Příspěvky

1

Server / Re:Nefunkční Nginx proxy_bind $remote_addr transparent

« kdy: 13. 11. 2025, 12:38:10 »

Dobre,zeptam se jinak. Proc mi to nefunguje  ani s jednim  ze dvou mangleTPROXY/natREDIRECT routovacim pravidlem v iptables "-I PREROUTING -p tcp -m tcp --sport      443  -s 192.168.5.103 -j..." a jake (nebo dalsi?) routovaci pravidlo bych tam mel mit?

rozsahy v routovaci tabulce mam, jinak by mi nefungoval podobny scenar tunelovani trafficu na  podobny(dokonce i stejny) server uvnitr site  na druhym konci tunelu ale v rezimu port forwardingu (nginx je vyskrnut a resi to NAT PREROUTING - DNAT 192.168.5:123) - default routa je na odchozim eth0 vps, 192 je na vpn interface a 10. je podobna routa jako na vpn akorat s scope link a src 10.... navic

a ted me trochu znejistila jedna dve tri veci. druha vec  :TPROXY, v tech dvou  pravidlech je u REDIRECT --to-port povinne a u kdyz odhlednu, ze u TPROXY se to pro zmenu   jmenuje --on-port, tak on-port ma volbu 0, coz je It is a required option, 0 means the new destination port is the same as the original. To jsem taky zkousel ale bez vysledku
(man iptables extensions, odstavec TPROXY nebo REDIRECT)

preci kdyz na to koukam, tak chodi pakety s IP adresami 192.168.5.1:4433 (pevne dany par) a 45.6.7.8:XXX (internetova adresa a cislo portu je nahodne a jeste k tomu jde o "prevzatou adresu" kterou prave nginx vyplni jako source diky proxy bind a transparent) a kdyz na tohle zacne koukat routing tabulka, tak zjisti, ze bez iptables pravidel v  ve smeru z nginx do site projde OK, routa do 192 existuje, coz potvrzuje to, ze server vrati odpoved(mysleno Tcp syn+ack) a dokonce dorazi opet na vpn interface pres tunel.  ale zde routing vidi, ze DST je internetova adresa a ze bez  dodatecneho pravidla by odesel paket rovnou do internetu a nikoliv do nginxu --- to jsem ani neocekaval, ze to nginx prijme bez zadnoho pravidla, ale zahadou je mi, proc pravidlo redirect nezabirat (hit count 0) a TPROXY nezsfunguje

proc to pisu, proc me to znejistilo - prvni vec co me znejistila (omlouvam se za retrospektivu) jsou prave ta cisla portu : a jestli to nedelam obracene nespravne  -

• 1 je spravne ze tproxy/redirect pravidla jsou specifikovana pres src ip a src port (192.168.5 ...:4433) ??
• 2.mam pocit ze --toport u REDIRECT je zjevne spatne, protoze na teto strane jde o nahodny port a tim padem smysl  asi bud emit jen TPROXY --on-port 0 ?? coz je prave to "same as original"

ale proc to nejde?

2

Server / Re:Nefunkční Nginx proxy_bind $remote_addr transparent

« kdy: 08. 11. 2025, 15:36:07 »

vlastne proc to chci: chci mit moznost filtrovat/logovat podle L3 v serverovne, takhle mi tam proudi  smichane 10.0.20.1, maximalne 10.0.20.x , pokud si tam praci a aspon rozlisim  z jakeho site.conf to jde, coz je stejne na nic
bohuzel selhaly pokusy zjistit jake ma proce capability, getcaps ani pscap nemam ani nejdou nainstalovat, baliky neexistuji

https://www.baeldung.com/linux/process-needed-capabilities

3

Server / Re:Nefunkční Nginx proxy_bind $remote_addr transparent

« kdy: 08. 11. 2025, 14:32:40 »

Ale kdyz premyslim o tech pravidlech firewallu, mam pocit, ze jsou zbytecna(ze use case je kdyz to server ma poslouchat), protoze nginx je ten , ktery iniciuje spojeni TCP SYN na 192.168.5.103:443 z "umele internetove adresy 31.32.33.33:54440 ... a zpet prijde SYN.ACK, ale k odeslani SYN.ACK nazpet uz nedojde.

4

Server / Re:Nefunkční Nginx proxy_bind $remote_addr transparent

« kdy: 08. 11. 2025, 14:09:21 »

Na zkousku jsem zmenil na nginxu listen port na 4943 aby se mi to lepe hledalo. na FW je vse ACCEPT
nginx pouziva nejaky dynamic bind, znamena to ,ze v momente, kdy nginx posle SYN do backendu, uvidim v ss -4 -l -t -p navic radek  ? momentalnne vidim v nginu ze posloucha n 0000:4943

nepomohlo mi ani pravidlo:
iptables -t mangle -I PREROUTING -p tcp -m tcp --sport      443  -s 192.168.5.103 -j TPROXY --on-port 4943 (hit counter se zvysuje)

ani
iptables -t nat -I PREROUTING -p tcp -m tcp --sport      443  -s 192.168.5.103 -j REDIRECT --to 4943 (nuly)

nicmene me napad jedna vec, zda probvlem nenim, ze webappka posila redirect na domenu, pokud se pristupuje z ip adrey, jenze to je nesmysl, protoze zpetny  SYN,ACK nginx neodesle.

5

Server / Re:Nefunkční Nginx proxy_bind $remote_addr transparent

« kdy: 07. 11. 2025, 13:57:49 »

No to aby provoz na cizi adresy smeroval do aplikace, to si ten nginx zaridi? 
jak zjistim, ze ma caps_raw_net? spoustim ho pod rootem prikazem systemctl start nginx na LXC VPS. Vidim v htop :nginx master process ma root, workerirs maji www-data
Na ten vps se  ty pakety dostanou, to vidim z tcpdump. je ale potreba neco stelovat na firewallu, protoze kdyz o tom premyslim, jak vps/nginx pozna ,ze pakety SYN+ACK z tun SRC 192.168.5.BACKEND:443 DST 23.4.5.6:65444 maji projit nginxem? z komunikace projde jen prvni syn+ pak castecne syn-ack- dostane se na VPS a dal nevim.   nema tam taky byt nejaky ip rule  nebo mangle  i tady na vps? protoze v popisovane situace kde je jen port forwarding, sipackety odchyti pravidlo v prerouting ktere prepisuje je posila na 192.168.5.jinyserver
conntrack -L mi hlasi SYNC RECV

a mimochodem jsem schopny  mit proxy_bind 10.0.20.31 transparent;  funkcni (ppokud vps priradim krome 10.0.20.1 i tuto) - jenze to mi nepomuze ,protoze pak positi jsou vsechny requesty s touhle sloucenou adresou akorat je tam 31 misto 1

a prirozene "proxy_bind $remote_addr ;" hlasi cannot bind.....

6

Server / Nefunkční Nginx proxy_bind $remote_addr transparent

« kdy: 07. 11. 2025, 12:43:43 »

Dobre,j , snazim se rozchodit  nginx v režimu proxy_bind $remote_addr transparent; (takovy hybrid mezi port forwardingem a normalni nginx proxy - ucel aby nginx resil https ,ale po tunelu a domaci siti chodily realne ip adresy na L3 vrstve.) setup : VPS v LXC  jako verejny server, , propojen pomoci wireguardu na GW za natem a backend  v siti za switchem (virtualizovany, ale to je jedno) . Vidim chybu 504 gw timeout . Dodam ze mi port forwarding s originalnima IP adresama po siti funguje  na jinem backendu vidtelnym pochopitelne na jinem portu nez 80/443, (je to resene prostym port forwardingem na VPS ne pres nginx -- proto mam pocit, ze je problem nekde v nginxu.. Adresni rozsah je stejny obou serveru.

analyzoval jsem traffic tcpdumpem. a paket probubla k backendu, a ten odesle SYN ACK a ta propluje tunelem a vidi ji tcpdump opet na VPS, ale mam pocit ,ze nginx  to nejak neprijme... Cili problem vidim na tom vps.

V dokumentaci nginx ngx stream module kde je direktiva popsana ctu neco ze musi bezet pod rootem nebo mit nejaky CAPS RAW NET. nebo pockat, musim to mit obaleny v stream direktive? Jediny co jsem udelal v konfigu je  ze pri zmene z normalniho reverse proxy, kdy mi to ovsem chodilo s L3 adresou rozsahu tunelu
proxy {server {location {proxy pass}}}
 jsem pridal zmineny proxy bind., a od te doby backend protlaci odpoved az dovnitr vps, ale nginx asi nezareaguje
Dodam, ze asi rp filter a firewall je poreseny, protoze prave podobny setup s "nahou L3 adresou" mi funguje v tom jinym pripadu, kdy nenasloucha nginx, ale jede to pres port forwarding.

7

/dev/null / Re:Mýty a fakta o tzv. zranitelnosti nepodporovaných Windows 7 a i Windows XP

« kdy: 25. 10. 2025, 18:19:43 »

Ano.

8

Windows a jiné systémy / Re:Digitální licence Windows 11 skrze massgraVE(L?)

« kdy: 26. 09. 2025, 18:18:35 »

Pokud se bavíme o aktivaci licence, neřešil bych způsob a použil tohle: https://github.com/massgravel/Microsoft-Activation-Scripts

Něco mi uniklo nebo to je opravdu massgrave"L" ? I na githubu?

9

Server / Re:Zvýšený příchozí provoz na serveru

« kdy: 15. 09. 2025, 10:51:40 »

Boti, co zkouší naslepo http/s GET na wp-login, .env atd...
Případne ssh

10

Sítě / Re VPN vs VPS *Greenhouse*

« kdy: 15. 09. 2025, 10:43:46 »

Tohle mi přelítlo přes nos:
https://sequentialread.com/greenhouse-alpha/
Nestudoval jsem, úvodní odstavec kurzívou je takové intro/rozcestník,  techničtější popis je v tom Odkazu 'pragmatic...'

Ale opět další strana, které budete platit, byť asi málo

bušil, připojoval ,zkoušel...

Ten quickconnect (pro ty trápené NATem) od nasů se umí napojit jen na dané apky NASu (photo stadion ,filé stadion...) a na builtin webserver(vyčleněna Apoka na svůj webserver)  a ještě pres nějaké federovanou autentizaci nebo je to neomezené(ve smyslu  že to je něco SNI proxy , že Synology servery forwardujou podle SNI z vlastni domény a nebo podnájem.synology.me)? V prvním případě omezených služeb právě nerozumím že mu tam busí

11

Hardware / Zkušenosti s QMK.FM pro Atmel AVR

« kdy: 10. 09. 2025, 13:50:00 »

Máte někdo zkušenosti s QMK.FM ?
Open-source keyboard firmware for Atmel AVR and Arm USB families
Případně podporovanou klávesnici a v provozu? Podle mě by mělo jít o možnost odemknout customizaci maker, podsvětlení pro vybrané modely. ,ale nerozumim tomu, ani nevim co je zač "A.V.R." ale na webu je vyhledávač supported device

mohlo by jít o zajímavý projekt

12

Hardware / Re:Odkoupení firemního notebooku Dell

« kdy: 10. 09. 2025, 13:39:06 »

Pokud je to možné, beru si při práci s cizím zařízením latexové rukavice a třeba takové laptopy je fajn rozebírat třeba na balícím papíře, který se pak celý shrne a vyhodí, doma rovnou do kamen. :-) Pokud mi někdo někde u kafe svěřuje svůj mobil, jdu si pak hned umýt ruce.

Ne až takhle přehnaně, ale je logické, že když jdu opravovat myš, tak taky jedině novinách, bez otevřených oken, očekávám totiž myší bobky.

Ale třeba jsem našel v O2 routeru pavouka

možná je to něco jako bob klepl nebo tady se hodně zmiňuje slovo dust a vacumm: https://taoofmac.com/space/blog/2021/06/05/1100
Jako

13

Windows a jiné systémy / Re:Průzkumník krade focus , adresní řádek problikne

« kdy: 10. 09. 2025, 13:30:50 »

  string(1136) "Tak celé je to trochu jinak. Problém "nová složka" je jen důsledkem odentrování textu.
nEchápu, že v windows v adresním řádku toho umí víc než trojministr stropnický,
"Dokumenty" - > přeskočí na složku Dokumenty
"údy indů" - > spustí edge http://bing.com?q=%EC%E3dy%20....
"notepad" - > spustí poznámkový blog
"explorer " - >spustí  nové okno
"cotoje" -> spustí edge s url http://cotoje

BACHA CO TAM PÍŠETE, kdo ví, co třeba odpálí prvočíslo nebo text obsahující slovo linux

Ve skutečnosti se stává to, že  Po kliknutí na nějaké tlačítko v třetí řadě (Nový(+)), zobrazit, řadit, nedomrlé neurčité "…"  bleskově problikne addressbar. Nestává se to vždy a nedokázal jsem přijít na to proč, co je spouštěčem této zlodějiny focusu

Myslel jsem původně, že se to děje u vzdálených sdílených složek   \\.... (mimojiné protože) tomu předchází zadání \\host\shard to toho všehoschopného adresního řádku. (protože přístup k NASU přes jiné hostname je náladová loterie a když už to funguje, tak se dialog zadání hesla objeví po 10 sekundách) a windows v téhle mizérií podrží, že si pamatují zadané umístění do adresního řádku"

Takže netuším, proč tuhle zlodějinu focusu windows dělají, není v tom žádná pravidelnost, děje se to i u lokálních složek.

.... Už jsem nad věcí  , nějaké LItujeme, přistup odepřen  po 5minutovém psaní textu mě už nevyvede z míry, už to mám nacvičené: hosts,odpojit,připojit, reload, zkopírovat, hosts, připojit, login,zpět, vložit .odeslat

14

Sítě / Re:Vyhození routeru TP-Link TL-WR542G

« kdy: 10. 09. 2025, 13:13:31 »

WR54G

Aha, tak jsem se nechal nachytat. Mělo mě napadnout, že takhle se označovaly první wifi accesspoint z počátku milénia. Už jsem na to zapomněl. Nějaké D-LINKy ,ASUSY RT-11

Záleží na kusu, ale pamatuji si asi takhle staré ADSL routery, u kterých šla administrace jen z nějakých browserů, protože to umělo jen HTTP 1.0 Connection:Close

Mám pocit, že tazatel šel na ryby, hledat nový starý router... Třeba nám objasní motivaci

Celé mi to připadá jako nějaká Ježkovina

15

Server / Re:WEDOS - globální výpadky sítě

« kdy: 10. 09. 2025, 12:57:51 »

s něčím podobným jsem se setkal dnes, ale o šlo o jinou firmičku. neměl jsem desktop browser, abych se podíval, do console, ale web se nenačetl (načátání probíhalo, ale teklo to pomalu, , jako slowLORIS) nebo házel 429. přičemž curl  fungoval.