Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Armbian 26.2.1

dnes 02:22 | Nová verze

Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 26.2.1. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0

Začaly volby do Rady openSUSE

dnes 02:11 | Komunita

Volí se dvě místa v Radě openSUSE. Seznamte se se čtyřmi kandidáty. Členové projektu openSUSE mohou hlasovat od 1. do 8. března. Výsledky budou oznámeny 9. března.

lkocman | Komentářů: 0

OpenAI uzavřela dohodu s Pentagonem

včera 19:22 | IT novinky

Společnost OpenAI uzavřela dohodu s americkým ministerstvem obrany o poskytování technologií umělé inteligence (AI) pro utajované sítě americké armády. Firma to oznámila několik hodin poté, co prezident Donald Trump nařídil vládě, aby přestala využívat služby společnosti Anthropic.

Ladislav Hagara | Komentářů: 5

Pentagon označil Anthropic za bezpečnostní riziko

včera 13:33 | IT novinky

Technologická společnost Anthropic v noci na dnešek oznámila, že se obrátí na soud kvůli rozhodnutí ministerstva obrany označit ji za bezpečnostní riziko dodavatelského řetězce poté, co nevyhověla jeho požadavkům týkajícím se používání umělé inteligence (AI). Prezident Donald Trump krátce před tím uvedl, že nařídil federálním úřadům postupně ukončit využívání jejích AI technologií. Spor mezi firmou vyvíjející chatbot Claude a

… více »

Ladislav Hagara | Komentářů: 7

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík

28.2. 15:44 | Upozornění

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík.

Ladislav Hagara | Komentářů: 6

iPhone a iPad získávají certifikaci pro práci s utajovanými informacemi NATO

27.2. 17:33 | IT novinky

Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.

Ladislav Hagara | Komentářů: 13

Netflix ustoupil v bitvě o Warner Bros, slavná studia tak může převzít Paramount

27.2. 13:00 | IT novinky

Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).

Ladislav Hagara | Komentářů: 18

Apple přesune část výroby svého malého počítače Mac mini z Asie do Houstonu

27.2. 12:44 | IT novinky

Americká společnosti Apple přesune část výroby svého malého stolního počítače Mac mini z Asie do Spojených států. Výroba v závodě v Houstonu by měla začít ještě v letošním roce, uvedla firma na svém webu. Apple také plánuje rozšířit svůj závod v Houstonu o nové školicí centrum pro pokročilou výrobu. V Houstonu by měly vzniknout tisíce nových pracovních míst.

Ladislav Hagara | Komentářů: 20

Biopočítač s lidskými neurony hraje DOOM

27.2. 12:11 | Zajímavý článek

Vědci Biotechnologické společnosti Cortical Labs vytvořili biopočítač nazvaný CL1, který využívá živé lidské mozkové buňky vypěstované z kmenových buněk na čipu. Po úspěchu se hrou PONG se ho nyní snaží naučit hrát DOOM. Neurony přijímají signály podle toho, co se ve hře děje, a jejich reakce jsou převáděny na akce jako pohyb nebo střelba. V tuto chvíli systém hraje velmi špatně, ale dokáže reagovat, trochu se učit a v reálném čase se hrou

… více »

karkar | Komentářů: 10

4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon)

27.2. 01:55 | Nová verze

Pro testování byl vydán 4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon).

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / iptables forward portu na jinou IP

Štítky: firewally, iptables, NAT, PREROUTING, router, server, sítě, TCP

Dotaz: iptables forward portu na jinou IP

25.8.2019 14:22 RadekXxX | skóre: 10
iptables forward portu na jinou IP

Přečteno: 392×

Odpovědět | Admin

Zdravím,

mam router s venkovní adresou $INET_IP a vnitřní adresou 192.168.1.1, druhý server na vnitřní síti s adresou 192.168.1.2 má službu na portu 8008 a potřebuji aby tato služba byla dostupná odevšud. Na obou serverech je v iptables default policy ACCEPT. Na routeru je nastaveno:

iptables -t nat -A PREROUTING -p tcp --dport 8008 -j DNAT --to 192.168.1.2:8008
iptables -t nat -A POSTROUTING -p tcp --dport 8008 -d 192.168.1.2 -j SNAT --to-source $INET_IP

Připojení z jiného stroje z vnitřní sítě funguje, i připojení z internetu funguje, ale pokud se chci připojit přímo z toho routeru pomocí doménového názvu veřejné IP, tak to nejde, nemůžu použít přímo adresu toho stoje, protože je nutné zadat doménový název kvůli certifikátu.

