abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 14:33 | Komunita

Nvidia podpoří projekt Common Voice částkou 1,5 milionu dolarů. Mozilla píše o demokratizaci a diverzifikaci hlasové technologie. Nvidia prostě použije otevřenou databázi hlasových záznamů k trénování svého systému Jarvis, viz úvodní přednáška CEO Nvidie Jensena Huanga na NVIDIA GTC 2021.

Ladislav Hagara | Komentářů: 0
včera 09:00 | IT novinky

Tento týden probíhá virtuální konference NVIDIA GTC 2021 (GPU Technology Conference). Doporučit ke zhlédnutí lze úvodní přednášku CEO Nvidie Jensena Huanga. Z kuchyně představil celou řadu novinek (NVIDIA Grace CPU, NVIDIA DRIVE Atlan, AI-Capable Supercomputer Alps, …). Dění na konferenci lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 3
včera 08:00 | Nová verze

Byla vydána verze 6.0 softwaru pro správu vlastního cloudu OpenNebula (Wikipedie). Kódový název nové verze je Mutara. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0
včera 00:55 | Komunita

Vedení Nadace pro svobodný software (FSF) vydalo oficiální prohlášení k návratu Richarda Stallmana (RMS) do vedení FSF. Richard Stallman promluvil ke komunitě kolem svobodného softwaru.

Ladislav Hagara | Komentářů: 23
12.4. 20:33 | Pozvánky

Ve středu 14. dubna pořádá brněnský Red Hat tradiční akci Open House, letos opět ve virtuální podobě. Open House nabízí studentům, ale i zájemcům z široké veřejnosti příležitost poznat Red Hat, jeho kulturu a dozvědět se o stážích a pracovních příležitostech. Letošní program nabídne 3 souběžné streamy od více než 30 přednášejících. Jeden z nich bude věnován technickým přednáškám, kde se dozvíte o různých projektech a produktech, na kterých

… více »
Dorka | Komentářů: 0
12.4. 16:11 | IT novinky

Microsoft kupuje firmu Nuance Communications za 19,7 miliardy dolarů. Nuance Communications se věnuje rozpoznávání řeči pomocí umělé inteligence především ve zdravotnictví. Technologie od Nuance Communications je použita také ve virtuálním asistentovi Siri.

Ladislav Hagara | Komentářů: 12
12.4. 14:44 | Nová verze

Český překladatelský tým LibreOffice vydává příručku LibreOffice Writer verze 6.4. Kniha představuje některé hlavní funkce aplikace LibreOffice Writer:… více »

Zdeněk Crhonek | Komentářů: 0
12.4. 13:33 | Nová verze

Příspěvek na blogu webové aplikace pro spolupráci na zdrojových kódech pomocí gitu Gitea (Wikipedie) představuje novinky nové verze 1.14.0 této v programovacím jazyce Go naprogramované aplikace.

Ladislav Hagara | Komentářů: 0
12.4. 09:00 | Nová verze

V březnu 2016 byl 2D animační software Toonz uvolněn jako open source pod názvem OpenToonz. O víkendu byl OpenToonz vydán ve verzi 1.5.0. Přehled novinek v poznámkách k vydání na GitHubu. Novou verzi bude možné nainstalovat také z Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0
12.4. 08:00 | IT novinky

Společnost Espressif Systems oznámila, že rodinu SoC ESP32 brzy rozšíří o ESP32-C6 s 32bitovým RISC-V jádrem a podporou Wi-Fi 6 a Bluetooth 5 (LE).

Ladislav Hagara | Komentářů: 0
Kolik času v průměru denně trávíte videohovory/-konferencemi? (ať už v práci, škole nebo soukromě)
 (52%)
 (13%)
 (15%)
 (10%)
 (7%)
 (1%)
 (1%)
Celkem 293 hlasů
 Komentářů: 7, poslední 8.4. 12:14
Rozcestník

Dotaz: iptables port forwarding

2.4. 23:48 kj
iptables port forwarding
Přečteno: 703×
Zdravím vespolek, nemá někdo hlubší zkušenosti s port forwardingem pod linuxem? Mám problém, který si neumím vysvětlit:

Linuxový strojek, eth0 visí na venkovním IP, eth1 na vnitřním, klasická maškaráda všeho, co jde na eth0. Potřebuju vyexportovat porty jednoho vnitřního stroje, tedy triviálně, pomocí DNAT:
PUBADR="84.x.x.x"
LOCSERV="192.168.37.5"

iptables -I PREROUTING -t nat -p tcp  -d $PUBADR --dport 25 -j DNAT --to $LOCSERV:25
... a další porty obdobně.

Až sem dobré, porty jsou zvenku vidět a chodí. Zevnitř bez problémů NATuji ven na port 25 vzdálených strojů.

Jenže, pokud se pokusím obrátit na "exportovaný" port z vnitřní sítě, tedy např. ze stroje 192.168.37.10
telnet 84.x.x.x 25
skončím v bramborách (connection refused) a to se mi nelíbí.

Asi jde o úplnou trivialitu, ale zrovna iptables nejsou mým denním chlebem. Ještě dodám, že default politika FORWARD je ACCEPT, takže tam to ucpané nebude.

Poradí někdo?

Díky ...

Řešení dotazu:


Odpovědi

3.4. 00:48 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptables port forwarding
Ale to je správné chování.

Z vnitřní sítě prostě máš přístup na lokální adresy a nemáš přístup na veřejnou IP toho stroje.
Řešení 1× (Filip Jirsák)
3.4. 08:45 Rocky | skóre: 1
Rozbalit Rozbalit vše Re: iptables port forwarding
Hairpin NAT, to je to, co hledáš.
3.4. 09:46 Host
Rozbalit Rozbalit vše Re: iptables port forwarding
A není problém v tom, že se packet nevrací cestou server--router--client ale přímo server--client? SNAT pro clienta.
3.4. 10:32 PetebLazar | skóre: 26 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: iptables port forwarding
3.4. 10:56 kj
Rozbalit Rozbalit vše Re: iptables port forwarding
Jo, to je dobrá analýza. Dík za reakci, ale už mám hotovo (viz níže). Nicméně pro detailní pochopení je tento odkaz výživný.
Řešení 1× (Filip Jirsák)
3.4. 09:47 Vantomas | skóre: 31 | Praha
Rozbalit Rozbalit vše Re: iptables port forwarding
Potřebuješ nastavit hairpin NAT, tady na Wiki to mají i vysvětlené včetně kroků, jak jdou pakety, proč je to potřeba. https://wiki.mikrotik.com/wiki/Hairpin_NAT

Varuji před vedlejším efektem, že ten SMTP server neuvidí skutečné IP toho klienta, který se na něj z vnitřní sítě připojuje, ale uvidí IP adresu toho routeru.
Řešení 2× (MMMMMMMMM, kj (tazatel))
3.4. 10:51 kj
Rozbalit Rozbalit vše Re: iptables port forwarding [SOLVED]
Děkuji Vantomasovi a Hostovi. Ráno, s čistou hlavou a díky těmto pošťouchnutím mi to docvaklo.

Problém jsem se skutečně snažil řešit pomocí POSTROUTINGu, ale blbě. Neuvědomil jsem si, že zpětnou cestu nemůžu poslat do prostého ACCEPTu, ale musím i tu prohnat maškarádou, aby se správně přepsaly adresy. Nojo, no, člověk se stále učí ...

Správná dvojice rules tedy je:
PORT=80
iptables -I PREROUTING -t nat -p tcp  -d $PUBADR --dport $PORT   -j DNAT --to $LOCSERV:$PORT
iptables -A POSTROUTING -t nat -s $LOCNET -d $LOCSERV -p tcp --dport $PORT -j MASQUERADE
kde LOCNET je CIDR lokální sítě.

K připomínce o SMTP portu jen dodám, že byl vybrán jen pro ukázku. Poznámka o ztrátě zdrojové adresy je zrovna zde zcela na místě.

Dík a hezké Velikonoce!
3.4. 13:19
Rozbalit Rozbalit vše Re: iptables port forwarding
Jestli by nebylo lepší, dát ten stroj, na který se forwarduje provoz zvenku, do demilitarizované zóny.
6.4. 15:23 Andrej | skóre: 48 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: iptables port forwarding
  • IPv6. Pak se můžeš na stroj obrátit z kterékoliv sítě, rybářské i jiné, a všechno bude fungovat podle očekávání. (Proč ztrácet čas nedomyšleným experimentem z roku 1975, který měl omylem 32-bitové adresy?)
  • Firewall na Linuxu (a tedy také to, co zajišťuje port forwarding), se už asi tak pětiletku jmenuje nftables.
  • Tady je další variace na téma odkazů, které už zmínili jiní. Dávná temná minulost, do které není radno se vracet.
ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
včera 11:31 kj
Rozbalit Rozbalit vše Re: iptables port forwarding
  • IPv6 je mrtvě narozené dítě. Děkuji, nechci. Kdyby to byla tak prima věc, jistě by o něj byl větší zájem, než je aktuálně.
  • Jsem zvyklý na iptables už dobrých 20 let, nebudu měnit zvyky, pokud k tomu není vážný důvod.
  • Věc názoru.
vencour avatar včera 13:23 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: iptables port forwarding
Nepletu se, že nikdo nezmínil "podmíněný překlad v DNS" (viz např. tady?
Pointa: z jedné, třeba interní sítě se chodí z jednoho rozsahu a přes DNS jdu na na interní IP adresu. Z jiného (defaultního?) IP rozsahu jdu na veřejnou (=jinou) IP adresu.
Vím, že se to takto používá, když to nikdo nezmínil, co z toho asi plyne? Sheldon v BBT by řekl, že mu je smutno ...
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.