Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Filip Jirsák

Stran: [1] 2 3 ... 313
1
Ale rád bych věc pochopil až do konce. Nerozumím tomu, jak dojde ke "schování" návratových paketů před ping/curl/..). Nastavení je:
Kód: [Vybrat]
iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      11M   14G LIBVIRT_INP  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2     2386  640K nixos-fw   all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 LIBVIRT_FWX  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2        0     0 LIBVIRT_FWI  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 LIBVIRT_FWO  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 2582 packets, 405K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    6303K  498M LIBVIRT_OUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain LIBVIRT_FWI (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
2        0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain LIBVIRT_FWO (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           
2        0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain LIBVIRT_FWX (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           

Chain LIBVIRT_INP (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
2        0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
3        0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
4        0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain LIBVIRT_OUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:53
2        0     0 ACCEPT     tcp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
3        0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
4        0     0 ACCEPT     tcp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            tcp dpt:68

Chain nixos-fw (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1      414  221K nixos-fw-accept  all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
2     1947  416K nixos-fw-accept  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
3        0     0 nixos-fw-accept  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
4        0     0 nixos-fw-accept  icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
5       25  3112 nixos-fw-log-refuse  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain nixos-fw-accept (4 references)
num   pkts bytes target     prot opt in     out     source               destination         
1     2361  637K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain nixos-fw-log-refuse (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02 LOG flags 0 level 6 prefix "refused connection: "
2       24  3072 nixos-fw-refuse  all  --  *      *       0.0.0.0/0            0.0.0.0/0            PKTTYPE != unicast
3        1    40 nixos-fw-refuse  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain nixos-fw-refuse (2 references)
num   pkts bytes target     prot opt in     out     source               destination         
1       25  3112 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

To je firewall z nějakého routeru za tím notebookem? To je pro připojení toho notebooku přes WiFi, to druhé rozhraní notebooku je připojené do úplně jiné sítě? Já vlastně pořád nemám představu, jak ta vaše síť vypadá.

Jinak ten OUTPUT chain, který má všechna pravidla na ACCEPT a pak má i policy ACCEPT je trochu zbytečný, jenom policy by udělala stejnou službu – pokud teda nepotřebujete počítat pakety.

Každopádně by se hodilo vidět ještě výpis NAT pravidel – přidejte k tomu ještě -t nat.

Na procházení iptables pravidel jsem většinou moc línej. Raději vynuluju počítadla paketů, ideální je, když je to nějaké testovací prostředí a můžu zastavit veškerý ostatní provoz, a pak pustím to, co mne zajímá. Ono se pak na počítadlech hezky ukáže, kudy ten paket přesně šel.

2
Server / Re:Odchozí pošta padá do spamu
« kdy: 25. 10. 2021, 22:14:07 »
Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta.
Ve kterém RFC je napsáno, že poštovní klient musí (MUST) mít reverzní DNS záznam? Ve kterém RFC je napsáno, že HELO/EHLO uvítání musí být DNS název, že tento DNS název musí mít A záznam vedoucí zpět na poštovního klienta a že reverzí záznam pro danou IP adresu se musí překládat zase zpět na ten název v HELO/EHLO?

3
Server / Re:Mail u sebe doma
« kdy: 25. 10. 2021, 22:09:45 »
Ano som si isty.
Takové mám nejradši. Ty, kteří po dokončení step-by-step návodu mají pocit, jak všemu rozumí.

4
Server / Re:obdoba SERVFAIL/NXDOMAIN U Virtualhosta
« kdy: 25. 10. 2021, 22:07:37 »
Já ale žádné weby ani domény neprovozuju...
A s tím HTTP a HTTPS tedy děláte co? Pěstujete rajčata?

O téhle možnosti vím.To jsem právě nechtěl slyšet (možná jsem měl napsat že kromě tohoto řešení) - asi si za to můžu že jsem napsal  ten řádek - technické řešení i de-facto používané.
Možná jste spíš měl napsat, jaký řešíte problém. Osvědčilo se to – lidé, kteří popíšou svůj problém, se většinou dozvědí řešení. Lidé, kteří popíšou jen svoje nefunkční řešení, se popisu funkčního řešení dočkají málokdy – a vždy je podmínkou to, že se podaří je přesvědčit, aby přestali nabízet své nefunkční řešení a popsali svůj problém.

5
Server / Re:Mail u sebe doma
« kdy: 25. 10. 2021, 14:55:16 »
Toto nieje ziadna raketova veda. Tuto problematiku vies v pohode nastudovat za tyzden.
Jste si jistý, že problematiku toho, jak by mohl váš server šířit viry a spam, jste za týden nastudoval? Jak jste si to ověřil, že to máte nastudované kompletně?

6
Server / Re:Odchozí pošta padá do spamu
« kdy: 25. 10. 2021, 12:14:45 »
Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?
Nijak. Resp. že je někde problém se dozvíte, až se nebude dařit doručit e-mail na cílový server. Proč se to nedaří pak můžete zkusit zjistit u jeho správce, ale adresa postmaster nejspíš také nebude fungovat a ani jinak se s vámi nebude nikdo bavit. Že by vám někdo napsal, proč váš e-mail neprochází, je velmi ojedinělé. A že by dokonce změnil nesmyslné nastavení, to je nereálné.

Vítejte do světa správy poštovních serverů v roce 2021.

7
Odkladiště / Re:Mobil Xiaomi MI 9T Pro mě odposlouchává?
« kdy: 25. 10. 2021, 11:42:04 »
Spíše jsem to myslel tak, jestli by se něco změnilo? Jestli by třeba vznikl tlak na zakázání takového vytěžování, nějaké blokátory, více offline uživatelů nebo by se s tím prostě lidé smířili, jako když té žábě v nádobě zvýšíte teplotu o jeden stupeň (možná o dva).
Některý ze států EU by začal vyšetřovat porušení GDPR a ta firma (ať už Xiaomi nebo Google, podle toho, kdo by to měl na svědomí) by zaplatil a mastnou pokutu.

Nebo poraďte co by byla dobrá fráze, jednoduchá, ale zároveň by neměla být sezónní jako třeba teď říkat ty zimní gumy asi nebude dobrý test.
Já bych doporučil něco úplně nezávislého, třeba otevřít slovník nebo nějakou knihu na náhodné stránce, vybrat si první podstatné jméno a to pak několikrát během jednoho či několika dnů u telefonu říkat.
Je dobré vybrat něco, na co může být cílena reklama. Ale jinak souhlas, mělo by to být něco vybraného náhodně, co získáte z offline světa – abyste minimalizoval riziko, že ta „testovací fráze“ unikne jinou cestou.

8
Server / Re:odchozi posta pada do SPAMu
« kdy: 25. 10. 2021, 11:18:04 »
Nevim co si predstavujete pod pojmem "skutecny server" ale obecne nechteji platit za pronajaty server a zaroven za udrzovani vlastniho. Tu debatu jsem s nimi pomerne dlouho vedl, byla z jejich strany pomerne racionalni ale nechce se mi ji tu celou reprodukovat.
Myslel jsem přenést poštovní server se schránkami k nějakému poskytovateli e-mailových služeb a ve firmě si nechat pod původním názvem malý server, který bude dělat jenom SMTP relay k tomu poskytovateli e-mailových služeb. (Předpokládám, že důvod je ten, že jsou někde skripty, které odesílají e-maily přes ten server a nechcete v těch skriptech měnit název serveru, případně do nich dodělávat autentizaci.) Tj. ten současný server by nemusel zůstávat „v plné palbě“, mohl by se z něj udělat malý virtuál. Může to cenově nakonec vyjít lépe, než udržovat ten současný server. Ale to záleží na konkrétních podmínkách, někdy je prostě dané, že firma „potřebuje“ vlastní server, racionální argumenty tam nejsou, ale stejně s tím nic nenaděláte.

Jako udelat to samozrejme muzu, ale je to skutecne tak? Vsude jinde jsme cetl jen o potrebe revernich zaznamu na IP adresu SMTP serveru.
To je právě ten problém, že dávno neexistují pravidla, kterými by se poštovní servery řídily. Dávno se to bere jako válka proti spamu, kde je povoleno vše. Takže to, že někdo kontroluje reverzní záznamy, neznamená, že někdo jiný nekontroluje HELO a nemá nějaké pravidlo, že musí být shodné bůhví s čím. Bohužel není neobvyklé, že správci poštovního serveru v zuřivém boji se spamem blokují kde co, dají si velké poskytovatele na allowlist a pak tvrdí, že jejich pravidla jsou v pořádku, protože jim přece e-maily od velkých poskytovatelů chodí.

Třeba jeden známý blacklist dával na blacklist celé rozsahy jenom proto, že reverzní název obsahoval tu rozlišovací část IP adresy – protože ty reverzní záznamy prostě byly automaticky vygenerované pro celý rozsah IP adres. Odůvodnili to tak, že je to známka automaticky přidělovaných reverzních záznamů (což měli pravdu), a že to je známka spotřebitelských přípojek a na nich prý nemá poštovní server co dělat. Tečka, bavit se o tom s nikým nebudou a vám nezbývá, než přesvědčit ISP, aby vám ten jeden reverzní záznam změnil a odstranil z něj to číslo.

A takováhle de… ne moc chytrá pravidla si navymýšlí kde kdo, každý svá. A po vás se chce, abyste na všechna ta pravidla přišel a server podle nich nakonfiguroval…

9
Odkladiště / Re:Mobil Xiaomi MI 9T Pro mě odposlouchává?
« kdy: 25. 10. 2021, 11:05:33 »
Ale jo, udělám experiment, v práci si na nějakém random PC u kterého jsem nikdy nebyl vyhledám něco co má velkou reklamu, ale jde normálně mimo mě, vypnu uBlock a zkusím házet fráze na telefon, uvidíme. Takhle z hlavy mě napadá třeba League of Legends? Tu hru neznám, vím že se o ní mluví a v době před youtube vanced měla dost reklamy. Nebo poraďte co by byla dobrá fráze, jednoduchá, ale zároveň by neměla být sezónní jako třeba teď říkat ty zimní gumy asi nebude dobrý test.
Pokud ten test má dávat smysl, musíte ta slova použít jenom v řeči, kterou může zachytit telefon. Nemůžete to hledat nikde jinde nebo si je nechat poradit tady na fóru. Protože pak byste nevěděl, zda se do toho reklamního systému dostala přes mobil nebo přes to vyhledávání a zdejší diskusi.

10
Server / Re:odchozi posta pada do SPAMu
« kdy: 25. 10. 2021, 08:59:02 »
Především je potřeba odstranit server z blacklistů.

To, že přes server odesílají e-maily nějaké skripty, přece není důvod odesílat přes něj veškerou poštu. Můžete poštovní server zmigrovat jinam a současný server použít jenom jako relay pro ty skripty, aby předával e-maily k odeslání skutečnému serveru.

11
Server / Re:Mail u sebe doma
« kdy: 25. 10. 2021, 08:56:09 »
jak moc velký s tím bude voser?
Velký. Musíte se o to neustále starat – aby váš server nerozesílal spam a viry; že někdo vašeho serveru nepřijímá poštu, protože se mu nelíbí DNS název serveru / jeho IP adresa / jméno, jakým se server představuje / že posíláte hodně e-mailů / že posíláte málo e-mailů / protože je pondělí / protože má prostě blbou náladu. Navíc když máte jednu veřejnou IP adresu, nemáte vliv na to, co se děje „kolem vás“ – odešle spam někdo ze sousední IP adresy  a někdo dá na blocklist celou C síť, protože proč ne. No a pak už jsou jen takové drobnosti jako příchozí spam.

12
Předpokládám, že ty odchozí pakety normálně projdou – pokud tam nemáte nastavená ještě nějaká pravidla. Podívejte se přes tcpdump, co skutečně z rozhraní odchází. Nemáte tam ještě nějaký NAT? Pokud se nastaví odchozí IP adresa sítě A a paket pak odejde sítí B, vrátí se odpověď sítí A (podle původní zdrojové IP adresy) – a pokud se v síti A dělá NAT, odpověď neprojde, protože pro ni chybí v NATu záznam v tabulce spojení.

13
Sítě / Re:remote mysql server
« kdy: 24. 10. 2021, 21:50:08 »
zkusil bych na stroji ip-adresa-1 udelat:

netstat.exe -anop tcp | findstr 3306

Kód: [Vybrat]
tcp6       0      0 :::3306                 :::*                    LISTEN      13723/mysqld     off (0.00/0/0)
tcp6       0      0 10.0.2.5:3306           ip-adresa-1:64560      ESTABLISHED 13723/mysqld     keepalive (546.14/0/0)

Co z toho mohu pochopit?

Vážně vám na tom počítači fungují linuxové i Windowsovské příkazy? Nebo to byl linuxový příkaz netstat? netstat je na Linuxu zastaralý, byl dávno nahrazen příkazem ss. Takže výsledek je jenom zopakování výstupu z komentáře z 12:56, že MySQL naslouchá na všech dostupných IP adresách. Pak je tam ještě vidět, že je tam navázané spojení mezi 10.0.2.5:3306 a ip-adresa-1:64560, tj. váš MySQL server je připojen k MySQL serveru na adrese 10.0.2.5 – předpokládám nějaká replikace?

Pořád ale nevíme, jestli paket z vašeho klienta vůbec dorazí na server. Bez toho nepůjde zjistit, kde přesně je v síti problém – je potřeba najít to místo, kde se navazované spojení ztrácí. Takže nezbývá než použít tcpdump (na Windows Wireshark) a nechat si vypisovat všechny pakety na portu 3306. Začal bych na serveru – pokud paket dorazí až tam, je problém v místním firewallu na serveru. Pokud paket nedorazí, musíte pátrat mezi klientem a serverem a na klientovi.

14
Sítě / Re:remote mysql server
« kdy: 24. 10. 2021, 13:17:51 »
A firewall na stroji, odkud se připojujete, nebo někde v síti mezi klientem a serverem? IP adresu toho serveru zadáváte správně? Ve firewallu je povolena správná IP adresa klienta – není někde mezi třeba NAT?

Když pokus o připojení skončí timeoutem, a to i když zkoušíte telnet, znamená to, že je problém někde v síťové komunikaci.

Zkuste tcpdump na tom serveru, zda tam vůbec dorazí paket s klienta navazující spojení.

15
Odkladiště / Re:Mobil Xiaomi MI 9T Pro mě odposlouchává?
« kdy: 24. 10. 2021, 12:02:14 »
Mně přijde trochu pochybné vycházet z premisy, že telefon by hlasová data měl nutně posílat kamsi do čmoudu v reálném čase.
Nic takového tu ovšem nikdo nepředpokládal.

Nejsem si jistý, jak to je s výpočetní náročností rozpoznávání hlasu na telefonu, ale dovedu si představit, že by vyzobával jenom něco nebo to dělal hrubě, zato by to ale shromažďoval dlouho. Neodesílal by to hned, ale při vhodné příležitosti by to mohl přiložit ke zdánlivě legitimní komunikaci, aby to nebudilo podezření.
Přičemž tím „dlouho“ myslíte několik hodin? Ty zprávy o tom, jak někoho telefon odposlouchává, vždycky říkají, že se ta reklama začala objevovat za chvíli nebo další den. Ono té komunikace, která běží na pozadí, zase není tolik, aby se k ní nepozorovaně dal přibalit záznam několika desítek minut nebo hodin hlasu. Dokonce ani kdyby to bylo přepsané do textové formy (což nedává smysl, přepisovat to nepřesně přímo v mobilu, když pro cílení reklamy potřebujete přesně vědět, zda dotyčný neřekl např. jméno nějaké značky).

Každopádně i kdyby bylo teoreticky možné to, co popisujete, pořád to nevysvětluje, proč to zatím nikdo nedokázal zreprodukovat jednoduchým experimentem. Abych začal věřit, že na tom něco může být, nepotřeboval bych ani dvojitě zaslepený experiment. Ale nikdo nic takového experimentem nedokázal, vždy je to jenom „zpětně jsem si vzpomněl, že jsme o tom mluvili“ – takovou situaci ale daleko lépe vysvětluje fungování lidského mozku, který většinu příchozích informací filtruje a začne je propouštět do vědomí teprve v okamžiku, kdy pro vás začnou být důležité. Takže vás musím zklamat, ale to, že jsem se začal zajímat o něco nového (co ale existovalo dávno) a najednou se to řešilo všude – v novinách, v televizi, v rozhlase, bavili se o tom lidé – se dělo odjakživa, dávno před vznikem hloupých telefonů a i v době, kdy jsme doma neměli ani pevnou linku.

Stran: [1] 2 3 ... 313