Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Podělte se o svůj názor s Evropskou komisí: Evropské otevřené digitální ekosystémy

dnes 03:00 | Komunita

Na stránkách Evropské komise, na portálu Podělte se o svůj názor, se lze do 3. února podělit o názor k iniciativě Evropské otevřené digitální ekosystémy řešící přístup EU k otevřenému softwaru.

Ladislav Hagara | Komentářů: 4

Orion pro Linux v alfa verzi

včera 19:44 | Zajímavý software

Společnost Kagi stojící za stejnojmenným placeným vyhledávačem vydala (𝕏) alfa verzi linuxové verze (flatpak) svého proprietárního webového prohlížeče Orion.

Ladislav Hagara | Komentářů: 4

Bose uvolnila API starších reproduktorů

včera 19:11 | IT novinky

Firma Bose se po tlaku uživatelů rozhodla, že otevře API svých chytrých reproduktorů SoundTouch, což umožní pokračovat v jejich používání i po plánovaném ukončení podpory v letošním roce. Pro ovládání také bude stále možné využívat oficiální aplikaci, ale už pouze lokálně bez cloudových služeb. Dokumentace API dostupná zde (soubor PDF).

NUKE GAZA! 🎆 | Komentářů: 0

AdGuard Home: domácí ochrana nejen před reklamou

včera 14:22 | Zajímavý článek

Jiří Eischmann se v příspěvku na svém blogu rozepsal o open source AdGuard Home jako domácí ochraně nejen před reklamou. Adguard Home není plnohodnotným DNS resolverem, funguje jako DNS forwarder s možností filtrování. To znamená, že když přijme DNS dotaz, sám na něj neodpoví, ale přepošle ho na vybraný DNS server a odpovědi zpracovává a filtruje dle nastavených pravidel a následně posílá zpět klientům. Dá se tedy používat k blokování reklamy a škodlivých stránek a k rodičovské kontrole na úrovni DNS.

Ladislav Hagara | Komentářů: 6

Claude Code lépe rozumí frameworku Nette

včera 03:33 | Zajímavý software

AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.

Ladislav Hagara | Komentářů: 1

Visual Studio Code a VSCodium 1.108

včera 00:11 | Nová verze

Byla vydána prosincová aktualizace aneb nová verze 1.108 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.108 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Notebook s plazmovým chlazením

8.1. 20:44 | IT novinky

Na lasvegaském veletrhu elektroniky CES byl předveden prototyp notebooku chlazeného pomocí plazmových aktuátorů (DBD). Ačkoliv se nejedná o první nápad svého druhu, nepochybně to je první ukázka praktického použití tohoto způsobu chlazení v běžné elektronice. Co činí plazmové chladící akční členy technologickou výzvou je především vysoká produkce jedovatého ozonu, tu se prý podařilo firmě YPlasma zredukovat dielektrickou

… více »

NUKE GAZA! 🎆 | Komentářů: 12

Patchouli, open source implementace EMR grafického tabletu

8.1. 16:33 | Zajímavý projekt

Patchouli je open source implementace EMR grafického tabletu (polohovací zařízení). Projekt je hostován na GitLabu.

Ladislav Hagara | Komentářů: 0

Česká právní úprava plošného uchování dat o elektronické komunikaci porušuje právo Evropské unie

8.1. 14:11 | IT novinky

Český Nejvyšší soud potvrdil, že česká právní úprava plošného uchování dat o elektronické komunikaci porušuje právo Evropské unie. Pravomocným rozsudkem zamítl dovolání ministerstva průmyslu a obchodu. To se teď musí omluvit novináři Českého rozhlasu Janu Cibulkovi za zásah do práv na ochranu soukromí a osobních údajů. Ve sporu jde o povinnost provozovatelů sítí uchovávat údaje, ze kterých lze odvodit, kdo, s kým a odkud komunikoval.

Ladislav Hagara | Komentářů: 18

Google bude vydávat zdrojové kódy Androidu pouze dvakrát ročně

8.1. 02:11 | Komunita

Google bude vydávat zdrojové kódy Androidu pouze dvakrát ročně. Ve 2. a 4. čtvrtletí.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 7, poslední 8.1. 15:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables NAT a bridge

Štítky: bridge, firewally, iptables, komunikace, nastavení, NAT, net, port, pravidla, PREROUTING, sítě, spojení, Squeeze, TCP, tcpdump, wheezy

Dotaz: iptables NAT a bridge

22.7.2014 16:17 Zdeněk Zámečník | skóre: 26
iptables NAT a bridge

Přečteno: 471×

Odpovědět | Admin

Ahoj všem, po upgradu systému na routeru z Debianu Squeeze na Wheezy jsem narazil na jednu nepříjemnost ohledně iptables - některá pravidla přestala fungovat, konkrétně tato:

 
iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 22023 -j DNAT --to 192.168.40.3:22022 
iptables -t nat -A POSTROUTING -p tcp -s 192.168.40.0/22 -d 192.168.40.3 -j SNAT --to 1.2.3.4
iptables -A FORWARD -i br40 -o br40 -j ACCEPT

Pokud se pokusím připojit na IP 1.2.3.4 port 22023 z IP adresy v segmentu 192.168.40.0/22, tak se spojení nenaváže a pokud si vylistuju všechna pravidla v tabulce nat, tak vidím, že žádné pakety neprocházejí postroutingem. Nutno podotknout, že tato komunikace probíhá v rámci jednoho bridge (br40), ale IP adresa 1.2.3.4 se nachází na interfacu br99.

Pokud si však na interfacu br40 pustím tcpdump vše začne záhadně fungovat jako dříve, teda do chvíle než tcpdump ukončím. Po troše laborování jsem přišel na to, že tímto nastavením sysctl -w net.bridge.bridge-nf-call-iptables=1 dosáhnu toho, že to funguje a pakety procházejí posroutingem jako ve staré verzi kernelu/iptables.

Jestli jsem pochopil nastavení tohoto parametru správně, tak se s ním vypíná/zapíná netfilter na všech bridgích a předpokládám, že z nějakého důvodu je defaultně zapnutý. V Debianu Squeeze takový přepínač nebyl.

Tak si říkám, jestli dělám něco špatně. Zda bych ten nat neměl dělat jinak. Co myslíte?

Nástroje: Začni sledovat (1) ?

Odpovědi

22.7.2014 16:39 Sten
Rozbalit Rozbalit vše Re: iptables NAT a bridge

Tak hlavní důvod je ten, že bridge by neměl routovat, protože tam mohou nastávat dost zvláštní úkazy, třeba když bridge zatím neví, kterou větví má paket poslat, nebo u složitějších sítí (se smyčkami) to může vyvolávat nedetekovatelné nekonečné přeposílání paketů.

Dá se to řešit routováním:

Na 192.168.40.3 přidejte IP adresu 1.2.3.4/32.
Na router přidejte route 1.2.3.4/32 via 192.168.40.3.

22.7.2014 17:00 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: iptables NAT a bridge

To mě moc nepotěšilo :/ Chápu, že bridge funguje na jiné úrovni a těch komplikací je tam vícero.

Bohužel ta statická routa nepřipadá v úvahu. Modelová situace vypadá totiž takto: IP adresa 1.2.3.4 je od ISP, kterou router používá pro přístup do internetu, je na interfacu eth99 (v předchozím příspěvku jsem mylně uvedl br99). Z této IP adresy provádím forward několika portů na méně významné stroje v interní síti 192.168.40.0/22. Tato interní síť je pověšená na interfacu br40. V tomto bridgi je krom fyzické síťovky ještě device tap, který slouží k připojení vzdálených klientů přes OpenVPN.

Zmiňovaný postrouting (snat) zajišťuje pouze to, že se z interní sítě můžu připojit přes tu veřejnou adresu 1.2.3.4 stejně jako když jsem venku. Zbavit se bridge pro tu interní síť je nemyslitelné. Přes VPN potřebuji posílat celé rámce, protože tam provozuji např. tftp a další věci, které se přes tun řeší dost blbě nebo spíše nejdou řešit.

Nějaké nápady?

22.7.2014 17:16 Sten
Rozbalit Rozbalit vše Re: iptables NAT a bridge

Můžete mít různá routovací pravidla podle portů:

iptables -d 1.2.3.4 -p tcp --dport 1234 -j MARK --set-mark 1234
echo 1234 presmerovani >>/etc/iproute2/rt_tables
ip rule add fwmark 1234 table presmerovani
ip route add 1.2.3.4/32 via 192.168.40.3 table presmerovani

22.7.2014 17:22 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: iptables NAT a bridge

Masakr! Dobrý nápad. Schválně to večer vyzkouším. Jako další možnost mě napadlo udělat si pro VPN zvlášť virtuální stroj a tím bych se zbavil bridgů na routeru. Na jednu stranu by to ve firewallu znamenalo míň pravidel a nemusel bych hrabat do routovacích tabulek, ale na druhou stranu je to další stroj, o který se musím starat.

Každopádně moc díky za vysvětlení a nalezení té správné cesty...

22.7.2014 21:48 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: iptables NAT a bridge

A pouzit dns a vracet jinou odpoved podle toho jestli se ptate zvenci nebo zevnitr? Prislo by mi to vice fer nez tvrdit siti ze ma verejnou ip uvnitr.

23.7.2014 06:51 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: iptables NAT a bridge

To ale problém úplně dokonale neřeší. Představte si, že z té veřejné IP adresy je přesměrováno několik portů na různé IP uvnitř. Pokud zprovozním DNS pro vnitřní síť, kde každý ten host bude mít vlastní hostname, ale zvenku všechny tyto hostnamy budou ukazovat přímo na tu veřejnou IP, bude se to ve výsledku chovat odlišně venku a uvnitř... Ten překlad uvnitř sítě tyto neduhy pohodlně řešil. Uživateli je jedno jestli je uvnitř sítě nebo někde mimo, on prostě chce aby to fungovalo pořád stejně. Dlouhá léta nám to takhle fungovalo na několika sítích, tak mi přijde hloupé se toho najednou vzdát.

Uvědomil jsem si, že to markování a hraní si s routovací tabulkou má podobný problém, takže se ještě podívám na ebtables. V krajním případě ty bridge zruším a OpenVPN přesunu na samostatný stroj.

23.7.2014 08:03 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: iptables NAT a bridge

tak jestli smerujes vnejsi porty na jiné uvnitr tak ano, nic to neresi, más to tak v popisu, ale neuvedomil jsem si to. Pokud by to slo na stejné porty, tak ti to podle me problém vyresí.

Založit nové vlákno • Nahoru

Tiskni Sdílej: