Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - zden2k

Stran: [1] 2
1
Studium a uplatnění / Re:Zaměstnání nebo kontrakt?
« kdy: 01. 09. 2021, 15:01:55 »
Moc nechápu, co tu řešíte :)
Řeší se tu, že hurvajs.spejbl chodí do práce 8h, a cítí se být podveden, když to ostatní mají jinak. Tak bych navrhoval max 2h pracovní dobu pro všechny. Kdo nesouhlasí ať změní zaměstnání. Problem Solved. :D

2
/dev/null / Re:Práce pro české společnosti
« kdy: 28. 07. 2021, 14:33:01 »
To maji z okoli? z rodiny? ze skoly?
Mohli by to mít od zaměstnavatelů, kteří se je snaží donutit, aby dělali za málo.
A nebo odtud, doporučuji pro zasmání. To snad musí psát nějaká umělá inteligence nebo jiná "temná hmota".

3
Hardware / Re:Lacná symetrická jednoduchá myš
« kdy: 09. 06. 2021, 11:09:01 »
Pouzivam uz delsi dobu mysi od A4tech. Takze: 1, a nebal bych se ani tehle: 2.

4
Vývoj / Re:Jak mit web anonymne?
« kdy: 22. 05. 2021, 18:37:28 »

6
Studium a uplatnění / Re:IT od nuly
« kdy: 08. 07. 2020, 16:44:07 »
Objednej si treba VPS nebo si na verejne adrese rozchod webserver. Dej si tam nejakou wiki, zabezpec a do te wiki postupne pridavej, co se naucis. Nejlepsi zpusob vyuky je ten, kdyz to proste pouzivas.

7
Sítě / Re:Jak co nejlevněji zpřístupnit stroj za NAT
« kdy: 26. 06. 2020, 08:40:38 »
Co si postavit vpn na verejne ipv6. Pak proste rict nejakemu znamenu, ktery ma verejnou ipv4 a ipv6 adresu, at ti ten port presmeruje? Je otazka chvilky kuteni s iptables/nftables.
Kód: [Vybrat]
https://ef.gy/forwarding-ipv4-to-ipv6

8
Software / Re:Určitá hra pre Linux
« kdy: 15. 05. 2020, 11:26:41 »
Není to ďáblík, ale Bill Gates  ;D

https://en.wikipedia.org/wiki/XBill

To se ale nevylucuje, naopak to sedi ;-D

9
/dev/null / Re:Blockchain - kde je?
« kdy: 07. 05. 2020, 15:07:35 »
Torrenty treba

10
No a ten zlom nastane, když na noťasu změním dns z 192.168.18.254 třeba na 8.8.8.8. Potom mi normálně funguje internet, ale předtím, než to změním, mi funguje jenom pingování ip adres, protože ten dns má nějaký problém no..
Protoze klient nevi, kam ma smerovat DNS, nejspis ze nastavujes vse manualne. Pokud bys na klentovi, ktery se k tomu pripojuje nastavil v NetworkManageru, nebo do /etc/resolv.conf DNS googlu ("nameserver 8.8.8.8") fungovat to bude.

Byt tebou, nastavil bych to cele pomoci DHCP. To pak samo preda klientum informaci o brane a spravny dns server. Osobne to mam nastavene s Dnsmasq (prislo mi to na konfiguraci asi nejjednodussi).

/etc/nftables.nft
Kód: [Vybrat]
#!/sbin/nft -f
# vim: ft=pf

### FLUSH RULESET
flush ruleset

### SERVERs
define IPV4_LOCAL = { 172.16.0.0/12 }

table ip filter {
    chain input {
        type filter hook input priority 0; policy drop;
        counter comment "count input accepted packets"

        ### DROP

        ### State firewall
        iifname enp0s9 ct state invalid counter log prefix "DROP INVALID: " drop comment "early drop of invalid packets"
        iifname enp0s9 ct state established,related counter accept comment "accept all connections related to connections made by us"

        iifname enp0s10 accept comment "accept all"
        iifname enp0s11 accept comment "accept all"
        iifname wlp0s12 accept comment "accept all"


        ### Loopback interface
        iifname lo accept comment "accept loopback"
        iifname != lo ip daddr 127.0.0.1/8 counter drop comment "drop connections to loopback not coming from loopback"

        ### Icmp
        ip protocol icmp counter limit rate 3600/hour burst 1200 packets log prefix "ACCEPT ICMP: " accept comment "accept all ICMP types"

        ### Allow LOCAL
        ip saddr $IPV4_LOCAL counter log prefix "ACCEPT LOCAL: " accept comment "connections comming from LOCAL servers"

        ### Allow INET access
        tcp dport 22 ct state new counter limit rate 6/minute burst 3 packets log prefix "ACCEPT SSH to port 22: " accept comment "connections via SSH"
        tcp dport 80 ct state new counter log prefix "ACCEPT HTTP to port 80: " accept comment "connections via HTTP"
        tcp dport 443 ct state new counter log prefix "ACCEPT HTTPS to port 443: " accept comment "connections via HTTPS"
    }

    chain forward {
        type filter hook forward priority 0; policy accept;
                counter comment "count forward dropped packets"
    }

    chain output {
        type filter hook output priority 0; policy accept;
        counter comment "count output accepted packets"
    }
}

table ip nat {
    chain prerouting {
            type nat hook prerouting priority 0;
    }
    chain postrouting {
            type nat hook postrouting priority 100;
        oifname "enp0s9" masquerade
    }
}

V interfaces mam nastavene staticke adresy na interfacech, ktere delaji brany. Pres "up" se nastavi take ten FW:
Kód: [Vybrat]
/etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# ETH0
auto enp0s9
iface enp0s9 inet dhcp
up nft -f /etc/nftables.nft
#up sleep 3 && dhclient enp0s9 >/dev/null

# ETH1
auto enp0s10
iface enp0s10 inet static
        address 172.30.1.1
        netmask 255.255.255.0

# ETH2
auto enp0s11
iface enp0s11 inet static
        address 172.30.2.1
        netmask 255.255.255.0

# WIFI
auto wlp0s12
iface wlp0s12 inet static
address 172.30.9.1
netmask 255.255.255.0

Pak to vypada takhle, "ip a s". Ta adresa 192.168.1.152 je ip od poskytovatele netu z anteny na strese, ziskana pres dhcp:

Kód: [Vybrat]
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0d:b9:20:43:04 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.152/24 brd 192.168.1.255 scope global dynamic enp0s9
       valid_lft 580sec preferred_lft 580sec
    inet6 fe80::20d:b9ff:fe20:4304/64 scope link
       valid_lft forever preferred_lft forever
3: enp0s10: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 00:0d:b9:20:43:05 brd ff:ff:ff:ff:ff:ff
    inet 172.30.1.1/24 brd 172.30.1.255 scope global enp0s10
       valid_lft forever preferred_lft forever
    inet6 fe80::20d:b9ff:fe20:4305/64 scope link
       valid_lft forever preferred_lft forever
4: enp0s11: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 00:0d:b9:20:43:06 brd ff:ff:ff:ff:ff:ff
    inet 172.30.2.1/24 brd 172.30.2.255 scope global enp0s11
       valid_lft forever preferred_lft forever
5: wlp0s12: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether d4:ca:6d:14:49:78 brd ff:ff:ff:ff:ff:ff
    inet 172.30.9.1/24 brd 172.30.9.255 scope global wlp0s12
       valid_lft forever preferred_lft forever
    inet6 fe80::d6ca:6dff:fe14:4978/64 scope link
       valid_lft forever preferred_lft forever


No a hlavni "magic" mi tam dela Dnsmasq. Napr. klient pripojeny pres wifi na interface wlp0s12 se zepta na adresu, z dhcp obdrzi nejakou z poolu 172.30.9.200,172.30.9.249 na 10 minut. Na klientovi se automaticky nastavi i /etc/resolv.conf (kde je "nameserver 172.30.9.1"). Takze pokud klient nezna nejake dns jmeno, zepta se 172.30.9.1. Zde je dnsmasq, ktery se dopta "199.85.126.30" a vrati uz znamou adresu klientovi. V /etc/dnsmasq.conf a /etc/dnsmasq.hosts, mam definovane i staticke dns zaznamy, takze nemusism pingovat jen pres adresy, ale muzu i pres dns jmena.

/etc/dnsmasq.conf
Kód: [Vybrat]
#------------------#
#   Static Hosts   #
#------------------#

dhcp-host=44:98:0E:35:F7:38 ,pc0 ,172.30.2.10 ,24h   # staticke zaznamy, pokud potrebuji, a nechci pridelovat jen dynamicky z DHCP
dhcp-host=00:23:dc:6b:60:43 ,pc1 ,172.30.2.11 ,24h
dhcp-host=11:db:f4:0f:22:23     ,pc2            ,172.30.2.12    ,24h


#--------------------#
#   Basic settings   #
#--------------------#

except-interface=enp0s9
domain=mojedomena.cz
expand-hosts
domain-needed
bogus-priv
no-resolv
no-poll
no-hosts

#-----------------#
#   DNS Servers   #
#-----------------#

all-servers
server=199.85.126.30   # servery, ze kterych bery DNS, klidne taky muzes mit 8.8.8.8
server=199.85.127.30
server=208.67.222.123
server=208.67.220.123

#-----------------#
#   DNS Options   #
#-----------------#

dhcp-authoritative
dhcp-option=option:domain-search,mojedomena.cz
addn-hosts=/etc/dnsmasq.hosts

#-------------------#
#   Dynamic Hosts   #
#-------------------#

# ETH1:
dhcp-range=172.30.1.200,172.30.1.249,255.255.255.0,10m      # tady prideluju DHCP adresy, podle interace, na vsech mam DHCP
# ETH2:
dhcp-range=172.30.2.200,172.30.2.249,255.255.255.0,10m
# WIFI:
dhcp-range=172.30.9.200,172.30.9.249,255.255.255.0,10m

/etc/dnsmasq.hosts
Kód: [Vybrat]
172.31.2.10             pc0 pc0.mojedomena.cz
172.31.2.11             pc1 pc1.mojedomena.cz
172.31.2.12             pc2 pc2.mojedomena.cz

11
Takze to s jednim routrem funguje a s druhym, ne? Co mas odlisne? Masquaradou bys mel predavat pakety z jednoho segmentu site do druheho, napr. z 192.168.y.y do 10.y.y.y apod. Vypis nam teda, co mas v tom nft konfiguraku a co mas v /etc/network/interfaces (pokud mas Debian like based distro).

12
Odkladiště / Re:Sledování CVE
« kdy: 23. 04. 2020, 16:03:00 »
Já nehledám systém, který bude provádět detekci zranitelností. Hledám systém, kde si zaškrtám jaké systémy používám a na e-mail mi budou chodit nějaké reporty o CVE mých systémů.

Přidávám se k tazateli, něco takového bych taky uvítal.

13
Server / Re:nginx: jak deaktivovat https na default vhost?
« kdy: 17. 04. 2020, 22:44:44 »
By default, if the default_server parameter is not specified, then the default server will be the first one specified in the configuration. Asi kvuli tomu.

14
Ve when: kontroluj, jestli uz mas nainstalovany postgres (ansible_fact.packages).

15
Jj sry melo, mel by tam byt interface pres ktery delas NAT, takze interface, na kterem je brana ven.

Stran: [1] 2