Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Hra zdarma: Lorelai

včera 22:33 | IT novinky

Na GOG.com běží Spring Sale. Při té příležitosti lze získat zdarma počítačovou hru Lorelai (ProtonDB).

Ladislav Hagara | Komentářů: 0

Curl slaví 25 let. Vydána verze 8.0.0

včera 11:00 | Nová verze

Curl, řádkový nástroj a knihovna pro přenos dat po různých protokolech, slaví 25 let. Vydána byla nová verze 8.0.0. Mimo jiné řeší 6 zranitelností.

Ladislav Hagara | Komentářů: 1

Arduino Day 2023

včera 10:00 | Komunita

V sobotu 25. března proběhne Arduino Day 2023. Od 14:00 lze sledovat oficiální stream. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.

Ladislav Hagara | Komentářů: 0

Fabrice Bellard představil TextSynth Server

včera 09:00 | Zajímavý projekt

Fabrice Bellard, tvůrce FFmpeg nebo QEMU, představil TextSynth Server. Jedná se o webový server nabízející REST API k velkým AI jazykovým modelům. CPU verze je k dispozici zdarma jako binárka pod licencí MIT. GPU verze je komerční. Vyzkoušet lze na stránkách TextSynth.

Ladislav Hagara | Komentářů: 1

2023 Free Software Awards

včera 08:00 | Komunita

Na konferenci LibrePlanet 2023 byly vyhlášeny ceny Free Software Foundation. Oceněni byli Eli Zaretskii za dlouhodobé příspěvky (správce Emacsu), Tad „SkewedZeppelin“ za nové příspěvky (správce DivestOS, distribuce Androidu) a projekt GNU Jami za společenský přínos.

Fluttershy, yay! | Komentářů: 0

Libreboot 20230319

včera 07:00 | Nová verze

Projekt Libreboot (Wikipedie) vydal novou verzi 20230319 svého svobodného firmwaru nahrazujícího proprietární BIOSy. Přibyla například podpora Lenovo ThinkPadů W530 a T530. Libreboot je distribucí Corebootu bez proprietárních blobů.

Ladislav Hagara | Komentářů: 0

Videozáznamy z konference SCALE 20x. Ken Thompson přechází na Linux

19.3. 17:55 | Komunita

Na YouTube jsou k dispozici videozáznamy z 20. konference SCALE (Southern California Linux Expo). Závěrečnou přednášku měl dnes již osmdesátiletý Ken Thompson. Na otázku, jaký operační systém používá, odpověděl: "Většinu svého života jsem používal Apple, protože jsem se do této společnosti tak trochu narodil. Poslední dobou, myslím posledních pět let, jsem ale kvůli Applu více a více depresivní. To, co dělá s něčím, co by vám mělo umožnit

… více »

Ladislav Hagara | Komentářů: 3

SystemRescue 10.00

19.3. 16:44 | Nová verze

Byla vydána verze 10.00 linuxové distribuce SystemRescue, původně SystemRescueCd, určené pro záchranu systémů a dat. Přehled novinek v changelogu. Linux byl povýšen na verzi 6.1.20.

Ladislav Hagara | Komentářů: 0

LLVM 16.0.0

18.3. 11:33 | Nová verze

Byla vydána verze 16.0.0 překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools, Libc++ a Polly.

Ladislav Hagara | Komentářů: 0

LibrePlanet 2023

17.3. 09:00 | Komunita

O víkendu probíhá v Bostonu, a také virtuálně, konference LibrePlanet 2023 organizovaná nadací Free Software Foundation (FSF).

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Používáte WSL (Windows Subsystem for Linux)?

ne, nepoužívám Windows (74%)

ne, používám Windows, ale jiný přístup k Linuxu (ve VM, vzdáleně,…) (12%)

ano, ale vyhýbám se mu, pokud to jde (4%)

ano, WSL upřednostňuji (10%)

Celkem 268 hlasů

Komentářů: 1, poslední 6.3. 07:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / nechci SNAT ARP dotazu

Štítky: firewally, Internet, iptables, KDE, komunikace, NAT, sítě

Dotaz: nechci SNAT ARP dotazu

31.10.2007 10:43 Petr
nechci SNAT ARP dotazu

Přečteno: 249×

Odpovědět | Admin

Zdravim,

resim nasledujici problem:

Strucny popis - na serveru se mi provadi SNAT i pro ARP dotazy, coz nechci..

Obsahlejsi popis-

Muj server ma jednu zakladni verejnou IP adresu a dalsi IP adresa je na nej routovana.

