1
Sítě / Re:VPN pro přístup do lokální sítě
« kdy: 17. 11. 2021, 12:08:25 »
Tak už jsem to vyřešil, díky za pomoc
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
A co tam to pravidlo dělá? (jako je tam do !-d, takže by to asi nemělo vadit, ale proč).
sudo iptables-save
# Generated by iptables-save v1.8.4 on Sun Nov 14 15:50:06 2021
*filter
:INPUT ACCEPT [830197:347865497]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1095339:286633355]
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
COMMIT
# Completed on Sun Nov 14 15:50:06 2021
# Generated by iptables-save v1.8.4 on Sun Nov 14 15:50:06 2021
*nat
:PREROUTING ACCEPT [132967:7869427]
:INPUT ACCEPT [130605:7691155]
:OUTPUT ACCEPT [20965:1655638]
:POSTROUTING ACCEPT [20971:1655950]
-A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source 172.bla.bla.bla
COMMIT
# Completed on Sun Nov 14 15:50:06 2021
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 549/nginx: master p
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 386/systemd-resolve
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 650/sshd: /usr/sbin
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 549/nginx: master p
tcp6 0 0 :::8080 :::* LISTEN 64450/java
tcp6 0 0 :::80 :::* LISTEN 549/nginx: master p
tcp6 0 0 :::8081 :::* LISTEN 1307/java
tcp6 0 0 :::22 :::* LISTEN 650/sshd: /usr/sbin
tcp6 0 0 :::443 :::* LISTEN 549/nginx: master p
...Jak jsi řešil ty to HTTPS? Nebo to bylo předtím než to nakázali?
Nevýhodu to má jednu dost podstatnou a docela zřejmou – URL není považováno za dlouhodobě tajný údaj, takže se nedá spoléhat na to, že někde neunikne. Zůstává v historii prohlížeče, v hlavičce Referer ji dostanou všechny objekty stahované ve stránce (externí obrázky, skripty apod.), všechny stránky, na které se uživatel z vaší stránky proklikne. Proto mívají takováhle autentizační URL omezenou časovou platnost.
Pokud opravdu chcete jít touhle cestou, doporučil bych alespoň ten přihlašovací token nedávat do serverové části URL, ale do fragmentu (za hash). Ten neopustí prohlížeč, není v Referer hlavičkách. Samozřejmě ho pak budete muset JavaScriptem přečíst a přidat do autentizační hlavičky, aby měl server podle čeho uživatele autentizovat.
Také určitě budete potřebovat možnost ten token zneplatnit v případě, kdy uživateli unikne.
Nicméně osobně bych ulehčení přihlášení řešil spíš tak, že uživatelům povolíte i autentizaci pomocí Facebooku, Google, Twiteru, MojeID, případně služeb, které jsou v daném oboru obvyklé. Váš způsob, že si uživatelé budou muset uložit adresu do oblíbených nebo jít pokaždé přes e-mail – vy tak možná web používáte, ale většina uživatelů asi ne.
Podle tvých otázek o tom nic nevíš, ale to nevadí, pusť se do toho a držím palce.
Zatím je zbytečné ti vysvětlovat pojmy jako robots.txt
Nevýhoda tvého řešení je v tom, že si uživatel musí vždy najít ten tvůj ověřovací e-mail s linkem.
Další nevýhoda je v tom, že při použití krátkého tokenu (například uzivatel=a123), to někdo bruteforcne.
S pythonem, který se někam snaží připojit, dokážu za vteřinu ověřit asi 32 tisíc různých kombinací a to je jen "sranda skript". Takže držím palce ;-)