abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 20:44 | Nová verze

    Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

    Ladislav Hagara | Komentářů: 0
    včera 12:22 | IT novinky

    Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

    Ladislav Hagara | Komentářů: 22
    včera 00:11 | Nová verze

    Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    27.5. 19:22 | Nová verze

    Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

    Ladislav Hagara | Komentářů: 0
    27.5. 15:11 | Nová verze

    Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 9
    27.5. 10:44 | Komunita

    Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu 2024. Zúčastnilo se více než 7000 uživatelů. Téměř 93 % z nich například používá uživatelské rozhraní v angličtině.

    Ladislav Hagara | Komentářů: 23
    26.5. 23:55 | Zajímavý článek

    Lukáš Růžička v článku RamaLama aneb vyháníme lamy na vlastní louku na MojeFedora.cz představuje open source nástroj RamaLama umožňující spouštět jazykové modely v izolovaných OCI kontejnerech, a to bezpečně, bez potřeby mít root přístup k počítači, s podporou GPU či CPU a bez zbytečných obtížností kolem.

    Ladislav Hagara | Komentářů: 0
    26.5. 22:55 | Nová verze

    Byl vydán Sublime Text 4 Build 4200. Sublime Text (Wikipedie) je proprietární multiplatformní editor textových souborů a zdrojových kódů. Ke stažení a k vyzkoušení je zdarma. Pro další používání je nutná licence v ceně 99 dolarů. Spolu se Sublime Merge je cena 168 dolarů.

    Ladislav Hagara | Komentářů: 0
    26.5. 18:00 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.12.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    26.5. 16:11 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 25.5. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (55%)
     (32%)
     (8%)
     (3%)
     (0%)
     (0%)
     (3%)
    Celkem 154 hlasů
     Komentářů: 12, poslední včera 18:42
    Rozcestník

    Dotaz: WireGuard, routing & firewall

    29.12.2021 10:59 Deryl | skóre: 11
    WireGuard, routing & firewall
    Přečteno: 412×
    Příloha:

    Ahoj, mám server2 s webovou službou v LAN2, jejíž router nemá veřejnou IP adresu.

    Pak mám jiný server1 v LAN1, jejíž router veřejnou IP adresu má.

    Aby se klienti z internetu dostali na server2, tak jsem vytvořil WireGuard tunel mezi server1 a server2. Ping mezi server1 a server2 funguje, obousměrně.

    Viz náčrtek v příloze.

    Můj dotaz v této fázi nesměřuje na řešení detailů, spíše na koncept:

     

    • Dává smysl kombinovat na serveru1 DNAT (pro posílání paketů na server2) a MASQUERADE (aby server2 odpovídal na server1 --> router1 --> laptop a nikoliv skrze router2 --> laptop)?
    • Pokud se mi podaří nastavit NAT a routing na serveru1, tak na serveru2 by se nic zvláštního nastavovat nemělo, že?

     

    P.S. server1 je poněkud komplikovanější (headless Archlinux, docker kontejnery s různými službami na jiných portech, iptables firewall, ...). Když se pokouším připojit na laptopu na A.B.C.D:4321, tak dle tcpdumpu na serveru2 něco chodí tunelem ze serveru1, ale protože na laptopu to nefunguje (connection timeout), tak se asi nedaří doručit zpět odpověď.


    Řešení dotazu:


    Odpovědi

    Řešení 1× (Deryl (tazatel))
    29.12.2021 11:27 X
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Hadam, ze na server2 bude problem s tim, ze tunelem prichazi 2x dnatovany provoz s verejnou IP, ale podle routovaci tabulky se snazi odpovidat pres router2. Se zapnutym rp_filter by to neproslo vubec. Vhodnjsi by bylo pridat na server1 jeste SNAT, ktery to zamaskuje jako 10.99.0.10. Potom na server2 nemusi resit vubec nic:
    iptables -t nat -A POSTROUTING -d 10.99.0.10 -p tcp --dport 4321 -j SNAT --to 10.99.0.10
    
    Mimochodem ta maskarada nema na odesilani server2 zpet do tunelu zadny vliv..
    29.12.2021 16:13 Deryl | skóre: 11
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall

    Díky především za potvrzení, že DNAT & SNAT na serveru1 je vhodnou cestou.

    Jak už to bývá, problém byl trochu jinde - ve FORWARD chainu byl skok na DOCKER-USER, přes který se vracející pakety již nedostaly. Těžko říci, zda jsem jsem to tak kdysi dávno nastavil sám či zda je to kouzlení dockeru.

    Každopádně, '-j SNAT --to 10.99.0.10' či '-j MASQUERADE' je snad z pohledu přepisování zdrojové IP adresy totéž, ne? Nyní funguje obojí.
    29.12.2021 16:26 X
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Na obrazku je "MASQ from wg0 to eno0", tedy smerem ven. SNAT ktery jsem navrhoval je smerem dovnitr.
    29.12.2021 16:35 Deryl | skóre: 11
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Pravda, moje chyba :-(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.