Příspěvky

76

Sítě / Re:Port forwarding bez DNAT

« kdy: 08. 06. 2023, 14:29:22 »

Pakety se na cílové místo dostávají na základě IP adresy cíle v paketu. Pokud je chcete poslat někam jinam, musíte v paketu změnit IP adresu cíle.

Samozřejmě byste si mohl naimplementovat vlastní síťový stack a v něm pakety směrovat podle něčeho jiného, než podle cílové IP adresy. Pokud byste si síť s vlastním síťovým stackem připojil k internetu tak, že by IP adresy použité uvnitř té vaší sítě byly na internetu správně routované na váš hraniční router, fungovalo by to. Ale proč byste něco takového dělal?

Tím docílíte toho, že vám označené pakety pošle router kam potřebujete bez modifikace adres / portů.

Buď je cílová IP adresa adresou toho routeru. Pak i když donutíte router poslat paket někam jinam, musel byste někde jinde mít další zařízení se stejnou IP adresou, které ty pakety přijme. Tím si ovšem uděláte v síti hrozný nepořádek, a nic tím nezískáte. Nebo byste tu adresu musel změnit někde jinde – a proč ji pak nezměnit hned na tom prvním routeru?

Nebo se to dá napsat ještě jinak – je mnoho kreativních způsobů, jak si rozbít síť. Ale proč to dělat? Když všichni postupují stejným způsobem, je dobré se toho držet a dělat to stejně – ono to asi má nějaký důvod, proč to tak všichni dělají. Případ, že to dělají všichni špatně, není moc pravděpodobný – a i kdyby nastal, tak když dokážete vymyslet lepší způsob, musíte také umět přesně pojmenovat, co je na tom současném způsobu špatně a také proč se to tak dělá. Pak se na to ale nebudete potřebovat ptát na Rootu…

77

Server / Re:Lokální doména

« kdy: 08. 06. 2023, 08:21:51 »

že web se jmenuje firma.cz je běžné,i kdyby měl jinou adresu zvenku a zevnitř ale proč se proboha takto jmenuje AD server? Ten má být AD.firma.cz. proč nemají i ostatní servery hostname firma.cz ?

Já tu s dovolením odcituji tohle ↑ řešení, protože to je správné řešení, tak aby nezapadlo…

78

Sítě / Re:Port forwarding bez DNAT

« kdy: 07. 06. 2023, 19:07:39 »

Já teda nevím, kam míříte.

Port forwarding znamená, že provoz, který je směrován na určitou IP adresu a port, přesměrujete na jinou IP adresu – typicky do interní sítě na adresu, která není z venku přímo dostupná. To znamená, že musíte změnit cílovou IP adresu, což je NAT, konkrétně DNAT.

Manipulací s routovací tabulkou toho nedocílíte, protože routovací tabulka nemůže změnit paket – jenom rozhoduje o tom, kam (nezměněný) paket bude putovat.

Pokud byste nechtěl měnit cílovou IP adresu, nepotřebujete NAT – ale pak by to zase nebyl port forwarding.

pokud (ne nutně na konfiguraci výše) například spustím php -S "0.0.0.0:80", bude dostanou se do PHP procesu vůbec TCP streamy s dst IP , která neni mezi IP adresami stroje?

Proč si to prostě nevyzkoušíte? Když to teda potřebujete zjišťovat takhle, místo abyste se podíval na schéma, jak vypadá schéma routeru a firewallu v Linuxu, třeba zde: https://unix.stackexchange.com/questions/697888/during-the-lifecycle-of-iptables-in-which-step-will-kernel-take-advantage-of

79

Server / Re:Lokální doména

« kdy: 07. 06. 2023, 16:54:07 »

Především – nedělal bych to. Použil bych a interní web subdoménu. Zařízení, která budou přecházet mezi vnitřní sítí a internetem, mohou mít nakešovaný nějaký obsah, bude se tam míchat cookies a úložiště prohlížeče, mohou tam být problémy s hlavičkami.

Když už byste chtěl riskovat tenhle postup, pak buď pomocí DNS split-horizon směřujte uživatele na různé IP adresy podle toho, zda se DNS dotazují s vnitřní sítě nebo z internetu. (Tam můžete znovu narazit na problém s kešováním, tentokrát u DNS). Nebo na jednom HTTPS serveru rozlišujte, zda uživatel přichází z vnitřní sítě či z internetu (pokud oba weby běží na stejném serveru).

80

Server / Re:Co se deje s domenou outlook.cz?

« kdy: 05. 06. 2023, 13:58:23 »

https://www.nic.cz/whois/domain/outlook.cz/

81

Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost

« kdy: 23. 05. 2023, 08:50:38 »

Od kdy z internetu chodi privatni adresy?

Od okamžiku, kdy použijete NAT s privátními adresami.

kazdej pricetnej provider tohle blackholuje

Bavíme se o routeru mezi ISP a zákaznickou sítí.

Navíc teda spousta ISP vám na router poskytne IP adresu z privátního rozsahu, protože veřejných IP adres nemá dost.

82

Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost

« kdy: 22. 05. 2023, 12:14:38 »

Od kdy z internetu chodi privatni adresy?

Od okamžiku, kdy použijete NAT s privátními adresami.

83

Vývoj / Re:Java DataInputStream - rychlost

« kdy: 19. 05. 2023, 21:25:17 »

Načítám do paměti celý soubor, viz:

Ano, ale můžete změřit dobu trvání každého řádku kódu. Jak dlouho trvá samotné vytvoření proměnné dis, tedy první řádek? Jak dlouho trvá každá obrátka cyklu, tedy volání readFloat()?

Tohle trvá napoprvé těch 15s. Opakovaně už jen 5s se stejným nebo jiným souborem, třeba i se stejnou kopií toho prvního. Chová se to stejně na Win10 + Java8 Oracle, Ubuntu 20.04 /22.04 + Java11 openJDK. Poměr času je zachován, na rychlejším stroji je to 5s vs 1.7s.

Takže to asi nebude věc OS, ale opravdu věc Javy.

Ještě mě napadlo jestli to nějak nemůže souviset s tím, že to pouštím v samostatném vlákně skrze java.util.concurrent.Executor

Pokud tím myslíte, že to spouštíte v jiném, než hlavním vlákně, to na to vliv nemá.

protože dokud je to uvnitř vlákna tak i opakované čtení je pořád stejně pomalé, ale jakmile to spustím znovu (v samostaném vlákně) tak už je to OK ...

Tomuhle nerozumím. Pokaždé to běží uvnitř nějakého vlákna. Jak ten vícevláknový kód vypadá?

84

Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost

« kdy: 19. 05. 2023, 14:46:43 »

Nezapomínáte na to, že NAT pravidla na linuxovém firewallu píšete jen pro první paket spojení, a jádro se postará o správnou modifikaci následujících paketů (včetně paketů v opačném směru)?

DROP se normálně dává do FORWARDu a dáte tam pravidlo, že se mají zahodit všechny pakety, které přišly z WAN, jako cíl mají interní IP adresy a nesouvisí s existujícím spojením. Nebo naopak před ten DROP dáte ACCEPT pravidlo, které vyřeší všechny pakety týkající se navázaných spojení. Bývá zvykem takovéhle pravidlo dávat hned na začátek FORWARDu, protože tím většinu paketů vyřídíte hned v prvním pravidlu a firewall se jimi dál nemusí zabývat.

Případně pokud v interní síti něco, co je dostupné z venku (DMZ), po povolení všech paketů z existujících spojení ještě povolíte komunikaci na tuto IP adresu (případně i omezíte porty) a pak zbytek DROPnete.

85

Vývoj / Re:Java DataInputStream - rychlost

« kdy: 19. 05. 2023, 14:29:26 »

Je zpomalené čtení celého souboru, nebo třeba jen první čtení, nebo dokonce ještě před prvním čtením? Každopádně rozdíl 10 sekund je hodně. Když jde jen o první čtení, čekal bych, že tam bude alokace bufferů, ale to nemůže trvat 10 sekund, to je o mnoho řádů jinde. Pak mne ještě napadlo, zda do toho nezasahuje nějaký problém na straně OS, SElinux, NFS, čekání na nějaký timeout – ale pak zase nevidím důvod, proč by se to dělo jenom u prvního souboru.

86

Vývoj / Re:Java DataInputStream - rychlost

« kdy: 18. 05. 2023, 19:54:29 »

Co znamená „první volání je pomalejší“? Je pomalejší přečtení prvního celého streamu? Nebo je pomalé první čtení z každého streamu? Nebo první čtení z prvního streamu? Bude to stejně pomalé, když vynecháte DataInputStream nebo BufferedInputStream?

87

Hardware / Re:Co je lepší pro prezentace? TV, nebo velký monitor?

« kdy: 17. 05. 2023, 20:17:16 »

Proto se v zasedackach pouzivaji projektory. Daji se snadno prenest, maji potrebne konektory. TV typicky maji jen hdmi, coz je ve svete PC spis vyjimka, nb maji bud dsub nebo displayport.

Projektory v zasedačkách jsou obvykle přišroubované na stropě. V posledních letech se v zasedačkách objevují právě displeje, protože mají za stejnou cenu kvalitnější obraz a jsou už dost velké. Pokud si myslíte, že se dneska na noteboocích používá D-Sub, zkontrolujte si kalendář – máme rok 2023, ne 2013. Notebooky mají většinou HDMI, DisplayPort vyřeší jedna redukce.

88

Sítě / Re:Účinkuje rp_filter i na příchozí pakety?

« kdy: 17. 05. 2023, 20:06:55 »

Přijde-li na rp-filtrované rozhraní (pro ilustraci wan0) paket s danou zdrojovou adresou(xyzž=zdroj), je  zahozen?

To záleží na tom, zda IP adresa xyzž podle routovací tabulky je za jiným rozhraní, než jwan0. Takhle funguje rp_filter. Blackhole s tím nijak nesouvisí.

expert note: nevím jestli je podstatné, že blackhole technicky vzato je TYPE záznamu a ne VIA routovacího záznamu (ip route add help: ROUTE - NODE_SPEC atd)

Ano, je to podstatné. Nevím, proč jste si usmyslel, že by se blackhole mělo chovat jako rozhraní.

89

Sítě / Re:účinkuje rp_filter i na příchozí pakety odpovídající v route blackhole

« kdy: 17. 05. 2023, 16:16:48 »

Blackhole na routeru slouží k tomu, abyste se rychle zbavil paketů s danou cílovou adresou. Takže se to typicky používá na routeru, kde se chcete zbavit některých paketů, které by normálně procházely dál. Takže se to aplikuje vždy na příchozí pakety (odchozí nejsou, protože ten paket skončí v černé díře místo toho, aby se z něj stal odchozí paket).

Na zařízení, které není routerem, byste to mohl použít pro filtraci odchozích paketů na danou IP adresu – ale v takovém případě dává mnohem větší smysl zastavit generování těch paketů. Takže použití by bylo asi v nějaké nouzové situaci, kdy by to začal generovat nějaký proces, který by zároveň dělal něco smysluplného a důležitého, takže byste ho nechtěl hned zastavit.

rp_filter s tím nijak nesouvisí, ale pokud vím, rp_filter se také aplikuje jenom na příchozí pakety.

Takže moc nerozumím tomu, na co se vlastně ptáte. Protože ip route blackhole a rp_filter spolu nijak nesouvisí (kromě toho, že blokují pakety), a hlavně se oba dva používají především (rp_filter výhradně) na příchozí pakety.

90

Server / Re:Profi SMTP server

« kdy: 17. 05. 2023, 08:50:17 »

divne, nikdy som to nekontroloval, ale zdalo sa mi, ze problem s blacklistami na tychto sluzbach nie je.
Ale nikdy som to nepotreboval skontrolovat.

Ano, u profesionálních provozovatelů e-mailových serverů tyhle služby problém nemají. Problém mají u malých serverů, které spravuje někdo, kdo správě poštovního serveru moc nerozumí, má tam jako antispam nastavená nesmyslná pravidla a „funguje“ jim to jen díky tomu, že mají Seznam (v ČR) a GMail na whitelistu. Občas se tady v diskusi někdo takový objeví, kdo se chlubí tím, kolik e-mailů zablokuje. A když se ho zeptáte, kolik z těch zablokovaných e-mailů byla legitimní pošta, tak nechápe, proč by ho to mělo zajímat.