abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Qt Creator 18
    dnes 15:22 | Nová verze

    Byla vydána nová verze 18 integrovaného vývojového prostředí (IDE) Qt Creator. S podporou Development Containers. Podrobný přehled novinek v changelogu.

    Ladislav Hagara | Komentářů: 0
    Cursor 2.0
    dnes 12:55 | Nová verze

    Cursor (Wikipedie) od společnosti Anysphere byl vydán ve verzi 2.0. Jedná se o multiplatformní proprietární editor kódů s podporou AI (vibe coding).

    Ladislav Hagara | Komentářů: 1
    Google Chrome 142
    dnes 02:55 | Nová verze

    Google Chrome 142 byl prohlášen za stabilní. Nejnovější stabilní verze 142.0.7444.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 20 bezpečnostních chyb. Za nejvážnější z nich bylo vyplaceno 50 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    Java edice Minecraftu bude bez obfuskace
    dnes 01:22 | IT novinky

    Pro moddery Minecraftu: Java edice Minecraftu bude bez obfuskace.

    Ladislav Hagara | Komentářů: 0
    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné
    včera 17:00 | Upozornění

    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

    Ladislav Hagara | Komentářů: 8
    Nvidia je první firmou, jejíž tržní hodnota dosáhla 5 bilionů dolarů
    včera 16:44 | IT novinky

    Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

    Ladislav Hagara | Komentářů: 6
    Red Hat bude podporovat a distribuovat toolkit NVIDIA CUDA
    včera 14:11 | Komunita

    Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

    Ladislav Hagara | Komentářů: 2
    TrueNAS 25.10 Goldeye
    včera 13:55 | Nová verze

    TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

    Ladislav Hagara | Komentářů: 0
    OpenIndiana 2025.10
    včera 13:33 | Nová verze

    Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    89 % zranitelností IT infrastruktury v českých školách je kritických
    včera 13:22 | Zajímavý článek

    České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

    … více »
    Ladislav Hagara | Komentářů: 16
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (19%)
     (19%)
     (22%)
     (17%)
     (21%)
     (16%)
     (17%)
    Celkem 285 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables NAT a bridge
    Štítky: bridge, firewally, iptables, komunikace, nastavení, NAT, net, port, pravidla, PREROUTING, sítě, spojení, Squeeze, TCP, tcpdump, wheezy

    Dotaz: iptables NAT a bridge

    Zdeněk Zámečník avatar 22.7.2014 16:17 Zdeněk Zámečník | skóre: 26
    iptables NAT a bridge
    Přečteno: 444×
    Ahoj všem, po upgradu systému na routeru z Debianu Squeeze na Wheezy jsem narazil na jednu nepříjemnost ohledně iptables - některá pravidla přestala fungovat, konkrétně tato: 
     
iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 22023 -j DNAT --to 192.168.40.3:22022 
iptables -t nat -A POSTROUTING -p tcp -s 192.168.40.0/22 -d 192.168.40.3 -j SNAT --to 1.2.3.4
iptables -A FORWARD -i br40 -o br40 -j ACCEPT
    Pokud se pokusím připojit na IP 1.2.3.4 port 22023 z IP adresy v segmentu 192.168.40.0/22, tak se spojení nenaváže a pokud si vylistuju všechna pravidla v tabulce nat, tak vidím, že žádné pakety neprocházejí postroutingem. Nutno podotknout, že tato komunikace probíhá v rámci jednoho bridge (br40), ale IP adresa 1.2.3.4 se nachází na interfacu br99.

    Pokud si však na interfacu br40 pustím tcpdump vše začne záhadně fungovat jako dříve, teda do chvíle než tcpdump ukončím. Po troše laborování jsem přišel na to, že tímto nastavením sysctl -w net.bridge.bridge-nf-call-iptables=1 dosáhnu toho, že to funguje a pakety procházejí posroutingem jako ve staré verzi kernelu/iptables.

    Jestli jsem pochopil nastavení tohoto parametru správně, tak se s ním vypíná/zapíná netfilter na všech bridgích a předpokládám, že z nějakého důvodu je defaultně zapnutý. V Debianu Squeeze takový přepínač nebyl.

    Tak si říkám, jestli dělám něco špatně. Zda bych ten nat neměl dělat jinak. Co myslíte?
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    22.7.2014 16:39 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Tak hlavní důvod je ten, že bridge by neměl routovat, protože tam mohou nastávat dost zvláštní úkazy, třeba když bridge zatím neví, kterou větví má paket poslat, nebo u složitějších sítí (se smyčkami) to může vyvolávat nedetekovatelné nekonečné přeposílání paketů.

    Dá se to řešit routováním:
    • Na 192.168.40.3 přidejte IP adresu 1.2.3.4/32.
    • Na router přidejte route 1.2.3.4/32 via 192.168.40.3.
    Zdeněk Zámečník avatar 22.7.2014 17:00 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To mě moc nepotěšilo :/ Chápu, že bridge funguje na jiné úrovni a těch komplikací je tam vícero.

    Bohužel ta statická routa nepřipadá v úvahu. Modelová situace vypadá totiž takto: IP adresa 1.2.3.4 je od ISP, kterou router používá pro přístup do internetu, je na interfacu eth99 (v předchozím příspěvku jsem mylně uvedl br99). Z této IP adresy provádím forward několika portů na méně významné stroje v interní síti 192.168.40.0/22. Tato interní síť je pověšená na interfacu br40. V tomto bridgi je krom fyzické síťovky ještě device tap, který slouží k připojení vzdálených klientů přes OpenVPN.

    Zmiňovaný postrouting (snat) zajišťuje pouze to, že se z interní sítě můžu připojit přes tu veřejnou adresu 1.2.3.4 stejně jako když jsem venku. Zbavit se bridge pro tu interní síť je nemyslitelné. Přes VPN potřebuji posílat celé rámce, protože tam provozuji např. tftp a další věci, které se přes tun řeší dost blbě nebo spíše nejdou řešit.

    Nějaké nápady?
    22.7.2014 17:16 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Můžete mít různá routovací pravidla podle portů: 
    iptables -d 1.2.3.4 -p tcp --dport 1234 -j MARK --set-mark 1234
echo 1234 presmerovani >>/etc/iproute2/rt_tables
ip rule add fwmark 1234 table presmerovani
ip route add 1.2.3.4/32 via 192.168.40.3 table presmerovani
    Zdeněk Zámečník avatar 22.7.2014 17:22 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Masakr! Dobrý nápad. Schválně to večer vyzkouším. Jako další možnost mě napadlo udělat si pro VPN zvlášť virtuální stroj a tím bych se zbavil bridgů na routeru. Na jednu stranu by to ve firewallu znamenalo míň pravidel a nemusel bych hrabat do routovacích tabulek, ale na druhou stranu je to další stroj, o který se musím starat.

    Každopádně moc díky za vysvětlení a nalezení té správné cesty...
    22.7.2014 21:48 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    A pouzit dns a vracet jinou odpoved podle toho jestli se ptate zvenci nebo zevnitr? Prislo by mi to vice fer nez tvrdit siti ze ma verejnou ip uvnitr.
    Zdeněk Zámečník avatar 23.7.2014 06:51 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To ale problém úplně dokonale neřeší. Představte si, že z té veřejné IP adresy je přesměrováno několik portů na různé IP uvnitř. Pokud zprovozním DNS pro vnitřní síť, kde každý ten host bude mít vlastní hostname, ale zvenku všechny tyto hostnamy budou ukazovat přímo na tu veřejnou IP, bude se to ve výsledku chovat odlišně venku a uvnitř... Ten překlad uvnitř sítě tyto neduhy pohodlně řešil. Uživateli je jedno jestli je uvnitř sítě nebo někde mimo, on prostě chce aby to fungovalo pořád stejně. Dlouhá léta nám to takhle fungovalo na několika sítích, tak mi přijde hloupé se toho najednou vzdát.

    Uvědomil jsem si, že to markování a hraní si s routovací tabulkou má podobný problém, takže se ještě podívám na ebtables. V krajním případě ty bridge zruším a OpenVPN přesunu na samostatný stroj.
    23.7.2014 08:03 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    tak jestli smerujes vnejsi porty na jiné uvnitr tak ano, nic to neresi, más to tak v popisu, ale neuvedomil jsem si to. Pokud by to slo na stejné porty, tak ti to podle me problém vyresí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.