Příspěvky

3016

Sítě / Re:IPtables a zařízení za NAT

« kdy: 13. 08. 2018, 19:12:22 »

Tak som si to checkol, ospravedlnujem sa..Ano treba robit aj SNAT/MASQUERADE  na odchadzajucom interfacy smerom do vnutornej siete.. Povodne MASQUERADE pravidlo sa aplikuje na nove spojenia smerom zvnutra, cize toto spojenie nijako neovplyvni..

Ano, tak je to správně. O přepsání cílové adresy paketu, který je odpovědí na paket, na kterém byl proveden DNAT, se postará samotné jádro. Jedině to má totiž dostatek informací.

Cize aby to fungovalo musis robit na routri v  PREROUTINGu DNAT na vnutornu IP a nasledne v POSTROUTINGU SNAT alebo MASQUERADE.

Nesmysl. Výše jsem to vysvětloval, vyzkoušejte si to. Na to, abyste dělal reverzní NAT, nemáte k dispozici potřebné informace. Když jádro dělá SNAT, mění zdrojovou IP adresu, ale také může změnit zdrojový port! Představte si, že máte v privátní síti dva počítače, které se oba rozhodnou přes váš NAT (SNAT, maškarádu) připojit pomocí HTTPS protokolu na portu 443 na server 1.1.1.1. Cílová dvojice adresa:port tedy bude v obou případech 1.1.1.1:443, zdrojová IP adresa bude po SNATu veřejná IP adresa routeru – ale čtveřice zdrojové a cílové IP adresy a portů identifikuje TCP/IP spojení, nemohou zároveň existovat dvě spojení, která budou mít tyto údaje stejné. Takže SNATu nezbývá, než jeden z těch odchozích portů změnit. Kdybyste pak u příchozích paketů dělal DNAT ručně, jak byste věděl, který port patří kterému počítači v privátní síti?

Takže když děláte SNAT nebo maškarádu, definujete jen pravidla pro odchozí pakety a jádro samo automaticky aplikuje reverzní pravidla na příchozí pakety (a případně samo mění port podle toho,jak ho změnilo u odchozího paketu). No a DNAT se chová úplně stejně, například protože by bylo nesmyslné, aby se to pro DNAT chovalo jinak, než pro SNAT.

3017

Sítě / Re:IPtables a zařízení za NAT

« kdy: 13. 08. 2018, 15:15:58 »

Hele, proč se používá SNAT ručně nastavená pravidla místo kratšího:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Aby pravidla byla jasnější a bylo to přehlednější?
Nebo pro to jsou bezpečnostní důvody?

Protože u maškarády vybírá odchozí IP adresu jádro. Pokud máte na odchozím rozhraní jedinou IP adresu, je to jedno. Pokud jich tam ale máte víc, typicky chcete určit, za kterou IP adresou bude ta maškaráda schovaná. Třeba síť uživatelských PC schováte za jednu IP adresu, ale server schováte za jinou, protože nechcete, aby se ta IP adresa serveru dostala na blacklist, pokud bude nějaké uživatelské PC škodit a třeba rozesílat spam.

3018

Sítě / Re:IPtables a zařízení za NAT

« kdy: 13. 08. 2018, 15:12:30 »

A do internetu nemůžeš pouštět nic s odchozí adresou 192.168./10.0./172.0/ atd. proto je SNAT taky potřeba.

Jedině pokud ten server, kam se z venku připojuje, chce také navazovat komunikaci do internetu. K tomu, aby byl jen dostupný z internetu (třeba jako SSH server nebo jako HTTPS server) je potřeba nakonfigurovat jenom ten DNAT, protože (jak jsem vysvětloval výše) u paketů v opačném směru dělá linuxové jádro inverzní operaci k SNATu/DNATu samo automaticky.

Stručně řečeno, když potřebujete z privátní sítě na internet, potřebujete jen SNAT. Když naopak chcete přesměrovat veřejnou IP adresu do vnitřní sítě, potřebujete jen DNAT. Pokud chcete, aby ten server byl pod tou veřejnou IP adresou dostupný i z té vnitřní sítě, potřebujete DNAT i SNAT – SNAT proto, aby se paket od serveru vrátil na router/NAT, který provede tu inverzní operaci k DANTu. Bez SNATu odpoví server přímo klientovi v privátní síti, jenže jako odchozí uvede svou privátní IP adresu, zatímco klient navazoval spojení s veřejnou IP adresou. Tím pádem klient dostane odpověď na navázání spojení, které ale nenavazoval (nesedí IP adresa) a paket zahodí jako neplatný.

Ziaden SNAT tam dorabat nemusi (pretoze ho uz ma)..

Nikoli, pro příchozí komunikaci tam žádný SNAT nastavovat nemusí proto, že inverzní operaci k SNATu/DNATu dělá linuxové jádro automaticky. To, že tam má SNAT/maškarádu nemá na příchozí komunikaci na ten server žádný vliv – je to potřeba jenom proto, aby ten server samotný mohl navazovat spojení do internetu (např. kvůli DNS nebo aktualizacím). Kdyby tam SNAT/maškarádu neměl a měl tam jenom DNAT, pořád se z venku na ten počítač připojí.

Když v iptables konfigurujete SNAT, nakonfigurujete změnu zdrojové IP adresy u odchozích paketů a změnu cílové IP adresy u příchozích paketů. Když v iptables nakonfigurujete DNAT, nakonfigurujete změnu cílové IP adresy u příchozích paketů a změnu zdrojové IP adresy u odchozích paketů (směr příchozí/odchozí je z pohledu toho počítače v privátní síti).

3019

Sítě / Re:Iptables a zařízení za NAT

« kdy: 13. 08. 2018, 09:58:41 »

Maškaráda je druh SNATu – SNAT obecně mění zdrojovou IP adresu, maškaráda mění zdrojovou IP adresu konkrétně na IP adresu rozhraní, kterým paket odejde. Takže když používá maškarádu, používá SNAT.

Jenom ještě doplním, že Linuxový NAT se konfiguruje z pohledu toho, kdo navazuje spojení. Technicky, když máte klasickou síť s privátními adresami za NATem a chcete, aby zařízení z té sítě měla přístup do internetu, musíte u paketu, který odchází z té sítě, změnit zdrojovou IP adresu (což je SNAT – source NAT), ale když z internetu přijde odpověď, musí se adekvátně upravit cílová IP adresa, aby se paket dostal v privátní síti k počítači, který poslal požadavek. Technicky se tedy na tom paketu, který přijde jako odpověď, dělá DNAT (destination NAT).

V Linuxu (iptables) se to ale konfiguruje jenom pro ty odchozí pakety jako SNAT (případně jako specifický případ SNATu – maškaráda), a jádro už samo ví, že pro příchozí pakety musí udělat inverzí operaci. Stejné je to pro DNAT – konfiguruje se jen pro odchozí pakety, ale jádro opět ví, že pro příchozí pakety musí udělat inverzní operaci a u příchozích paketů mění inverzně zdrojovou IP adresu.

3020

Sítě / Re:Iptables a zařízení za NAT

« kdy: 13. 08. 2018, 08:43:13 »

Hele, ty tomu rozumíš, musí dávat SNAT když používá maškarádu na kompletní výstup nebo nemusí?
To je asi tak jediné, co se mu na to dá napsat. Mimo to, samotného mě to zajímá.

Jéčko že by něčemu rozumělo?

Maškaráda je druh SNATu – SNAT obecně mění zdrojovou IP adresu, maškaráda mění zdrojovou IP adresu konkrétně na IP adresu rozhraní, kterým paket odejde. Takže když používá maškarádu, používá SNAT.

S problémem nezabezpečeného spojení to vůbec nijak nesouvisí, protože SNAT i DNAT mění jen IP adresy paketů. Chybná konfigurace SNATu nebo DNATu může způsobit, že se spojení naváže se špatným serverem nebo se nenaváže vůbec. Když se ale TCP/IP spojení podaří navázat, nemají příslušná zařízení jak zjistit, že je mezi nimi NAT, pokud si nepředávají přímo IP adresy. Pokud by si předávala přímo IP adresy, asi by to bylo opět kvůli navázání jiného spojení (jako to dělá třeba FTP), ale určitě by to nevedlo na hlášku o nezabezpečeném spojení.

3021

Sítě / Re:Iptables a zařízení za NAT

« kdy: 13. 08. 2018, 07:02:39 »

Pane Jirsáku, prosím, realizujte se někde jinde.

Všem ostatním se omlouvám, nemám s tímto pánem vůbec dobrou zkušenost.
Jinak se samozřejmě jedná o RDP a jsem dost přesvědčený, že je to chybějícím SNATem, který bohužel neumím nastavit.

Váš problém je, že se upnete na nesmysl, ke kterému jste dospěl bůhvíjak, a nenecháte si poradit od zkušenějších. A to se týká obou vašich problémů. Ale když jste přesvědčený, tak jste přesvědčený, já vás o opaku přesvědčovat nebudu.

3022

Sítě / Re:Iptables a zařízení za NAT

« kdy: 12. 08. 2018, 22:03:22 »

Funguje to, ale divně, pořád to vyhazuje chyby o nezabezpečeném spojení.

Co vyhazuje chyby o nezabezpečeném spojení? Webový prohlížeč? Pak to s NATem vůbec nijak nesouvisí – buď tím prohlížečem přistupujete přes HTTP (nešifrovaný protokol), nebo sice používáte HTTPS, ale je v něm něco špatně – slabá šifra, nedůvěryhodný certifikát, nějaké soubory (styly, skripty, obrázky) se stahují přes HTTP.

3023

Studium a uplatnění / Re:C# alebo Java?

« kdy: 11. 08. 2018, 17:17:51 »

ale taky zavadi docela chaoticke zkratkovite zapisy, coz mnohe zacatecniky uvede do dokonaleho transu jako v pripade C#

Lépe bych to nenapsal.

3024

Studium a uplatnění / Re:C# alebo Java?

« kdy: 11. 08. 2018, 12:47:52 »

To samozřejmě chápu, ale nic to nemění na tom, že .NET core se během dvou let stal podle stack overflow čtvrtý nejpopulárnější mezi Frameworks, Libraries, and Tools (1. node.js, 2. angular, 3.react. 4. ..net Core, 5. spring)

A z toho podle vás plyne co? Podle mne je ten výčet nesmyslný, je to jak porovnávat hrušky s moukou a s Big Mac menu.

3025

Studium a uplatnění / Re:C# alebo Java?

« kdy: 11. 08. 2018, 09:08:19 »

Ještě přidávám odkaz přímo na nejpopulárnější frameworky, knihovny a nástroje, za dva roky se stal .NET core čtvrtým nepopulárnějším frameworkem a překonal spring:

Máte v tom trochu hokej. Spring není totéž co Java, Spring je jen jeden z mnoha frameworků pro Javu.

3026

Studium a uplatnění / Re:C# alebo Java?

« kdy: 10. 08. 2018, 09:50:44 »

V Javě je stejně dobré IDE, ne-li lepší, než VS, a to Intellij od české firmy JetBrains. (Jsou to sice rusovíé, ale pražští)

Pokud se VS v poslední době výrazně nezlepšilo, tak je IntelliJ Idea podle mne o dost lepší. JetBrains je česká firma jen o něco více, než je Alza kyperská firma. Vývoj je především v Rusku. V ČR má firma sídlo a administrativu.

3027

Studium a uplatnění / Re:C# alebo Java?

« kdy: 10. 08. 2018, 08:33:18 »

Presne tak jak pisete jsem to ale pochopil. Ja jen toho studenta upozornuju, ze to, ze je Java zdarma je mytus a at na to mysli, pokud by chtěl v Jave rozjizdet vlastní komercni projekty. Mimochodem, soucasti balicku stazeneho zdarma jsou i komercni nastroje, takze kdyz je student omylem pouzije, tak se mu muze stat, ze dostane fakturu od Oraclu.

Druhy mytus je, ze C# predstavuje vendor lock. Frameworky .NET core i Mono jsou multiplatformni, open source a vsechny .NET frameworky maji a vzdy meli updaty zdarma a jejich pouziti bylo take vzdy zdarma. Take si muzete vybrat z nekolika multiplatformnich vývojových prostředí (Visual Studio Code, JetBrains Rider, Visual Studio for Mac a MonoDevelop).

Java zdarma není mýtus. Java je zdarma úplně stejně jako třeba .NET Core. Akorát u té Javy máte víc než jen dvě implementace a oficiální verze od Oraclu je založená na opensource OpenJDK, takže OpenJDK je mnohem bližší OracleJDK než Mono .NET Core. Placená je u Javy rozšířená podpora, stejně jako to funguje u Microsoftu.

Z vašeho srovnání by to vypadalo, že .NET je otevřenější než Java, přitom je to přesně naopak. Primární vývoj Javy je otevřené OpenJDK a existuje více implementací Javy, v případě .NET jsou pokud vím jenom dvě implementace, a to navíc Mono implementuje jenom část.

3028

Studium a uplatnění / Re:C# alebo Java?

« kdy: 10. 08. 2018, 07:17:38 »

Nezměnili se jen komerční balíčky. Placené budou VŠECHNY updaty Java SE 8, ne jen ty komerční. A jestli jsem to dobře pochopil, tak postupně vždy jak výjde nová verze Java SE, tak ta poslední verze bude mít opět zpoplatněné updaty. A to i ty bezpečnostní! Takže pokud někomu běží produkt na Java SE 8 a objeví se v ní kritická chyby ohrožující bezpečnost, tak buď musí převést vše na novější verzi Javy, což u velkýchych korporátních systémů není tak jednoduché a nebo prostě začít platit oraclu.

Ne, chápete to špatně. Aktuální verze OracleJDK/OracleJRE bude nadále zdarma, včetně aktualizací. Platí se za podporu starých verzí – stejně jako třeba u Windows (tam taky to tolik omílané datum konce podpory Windows XP znamenalo konec neplacené podpory, placená podpora běžela déle). Podobně už to funguje dnes, akorát to okno podpory starších verzí zdarma je větší. Dá se očekávat, že na staré verzi Javy budou zaseklé různé velké korporátní aplikace, kde by byla úprava náročná – je logické, že z toho Oracle také chce něco mít, a majitelé těchhle aplikací nebudou mít problém za podporu platit.

Nebo-li všechny updaty OracleJRE 8 / OracleJDK 8 budou placené až v době, kdy aktuální verzí bude Java 11 (která bude opět s dlouhodobou podporou). Studenta to tedy fakt nemusí trápit, protože je v jeho vlastním zájmu nezaseknout se navždy na Javě 8 ale používat vždy aktuální verze. Mimochodem, když tady pořád operujete s Javou 8, připomínám, že aktuální je Java 10.

3029

Software / Re:Práce ičo a kopírovaný software?

« kdy: 09. 08. 2018, 17:38:55 »

Mě by zajímalo, jestli je legální koupit licence bez IČ na faktuře a používat ho soukromě a později i k podnikání, až IČ budu mít.

Obecně ano, protože obecně je licence přenositelná. Ale konkrétní licenční podmínky to mohou omezit – např. studentskou licenci omezí tak, že ji může používat jen student, a když přestane být studentem, přestane splňovat podmínky licence. Zrovna rozlišování mezi soukromým a komerčním využitím je u licencí celkem běžné.

3030

Software / Re:Práce ičo a kopírovaný software?

« kdy: 09. 08. 2018, 16:24:07 »

Ahoj, pokud zaměstnanec má na svém počítači kopírovaný software a nešíří ho dál, tak je to legální, to vím.

To víte špatně. Pro každé použití softwaru potřebujete mít licenci.