     Internet
        |
      SWITCH
  100.100.100.1/28
        |
    --------------------------
   |                          |
   |                          |
100.100.100.10/28        100.100.100.15/28
15.15.15.15/32              CIZI SERVER
 MUJ SERVER

Pro komunikaci s vnejskem chci pouzivat routovanou adresu. Tj. provadim SNAT

#iptables -L -n -t nat
 ..
 Chain POSTROUTING (policy ACCEPT)
 target     prot opt source               destination
 SNAT       all  --  0.0.0.0/0            0.0.0.0/0           to:15.15.15.15

Do Internetu vse krasne funguje..

Problem - potrebuju komunikovat se serverem, ktery je ve stejne siti jako muj server (100.100.100.15). Kdyz se na nej ale pokusim dostat - # ping 100.100.100.15 - odchazi arp dotaz z SNATovanyho IP:

 09:00:49.289553 arp who-has 100.100.100.15 tell 15.15.15.15
 09:00:50.289580 arp who-has 100.100.100.15 tell 15.15.15.15

Tj. server 100.100.100.15 na nej neodpovi.

Jde nejak "zakazat" provadeni SNATu pro ARP dotazy? Pokud tomu dobre rozumim, iptables pracuji jen nad IP vrstvou, proc se v nich tedy vlastne vubec provadi SNAT pro ARP..?

Kupodivu, pokud zkusim zavolat #nmap 100.100.100.15 -p 443 (potrebuji na port 443), odejde arp dotaz tak jak bych ocekaval:

 09:05:50.289580 arp who-has 100.100.100.15 tell 100.100.100.10

zjisti se MAC adresa a vse zacne krasne fungovat..

Diky za rady, Petr

Nástroje: Začni sledovat (0) ?

Odpovědi

31.10.2007 11:29 Rockfire | skóre: 14 | blog: blg
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

A kdyz provedes SNAT pouze pro cil kde neni 100.100.100.10/28 tj

iptables -t nat -A POSTROUTING -d ! 100.100.100.10/28 -o output_rozhrani -j SNAT --to 15.15.15.15

(ten vykricnik to neguje)

nepomuze to?

31.10.2007 12:17 Petr
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Dik za radu.

Pomuze to v tom, ze ARP dotaz odchazi z 100.100.100.10, tj. dostanu MAC adresu, to je ok. Jenze problem je, ze potom s pocitaci v siti 100.100.100.10/28 komunikuju pomoci IP adresy 100.100.100.10 (pomerne logicky, nedela se SNAT..), coz nechci.. Potrebuju se vuci nim tvarit jako 15.15.15.15 (kvuli firewalum, atd..).

Petr

31.10.2007 12:44 Rockfire | skóre: 14 | blog: blg
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Nejsem si jisty jestli to uplne chapu, ale pokud ano. Tak nejspist bude problem v tom, ze vy poslete paket z ip 15.15.15.15 coz chcete, ale poslete ho primo a pocitac z 100.100.100.10/28 ho sice prijme ale odpovida vychozi brane protoze nema nastaveny rozsah 15.15.15.xx/28. Pokud s nimi chcete komunikovat pres ip 15.15.15.15 naprimo, tak on musi mit ip taky z toho rozsahu a nebo budete komunikovat s routerem ktery tuto komunikaci zajisti. Muzete jeste poslat vypis routovaci tabulky?

31.10.2007 13:10 Petr
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Diky za rady, routovaci tabulka byla spravne klicove slovo :-)

, pro IP 100.100.100.15 vyreseno vlozenim

  route add -host 100.100.100.15 gw 100.100.100.1

Tj. ted komunikace se strojem 100.100.100.15 bezi vzdy pres gateway, i kdyz je v stejne siti..

Petr

31.10.2007 13:13 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Problém není v tom, že by se SNAT dělal na ARP dotazy. Problém je v tom, že váš server má nastavené chybně routování, takže neví, že na cizí server má jít přímo, ne přes default gateway. Pokusí se jít přímo a tudíž přes SNAT, SNAT se pokouší navázat spojení s danou IP adresou a tudíž sám za sebe pošle ARP paket.

Buď musíte dát váš i cizí server do společné IP sítě (tedy místo /28 dát něco menšího) – to ale asi nechcete. Pokud jsou oba servery ve stejné fyzické síti, můžete jim nastavit routy přímo, nebo můžete každému přidělit na síťové kartě alias – IP adresu z druhé sítě (a pak komunikovat přes ni). Pokud je mezi servery nějaký router, je nutné nastavit správně routování na něm, a vyloučit ze SNATu komunikaci mezi těmi dvěma sítěmi.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje