abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 09:00 | Nová verze

Byla vydána nová verze 13.8 softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech GitLab (Wikipedie). Představení nových vlastností i s náhledy a videi v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
22.1. 16:33 | Zajímavý článek

Otevřená certifikační autorita Let’s Encrypt v příspěvku na svém blogu představila své nové databázové servery. Hardware: 2U rack server Dell EMC PowerEdge R7525, CPU 2x AMD EPYC 7542, Memory 2TB 3200MT/s, Storage 24x 6.4TB Intel P4610 NVMe SSD. Software: OpenZFS a MariaDB s InnoDB.

Ladislav Hagara | Komentářů: 14
22.1. 15:33 | Zajímavý článek

Článek systemd pro vývojáře: lokální vývojové servery v systemd na MojeFedora.cz doporučuje vývojářům používání systemd k ovládání svých projektů pomocí "systemctl --user".

Ladislav Hagara | Komentářů: 23
22.1. 14:44 | Nová verze

Vyšla nová verze souborového manažera Midnight Commander 4.8.26. Mezi hlavní novinky patří zachování obsahu příkazové řádky při přepínání panelů pomocí Ctrl+O, stíny okolo dialogových oken jako v Norton Commanderu a dalších (vytvořeno autorem zprávičky), podpora jakkoli dlouhých názvů souborů a spousta dalších drobnějších věcí.

Aleš Janda | Komentářů: 15
22.1. 07:00 | Komunita

Projekty Elasticsearch a Kibana změní s verzí 7.11 licenci. Už se nebude jednat o open source software. Důvodem změny licence byl spor se společností AWS (Amazon Web Services). AWS na změnu licence odpovídá vlastním forkem. Vycházet bude z verze 7.10 a zůstane pod open source licencí Apache.

Ladislav Hagara | Komentářů: 18
21.1. 23:33 | Komunita

Lidé ze společnosti Corellium se včera na Twitteru pochlubili screenshotem Ubuntu na Apple Siliconu aneb zprovoznili Ubuntu na počítači Apple s novým ARM procesorem M1. CTO jej už používá k vývoji ve svém herním křesle s 49 palcovým monitorem. Dnes byly na blogu Corellium publikovány detaily a pro případné zájemce i návod a obraz ke stažení. Upravili obraz Ubuntu pro Raspberry Pi.

Ladislav Hagara | Komentářů: 22
21.1. 13:22 | IT novinky

Rodina počítačů Raspberry Pi se rozšířila o jednočipový počítač Raspberry Pi Pico v ceně 4 dolary s vlastním procesorem RP2040. Představení na YouTube.

Ladislav Hagara | Komentářů: 14
20.1. 22:33 | Komunita

Společnost Red Hat na svém blogu oznámila, že Red Hat Enterprise Linux (RHEL) bude možné provozovat zdarma na 16 serverech.

Ladislav Hagara | Komentářů: 35
20.1. 14:55 | Bezpečnostní upozornění

Pod společným názvem DNSpooq byly zveřejněny informace o 7 bezpečnostních chybách v DNS caching a DHCP serveru dnsmasq. Jedná se o cache poisoning (CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) a buffer overflow (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681). Jejich kombinací lze dosáhnout závažnosti CVSS 9.8. Chyby jsou opraveny v dnsmasq 2.83.

Ladislav Hagara | Komentářů: 2
20.1. 13:33 | Nová verze

Byla vydána nová stabilní verze 19.07.6 (Changelog) linuxové distribuce primárně určené pro routery a vestavěné systémy OpenWrt (Wikipedie). Řešena je také řada bezpečnostních chyb. Především v dnsmasq (DNSpooq).

Ladislav Hagara | Komentářů: 0
Jestliže používáte distribuci CentOS, kterou náhradu plánujete vzhledem k oznámenému ukončení vydávání?
 (28%)
 (4%)
 (2%)
 (21%)
 (0%)
 (3%)
 (43%)
Celkem 196 hlasů
 Komentářů: 3, poslední 10.1. 13:01
Rozcestník

Dotaz: Mikrotik přesměrování portů do vnitří sítě

22.10.2020 10:24 ZAH | skóre: 43 | blog: ZAH
Mikrotik přesměrování portů do vnitří sítě
Přečteno: 346×
Mám vnitří síť s několika subnety jako router do vnější sítě mám mikrotik s RouterOS 6.47.4 vše vypadá normálně a funguje.

Přidával jsem testovací subnet a v něm je prozatím jeden Raspberry Pi s rasbianem . Na tomto stroji jsem potřeboval tři služby dostupných z internetu. Nastavil jsem na routru povolení k přesměrování tří portů nastavil NAT na Raspberry na příslušné porty a mám přístupný pouze SSH ostaní dva ne.

Nepřístupné jsou z internetu Grafana port 3000, a Node-Red 1880. Služby běží a jsou přístupné z ostatním subnetů vnitřní sítě. Předpokládal jsem chybu NAT nebo filtru, tak jsem v zoufalství nahradil cílový port nepřístupných služeb v NATU portem 22 SSH a hle na všech SSH běželo normálně.

Iptables v Raspberry by mělo povolovat vše.

Má někdo nějaký typ co otestovat. ZAH

Řešení dotazu:


Odpovědi

MMMMMMMMM avatar 22.10.2020 12:07 MMMMMMMMM | skóre: 43 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Chtělo by to vidět ta pravidla firewallu...
22.10.2020 20:05 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Natovaci pravidla, funguje pravidlo 17 ostatni dvě ne.

17    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=22   protocol=tcp in-interface=ether1_WAN dst-port=2422 log=yes log-prefix="SSH Jahoda" 
18    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=1880 protocol=tcp in-interface=ether1_WAN dst-port=2480 log=no log-prefix="" 
19    chain=dstnat action=dst-nat to-addresses=192.168.157.10 to-ports=3000 protocol=tcp in-interface=ether1_WAN dst-port=2430 log=yes log-prefix="Grafana" 

Pravidlo 19 po zapnuti logovani zapisuje.
vencour avatar 22.10.2020 20:23 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Takže jen u 17 přibývají data (bajty, pakety) ve výpisu pravidel nebo jen u 17 se dostanete na cílový server?
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
22.10.2020 16:19 j
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Pust si na tom RPI tcpdump a jdi se na to pripojit, pokud pakety nedorazi, pust si totez na tom mikrotikovi.

Pokud pakety dorazi, mas to blbe prave na tom rpi. A nemusi to byt jen firewall.

---

Dete s tim guuglem dopice!
22.10.2020 20:14 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Příloha:
V přiloze záchyt komunikace na RPI.

1. Fungující Grafana z vnitřní sítě z jiného subnetu.

2. Fungující SSH z venku

3. Související pravidla NAT

Log Mikrotiku potvrzuje provedení pravidel přesměrování. Snifer Mikrotiku potvrzuje přijem komunikace. Komunikace se ztratí někde mezi NAT routru a RPI.

Potřeboval bych nakopnout jak zachytit a filtrovat odchozí komunikaci Mikrotiku. ZAH
22.10.2020 20:31 Vantomas | skóre: 31 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Co tam je za konektivitu? Není tam nějaký DSL? Pak bych zkusil přidat pravidlo pro snížení TCP MSS.

V opačném případě se další hádání neobejde bez komplet filter forward a nat snat pravidel.
22.10.2020 21:27 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Konektivitou to nebude sndartní wifi s veřejnou IP.

Mezitím jsem zachytil v logu toto.
	Drop uknown forward: in:ether1_WAN out:bridge1, src-mac ac:1f:6b:a5:xx:xx, proto TCP (SYN), 161.97.xxx.xxx:50620->192.168.157.10:3000, NAT 161.97.xxx.xxx:50620->(10.18.13.182:2430->192.168.157.10:3000), len 60
Předpokládal jsem že postačí povolit navázaná spojení.
13    ;;; Established WAN forward  connection
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 
23.10.2020 10:04 Vantomas | skóre: 31 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Takže už to funguje, když jsi našel další indicii?
23.10.2020 10:58 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Bohužel ne, dostanu se k tomu až navečer. Pak budu hledat dál.
Řešení 1× (ZAH (tazatel))
23.10.2020 12:46 Vantomas | skóre: 31 | Praha
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Fajn. Nejspíš tam je problém s tím pravidlem okolo navázaných spojení a že nejsou povolená nová spojení z venku. Když jsi zkoušel měnit ta DNAT pravidla směřem na port 22 a to, že ti to ssh šlo otevřít, tak to prostě byla jen náhoda v tom, že v conntrack tabulce zůstala nějaká stará spojení a ta nová pak spadla do "related".

No a pak taky pozor na to, že dst-porty ve filteru musí být ty na které se dělá DNAT, protože po pohledu do schéma je vidět, že se nejprve prochází NAT pravidla a pak teprve FILTER.
23.10.2020 20:15 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Mikrotik přesměrování portů do vnitří sítě
Bingo ! . Nejprve prochází NAT, takže ve filter musí být DST port z NATU pro porty kdy, je pouze přesměrování do vnitřní sítě si to nemusíme uvědomovat.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.