Přihlášení | Registrace

napište » Zprávičky

MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech

včera 21:22 | IT novinky

Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

Ladislav Hagara | Komentářů: 1

Česko představilo nový jednotný vizuální styl státu

včera 16:22 | IT novinky

Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

Ladislav Hagara | Komentářů: 8

Vyhledávač DuckDuckGo má dnes výpadky

včera 15:33 | Upozornění

Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapy a AI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.

bindiff | Komentářů: 4

Více než 600 Laravel aplikací je zranitelných vůči vzdálenému spuštění kódu

včera 13:33 | Bezpečnostní upozornění

Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

Ladislav Hagara | Komentářů: 4

Helix 25.07

včera 00:11 | Nová verze

Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

Ladislav Hagara | Komentářů: 0

Nvidia po souhlasu od Trumpovy vlády obnoví prodej čipů pro AI do Číny

15.7. 20:44 | IT novinky

Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

Ladislav Hagara | Komentářů: 10

Blender 4.5 LTS

15.7. 17:22 | Nová verze

3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

Ladislav Hagara | Komentářů: 0

Open source webový aplikační framework Django slaví 20. narozeniny

14.7. 22:22 | Komunita

Open source webový aplikační framework Django slaví 20. narozeniny.

Ladislav Hagara | Komentářů: 0

DebConf25

14.7. 16:11 | Komunita

V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0

Před 30 lety se začala používat přípona .mp3

14.7. 11:33 | IT novinky

Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

Ladislav Hagara | Komentářů: 28

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (58%)

python (27%)

perl (7%)

powershell (3%)

batch (0%)

vbscript (1%)

jiný, uvedu v diskusi (4%)

Celkem 402 hlasů

Komentářů: 16, poslední 8.6. 21:05

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Skrytí serveru za nat

Štítky: firewally, iptables, klient, NAT, PREROUTING, server, sítě, TCP

Dotaz: Skrytí serveru za nat

8.9.2015 18:33 Gepard
Skrytí serveru za nat

Přečteno: 486×

Odpovědět | Admin

Ahoj, potřeboval bych skrýt jeden server tak, aby tam byl mezikrok v podobě jiného serveru.

Něco takového:

	klient (předem neznámá IP) -> server_A (70.70.70.70) -> cilovy_server_B (90.90.90.90)

	server_A - eth0: 70.70.70.70
	server_A - eth1: 80.80.80.80

	---

	PREROUTING	klientska_IP -> 70.70.70.70	DNAT	klientska_IP -> 90.90.90.90	eth0
	FORWARD
	POSTROUTING	klientska_IP -> 90.90.90.90	SNAT	80.80.80.80 -> 90.90.90.90	eth1

	--- 

	PREROUTING	90.90.90.90 -> 80.80.80.80	DNAT	90.90.90.90 -> klientska_IP	eth1
	FORWARD
	POSTROUTING	90.90.90.90 -> klientska_IP	SNAT	70.70.70.70 -> klientska_IP	eth0

	---

Mám nástřel řešení, ale není to správně:

iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -p tcp --dport 4444 -j DNAT --to-destination 90.90.90.90:3389
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -o eth1 -d 90.90.90.90 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE

Až po toto místo si myslím, že by to mohlo fungovat. Otázkou je, jak zajistit, aby se správně namapovala původní adresa klienta.

# iptables -t nat -A PREROUTING -i eth1 -p tcp -s 90.90.90.90 j MASQUERADE  # tímto krokem si nejsem jistý, tady potřebuju dostat zpět adresu klienta
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -SNAT --to-destination 70.70.70.70

Můžete mi s tím pomoct?

Díky.

Řešení dotazu:

Nástroje: Začni sledovat (1) ?

Odpovědi

8.9.2015 19:07 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Stačí první blok příkazů. Linux má plně stavový firewall, pamatuje si, které spojení se přeložilo jedním směrem a opačný směr daného spojení přepisuje automaticky.

8.9.2015 19:15 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Skrytí za nat

Pozor, pokud je to z důvodu bezpečnosti nebo anonymity, NAT ti nepomůže, Linux bude vesele přeposílat pakety z jedné strany na druhou. V takovém případě je NAT zbytečný (pokud současně neřešíš, že ti došly IP adresy) a chceš použít firewall. Navíc je potřeba udělat echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore aby to neleakovalo adresy zevnitř které mají zůstat skryté a možná některá další nastavení, o kterých nevím.

8.9.2015 22:24 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

aby to neleakovalo adresy zevnitř které mají zůstat skryté

Tohle už by skoro šlo kvalifikovat jako "šíření poplašné zprávy". Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?

9.9.2015 15:51 Gepard
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Bezpečnost je důležitá. Mám ten arp_ignore řešit? Vzhledem k tomu, že mám všechno drop nečekám problémy. Povoluji jenom forward.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to 90.90.90.90:3389
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -d 90.90.90.90 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

9.9.2015 16:28 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Vzhledem k tomu, že mám všechno drop

Si zkus zvenku ten arping, nezkoušel jsem to, ale čekal bych, že to pojede o vrstvu pod tím.

Btw. jestli je tohle kompletní politika, tak nic moc, určitě chceš povolit třeba ICMP na tom venkovním interface.

Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?

Psal jsem jako jaký důvod jsem to vyhodnotil a z toho jsem odvodil, že nechce, aby se vědělo ani o tom, že tam vůbec nějaká další síť je. Pokud neplatí podmínka uvozená slovem "pokud", není třeba se čertit…

8.9.2015 19:36 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Buď chceš jen NAT + pár port forwardů, nebo chceš nat 1:1 (všechny požadavky na server A přesměrovat na server B)

Zapneš port forwarde :

sysctl -w net.ipv4.ip_forward=1
# nebo :
echo 1 > /proc/sys/net/ipv4/ip_forward

a pro trvalé uložení :

/etc/sysctl.conf
net.ipv4.ip_forward = 1

1. varianta : nastavení NAT 1:1

iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -j DNAT --to-destination 90.90.90.90
iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j SNAT --to-source 70.70.70.70

2. varianta : nastavení NAT + port forwarde portu 80 a 443 :

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 90.90.90.90:80
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j DNAT --to 90.90.90.90:443

Tebou uvedený příklad má pár chybek. Jednak není jisté, zda máš povolen forwarde. Dále máš špatně toto :

iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE

Když už chceš specifikovat adresu klienta a natovat jen tu, tak (uvádíš odchozí iface - ten vystrčený do netu):

iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j MASQUERADE

Zdar Max

Měl jsem sen ... :(

9.9.2015 10:54 Gepard
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Super, díky, varianta 2 je dokonalá.

8.9.2015 22:27 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

FAQ

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje