Příspěvky

661

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 05. 03. 2022, 12:14:50 »

Jinak jediné rozumné řešení je samozřejmě vykašlat se na nějaký NAT a nakonfigurovat tu aplikaci, aby neposlouchala na portu 80, ale na portu 8080.

662

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 05. 03. 2022, 11:35:07 »

Přišel jsem si zde pro konkrétní radu a spousta teorie je pro mě zbytečná, protože se tím neživím a za měsíc to stejně zapomenu.

Najděte si někoho, kdo vám to nakonfiguruje a bude spravovat. Firewall a NAT není něco, co by šlo jen tak nastavit podle rad na internetu, aniž byste tomu rozuměl, a dál se o to nestarat.

Tak se pokusím znovu. Na WAN interfejsu mám nahozenou maškarádu a potřebuji port 8080 přesměrovat na port 80 za tímto překladem adres. Port 8080 musí být dostupný/otevřený a port 80 ne.

Přesně takhle se přece chová příklad, který jste sám posílal. Já bych jenom ten port 80 přesměroval na jiný por, než zrovna 8080, ať to není matoucí. Na libovolný port, kde nic nenaslouchá.

663

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 04. 03. 2022, 16:49:33 »

tato rada, prolínající se přes několik stran tohoto vlákna, mi od pana Jirsáka nepomohla

Já jsem v předchozím komentáři psal o routovacích tabulkách, psal jsem o rp_filteru. Nějak tu nevidím výpis vašich routovacích tabulek a rp_filteru. Jak vám asi můžu poradit, když tajíte informace, které jsou k vyřešení problému potřeba? V tom posledním výpisu, který jste sem dával, s největší pravděpodobností nestojí za filtrování paketů firewall. Což byste ostatně mohl ověřit třeba tím, že změníte výchozí politiku INPUTu z DROP na REJECT. Jsem přesvědčený, že se na výstupu nmapu nic nezmění a dál bude ukazovat filtered, přestože komunikaci aktivně odmítnutou REJECTem označuje jinak. Třeba pak konečně uvěříte tomu, že ty pakety nezahazuje firewall v INPUTu.

Stále jsem neblíže v tom NATování "do kříže"

Vždyť to je to, co chcete, ne? Ono by hodně pomohlo, kdybyste konečně napsal, jaký problém vlastně řešíte.

jenže v iptables mi stačilo povolit logičtější port 8080 než v nftables port 80

Nikoli, iptables i nftables se chovají stejně. Paket prochází pořád stejným způsobem, rozdíl mezi iptables a nftables je jenom v samotném nástroji, který v konkrétním chainu vyhodnocuje pravidla.

Zatím si to zkouším na tomhle portu, ale využití bude pro jiné.

Pokud potřebujete poradit s tím, jak váš problém vyřešit, to nejrozumnější, co můžete udělat, je konečně ten problém popsat. Hádání na slepo, co asi chcete, nikam nevede.

664

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 04. 03. 2022, 15:54:56 »

Ale PRE/POSTROUTING se neuplatňuje když se připojuješ na lokální server.

Není mi úplně jasné, co myslíte tím „připojovat se na lokální server“, nicméně my se bavíme o naprosto běžné situaci, kdy pakety přišly normálně ze sítě a míří na aktuální zařízení. Drtivá většina případů, kdy aplikace běží na vysokém portu, aby nemusela mít práva roota (dříve, nebo když se nepoužívají capabilities), a z venku má být dostupná na standardním portu, se řeší právě takhle DNATem (přepisem portu) na cílovém zařízení.

Mimochodem, REDIRECT a DNAT nejdou v INPUT a OUTPUT , je nějak možné docílit analogické změny portu v těchto chainech. ?

Ne, k tomu právě slouží PREROUTING. Je potřeba to rozlišovat, iptables i nftables je víc věcí spojených do jedné – nás zajímá firewall a NAT. Firewall slouží k blokování paketů (ACCEPT, REJECT, DROP), NAT k jejich modifikaci (např. DNAT, SNAT – ale jde tam použít i DROP či REJECT, což by do NATu vlastně patřit nemělo). Firewall se konfiguruje v tabulce filter (je výchozí) má chainy INPUT, OUTPUT, FORWARD. NAT se konfiguruje v tabulce nat a má chainy PREROUTING, POSTROUTING a také OUTPUT, aby v tom byl dostatečný zmatek. Dále existuje třeba ještě tabulka mangle, která má zase své chainy.

Kdo DNATUJE na 127.0.0.1 se zlou se potáže

Nemyslím si. Stačí zhruba chápat, jak síťový stack v linuxu funguje.

"zachytil" to totiž_rp_filtr

Vždyť jsem to psal, že je rp_filter jeden z kandidátů na prověření, jestli to neblokuje.

665

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 04. 03. 2022, 12:56:00 »

To, aby Apache běžící na portu 80 nebyl z venku viditelný na portu 80 vám přece zařídila ta předchozí konfigurace, kde jste port 80 DNAToval na port 8080. Myslel jsem, že vám jde o to.

V tomhle případě jde podle mne ještě o to, jak vypadají routovací tabulky a možná rp_filter. Tím DNATem vyrobíte paket, který má odchozí IP adresu někde v internetu a cílovou loopback. Takový paket se normálně nemůže na počítač doručit, takže je možné, že se pro něj nenajde správné pravidlo v routovacích tabulkách, nebo že neprojde přes rp_filter, pokud ho máte zapnutý, nebo možná ještě přes nějakou jinou kontrolu. Pokud tohle nechcete řešit a chcete se vyhnout tomu přesměrování paketů na loopback, nechcete port 80 DNATovat (jako jste to dělal v předchozím příkladu) a chcete zabránit tomu, aby se někdo z venku mohl připojit i na ten port 80 (nechápu proč, když to stejně vystavujete na portu 8080, ale budiž), můžete příchozí provoz na port 80 dropovat už v PREROUTING. Je to sice netypické, ale jde to (a někdy se to používá, hlavně při omezování silného provozu, když je snaha paket zahodit co nejdřív, ať se mu nemusí věnovat další části systému).

666

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 04. 03. 2022, 11:10:45 »

Takhle to je bez následného zákazu portu 80

Žádný „následný zákaz portu“ v netfilteru neexistuje. Porty „zakazujete“ v chainu INPUT, kde se ta pravidla prochází jendo po druhém, dokud nějaké pravidlo nevyhoví. Nezáleží na tom, zda jste to pravidlo do chainu vložil dřív nebo později, než pravidlo pro NAT. Pořadí zpracování PREROUTING, INPUT, OUTPTU, FORWARD, POSTROUTING  je pevně dané tím, jak paket prochází síťovým stackem – vy to pořadí nemůžete nijak ovlivnit. Dával jsem vám sem i odkaz na dokumentaci, kde je ten průchod paketu schematicky znázorněný.

ale stejně bych čekal, že povolený port by měl být 8080, ale to se chová jinak

Ano, chová se to tak, jak jsem napsal už asi desetkrát. DNAT se dělá v PREROUTING a ten se provádí dřív, než INPUT.

Takže příchozímu paketu s cílovým portem 8080 se změní cílový port na port 80. Teprve pak jde paket do INPUTu. Tam prochází jednotlivá pravidla, až narazí na povolení portu 80, takže je propuštěn dál.

Příchozímu paketu s cílovým portem 80 se změní cílový port na port 8080. Pak jde paket do INPUT chainu, prochází všechna pravidla, žádné pravidlo nevyhoví, tak se uplatní politika chainu, která je DROP, takže se paket zahodí.

Jediná věc, která není zřejmá, jsou ta dvě NATovací pravidla, protože pakety, které odpovídají prvnímu pravidlu, po provedení NATu odpovídají i druhému pravidlu. Naštěstí pro vás se NetFilter chová buď tak, že první pravidlo, kterému paket vyhoví, procházení ukončí, nebo že se proti pravidlům vyhodnocuje vždy ten původní paket (nechce se mi hledat, která varianta platí – nikdy jsem takovéhle zašmodrchání NATu nepotřeboval).

667

Server / Re:Postfix hlásí hostname does not resolve to address při odesílání

« kdy: 04. 03. 2022, 08:52:10 »

Vy serveru na nějaké IP adrese předáváte e-mail k odeslání. Dál do internetu se e-mail může odesílat ze stejné IP adresy, ale nemusí. Tipoval bych, že se spíš odesílají z jiné IP adresy – kdyby se odesílaly z této IP adresy, nejspíš by se jich většina nedoručila kvůli antispamovým kontrolám.

Pokud se e-maily skutečně posílají z jiné IP adresy, nemá ten chybějící reverzní záznam žádný vliv na antispamové kontroly – přijímajícím serverům je jedno, odkud server vašeho ISP dostal e-mail k doručení, zajímá je jenom komunikace s tím serverem ISP.

Také záleží na tom, zda ta IP adresa, kterou jste přepsal na 1.2.3.4, není z privátních rozsahů – pak by bylo komplikované nastavovat pro ni reverzní záznam. Pokud je to veřejná IP adresa a běží na ní služba (minimálně ta služba mail submission tam běží), měl by existovat reverzní DNS záznam. To znamená, že pokud není nějaký objektivní důvod, proč tam reverzní záznam není, je považováno za chybu, že tam není. Na druhou stranu, nikdo z venku nedokáže posoudit, jaké důvody tam jsou nebo nejsou, takže by neměl spoléhat na to, že ten reverzní záznam bude existovat a neměl by vyhodnocovat jako chybu, když neexistuje. Což se třeba při doručování e-mailů hromadně porušuje a e-maily z IP adres, které nemají správný reverzní DNS záznam, se odmítají. Ale jak jsem psal, nemusí to být případ vašeho ISP, protože e-maily může posílat z jiné IP adresy, než na jaké je přijímá. Na druhou stranu, pokud je to malý ISP a jste první, kdo tuhle službu chce použít, je možné, že se na tu chybu jenom zatím nepřišlo.

668

Windows a jiné systémy / Re:Odesílání emailu z aplikace která neumí zabezpečení SSL/TLS ani STARTTLS.

« kdy: 02. 03. 2022, 22:04:04 »

E-MailRelay jsem taky našel. Bohužel je v 64bit verzi, já potřebuji 32bit verzi.

Já tedy na stránce pro download vidím i verzi označenou w32 a dokonce i winxp.

669

Windows a jiné systémy / Re:Odesílání emailu z aplikace která neumí zabezpečení SSL/TLS ani STARTTLS.

« kdy: 02. 03. 2022, 21:13:41 »

Použijte program, který bude dělat SMTP relay. Nevím, zda existuje něco takového zdarma přímo pro Windows. Na linuxu by to určitě zvládl Postfix (i když je to kanón na vrabce), třeba by šel provozovat pod WSL2. Nebo podle mne existují provozovatelé provozující SMTP relay jako službu – ale je otázka, zda nebudou vyžadovat STARTTLS.

Pokud byste chtěl hodně hackerské řešení, které nejspíš častěji nebude fungovat než bude, tak TSL kanál k serveru můžete otevřít pomocí openssl s_client. Pak byste do toho kanálu musel přesměrovat komunikaci té aplikace, k čemuž by se asi dal použít ncat. Ale pokud takhle chcete poslat víc než dva e-maily, nešel bych do toho.

670

Vývoj / Re:Číselné typové parametry a type erasure

« kdy: 26. 02. 2022, 13:43:04 »

úplně stejně, jako k jiným generickým parametrům

K těm to v případě type erasure za běhu nejde vůbec.

No právě.

671

Vývoj / Re:Číselné typové parametry a type erasure

« kdy: 26. 02. 2022, 12:40:23 »

Záleží na tom, o jakém jazyku píšete. Když se ptáte takhle obecně, dá se na to odpovědět akorát tak, že se k nim přistupuje úplně stejně, jako k jiným generickým parametrům.

672

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 25. 02. 2022, 19:15:47 »

Mám funkční řešení

Když si to myslíte…

Potřebuji to pro více služeb a nebudu je pouštět pouze na localhostu, protože v místní síti je potřebuji mít dostupné na defaultních portech a nebudu dělat několika-násobný NAT do různých subnetů.

Takže můžeme očekávat další záplavu dotazů. Nebylo by lepší si nastudovat, jak Netfilter funguje?

673

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 25. 02. 2022, 16:28:50 »

Když použiji tohle pravidlo

Kód: [Vybrat]

ip daddr 192.168.1.22 tcp dport 8080 dnat 192.168.1.22:80

tak mám port 8080 otevřený a když tohle

Kód: [Vybrat]

ip daddr 192.168.1.22 tcp dport 8080 dnat 127.0.0.1:80

tak port 8080 není otevřený, takže to co radíte, tak nefunguje.

Takže ta aplikace poslouchá na 192.168.1.22:80 a neposlouchá na 127.0.0.1:80. Co vám radím? No to je jedoduché, když chcete, aby ta aplikace naslouchala na 127.0.0.1:80 a ne na 192.168.1.22:80, tak ji tak nakonfigurujte. Vůbec nejlepší bude, když ji nakonfigurujete, aby naslouchala na portu 8080, když to chcete, a nemusíte pak řešit ten NAT.

Samozřejmě pak také nesmíte mít komunikaci zakázanou na firewallu. Což je další věc – když neumíte firewall nakonfigurovat, je pro vás firewall zbytečný, akorát vám to komplikuje život. Tak ho vypněte a nepoužívejte ho.

Pokud tu aplikaci nakonfigurovat neumíte, tak aspoň napište, o jakou aplikaci se jedná.

Sice mi určitě opět neuvěříte, ale tak to u mě je, i když

Kód: [Vybrat]

curl http://127.0.0.1:80 nebo curl http://192.168.1.22:80

ověří oba porty jako funkční.

Možná neuvádíte všechny informace, možná něco interpretujete špatně. Např. jste vůbec nenapsal, co podle vás znamená „port otevřený“ a „port není otevřený“.

Nejlepší, co můžete udělat, je nakonfigurovat ten web server, ať poslouchá jen na portu 8080, a úplně zrušit firewall i NAT, protože vám jsou stejně k ničemu, jenom vám překáží.

674

Odkladiště / Re:vyskoceni chranice likviduje elektroniku

« kdy: 25. 02. 2022, 14:20:39 »

Podle mne ve skutečnosti dojde k nějakému jinému problému, který způsobí „že se něco stane“ a vedle toho i shodí jistič a chránič. Žehlička, která není vadná, nemůže vyhazovat jistič natož chránič.

675

Server / Re: Co uloží odeslaný mail do Odeslané?

« kdy: 25. 02. 2022, 14:17:27 »

Jak píšou ostatní, řeší to vždy MUA – jak složku Odeslané, tak Draft. Buď klient uloží e-mail do lokální složky (a poštu k odeslání odešle), nebo e-mail uloží do složky na IMAP serveru. Existují rozšíření, která umožňují odeslat e-mail skrze IMAP (IMAP server to pak předá MDA nebo MTA), nebo naopak říci MDA, že si má obsah e-mailu k odeslání vyzvednout přes IMAP (RFC 4468), ale nic z toho pokud vím není široce rozšířené.