Příspěvky

1

Sítě / Re:Pokročilé dotazy na (nexthop+) (multi)routing

« kdy: 19. 10. 2024, 07:09:39 »

Nevim o co se pokousis, ovsem dynamicka aktualizace route table je zalezitost pro routovaci protokoly. Aka BGP, OSPF, dale je zde moznost spojit BGP s ECMP. Routovacich protokolu je vice , is-is protokol se vyuziva temer vyhradne na “podvozku” ISP  tier 2/3 a pak dnes temer nepouzivany (aspon ja ho nikde nevidel) RIP. Ted k Linuxu - za me snad nejlepsi aplikace bird od cznic. 


Jinak dve def gw je zcela normalni v pripade mas napr. notebook pripojen k lan i wifi. Metrika urci kam pujde provoz.  Metrika je jina pro wifi, metaliku a zaroven i pro routy z ospf nebo bgp. Krome metriky muzes nastavit distance.

2

Software / Re:Stažení souboru (curl) a převod kodování (iconv?)

« kdy: 06. 09. 2024, 16:34:52 »

Zdravím,
rád bych se zeptal jak správně postupovat, když stáhnete soubor z netu stránku html (pomocí curl), a očividně v hlavičce je informace, že kódování je ve Windows-1250. Je zřejmé, že by se stažený soubor měl převést na UTF-8, ale nedaří se mi. Když se znaky nepřevedou tak následně vzniká problém, že v tom souboru nelze hledat české znaky s diakritikou. Takže pokud chci něco najít při parsování, např. pomocí podmínky if [[ "$line" =~ \<a(.*)\/a\> ]] tak do výsledku nikdy nebude zahrnuta ta část, která obsahuje ř, třeba slovo řešení. Tím pádem bude jakýkoliv výskyt kde jsou české znaky ignorován. Je tedy zřejmé, že je nutné stránku nejprve převést. Mohl byste mi někdo dát funkční řešení nejlépe pro ten curl. Já zkoušel iconv a prostě mi to nefunguje (žádný převod se nekonal). Takže nechci ani uvádět své špatné nefunční příklady.

A spravne delas nic neposilej, protoze by sme se treba mohli inspirovat nebo pohorsit. Me to funguje - mam soubor s ř v kodovani  Win1250 na radku 2 a 8 a kdyz si ho v cyklu prectu a v ifu

Kód: [Vybrat]

if [[ "$LL" =~ ř ]]porovnam pres regex tak vse v poho. Mmch ani sem nepotreboval iconv

3

Server / Nftables a jeden set pro více tabulek

« kdy: 02. 09. 2024, 15:51:53 »

Zdravím ve spolek, nastal čas upgrade serveru a při přepisování firewallu z iptables do nft jsem narazil. Vytvořil jsem si dvě tabule 1/ pro filter; 2/ pro nat. Ve filter jsem si vytvořil pojmenovaný set a naplnil. Bohužel nedokážu se na něj odkázat z druhé tabule (nat). Podle dokumentace to vypadá, že set je pod table a nelze tedy přistupovat na sety z jiných tabulí. Je tomu tak a nebo nějak jde přistoupit na sety v jiných tabulích.

4

Hardware / Re:Jakou outdoor IP kameru k domu

« kdy: 11. 08. 2024, 07:13:55 »

Dekuji kouknu na reolink

5

Hardware / Jakou outdoor IP kameru k domu

« kdy: 10. 08. 2024, 14:53:44 »

Ahoj shanim externi kameru a to nejlepe necisnskeho vyrobce. Pozadavky - zadne ukladani na cloud, ale na moje uloziste (debian). Mela by mit nocni videni, detekci pohybu a rozliseni fullhd nebo 4k. Pokud by byla od cinskeho vyrobce (hikvision, atp.) tak urcite s podporou ukladani na loklani uloziste. Jo a hlavne aby nestala raketu.

6

Server / Re:Jeden LE certifikát pro více webových serverů

« kdy: 13. 06. 2024, 20:01:50 »

Idealni reseni je, jak uz bylo zmineno, reverzni proxy. Takze na jednom serveru nasad nginx nebo haproxy a nastav smerovani na druhy server pro jednu domenu a pro druhou na stejny server.  Na reverzni proxy odbavis ssl/tls a pak uz jen posles na upstream na port 80. zariven muzes na reverzni proxy udelat blancer nebo failover. Problem nastane kdyz ti VPS kde budes mit vse zdechne. A to uz se dostavame k zajimavejsim vecem jako migrace ip adresy, sluzeb a to pomoci Heartbeat nebo corosync s pacemakerem.

7

Server / Re:Napadený server

« kdy: 31. 05. 2024, 15:55:51 »

Mam trochu jinaci nazor nez predrecnici - za me izolovat, analyzovat a zjistit kudy se do systemu utocnici dostali. Je zde nekolik (rozumej vice nez malo) moznosti a to od webu az po neaktualizovany balik. Samozdrejmosti je nahodit novy server se sluzbami napr. VM. Pokud nezjistite kama se utocnici dostali dovnitr muzete stejnou chybu zopakovat na novem serveru a tim padem budete zase v te same situaci. A to uz nezminuji otevrene ssh do celeho sveta s heslem 1234 atp.

8

Sítě / Re:Nastavení WireGuardu pro propojení mezi sítěmi

« kdy: 20. 04. 2024, 06:40:04 »

Wireguard je velice jednoduchy - do allowed ip davas vzdy ip adresy, ktere se maji routovat nebo-li se maji posilat na drouhou stranu tunelu. Pokud mam scenar telefon --- server pak na strane serveru nastavuji alloweip celou sit kterou mam pro VPN a na strane telefonu/klienta nastavuji ip adresy, ktere chci aby se hnaliy pres vpn. Pokud chces vsechen provoz nastav na telefonu 0.0.0.0/0 jinak musis dat vsechny subnety, ktere tam chces. Mimochodem pohledem do routovaci tabulky uvidis jak pro zadani allowedip se dana ip objevi na rozhrani pro wireguard. Tedy bude se do nej routovat.

9

Sítě / Re:Zvláštní reflected SYN ACK útok

« kdy: 20. 04. 2024, 06:30:52 »

Doporucuji udelat pcap otevrit ve wiresharku a analyzovat. Jedna se o komunikaci na port 25 pak bude dokonce videt i obsah spojeni a nebo aspon uvod pripojeni pred startls. Takova TCP spojeni, ktera nezacinaji 3-way handshake se odfiltruji ve firewallu pomoci stavu invalid. Debatovat nad tim co server delal a proc je zbytecna ztrata casu.

10

Server / Re:Vlastní veřejný DNS server pro jednu IP

« kdy: 14. 04. 2024, 11:53:59 »

Myslim ze v tom mas trosku zmatek. Pokud chces mi autorittivni DNS pro svou domenu pak by jsi mel zmenit u sveho registratora IP NS serveru. Pak tvuj DNS server bude odbavovat pozadavky na tvou domenu. Pokud chces aby tvuj DNS odbavoval jen pozadavky pro nekoho nemuzes mit verejny autoritativni DNS pro svou zonu a nelze provest zmenu u registratora. Muzes kombinovat autoritativni DNS server s rekurxivnim a dela se to bezne v ramci lokalnim zon.
Jestli si chces vyzkousel vytvorit si vlastni autoritativni server pro svou domenu pak si zmen u sveho registratora NS (musi byt domena)  a udelej glue zaznam, ktery je nutny aby vedel svet kde je ta domena. Ve chvili kdy budes mit autoritativni DNS pro domenu je dobre si domluvit s nekym at ti dela sekundarni server aby se nestalo ze ti lehne pripojka a tva zona bude mimo. Tim se dostavam k transferu zon z primaru na sekundar a to uz asi moc rozvadim tvuj dotaz.
Pro autoritativni dns muzes zkusit misto binda pouzit Knot.

11

Sítě / Re:iBGP - synchronizace rout z Birdu do OS

« kdy: 08. 04. 2024, 14:27:15 »

Ano je to tak - dekuji. A to jsem si rikal, ze jsem si dokumentaci precetl poradne.

No, už nevím co se píše v dokumentaci, ale sám jsem na záčátku s tím směrem import/export měl problém a tak v těch nejstarších konfigurácích stále najdu protocol kernel s těmito komentáři :-)

Kód: [Vybrat]

protocol kernel {
        persist;                # Po ukonceni birdu neodstranovat routy z routovaci tabulky
        scan time 300;          # Interval pro scan routovaci tabulky
        import none;            # Zadne routy neimportovat z kernelu do BIRDU
        export all;             # Z BIRDU do kernelu exportovat vsechny routy
}


Uprimne v dokumentaci je to popsano dost nepresne.  Tak jsem si byl jist nastavenim ze me vubec nenapadlo chybu hledat v import export procesu. Za me by urcite zaslouzila dokumentace k birdu trosku doladit/dotahnout/dodelat.

12

Sítě / Re:iBGP - synchronizace rout z Birdu do OS

« kdy: 06. 04. 2024, 06:08:06 »

V protokolu kernel má být import none, export all, tedy obráceně.

Ano je to tak - dekuji. A to jsem si rikal, ze jsem si dokumentaci precetl poradne.

13

Sítě / iBGP - synchronizace rout z Birdu do OS

« kdy: 05. 04. 2024, 20:22:51 »

Ahoj, potrebuji rozjet iBGP mezi dvema servery. Jako routovaciho daemona pouzivam Bird v2. Bohuzel se mi nepropisuji routy z Birda do routovaci tabule OS.

# ip ro sho

Kód: [Vybrat]

10.2.3.0/24 dev enp0s16 proto kernel scope link src 10.2.3.2 metric 102
# birdc show route

Kód: [Vybrat]

BIRD 2.15.1 ready.
Table master4:
0.0.0.0/0            unicast [ibgp1 16:02:20.063] * (100) [i]
        via 10.2.3.1 on enp0s16
10.6.1.0/24        unicast [ibgp1 16:02:20.063] * (100) [i]
        via 10.2.3.1 on enp0s16
10.2.3.0/24        unicast [direct1 16:02:15.406] * (240)
        dev enp0s16
                     unicast [kernel1 16:02:15.406] (10)
        dev enp0s16
                     unicast [ibgp1 16:02:20.063] (100) [i]
        via 10.2.3.1 on enp0s16
Podle dokumentace se o tento proces stara kernel protocol. Pro nej mam nastaveno import all coz by melo zajistit importovani vsech rout z dalsich protokolu a export none; Exportuji se direct tedy neni nutne exportovt kernel. Pro BGP jsem nastavil import all a export all ovsem tady uz jsem ve stavu kde experimentuji. Nastveni birda:
/etc/bird.conf

Kód: [Vybrat]

log "/var/log/bird.log" { debug, trace, info, remote, warning, error, auth, fatal, bug };

debug protocols all;

protocol device {
        scan time 10;
}

protocol direct {
        ipv4;
        interface "enp0s16";
}

protocol kernel {
        ipv4 {
              import all;
              export none;
        };
        scan time 10;
        learn all;
}

protocol static {
        ipv4;
}

protocol bgp ibgp1 {
        local as 65000;
        neighbor 10.2.3.1 as 65000;
        ipv4 {
                import all;
                export all;
        };
}
V logu birda neni nic co by napovedelo, proc se neprovede sync do kernelu. Sekci static bych taky mohl prozatim vypustit, ale ponechavam ji pro dalsi pokusy.

14

Hardware / Re:Linux na Thinkpadu P14s Gen4 AMD

« kdy: 20. 02. 2024, 07:20:35 »

Tak kdyz uz se nam z toho vlakna stal vylevnicek tak pridam taky svuj poznatek. Cca 15 let bezim na Lenovo Thinkpad TXXX. Pred tremi lety jsem poprve sel do AMD, protoze preci jede super. Ano jak tusite byla to chyba a od te doby je to spise boj nez harmonicke souziti. Pouzivam Ubuntu, ktere mam overeny a povazuji ho za nejstabilnejsi/nejoptimalizovanejsi distro pro notebook (a jak uz je uvedeno i vyse ma certifikace ....). Na desktopu mam debian a po koupi jsem zkusil nahodit i na notebook s ryzenem, ale to jsem tvrde narazil. S ubuntu jede tak nejak vsechno, grafika jako takova se nechova uplne dobre (preferuji z duvodu kompatibility s pouzitymi aplikacemi Xka, wayland jednoduse nefunguje se vsemi), ctecka karet nejde. Co funguje proti debianu - uspavani, dock (pres USB-C musim nekde nekolikrat vysunout a opet zasunout kabel), bluetooth (ten omezene vzdy do vypnuti ale jde), BT sluchatka.

15

Sítě / Re:Doporučte poskytovatele VPN pro server

« kdy: 06. 12. 2023, 21:51:58 »

Otazkou je k cemu ta VPN na serveru ma slouzit? Co ma byt cilem?

Nebude lepsi si pronajmout v pozadovane destinaci VPS a nasledne propojit pomoci WG?

Ano i reseni s VPS a VPN zvazuji. Tvorim tabulku s cenou a moznostmi tak uvidim co mi z toho vyjde