Přihlášení | Registrace

napište » Zprávičky

Qt 6.10

dnes 13:22 | Nová verze

Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Ubuntu 26.04 LTS bude Resolute Raccoon

včera 23:55 | Komunita

Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

Ladislav Hagara | Komentářů: 1

Netwide Assembler (NASM) 3.00

včera 21:00 | Nová verze

Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0

Frugalware Linux ke konci roku 2025 oficiálně končí

včera 20:11 | Komunita

Linuxová distribuce Frugalware (Wikipedie) ke konci roku 2025 oficiálně končí.

Ladislav Hagara | Komentářů: 0

GIMP 3.0.6

včera 17:22 | Nová verze

Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

AMD uzavřela smlouvu o dodávkách čipů pro OpenAI

včera 16:11 | IT novinky

Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

Ladislav Hagara | Komentářů: 1

OpenSSH 10.1

včera 12:22 | Nová verze

Byla vydána nová verze 10.1 sady aplikací pro SSH komunikaci OpenSSH. Uživatel je nově varován, když se nepoužívá postkvantovou výměnu klíčů.

Ladislav Hagara | Komentářů: 0

Videozáznamy z LinuxDays 2025

5.10. 20:00 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

Ladislav Hagara | Komentářů: 0

Turris Omnia NG

4.10. 15:22 | IT novinky

Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

Ladislav Hagara | Komentářů: 38

Přímý přenos z LinuxDays 2025

4.10. 05:22 | Komunita

Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

Ladislav Hagara | Komentářů: 18

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (39%)

Gitlab (45%)

Atlassian (16%)

Bitbucket (17%)

Gitea (22%)

Mercurial (16%)

jen git (18%)

jen svn (16%)

Jiné (uvedu v diskusi) (16%)

Celkem 186 hlasů

Komentářů: 12, poslední 4.10. 20:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables + presmerovanie portu -> pomale ssh

Štítky: firewally, iptables, NAT, problém, sítě, SSH, TCP

Dotaz: iptables + presmerovanie portu -> pomale ssh

26.11.2010 17:58 stewe
iptables + presmerovanie portu -> pomale ssh

Přečteno: 205×

Odpovědět | Admin

zdravim,

predstavte si prosim nasledovnu sietovu situaciu: [pc1]---[pc2[pc3]]

Pc3 je virutalizovane (debian, xen). Na pc3 bezi sshd. Pristup z pc1 cez ssh na pc3 ma byt mozny len na porte 2222, na porte 22 pristup z tejto ip odmietne. Avsak z pc2 ma byt na pc3 pripojenie cez port 22 mozne. Firewall sa ma nastavit na pc2. S pc3 sa nema robit nic. Sietova adresa pc1 je 10.0.0.1, sietova vonkajsia pc2 10.0.0.80, vnutrona 10.0.80.1, vonkajsia pc3 10.0.80.2 Spravil som nasledovne v iptables na pc2:

iptables -t mangle -A PREROUTING -p tcp -s 10.0.0.1 -d 10.0.80.2 --dport 2222 -j MARK --set-mark 2222

iptables -t nat -A PREROUTING -m mark -p tcp -s 10.0.0.1 -d 10.0.80.2 --mark 2222 -j DNAT --to-destination 10.0.80.2:22

iptables -A FORWARD -m mark -p tcp -s 10.0.0.1 -d 10.0.80.2 --dport 22 ! --mark 2222 -j DROP

Funguje to, problem ale je, ze teraz prihlasenie z pc2 na pc3 cez port 22 trva dost dlho, po viac nasobnom merani cca 5 sekund, pred tym to slo okamzite. Neviete poradit, kde by mohol byt problem a preco sa to vlastne spomaluje? Existuje nejaka ina technika, ktora by mala ten isty efekt?

Dakujem za napady

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

26.11.2010 18:36 NN
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh

Co takhle:

iptables -t nat -A PREROUTING -p tcp -s 10.0.0.1 -d 10.0.80.2 -dport 2222 -j DNAT --to-destination 10.0.80.2:22
iptables -A FORWARD -p tcp -s 10.0.0.1 -d 10.0.80.2 -dport 22 -j DROP

nicmene to nemenni na faktu ze s provozem z pc2 na pc3 to nema nic spolecneho..

26.11.2010 18:43 stewe
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh

kedze prerouting sa vykona pred forward-om, tak ked to takto dnatujes v prvom pravidle, tak v druhom sa ten packet zahodi nie?

26.11.2010 18:52 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh

Funguje vám tam DNS? Nepokouší se server překládat IP adresu klienta na název, a nečeká se na DNS timeout? I když to by asi trvalo déle, než 5 sekund.

26.11.2010 19:03 stewe
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh

dns server mi bezi na 10.0.0.80, na fyzickom stroji, dopredna aj reverzna zona sa resolvuje okamzite (cez dig prip. nslookup)

nemoze to mat nieco spolocne s ipv6? z fyzickeho na virtualny stroj je spraveny 6to4 tunel. ale podla mna to s tym nema vobec nic spolocne, to by robilo aj pre zavedenim tych pravidiel (ak vobec) kedze aj firewall sa musi robit pre ipv6 zvlast ... ipv6 a dns teda vylucujem.

26.11.2010 19:19 stewe
Rozbalit Rozbalit vše Re: iptables + presmerovanie portu -> pomale ssh

vyriesil som to, chyba bola uplne niekde inde, cez tcpdump som zistil, ze ssh na 10.0.80.2 sa snazi autentizovat voci kerberosovi na 10.0.0.80, mal som to nastavene v sshd_configu na 10.0.80.2 ...

v kazdom pripade dakujem za ochotu

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje