Příspěvky

556

Server / Re:Lokálny DNS server neforwarduje Gmail

« kdy: 28. 09. 2012, 11:51:01 »

Tak dump jasně ukazuje, že máš firewall, co zahazuje fragmenty. A nejspíš je i problém s TCP spojením. Zkus přidat do options:

Kód: [Vybrat]

edns-udp-size 1200;

Pak jsem taky nějak nepochopil, když píšeš, že firemní server má adresu 10.0.120.8,  proč forwarduješ na adresy 10.0.10.8 a 10.0.10.4. Jak už bylo napsáno, dej tam adresu svého nadřazeného serveru. Pokud nemáš otevřené přímé spojení na port 53 do Internetu, přidej do options ještě:

Kód: [Vybrat]

forward only;

Ničemu to asi nepomůže, ale v případě neúspěchu se to nebude snažit spojit se přímo s root servery.

557

Server / Re:Lokálny DNS server neforwarduje Gmail

« kdy: 27. 09. 2012, 12:04:15 »

Na konfiguráku nic špatného nevidím, zkus zachytit problematickou komunikaci:

Kód: [Vybrat]

# tcpdump -s0 -w dump.pcap udp port 53 or tcp port 53

Během zachycování spusť tyhle příkazy:

Kód: [Vybrat]

$ dig gmail.com a @127.0.0.1
$ dig gmail.com aaaa @127.0.0.1
$ dig gmail.com any @127.0.0.1
$ dig gmail.com a +cdflag @127.0.0.1

A pošli sem všechny výstupy.

Máš povolené i TCP spojení na port 53? Nezahazuje firewall fragmentovaný provoz? To by mělo být vidět v dumpu.

558

Software / Re:Obraz disku a rozdělení na oddíly

« kdy: 19. 09. 2012, 12:17:52 »

Díky za tip, kpartx jsem neznal.

Stejného efektu lze s trochou ruční práce dosáhnout i pomocí nástroje losetup s přepínači --offset a --sizelimit

559

Sítě / Re:Praktické dotazy k IPv6

« kdy: 19. 09. 2012, 12:12:58 »

Pokud jde o jednorázovou a trvalou změnu providera, jediným správným řešením je síť přeadresovat. Taková změna se neděje příliš často

Tak a teď jsem z toho jelen. Pokud vím, tak hlavním smyslem zero conf v IPv6 je to, aby se nějaké adresy vůbec nemusely řešit. Dokážu si tedy představit, že mám síť, kde všechny počítače mají automatickou konfiguraci s tím, že prefix získají od routeru.

Jasně, přeadresování jedné koncové sítě, kde se používá automatická konfigurace je jednoduchý případ. Můj příspěvek mířil na složitější topologie, kde je routerů a koncových sítí více a přeadresování bude pravděpodobně vyžadovat rekonfiguraci každého routeru.

560

Sítě / Re:Praktické dotazy k IPv6

« kdy: 19. 09. 2012, 09:48:49 »

ad 1) taky si muzes poridit PI adresy, coz v pripade IPv6 asi nebude nikterak zasadni problem => mas svuj vlastni rozsah verejnych adres, provideru muzes mit kolik chces, jen jim oznamis, jaky rozsah adres maji routovat.

PI adresy rozhodně není snadné získat, pokud k jejich použití není objektivní důvod (a to, že někdy v budoucnu možná budu měnit providera a nechce se mi přeadresovávat síť, objektivní důvod není). Kdyby všichni používali PI adresy, globální směrovací tabulka by narostla do astronomických rozměrů a Internet by měl dost problémů zůstat pohromadě.

Pokud jde o jednorázovou a trvalou změnu providera, jediným správným řešením je síť přeadresovat. Taková změna se neděje příliš často a vždy je spojena s náklady navíc. Pokud jde o zálohování občasného výpadku a při výpadku vystačí síť s nouzovým režimem, kdy nejde navazovat spojení dovnitř, pak bych volil po dobu výpadku bezestavový NAT, který dočasně přeloží původní nefunkční prefix na nový, funkční.

561

Sítě / Re:Praktické dotazy k IPv6

« kdy: 17. 09. 2012, 13:09:34 »

To je mi jasné. Nechápu ale, jak se při odesílání požadavku určí zdrojová adresa v TCP packetu (tzn. adresa, na kterou přijde odpověď). Dejme tomu, že mám pro počítač nadefinované dvě adresy, jednu globální (G) a jednu lokální (L). Dále mám webový prohlížeč, ze kterého přistupuji ke dvěma serverům, jednomu ve vnitřní síti, druhému ve vnější síti. No a já bych chtěl, aby packet směřující do lokální sítě měl jako zdrojovou adresu L, zatímco packet směřující na externí server by měl G. Myšleno speciálně na Windows, pokud se to mezi různými OS liší.

Postup volby adresy je poměrně složitý a nejlépe se tomu věnuje kapitola 3.12 na straně 84 knihy o IPv6. Ve zkratce: Nejprve se vybere cílová adresa, mimo jiné i tak, aby byla preferování ta s kratším dosahem. Pak se k tomu vybere odpovídající zdrojová adresa tak, aby se k sobě nejlépe hodily. Pokud tedy z DNS vypadne globální adresa a ULA adresa, měla by být vybrána ULA, protože má menší dosah. Při navazování spojení na ULA adresu se vždy vybere zdrojová ULA adresa, protože má shodný dosah a nejdelší společný prefix.

