abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 14:44 | Nová verze

    Cca před rokem uvolnilo animační studio DreamWorks Animation svůj renderer MoonRay jako open source. Včera byla vydána nová verze 1.5.0.0.

    Ladislav Hagara | Komentářů: 0
    dnes 12:44 | IT novinky

    Vývojáři KDE ve spolupráci se společností Slimbook oznámili 16 palcový notebook KDE Slimbook V s předinstalovaným KDE Neon s Plasmou 6. Uvnitř se nachází procesorem AMD Ryzen 7 7840HS s integrovanou grafickou kartou Radeon 780M.

    Ladislav Hagara | Komentářů: 1
    dnes 11:22 | Zajímavý software

    Open source Atuin přináší "magickou historii shellu" aneb efektivní vyhledávání v historii příkazů a synchronizaci této historie mezi počítači. Historie je uložena v SQLite. Podporovány jsou Bash, ZSH, Fish a NuShell.

    Ladislav Hagara | Komentářů: 0
    dnes 07:00 | Nová verze

    Byla vydána nová verze 8.4 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled oprav, vylepšení a novinek v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 0
    včera 21:55 | Nová verze

    Vyšla nová verze výukového softwaru GCompris 4.0. Po devíti letech práce bylo dokončeno sjednocení grafického návrhu podle stanovených pravidel a společně s 8 novými aktivitami se jejich celkový počet navýšil na 190. Od roku 2014 je aplikace přepsána z Gtk do QtQuick a díky tomu je nyní možné ji používat na různých platformách jako je GNU/Linux, Android, Windows i MacOS. Ke stažení je na stránkách aplikace nebo ve správcích softwaru daných platforem.

    Jan Papež | Komentářů: 0
    včera 21:44 | Nová verze

    Byla vydána nová vývojová verze 2.99.18 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP. Jedná se o další krok směrem k verzi 3 postavené na GTK 3. Podrobný přehled novinek i s náhledy a videi v oznámení o vydání a v souboru NEWS na GitLabu. Stabilní verze GIMPu je 2.10.36.

    Ladislav Hagara | Komentářů: 3
    včera 18:22 | Bezpečnostní upozornění

    Na Snapcraftu byla falešná kryptoměnová peněženka Exodus (už je v karanténě). Uživatel přišel o 9 bitcoinů.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 21 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    včera 07:00 | IT novinky

    Komunikační software Signal (Wikipedie) v nové beta verzi umožňuje komunikaci mezi uživateli bez prozrazení telefonního čísla. Telefonní číslo je ale nadále nutné zadat při registraci do Signalu.

    Ladislav Hagara | Komentářů: 33
    včera 00:22 | Nová verze

    Google Chrome 122 byl prohlášen za stabilní. Nejnovější stabilní verze 122.0.6261.57 přináší řadu oprav a vylepšení (YouTube). Opraveno bylo 12 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    Kolik máte nálepek na víku notebooku?
     (17%)
     (59%)
     (5%)
     (3%)
     (6%)
     (10%)
    Celkem 359 hlasů
     Komentářů: 13, poslední včera 21:51
    Rozcestník

    Dotaz: Směrování IP adres

    18.5.2009 17:08 CIFik
    Směrování IP adres
    Přečteno: 956×
    Zdravím, mám router s linux distribucí DD-WRT, pokud vím, fungují na něm IP tables. Potřeboval bych zajistit, aby jakýkoliv packet jdoucí na jednu konkrétní adresu (z vnitřní sítě směrem na internet, z každého PC ve vnitřní síti) byl přesměrován na jinou IP. Na netu by se to asi dalo někde najít, ale co se Linuxů týče, jsem trochu n00b, takže vás prosím o takovou pomoc krok za krokem. Jinak nejsem si jistý, že lze někde zadat iptables jako příkaz (v té minimalizované distribuci), takže kdyby se jednalo o úpravu nějakého conf souboru, bylo by to asi jistější. Předem díky moc

    Odpovědi

    18.5.2009 17:40 JirkaK | skóre: 15 | blog:
    Rozbalit Rozbalit vše Re: Směrování IP adres
    DD-WRT (zatím) nepoužívám, ale AFAIK se tam dají normálně spouštět příkazy (a tudíž by mělo jít je i dát do nějakého skriptu po nabootování). Možná by to mohlo být (píšu zpatra, tak mne kdyžtak ostatní nekamenujte ;-) ) něco jako iptables -t nat -A PREROUTING -d $cilova_ip -j DNAT --to $jina_ip - tj. pokud přijde na router paket směřující na adresu $cilova_ip, bude zanatován na adresu $jina_ip.
    ** Počítač bez window$, to je jako ryba bez bicyklu... ** echo 'Kdo neskáče, není Čech!'|sed s/Čech/cvičená\ opice/
    18.5.2009 19:28 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Mno, technicky to funguje, má to jedinou chybu, on provede tohle a potom už to nesměruje podle pravidel v NAT, nešlo by to nějak skloubit?
    18.5.2009 19:58 JirkaK | skóre: 15 | blog:
    Rozbalit Rozbalit vše Re: Směrování IP adres
    A v čem konkrétně je problém? :)
    ** Počítač bez window$, to je jako ryba bez bicyklu... ** echo 'Kdo neskáče, není Čech!'|sed s/Čech/cvičená\ opice/
    18.5.2009 20:15 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    No, prostě jde o to, že tahám NB atp. ... no a FTP klient apod. mám nastavené na svoji veřejnou IP. Můžu se na ni připojit odkudkoliv, jenom ne od sebe z domu (paradox), takže bych potřeboval, když se někdo zevnitř routeru pokusí přistoupit na tu moji veřejnou, aby se to přesměrovalo na WAN adresu routeru a pak se provedlo směrování podle pravidel: např. dám http://moje_verejna_ip/ a potřebuji, aby se to nasměrovalo na: http://moje_WAN_routeru/ -> podle pravidel v NAT dál na -> http://adresa_serveru/
    18.5.2009 20:28 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Směrování IP adres

    Obávám se, že váš problém je ve skutečnosti úplně v něčem jiném, než kde ho hledáte. Nejspíš jste si dal FTP server do vnitřní sítě a máte nastavený portforwarding z veřejné IP adresy na ten server. Problém je v tom, že když z toho samého segmentu zkusíte spojení na tu veřejnou adresu, přesměrování funguje správně, ale server pošle odpověď přímo (proč taky ne, když je klient ve stejném segmentu), takže nikdo nepřeloží odpovídajícím způsobem zdrojovou adresu odpovědi a klient tudíž nepozná, že je to odpověď.

    Správné řešení je necpat veřejně dostupný FTP server do vnitřní sítě, ale dát ho do DMZ. Nesprávná řešení jsou dvě: buď u klientů z vnitřní sítě přeložit i zdrojovou adresu (tj. něco jako maškaráda), aby odpověď šla opět přes router, který přeloží obě adresy zpátky (fujtajbl), nebo klientům z vnitřní sítě překládat jméno odpovídající veřejné adrese ne na ni, ale na skutečnou IP adresu toho FTP serveru (o něco menší fujtajbl).

    18.5.2009 21:53 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Jenom doplním, že DMZ nemusí být ve skutečnosti žádné nové dráty a switche, lze to realizovat na stávající infrastruktuře, akorát budete na jednom ethernetu provozovat dvě oddělené IP sítě a síťová karta routeru bude mít 2 IP adresy. Ono už to pak tedy není moc demilitarizovaná zóna, protože se do ní dostane z vnitřní sítě snadno každý, kdo zná příslušný rozsah IP adres (který si snadno zjistí odposlechem na síti), ale pro „takové to domácí routování“ to stačí, investice do hardware nejsou potřeba žádné, a vyhnete se tak bolení hlavy, které vám jinak přinese umístění veřejně dostupného serveru do vnitřní sítě.
    18.5.2009 20:21 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Ale směruje, proto se ten chain jmenuje PREROUTING.
    18.5.2009 20:26 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Kéž by, ale ono mě to přímo na ten router :( a dál už nn ... třeba na web (port 80 tam pravidlo mám, zkusil jsem ten příkaz, dostal jsem se na info site routeru (taky na 80), ale když zadám do prohlížeče jeho WAN adresu přímo (na kterou by to měl nasměrovat), tak mě to hodí až k serveru
    18.5.2009 20:32 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Příloha:
    Přidám schéma nakreslené v MS Paint, nedivte se kvalitě. Jinak "nějak" už to funguje, za normálních okolností (bez toho příkazu) mi akorát sdělil, že neexistuje daný web (jako když člověk zadá do prohlížeče adresu, která neexistuje). Takže nějaký pokrok by byl, ale jak říkám, nesměruje to dál, zkoušel jsem i jiné porty, které dd-wrt jinak vůbec nemá.
    18.5.2009 20:38 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Takže jsem měl pravdu, jen tam máte o úroveň obskurnosti víc, ale princip je stejný.
    18.5.2009 20:46 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Jenže jak už jsem řekl, není pro mně vhodné směrovat to na konkrétní server, běží mi doma 2 a na každém něco, a vytvářet tam vlastně dvojí stejná pravidla, jedny zvenku a druhé zevnitř, se mi moc nechce :( ... nešlo by to nějak tak, že by to router opravdu nasměroval na sebe a potom znova prošel směrování, které má v NAT a tudíž to směroval dál, kam by to šlo reálně zvenku ?
    18.5.2009 21:21 JirkaK | skóre: 15 | blog:
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Poněkud nechápu, proč to natovat na router a z něj pak někam jinam - proč tak složitě? Pokud vím, že ODNĚKUD to potřebuju nasměrovat NĚKAM, pak to přece můžu udělat v jednom kroku a netřeba do toho tahat router sám o sobě (jenom mu řeknu, že když ODNĚKUD přijde paket, který splňuje určité podmínky, tak ho nemá doručovat na původní adresu, ale má ho poslat NĚKAM)...
    ** Počítač bez window$, to je jako ryba bez bicyklu... ** echo 'Kdo neskáče, není Čech!'|sed s/Čech/cvičená\ opice/
    18.5.2009 21:46 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Problém je v tom, že prostě různí lidi (včetně mně) se připojujem jak zevnitř, tak zvenku. Nebo třeba kliknu na odkaz poslaný po QIPu, abych ho zkontroloval atp. Takže bych prostě byl rád, kdybych se i já zevnitř dostal na svou veřejnou. Jenže teď mám v NAT kolem 40 pravidel s celkovým počtem 5 cílových počítačů. A přiznám se, že přes iptables příkazy se mi to moc nechce v podtstatě kompletně duplikovat ...
    18.5.2009 21:50 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Problém je v něčem úplně jiném, ale to bych se jen zbytečně opakoval. Správné řešení je neobcházet chyby návrhu vymýšlením dalších a dalších obezliček a dát server tam, kam patří, tedy do DMZ. Howgh.
    19.5.2009 07:31 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Díky za radu, ale co když je serverů více a jsou na ně směrovány přístupy různě, jak jsem psal výš ?
    19.5.2009 08:37 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Nevidím důvod, proč by v tom měl být rozdíl.
    19.5.2009 08:38 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Protože do DMZ můžu narvat jeden server, a tudíž na něj bude směrováno všechno, ne?
    19.5.2009 08:58 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Nejspíš si pletete pojem DMZ (demilitarizovaná zóna) s nějakým speciálním případem nabízeným v menu nějakého "krabičkového" routeru.
    19.5.2009 10:54 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Čím více těch serverů je, tím více si ušetříte práce, když je dáte do DMZ.
    19.5.2009 14:59 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    OK, je možné, že nevím přesně, jak to funguje (nebo si tak spíš připadám, protože jsem myslel, že DMZ funguje jinak, takže to se omlouvám). Ten "krabičkový router" mám, jen s linuxem od DD-WRT. Jestli by mi ta DMZ pomohla, není problém, jen bych tímpádem potřeboval vysvětlit co a jak, kdybyste někdo byli tak hodní ...
    19.5.2009 15:58 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Teď máte všechny počítače v síti dejme tomu 192.168.1.0/24. Serverům změňte IP adresy třeba na síť 192.168.2.0/24 -- router tedy bude muset mít na jedné síťovce 2 IP adresy, jednu z 192.168.1.0/24 a druhou z 192.168.2.0/24. To je v podstatě vše. Jenom ještě upravíte NAT na nové IP adresy, a je to. V budoucnosti to pak můžete vylepšit tak, že do routeru koupíte druhou síťovou kartu, ty dvě IP adresy, co budete teď mít na jedné síťovce, rozdělíte mezi dvě síťovky, koupíte druhý switch, na něj přepojíte servery a jednu z těch síťovek a máte skutečnou DMZ.
    19.5.2009 17:15 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Nejsem si teď jistý, jestli to při tomhle nejjednodušším řešení nebude při komunikaci mezi těmi dvěma rozsahy generovat ICMP redirecty, spíš bych řekl že ano. Jestli ano, tak by bylo dobré buď zakázat routeru jejich posílání nebo použít trochu komplikovanější (ale malinko přehlednější) řešení s VLANy.
    20.5.2009 10:58 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Myslím, že v takovém případě Linux automaticky ICMP redirecty negeneruje, nikdy jsem se s tím nesetkal -- navíc Linux nemůže nic tušit o síťové topologii. Nezjistí, pokud jsou dvě různé síťové karty připojené do stejné sítě (a měly by také generovat redirecty), nebo že naopak jedna síťová karta s dvěma IP adresami je připojená do nějakého chytrého switche, který už ty dvě sítě od sebe oddělí.
    19.5.2009 17:47 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Jak jsem již psal, mám onen "krabičkový router", tzn. router Asus WL-520GC. V něm mám z původního Asus firmware přehraný na firmware DD-WRT, což je nějaký absolutně minimalizovaný linux (velikost asi 1,8MB). A díval jsem se na nastavení, do DMZ mohu uvést skutečně pouze 1 IP adresu. Dá se to udělat i na takovémto routeru?
    19.5.2009 17:50 CIFik
    Rozbalit Rozbalit vše Re: Směrování IP adres
    Jak jsem již psal, mám onen "krabičkový router", tzn. router Asus WL-520GC. V něm mám z původního Asus firmware přehraný na firmware DD-WRT, což je nějaký absolutně minimalizovaný linux (velikost asi 1,8MB). A díval jsem se na nastavení, do DMZ mohu uvést skutečně pouze 1 IP adresu. Dá se to udělat i na takovémto routeru?

    Jinak co se týče mého routeru, tak jsem se díval na popis DMZ a je tam doslova psáno, že je to jediný počítač, který se za routerem bude chovat tak, jako by byl přímo připojen do internetu a budou na něm z internetu přímo přístupné všechny porty ...

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.