Řešení dotazu:

Komentář #10 (Filip Jirsák, 1 hlasů)
Komentář #3 (NN, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

25.8.2019 15:02 NN
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

iptables -t nat -A POSTROUTING -p tcp --dport 8008 -d 192.168.1.2 -j SNAT --to-source $INET_IP

Tohle, tam nema co delat.

25.8.2019 15:21 RadekXxX | skóre: 10
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

Když to oddělám, tak to nepomůže, navíc přestane fungovat připojení z ostatních strojů z lokální sítě.

Řešení 1× (Filip Jirsák)

25.8.2019 16:02 NN
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

DNAT z venku je v poradku. SNAT na verejnou IP uz ne. Spravne si na routeru mas nastavit staticke DNS, ktere bude zarizenim na vnitrni siti vracet mojedomena.cz = 192.168.1.2 . Lokalni komunikace pres router vubec nepujde. Stejne tak si to prelozi i router. Ted zjisti, ze mojedomena.cz je on sam, ale na portu 8008 ni nebezi a tak to zahodi.

25.8.2019 22:57 RadekXxX | skóre: 10
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

Dekuji za radu, vyresil jsem to pres BIND, toto reseni me vubec nenapadlo, je funkcni, akorat se musi myslet na to, ze nenastavuji pravidla v jednom scriptu pro iptables, ale musim upravovat i zonovy soubor.

25.8.2019 19:15 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

Má to tam co dělat, jinak odpověď pro klienty ve vnitřní síti půjde přímo a nepřeloží se jak má (pokud se to neobejde tím trikem s DNS, ale to taky není ideální). Problém je ale v tom, že obě ta pravidla jsou příliš obecná. Takže bych navrhoval spíš něco jako

  iptables -t nat -A PREROUTING -i $INTIF -d $EXTIP -p tcp --dport 8008 \
      -j DNAT --to 192.168.1.2:8008
  iptables -t nat -A POSTROUTING -i $INTIF -d 192.168.1.2 -j SNAT --to $INTIP

(INTIF je vnitřní rozhraní, INTIP vnitřní adresa a EXTIP vnější adresa). Kdysi dávno jsem tu na toto téma sepsal celý dokument.

25.8.2019 19:55 NN
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

V tom pripade bude potreba jeste znovu pokryt DNAT z venku.. Nevim, osobne povazuji reseni pres DNS za cistsi a nemusi to byt nutne pohledy v bindu. Nektere routery tuto funkcionalitu primo nabizi. Obecne souhlasim s nazorem v clanku, ze server v LAN nema co delat. K tomu slouzi DMZ, nebo samostatny serverovy segment.

25.8.2019 21:12 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

V tom pripade bude potreba jeste znovu pokryt DNAT z venku..

Eh, to byla chyba, v tom prvním pravidle nemělo být "-i $INTIF" (a nebo by bylo potřeba přidat ještě druhé pro $EXTIF).

25.8.2019 22:50 RadekXxX | skóre: 10
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

Ono se nejedná úplně o router, je to klasický server s Proxmoxem, volnou IP adresu pro ten stroj kam se to má směrovat bych měl, ale nechtěl jsem ji na to vyplácat, protože se jedná o samostatný server, který slouží "jenom" k zálohování, běží tam Restic server v režimu append-only a firewall povoluje pouze jeden port 8008, nic víc, ani ssh.

25.8.2019 22:40 RadekXxX | skóre: 10
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

Já jsem ty pravidla měl nastaveny striktně, ale jelikož jsem řešil tento problém, tak jsem je hodně "uvolňoval", včetně default policy ACCEPT, ale to vše jenom pro testování, abych eliminoval možně chyby v iptables (z mé strany)

Řešení 1× (Filip Jirsák)

25.8.2019 23:26 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: iptables forward portu na jinou IP

Pakety z lokálních procesů nejdou v nat tabulce přes PREROUTING, místo toho jdou přes OUTPUT. Takže pokud chcete, aby vám ten forward fungoval i přímo z toho routeru s veřejnou IP adresou, musíte to DNAT pravidlo zopakovat ještě jednou pro řetězec OUTPUT.

Zda pro lokální síť přepisovat DNS nebo použít SNAT je otázka – když použijete SNAT, zatěžujete tou komunikací router. Řešení s DNS bývalo dříve jednodušší, teď vám to může zkomplikovat DNSSEC – pokud ho máte na doméně nasazený, budete muset podepisovat i ty záznamy pro lokální síť. Ne že by to bylo neřešitelné, ale je to komplikace a nejspíš to bude znamenat, že se musíte vzdát automatické správy klíčů DNS serverem a řešit to ručně.

Založit nové vlákno • Nahoru

Tiskni Sdílej: