Přesměrování portu 8080 na port 80 v nftables

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #30 kdy: 05. 03. 2022, 11:02:17 »
Tak se pokusím znovu. Na WAN interfejsu mám nahozenou maškarádu a potřebuji port 8080 přesměrovat na port 80 za tímto překladem adres. Port 8080 musí být dostupný/otevřený a port 80 ne.
Přišel jsem si zde pro konkrétní radu a spousta teorie je pro mě zbytečná, protože se tím neživím a za měsíc to stejně zapomenu.

Stačí napsat:
- tohle přidej pro nahození nftables
- případně toto zmeň nebo přidej v /etc/sysctl.conf
- taky nezapomeň na ..... atd.

Za tohle rád poděkuji a budu vděčný.


Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #31 kdy: 05. 03. 2022, 11:35:07 »
Přišel jsem si zde pro konkrétní radu a spousta teorie je pro mě zbytečná, protože se tím neživím a za měsíc to stejně zapomenu.
Najděte si někoho, kdo vám to nakonfiguruje a bude spravovat. Firewall a NAT není něco, co by šlo jen tak nastavit podle rad na internetu, aniž byste tomu rozuměl, a dál se o to nestarat.

Tak se pokusím znovu. Na WAN interfejsu mám nahozenou maškarádu a potřebuji port 8080 přesměrovat na port 80 za tímto překladem adres. Port 8080 musí být dostupný/otevřený a port 80 ne.
Přesně takhle se přece chová příklad, který jste sám posílal. Já bych jenom ten port 80 přesměroval na jiný por, než zrovna 8080, ať to není matoucí. Na libovolný port, kde nic nenaslouchá.

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #32 kdy: 05. 03. 2022, 12:14:50 »
Jinak jediné rozumné řešení je samozřejmě vykašlat se na nějaký NAT a nakonfigurovat tu aplikaci, aby neposlouchala na portu 80, ale na portu 8080.

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #33 kdy: 05. 03. 2022, 22:31:52 »
Takže podtrženo a sečteno, ještě že jsem si to vyřešil sám, i když jsem si díky vašim zacykleným radám myslel, že to snad umíte lépe.

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #34 kdy: 06. 03. 2022, 05:27:43 »
vsechny filipovy rady zde jsou validni. neradi tim vlastne jen tobe ale vsem kdo budou mit podobny problem, za me palec nahoru a dekuju


Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #35 kdy: 06. 03. 2022, 10:53:11 »
Poradil mi přesměrování na localhost a to nefungovalo, nebo použít přímo port 8080, což v zadání nemám a takhle to nechci.

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #36 kdy: 06. 03. 2022, 11:08:11 »
Poradil mi přesměrování na localhost a to nefungovalo
Firewall a NAT fungoval. Jenže vy jste nenastavil správně další věci, které jsou potřeba, aby to fungovalo. Navíc já jsem vám poradil celkem minimálně 4 způsoby, jak to vyřešit.

což v zadání nemám a takhle to nechci.
Problém je právě v tom, že jsou to tři různé věci – co potřebujete vyřešit za problém, co chcete, a na co se ptáte. Co potřebujete vyřešit za problém nevíme vůbec, co chcete mlhavě tušíme.

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #37 kdy: 06. 03. 2022, 14:35:27 »
Tak to napíšu potřetí. Na WAN interfejsu mám nahozenou maškarádu a potřebuji port 8080 přesměrovat na port 80 za tímto překladem adres. Port 8080 musí být dostupný/otevřený a port 80 ne.

Rád bych se dozvěděl vaše čtyři způsoby, jak to vyřešit.

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #38 kdy: 06. 03. 2022, 15:53:10 »
Mám li vycházet z předchozího příspěvku: Maškaráda dělá 2 věci, že mění adresy spojením zevnitř ven a defacto s tím nesouvisí(možná až na to, že zároveň vytvořit spojení zvenku dovnitř, což není přímo důsledek maškarády, ale obvyklého setupu s maškarádou ,například FORWARD povolen jen ve směru  zevnitř ven & ctstateRELATED+EST obráceně). Vy řešíte, jestlitomu dobře rozumím spojení zvenku dovnitř.

A to  řeší tabulka pravidlo DNAT/REDIRECT (a ty jdou ostatně jen v tabulce NAT a ta nabízí se jen chain PREROUTING).

Je to prosté, pravidlo bude mít --source-port 8080 (to je číslo cílového portu co než to dorazí do routeru) a --to(-port) bude (127.0.0.1):80 (přepíšu to aby to nebylo na prasáka: -j DNAT --to 127.0.0.1:80, ale jak jsem psal, je lepší -jREDIRECT --to 80)

DNAT v tomtopřípadě bych nepoužil, protože vyžaduje rovnák na ohejbák (že pakety obvykle požere rpfilter nebo že FORWARDOVÁNÍ MEZI loopbackem se nedělá) - REDIRECT je lepší volba (ostatně --to je jen číslo portu)
« Poslední změna: 06. 03. 2022, 15:55:36 od mikesznovu »

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #39 kdy: 06. 03. 2022, 19:05:48 »
Tak to napíšu potřetí. Na WAN interfejsu mám nahozenou maškarádu a potřebuji port 8080 přesměrovat na port 80 za tímto překladem adres. Port 8080 musí být dostupný/otevřený a port 80 ne.

Rád bych se dozvěděl vaše čtyři způsoby, jak to vyřešit.
Nemusíte to psát potřetí. Stačí, když to napíšete jednou, ale pořádně. Co znamená „za tímto překladem adres“? Ta aplikace na portu 80 běží na stejném zařízení, kde je NAT (tedy vaše maškaráda, a teď k tomu potřebujete přidat ještě DNAT), nebo na jiném zařízení? Já si zkusím zavěštit, že je to ta druhá varianta, a celou dobu to před námi tajíte – tedy že máte třeba nějaký domácí router, tam děláte NAT – a někde v domácí síti máte server, kde běží nějaký web, který má být z venku dostupný na portu 8080.

Varianta č. 1, pro vás jediná reálná – najedete si někoho, kdo tomu rozumí, ať vám to nakonfiguruje.

Varianta č. 2, nejlepší z hlediska sítě –  ten web server na domácím serveru nakonfigurujete, aby běžel na portu 8080, na routeru uděláte DNAT, který bude měnit jenom IP adresu cíle, port zůstane neměnný.

Varianta č. 3 – web server necháte na tom portu 80, na NATu uděláte pravidlo, že když je cílová IP adresa IP adresa WAN portu routeru a cílový port 8080, přesměrujete paket na IP adresu serveru a port 80.

Varianta č. 4 měla význam jenom v případě, kdy byl NAT na stejném počítači, jako webový server. Jak jste to celou dobu uváděl.

Všimněte si, že v žádné z variant neřešíte pakety přicházející na port 80 na tom NATu. protože na něm nic neposlouchá, není tam nastavené ani žádné přesměrování, takže se sám OS postará o odpověď, že tam nic není. A nemusíte to nijak řešit.

Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #40 kdy: 06. 03. 2022, 19:12:27 »
pravidlo bude mít --source-port 8080 (to je číslo cílového portu co než to dorazí do routeru)
Ne, source je zdrojový port. Při DNATu se pro klasické TCP/IP protokoly, jako např. HTTP, chcete rozhodovat podle čísla cílového portu, ne zdrojového – ten je obvykle volen náhodně.

DNAT v tomtopřípadě bych nepoužil, protože vyžaduje rovnák na ohejbák (že pakety obvykle požere rpfilter nebo že FORWARDOVÁNÍ MEZI loopbackem se nedělá) - REDIRECT je lepší volba (ostatně --to je jen číslo portu)
Ty vaše komentáře jsou taková snůška pravdivých tvrzení, nesmyslů a vět, jejichž význam mi uniká. Rozdíl mezi REDIRECTEM a DNATem v iptables je ten, že REDIRECT mění IP adresu cíle na IP adresu aktuálního počítače. Je to tedy opak maškarády – nespecifikujete, na jakou IP adresu se má adresa v paketu přepisovat. Výhodné je to třeba když máte dynamicky přidělované IP adresy. DNAT je naproti tomu obecný, jste to vy, kdo určuje cílovou IP adresu i port. Ovšem musíte je uvést (alespoň jedno z toho) – no, a když bude mít zařízení dynamickou IP adresu, budete ji muset vždy nejprve zjistit a pak do pravidel nastavit správnou IP adresu.

robin martinez

  • *****
  • 1 138
  • Have you hugged your toilet today?
    • Zobrazit profil
    • Null Storage
    • E-mail
Re:Přesměrování portu 8080 na port 80 v nftables
« Odpověď #41 kdy: 07. 03. 2022, 06:33:06 »



vykasli se na nej, tohle je uz trolling :)
One machine can do the work of fifty ordinary men. No machine can do the work of one extraordinary man.

I do Linux, Hardware and spaghetti code in PHP, Python and JavaScript