abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 16:11 | IT novinky

Neziskové průmyslové konsorcium Khronos Group finalizovalo verzi 3.0 specifikace OpenCL (Open Computing Language). OpenCL je průmyslový standard pro paralelní programování heterogenních počítačových systémů.

Ladislav Hagara | Komentářů: 0
dnes 14:55 | Pozvánky

The Catch, tj. hackerská soutěž organizovaná sdružením CESNET, je zpět. Začne v pondělí 12. 10. ve 12 hodin a 10 minut. Lstivé roboty z minulého roku letos překonává zákeřný vir RANSOMVID-20.

Ladislav Hagara | Komentářů: 2
dnes 08:00 | Nová verze

Dylan Baker oznámil vydání Mesa 20.2.0. Změny zahrnují např. rozšíření podpory LLVMpipe s OpenGL 4.3+ a OpenGL ES 3.2; stručný přehled je v poznámkách k vydání. Uživatelé by ale měli převážně vyčkat opravnou verzi 20.2.1.

Fluttershy, yay! | Komentářů: 5
dnes 07:00 | Nová verze

Byla vydána verze 26.0 svobodného softwaru OBS Studio (Open Broadcaster Software, Wikipedie) určeného pro streamování a nahrávání obrazovky počítače. Přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0
včera 17:55 | Nová verze

Byla vydána betaverze Fedory 33, tj. o poslední zastávce před vydáním finální verze, která je momentálně naplánována na 20. října. Výchozí souborový systému byl změněn z Ext4 na Btrfs. Výchozí prostředí GNOME bylo aktualizováno na verzi 3.38. Mezi oficiální edice přibyla Fedora IoT.

Ladislav Hagara | Komentářů: 11
včera 14:22 | Zajímavý článek

David Revoy se před rokem rozhodl, že vydá svůj open source webový komiks Pepper&Carrot také knižně a ve vlastní režii. Použije k tomu pouze open source software. Nemá to jednoduché. V několika příspěvcích na svém blogu popsal problémy a jejich postupné řešení. Po roce testování je ale konečně s výsledkem spokojen.

Ladislav Hagara | Komentářů: 8
včera 14:00 | Komunita

Lukáš Bařinka oznámil vydávání série video cvičení Programování v shellu na YouTube.

Ladislav Hagara | Komentářů: 1
včera 11:11 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 98 (pdf), HackSpace 35 (pdf), Wireframe 42 (pdf) a Hello World 14 (pdf).

Ladislav Hagara | Komentářů: 0
včera 08:00 | Nová verze

Byla vydána verze 8.4 OpenSSH. Blíží se ohlášený zákaz algoritmu „ssh-rsa“ kvůli zranitelnosti SHA-1.

Fluttershy, yay! | Komentářů: 0
28.9. 13:22 | Zajímavý projekt

Více než 60 moderních telefonů má díky práci týmu dobrovolníků SOMainline šanci na zařazení do oficiálního linuxového jádra. Patche pro podporu chipsetu SD630 a SD660, kterým jsou tyto telefony poháněny, jsou postupně začleňovány. Tým se soustředí na zprovoznění klasických linuxových distribucí pro telefony, ale věnuje se i zprovoznění běžného AOSP. Další tým vývojářů postmarketOS již delší dobu pracuje na podpoře chipsetu MSM8953, který umožňuje vdechnout život dalším nejméně 30 telefonům vydaných v letech 2017 a 2018.

David Heidelberg | Komentářů: 22
Používáte aplikaci eRouška?
 (19%)
 (3%)
 (2%)
 (12%)
 (51%)
 (8%)
 (6%)
Celkem 479 hlasů
 Komentářů: 35, poslední 20.9. 21:50
Rozcestník

Dotaz: Podivne se chovajici PREROUTING

25.9.2004 13:37 Karel
Podivne se chovajici PREROUTING
Přečteno: 73×
Ahoj, mam sit, kterou mi chrani/routuje firewall, kde mam tyto pravidla:

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 8088 -j DNAT --to-destination 10.10.10.88:80

a pak to povolim

$IPTABLES -A FORWARD -p tcp -d 10.10.10.88 --dport 80 -j ACCEPT


No a nejvice zajimave na tom je, ze z venku- jine site,jiny ISP se dostanu, presneruje me to, ale kdyz jsem uvnitr site, za danym firewallem-routerem, a dam http://verejna_IP:8088, tak mi to nejede.

Prosim nevite, kde delam chybu? Diky moc, karel

Odpovědi

25.9.2004 21:22 Radek Podgorny
Rozbalit Rozbalit vše Re: Podiven se chovajici PREROUTING
Mozna to jde, jen se spatne routuji odpovedi... Kdysi jsem neco podobneho resil s maskaradou...
26.9.2004 15:17 Karel
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING
Opravdu nikdo nevite a nesetkali jste se s tim?

Prosim o pomoc, uz si fakt nevim rady.

Karel
26.9.2004 15:31 Radek Podgorny
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING
Poslouchas me vubec?

comp posle packet na $INET_IP na port 8080, ale dostane odpoved z 10.10.10.88:80, kterou neceka a nejspis zahodi...

Vlastne nechapu, jak tohle muze fungovat i zvenku...
26.9.2004 18:15 Jarda Kotěšovec (athli) | skóre: 17 | blog: athli
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING

Ahoj, snad nebudu povidat zadne bludy :).

Pokud prichazi paket z vnejsi site (napr. z IP 1.2.3.4):

  • na firewall prijde paket smerujici na port 8088 -> je zmenena jeho cilova IP na 10.10.10.88:80
  • pocitac 10.10.10.88 vygeneruje odpoved pro 1.2.3.4
  • nat funguje tak, ze si pamatuje prislusne spojeni a pri ceste zpatky vrati danou zmenu -> zdrojova ip se zmeni z 10.10.10.88 na IP_firewallu
  • vsichni jsou spokojeni a komunikace probehla v poradku

paket prichazi z vnitrni site (napr. 10.10.10.89)

  • nahradu udela stejnym zpusobem jako v prvnim pripade
  • pocitac vygeneru odpoved pro 10.10.10.89, jenze ten je na stejne podsiti -> paket uz neprojde pres firewall, ale primo tomu pocitaci. Ale ten posilal paket firewallu, nikoli 10.10.10.88 -> paket je zahozen

Nejak nerozumim tomu, proc chcete natovat po vnitrni siti. Muzete z toho firewallu udelat jakesi zrcadlo za pouziti DNATu i SNATu... takze si bude myslet 10.10.10.88, ze komunikuje primo s tim firewallem.

$IPTABLES -t nat -A PREROUTING -p tcp -d $INET_IP --dport 8088 -j DNAT --to-destination 10.10.10.88:80

$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.10.88 --dport 80 -j SNAT --to-destination $INET_IP

Nezkousel jsem to, nevim jestli to presne takhle pojede - ale princip je z toho videt.

26.9.2004 19:29 Karel
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING
DIky moc za objasneni, uz to chapu!

Tedkom to jeste budu zkouset, diky!

Karel
1.10.2004 08:45 Karel
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING
Diky, ono to funguje, prave kdyz pouziji ten POSTROUTING

$IPTABLES -t nat -A POSTROUTING -p tcp -d 10.10.10.88 --dport 80 -j SNAT --to-destination $INET_IP

ale kdyz tam napisi dve takove pravidla pod sebe - mam vice IP, ktere bych takhle chtel udelat, tak to uz nejede, tedy jede jen ta prvni:-( Nevite proc?

Karel
1.10.2004 18:08 Jarda Kotěšovec (athli) | skóre: 17 | blog: athli
Rozbalit Rozbalit vše Re: Podivne se chovajici PREROUTING

Ceho presne chcete dosahnout? Takhle aktivne a jeste dvojite :) NATovat v ramci jedne podsiti mi prijde dost divoke. Nejenze se zatezuje sit, ale hlavne ten firewall, protoze u kazdeho natu si musi pamatovat spojeni, tak je to pro nej o dost narocnejsi, nez pouhe routovani.

Pokud vam jde o nejaky podobny pripad, tak vzdy musite zaroven pouzivat pravidla pro PREROUTING i POSTROUTING, aby ten firewall fungoval jako zrcadlo.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.