Příspěvky

1396

Sítě / Re:T-Mobile - slovenská GeoIP

« kdy: 21. 03. 2021, 13:06:42 »

Já si naopak myslím, že T-mobile za to může.   Jednou jsem reklamoval špatné město u nej.cz a pomohlo to. Majitel ip adresy může databázi určitě aktualizovat.

To by mne zajímalo, jak T-Mobile zaktualizuje databázi na mém lokálním disku… Neexistuje žádná oficiální databáze přiřazující IP adresy ke státům. Existují jenom různé databáze, kde se někdo snaží takovou databázi na základě veřejných zdrojů vytvořit a udržovat. Ty lepší (a placené) samozřejmě mají nějaký mechanismus, jakým je možné upozorňovat na chyby, ale principiálně se to nijak neliší od mé databáze na disku.

1397

Sítě / Re:T-Mobile - slovenská GeoIP

« kdy: 21. 03. 2021, 12:11:40 »

Problém T-Mobile to určitě není. Oni nemohou ovlivnit, že si nějaký John v Austrálii začne tvořit svou databázi přiřazující IP adresy ke státům a jeho IP adresy zařadí ke Slovensku. Problém je primárně na poskytovateli služby, který na základě takovéhle databáze rozhoduje o poskytnutí nějaké služby. A pokud už je to nejméně bolestivá varianta (typicky kvůli regionálním omezením autorských práv), je na něm, aby používal databázi, která je co nejpřesnější, a hlavně aby reagoval na požadavky od zákazníků na podpoře a dokázal přiřazení IP adres opravit v databázi, kterou používá. Pokud někdo použije nějakou databázi zadarmo a neumožní uživateli takhle odhadnutou zemi změnit, je nejlepší jít od takového poskytovatele služby pryč.

1398

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 20. 03. 2021, 14:16:42 »

Však jo. A v té tabulce říkám, která IP bude zdrojová:

Kód: [Vybrat]

src 10.88.53.24

Ale na základě čeho vyberete, která tabulka se použije?

1399

Server / Re:DNS v DMZ?

« kdy: 20. 03. 2021, 13:46:38 »

Díky za reakce a názory.

Používat IP adresy namísto jmen mě tedy ani nenapadlo. :-) Dá se samozřejmě udržovat omezený seznam překladů v /etc/hosts i s prázdným /etc/resolv.conf a překládat budu, co potřebuji. Já potřebuji řešit "chytřejší" DNS, ne jen jméno <==> IP, například srv záznamy, DNS balancing, ...

Nicméně nechtěl jsem řešit konkrétní věc, zajímal mě Váš názor na obecnou problematiku povolení resolvování v DMZ z bezpečnostního pohledu. Případně, jak to řešíte Vy?

Případně, jestli na toto není nějaký předpis od CIS, RFC cokoli?

Díky

Já pořád nechápu, co chcete na povolování řešit z bezpečnostního pohledu. Buď v DMZ názvy překládat nepotřebujete, pak je samozřejmě z bezpečnostního hlediska lepší tam překlad nemít. Nebo tam překládat potřebujete. Pak je ale otázka, jak to vyřešit bezpečně. Otázka zda to dělat už je zodpovězená v zadání, že to potřebujete dělat.

Obecně se k tomu vašemu dotazu dá napsat akorát to, že pokud to nemusíte povolovat, nepovolujte to, a pokud to musíte povolovat, povolte to. RFC na tuhle jednu větu samozřejmě není. Vy ale pravděpodobně řešíte konkrétní problém, tak by bylo lepší zeptat se na ten konkrétní problém než se ptát tak obecně, že ta otázka nedává smysl.

1400

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 20. 03. 2021, 13:34:42 »

Policy Based Routing tohle castecne resi, ale neresi zcela ten cron pristup. Jak to pozna, ze to do sveta ma jit prave tou specifickou fqdn adresou pro a.domain.tld?

no právě tou policy (rulou), třeba takhle. Jestli chápu problém:

Kód: [Vybrat]

rooot@superserver:~$ ip ru l
0:      from all lookup local
32763:  from 10.88.24.0/21 lookup VLANaaa
32764:  from 10.88.8.0/21 lookup VLANbbb
32765:  from 10.88.48.0/21 lookup VLANccc
32766:  from all lookup main
32767:  from all lookup default
root@superserver:~$
root@superserver:~$
root@superserver:~$ ip r l t VLANccc
default via 10.88.48.1 dev eth1
10.88.48.0/21 dev eth1 scope link src 10.88.53.24
root@superserver:~$

Nebo se to dá řešit přes iptables, manglovat. Ale to už si ani nepamatuju jak se dělá... :-)

To ale vybíráte tabulku na základě zdrojové IP adresy, czechsys ale potřebuje správně určit zdrojovou IP adresu. To se nejsnáz (jak už jsem psal v komentáři #2) udělá tak, že ji přímo aplikace určí (asi na základě konfigurace). Pokud aplikace neumí určit odchozí IP adresu a spoléhá na přidělení OS, nezbývá, než ten údaj dostat do jádra přes ruku někudy jinudy. Třeba pokud to závisí na uživatelském účtu, používat v iptables match -m owner, označkovat si je a pak v ip rule udělat pravidla na základě -fwmark.

1401

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 19. 03. 2021, 23:19:06 »

A ani neviem ci by certbot fungoval na inom ako standardnom porte

Nefungovalo by to. Nejde ani tak o certbot ale o ACME protokol – ten ověřuje buď metodou http-01 na portu 80 nebo metodou tls-alpn-01 na portu 443. (A nebo přes DNS.) Je to z důvodu bezpečnosti – na počítači, kde běží webový server, mohou být jiné uživatelské účty, které by mohly na vysokém portu spustit svůj proces, který by provedl validaci a získal by certifikát pro danou doménu. Právo získat certifikát ale má mít jen správce webového serveru a správce DNS serveru, nikdo jiný.

1402

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 19. 03. 2021, 13:55:19 »

Krucinal, ja neresim spojeni navazovane smerem na server. Ja resim spojeni navazovane ze serveru.

Tak nepište tři odstavce o webovém serveru, když řešíte klienta.

Jak to funguje z pohledu klienta jsem psal v komentáři #2.

Než budete psát další komentář, přečtěte si prosím všechny odpovědi. Už tu byly popsané všechny varianty, takže si stačí jen vybrat tu odpověď, která řeší váš problém.

1403

Server / Re:DNS v DMZ?

« kdy: 19. 03. 2021, 10:55:41 »

Interni zony muzou byt klidne i v public dns.

Jenom bych upřesnil, že jakési zastaralé RFC říká, že by ve veřejném DNS neměly být IP adresy z privátních rozsahů. Některé DNS resolvery překlad takových adres blokují – mám pocit, že je to výchozí nastavení třeba Knot DNS resolveru. Ve vlastní síti si to ošéfujete, ale mohou to blokovat i veřejné resolvery. Google, IBM ani Cloudflare to neblokují, ale ODVR od CZ.NICu to dříve blokovaly. Jestli se nemýlím, tak už to ale také neblokují.

Já jsem také pro uvádění interních zón ve veřejném DNS, např. to výrazně usnadní získávání důvěryhodných certifikátů. Jen jsem chtěl doplnit, že to nemusí být vždy bez problémů.

1404

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 19. 03. 2021, 10:51:35 »

Ne, zcela to nikdo nepochopil. Nejde o nejake legacy-based migrace (ano, castecne to vychazi z toho).

Rekneme, ze mate webserver pro jeden typ aplikace. Ta aplikace je tam duplikovana mnohonasobne, s tim, ze kazda kopie ma vlastni fqdn. Nektere aplikace jsou pristupne na pres fqdn na interni ipv4, nektere jsou pristupne na verejne ipv4.

Ted na to nasadite ipv6. Vsechny aplikace nyni maji verejnou ipv6. Kdyz na firewallu povolim pristup na ipv6 serveru, tak tim umoznim pristup na vsechny aplikace (napr. curl https://b.internal.domain.tld --resolve-host="ipv6:443"), i kdyz interni domeny nejsou ve verejnem dns (ale muzou leaknout).

Ale pochopili. Naopak vy jste nepochopil, jak to funguje.

Máte různé IP adresy a různé domény. Buď máte webový server nastavený tak, že všechny domény jsou dostupné na všech IP adresách – pak se lze přes veřejnou IP adresu dostat i na privátní doménu. Nebo máte správně přiřazené interní domény jenom k interním IP adresám. Pak se přes veřejnou IP adresu k interní doméně nedostanete, protože server na veřejné IP adrese odpoví, že danou doménu nezná.

Jestli je to IPv4 nebo IPv6, na tom vůbec nezáleží. Jediný rozdíl je v tom, že v IPv4 je ta interní IPv4 adresa z interního rozsahu, takže to na ní vidíte na první pohled. Naproti tomu s IPv6 sit u „interní“ IPv6 vyrobíte tak, že k ní zakážete na firewallu přístup z internetu.

Až to budete hledat v dokumentaci webového serveru, hledejte IP based virtual host vs. name based virtual host. Dokumentace pro Apache: Apache Virtual Host documentation, u nginx začněte třeba u Server names a spojíte to s tím, že u listen můžete uvést i IP adresu/adresy.

1405

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 18. 03. 2021, 22:14:06 »

Když já nikdy nepochopil, čím má zákaz portů mimo 443 a 80 pomoci zabezpečení...

Ono jde spíš o to, že se tím omezí provoz, o kterém nic nevíte. Ale že je to k ničemu, s tím souhlasím.

1406

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 18. 03. 2021, 21:38:33 »

Tak port 80 a 443 mejsou nějaká magická nezměnitelná konstanta, pokud budeš poskytovat web na jiném než defaultním portu, tak si ten port budeš muset samozřejmě otevřít..

Samozřejmě nebyl myšlen firewall na straně serveru, ale na straně klienta. A tam by ve spoustě sítí samozřejmě problém byl.

1407

Server / Re:DNS v DMZ?

« kdy: 18. 03. 2021, 21:35:11 »

To nezávisí na bezpečnostním pohledu. Záleží na tom, zda tam ty záznamy potřebujete překládat nebo ne, tj. zda je tam používáte. Pokud v DMZ používáte něco z interní zóny, DNS bych tam překládal – lepší, než tam mít napevno IP adresy.

1408

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 18. 03. 2021, 17:49:13 »

Ja to asi chápu. Jde o replikaci legacy schématu server s veřejnou IP v DMZ a nějakou privátní adresou v nějaké sítí za firewallem, split-horizon DNS, atd.

A vlastně tady při konfiguraci s jen jedním interface je všechno jinak.

V čem je to jiné? V obou případech máte dvě IP adresy na jednom rozhraní. Vidím v tom jediný rozdíl – v IPv4 je víc IP adres na jednom rozhraní trochu netypická věc, v IPv6 je to samozřejmost a úplný základ.

1409

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 18. 03. 2021, 16:14:57 »

Teorii znam, spis me zajimaji poznatky z praxe (napr. Hetzner udajne dava /64 per VM).

Mam tu realny priklad - na webserveru jsou domeny verejne i interni. V pripade ipv4 to resi nastaveni listen na public ci rfc1918 ipv4. V pripade ipv6, kdy pouzivam zasadne GUA, uz mi obecny pristup na IP adresu ve firewallu nestaci - i kdyz v public dns interni preklad neni uveden, tak staci poslat request na ipv6 s nastavenou interni domenou a firewall by to pustil. Pred webserverem je momentalne proxy, takze to pokryvaji acl. Ale uvazoval jsem o zruseni te proxy a v tom okamziku se to riziko "spoofnuti" domeny objevi.

Nechápu, v čem je problém. S IPv6 máte všechny možnosti, jako s IPv4, a k tomu ještě spoustu nových možností.

V tomhle konkrétním případě – interní domény máte na jiné IPv6 adrese (stejně jako to máte u IPv4) a přístup k ní můžete zablokovat na firewallu.

1410

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 18. 03. 2021, 15:37:29 »

U odchozích spojení se zdrojová IP adresa vybírá podle nejspecifičtější routy. Pokud to spadne až na výchozí bránu, vybírá se brána podle pořadí, v jakém jsou zadané – buď první nebo poslední (nejlepší je si to vyzkoušet). Takže při stejném nastavení se to bude odesílat stále stejnou cestou – jediný zmatek by v tom mohlo udělat to, pokud by se rozhraní (po bootu) nastavovala asynchronně a pořadí, v jakém jsou zaregistrované routy na bránu, by tak bylo náhodné.

Lepší je ale použít pravidla (ip rule) a pomocí nich přesně specifikovat, která routovací tabulka se má kdy použít. V každé routovací tabulce pak budete mít jenom jednu výchozí bránu. Pak to můžete mít pevně v rukou a chování bude deterministické. Ale samozřejmě jste omezen tím, co máte k dispozici v pravidlech, tj. IP adresa cíle a myslím že i značky firewallu. Tj. pokud byste si představoval, že klient zavolá PHP skript na webu v určité doméně, PHP skript bude navazovat TCP/IP spojení ven a zvolí se jedna odchozí IP adresa, a stejný skript volaný na jiné doméně zvolí jinou IP adresu, musel byste potřebnou informaci dostat až na úroveň TCP/IP spojení, což by bylo dost obtížné. Daleko jednodušší bude v takovém případě zvolit odchozí IP adresu přímo v PHP při vytváření spojení.

Příchozí spojení neřešíte, tam správnou adresu v odpovědi zvolí sám operační systém. Pozor na to, že pokud máte více rozhraní, paket odejde rozhraním, které je vybrané podle routovací tabulky. Nemusí to tedy být stejné rozhraní, kterým přišel paket navazující spojení. Což může být problém, pokud jste za NATem nebo pokud síť, ke které jste připojen, má implementovánu kontrolu zdrojových IP adres.