abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 02:55 | Nová verze

    Google Chrome 142 byl prohlášen za stabilní. Nejnovější stabilní verze 142.0.7444.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 20 bezpečnostních chyb. Za nejvážnější z nich bylo vyplaceno 50 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    dnes 01:22 | IT novinky Ladislav Hagara | Komentářů: 0
    včera 17:00 | Upozornění

    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

    Ladislav Hagara | Komentářů: 4
    včera 16:44 | IT novinky

    Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

    Ladislav Hagara | Komentářů: 4
    včera 14:11 | Komunita

    Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

    Ladislav Hagara | Komentářů: 2
    včera 13:55 | Nová verze

    TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | Nová verze

    Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Zajímavý článek

    České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

    … více »
    Ladislav Hagara | Komentářů: 10
    včera 05:11 | Komunita

    Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

    🇹🇬 | Komentářů: 34
    včera 04:44 | Nová verze

    Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

    Ladislav Hagara | Komentářů: 3
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (17%)
    Celkem 282 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Dotaz: WireGuard, routing & firewall

    29.12.2021 10:59 Deryl | skóre: 11
    WireGuard, routing & firewall
    Přečteno: 494×
    Příloha:

    Ahoj, mám server2 s webovou službou v LAN2, jejíž router nemá veřejnou IP adresu.

    Pak mám jiný server1 v LAN1, jejíž router veřejnou IP adresu má.

    Aby se klienti z internetu dostali na server2, tak jsem vytvořil WireGuard tunel mezi server1 a server2. Ping mezi server1 a server2 funguje, obousměrně.

    Viz náčrtek v příloze.

    Můj dotaz v této fázi nesměřuje na řešení detailů, spíše na koncept:

     

    • Dává smysl kombinovat na serveru1 DNAT (pro posílání paketů na server2) a MASQUERADE (aby server2 odpovídal na server1 --> router1 --> laptop a nikoliv skrze router2 --> laptop)?
    • Pokud se mi podaří nastavit NAT a routing na serveru1, tak na serveru2 by se nic zvláštního nastavovat nemělo, že?

     

    P.S. server1 je poněkud komplikovanější (headless Archlinux, docker kontejnery s různými službami na jiných portech, iptables firewall, ...). Když se pokouším připojit na laptopu na A.B.C.D:4321, tak dle tcpdumpu na serveru2 něco chodí tunelem ze serveru1, ale protože na laptopu to nefunguje (connection timeout), tak se asi nedaří doručit zpět odpověď.


    Řešení dotazu:


    Odpovědi

    Řešení 1× (Deryl (tazatel))
    29.12.2021 11:27 X
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Hadam, ze na server2 bude problem s tim, ze tunelem prichazi 2x dnatovany provoz s verejnou IP, ale podle routovaci tabulky se snazi odpovidat pres router2. Se zapnutym rp_filter by to neproslo vubec. Vhodnjsi by bylo pridat na server1 jeste SNAT, ktery to zamaskuje jako 10.99.0.10. Potom na server2 nemusi resit vubec nic:
    iptables -t nat -A POSTROUTING -d 10.99.0.10 -p tcp --dport 4321 -j SNAT --to 10.99.0.10
    
    Mimochodem ta maskarada nema na odesilani server2 zpet do tunelu zadny vliv..
    29.12.2021 16:13 Deryl | skóre: 11
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall

    Díky především za potvrzení, že DNAT & SNAT na serveru1 je vhodnou cestou.

    Jak už to bývá, problém byl trochu jinde - ve FORWARD chainu byl skok na DOCKER-USER, přes který se vracející pakety již nedostaly. Těžko říci, zda jsem jsem to tak kdysi dávno nastavil sám či zda je to kouzlení dockeru.

    Každopádně, '-j SNAT --to 10.99.0.10' či '-j MASQUERADE' je snad z pohledu přepisování zdrojové IP adresy totéž, ne? Nyní funguje obojí.
    29.12.2021 16:26 X
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Na obrazku je "MASQ from wg0 to eno0", tedy smerem ven. SNAT ktery jsem navrhoval je smerem dovnitr.
    29.12.2021 16:35 Deryl | skóre: 11
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Pravda, moje chyba :-(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.