abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    raylib 6.0
    dnes 04:00 | Nová verze

    raylib (Wikipedie), tj. multiplatformní open-source knihovna pro vývoj grafických aplikací a her, byla vydána ve verzi 6.0.

    Ladislav Hagara | Komentářů: 0
    GPT‑5.5 a DeepSeek V4
    včera 18:33 | IT novinky

    Nové verze AI modelů. Společnost OpenAI představila GPT‑5.5. Společnost DeepSeek představila DeepSeek V4.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi Official Magazine 164 a Hello World 29
    včera 15:33 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 164 (pdf) a Hello World 29 (pdf).

    Ladislav Hagara | Komentářů: 0
    Opera GX už také na Flathubu and Snapcraftu
    včera 04:44 | Komunita

    Bylo oznámeno, že webový prohlížeč Opera GX zaměřený na hráče počítačových her je už také na Flathubu and Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    Akcionáři společnosti Warner Bros schválili převzetí firmy rivalem Paramount
    23.4. 23:11 | IT novinky

    Akcionáři americké mediální společnosti Warner Bros. Discovery dnes schválili převzetí firmy konkurentem Paramount Skydance za zhruba 110 miliard dolarů (téměř 2,3 bilionu Kč). Firmy se na spojení dohodly v únoru. O část společnosti Warner Bros. Discovery dříve usilovala rovněž streamovací platforma Netflix, se svou nabídkou však neuspěla. Transakci ještě budou schvalovat regulační orgány, a to nejen ve Spojených státech, ale také

    … více »
    Ladislav Hagara | Komentářů: 0
    Ubuntu 26.04 LTS Resolute Raccoon
    23.4. 22:33 | Nová verze

    Canonical vydal (email, blog, YouTube) Ubuntu 26.04 LTS Resolute Raccoon. Přehled novinek v poznámkách k vydání. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 11. vydání s dlouhodobou podporou (LTS).

    Ladislav Hagara | Komentářů: 2
    Gitea 1.26.0
    23.4. 11:55 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Gitea (Wikipedie) byla vydána v nové verzi 1.26.0. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    #7 MobileLinux Hackday
    23.4. 04:44 | Pozvánky

    Ve středu 29. dubna 2026 se v pražské kanceláři SUSE v Karlíně uskuteční 7. Mobile Linux Hackday, komunitní setkání zaměřené na Linux na mobilních zařízeních, kernelový vývoj i uživatelský prostor. Akce proběhne od 10:00 do večerních hodin. Hackday je určen všem zájemcům o praktickou práci s Linuxem na telefonech. Zaměří se na vývoj aplikací v userspace, například bankovní aplikace, zpracování obrazu z kamery nebo práci s NFC, i na úpravy

    … více »
    lkocman | Komentářů: 1
    LilyPond 2.26.0
    22.4. 21:55 | Nová verze

    LilyPond (Wikipedie) , tj. multiplatformní svobodný software určený pro sazbu notových zápisů, byl vydán ve verzi 2.26.0. Přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    QEMU 11.0.0
    22.4. 20:33 | Nová verze

    Byla vydána nová verze 11.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 237 vývojářů. Provedeno bylo více než 2 500 commitů. Přehled úprav a nových vlastností v seznamu změn.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (14%)
     (8%)
     (2%)
     (13%)
     (31%)
     (3%)
     (7%)
     (2%)
     (15%)
     (25%)
    Celkem 1415 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / iptables NAT a bridge
    Štítky: bridge, firewally, iptables, komunikace, nastavení, NAT, net, port, pravidla, PREROUTING, sítě, spojení, Squeeze, TCP, tcpdump, wheezy

    Dotaz: iptables NAT a bridge

    Zdeněk Zámečník avatar 22.7.2014 16:17 Zdeněk Zámečník | skóre: 26
    iptables NAT a bridge
    Přečteno: 481×
    Ahoj všem, po upgradu systému na routeru z Debianu Squeeze na Wheezy jsem narazil na jednu nepříjemnost ohledně iptables - některá pravidla přestala fungovat, konkrétně tato: 
     
iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 22023 -j DNAT --to 192.168.40.3:22022 
iptables -t nat -A POSTROUTING -p tcp -s 192.168.40.0/22 -d 192.168.40.3 -j SNAT --to 1.2.3.4
iptables -A FORWARD -i br40 -o br40 -j ACCEPT
    Pokud se pokusím připojit na IP 1.2.3.4 port 22023 z IP adresy v segmentu 192.168.40.0/22, tak se spojení nenaváže a pokud si vylistuju všechna pravidla v tabulce nat, tak vidím, že žádné pakety neprocházejí postroutingem. Nutno podotknout, že tato komunikace probíhá v rámci jednoho bridge (br40), ale IP adresa 1.2.3.4 se nachází na interfacu br99.

    Pokud si však na interfacu br40 pustím tcpdump vše začne záhadně fungovat jako dříve, teda do chvíle než tcpdump ukončím. Po troše laborování jsem přišel na to, že tímto nastavením sysctl -w net.bridge.bridge-nf-call-iptables=1 dosáhnu toho, že to funguje a pakety procházejí posroutingem jako ve staré verzi kernelu/iptables.

    Jestli jsem pochopil nastavení tohoto parametru správně, tak se s ním vypíná/zapíná netfilter na všech bridgích a předpokládám, že z nějakého důvodu je defaultně zapnutý. V Debianu Squeeze takový přepínač nebyl.

    Tak si říkám, jestli dělám něco špatně. Zda bych ten nat neměl dělat jinak. Co myslíte?
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    22.7.2014 16:39 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Tak hlavní důvod je ten, že bridge by neměl routovat, protože tam mohou nastávat dost zvláštní úkazy, třeba když bridge zatím neví, kterou větví má paket poslat, nebo u složitějších sítí (se smyčkami) to může vyvolávat nedetekovatelné nekonečné přeposílání paketů.

    Dá se to řešit routováním:
    • Na 192.168.40.3 přidejte IP adresu 1.2.3.4/32.
    • Na router přidejte route 1.2.3.4/32 via 192.168.40.3.
    Zdeněk Zámečník avatar 22.7.2014 17:00 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To mě moc nepotěšilo :/ Chápu, že bridge funguje na jiné úrovni a těch komplikací je tam vícero.

    Bohužel ta statická routa nepřipadá v úvahu. Modelová situace vypadá totiž takto: IP adresa 1.2.3.4 je od ISP, kterou router používá pro přístup do internetu, je na interfacu eth99 (v předchozím příspěvku jsem mylně uvedl br99). Z této IP adresy provádím forward několika portů na méně významné stroje v interní síti 192.168.40.0/22. Tato interní síť je pověšená na interfacu br40. V tomto bridgi je krom fyzické síťovky ještě device tap, který slouží k připojení vzdálených klientů přes OpenVPN.

    Zmiňovaný postrouting (snat) zajišťuje pouze to, že se z interní sítě můžu připojit přes tu veřejnou adresu 1.2.3.4 stejně jako když jsem venku. Zbavit se bridge pro tu interní síť je nemyslitelné. Přes VPN potřebuji posílat celé rámce, protože tam provozuji např. tftp a další věci, které se přes tun řeší dost blbě nebo spíše nejdou řešit.

    Nějaké nápady?
    22.7.2014 17:16 Sten
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Můžete mít různá routovací pravidla podle portů: 
    iptables -d 1.2.3.4 -p tcp --dport 1234 -j MARK --set-mark 1234
echo 1234 presmerovani >>/etc/iproute2/rt_tables
ip rule add fwmark 1234 table presmerovani
ip route add 1.2.3.4/32 via 192.168.40.3 table presmerovani
    Zdeněk Zámečník avatar 22.7.2014 17:22 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    Masakr! Dobrý nápad. Schválně to večer vyzkouším. Jako další možnost mě napadlo udělat si pro VPN zvlášť virtuální stroj a tím bych se zbavil bridgů na routeru. Na jednu stranu by to ve firewallu znamenalo míň pravidel a nemusel bych hrabat do routovacích tabulek, ale na druhou stranu je to další stroj, o který se musím starat.

    Každopádně moc díky za vysvětlení a nalezení té správné cesty...
    22.7.2014 21:48 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    A pouzit dns a vracet jinou odpoved podle toho jestli se ptate zvenci nebo zevnitr? Prislo by mi to vice fer nez tvrdit siti ze ma verejnou ip uvnitr.
    Zdeněk Zámečník avatar 23.7.2014 06:51 Zdeněk Zámečník | skóre: 26
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    To ale problém úplně dokonale neřeší. Představte si, že z té veřejné IP adresy je přesměrováno několik portů na různé IP uvnitř. Pokud zprovozním DNS pro vnitřní síť, kde každý ten host bude mít vlastní hostname, ale zvenku všechny tyto hostnamy budou ukazovat přímo na tu veřejnou IP, bude se to ve výsledku chovat odlišně venku a uvnitř... Ten překlad uvnitř sítě tyto neduhy pohodlně řešil. Uživateli je jedno jestli je uvnitř sítě nebo někde mimo, on prostě chce aby to fungovalo pořád stejně. Dlouhá léta nám to takhle fungovalo na několika sítích, tak mi přijde hloupé se toho najednou vzdát.

    Uvědomil jsem si, že to markování a hraní si s routovací tabulkou má podobný problém, takže se ještě podívám na ebtables. V krajním případě ty bridge zruším a OpenVPN přesunu na samostatný stroj.
    23.7.2014 08:03 bigBRAMBOR | skóre: 36
    Rozbalit Rozbalit vše Re: iptables NAT a bridge
    tak jestli smerujes vnejsi porty na jiné uvnitr tak ano, nic to neresi, más to tak v popisu, ale neuvedomil jsem si to. Pokud by to slo na stejné porty, tak ti to podle me problém vyresí.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.