Příspěvky

1

Sítě / Re:Přesměrování UDP přes iptables

« kdy: 05. 04. 2024, 22:59:47 »

Kód: [Vybrat]

iptables -t nat -I PREROUTING  -i <ETH_S_KLIENTY> -p udp --dport <NASLOUCHAJICI_PORT_ROUTERU> -j DNAT --to <IP_SERVERU>:<PORT_SERVERU>
iptables -t nat -I POSTROUTING -o <ETH_K_SERVERU> -p udp --dport <PORT_SERVERU> -j MASQUERADE
Tenhle příklad je o něco spolehlivější, protože nahradí zdrojovou adresu paketů adresou routeru, takže server nemusí umět spojení zpět ke klientovi.
Možná by se to dalo přepsat čistěji s využitím targetu MARK, protože v tomto případě se spoléhá při napasování obou pravidel jen na ten port.
A druhá nevýhoda je, že server uvidí jako IP klientů jen IP routeru, takže věci jako logování nebo fail2ban postrádají na serveru smysl, muselo by se jedině dobastlit na tom routeru.

2

Sítě / Re:Nefunkční routing na WAN v IPv6

« kdy: 13. 01. 2024, 19:50:31 »

Vaše adresy a jejich přiřazení k rozhraním mi přijdou špatně ze dvou důvodů:
1) adresa končící 64 nulovými bity (zápis končící :: se většinou používá jen k pravidlům pro rozsah, třeba ip -6 route... nebo ip6tables),
2) adresa přiděleného rozsahu na WAN rozhraní.
Na WAN ponechte pouze 2a03:3b40:200::xxx/128, která je pouze pro routovací účely od poskytovatele a leží mimo Váš rozsah.
2a03:3b40:xxx:1::/64 změňte na 2a03:3b40:xxx:1::1/64 a dejte na LAN rozhraní. Neobávejte se dostupnosti, tato adresa bude přístupná z veřejného internetu, pokud tomu nezabrání pravidlo v ip6tables.

Ještě mě napadá jedna finta, jak udělat funkční adresu končící nulami - větší rozsah, který má 64 nul uvnitř. Třeba zápisem 2a03:3b40:xxx:3::/63. (Všimněte si, že Vámi zmíněný 2a03:3b40:xxx::/64 je tím nedotčený, proto ta trojka místo jedničky.) To ale nemůže fungovat s radvd, které vyžaduje /64. Je to prostě akorát na zkoušku a v praxi prasárna. Zkuste to podle prvního odstavce a určitě to půjde. Držím palce!