BG Development


Страници: (2) 1 [2]   ( Първото ново мнение ) Reply to this topicStart new topicStart Poll

> NFTABLES redirect 80 to 8080
gat3way
Публикувано на: 08-10-2017, 15:54
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2032
Регистриран на: 22.06.12



Одма де. Проблемът е във "входната точка" така да го наречем, тя не е "incoming packet", а "locally-generated packet", от другата страна на диаграмата. Оттам започва всичко когато тръгнеш да установяваш TCP връзка до порт 80 на локалхост и пратиш SYN пакета. Той не минава изобщо през прерутинг чейна. Като резултат - ако имаш нещо дето слухти на 80-ти порт, ще достъпиш него. Ако нямаш - ще ти се върне RST. От друга страна, ако някой хост отвън реши да достъпи услугата на 80-ти порт, dnat-а ще сработи.

Има и други забавни казуси, свързани с dnat-ването, примерно какво става ако dnat-неш към друг хост от същия събнет и трети хост, пак от този събнет реши да го достъпи, тогава пак ще се случи случка. Ама тази случка не е предмет на тази тема.
PMEmail Poster
Top
thrawn
Публикувано на: 08-10-2017, 16:05
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1274
Регистриран на: 17.01.17



Локално генериран пакет на тая диаграма описва пакет които тръгва от локално приложение. Когато се касае за вътрешен трафик началната и кррайната точка са свързани, но през loopback интерфейсът.

Нямаш ли машина с iptables да тестваш, щом не си вярваш на графиките и на статистиката която постна Bender.
PMEmail Poster
Top
gat3way
Публикувано на: 08-10-2017, 16:07
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2032
Регистриран на: 22.06.12



Е curl-а на Bender какво е icon_smile.gif

Имам машина да тествам разбира се.
PMEmail Poster
Top
thrawn
Публикувано на: 08-10-2017, 16:13
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1274
Регистриран на: 17.01.17



Ми тествай де. Аз утре ще пусна тест щото сега няма на какво.
Иначе curl -a си стига до dnat-ът (нали има постъпили пакети по правилото) ама какво не е наред в неговия случай не знам (не съм ползвал тоя звяр дето той си играе с него).

Иначе, преди няколко дена правих точно локален dnat заради тая тъпотия на нап (ползвам banshee за да слушам музика а той пуска някакъв сървиж на порта дето тия от нап ползват).
PMEmail Poster
Top
gat3way
Публикувано на: 08-10-2017, 16:20
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2032
Регистриран на: 22.06.12



Не съм мазохист, достатъчно пъти съм настъпвал тая мотика: )
PMEmail Poster
Top
thrawn
Публикувано на: 08-10-2017, 16:25
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1274
Регистриран на: 17.01.17



Е какво има да си мазохист

CODE
nc -l 5555


И съответно
CODE
iptables -t nat -A PREROUTING --dport 9999 -j DNAT --to-port 5555

CODE
nc 9999


Може да съм оакал синтаксиса нещо но в общи линии е това. Вместо DNAT може да се ползва и REDIRECT

Това мнение е било редактирано от thrawn на 08-10-2017, 16:26
PMEmail Poster
Top
gat3way
Публикувано на: 08-10-2017, 19:03
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2032
Регистриран на: 22.06.12



Абе понеделник е утре, значи имай малко търпение и пробвай сам да видиш какво ще стане. Искаш сега да се караме за глупости icon_smile.gif
PMEmail Poster
Top
Bender
Публикувано на: 08-10-2017, 20:48
Quote Post



Име:
Група: Форумен член
Ранг: Почетен член

Мнения: 4993
Регистриран на: 19.06.14



1. Втора книга на пророк Ездра, - син на Сераия, син на Азария, син на Хелкия, син на Шалума, син на Садока, син на Ахитува,
2. син на Ахия, син на Финееса, син на Илия, син на Амария, син на Асиела, син на Мераиота, син на Арна, син на Узия, син на Ворита, син на Авишуя, син на Финееса, син на Елеазара,
3. Ааронов син от Левиево коляно, - който бе пленник в Мидийската земя през царуването на Артаксеркса, персийски цар.
4. Биде слово Господне към мене:
5. иди и възвести на Моя народ злите им дела и на синовете му - беззаконията, които са извършили против Мене, за да възвестят на синовете на своите синове,
6. защото греховете на родителите им се намножиха в тях: като Ме забравиха, те принасяха жертви на чужди богове.
7. Нали Аз ги изведох из Египетската земя - из дома на робството? А те Ме разгневиха и съветите Ми презряха.
8. Острижи косата на главата си и хвърли върху тях всичкото зло, защото те не слушаха Моя закон, - необуздан народ!
9. Докога ще търпя тия, на които съм сторил толкова благодеяния?
10. Заради тях свалих много царе; поразих фараона с робите му и с цялата му войска;
11. всички езичници изтребих от лицето им, и на изток разпръснах народа на двете области Тир и Сидон, и всичките им врагове изтребих.
12. А ти тъй им речи: тъй казва Господ:
13. Аз именно ви преведох през морето и по дъното му прокарах за вас оградена улица, дадох ви за вожд Моисея и за свещеник Аарона,
14. дадох ви светлина в огнен стълб, и много чудеса извърших между вас; а вие Ме забравихте, казва Господ.
15. Тъй казва Господ Вседържител: пъдпъдъците бяха вам за личба. Аз ви дадох станища за защита, но вие и там роптахте,
16. и не се радвахте в Мое име, че погинаха вашите врагове, но дори досега още роптаете.
17. Де са ония благодеяния, които ви сторих? Нали в пустинята, когато вие, изгладнели, викахте към Мене,
18. думайки: защо ни доведе в тая пустиня? да ни измориш ли? по-добре да слугуваме на египтяни, отколкото да измрем в тая пустиня, -
19. Аз се смилих над вашите охкания, дадох ви мана за храна, и вие ядохте ангелски хляб?
20. Когато жадувахте, не разсякох ли Аз камъка, и води потекоха до насита? От жегата с дървесни листа ви покривах.
21. Поделих ви тлъсти земи; прогоних от лицето ви хананейци, ферезейци и филистимци. Какво още да сторя за вас? казва Господ.
22. Тъй казва Господ Вседържител: когато бяхте в пустинята, при река Мера, и ожъднели хулехте Моето име,
23. Аз не пратих огън върху вас заради богохулствата, но турих дърво във водата и направих реката сладка.
24. Какво да ти сторя, Иакове? Ти не искаше да се покоряваш, Иудо. Ще се преселя у други народи и ще им дам Моето име, за да пазят законите Ми.
25. Понеже вие Ме оставихте, и Аз ще ви оставя; няма да помилувам ония, които Ми искат милост.
26. Когато Ме призовавате, няма да ви чуя, защото осквернихте с кръв ръцете си, и нозете ви бързат да извършат човекоубийство.
27. Вие като че не Мене оставихте, а себе си, казва Господ.
28. Тъй казва Господ Вседържител: нали Аз ви молих, както баща - синовете си, както майка - дъщерите си и както кърмачка - децата си,
29. да бъдете Мой народ, и Аз - ваш Бог, да бъдете Мои синове, и Аз - ваш баща?
30. Аз ви събрах, както кокошка събира пилците си под своите крила. Какво да ви сторя сега? Ще ви отхвърля от лицето Си.
31. Кога Ми принесете принос, ще отвърна лицето Си от вас, защото вашите празнични дни, новомесечията и обрязанията Аз отхвърлих.
32. Аз ви пратих Моите раби - пророците; вие ги хванахте, умъртвихте и разкъсахте телата им. Аз ще изискам кръвта им, казва Господ.
33. Тъй казва Господ Вседържител: домът ви е пуст. Ще ви разсея, както вятър мекина,
34. и синовете ви няма да имат потомство, защото презряха Моята заповед, и вършеха онова, що е зло пред Мене.
35. Ще предам домовете ви на идещи люде, които, без да са Ме чули, ще повярват, а без да съм показвал личби, ще извършат онова, що съм заповядал,
36. и без да са видели пророците, ще си спомнят беззаконията.
37. Завещавам благодат на идещите люде, чиито деца, без да са Ме видели с плътските си очи, но духом вярващи онова, що съм Аз казал, весело ще тържествуват.
38. И тъй, гледай сега, брате, каква слава; гледай людете, идещи от изток,
39. на които ще дам за вождове Авраама, Исаака и Иакова, Осия и Амоса, Михея и Иоиля, Авдия и Иона,
40. Наума и Авакума, Софония и Агея, Захария и Малахия, наречен още Ангел Господен.



Това мнение е било редактирано от Bender на 07-01-2018, 20:10
PM
Top
thrawn
Публикувано на: 09-10-2017, 07:55
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1274
Регистриран на: 17.01.17



QUOTE (gat3way @ 08-10-2017, 20:03)
Абе понеделник е утре, значи имай малко търпение и пробвай сам да видиш какво ще стане. Искаш сега да се караме за глупости icon_smile.gif

Вярно, че dnat-ът трябва да се направи в OUTPUT веригата
CODE
office@office-desktop:~$ sudo iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 1 packets, 248 bytes)
pkts bytes target     prot opt in     out     source               destination        
   6   360 DNAT       tcp  --  any    any     anywhere             anywhere             tcp dpt:9999 to:127.0.0.1:5555

Chain INPUT (policy ACCEPT 1 packets, 248 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy ACCEPT 12 packets, 804 bytes)
pkts bytes target     prot opt in     out     source               destination        
   2   120 DNAT       tcp  --  any    any     anywhere             anywhere             tcp dpt:9999 to:127.0.0.1:5555

Chain POSTROUTING (policy ACCEPT 14 packets, 924 bytes)
pkts bytes target     prot opt in     out     source               destination


Първото правило е динстанционен тест а второто локален.
PMEmail Poster
Top
gat3way
Публикувано на: 09-10-2017, 08:50
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2032
Регистриран на: 22.06.12



Е защо да лъжа icon_smile.gif

Макар че да де - по-близо до нормалната логика е това втори път да го разглеждаш като пристигащ пакет и да мине по цялата логика там съответно прерутинга. То сигурно може и така, обаче ако се замислиш, всякакви безумни казуси могат да се сътворят така. Например ако беше така и зациклиш нещата с dnat правилата (80 отива към 8080, а 8080 към 80) на теория пакетите вечно ще се въртят наляво-надясно - понеже нямa логика да им се намалява TTL-а при това положение.
PMEmail Poster
Top
1 потребители преглеждат тази тема в момента (1 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Страници: (2) 1 [2]  Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2015 | BG Development | All Rights Reserved
RSS 2.0