Přihlášení | Registrace

napište » Zprávičky

LMDE 6 Faye

včera 14:44 | Nová verze

Byla vydána verze 6 s kódovým název Faye linuxové distribuce LMDE (Linux Mint Debian Edition). Podrobnosti v poznámkách k vydání. Linux Mint vychází z Ubuntu. LMDE je postaveno na Debianu.

Ladislav Hagara | Komentářů: 2

Bezpečnostní problém GPU.zip, útok postranním kanálem na grafickou kartu (GPU)

včera 13:11 | Bezpečnostní upozornění

Byly publikovány informace o novém bezpečnostním problému pojmenovaném GPU.zip (paper, GitHub). S vlastním logem. Jedná se o možný útok postranním kanálem na grafickou kartu (GPU). Proces může "krást pixely" jinému procesu.

Ladislav Hagara | Komentářů: 1

Projekt GNU dnes slaví 40. výročí

včera 08:00 | Komunita

Projekt GNU dnes slaví 40. výročí. Přesně před čtyřiceti lety, 27. září 1983, Richard Stallman oznámil, že se chystá napsat s Unixem kompatibilní operační systém GNU (Gnu's Not Unix). Hlavní oslava a setkání hackerů probíhá ve Švýcarsku ve městě Biel/Bienne. Na programu je také přednáška Richarda Stallmana.

Ladislav Hagara | Komentářů: 5

Firefox 118.0

26.9. 15:55 | Nová verze

Byl vydán Mozilla Firefox 118.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Vypíchnout je nutno automatický lokální strojový překlad webových stránek. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 118 je již k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 33

OCRmyPDF 15.0.0

26.9. 12:55 | Nová verze

Byla vydána nová major verze 15.0.0 softwaru OCRmyPDF pro přidávání textové vrstvy k naskenovaným PDF dokumentům (PDF/A). Přehled novinek v poznámkách k vydání. OCRmyPDF využívá pro optické rozpoznávání znaků (OCR) engine Tesseract.

Ladislav Hagara | Komentářů: 13

Bzzzt má nové demo

26.9. 12:22 | Zajímavý software

Karel Matějka zveřejnil druhé demo své chystané hry Bzzzt. Kromě verze pro Windows a macOS je dostupná i verze pro Linux. Plná verze hry má vyjít zanedlouho.

Ondřej J | Komentářů: 6

Noví Bulánci oficiálně vydáni

25.9. 20:33 | IT novinky

Noví Bulánci byli oficiálně vydáni. V roce 2021 bylo na Startovači na podporu vývoje této hry vybráno 7,3 miliónů Kč. Hra je zatím určena jenom pro Windows, díky Protonu ale běží také na Linuxu.

Ladislav Hagara | Komentářů: 8

ChatGPT může vidět, slyšet a mluvit

25.9. 14:55 | IT novinky

ChatGPT může vidět, slyšet a mluvit.

Ladislav Hagara | Komentářů: 4

Upscaler, open source nástroj pro zvýšení rozlišení a vylepšení obrázků pomocí AI

25.9. 14:33 | Zajímavý software

Upscaler je open source nástroj pro zvýšení rozlišení a vylepšení obrázků pomocí AI. Vývoj probíhá na GitLabu. Instalovat lze také z Flathubu. Stejně jako Upscayl je Upscaler postaven nad Real-ESRGAN.

Ladislav Hagara | Komentářů: 1

GNUnet 0.20.0

25.9. 12:11 | Nová verze

GNUnet (Wikipedie) byl vydán v nové major verzi 0.20.0. Jedná se o framework pro decentralizované peer-to-peer síťování, na kterém je postavena řada aplikací.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Knihy s linuxovou tematikou

čtu, a to „od začátku do konce“ (19%)

používám jako referenční příručky (15%)

mám, ale (už) nečtu (51%)

nemám (27%)

Celkem 277 hlasů

Komentářů: 11, poslední 17.9. 19:19

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / NAT router

Štítky: CPU, firewally, HP, iptables, klient, Linux, nastavení, NAT, názor, osobní, problém, router, server, síť, sítě

Dotaz: NAT router

15.4.2013 19:28 georgo23
NAT router

Přečteno: 342×

Odpovědět | Admin

Zdravim, resim problem v nasi siti a jsem v koncich. Sit ma cca 2500 uzivatelu a cca 300 aktivnich prvku, de facto je temer cela jiz postavena na MRT, az na hranicni cast, kde je HP server a ten natuje cca nejakych 2000 useru do 16 verejnych IP adres. Problem je v tom, ze se nam urcite nahodne casti site zpomalily, a my hledame reseni. Patere jsou na 17 GHz ALcoma, sit je routovana. Vytizenost CPU je cca 15-45 % na obou jadrech. Natovaci tabulka je velmi jednoducha vzdy 4-16 subnetu pod jednou verejnou ip adresu. V ramci nasi site je sit da se rici rychla, rekneme ze dokud nedojde prave k LINUXU, jsou hodnoty na Bandw. testech takove, jake maji byt, pres uz vsak neprojde vse tak jak bychom ocekavali. Rekneme ze klient co ma mit nekde 20 Mb, je rad ze ma 4-6, a jinde treba ob vedle ma to co ma mit. Upozornuji, ze sit neni pretizena, Muj osobni nazor je ten, pruchodnost pres LINUX je ten problem, a tak hledam radu co vse se da doladit na nastaveni NATU ? Zde ukazka jednoho ze 16 pravidel NAT tabulky:

iptables -t nat -A POSTROUTING -s 192.168.1.0/21 -j SNAT --to-source VEREJN.NA.IP.ADRESA

Nástroje: Začni sledovat (1) ?

Odpovědi

15.4.2013 20:23 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: NAT router

Možeš sem vložiť obsah celých iptables ?

Root v linuxe : "Root povedal, linux vykona."

15.4.2013 21:59 georgo23
Rozbalit Rozbalit vše Re: NAT router

root@main:~# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.104.173      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.ip:80
DNAT       tcp  --  192.168.104.198      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.104.58       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.121.141      0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.126.14       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
DNAT       tcp  --  192.168.126.5        0.0.0.0/0           tcp dpt:80 to:ip.ip.ip:80
DNAT       tcp  --  192.168.227.13       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.244.34       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.245.16       0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80
DNAT       tcp  --  192.168.54.3         0.0.0.0/0           tcp dpt:80 to:ip.ip.ip.2:80


Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.0.0/21       0.0.0.0/0           to:ip.ip.ip.66
SNAT       all  --  192.168.8.0/21       0.0.0.0/0           to:ip.ip.ip.67
SNAT       all  --  192.168.16.0/20      0.0.0.0/0           to:ip.ip.ip68
SNAT       all  --  192.168.40.0/21      0.0.0.0/0           to:ip.ip.ip69
SNAT       all  --  192.168.48.0/21      0.0.0.0/0           to:ip.ip.ip70
SNAT       all  --  192.168.56.0/21      0.0.0.0/0           to:ip.ip.ip71
SNAT       all  --  192.168.64.0/21      0.0.0.0/0           to:ip.ip.ip72
SNAT       all  --  192.168.100.0/23     0.0.0.0/0           to:ip.ip.ip66
SNAT       all  --  192.168.104.0/21     0.0.0.0/0           to:ip.ip.ip73
SNAT       all  --  192.168.120.0/21     0.0.0.0/0           to:ip.ip.ip74
SNAT       all  --  192.168.128.0/20     0.0.0.0/0           to:ip.ip.ip75
SNAT       all  --  192.168.192.0/19     0.0.0.0/0           to:ip.ip.ip76
SNAT       all  --  192.168.224.0/20     0.0.0.0/0           to:ip.ip.ip77
SNAT       all  --  192.168.240.0/20     0.0.0.0/0           to:ip.ip.ip78
SNAT       all  --  192.168.98.0/23      0.0.0.0/0           to:ip.ip.ip66

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

pak je tam jeste pro FORWARD, ale tam je cca 2800 pravidel

15.4.2013 23:11 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: NAT router

Máš v reťazi FORWARD aj takéto pravidla ?

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/21 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s ! 192.168.0.0/21 -m state --state ESTABLISHED -j ACCEPT
iptables -A POSTROUTING -t nat -s 192.168.20.0/21 -o eth1 -j SNAT ip
iptables -I FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT

Prvé pravidlo povolí prevádzku vstupujúcu cez eth0 z rozsahu 192.168.0.0/21. Druhe pravidlo povolí prevádzku z eth1, ktorá nie je v rozsahu 192.168.0.0/21 a je už vytvorené spojenie. Tretie je SNAT pre daný rozsah. Posledné pravidlo by malo povoliť prevádzku, ktorá už má záznam v conntrack tabuľke. Skúšal si pozerať prevádzku, ktorá prechádza, či tam nemáš nejake ICMP redirect ?

Root v linuxe : "Root povedal, linux vykona."

15.4.2013 22:41 j
Rozbalit Rozbalit vše Re: NAT router

Trochu malo informaci ... ale prvni nastrel - kolik mas tak otevrenych konexi v NAT tabulce? Kolik to papa RAMky?

Jinak ta sit je IMO dost velka na to, aby si zaslouzila vetsi porci IPcek ... ale ve 4ce to ted uz bude asi problem. Mozna by nebylo od veci NATu lehce ulehcit a nahodit IPv6 (mam na IPv6 kolem 20% trafficu generovanyho BFUckama = zadny spesl pouzivani).

Router na linuxu uroutuje klido desitky Gbit, takze v tom bych problem nehledal. Forward a 2k8 pravidel, to uz problem byt muze, pokud jsou blbe postavena. Nebylo by od veci to prozkoumat, a podivat se na to. Obecne plati, ze je nejlepsi postupovat od obecnych ke konkretnim pravidlum a paket terminovat co nejdriv. Je dobry mit trebas primo ve forwardu jen nejaky omezeny mnoztvi pravidel a dal to rozpadat do chainu. Pokud mas pravidla jako jednu hromadu pekne jedno za druhym ... tak to problem byt muze i zasadni, pokud se nejaky beznejsi nachazi nekde na konci, musi se otestovat vsechna.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje