Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
Kolegové mě opraví, nemám to před sebou, ale myslím, že je to nějak takto:Nikoli, veškeré blokování provozu patří do tabulky filter. Průchozí provoz se kontroluje ve FORWARD, provoz z/na router v OUTPUT/INPUT.
1) kontrola src vůči vstupnímu interface patří do raw/prerouting
2) kontrola dst vůči výstupnímu interface patří na dvě místa: filter/output + filter/forward
Z jakého důvodu počítač v roli routeru (linux, ipv4.forwarding=1) opouští pakety s cílovou adresou 10.0.x.x do upstream sítě, když má vnitřní síť je 192.168.1.0/24 a upstream síť 192.168.2.0/24? Probíhá NAT na 192.168.2.99.Buď takové pakety generuje nějaký proces na tom routeru, nebo na něj přicházejí z nějaké sítě, ke které je připojen.
Brána providera vrací ICMP unreachable.To je správně.
Tyto pakety (když už by neměly opouštět upstream síť) , což se neděje, tak nechci aby opouštěly mou síť .Upstream síť je síť ISP. Vy jste to na začátku psal opačně – ty pakety jdou z vaší sítě do sítě ISP.
Je nějaký usecase, kdy je komunikace do privátních sítí legitimní (Samozřejmě kromě případů, že sám počítač do té sítě náleží)?Kdykoli, kdy existuje nějaká cesta do takové privátní sítě. To může být např. přes VPN nebo přes nějakou jinou síť. Ale nebude to váš případ.
Nemá tomuto jádro zabránit bez explicitních pravidel ve firewallu, jelikož jde o privání rozsahy?Ne, musíte si na to nastavit sám pravidla ve firewallu. Jádro neví, jak vypadá vaše síť.
Nebo je k tomuhle nějaký podobný flag v sysctl.net.* jako rp_filter?Ne.
Je lepší to řešit pomocí iptables -I FORWARDING -d 10.0.0.0/8 -j REJECT nebo ip route add blackhole 10.0...?.Spíš to první. Případně, pokud nechcete odesílatele informovat, můžete místo REJECT použít DROP. Blackhole by se použilo někde na páteřní síti v případě, že by ten provoz byl tak silný, že byste se ho potřeboval co nejefektivněji zbavit – což nebude váš případ s počítačem v roli routeru.
Pane Jirsáku,Nemám pocit, že bych vás urážel. Pokud jste to tak vnímal, omlouvám se.
Už několik příspěvků výše píšu, že problém jsem vyřešil. Tak nechápu co Vás pudí se dál vyjadřovat a do mě navážet.
Mazání historie a dat z prohlížení je každého věc.Nám je zase jedno, že to používáte. Jak píšete, je to každého věc – včetně důsledků.
Pokud to vy nepoužíváte, mě je to jedno.
Mě žádné podmínky služeb na těch serverech nazajímají, jsou mi ukradené, nečtu je, otravné okno je pro mě jen obdélník s balastem který zdržuje, nechci na něj klikat, nechci na něj reagovat. Cookies mažu
Je to bezpečnostní pravidlo. A vím proč to dělám. A nedivím se.Je to „bezpečnostní“ pravidlo. Podobně jako fail2ban, zákaz vzdáleného přihlášení na roota, přesouvání SSH serveru na jiný port nebo vynucená pravidelná změna hesla. Samo o sobě bez dalších znalostí to vypadá jako dobrý nápad. Se znalostí věci se to ale najednou obrátí a ukáže se, že z toho v žádném případě nelze dělat pravidlo. Že sice mohou existovat případy, kdy je to užitečné a zlepšuje to bezpečnost, ale jsou dost výjimečné.
Mazat cookies, veškerou historii a data z prohlížení při každém vypnutí prohlížeče beru jako základní pravidlo pro bezpečné používání internetu.Je logické, že se nad tím na Rootu lidé pozastavují, protože tady jsou lidé, kteří těm technologiím rozumí. Mazání cookies a veškeré historie nemá s bezpečností nic společného.
Nechápu, že se nad tím někdo na tomhle servru pozastavuje.
Klientským aplikacím Synology. Je to určeno pro vlastníka NAS serveru.Dával jsem vám sem odkaz na popis služby QuickConnect. Co vám z toho není jasné?Princip funkce na klientovi - zda z jeho pohledu nebo jde o připojení na ten zQuickConnectěný Server jako na kterýkoli jiný FTP,HTTP(S), RTMP, ATD server, na jaké to běží IP adrese(vyhrazené?) nebo na to potřebuje nějaké speciální aplikace. V kostce: je potřeba quickconnect protipól i pro klienta?
A nebo to (poslání quickconnect) chápu špatně a quickconnect není určen pro připojování nějakých individuí k serveru , ale defacto jen pro vlastníka nas, který se k tomu bude nějak nestandardně(z pohledu z člověka co si chce otevřít nějakou stránku na webserveru někde a tedy do prohlížeče zadá http://123.123.123.1/menu.html) připojovat (v horší případě přes nějakou appku quickconnect)?
konkrétně z "knowledgebase":
Služba QuickConnect umožňuje klientským aplikacím připojit se k zařízení Synology NAS prostřednictvím internetu bez starostí s nastavováním pravidel pro předávání portů- kterým klientským aplikacím
Jak to tedy je... to stačí mít zařízení Synology a jako k tomu je právě tento tunel či zprostředkování dostupnosti na veřejné IP v "ceně"? Funguje to technicky tak, že si tedy kdokoli může přistoupit do NASu (nemyslím to teď tónem že mi kterýkoli hacker se nabourá do NASu když je tedy veřejné ale ve smyslu že jde o standardizovanou službu FTP,HTTP,ATD a ten člověk ani nemusí vědět že je to na NASu od synology nebo že je to přes jejich Quickconnect?) kdo zná IP "serveru" či doménové jméno na FTP server, HTTP Server, SSH a cokoli jiného co na svém nasu bych provozoval? Nebo je to přes nějakou "třetí stranu" s nutností mít "appku" nebo nějak "nepřímo?Dával jsem vám sem odkaz na popis služby QuickConnect. Co vám z toho není jasné?
Co viem, tak DSLam je stale na poste (v ustredni) do ktoreho som bol zapojeny este dnes doobedu. Od posty byvam max do 200m, takze metalika nech mala do 300-350m.Jinými slovy, vyměnil jste 300 metrů metalického kabelu za 300 metrů optiky. Dál je to pořád stejná trasa jako dřív. Pokud na téhle trase („od pošty dál“) je „ping“1) nějakých 15 ms, celkový ping rozhodně nemůže být nižší. Jak už jsem psal, poslední míle tvoří jen část trasy od vás do NIXu, a když jste přešel na optiku, změnila se jenom tahle poslední míle, zbytek zůstal stejný.
Cize z toho moze vyplivat, ked mam vyssi ping ako som si myslel ze budem mat, ze problem bude niekde smerom od OLT do internetu.Já bych problém viděl spíš v tom, jak jste přišel na to, že byste měl mít nově tak nízký ping. V tom spojení nejspíš žádný problém nebude. Ping 15 ms v takhle velké síti do NIXu není nic hrozného, v Praze mám v síti UP do českého NIXu ping zhruba stejný. Na počítači, který je od NIXu na 4 hopy po optice je to kolem 1 ms, ale to je dobrá komunitní síť, to je trochu jiná kategorie než Telekom.
Nezalezi ci je to 1, alebo 4, ale 15ms je zvycajne na DSL, tak som pocital, ze na optike to bude aspon pod 10ms.Aha, tak to je nepochopení toho, jak funguje internet. Poskytovatel internetu nemá přímou linku od vás z baráku do NIXu a už vůbec ne k cílovému serveru. Má linku od vás z baráku do své sítě, pak má svou síť, buď po celém Slovensku nebo třeba jen v jednom městě, a pak má spoje ze své sítě do NIXu, případně další spoje do dalších peeringových uzlů, a spoj(e) k tranzitním operátorům. Když jste měl VSDL, byla to jen jiná linka od vás do sítě ISP – možná byla delší než vaše současná optika (nevím, zda Slovak Telekom je vlastníkem slovenské VSDL sítě). Taky je dost možné, že ta optika jen nahradila pár set metrů metalického kabelu a dál už jdete po té samé trase, jako dřív.
Pokud zarizeni podporuje nejake ddns, tak treba www.noip.comTudy cesta nevede. Hamparle píše, že nemá veřejnou IPv4 adresu.
Takže stačí sehnat synology NAS a tím se mi otevře tato možnost? Jsou tam nějaké podmínky či nutné kroky?Musíte si na tom NASu tu službu QuickConnect zapnout a zaregistrovat.
Mít pocit a důkaz se reálně sakra liší. Pohlídat si aby nějaký náčelník neměl podezření se dá, pokud nemá jednoduše k dispozici důkazy. Ani v komunitě která funguje způsobem nakládaček nemůže náčelník nechat zmlátit koho se mu zamane, ale musí k tomu mít přiměřenou podporu.Považuji za hodně naivní vaší představu, že mafie dbá na dodržování pravidel a mafiánský boss má v rukou perfektní důkazy, proč někoho zmlátil nebo nechal „odstranit“.
Kopii průkazu? Tady už se dostáváme do úplně absurdních sfér závodů o platnost hlasu.Jistě, to je vlastnost digitálních dat, že se snadno kopírují. Nechcete elektronické volby podmiňovat tím, že bude volič vlastnit nějaký token, ze kterého nejde data získat. Když by ten token byl anonymní, nemělo by pak řešení, kdyby přestal fungovat. To, že platí poslední volba, jsem psal od začátku – a je to právě opatření proti nátlaku na voliče.
Mimochodem, pokud nebudete ověřovat, že každý hlasuje pouze jednou, tak se také můžete dočkat organizovaných skupin zaměřených na loupeže volebních průkazů.Tak on ten volební průkaz samozřejmě nebude použitelný sám o sobě, ale bude vyžadovat zadání hesla. V ČR se neděje, že by organizované skupiny loupily platební karty nebo občanské průkazy a z oprávněného držitele vždy i vymlátily PIN, takže bych neočekával ani že se to bude dít u voličských průkazů.
Jo, do chvíle než by si náčelník svůj hlas zkontroloval, zmlátil voliče jak psa (příklad) a znova to přebil svým hlasem. Pokud by volič náhodou zvládl zahlasovat tak, aby to náčelník přebít nestihl, tak dostane nakládačku na jakou do smrti nezapomene. Pokud si svůj hlas může zkontrolovat volič, pak to samé může udělat i náčelník.Pořád řešíte věc, která se reálně nijak neliší od současného stavu papírových voleb. V komunitě, kde to funguje způsobem nakládaček, nějaká fakticky správná kontrola nikoho nezajímá. Prostě pokud bude mít náčelník pocit, že někdo nejednal podle jeho příkazu, dostane dotyčný nakládačku – bez ohledu na to, jak jednal ve skutečnosti.
Root.cz (www.root.cz), informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2023 Internet Info, s.r.o. Všechna práva vyhrazena. Powered by Linux.