Byla vydána červnová aktualizace aneb verze 2023.06-1 linuxové distribuce OSMC (Open Source Media Center). Z novinek lze zdůraznit povýšení verze multimediálního centra Kodi na 20. Na léto je plánováno představení nového vlajkového zařízení Vero, jež nahradí Vero 4K +.
Už zítra 7. června od 17 hodin proběhne SUSE Czech Open House 2023 aneb den otevřených dveří pražské pobočky SUSE. Těšit se lze na komentovanou prohlídku nebo přednášku o spotřebě procesorů.
Na vývojářské konferenci Applu WWDC23 byla představena řada novinek (cz): brýle Apple Vision Pro, MacBook Air 15” s čipem M2, Mac Studio s čipem M2 Max nebo M2 Ultra, Mac Pro s čipem M2 Ultra, iOS 17, iPadOS 17, macOS Sonoma, watchOS 10, …
Chystá se poslední jarní Virtuální Bastlírna. Nachystejte si ledové kávy, mojita a vodní chladiče a pojďte se se strahovskými bastlíři pobavit o technice a bastlení! Ptáte se, co mají bastlíři za novinky? Například se ukázalo, že OLED s SSD1306 ve skutečnosti nejsou nutně jen černobílé. Vyšla také nová verze KiCADu včetně betaverze pluginu pro tvorbu databázových knihoven pro KiCAD v InvenTree a na internetu se objevil USB
… více »6. červen je dnem za skutečný internet (neboli Světový den IPv6). Již tradiční příležitost urgovat svého ISP, kdy zavede do sítě IPv6, ale také příležitost šířit osvětu i mezi netechnické uživatele. V současnosti má IPv6 v ČR jen cca 20 % uživatelů (podle statistik společností Akamai a Google).
Festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí Maker Faire Prague 2023 proběhne o víkendu 10. a 11. června na Výstavišti Praha.
Byla vydána verze 8.18 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.
Projekty Blink a Blinkenlights dospěly do verze 1.0. Jedná se o x86-64-linux emulátor a jeho TUI nadstavbu sloužící jako debugger. Blink je v porovnání s qemu-x86_64 menší a rychlejší.
Bylo potvrzeno, že Debian 12 s kódovým jménem Bookworm vyjde v tuto sobotu 10. června.
Byla vydána nová verze 2023.2 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení. Zdůraznit lze předpřipravené obrazy pro Hyper-V nebo to, že ve výchozím prostředí Xfce bylo PulseAudio nahrazeno multimediálním serverem PipeWire.
192.168.254.2 dev tun0 proto kernel scope link src 192.168.254.1 1.2.3.248/29 dev eth0 proto kernel scope link src 1.2.3.249 192.168.12.0/24 dev eth1.12 proto kernel scope link src 192.168.12.254 192.168.11.0/24 dev eth1.11 proto kernel scope link src 192.168.11.254 192.168.254.0/24 via 192.168.254.2 dev tun0 169.254.0.0/16 dev eth1.12 scope link default via 1.2.3.254 dev eth0ifcfg-eth0
DEVICE=eth0 TYPE=Ethernet BOOTPROTO=static IPADDR=1.2.3.249 NETMASK=255.255.255.248 NETWORK=1.2.3.248 BROADCAST=1.2.3.255 ONBOOT=yesifcfg-eth1
DEVICE=eth1 TYPE=Ethernet BOOTPROTO=none ONBOOT=yesifcfg-eth1.11
DEVICE=eth1.11 TYPE=Ethernet BOOTPROTO=static IPADDR=192.168.11.254 NETMASK=255.255.255.0 NETWORK=192.168.11.0 BROADCAST=192.168.11.255 ONBOOT=yes VLAN=yesifcfg-eth1.12
DEVICE=eth1.12 TYPE=Ethernet BOOTPROTO=static IPADDR=192.168.12.254 NETMASK=255.255.255.0 NETWORK=192.168.12.0 BROADCAST=192.168.12.255 ONBOOT=yes VLAN=yesAbsolútne základný výcuc z firewall-a
LO_IP="127.0.0.1" LO_NETMASK="127.0.0.0/24" ETH0_IP="1.2.3.249" ETH0_NETMASK="1.2.3.248/29" ETH1_11_IP="192.168.11.254" ETH1_11_NETMASK="192.168.11.0/24" ETH1_12_IP="192.168.12.254" ETH1_12_NETMASK="192.168.12.0/24" TUN0_IP="192.168.254.1" TUN0_NETMASK="192.168.254.0/24" /sbin/iptables --policy FORWARD DROP /sbin/iptables --table filter --append FORWARD --match state --state ESTABLISHED,RELATED --jump ACCEPT /sbin/iptables --table filter --append FORWARD --match state --state INVALID --jump DROP /sbin/iptables --policy INPUT DROP /sbin/iptables --table filter --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT /sbin/iptables --table filter --append INPUT --match state --state INVALID --jump DROP /sbin/iptables --policy OUTPUT DROP /sbin/iptables --table filter --append OUTPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT /sbin/iptables --table filter --append OUTPUT --match state --state INVALID --jump DROP echo -n "Create Rules for Chain: FORWARD ................................................................................ " /sbin/iptables --table filter --append FORWARD --match state --state NEW --in-interface eth1.11 --source ${ETH1_11_NETMASK} --jump ACCEPT /sbin/iptables --table filter --append FORWARD --match state --state NEW --in-interface eth1.12 --source ${ETH1_12_NETMASK} --jump ACCEPT /sbin/iptables --table filter --append FORWARD --match state --state NEW --in-interface tun0 --source ${TUN0_NETMASK} --jump ACCEPT echo "Done." echo -n "Create Rules for Chain: INPUT .................................................................................. " /sbin/iptables --table filter --append INPUT --match state --state NEW --in-interface lo --jump ACCEPT /sbin/iptables --table filter --append INPUT --match state --state NEW --protocol TCP --match multiport --destination-port 22 --jump ACCEPT /sbin/iptables --table filter --append INPUT --match limit --limit 1/second --limit-burst 5 --protocol ICMP --icmp-type 0 --jump ACCEPT /sbin/iptables --table filter --append INPUT --match limit --limit 1/second --limit-burst 5 --protocol ICMP --icmp-type 3 --jump ACCEPT /sbin/iptables --table filter --append INPUT --match limit --limit 1/second --limit-burst 5 --protocol ICMP --icmp-type 8 --jump ACCEPT /sbin/iptables --table filter --append INPUT --match limit --limit 1/second --limit-burst 5 --protocol ICMP --icmp-type 11 --jump ACCEPT echo "Done." echo -n "Create Rules for Chain: OUTPUT ................................................................................. " /sbin/iptables --table filter --append OUTPUT --match state --state NEW --jump ACCEPT echo "Done." echo -n "Create Rules for Chain: POSTROUTING ............................................................................ " /sbin/iptables --table nat --append POSTROUTING --out-interface eth0 --source ${ETH1_11_NETMASK} --jump SNAT --to-source ${ETH0_IP} /sbin/iptables --table nat --append POSTROUTING --out-interface eth0 --source ${ETH1_12_NETMASK} --jump SNAT --to-source ${ETH0_IP} /sbin/iptables --table nat --append POSTROUTING --out-interface eth0 --source ${TUN0_NETMASK} --jump SNAT --to-source ${ETH0_IP} echo "Done."Za akúkoľvek radu vám budem veľmi vďačný.
Řešení dotazu:
Pokud ten paketový filtr vyhodíte, tak to funguje? Pokud ho nemůžete dočasně vynechat, podívejte se aspoň na počítadla těch DROP
pravidel a politik, jestli rostou, nebo před ně přidejte logovací pravidla.
Jinak samozřejmě i to, co už bylo řečeno: podívat se tcpdumpem na eth1 / eth1.11 / eth1.12, co vám přichází a odchází, tj. jednak kde ty pakety mizejí, jednak jestli vypadají, jak mají (otagované na eth1, neotagované na eth1.*).
/usr/sbin/tcpdump -i eth1.11 icmp 09:01:40.557069 IP 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 0, length 72 /usr/sbin/tcpdump -i eth1.12 icmp 09:02:35.153420 IP 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 0, length 72Keď som ale pridal maškarádu - čiže buď:
iptables --table nat --append POSTROUTING --jump MASQUERADEalebo:
iptables --table nat --append POSTROUTING --out-interface eth1.12 --source 192.168.11.0/24 --jump SNAT --to-source 192.168.12.254Tak už ping išiel a tcpdump ukazoval nasledovné:
/usr/sbin/tcpdump -i eth1.11 icmp 09:07:11.048012 IP 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 0, length 72 09:07:11.048912 IP 192.168.12.251 > 192.168.11.251: ICMP echo reply, id 545, seq 0, length 72 /usr/sbin/tcpdump -i eth1.12 icmp 09:08:44.012300 IP 192.168.12.254 > 192.168.12.251: ICMP echo request, id 545, seq 0, length 72 09:08:44.012513 IP 192.168.12.251 > 192.168.12.254: ICMP echo reply, id 545, seq 0, length 72No ale podľa môjho skromného, skoro laického názoru je používanie maškarády, teda NAT v takomto prostredí minimálne povedané do neba volajúca blbosť. Má prosím vás ešte niekto nápad, že kde by mohla byť zrada? Veľmi pekne vám ďakujem.
To ale vypadá, že problém není na vašem stroji, ale na tom 192.168.12.251
Ještě se ale pro jistotu podívejte, jak to vypadá na eth1.
/usr/sbin/tcpdump -i eth1 icmp 10:35:59.989814 IP 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 0, length 72To je všetko. Mimochodom, všetky stroje v sieti sa správajú rovnako, teda nie je to problém len konkrétne 192.168.12.251. Veľmi pekne Vám ďakujem za ochotu.
-e
, jestli je ten paket správně otagovaný. Pokud ano, nezbyde než se podívat na konfiguraci těch koncových stanic.
/usr/sbin/tcpdump -e -vv -i eth1 icmp tcpdump: WARNING: eth1: no IPv4 address assigned tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 11:15:40.329746 00:11:3b:18:43:63 (oui Unknown) > c0:4a:00:7b:f0:06 (oui Unknown), ethertype IPv4 (0x0800), length 106: (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto: ICMP (1), length: 92) 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 0, length 72 11:15:41.938999 00:11:3b:18:43:63 (oui Unknown) > c0:4a:00:7b:f0:06 (oui Unknown), ethertype IPv4 (0x0800), length 106: (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto: ICMP (1), length: 92) 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 1, length 72 11:15:43.546567 00:11:3b:18:43:63 (oui Unknown) > c0:4a:00:7b:f0:06 (oui Unknown), ethertype IPv4 (0x0800), length 106: (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto: ICMP (1), length: 92) 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 2, length 72 11:15:45.154653 00:11:3b:18:43:63 (oui Unknown) > c0:4a:00:7b:f0:06 (oui Unknown), ethertype IPv4 (0x0800), length 106: (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto: ICMP (1), length: 92) 192.168.11.251 > 192.168.12.251: ICMP echo request, id 545, seq 3, length 72 4 packets captured 4 packets received by filter 0 packets dropped by kernelKoncové stanice sú nastavované pomocou dhcpd. Výcuc z dhcpd.conf:
authoritative; ddns-update-style none; subnet 192.168.11.0 netmask 255.255.255.0 { default-lease-time 86400; max-lease-time 86400; option netbios-node-type 8; use-host-decl-names on; option domain-name "domain.tld"; option routers 192.168.11.254; option broadcast-address 192.168.11.255; option subnet-mask 255.255.255.0; option domain-name-servers 192.168.11.254; option netbios-name-servers 192.168.11.254; option ntp-servers 192.168.11.254; pool { range 192.168.11.1 192.168.11.250; allow unknown-clients; } } subnet 192.168.12.0 netmask 255.255.255.0 { default-lease-time 86400; max-lease-time 86400; option netbios-node-type 8; use-host-decl-names on; option domain-name "domain.tld"; option routers 192.168.12.254; option broadcast-address 192.168.12.255; option subnet-mask 255.255.255.0; option domain-name-servers 192.168.12.254; option netbios-name-servers 192.168.12.254; option ntp-servers 192.168.12.254; pool { range 192.168.12.1 192.168.12.250; allow unknown-clients; } }Ešte raz vrelá vďaka za ochotu - veľmi si to vážim.
Teda pre 192.168.11.0/24 by bolo "option routers 192.168.11.254,192.168.12.254;" A pre 192.168.12.0/24 by bolo "option routers 192.168.12.254,192.168.11.254;"
To nevypadá dobře, na eth1 už byste měl vidět ten 802.1Q tag. Ale to může být chyba libpcap/tcpdump (starší verze ho nezobrazovaly, když jádro předalo TCI v metadatech). Jakou verzi libpcap/tcpdump tam máte?
Navíc kdyby byl problém v tomhle, nepřišla by ani odpověď na ARP dotaz a ICMP echo by se vůbec neposlalo. Takže mi z toho pořád vychází problém na té koncové stanici. Nemůže tam být nějaký implicitní firewall zahazující pakety z privátních rozsahů kromě vlastního?
Bude tam jiná default nebo bude chybět.Bude tam jiná default GW nebo ta default GW bude chybět.
Tiskni
Sdílej: