КМК-4 [GOTO COAXIAL@LOR.SH] @coaxial@qoto.org

@mo
Спокойной ночи

@aurel1on_sol
Чуть объясню. Тут в итоге делается двойной NAT (twice NAT). При приеме на определенный порт сервер подменяет IP DST (и порт, если надо) на указанный DST вместо своего собственного, а IP SRC на свой собственный на eth0, вместо того, что ему прилетело в оригинальном пакете. В итоге сервер, куда ты роутишь, видит как будто ему сессия пришла от сервера-приемника. Балансировка в iptables тоже есть, кстати. Без всяких фич, как в haproxy и прочих жижинксах (отслеживание состояния, манипуляции с нагрузкой, решение на основе наргрузки и проч. проч. проч.), но есть

@aurel1on_sol
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport [ПОРТ ПРИЕМА] -j DNAT --to-destination [IP КУДА]:[ПОРТ КУДА]
iptables -t nat -A POSTROUTING -d [IP КУДА]/32 -o eth0 -j MASQUERADE

Включить роутинг в sysctl
# sysctl -p
net.ipv4.ip_forward = 1

Если накручена таблица firewall, надо еще в цепочке FORWARD не забыть разрешить

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport [ПОРТ ПРИЕМА] -j ACCEPT

Ну и всё

@icumblood
Ну да, не жалуюсь
L460, 6 лет его таскаю
@aurel1on_sol

@kurator88@mastodon.social
"Вы не понимаете, это другое"

Ну попробую донести
Ключи ЭДО в налоговую, насколько помню, минцифра обслуживает, так? (Я правда не уверен)
Ну так для ЭДО с гос органом PKI обслуживает, так же, гос орган. Все вроде бы нормально. Как раз Васе Пупкину Ко из Индонезии было бы тупо доверять такую задачу. В данном случае, с Интернет-УЦ от минцифры, предлагают поставить серт в системный и доверять ему защиту коммуникаций, которые к государству отношения не имеют в большинстве случаев. Хорошо, было бы, если бы минцифирья попыталась бы проникнуть в Интернет-PKI лет 10 назад, подчиняясь процедурам и репутации, как и остальные участники. Если даже посмотреть на это с точки зрения тов майора, это было бы прекрасно, потому что за года уже сертификат, подписанный УЦ минцифры, много бы где стоял. А тут он сгенерирован и предложен по инициативе Жареного Петуха, качество может быть соответствующим
@skobkin @Mahury

@aurel1on_sol
Я тебе даже могу дослать к часам 23 МСК команды
@rf @tech @b@shitpost.poridge.club

@aurel1on_sol
iptables SNAT/DNAT
@rf @tech @b@shitpost.poridge.club

@kurator88@mastodon.social
Я утрирую, вряд-ли (дай боже) там такой уровень раздолбайства, но риск его утечки околонулевой, потому что ответ на реализацию риска тоже околонулевой. По шее дадут и на этом всё
@skobkin @Mahury

@kurator88@mastodon.social
Если в дерьмовому коммерческому УЦ применима репутация, утрата которой ведёт к удалению УЦ из списка системных и браузерных, то с сертом минцифры схема Ставь и точка. У них он завтра утечет с компа тети Вали, ну ебта, новый сшенерим. Как там васян делал, openssl generate так ебать падажжи нахуй
@skobkin @Mahury

@mo
Так и есть

Ну вот и всё, я под колпаком

@aurel1on_sol
Я пользуюсь потому что выдали на рабе

@Revertron
Эх дороги
Пыль да туман
Города, тревоги
Да степной бурьян

@cheesus_crust
Что ты там делаешь с ней? У меня своп вообще выключен, нулевой