abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík
    včera 15:44 | Upozornění

    Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík.

    Ladislav Hagara | Komentářů: 3
    iPhone a iPad získávají certifikaci pro práci s utajovanými informacemi NATO
    27.2. 17:33 | IT novinky

    Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

    Ladislav Hagara | Komentářů: 13
    Netflix ustoupil v bitvě o Warner Bros, slavná studia tak může převzít Paramount
    27.2. 13:00 | IT novinky

    Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).

    Ladislav Hagara | Komentářů: 13
    Apple přesune část výroby svého malého počítače Mac mini z Asie do Houstonu
    27.2. 12:44 | IT novinky

    Americká společnosti Apple přesune část výroby svého malého stolního počítače Mac mini z Asie do Spojených států. Výroba v závodě v Houstonu by měla začít ještě v letošním roce, uvedla firma na svém webu. Apple také plánuje rozšířit svůj závod v Houstonu o nové školicí centrum pro pokročilou výrobu. V Houstonu by měly vzniknout tisíce nových pracovních míst.

    Ladislav Hagara | Komentářů: 20
    Biopočítač s lidskými neurony hraje DOOM
    27.2. 12:11 | Zajímavý článek

    Vědci Biotechnologické společnosti Cortical Labs vytvořili biopočítač nazvaný CL1, který využívá živé lidské mozkové buňky vypěstované z kmenových buněk na čipu. Po úspěchu se hrou PONG se ho nyní snaží naučit hrát DOOM. Neurony přijímají signály podle toho, co se ve hře děje, a jejich reakce jsou převáděny na akce jako pohyb nebo střelba. V tuto chvíli systém hraje velmi špatně, ale dokáže reagovat, trochu se učit a v reálném čase se hrou

    … více »
    karkar | Komentářů: 8
    4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon)
    27.2. 01:55 | Nová verze

    Pro testování byl vydán 4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon).

    Ladislav Hagara | Komentářů: 0
    MediaGoblin 0.15.0
    26.2. 21:33 | Nová verze

    Ben Sturmfels oznámil vydání MediaGoblinu 0.15.0. Přehled novinek v poznámkách k vydání. MediaGoblin (Wikipedie) je svobodná multimediální publikační platforma a decentralizovaná alternativa ke službám jako Flickr, YouTube, SoundCloud atd. Ukázka například na LibrePlanet.

    Ladislav Hagara | Komentářů: 0
    TerminalPhone
    26.2. 15:44 | Zajímavý software

    TerminalPhone (png) je skript v Bashi pro push-to-talk hlasovou a textovou komunikaci přes Tor využívající .onion adresy.

    Ladislav Hagara | Komentářů: 6
    Operátoři v boji s kyberšmejdy zachytí 3 miliony podvržených hovorů každý měsíc
    26.2. 12:22 | IT novinky

    Před dvěma lety zavedli operátoři ochranu proti podvrženým hovorům, kdy volající falšuje čísla anebo se vydává za někoho jiného. Nyní v roce 2026 blokují operátoři díky nasazeným technologiím v průměru 3 miliony pokusů o podvodný hovor měsíčně (tzn., že k propojení na zákazníka vůbec nedojde). Ochrana před tzv. spoofingem je pro zákazníky a zákaznice všech tří operátorů zdarma, ať už jde o mobilní čísla nebo pevné linky.

    Ladislav Hagara | Komentářů: 10
    Meta předává React nadaci React Foundation patřící pod Linux Foundation
    26.2. 03:44 | Komunita

    Společnost Meta (Facebook) předává React, React Native a související projekty jako JSX nadaci React Foundation patřící pod Linux Foundation. Zakládajícími členy React Foundation jsou Amazon, Callstack, Expo, Huawei, Meta, Microsoft, Software Mansion a Vercel.

    Ladislav Hagara | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (17%)
     (6%)
     (0%)
     (11%)
     (27%)
     (2%)
     (5%)
     (2%)
     (13%)
     (26%)
    Celkem 974 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / IPTABLES: Paketům se nechce do tunelu
    Štítky: firewally, Internet, iptables, klient, OpenVPN, server, sítě

    Dotaz: IPTABLES: Paketům se nechce do tunelu

    22.2.2009 20:50 Hrabosh | skóre: 26 | blog: HBlog | Brno
    IPTABLES: Paketům se nechce do tunelu
    Přečteno: 482×
    Zdravím vás ...

    ... potřeboval bych pomoct s jednou iptablovinou. Situace je následující:

    SERVER: V něm je síťovka eth0 s IP: 192.168.1.254 a nainstalovaný OpenVPN server, který vytváří tap0 zařízení na 192.168.4.1.

    KLIENT: V něm je síťovka eth0 s IP: 192.168.1.5, spojená metalickou sítí s eth0 v serveru. Když na klientovi spustím OpenVPN klienta, vytvoří se tunel a na klientovi vznikne zařízení tap0 s IP 192.168.4.2, přes které jdou pakety na defaultní gw 192.168.4.1 ( a odtud do Internetu ).

    PROBLÉM: Veškerý provoz do Internetu i se serverem na adrese 192.168.4.1 funguje. Já samozřejmě nechci, aby pakety chodily mezi klientem a serverem mimo tunel. Proto klient zahazuje všechny odchozí i příchozí pakety na své eth0 krom těch, které jdou na portu 1924 (openvpn). Problém je, že v té metalické síti jsou i jiné počítače ( 192.168.1.1 a 192.168.1.10 ), které z KLIENTA nevidím, protože pakety k nim jsou směrovány přímo na jeho eth0 (tzn. jdou mimo tunel) a tímpádem zahozeny. Potřeboval bych je tedy nějak nasměrovat do toho tunelu a nějak zajistit to, aby pakety pro 192.168.1.5, které přijdou z metalické sítě, byly také na straně serveru nasměrovány do tunelu.

    Nevítě nekdo, jak na to ? Zkoušel jsem na KLIENTOVI něco jako:

    iptables -A FORWARD -o eth0 -d 192.168.1.0/24 -i tap0 -j ACCEPT

    ale bez úspěchu. Ani iptraf na zařízení tap0 žádné takto přesměrované pakety neviděl.
    To jsem psal já ... to není bordel, to je modulární!
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    22.2.2009 21:34 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Sice je to hodně absurdní, ale budiž... V každém případě budeš muset na SERVERu provoz s KLIENTa natovat. Jinak ti z počítačů 192.168.1.1 a 192.168.1.10 budou pakety chodit na KLIENTa přímo. No a na klientovi můžeš buď úplně vyhodit routu na síť 192.168.1.0/24 a nechat jen routu na hosta 192.168.1.254 (SERVER), nebo ponechat routu na celou síť a přidat specifické routy na hosty 192.168.1.1 a 192.168.1.10 (routy na hosta se vyhodnocují před méně specifickou routou na síť).
    22.2.2009 23:30 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    OK, dík. Jak se to přesně dělá si už snad někde najdu.

    Jinak mám v záloze ještě jedno řešení: Rozjet OpenVPN i na počítačich 192.168.1.1 a 192.168.1.10. Komunikace mezi všemi se pak bude realizovat v siti 192.168.4.0/24 a routování bude jednodušší ... doufám.
    To jsem psal já ... to není bordel, to je modulární!
    23.2.2009 07:06 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Jen takový dotaz: k čemu vlastně tohle vůbec potřebuješ? Pokud ti to za to opravdu stojí, vyplatí se spíš koupit switch co umí VLANy a hodit ho mezi server a ostatní klienty.
    23.2.2009 08:58 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Příloha:

    Tak já se vám teda pokusím popsat celou situaci.

    V příloze vidíte schéma mé domácí sítě. To Wi-Fi spojení mezi serverem a notebookem je Ad-Hoc a tudíž nepodporuje WPA. Proto jsem zvolil OpenVPN - coby zapezepčení toho Wi-Fi spojení. Problém byl v tom, že když jsem byl na Wi-Fi-ně tak notebook komunikoval se serverem z jiné IP, než když byl ntbook v dockině a tímpádem na drátové síti.

    Takže když jsem si z drátové sítě třeba připojil NFS z nějakého počítače v místní síti ) a pak ten notebook vytáhl z dokiny a jel na Wi-Fi tak jsem ty NFS disky nemohl používat. Stejně tak obráceně - disky připojené na Wi-Fi nešly na drátové síti ... proto jsem přemýšlel jak zařídit, aby měl ten notebook pořád stejnou IP adresu, ať je připojenej bezdrátem, nebo normálně.

    Napadlo mě udělat to tak, že i spojení po místní drátové síti bude v tunelu. DebServer ( na kterým běží OpenVPN server ) tak přijme spojení buď od klienta z IP 10.0.0.1, nebo 192.168.1.5 - vytvoří tunel a na notebooku vzniken zařízení tap0 s IP 192.168.4.2. Všechna komunikace se bude realizovat přes tap0, protože to má pořád stejnou IP, at je notebook připojenej vzduchem nebo drátama.

    Zatím to funguje dobře - NFS disky připojené z DebServeru přes zařízení tap0 na serveru ( tedy: mount 192.168.4.1:/mnt/nfs ) fungují at je ntbook připojenej jak chce. Ale na GentooOnAthlon a Holy z toho notebooku tunelem prostě nevidím - a to je ten problém. 

    To jsem psal já ... to není bordel, to je modulární!
    23.2.2009 09:20 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Pokud to chceš používat takhle, pak OK, řešení jsem popsal výše. Není to sice transparentní, ale budiž. Kdyby bylo na mně, pak bych se vykašlal na nějaké Ad-Hoc propojení notebooku se serverem, ale místo switche, který je na obrázku dole bych si pořídil Wi-Fi AP/bridge a bylo by to. Ať už by ses k němu připojil kabelem nebo přes wireless, pořád bys měl stejnou IP (nebo alespoň ze stejného rozsahu). Já mám doma Linksys WRT54GL a jsem spokojený :-) Sice je to investive řádu 1.500,- ale jsi bez starostí.
    23.2.2009 17:43 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Jasně, samozřejmě máš pravdu. Kdybych to instaloval někomu jinému, nebo se síťařinou živil, tak to tak nejspíš udělám. Ale doma mi nevadí si s tím trochu pohrát a vytvořit mírně nestandartní řešení :-)
    To jsem psal já ... to není bordel, to je modulární!
    kozzi avatar 22.2.2009 23:59 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Dotaz? Proc zahazujes vse? Pokud te chapu tak jen nechces aby klient komunikoval se servrem primo? Tak zakaz jen to co chces a ne vsechno. Jinak celkove to co tu popisujes je dost zamtene :-D. Jo jinak to pravidlo s FORWARD, co od toho ocekavas? Za prve aby to melo smysl musis si FORWARDing zapnout a zadruhe, si nemyslim ze by ti to pomohlo.
    Linux je jako mušketýři "jeden za všechny, všichni za jednoho"
    23.2.2009 17:39 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Zahazuju všechno, kromě dat na port 1194 - tzn. všechno krom tunelu. Právě proto, aby klient a server nekomunikoval přímo.

    A od toho pravidla jsem očekával to, že vezme pakety, které chtějí odejít z rozhraní eth0 a pošle je do sítě 192.168.4.0/24 (tedy tunelem).
    To jsem psal já ... to není bordel, to je modulární!
    Josef Kufner avatar 23.2.2009 00:51 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    A ty se jim divíš... chodit tunelem, když můžou pobíhat hezky venku? ;-)

    Na natování a podobné blbosti se vykašli. Mělo by stačit nastavit správně routování na klientovi tak, aby default routa šla na druhý konec tunelu. Aby ale mohlo být uskutečněno spojení se serverem, budeš muset vyrobit routu pro server místo stávající defaultní (stejná jen dest bude IP serveru místo 0.0.0.0).
    Hello world ! Segmentation fault (core dumped)
    23.2.2009 17:37 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Nedivim, já bych tam taky nelezl :-)

    Ale default routa jde na druhý konec tunelu. Proto taky funguje veškerý Internet apod. Ale pakety do síte 192.168.1.0/24 se neposílají defaultní routou, ale tou pro 192.168.1.0/24. Tady je moje routovací tabulka: 
    Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.4.0     *               255.255.255.0   U     0      0        0 tap0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
10.0.0.0        *               255.0.0.0       U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         vor1.netbox.pri 0.0.0.0         UG    0      0        0 tap0
    To jsem psal já ... to není bordel, to je modulární!
    Josef Kufner avatar 23.2.2009 19:08 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Hm, to by fungovat mělo. Jak máš udělaný ten firewall? Neblokuješ si to tam?
    Hello world ! Segmentation fault (core dumped)
    23.2.2009 21:13 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    Už mi to funguje, děkuju všem za pomoc. Moje řešení:

    1/ klientova rotuovací tabulka ted vypadá takto: 
    Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.254  *               255.255.255.255 UH    0      0        0 eth0
192.168.4.0     *               255.255.255.0   U     0      0        0 tap0
10.0.0.0        *               255.0.0.0       U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         192.168.4.1   0.0.0.0         UG    0      0        0 tap0
    Tzn. pakety pro 192.168.1.254 (ten tunel) jdou na eth0, ale všechny ostatní ze sítě 192.168.1.0/24 musí defaultní routou, čili do tunelu.

    2/ Na serveru jsem přidal dvě pravidla: 
    $IPTABLES -A FORWARD -i $VPN_TUNEL -o $MISTNI_SIT  -j ACCEPT
$IPTABLES -A FORWARD -i $MISTNI_SIT -o $VPN_TUNEL  -j ACCEPT
    Neboli - co přišlo na eth0, pošli i na tap0, co přišlo z tap0, pošli na eth0.

    Nepingnu sice 192.168.1.254, ale to nevadí, protože na serveru můžu nastavit všechny služby tak, aby poslouchaly i na 192.168.4.1. Ale na 192.168.1.1 a 192.168.1.10 vidím ...
    To jsem psal já ... to není bordel, to je modulární!
    25.2.2009 11:38 JaRo
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu
    >>$IPTABLES -A FORWARD -i $VPN_TUNEL -o $MISTNI_SIT -j ACCEPT
    >>$IPTABLES -A FORWARD -i $MISTNI_SIT -o $VPN_TUNEL -j ACCEPT
    >>Neboli - co přišlo na eth0, pošli i na tap0, co přišlo z tap0, pošli na eth0.

    Zajímavé chápání jak funguje iptables. Ty pravidla pouze říkají akceptuj (propusť) pakety, které přišly interfacem x a po routování počítač opustí interfacem y, jinak pokračuj na další pravidlo v iptables. Rozhodně paket nepřesměrují na jiné rozhraní. Kam půjde, o to se stará použitá routovací tabulka (v systému může být více routovacích tabulek a lze pomoci pravidel vybrat, která se pro daný paket použije).

    25.2.2009 12:39 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: IPTABLES: Paketům se nechce do tunelu

    Ahá ... chápu. Ono mi to bez těch dvou řádků předtím nefungovalo ne proto, že by ty dva řádky způsobovaly to přesměrovávání, ale nejspíš proto, že ve FORWARD mám defaultní politiku nastavenou na DROP a těma příkazama jsem ty pakety povolil ...

    To jsem psal já ... to není bordel, to je modulární!

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.