Přihlášení | Registrace

napište » Zprávičky

včera 18:00 | IT novinky

DuckDuckGo AI Chat umožňuje "pokecat si" s GPT-3.5 Turbo od OpenAI nebo Claude 1.2 Instant od Anthropic. Bez vytváření účtu. Všechny chaty jsou soukromé. DuckDuckGo je neukládá ani nepoužívá k trénování modelů umělé inteligence.

Ladislav Hagara | Komentářů: 1

VASA-1, generování mluvící hlavy z jediné fotky a zvukového záznamu

včera 14:22 | IT novinky

VASA-1, výzkumný projekt Microsoftu. Na vstupu stačí jediná fotka a zvukový záznam. Na výstupu je dokonalá mluvící nebo zpívající hlava. Prý si technologii nechá jenom pro sebe. Žádné demo, API nebo placená služba. Zatím.

Ladislav Hagara | Komentářů: 4

MagPi 140 a HackSpace 77

včera 04:44 | Nová verze

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 140 (pdf) a HackSpace 77 (pdf).

Ladislav Hagara | Komentářů: 0

ESPHome 2024.4.0

včera 01:00 | Nová verze

ESPHome, tj. open source systém umožňující nastavovat zařízení s čipy ESP (i dalšími) pomocí konfiguračních souborů a připojit je do domácí automatizace, například do Home Assistantu, byl vydán ve verzi 2024.4.0.

Ladislav Hagara | Komentářů: 0

Open Platform for Enterprise AI (OPEA)

18.4. 22:11 | IT novinky

LF AI & Data Foundation patřící pod Linux Foundation spustila Open Platform for Enterprise AI (OPEA).

Ladislav Hagara | Komentářů: 0

OpenXR 1.1

18.4. 20:55 | Nová verze

Neziskové průmyslové konsorcium Khronos Group vydalo verzi 1.1 specifikace OpenXR (Wikipedie), tj. standardu specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro AR (rozšířenou realitu) a VR (virtuální realitu). Do základu se z rozšíření dostalo XR_EXT_local_floor. Společnost Collabora implementuje novou verzi specifikace do platformy Monado, tj. open source implementace OpenXR.

Ladislav Hagara | Komentářů: 2

mpv 0.38.0

18.4. 17:22 | Nová verze

Byla vydána nová verze 0.38.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 4.4 nebo novější a také libplacebo 6.338.2 nebo novější.

Ladislav Hagara | Komentářů: 13

ClamAV 1.3.1, 1.2.3 a 1.0.6

18.4. 17:11 | Nová verze

ClamAV (Wikipedie), tj. multiplatformní antivirový engine s otevřeným zdrojovým kódem pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb, byl vydán ve verzích 1.3.1, 1.2.3 a 1.0.6. Ve verzi 1.3.1 je mimo jiné řešena bezpečnostní chyba CVE-2024-20380.

Ladislav Hagara | Komentářů: 2

Mobilní aplikace Portál občana je ode dneška oficiálně venku

18.4. 12:11 | IT novinky

Digitální a informační agentura (DIA) oznámila (PDF, X a Facebook), že mobilní aplikace Portál občana je ode dneška oficiálně venku.

Ladislav Hagara | Komentářů: 10

#HACKUJBRNO 2024

18.4. 05:11 | Komunita

#HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.

Ladislav Hagara | Komentářů: 2

Centrum | Napsat | Starší

navrhněte » Anketa

KDE Plasma 6

už používám (68%)

čekám, až se dostane do mé distibuce (11%)

čekám na pozdější vydání v řadě (2%)

preferuji jiné desktopové prostředí (20%)

Celkem 567 hlasů

Komentářů: 4, poslední 6.4. 15:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / nechci SNAT ARP dotazu

Štítky: firewally, Internet, iptables, KDE, komunikace, NAT, sítě

Dotaz: nechci SNAT ARP dotazu

31.10.2007 10:43 Petr
nechci SNAT ARP dotazu

Přečteno: 256×

Odpovědět | Admin

Zdravim,

resim nasledujici problem:

Strucny popis - na serveru se mi provadi SNAT i pro ARP dotazy, coz nechci..

Obsahlejsi popis-

Muj server ma jednu zakladni verejnou IP adresu a dalsi IP adresa je na nej routovana.

