Příspěvky

1

Hardware / Re:Hardware na NAS

« kdy: 29. 08. 2023, 21:47:15 »

Svět není černobílý. Je to celé spektrum možností od 0 ... po TB SSD.

Tak tak. +1 (doplnil jsem nultou minimalistickou možnost - nasdílení  adresáře v rootfs flashky toho routeru  )

Tazatali bych poradil, že s jídlem roste chuť.  Že když prozatím chce jen hloupý storage, časem zjistí, že by chtěl i media server, pak něco víc...
Linuxy army v qnap a synology mají nějaký nestandardní linux, ze kterého akorát bude bolet hlava, pokud to budeš chtít používat jako  funkční linuxový OS . Není tam bash, grep , journalctl a další denní chleba. Grep tam je, ale neumí -P
ARM je fajn, je i rychlý, spotřeba je fakt malá, ale třeba ti ARMv8L přestane stačit, kdž budeš chtí x64 kontejnery

2

Sítě / Kontaktuje WireGuard peera vždy?

« kdy: 29. 08. 2023, 21:38:59 »

Měl bych takový dotaz k fungování wireguardu  v situacích, kdy druhý peer je nedostupný.  Mám modelový příklad: na VPS běží Wireguard a přes PREROUTING mám naforwardován vybraný port na koncové zařízení.


Pokud dojde k výpadku připojení koncového připojení, bude se ho VPS snažit kontaktovat  pokaždé, když přijde paket který má být forwardovaný? Nebo jsou tam nějaké timeouty (třeba vycházející z conntrack)?

Tím spíš, když koncové zařízení je za NATema výpadek trvá déle než  2 minuty. pak by vysílal VPS UDP do "černé dírky", jelikož NAT ISP už rozetnul spojení.


Zatímco v druhé situaci, kdy místo UDP je využit  (z koncového zařízení) ssh -w 1:2 prostě  root@vps.com "ip addr add x y peer z;ip link set tun2 up; ip r add x via y;", s vhodně zvolenými parametry Clieant/ServerAliveInterval/TCPKeepAlive prostě  ssh tunel zkolabuje jako magnetické pole po vypnutí proudu.

Vite o něčem. co by podobného chování docílilo u wireguardu (konfigurace, určo tam je nějaký keepalive, ale to je jen interval přeposílání "handshaku"), aspoň co by dalo interface do down.

3

Sítě / Re:Tcpdump nezachytí některé pakety

« kdy: 28. 08. 2023, 18:06:46 »

Jistěže ano. Vidím v logu ...entered promiscious mode.
 Co mě ale překvapilo, někdy , občas, a vůbec nevím proč, ty pakety android taky zachytí.

4

Server / Re:spor spf pass,fail v dvou atributech v DMARC

« kdy: 16. 08. 2023, 17:27:48 »

Díky za info, ještě mě zaráží že u jednoho mailu , který nevyhověl SPF, sle vícemeně pochazi ode mně(služba nemá SRS), auth_results.spf.result . hodnota pass    Tak co jiného značí ten tag result, (ne atribut spf) ??



Řadky jsou označeny ##2 ... Čekal bych tam taky fail ale on je tam pass

Kód: [Vybrat]

<record>
    <row>
      <source_ip>88.86.1o9.x46</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>quarantine</disposition>
        <dkim>fail</dkim>
 ###    <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>532.ru</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>bazos-wwwn.superhosting.cz</domain>
   ###2 <result>pass</result>
      </spf>
    </auth_results>
  </record>

5

Sítě / Tcpdump nezachytí některé pakety

« kdy: 09. 08. 2023, 14:50:27 »

Když zachytávám přes su(do) tcpdump se stejným filtrem pakety, tak na androidu mi jich zachytí méně (za stejné období 24 oproti 87)
Proč tomu tak je?

Konkrétně jde o UDP pakety na výpisu  s označením nat-isakmp-keepalive : na druhém výpisu z telefonu, chybí. Mělo by jít o IPSec tunel.

Nemůže  právě odtud IPSec # Implementations vítr vát ?  Zde se píše o dvou implementacích stacku. Může nějak to mluvit i následně do toho, co tcpdump/uvidí/zachytí?

Jaké je vysvětlení, že ty pakety tam prostě nejsou? (Pro potvrzení, na routeru jsem capturoval taky i vnější rozhraní a pakety tam viděl, tedy stejný výsledek jako na vnitřením rozhraní)

Jde jen o útržek z logu, nechtěl jsem postovat všech 87 řádků

Kód: [Vybrat]

su -c " tcpdump -ni wlan0  'port 4500 || port 500|| net 62.0.0.0/8 '" -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan0, link-type EN10MB (Ethernet), capture size 262144 bytes

IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]

IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]       
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  child_sa[I]   
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  child_sa[R]   
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp: child_sa  inf2[I]       
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp: child_sa  inf2[R]
^C
24 packets captured
24 packets received by filter
0 packets dropped by kernel

Na routeru:

Kód: [Vybrat]

sudo tcpdump  -ti eth0 "port 4500 || net
62.0.0.0/8 || port 500" -n
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp:
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp:
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp:
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp:
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: NONESP-encap: isakmp:
IP 62.33.99.59.4500 > 192.168.3.26.41404: NONESP-encap: isakmp:
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive
IP 192.168.3.26.41404 > 62.33.99.59.4500: isakmp-nat-keep-alive

87 packets captured
87 received
0 dropped

Verze na androidu(kde je méně paketů) je :

Kód: [Vybrat]

su -c tcpdump --version                                                             tcpdump version 4.9.2                                                                   libpcap version 1.9.0-PRE-GIT (with TPACKET_V3)                                         BoringSSL


Na routeru:
tcpdump --version
tcpdump version 4.9.3
libpcap version 1.8.1
OpenSSL 1.1.1d  10 Sep 2019

6

Software / Re:Info o obrázku v nomacs, gThumb a Ristretto

« kdy: 09. 08. 2023, 13:35:30 »

Zkusím doporučit XNViewMP.

Já ale uplně uchcávám z programu Galerie na androidu (com. android.gallery3d) . Kromě toho, že se nějak pravidelně (ale ne vždy) seká při otevírání obrázků na síti přes SMB a způsobí neovladatelnost přes displej - musím ho vypátrat přes adb cat /proc/*/comm ; kill číslo , jelikož pidof com.android.gallery3d se zasekne, protože tam asi je nějaký proces v zombí stavu v androidu, což omráčí pidof,který nikdy neskončí), mi u obrázku,  ukazuje souřadnice

Kód: [Vybrat]

Místo: ( 5x.000000,1x.000000),  

takže zaokrouhlední na 120km soudruzi fááákt přehnali

7

Windows a jiné systémy / Windows Firewall - specifikace bloku IP adres kromě určitých adres

« kdy: 09. 08. 2023, 13:28:19 »

Lze v windows firewallu určit takové firewallové pravidlo(nebo dvě), které  danému procesu  (Tab "Programy a služby"=cesta k exe) zablokuje (Tab: Obecné: akce=Blokovat) konektivitu  všem adresám(Tab:Obor=  přepínač libovolná adresa) kromě pár vybraných IP? (políčko vzdálená adresa)

Zkoušel jsem udělat druhé pravidlo pro stejný proces, ale s Tab:Obecné=Povolit a Tab:Obor:přepínač =vybrané adresy:a do seznamu je vepsat)

jenže je dále blokovano?

Jak to řešit? problém lze řešit jen aplikačním FW na tomto PC. Má windows firewall v sadě pravidel nějaké pořadí?

PS: hledal jsem i na stackoverflow, jenže tam radí odpověď na jiný problém. Radí zmenit politiku firewallu a následně povolit pár IP adres. To by uplně rozhasilo politiku firewallu na tomto pc. tu chci nechat. Já jen chci řešit sadu pravidel pro jeden program.

Snad mě nečeká  řešení pouze jednoho pravidla Blokovat a v obor se pokusit čarova s maskami typu 0.0.0.0/1,128.0.0.0/2,192.0.0.0/2..... 194.0.0..... to bych na to zaprvý musel mít nějaký generátor a naklikat by trvalo 15 minut

Přitom by stačilo jediné, aby (v rámci 1 jednoho pravidla)do Obor šlo přidat něco jako vyjímka nebo zápis s prefixem + a -, takže například bych danému programu zablokoval 180.2.1.0/24 a v zápětí vyjmout 180.2.1.16/28

Jenže když dám 2 pravidla, tak pravidlo povolit ho nepřepíše. P

zde je obrázek té hrůzy:

8

Software / Re:Čínský software v síti

« kdy: 09. 08. 2023, 13:13:28 »

Tak tomu nerozumím: vycházel jsem z toho, že ty tiskárny se především exportují mimo čínu, a čínské Straně bude jedno, jestli si pistole bude někdo tisknou Mimo čínu. Ano, pro vlastní stát kontrolu ponechat, to se dá řešit dvojím firmwarem/ určením pro místní/zahraniční trh: v číně kontrola+represe , v zahraničí šmírování+exfiltrace+kopírování(+trojanizace )

Ale to už hodně fabuluju u té kurzívy

9

Software / Re:Čínský software v síti .. anketa, co znamená PSZN

« kdy: 09. 08. 2023, 12:44:12 »

to neni stejne, to je to posledni, ze kalkulacka je debilni naprogramovana. (stejne jako ze HP printer drivery musi mit 1 GB a (na windows 7) mely v sobe 3 web servery/services.

ale treba nikdo nechape, ze odmitam koupit posledni generace 3D cinske tiskarny (ktera je 3x rychlejsi nez Prusa pri nizsi cene), protoze nefunguje bez internetu a data se do ni daji poslat jen skrz API cinske firmy.

takze jakykoli PoC internet vyvijeny se vzdy posila do Ciny "ke schvaleni", jinak se do tiskarny opravdu da dostat jen velmi tezko.
super.

Omyl, omyl, Ne "ke schvaleni", ale k okopírování.


Ty drivery HP jsem vykuchal a přes Universal extractor rozbalil a neinstaloval přes Exe, ale přes hardware-přidat nový /Vyhledat a ručně zvolit *.inf. Pak je to snesitelné.  služby se dají zakázat. beztak je to nějaký jen debilní notifikátor popupů, že se tiskne. (Ale může to něco rozbít )

Jenže ryba smrdí od hlavy... To je jako divit se ,že poslední desátník armády wehrmachtu zabíjel, když celá třetí říše byla zločinecká. Takže Windows 8+ má své "larvy" všude , i v té kalkulačce. (Snad se nepletu, třeba to je jen dementně naprogramované a nic zlého nedělá. Snad bych se pletl) Takže on už průser začíná od "mít Windows" a nějaká kalkulačka v třetí řadě v pravo je jen malý drobeček v celém soukolí

Mimochodem, ono se nemusí chodit daleko. Paradox doby je, že zlo má tendenci se šířit a rozlézat.
Anketa co znamená zkratka PSZN.CZ? Pohraniční stráž Zlodějů netu?
Otevřu se mapy.cz, a nejadnou vidím nově (zablokovanou,ale/resp.proto neznámou) doménu sentry.pszn.cz(/api/18/envelope)

Ale ty šmejdi nemají šanci, ono stačí si dát do prohlížeče ||sentry.*.*/api/*

10

Software / Re:Čínský software v síti

« kdy: 09. 08. 2023, 11:40:26 »

Software a v síti? To sémanticky nedává smysl. Software může být na disku, nebo spuštěn.
Tím chci říct, že na síť ho vůbec (ty, router,admin) nemusí(š) vpouštět.

ja bych zkusil treba wiresharkem zda se soft snazi neco posilat ven.

To už bude ale pozdě.

BTW?: jak toto  řešíte, když si pořídí(te) nový hardware(nikoli software!)? Jako třeba nový čínksý tablet? Já sice měl ted´v síti jen smartphone s čistým androidem, ale taky mi to týden nedalo spát.
Zmohl jsem se jen na monitorování DNS požadavků a posléze vyhodnocování a ruční blokování(Expost až)

Jak ale toto řešit dopředu a interaktivně?

11

Sítě / hubit a flapnete u PI adres

« kdy: 09. 08. 2023, 11:24:55 »

Šlo by to(citaci dole) přeložit trochu do jazyka smrtelníků? Jaké příklady flapnutí a hubení jsou?

A dál mě zajímá srování s druhým odstavcem. Tedy mít PI adresu a "mě: i s dvěma konektivitami od dvou různých ISP (dva různé autonomní systémy) " jsou ve vztahu XOR?

PI trochu tuším co je, že mám IP adresu z rozsahu PI  (no punlindrom intended) a můžu střídat nebo mít víc poskytovatelů(co z toho platí, obojí může být?) a přes BGP mi tuto IP adresu provider "zprovisinuje" - ale nemůže to asi být Lojza z Kotěhůlek, který  lakuje své stádo NAT konektivitou..

A tedy jste to myslel (tu část v kurzívě) takto: že jde o 2 konektivity s IP adresou(ami) ,kterou standardně poskytuje poskytovatel, tedy bez BGP   
"přečíšlování"??

To je hodně konzervativní pozice.
PI adresy jsou dvojsečné. Pokud už se je podaří získat, tak za tu "nezávislost" se snadno platí tím, že pokud párkrát flapnete, tak Vás budou velcí hráči naschvál "hubit" v globálním BGP.

Za mě: i s dvěma konektivitami od dvou různých ISP (dva různé autonomní systémy) se dá vyžít velmi dobře.

Hubit znamená "nechat" zmizet? Jelikož pokud není adresa propagována přes BGP, není se k ní jak dostat, že?
ALe je mi na tom divná jedna věc. Myslel jsem, že hubit může maximálně ten provider, u kterého to mám, ale jak to že i "zbytek světa"(ostatní) ASN? Je to tak, že provider jen anouncuje moji PI adresu do svého ASN přes BGP? a záleží jestli ti velcí ostatní ji přijmou?

12

Server / Význam reason→comment:arc=fail v DMARC

« kdy: 09. 08. 2023, 10:44:23 »

Zdravicko,narazil jsem v DMARC reportu posílaném mě v uzlu ROW na neznámý atribut REASON (vyznačen v prostředním bloku). Co to prosím znamená? jde o normálně poslanou novou zprávu
, žádné FWD , ani bounce ani přeposílku ani SRS ani čachry. Tedy na mé straně aspoň.


Vypadá to, že to dělá jen pro jeden konkrétním SMTP MX server .kam posílám poštu. (Samozřejmě že dmarc-odesílající server není totožný s příslušným SMTP. Nutně. )

Nějaké ARC je pro mě spanělská vesnice, tak prosím o nějaké stručné shrnutí a vůbec, jak tyto řádky chápat, co znamenají a co si z toho odnest

Kód: [Vybrat]

<policy_published>
        <domain>xy.cz</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>quarantine</p>
        <sp>quarantine</sp>
        <pct>100</pct>
    </policy_published>
…
<record>  <row>
            <source_ip>254.0.68.2?9</source_ip>
            <count>1</count>
            <policy_evaluated>
                <disposition>none</disposition>
                <dkim>fail</dkim>
                <spf>pass</spf>

Tady:

Kód: [Vybrat]

             <reason>
                    <type>local_policy</type>
                    <comment>arc=fail</comment>
                </reason>

pokračování

Kód: [Vybrat]

            </policy_evaluated>
        </row>
        <identifiers>
            <header_from>xy.cz</header_from>
        </identifiers>
        <auth_results>
            <spf>
                <domain>xy.cz</domain>
                <result>pass</result>
            </spf>
        </auth_results>
    </record>

13

/dev/null / co jsou béčkové subdomény domény facebook

« kdy: 05. 08. 2023, 18:47:22 »

b-graph a b-www domény facebook.com. v čem se odlišují od těch bez b-?

14

Sítě / Re:Jak operátoři blokují zahraniční VoWiFi?

« kdy: 05. 08. 2023, 18:09:47 »

VPN když používá UDP zvyšuje latenci minimálně. To nikdo nepozná.

No hádat se nebudu, takhle ta odpověď možná působí (asi neúmyslně), že t latence jen záleží na použití UDP a že tedy  sezvyšuje minimálně při jeho použití

Ve skutečnosti záleží na zvýšení počtu hopů a jestli ta trasa vede nějak inteligentně (ne geometricky,i když je to ur'čité vodítko).. Dá se udělat VPN spoj, který latenci nepřidá. A naopak se dá udělat spoj mezi 2 městy, který půjde přes půl světa

Ale každý VPN tunel má 2 konce a je nutné řešit oba

15

Sítě / Re:Jak operátoři blokují zahraniční VoWiFi?

« kdy: 05. 08. 2023, 16:45:06 »

VoIP SIP z identitou vašeho obilu

a jako To funguje? Jako moje číslo? To jde udělat bez vědomí majitele nebo nějaké autorizace,? Jde to udělat pro jakoukoli Simku virtuàla?

Je to hloupé, že to nejde.... Ty vpn takhle zbytečně natahují latenci