Další možností je použití split DNS, kdy do vnitřní sítě budou hlášeny pouze ULA adresy, zatímco do Internetu pouze globální adresy.

562

Vývoj / Re:GIT_hooks - post-receive

« kdy: 13. 09. 2012, 09:24:25 »

Já to řeším tak, že mám bare respository jmenowebu.git někde mimo webroot a v něm je takovýto post-receive hook:

Kód: [Vybrat]

#!/bin/sh
echo "*** Publishing new repository status into webroot ***"
GIT_WORK_TREE=/var/www/jmenowebu/ git checkout -f

Díky tomu nemusím mít zbytečně repozitář dvakrát a nemám jej umístěn ani ve webrootu, kde by mohl být přístupný z webu.

563

Server / Re:Bind9 vs. Unbound

« kdy: 11. 09. 2012, 15:45:30 »

Oba servery jsou srovnatelně dobré, z mého pohledu má aktuální unbound trochu méně chyb ve validaci DNSSEC, než aktuální BIND.
Nejlepší je používat oba, každý na jednom serveru.

564

Sítě / Re:IPTV poskytovatel pro menší síť

« kdy: 11. 09. 2012, 12:47:13 »

Trochu jsem pátral po českém internetu a bohužel jsem nenašel nic smysluplného, dokázal by někdo dat tip, existuji u nás přeci IPTV poskytovatelé ve smyslu že poskytují službu pro další ISP a nikoliv jen koncovým klientům?

Myslím, že něco takového nabízí firma Self Servis:
http://www.czechbone.net/iptv/IPTV

Aspoň můj triple play provider od nich IPTV zřejmě odebírá, soudě podle multicastových adres, náležících právě pro AS společnosti Self Servis.

565

Server / Re:blokace ip

« kdy: 25. 08. 2012, 11:09:30 »

…Jen dodám opravdu nejsem dobry v ůinu…

No, řekl bych, že nejsi sám, já například pojem ůin četl poprvé v životě v tvém příspěvku 

Ale k věci. Kromě fail2ban můžeš zkusit také denyhosts, což je více jednoúčelový prográmek, v podstatě ho stačí nainstalovat a hotovo. Pozor na to, že pokud se spleteš v hesle několikrát po sobě, budeš také bez milosti odříznut. Další možností je používat SSH klíče a zakázat přihlašování heslem. Dále můžeš zakázat přihlašování na roota (a používat su/sudo) a nakonec i přesunout na jiné číslo portu.

Nejlépe ale všechno zkombinovat, tedy začít používat SSH klíče, vypnout přihlašování na roota a nainstalovat automatický banner, s nastavením whitelistu, abys měl jistotu, že některé adresy nikdy nezabanuje.

566

Hardware / Re:USB DVB-T přijímače pro Linux

« kdy: 31. 07. 2012, 21:28:48 »

Přesně tak, drobné zásilky do 22 EUR clu nepodléhají, je však třeba počítat až s pětitýdenním pobytu na celní poště v Praze 5 - Košířích, než dostane příslušné razítko „BEZE CLA“. Objednávám z eBay a DealExtreme přibližně jednu zásilku měsíčně a zatím všechno došlo, někdy však až po dvou měsících.

567

Hardware / Re:USB DVB-T pod linuxom

« kdy: 31. 07. 2012, 10:42:49 »

Je to těžké, obvykle každý vagon s USB DVB-T adaptéry obsahuje nějaký nový, dosud nepodporovaný čipset a než na něj vznikne podpora, už se dávno neprodává.

Veliká tabulka podporovaných zařízení je zde: http://linuxtv.org/wiki/index.php/DVB-T_USB_Devices
Osobně jsem zkusil několik USB DVB-T tunerů z Číny, prodávaných na eBay či DealExtreme za velice výhodnou cenu (kolem 200 Kč) a všechny jsem s většími či menšími obtížemi zprovoznil. Teď třeba frčí čipset IT9135, který je v nových jádrech podporován.

Jen doporučuji vybírat takový přijímač, jehož součástí je redukce na standardní anténní konektor IEC. Tunery mají obecně mizernou citlivost, takže pokud bydlíš dál, než 500 metrů od vysílače, přibalená anténka bude k ničemu.

568

Sítě / Re:IPv6 co s ní?

« kdy: 21. 07. 2012, 21:40:26 »

Je to trochu nepřehledné a z té sady monologů stále nemůžu pochopit, jaký máš problém.

Doporučuji prostě IPv6 neřešit, žádné reálné nebezpečí ti nehrozí.

569

Sítě / Re:IPv6 co s ní?

« kdy: 20. 07. 2012, 09:19:21 »

Pokud jsi vypnul autoconf, počítač by si adresu přidělit neměl, pokud ji však má, zůstane mu. Aby systém náhodné adresy nejen přidělil, ale i aktivně používal, je potřeba do use_tempaddr uložit dvojku.

Jinak je samozřejmě možné IPv6 vypnout, například pomocí /proc/sys/net/ipv6/conf/all/disable_ipv6

…ale moc to s tou paranoiou nepřeháněj, stejně po tobě jdou.

570

O serveru Root.cz / Re:Rychlost rootu

« kdy: 08. 07. 2012, 11:57:07 »

A norozbila se třeba IPv6? Tím by se vysvětlovaly ty dlouhé prodlevy i to, že to v Chrome funguje.

Já jsem teda nic nepozoroval a to IPv6 mám.