     Internet
        |
      SWITCH
  100.100.100.1/28
        |
    --------------------------
   |                          |
   |                          |
100.100.100.10/28        100.100.100.15/28
15.15.15.15/32              CIZI SERVER
 MUJ SERVER

Pro komunikaci s vnejskem chci pouzivat routovanou adresu. Tj. provadim SNAT

#iptables -L -n -t nat
 ..
 Chain POSTROUTING (policy ACCEPT)
 target     prot opt source               destination
 SNAT       all  --  0.0.0.0/0            0.0.0.0/0           to:15.15.15.15

Do Internetu vse krasne funguje..

Problem - potrebuju komunikovat se serverem, ktery je ve stejne siti jako muj server (100.100.100.15). Kdyz se na nej ale pokusim dostat - # ping 100.100.100.15 - odchazi arp dotaz z SNATovanyho IP:

 09:00:49.289553 arp who-has 100.100.100.15 tell 15.15.15.15
 09:00:50.289580 arp who-has 100.100.100.15 tell 15.15.15.15

Tj. server 100.100.100.15 na nej neodpovi.

Jde nejak "zakazat" provadeni SNATu pro ARP dotazy? Pokud tomu dobre rozumim, iptables pracuji jen nad IP vrstvou, proc se v nich tedy vlastne vubec provadi SNAT pro ARP..?

Kupodivu, pokud zkusim zavolat #nmap 100.100.100.15 -p 443 (potrebuji na port 443), odejde arp dotaz tak jak bych ocekaval:

 09:05:50.289580 arp who-has 100.100.100.15 tell 100.100.100.10

zjisti se MAC adresa a vse zacne krasne fungovat..

Diky za rady, Petr

Nástroje: Začni sledovat (0) ?

Odpovědi

31.10.2007 11:29 Rockfire | skóre: 14 | blog: blg
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

A kdyz provedes SNAT pouze pro cil kde neni 100.100.100.10/28 tj

iptables -t nat -A POSTROUTING -d ! 100.100.100.10/28 -o output_rozhrani -j SNAT --to 15.15.15.15

(ten vykricnik to neguje)

nepomuze to?

31.10.2007 12:17 Petr
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Dik za radu.

Pomuze to v tom, ze ARP dotaz odchazi z 100.100.100.10, tj. dostanu MAC adresu, to je ok. Jenze problem je, ze potom s pocitaci v siti 100.100.100.10/28 komunikuju pomoci IP adresy 100.100.100.10 (pomerne logicky, nedela se SNAT..), coz nechci.. Potrebuju se vuci nim tvarit jako 15.15.15.15 (kvuli firewalum, atd..).

Petr

31.10.2007 12:44 Rockfire | skóre: 14 | blog: blg
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Nejsem si jisty jestli to uplne chapu, ale pokud ano. Tak nejspist bude problem v tom, ze vy poslete paket z ip 15.15.15.15 coz chcete, ale poslete ho primo a pocitac z 100.100.100.10/28 ho sice prijme ale odpovida vychozi brane protoze nema nastaveny rozsah 15.15.15.xx/28. Pokud s nimi chcete komunikovat pres ip 15.15.15.15 naprimo, tak on musi mit ip taky z toho rozsahu a nebo budete komunikovat s routerem ktery tuto komunikaci zajisti. Muzete jeste poslat vypis routovaci tabulky?

31.10.2007 13:10 Petr
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Diky za rady, routovaci tabulka byla spravne klicove slovo :-)

, pro IP 100.100.100.15 vyreseno vlozenim

  route add -host 100.100.100.15 gw 100.100.100.1

Tj. ted komunikace se strojem 100.100.100.15 bezi vzdy pres gateway, i kdyz je v stejne siti..

Petr

31.10.2007 13:13 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: nechci SNAT ARP dotazu

Problém není v tom, že by se SNAT dělal na ARP dotazy. Problém je v tom, že váš server má nastavené chybně routování, takže neví, že na cizí server má jít přímo, ne přes default gateway. Pokusí se jít přímo a tudíž přes SNAT, SNAT se pokouší navázat spojení s danou IP adresou a tudíž sám za sebe pošle ARP paket.

Buď musíte dát váš i cizí server do společné IP sítě (tedy místo /28 dát něco menšího) – to ale asi nechcete. Pokud jsou oba servery ve stejné fyzické síti, můžete jim nastavit routy přímo, nebo můžete každému přidělit na síťové kartě alias – IP adresu z druhé sítě (a pak komunikovat přes ni). Pokud je mezi servery nějaký router, je nutné nastavit správně routování na něm, a vyloučit ze SNATu komunikaci mezi těmi dvěma sítěmi.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje