Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Amutable má přinést determinismus a ověřitelnou integritu do linuxových systémů

dnes 05:11 | IT novinky

Chris Kühl (CEO), Christian Brauner (CTO) a Lennart Poettering (Chief Engineer) představili svou společnost Amutable. Má přinést determinismus a ověřitelnou integritu do linuxových systémů.

Ladislav Hagara | Komentářů: 1

OPNsense 26.1 Witty Woodpecker

včera 20:11 | Nová verze

Byla vydána (𝕏) nová verze 26.1 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.1 je Witty Woodpecker. Přehled novinek v příspěvku na fóru.

Ladislav Hagara | Komentářů: 2

Portál ToHledej.CZ

včera 15:11 | Zajímavý projekt

Deník TO spustil vlastní zpravodajský webový portál ToHledej.CZ s internetovým vyhledávačem a bezplatnou e-mailovou schránkou. Dle svého tvrzení nabízí 'Zprávy, komentáře, analýzy bez cenzury' a 'Mail bez šmírování a Velkého bratra'. Rozložením a vizuálním stylem se stránky nápadně podobají portálu Seznam.cz a nejspíše je cílem být jeho alternativou. Z podmínek platformy vyplývá, že portál využívá nespecifikovaný internetový vyhledávač třetí strany.

NUKE GAZA! 🎆 | Komentářů: 14

Sbírky kalifornského Muzea historie počítačů jsou nyní dostupné online

včera 14:11 | Zajímavý projekt

Computer History Museum (Muzeum historie počítačů) zpřístupnilo své sbírky veřejnosti formou online katalogu. Virtuálně si tak můžeme prohlédnout 'rozsáhlou sbírku archivních materiálů, předmětů a historek a seznámit se s vizionáři, inovacemi a neznámými příběhy, které revolučním způsobem změnily náš digitální svět'.

NUKE GAZA! 🎆 | Komentářů: 4

Rus si vyrobil vlastní 32GB DDR5 RAM modul

včera 14:00 | Zajímavý projekt

Ruský hacker VIK-on si sestavil vlastní 32GB DDR5 RAM modul z čipů získaných z notebookových 16GB SO-DIMM RAM pamětí. Modul běží na 6400 MT/s a celkové náklady byly přibližně 218 dolarů, což je zhruba třetina současné tržní ceny modulů srovnatelných parametrů.

NUKE GAZA! 🎆 | Komentářů: 12

Národní identitní autorita (NIA) je částečně nedostupná

včera 11:00 | Upozornění

Národní identitní autorita (NIA), která ovlivňuje přihlašování prostřednictvím NIA ID, MEP, eOP a externích identit (např. BankID), je částečně nedostupná.

Ladislav Hagara | Komentářů: 9

TigerVNC 1.16.0

včera 02:44 | Nová verze

Byla vydána nová verze 1.16.0 klienta a serveru VNC (Virtual Network Computing) s názvem TigerVNC (Wikipedie). Z novinek lze vypíchnout nový server w0vncserver pro sdílení Wayland desktopu. Zdrojové kódy jsou k dispozici na GitHubu. Binárky na SourceForge. TigerVNC je fork TightVNC.

Ladislav Hagara | Komentářů: 0

Godot 4.6

27.1. 14:44 | Nová verze

Byla vydána nová verze 4.6 (𝕏, Bluesky, Mastodon) multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Výpadek služeb Základních registrů a Identity občana

27.1. 13:33 | Humor

Rozsáhlá modernizace hardwarové infrastruktury Základních registrů měla zabránit výpadkům digitálních služeb státu. Dnešnímu výpadku nezabránila.

Ladislav Hagara | Komentářů: 11

Model umělé inteligence Kimi K2.5

27.1. 13:11 | Nová verze

Čínský startup Kimi představil open-source model umělé inteligence Kimi K2.5. Nová verze pracuje s textem i obrázky a poskytuje 'paradigma samosměřovaného roje agentů' pro rychlejší vykonávání úkolů. Kimi zdůrazňuje vylepšenou schopnost modelu vytvářet zdrojové kódy přímo z přirozeného jazyka. Natrénovaný model je dostupný na Hugging Face, trénovací skripty však ne. Model má 1 T (bilion) parametrů, 32 B (miliard) aktivních.

NUKE GAZA! 🎆 | Komentářů: 14

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 19, poslední včera 13:03

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Skrytí serveru za nat

Štítky: firewally, iptables, klient, NAT, PREROUTING, server, sítě, TCP

Dotaz: Skrytí serveru za nat

8.9.2015 18:33 Gepard
Skrytí serveru za nat

Přečteno: 499×

Odpovědět | Admin

Ahoj, potřeboval bych skrýt jeden server tak, aby tam byl mezikrok v podobě jiného serveru.

Něco takového:

	klient (předem neznámá IP) -> server_A (70.70.70.70) -> cilovy_server_B (90.90.90.90)

	server_A - eth0: 70.70.70.70
	server_A - eth1: 80.80.80.80

	---

	PREROUTING	klientska_IP -> 70.70.70.70	DNAT	klientska_IP -> 90.90.90.90	eth0
	FORWARD
	POSTROUTING	klientska_IP -> 90.90.90.90	SNAT	80.80.80.80 -> 90.90.90.90	eth1

	--- 

	PREROUTING	90.90.90.90 -> 80.80.80.80	DNAT	90.90.90.90 -> klientska_IP	eth1
	FORWARD
	POSTROUTING	90.90.90.90 -> klientska_IP	SNAT	70.70.70.70 -> klientska_IP	eth0

	---

Mám nástřel řešení, ale není to správně:

iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -p tcp --dport 4444 -j DNAT --to-destination 90.90.90.90:3389
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -o eth1 -d 90.90.90.90 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE

Až po toto místo si myslím, že by to mohlo fungovat. Otázkou je, jak zajistit, aby se správně namapovala původní adresa klienta.

# iptables -t nat -A PREROUTING -i eth1 -p tcp -s 90.90.90.90 j MASQUERADE  # tímto krokem si nejsem jistý, tady potřebuju dostat zpět adresu klienta
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -SNAT --to-destination 70.70.70.70

Můžete mi s tím pomoct?

Díky.

Řešení dotazu:

Nástroje: Začni sledovat (1) ?

Odpovědi

8.9.2015 19:07 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Stačí první blok příkazů. Linux má plně stavový firewall, pamatuje si, které spojení se přeložilo jedním směrem a opačný směr daného spojení přepisuje automaticky.

8.9.2015 19:15 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Skrytí za nat

Pozor, pokud je to z důvodu bezpečnosti nebo anonymity, NAT ti nepomůže, Linux bude vesele přeposílat pakety z jedné strany na druhou. V takovém případě je NAT zbytečný (pokud současně neřešíš, že ti došly IP adresy) a chceš použít firewall. Navíc je potřeba udělat echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore aby to neleakovalo adresy zevnitř které mají zůstat skryté a možná některá další nastavení, o kterých nevím.

8.9.2015 22:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

aby to neleakovalo adresy zevnitř které mají zůstat skryté

Tohle už by skoro šlo kvalifikovat jako "šíření poplašné zprávy". Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?

9.9.2015 15:51 Gepard
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Bezpečnost je důležitá. Mám ten arp_ignore řešit? Vzhledem k tomu, že mám všechno drop nečekám problémy. Povoluji jenom forward.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to 90.90.90.90:3389
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -d 90.90.90.90 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

9.9.2015 16:28 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Vzhledem k tomu, že mám všechno drop

Si zkus zvenku ten arping, nezkoušel jsem to, ale čekal bych, že to pojede o vrstvu pod tím.

Btw. jestli je tohle kompletní politika, tak nic moc, určitě chceš povolit třeba ICMP na tom venkovním interface.

Co takhle aspoň napsat, že se to týká výhradně adres toho samotného počítače, který dělá ten NAT (tj. ne až tak moc "zevnitř")?

Psal jsem jako jaký důvod jsem to vyhodnotil a z toho jsem odvodil, že nechce, aby se vědělo ani o tom, že tam vůbec nějaká další síť je. Pokud neplatí podmínka uvozená slovem "pokud", není třeba se čertit…

8.9.2015 19:36 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Buď chceš jen NAT + pár port forwardů, nebo chceš nat 1:1 (všechny požadavky na server A přesměrovat na server B)

Zapneš port forwarde :

sysctl -w net.ipv4.ip_forward=1
# nebo :
echo 1 > /proc/sys/net/ipv4/ip_forward

a pro trvalé uložení :

/etc/sysctl.conf
net.ipv4.ip_forward = 1

1. varianta : nastavení NAT 1:1

iptables -t nat -A PREROUTING -i eth0 -d 70.70.70.70 -j DNAT --to-destination 90.90.90.90
iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j SNAT --to-source 70.70.70.70

2. varianta : nastavení NAT + port forwarde portu 80 a 443 :

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 90.90.90.90:80
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j DNAT --to 90.90.90.90:443

Tebou uvedený příklad má pár chybek. Jednak není jisté, zda máš povolen forwarde. Dále máš špatně toto :

iptables -t nat -A POSTROUTING -o eth1 -d 90.90.90.90 -j MASQUERADE

Když už chceš specifikovat adresu klienta a natovat jen tu, tak (uvádíš odchozí iface - ten vystrčený do netu):

iptables -t nat -A POSTROUTING -o eth0 -s 90.90.90.90 -j MASQUERADE

Zdar Max

Měl jsem sen ... :(

9.9.2015 10:54 Gepard
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

Super, díky, varianta 2 je dokonalá.

8.9.2015 22:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Skrytí serveru za nat

FAQ

Založit nové vlákno • Nahoru

Tiskni Sdílej: