 dustin | skóre: 63 | blog: dustin
Předávání paketů mezi PREROUTING mangle a nat

Přečteno: 453×

Odpovědět | Admin

Zdravím, znovu poprosím místní guru o radu.

Dle např. http://www.faqs.org/docs/iptables/traversingoftables.html by zřejmě mělo probíhat zpracování vstupních paketů tak, že nejdříve projedou PREROUTING chainem tabulky mangle a poté PREROUTING chainem tabulky nat.

Testuji příkazem

telnet -b 192.168.101.254 81.0.237.25 25

kde 192.168.101.254 je eth1, za kterým je NATující ADSL modem.

Protože se mi nedostávají pakety do INPUTu (testovací telnet čeká na odpověď), zkusil jsem pár logovacích příkazů. Pakety přicházejí na rozhraní eth1, jde o odpovědi od smtp serveru na netu.

iptables -v -t mangle -L PREROUTING
Chain PREROUTING (policy ACCEPT 1108K packets, 556M bytes)
 pkts bytes target     prot opt in     out     source               destination         
   54  3634 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy mangle top PREROUTING: '

iptables -v -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT 1705K packets, 148M bytes)
 pkts bytes target     prot opt in     out     source               destination         
   29  1400 LOG        0    --  eth1   any     anywhere             anywhere            LOG level debug prefix `logy nat top PREROUTING: ' 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380 
    0     0 DNAT       tcp  --  any    any     anywhere             xxxxxxxxxx     tcp dpt:www to:192.168.1.20:8380

xxxxxxxxxx je IP adresa druhého rozhraní, které vede přímo do netu (eth2).

V mangle je pouze onen LOG, v natu je LOG jako první příkaz. Očekával bych, že každý vstupní paket bude zalogován oběma logy. Bohužel všechny návratové pakety z telnetího pokusu o spojení jsou logovány pouze manglem:

Jun 26 15:58:06 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
Jun 26 15:58:09 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=81.0.237.25 DST=192.168.101.254 LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=54346 WINDOW=5792 RES=0x00 ACK SYN URGP=0

Pakety na eth1 přicházejí, výstup tcpdumpu:

tcpdump -vv  -n -i eth1 port 25
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:59:05.501682 IP (tos 0x10, ttl  64, id 38072, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1f96 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516257481 0,nop,wscale 4>
15:59:05.516635 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xdd33 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065451964 516257481,nop,wscale 2>
15:59:08.500659 IP (tos 0x10, ttl  64, id 38073, offset 0, flags [DF], proto: TCP (6), length: 60) 192.168.101.254.51244 > 81.0.237.25.25: S, cksum 0x1ca8 (correct), 1821827697:1821827697(0) win 5840 <mss 1460,sackOK,timestamp 516258231 0,nop,wscale 4>
15:59:08.514515 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xda46 (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452713 516257481,nop,wscale 2>
15:59:09.193070 IP (tos 0x0, ttl  58, id 0, offset 0, flags [DF], proto: TCP (6), length: 60) 81.0.237.25.25 > 192.168.101.254.51244: S, cksum 0xd99c (correct), 3109799953:3109799953(0) ack 1821827698 win 5792 <mss 1420,sackOK,timestamp 1065452883 516257481,nop,wscale 2>

Zajímavé je, že některé jiné než testovací pakety projdou přes mangle to natu:

Jun 26 16:02:53 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
Jun 26 16:02:53 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61464 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
Jun 26 16:02:56 server kernel: logy mangle top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0 
Jun 26 16:02:56 server kernel: logy nat top PREROUTING: IN=eth1 OUT= MAC=00:00:b4:a8:ba:98:00:01:38:62:c1:b7:08:00 SRC=82.179.195.166 DST=192.168.101.254 LEN=44 TOS=0x00 PREC=0x00 TTL=112 ID=61616 DF PROTO=TCP SPT=62106 DPT=55151 WINDOW=20480 RES=0x00 SYN URGP=0

Předem díky za radu.

Nástroje: Začni sledovat (0) ?

Odpovědi

26.6.2007 16:26 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat

Zajímavé je, že pakety, které projdou do natu, jsou úvodní packety spojení navazovaného zvenku (ADSL modem tento port forwarduje dovnitř, nic na něm ale stejně neposlouchá).

26.6.2007 18:00 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat

To je v pořádku, je to stavový NAT, takže se stará pouze o "první" pakety, další jsou přeloženy podle stavové tabulky a pravidly tabulky nat zpracovávány nejsou.

26.6.2007 18:51 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Předávání paketů mezi PREROUTING mangle a nat

Díky díky díky, to jsou přesně ty odpovědi, které usnadní život. Tož přesunu logování o krok dál.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje