@python_beginners
Zart09.08.2016
19:37:46
19:37:46
а, из нюансов. когда ты натишь как сейчас - у твоих вебсерверов в локалке пакеты прилетают с внешними айпишниками
при настройке прокси - айпишники все поголовно будут от прокси. решается либо переносом сбора логов на проксю, либо настройки прокси на разные схемы проброса внешнего адреса для логгирования бакендом
не разрулишь
возьми бумажку, нарисуй на ней несколько компов - внешний клиент, файрволл, внутренний клиент и внутрений сервер
Sergey09.08.2016
19:38:46
19:38:46
не разрулишь
Как это? Я на свой же ftp ходил по внешнему адресу, пока он у меня был поднят 100500 лет назадGoogleZart09.08.2016
19:38:54
19:38:54
дай им айпишники от балды, а потом нарисуй пакеты - их src/dst и как оно будет лететь туда и обратно
а фтп крутился где? на тазике с файрволлом?
Zart09.08.2016
19:40:07
19:40:07
это может проканать только если весь трафик роутится через тазик... скажем когда бакенд и клиент в разных подсетках
а тазик - их общий шлюз. тогда прокатит
Sergey09.08.2016
19:40:33
19:40:33
Не обязательно, главное dnat и snat правильно настроить
Zart09.08.2016
19:40:42
19:40:42
если клиент будет в той же подсетке - обратные пакеты пролюбятся
проблема не в том как пакеты долетят до сервера. а в том, как ответ пойдет обратно 8)
Sergey09.08.2016
19:41:28
19:41:28
Вот для этого snat ещё нужен
Иначе да, они прилетит клиенту не с тем ip и он их отбросит
Я сейчас побоюсь по закромам, возможно у меня остался скрипт. Хотя уверенности уже особо нет. В любом случае, вариант со split dns лучше
Zart09.08.2016
19:43:04
19:43:04
угу, проще для реализации
GoogleZart09.08.2016
19:43:56
19:43:56
реализуется разными методами. - либо несколько днс демонов раскидать по интерфейсам
либо настроить зоны в бинде
либо настроить оверайды в днсмаске
и прочая
Sergey09.08.2016
19:44:04
19:44:04
Сейчас у меня просто сервак на белом ip живёт, благо провайдер одно время раздавал /29 сети почти даром
dzmuh09.08.2016
19:44:27
19:44:27
/29
Zart09.08.2016
19:48:47
19:48:47
Вот для этого snat ещё нужен
но в любом случае это упирается в то, что ретурн трафик обязан возвращаться через этот же натых. мой сервак тож был на /29, а сейчас на /28, но дали лишь 3 айпи
Andrew09.08.2016
19:50:19
19:50:19
пытался сделать masquerade но не вышло, крч я не могу одуплить уже че надо сделать, роутер один торчит на ружу, далее он прокидывает на машину которая как раз через nginx уже регулирует все и проксирует
походу я тупой и пора завязывать
Sergey09.08.2016
19:53:31
19:53:31
но в любом случае это упирается в то, что ретурн трафик обязан возвращаться через этот же нат
Да, конечно, иначе не будет работать.Zart09.08.2016
19:54:21
19:54:21
я с этим некисло наетрахался, когда настраивал прозрачную проксю
на домашнем роутере сейчас подняты рип/оспф/бгп... 8)
Andrew09.08.2016
19:57:00
19:57:00
а нельзя ни как говорить что я свнешки пришел ,открой
Sergey09.08.2016
19:57:24
19:57:24
Можно попробовать, кстати, с помощью vrf разрулить, но это уже совсем не тривиально)
Zart09.08.2016
19:57:49
19:57:49
ммм... сомневаюсь что у них циска 8)
либо выражовывайся по линупсячи - сорцевый полиси роутинг
1.2.3.4 wan 4.3.2.1 lan 192.168.2.1 .2
[external client] ---------------------[firewall]----------------+------[backend2]
eth0 | dmz 192.168.1.1 | web2
| |
| web1 192.168.1.2 | .10
`-----[backend1] `------[internal]
ыть 8\
GoogleSergey09.08.2016
20:02:07
20:02:07
Ну вообще поддержка vrf в ядре есть)
Zart09.08.2016
20:02:26
20:02:26
в этой схеме в общем трафик к первому бакенду можно зарулить с обоих клиентов
а ко второму лишь с внешки
Andrew09.08.2016
20:19:00
20:19:00
вот решение
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d $inet_ip -p tcp —dport 8080 -j DNAT —to-destination 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.1.0/24 -p tcp —dport 8080 -j SNAT —to-source $inet_IP
спасибо
Zart спасибо
Sergey09.08.2016
20:29:53
20:29:53
Чет по-моему тут во втором правиле source / dest перепутан
Или я уже совсем сплю
Zart09.08.2016
20:34:03
20:34:03
а, ну да. внутренние тазики идут на внешний якобы айпи, но их натит на локалочко
а второе правило прикидывается что пакеты летят от внешнего айпишника.. -s и -d надо бы написать так же как и в прероут правиле, для наглядности
Sergey09.08.2016
20:44:51
20:44:51
Да, нет ошибки) затупил спросонья
[Anonymous]09.08.2016
22:15:24
22:15:24
Почему во flask есть валидатор Required, а в django-form он как параметр к полю?
Evgeny09.08.2016
22:44:04
22:44:04
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d $inet_ip -p tcp —dport 8080 -j DNAT —to-destination 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.1.0/24 -p tcp —dport 8080 -j SNAT —to-source $inet_IP
чот попахивают эти правила, у тебя что одинаковые сети в разных местах?Zart10.08.2016
02:41:15
02:41:15
чот попахивают эти правила, у тебя что одинаковые сети в разных местах?
прикольные выводы без наличия -i -o в командах.
это настройка проксирования для подсетки же
Nikita10.08.2016
02:46:53
02:46:53
народ кто использовал sftp ?
Evgeny10.08.2016
02:48:30
02:48:30
прикольные выводы без наличия -i -o в командах.
это настройка проксирования для подсетки же
Я честно, смотрю на эти правила, и не вижи не одной причины так делать.В любом случае, это для другого чата
Evgeny10.08.2016
02:53:25
02:53:25
Венда?
GoogleNikita10.08.2016
02:53:48
02:53:48
ты за кого меня принимаешь ?
Evgeny10.08.2016
02:54:19
02:54:19
scp <path_to_source> <username>@<server_ip>:<path>
Nikita10.08.2016
02:54:52
02:54:52
я знаю эту команду =) постоянн пользуюсь.. но щас именно надо сфтп чтоб показать чтов сё работает
Evgeny10.08.2016
02:55:55
02:55:55
sshfs?
Nikita10.08.2016
03:01:52
03:01:52
т не понял
если б просто положить файл, то давно б положил.... мне надо именно сфтп
Zart10.08.2016
03:03:32
03:03:32
sftp host
cd /remote/path
put localfile remotefile
всё как в обычном фтп почти
Nikita10.08.2016
03:05:07
03:05:07
я пробую оно вообще никак
AdminERROR: S client not available
Zart10.08.2016
03:05:19
03:05:19
какой удалёнке?
Nikita10.08.2016
03:05:32
03:05:32
мне надо с моего компа положить на другой комп
Nikita10.08.2016
03:07:36
03:07:36
мне надо отправить файл с моего компа на удалённую машину... я написал sftp testing user@host
Zart10.08.2016
03:07:52
03:07:52
ну и зря
Nikita10.08.2016
03:08:01
03:08:01
чего ?
Zart10.08.2016
03:08:05
03:08:05
если с первого раза не увидел
sftp host
cd /remote/path
put localfile remotefile
всё как в обычном фтп почти
GoogleZart10.08.2016
03:08:52
03:08:52
оно не использует синтаксис сцп, если чо
Nikita10.08.2016
03:09:23
03:09:23
та я вообще запутался
с этим простым гавно уже трахаюсь з3 сколько
даёт о себе знать бессонная ночь
просто оно показывапет что отправило, захожу а файла нет
Zart10.08.2016
03:10:56
03:10:56
[zart@aura ~]$ sftp localhost
Connected to localhost.
sftp> cd /tmp
sftp> put UTF-8-demo.txt
Uploading UTF-8-demo.txt to /tmp/UTF-8-demo.txt
UTF-8-demo.txt 100% 14KB 13.7KB/s 00:00
sftp> pwd
Remote working directory: /tmp
sftp> ls
UTF-8-demo.txt
mc-root
ssh-ZSt7P971BZ
ssh-g7VKl7yj9k
ssh-localhost-22-zart
Nikita10.08.2016
03:11:20
03:11:20
блять
Zart10.08.2016
03:11:22
03:11:22
видать залил в куда-то
Nikita10.08.2016
03:11:38
03:11:38
это гавно не позволяет удалённо передать, только переносить ??
Zart10.08.2016
03:11:44
03:11:44
чо?
Nikita10.08.2016
03:12:21
03:12:21
просто папки ограничена по правам черещ chroot, поэтому в другое место никак
плюс использую логин, а эта херня пароля даже не спрашивает
Zart10.08.2016
03:12:44
03:12:44
ну зайди потом по ссш и вытащи из той папки, если шелл не в чруте..
а должна? нормальные люди с рса ключами живут
Nikita10.08.2016
03:13:59
03:13:59
в пизду это дерьмо
сука злой мать его..
вроде простая программа а мозг вытрахала
то не умеет, то
блять
Zart10.08.2016
03:14:28
03:14:28
выросло поколение, не знающее про фтп 8\
Nikita10.08.2016
03:14:39
03:14:39
тебе сколько лет ?
Zart10.08.2016
03:14:49
03:14:49
достаточно уже
Nikita10.08.2016
03:14:53
03:14:53
ну вот