abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 16:22 | Nová verze

    Byla vydána verze 1.90.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    dnes 16:11 | Nová verze

    GNUnet (Wikipedie) byl vydán v nové major verzi 0.25.0. Jedná se o framework pro decentralizované peer-to-peer síťování, na kterém je postavena řada aplikací.

    Ladislav Hagara | Komentářů: 0
    dnes 12:11 | Nová verze

    Byla vydána nová major verze 7.0 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově je postavena je na Debianu 13 (Trixie) a GNOME 48 (Bengaluru). Další novinky v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    dnes 04:44 | IT novinky

    Společnost Meta na dvoudenní konferenci Meta Connect 2025 představuje své novinky. První den byly představeny nové AI brýle: Ray-Ban Meta (Gen 2), sportovní Oakley Meta Vanguard a především Meta Ray-Ban Display s integrovaným displejem a EMG náramkem pro ovládání.

    Ladislav Hagara | Komentářů: 0
    dnes 01:11 | Nová verze

    Po půl roce vývoje od vydání verze 48 bylo vydáno GNOME 49 s kódovým názvem Brescia (Mastodon). S přehrávačem videí Showtime místo Totemu a prohlížečem dokumentů Papers místo Evince. Podrobný přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře.

    Ladislav Hagara | Komentářů: 4
    včera 16:22 | Nová verze

    Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | Nová verze

    Byla vydána nová verze 258 správce systému a služeb systemd (GitHub).

    Ladislav Hagara | Komentářů: 5
    včera 15:11 | Nová verze

    Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

    Ladislav Hagara | Komentářů: 0
    včera 14:44 | Humor

    Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

    Ladislav Hagara | Komentářů: 8
    včera 11:33 | Zajímavý článek Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (50%)
     (58%)
     (0%)
     (8%)
     (12%)
     (4%)
     (15%)
     (4%)
     (12%)
    Celkem 26 hlasů
     Komentářů: 3, poslední dnes 14:58
    Rozcestník

    Dotaz: IPv6 a přesměrování portů

    xkucf03 avatar 2.3.2009 22:43 xkucf03 | skóre: 49 | blog: xkucf03
    IPv6 a přesměrování portů
    Přečteno: 1063×

    Ahoj, napadá vás, jak přepsat tohle pravidlo pro ip6tables?

    iptables -t nat -A OUTPUT     --destination localhost   -p tcp --dport 80 -j REDIRECT --to-ports 8080
    iptables -t nat -A OUTPUT     --destination 10.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8080
    iptables -t nat -A PREROUTING --destination 10.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8080

    Cílem je přesměrování portů v rámci jednoho stroje (10.0.0.1) tak, aby služba mohla běžet na neprivilegovaném portu 8080 a klienti se mohli zvenku připojovat na standardní port 80.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

    Řešení dotazu:


    Odpovědi

    3.3.2009 07:31 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 a přesměrování portů
    V ip6tables není NAT vůbec (a zřejmě nebude), a REDIRECT není zatím (možná bude). Řešil bych to pomocí userspace redirectoru, nebo rovnou pověsil ten démon na 80 a až pak mu odebral privilegia.
    In Ada the typical infinite loop would normally be terminated by detonation.
    3.3.2009 08:26 MMichal | skóre: 20
    Rozbalit Rozbalit vše Re: IPv6 a přesměrování portů

    Nebo tomu procesu nastavit capability CAP_NET_BIND_SERVICE, potom se bude moci povesit na privilegovany port i bez roota. Viz. man 7 capabilities

    xkucf03 avatar 6.3.2009 23:50 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: IPv6 a přesměrování portů - authbind?
    Příloha:

    Zkoušel jsem tohle (jako root):

    execcap cap_net_bind_service=eip /sbin/sucap franta franta /bin/nc6 -l -p80
    Caps: =ep cap_net_bind_service+i
    Caps: = cap_net_bind_service+i
    [debug] uid:1000, real uid:1000
    sucaps: capsetp: Operation not permitted
    sucap: child did not exit cleanly.

    Což mi nefungovalo. A taky nevím, jak to bude, když budu tímhle způsobem potřebovat spustit bashový skript – tam bude potřeba, aby se práva dědila přes několik úrovní až k procesu, který má naslouchat na daném portu.

    Na to by se mohlo víc hodit použití authbindu, ale ten zase neumí IPv6. Stáhnul jsem si jeho zdrojáky a pokoušel jsem se upravit libauthbind.c, ale moc daleko jsem se nedostal. Buď se mi povedl segfault :-) nebo jsem dostal:

    $ authbind --deep nc6 -l -p80
    nc6: bind to source :: 80 failed: No child processes
    

    BTW: není tu nějaký znuděný céčkař, který nemá co na práci? :-)

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    xkucf03 avatar 11.3.2009 11:49 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: IPv6 a přesměrování portů - authbind?
    Nějaký nápad?

    Zatím mám ty stránky přístupné po IPv6 jen takhle: http://ipv6.frantovo.cz:8080/
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    11.3.2009 14:09 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPv6 a přesměrování portů - authbind?

    Já bych se vydal cestou kvalifikací – zjistit, proč to nefunguje.

    Díval jsem se do odkazované dynamické knihovny a řádná úprava není záležitost pár řádků (řeší se tam přístupová pravidla na základě IP aritmetiky).

    xkucf03 avatar 3.3.2009 19:57 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše xinetd

    Zatím jsem přišel na náhradní řešení pomocí xinetd:

    # default: on
    service http
    {
        flags = REUSE
        socket_type = stream
        wait = no
        user = root
        redirect = 127.0.0.1 8080
        log_on_failure += USERID
    }
    
    # default: on
    service https
    {
        flags = REUSE
        socket_type = stream
        wait = no
        user = root
        redirect = 127.0.0.1 8181
        log_on_failure += USERID
    }
    

    ale to se mi nelíbí, protože webový server neví, jaká skutečná IP adresa se k němu připojuje (vidí jen 127.0.0.1).

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    3.3.2009 21:03 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: xinetd
    Ano. A navíc to brutálně zpomaluje.
    In Ada the typical infinite loop would normally be terminated by detonation.
    xkucf03 avatar 3.3.2009 21:37 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše authbind

    Našel jsem řešení pomocí authbind, které by údajně mělo fungovat: How-to set up Glassfish 2 on Debian or Ubuntu, ale nefunguje. Viz Glassfish v3, port 80, & Authbind. Prý za to může Java, ale podle mého pozorování je to spíš chyba authbindu a jeho nespolupráce s IPv6.

    authbind nc6 -l -p23
    nc6: bind to source :: 23 failed: Permission denied

    Ani netcatu se totiž nedaří naslouchat na privilegovaném portu, pokud se používá IPv6 (po zadání přízaku výše naslouchá jen na IPv4) – netcat umí naslouchat na privilegovaném portu na IPv4, nebo na neprivilegovaném na IPv4 i IPv6, ale kombinace privilegovaný port + IPv6 se zdá být smrtící.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Řešení 1× (mozog)
    xkucf03 avatar 11.6.2011 10:42 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: IPv6 a přesměrování portů
    Vyřešeno:
    ip6tables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 8080
    zdroj
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.