abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Deno 2.9 s deno desktop
    dnes 20:22 | Nová verze

    Deno (Wikipedie), běhové prostředí (runtime) pro JavaScript, TypeScript a WebAssembly, bylo vydáno v nové verzi 2.9. Hlavní novinkou je deno desktop pro převod Deno projektu na desktopovou aplikaci. Jedná se o alternativu k frameworkům Electron nebo Tauri.

    Ladislav Hagara | Komentářů: 1
    Datové schránky na datovka.gov.cz
    dnes 15:44 | IT novinky

    Od zítra jsou Datové schránky oficiálně na nové adrese datovka.gov.cz. Adresa mojedatovaschranka.cz zůstává funkční do 27. srpna 2026, následně budou uživatelé automaticky přesměrováni na datovka.gov.cz.

    Ladislav Hagara | Komentářů: 0
    Emulátor Dolphin 2606
    dnes 13:44 | Nová verze

    Dolphin (Wikipedie), tj. open source multiplatformní emulátor herních konzolí GameCube a Wii od Nintenda, byl vydán ve verzi 2606. S podporou Game Boy Playeru.

    Ladislav Hagara | Komentářů: 0
    debvulns, alternativa k debsecan
    dnes 11:11 | Zajímavý software

    Vasudeva Kamath představil utilitu debvulns, alternativu k nativní utilitě debsecan, pro výpis zranitelností v Debianu. Navíc má především možnost výstupu ve strukturovaných formátech JSON a CSV. V plánu je exportér pro Prometheus.

    Ladislav Hagara | Komentářů: 0
    Oficiální český státní eshop s elektronickými dálničními známkami nově na edalnice.gov.cz
    včera 21:44 | IT novinky

    Oficiální český státní eshop s elektronickými dálničními známkami nově najdete na edalnice.gov.cz. Doména gov.cz jasně potvrzuje, že jste na oficiálním státním webu [𝕏].

    Ladislav Hagara | Komentářů: 19
    fish shell 4.8.0
    včera 14:22 | Nová verze

    Byla vydána nová verze 4.8.0 interaktivního shellu fish (friendly interactive shell, Wikipedie). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 4
    Superpočítač LineShine nejvýkonnějším superpočítačem na světě (TOP500 06/2026)
    včera 12:00 | Nová verze

    Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem se nově stal čínský LineShine v Národním superpočítačovém centru v Šen-čenu (NSCS) s výkonem 2,198 exaFLOPS. Z prvního místa sesadil americký superpočítač El Capitan s výkonem 1,809 exaFLOPS. Nejvýkonnější český počítač C24 klesl na 215 místo. Karolina, GPU partition klesla na 249. místo a Karolina, CPU partition na 475. místo.

    … více »
    Ladislav Hagara | Komentářů: 11
    Zemřel průkopník videoherní hudby Bobby Prince
    23.6. 21:00 | IT novinky

    Zemřel průkopník videoherní hudby Bobby Prince (Wikipedie). Složil hudbu pro hry Wolfenstein 3D, Doom, Doom II, Duke Nukem II a Duke Nukem 3D.

    Ladislav Hagara | Komentářů: 15
    Počítačová hra Operace Flashpoint slaví 25 let
    23.6. 15:55 | IT novinky

    Počítačová hra Operace Flashpoint (Arma: Cold War Assault) od společnosti Bohemia Interactive slaví 25 let. Při této příležitosti bylo publikováno bezplatné hratelné Arma: Cold War Assault Remastered Demo a na GitHubu byly zveřejněny zdrojové kódy.

    Ladislav Hagara | Komentářů: 0
    HP EliteBoard G1a, počítač v klávesnici
    23.6. 12:22 | IT novinky

    Na trh v České republice přichází HP EliteBoard G1a. Jde o plnohodnotný AI počítač integrovaný přímo do těla klávesnice, tedy zařízení, které na první pohled vypadá jako minimalistická klávesnice, ale ve skutečnosti nahrazuje klasickou počítačovou jednotku.

    Ladislav Hagara | Komentářů: 20
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (8%)
     (2%)
     (16%)
     (31%)
     (3%)
     (6%)
     (2%)
     (16%)
     (26%)
    Celkem 1984 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables NAT a bridge
    Štítky: bridge, firewally, iptables, komunikace, nastavení, NAT, net, port, pravidla, PREROUTING, sítě, spojení, Squeeze, TCP, tcpdump, wheezy


    Dotaz: iptables NAT a bridge

    Zdeněk Zámečník avatar 22.7.2014 16:17 Zdeněk Zámečník | skóre: 26
    iptables NAT a bridge
    Přečteno: 494×
    Ahoj všem, po upgradu systému na routeru z Debianu Squeeze na Wheezy jsem narazil na jednu nepříjemnost ohledně iptables - některá pravidla přestala fungovat, konkrétně tato: 
     
iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 22023 -j DNAT --to 192.168.40.3:22022 
iptables -t nat -A POSTROUTING -p tcp -s 192.168.40.0/22 -d 192.168.40.3 -j SNAT --to 1.2.3.4
iptables -A FORWARD -i br40 -o br40 -j ACCEPT
    Pokud se pokusím připojit na IP 1.2.3.4 port 22023 z IP adresy v segmentu 192.168.40.0/22, tak se spojení nenaváže a pokud si vylistuju všechna pravidla v tabulce nat, tak vidím, že žádné pakety neprocházejí postroutingem. Nutno podotknout, že tato komunikace probíhá v rámci jednoho bridge (br40), ale IP adresa 1.2.3.4 se nachází na interfacu br99.

    Pokud si však na interfacu br40 pustím tcpdump vše začne záhadně fungovat jako dříve, teda do chvíle než tcpdump ukončím. Po troše laborování jsem přišel na to, že tímto nastavením sysctl -w net.bridge.bridge-nf-call-iptables=1 dosáhnu toho, že to funguje a pakety procházejí posroutingem jako ve staré verzi kernelu/iptables.

    Jestli jsem pochopil nastavení tohoto parametru správně, tak se s ním vypíná/zapíná netfilter na všech bridgích a předpokládám, že z nějakého důvodu je defaultně zapnutý. V Debianu Squeeze takový přepínač nebyl.

    Tak si říkám, jestli dělám něco špatně. Zda bych ten nat neměl dělat jinak. Co myslíte?
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    22.7.2014 16:39 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Tak hlavní důvod je ten, že bridge by neměl routovat, protože tam mohou nastávat dost zvláštní úkazy, třeba když bridge zatím neví, kterou větví má paket poslat, nebo u složitějších sítí (se smyčkami) to může vyvolávat nedetekovatelné nekonečné přeposílání paketů.

    Dá se to řešit routováním:
    • Na 192.168.40.3 přidejte IP adresu 1.2.3.4/32.
    • Na router přidejte route 1.2.3.4/32 via 192.168.40.3.
    Zdeněk Zámečník avatar 22.7.2014 17:00 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To mě moc nepotěšilo :/ Chápu, že bridge funguje na jiné úrovni a těch komplikací je tam vícero.

    Bohužel ta statická routa nepřipadá v úvahu. Modelová situace vypadá totiž takto: IP adresa 1.2.3.4 je od ISP, kterou router používá pro přístup do internetu, je na interfacu eth99 (v předchozím příspěvku jsem mylně uvedl br99). Z této IP adresy provádím forward několika portů na méně významné stroje v interní síti 192.168.40.0/22. Tato interní síť je pověšená na interfacu br40. V tomto bridgi je krom fyzické síťovky ještě device tap, který slouží k připojení vzdálených klientů přes OpenVPN.

    Zmiňovaný postrouting (snat) zajišťuje pouze to, že se z interní sítě můžu připojit přes tu veřejnou adresu 1.2.3.4 stejně jako když jsem venku. Zbavit se bridge pro tu interní síť je nemyslitelné. Přes VPN potřebuji posílat celé rámce, protože tam provozuji např. tftp a další věci, které se přes tun řeší dost blbě nebo spíše nejdou řešit.

    Nějaké nápady?
    22.7.2014 17:16 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Můžete mít různá routovací pravidla podle portů: 
    iptables -d 1.2.3.4 -p tcp --dport 1234 -j MARK --set-mark 1234
echo 1234 presmerovani >>/etc/iproute2/rt_tables
ip rule add fwmark 1234 table presmerovani
ip route add 1.2.3.4/32 via 192.168.40.3 table presmerovani
    Zdeněk Zámečník avatar 22.7.2014 17:22 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Masakr! Dobrý nápad. Schválně to večer vyzkouším. Jako další možnost mě napadlo udělat si pro VPN zvlášť virtuální stroj a tím bych se zbavil bridgů na routeru. Na jednu stranu by to ve firewallu znamenalo míň pravidel a nemusel bych hrabat do routovacích tabulek, ale na druhou stranu je to další stroj, o který se musím starat.

    Každopádně moc díky za vysvětlení a nalezení té správné cesty...
    22.7.2014 21:48 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    A pouzit dns a vracet jinou odpoved podle toho jestli se ptate zvenci nebo zevnitr? Prislo by mi to vice fer nez tvrdit siti ze ma verejnou ip uvnitr.
    Zdeněk Zámečník avatar 23.7.2014 06:51 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To ale problém úplně dokonale neřeší. Představte si, že z té veřejné IP adresy je přesměrováno několik portů na různé IP uvnitř. Pokud zprovozním DNS pro vnitřní síť, kde každý ten host bude mít vlastní hostname, ale zvenku všechny tyto hostnamy budou ukazovat přímo na tu veřejnou IP, bude se to ve výsledku chovat odlišně venku a uvnitř... Ten překlad uvnitř sítě tyto neduhy pohodlně řešil. Uživateli je jedno jestli je uvnitř sítě nebo někde mimo, on prostě chce aby to fungovalo pořád stejně. Dlouhá léta nám to takhle fungovalo na několika sítích, tak mi přijde hloupé se toho najednou vzdát.

    Uvědomil jsem si, že to markování a hraní si s routovací tabulkou má podobný problém, takže se ještě podívám na ebtables. V krajním případě ty bridge zruším a OpenVPN přesunu na samostatný stroj.
    23.7.2014 08:03 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    tak jestli smerujes vnejsi porty na jiné uvnitr tak ano, nic to neresi, más to tak v popisu, ale neuvedomil jsem si to. Pokud by to slo na stejné porty, tak ti to podle me problém vyresí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.