abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Qt 6.10
    dnes 13:22 | Nová verze

    Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Ubuntu 26.04 LTS bude Resolute Raccoon
    včera 23:55 | Komunita

    Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

    Ladislav Hagara | Komentářů: 1
    Netwide Assembler (NASM) 3.00
    včera 21:00 | Nová verze

    Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Frugalware Linux ke konci roku 2025 oficiálně končí
    včera 20:11 | Komunita

    Linuxová distribuce Frugalware (Wikipedie) ke konci roku 2025 oficiálně končí.

    Ladislav Hagara | Komentářů: 0
    GIMP 3.0.6
    včera 17:22 | Nová verze

    Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    AMD uzavřela smlouvu o dodávkách čipů pro OpenAI
    včera 16:11 | IT novinky

    Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

    Ladislav Hagara | Komentářů: 1
    OpenSSH 10.1
    včera 12:22 | Nová verze

    Byla vydána nová verze 10.1 sady aplikací pro SSH komunikaci OpenSSH. Uživatel je nově varován, když se nepoužívá postkvantovou výměnu klíčů.

    Ladislav Hagara | Komentářů: 0
    Videozáznamy z LinuxDays 2025
    5.10. 20:00 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

    Ladislav Hagara | Komentářů: 0
    Turris Omnia NG
    4.10. 15:22 | IT novinky

    Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

    Ladislav Hagara | Komentářů: 38
    Přímý přenos z LinuxDays 2025
    4.10. 05:22 | Komunita

    Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

    Ladislav Hagara | Komentářů: 18
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (39%)
     (45%)
     (16%)
     (17%)
     (22%)
     (16%)
     (18%)
     (16%)
     (16%)
    Celkem 186 hlasů
     Komentářů: 12, poslední 4.10. 20:35
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables NAT a bridge
    Štítky: bridge, firewally, iptables, komunikace, nastavení, NAT, net, port, pravidla, PREROUTING, sítě, spojení, Squeeze, TCP, tcpdump, wheezy

    Dotaz: iptables NAT a bridge

    Zdeněk Zámečník avatar 22.7.2014 16:17 Zdeněk Zámečník | skóre: 26
    iptables NAT a bridge
    Přečteno: 437×
    Ahoj všem, po upgradu systému na routeru z Debianu Squeeze na Wheezy jsem narazil na jednu nepříjemnost ohledně iptables - některá pravidla přestala fungovat, konkrétně tato: 
     
iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 22023 -j DNAT --to 192.168.40.3:22022 
iptables -t nat -A POSTROUTING -p tcp -s 192.168.40.0/22 -d 192.168.40.3 -j SNAT --to 1.2.3.4
iptables -A FORWARD -i br40 -o br40 -j ACCEPT
    Pokud se pokusím připojit na IP 1.2.3.4 port 22023 z IP adresy v segmentu 192.168.40.0/22, tak se spojení nenaváže a pokud si vylistuju všechna pravidla v tabulce nat, tak vidím, že žádné pakety neprocházejí postroutingem. Nutno podotknout, že tato komunikace probíhá v rámci jednoho bridge (br40), ale IP adresa 1.2.3.4 se nachází na interfacu br99.

    Pokud si však na interfacu br40 pustím tcpdump vše začne záhadně fungovat jako dříve, teda do chvíle než tcpdump ukončím. Po troše laborování jsem přišel na to, že tímto nastavením sysctl -w net.bridge.bridge-nf-call-iptables=1 dosáhnu toho, že to funguje a pakety procházejí posroutingem jako ve staré verzi kernelu/iptables.

    Jestli jsem pochopil nastavení tohoto parametru správně, tak se s ním vypíná/zapíná netfilter na všech bridgích a předpokládám, že z nějakého důvodu je defaultně zapnutý. V Debianu Squeeze takový přepínač nebyl.

    Tak si říkám, jestli dělám něco špatně. Zda bych ten nat neměl dělat jinak. Co myslíte?
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    22.7.2014 16:39 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Tak hlavní důvod je ten, že bridge by neměl routovat, protože tam mohou nastávat dost zvláštní úkazy, třeba když bridge zatím neví, kterou větví má paket poslat, nebo u složitějších sítí (se smyčkami) to může vyvolávat nedetekovatelné nekonečné přeposílání paketů.

    Dá se to řešit routováním:
    • Na 192.168.40.3 přidejte IP adresu 1.2.3.4/32.
    • Na router přidejte route 1.2.3.4/32 via 192.168.40.3.
    Zdeněk Zámečník avatar 22.7.2014 17:00 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To mě moc nepotěšilo :/ Chápu, že bridge funguje na jiné úrovni a těch komplikací je tam vícero.

    Bohužel ta statická routa nepřipadá v úvahu. Modelová situace vypadá totiž takto: IP adresa 1.2.3.4 je od ISP, kterou router používá pro přístup do internetu, je na interfacu eth99 (v předchozím příspěvku jsem mylně uvedl br99). Z této IP adresy provádím forward několika portů na méně významné stroje v interní síti 192.168.40.0/22. Tato interní síť je pověšená na interfacu br40. V tomto bridgi je krom fyzické síťovky ještě device tap, který slouží k připojení vzdálených klientů přes OpenVPN.

    Zmiňovaný postrouting (snat) zajišťuje pouze to, že se z interní sítě můžu připojit přes tu veřejnou adresu 1.2.3.4 stejně jako když jsem venku. Zbavit se bridge pro tu interní síť je nemyslitelné. Přes VPN potřebuji posílat celé rámce, protože tam provozuji např. tftp a další věci, které se přes tun řeší dost blbě nebo spíše nejdou řešit.

    Nějaké nápady?
    22.7.2014 17:16 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Můžete mít různá routovací pravidla podle portů: 
    iptables -d 1.2.3.4 -p tcp --dport 1234 -j MARK --set-mark 1234
echo 1234 presmerovani >>/etc/iproute2/rt_tables
ip rule add fwmark 1234 table presmerovani
ip route add 1.2.3.4/32 via 192.168.40.3 table presmerovani
    Zdeněk Zámečník avatar 22.7.2014 17:22 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Masakr! Dobrý nápad. Schválně to večer vyzkouším. Jako další možnost mě napadlo udělat si pro VPN zvlášť virtuální stroj a tím bych se zbavil bridgů na routeru. Na jednu stranu by to ve firewallu znamenalo míň pravidel a nemusel bych hrabat do routovacích tabulek, ale na druhou stranu je to další stroj, o který se musím starat.

    Každopádně moc díky za vysvětlení a nalezení té správné cesty...
    22.7.2014 21:48 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    A pouzit dns a vracet jinou odpoved podle toho jestli se ptate zvenci nebo zevnitr? Prislo by mi to vice fer nez tvrdit siti ze ma verejnou ip uvnitr.
    Zdeněk Zámečník avatar 23.7.2014 06:51 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To ale problém úplně dokonale neřeší. Představte si, že z té veřejné IP adresy je přesměrováno několik portů na různé IP uvnitř. Pokud zprovozním DNS pro vnitřní síť, kde každý ten host bude mít vlastní hostname, ale zvenku všechny tyto hostnamy budou ukazovat přímo na tu veřejnou IP, bude se to ve výsledku chovat odlišně venku a uvnitř... Ten překlad uvnitř sítě tyto neduhy pohodlně řešil. Uživateli je jedno jestli je uvnitř sítě nebo někde mimo, on prostě chce aby to fungovalo pořád stejně. Dlouhá léta nám to takhle fungovalo na několika sítích, tak mi přijde hloupé se toho najednou vzdát.

    Uvědomil jsem si, že to markování a hraní si s routovací tabulkou má podobný problém, takže se ještě podívám na ebtables. V krajním případě ty bridge zruším a OpenVPN přesunu na samostatný stroj.
    23.7.2014 08:03 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    tak jestli smerujes vnejsi porty na jiné uvnitr tak ano, nic to neresi, más to tak v popisu, ale neuvedomil jsem si to. Pokud by to slo na stejné porty, tak ti to podle me problém vyresí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.