LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> Diskuze: Poradna iptables

iptables
(link)
2.8.2007 06:55
Grumpa
Věk: ( ~58 let)

Na stroji Av s veřejnou IP běží web server s aplikací. Ta si svoji část stahuje a vkládá z web serveru Bp s privátní IP, který je za firewallem F. Ten má vnější rozhraní Fv a vnitřní Fp.

Na firewallu je pravidlo, že co přijde na IP Fv na port 80, ať je DNAT na stroj Bp.

Funguje to z celého světa, jenom ne z té vnitřní sítě, v níž sídlí stroj Bp.

Když dám nmap z venku, port 80 je otevřený, když zevnitř, port 80 je "filtered".

Jak na to? Díky.

Re: iptables
(link)
2.8.2007 10:26
Ondřej Čečák (TEAM)
Věk: ( ~35 let)

Funguje to z celého světa, jenom ne z té vnitřní sítě, v níž sídlí stroj Bp.

Z vnitrni site to fungovat nemuze, pokud je pravidlo na vnejsim rozhrani.

Re: iptables
(link)
2.8.2007 10:39
Grumpa
Věk: ( ~58 let)

No, prisli jsme na reseni, ze ve webove aplikaci se budou odkazovat na jmennou adresu a ne na IP. V DNS tuto adresu nasmeruji na vnejsi IP. Na strojich uvnitr site si pak do souboru hosts daji IP Bp a to jeho jmeno.

Na to jak to cele zvladnout jen s IPtables jsme neprisli.

Re: iptables
(link)
2.8.2007 13:36
Ondřej Čečák (TEAM)
Věk: ( ~35 let)

No, prisli jsme na reseni, ze ve webove aplikaci se budou odkazovat na jmennou adresu a ne na IP. V DNS tuto adresu nasmeruji na vnejsi IP. Na strojich uvnitr site si pak do souboru hosts daji IP Bp a to jeho jmeno.

To zni pekne, jenom asi neni duvod davat to napevno do hosts -- DNS server muze odpovidat na dotaz v zavislosti na IP klienta, tzn. z lokalni site dostane IP z privatniho rozsahu, z verejne IP z verejneho.

Na to jak to cele zvladnout jen s IPtables jsme neprisli.

Ve smyslu ze DNAT nefunguje v ramci jednoho rozhrani? Nemam to overene, strilim od boku, ale to se mi trochu nezda ...

Re: iptables
(link)
2.8.2007 15:00
Aleš Hakl
Bydliště: Praha

Pokud je ta sit rozumne mala, tak bych se tem hosts nebranil. Jediny problem muze byt, ze jiste druhy software na hosts kaslou, obvykle takove, ktere z duvodu vykonu pouzivaji vlastni resolver.

Jeden by se ptal, jaky smysl by ten DNAT v ramci jednoho rozhrani mel :) Ono to dost mozna funguje, ale je to dost divne.

Re: iptables
(link)
2.8.2007 22:10
Petr Zajíc
Věk: ( ~48 let)

Čeče, s tím jsem se ještě nesetkal, Já myslel, že co je v hosts je svaté... Člověk se pořád učí. Nedávno mě dojal javovský program, který nešel lokálně spustit, protože název kompu (mail) nebyl uveden v hosts jako "mail 127.0.0.1". NJN, aspoň se nenudíme.

Re: iptables
(link)
3.8.2007 01:12
Aleš Hakl
Bydliště: Praha

No neni, to je proste soubor, ktery umi libc pouzit jako jeden ze zdroju dat pro resolver. Nicmene libc resolver (a vlastne vsechny funkce pro pristup k nejakym sysstemovym databazim) maji neprijemnou vlastnost, ze nejsou thread safe a jsou blokujici a tudiz muze program provadet pouze jedno hledani, existuji aplikace, kde to vadi a tam se to resi nejakou jinou implementaci, ktera typicky na nastaveni libc kasle (uz jenom proto, ze ty NSS moduly stejne pouzit nemuze) a v pripade resolvovani tedy typicky pouziva pouze DNS. Nicmene programy, ktere potrebuji nekam koukat tak casto aby se to vyplatilo zase tak caste nejsou (treba mozilla pouziva libc resolver, coz se projevuje tim, ze pokud jedno resolvovani adresy na necem visi, tak ostatni cekaji, az skonci).

Jinak ohledne toho "mail 127.0.0.1", to neni zrovna dobre. 127.0.0.1 by se melo resolvovat na localhost a 127.0.0.1 na localhost :) Nicmene mnoho programu zcela spravne ocekava ze se hostname na neco da resolvovat (a idealne se to neco resolvuje zpet na hostname), na stroji ze siti je to zrejme - mela by to byt nejaka adresa toho stroje, na systemech bez pripojeni k siti, to muze byt adresa nejakeho dummy rozhrani (coz je principialne loopback, ale s adresou mimo 127/8). Aby se hostname pocitace resolvovalo na 127.0.0.1 je spatne (ale malo cemu to vadi).

Re: iptables
(link)
3.8.2007 15:20
Tomáš "Atom" Klas
Věk: ( ~40 let)

Ve vašem případě musíte překládat i zdrojovou adresu (SNAT)

Příklad:

Řekněme, že máte WWW server na adrese 192.168.1.30. Vnitřní síťovka routeru s firewallem je 192.168.1.1, vnější 1.2.3.4.

Pokud z počítače ve vnitřní síti (např. 192.168.1.100) pošlete paket na 1.2.3.4, dojde na router a DNAT ho správně přeloží na cílovou adresu 192.168.1.30. Paket dorazí na WWW server a ten odpoví na zdrojovou adresu, tj. 192.168.1.100. Pracovní stanici tak přijde odpověď s vnitřní adresy WWW serveru.

Tj. pošlete dotaz ze 192.168.1.100 na 1.2.3.4 a odpověď dojde z 192.168.1.30, což je špatně.

Na routeru musíte překládat i zdrojovou adresu (192.168.1.100) na vnitřní adresu routeru (192.168.1.100), aby odpovědi WWW serveru chodily také přes router. (Zpětný překlad adres u udpovědi už bude fungovat automaticky.)

Re: iptables
(link)
3.8.2007 15:26
Tomáš "Atom" Klas
Věk: ( ~40 let)

oprava:
... vnitřní adresu routeru (192.168.1.1) ...


Nevýhoda je, že na WWW serveru se nedozvíte původní adresu počítače z vnitřní sítě. To by šlo obejít IP tunelem, což je poněkud složitější záležitost.

DISKUZE

iptables 2.8.2007 06:55 Grumpa
  |- Re: iptables 2.8.2007 10:26 Ondřej Čečák
  | L Re: iptables 2.8.2007 10:39 Grumpa
  |   L Re: iptables 2.8.2007 13:36 Ondřej Čečák
  |     L Re: iptables 2.8.2007 15:00 Aleš Hakl
  |       L Re: iptables 2.8.2007 22:10 Petr Zajíc
  |         L Re: iptables 3.8.2007 01:12 Aleš Hakl
  L Re: iptables 3.8.2007 15:20 Tomáš "Atom" Klas
    L Re: iptables 3.8.2007 15:26 Tomáš "Atom" Klas




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

20.9.2018 10:04 / Jan Ober
Jaký kurz a software by jste doporučili pro začínajcího kodéra?

20.9.2018 10:00 / Jan Ober
Re: Gimp

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2021) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze