Přihlášení | Registrace

napište » Zprávičky

Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné

dnes 17:00 | Upozornění

Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

Nvidia je první firmou, jejíž tržní hodnota dosáhla 5 bilionů dolarů

dnes 16:44 | IT novinky

Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

Ladislav Hagara | Komentářů: 3

Red Hat bude podporovat a distribuovat toolkit NVIDIA CUDA

dnes 14:11 | Komunita

Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

Ladislav Hagara | Komentářů: 0

TrueNAS 25.10 Goldeye

dnes 13:55 | Nová verze

TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

Ladislav Hagara | Komentářů: 0

OpenIndiana 2025.10

dnes 13:33 | Nová verze

Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

Ladislav Hagara | Komentářů: 0

89 % zranitelností IT infrastruktury v českých školách je kritických

dnes 13:22 | Zajímavý článek

České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

… více »

Ladislav Hagara | Komentářů: 8

Josef Průša obdržel medaili Za zásluhy

dnes 05:11 | Komunita

Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

🇹🇬 | Komentářů: 34

Tor Browser 15.0

dnes 04:44 | Nová verze

Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

Ladislav Hagara | Komentářů: 3

Fedora Linux 43

včera 16:44 | Nová verze

Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

Ladislav Hagara | Komentářů: 0

Grokipedia

včera 15:22 | IT novinky

Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

Ladislav Hagara | Komentářů: 22

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (36%)

Gitlab (48%)

Atlassian (20%)

Bitbucket (19%)

Gitea (23%)

Mercurial (17%)

jen git (21%)

jen svn (17%)

Jiné (uvedu v diskusi) (17%)

Celkem 281 hlasů

Komentářů: 14, poslední 14.10. 09:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Skrytí serveru za nat

Štítky: firewally, iptables, klient, NAT, PREROUTING, server, sítě, TCP

Dotaz: Skrytí serveru za nat

8.9.2015 18:33 Gepard
Skrytí serveru za nat

Přečteno: 492×

Odpovědět | Admin

Ahoj, potřeboval bych skrýt jeden server tak, aby tam byl mezikrok v podobě jiného serveru.

Něco takového:

	klient (předem neznámá IP) -> server_A (70.70.70.70) -> cilovy_server_B (90.90.90.90)

	server_A - eth0: 70.70.70.70
	server_A - eth1: 80.80.80.80

	---

	PREROUTING	klientska_IP -> 70.70.70.70	DNAT	klientska_IP -> 90.90.90.90	eth0
	FORWARD
	POSTROUTING	klientska_IP -> 90.90.90.90	SNAT	80.80.80.80 -> 90.90.90.90	eth1

	--- 

	PREROUTING	90.90.90.90 -> 80.80.80.80	DNAT	90.90.90.90 -> klientska_IP	eth1
	FORWARD
	POSTROUTING	90.90.90.90 -> klientska_IP	SNAT	70.70.70.70 -> klientska_IP	eth0

	---

Mám nástřel řešení, ale není to správně:

iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -p tcp --dport 4444 -j DNAT --to-destination 90.90.90.90:3389
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -o eth1 -d 90.90.90.90 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE

Až po toto místo si myslím, že by to mohlo fungovat. Otázkou je, jak zajistit, aby se správně namapovala původní adresa klienta.

# iptables -t nat -A PREROUTING -i eth1 -p tcp -s 90.90.90.90 j MASQUERADE  # tímto krokem si nejsem jistý, tady potřebuju dostat zpět adresu klienta
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -SNAT --to-destination 70.70.70.70

Můžete mi s tím pomoct?

Díky.

Řešení dotazu:

Nástroje: Začni sledovat (1) ?

Odpovědi

8.9.2015 19:07 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Stačí první blok příkazů. Linux má plně stavový firewall, pamatuje si, které spojení se přeložilo jedním směrem a opačný směr daného spojení přepisuje automaticky.

8.9.2015 19:15 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Skrytí za nat

Pozor, pokud je to z důvodu bezpečnosti nebo anonymity, NAT ti nepomůže, Linux bude vesele přeposílat pakety z jedné strany na druhou. V takovém případě je NAT zbytečný (pokud současně neřešíš, že ti došly IP adresy) a chceš použít firewall. Navíc je potřeba udělat echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore aby to neleakovalo adresy zevnitř které mají zůstat skryté a možná některá další nastavení, o kterých nevím.

8.9.2015 22:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

aby to neleakovalo adresy zevnitř které mají zůstat skryté

Tohle už by skoro šlo kvalifikovat jako "šíření poplašné zprávy". Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?

9.9.2015 15:51 Gepard
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Bezpečnost je důležitá. Mám ten arp_ignore řešit? Vzhledem k tomu, že mám všechno drop nečekám problémy. Povoluji jenom forward.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to 90.90.90.90:3389
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -d 90.90.90.90 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

9.9.2015 16:28 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Vzhledem k tomu, že mám všechno drop

Si zkus zvenku ten arping, nezkoušel jsem to, ale čekal bych, že to pojede o vrstvu pod tím.

Btw. jestli je tohle kompletní politika, tak nic moc, určitě chceš povolit třeba ICMP na tom venkovním interface.

Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?

Psal jsem jako jaký důvod jsem to vyhodnotil a z toho jsem odvodil, že nechce, aby se vědělo ani o tom, že tam vůbec nějaká další síť je. Pokud neplatí podmínka uvozená slovem "pokud", není třeba se čertit…

8.9.2015 19:36 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Buď chceš jen NAT + pár port forwardů, nebo chceš nat 1:1 (všechny požadavky na server A přesměrovat na server B)

Zapneš port forwarde :

sysctl -w net.ipv4.ip_forward=1
# nebo :
echo 1 > /proc/sys/net/ipv4/ip_forward

a pro trvalé uložení :

/etc/sysctl.conf
net.ipv4.ip_forward = 1

1. varianta : nastavení NAT 1:1

iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -j DNAT --to-destination 90.90.90.90
iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j SNAT --to-source 70.70.70.70

2. varianta : nastavení NAT + port forwarde portu 80 a 443 :

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 90.90.90.90:80
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j DNAT --to 90.90.90.90:443

Tebou uvedený příklad má pár chybek. Jednak není jisté, zda máš povolen forwarde. Dále máš špatně toto :

iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE

Když už chceš specifikovat adresu klienta a natovat jen tu, tak (uvádíš odchozí iface - ten vystrčený do netu):

iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j MASQUERADE

Zdar Max

Měl jsem sen ... :(

9.9.2015 10:54 Gepard
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Super, díky, varianta 2 je dokonalá.

8.9.2015 22:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

FAQ

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje