Příspěvky

166

Windows a jiné systémy / Re:OT: Odchozí Ping a Tracert

« kdy: 22. 08. 2013, 09:11:37 »

Ale jiste ze to vi. Kdyz ten pakej dropnu, tak je uplne jasne, ze tam je firewall, ktery to zahazuje. Kdyby tam zadna masina nebyla, tak dostanu ICMP Destination Unreachable (ICMP Type 3) s kodem 0 - net unreachable, 1 - host unreachable atd.

Tohle zahazovani a blokovani ICMP je priserna hovadina.

Když je mašina vyplá, a pokusíte se na ni pingnout, co dostanete za opdověď? Když pingnete IP adresu, která je nedostupná, co dostanete za odpověď? Když bude zahlcený síťový prvek v cestě, co dostanete za odpověď? Mám pokračovat?

167

Server / Re:TXT seznam pornostránek v ČR

« kdy: 22. 08. 2013, 09:02:55 »

Inspekce asi nevi, ze to proste blokovat jednoduse nejde a pokud maji zajem na blokovani, tak at jedou do ciny se to naucit.

Ale jide (už sem to tady popisoval - OpenDNS, přes DHCP a DNS servery jej delegovat na studentské počítače a přes GPO zakázat změnu nastavení internet exploreru, lze zajít i tak daleko, že si přes GPO můžete pohlídat spouštění cizích aplikací, například TOR, nebo nějaké portable browsery, to vše mít za kvalitním firewallem například pfSense, kde se trochu vyhrát s nastavením DNS dotazů a zakázat spouštění rdesktopu, taky nesmím opomenout různé webové služby pro vzdálenou sessionu typu logmein, skype a já nevím co, věřte mi, že zase talková práce s tím není - tak nejvýše na dva tři dny; jo to platí za předpokladu, že máte centralizovanou síť na Windows doméně, v Linuxech to asi tak jednoduché nebude, myslím hlavně kontrolu těch portable programů, ten zbytek se dá udělat i na lepším firewallu). Na druhou stranu otázkou zůstává proč to blokovoat? Teoretický by to mohl být ten bandwith, na druhou stranu i to sledování videa na netu nijak výrazně neovlivní načtení stránek typu seznam, google, dobře i root , jestli se vám stránka načte o jednu dvě sekundy později, tak bych to fakt neřešil. Pokud vám jede načítání běžných stránek opravdu pomaleji, díval bych se spíše po jiných věcech, které to můžou způosbovat.

168

Windows a jiné systémy / Re:Windows 8 do PC s Linuxem

« kdy: 21. 08. 2013, 15:42:48 »

Ahoj, pokud dáš instalovat Windowsy, tak ti umožní rozdělit disk taky, vyčleň nějaké místo pro Linuxy (pokud chceš dual-boot) a je to, to nech nenaformátované. GParted a další utility ze světa Linux sou sice skvělé, ale nevidím ani nic špatného na Windows utilitách (dokonce si troufám tvrdit že jejich diskpart se jim opravdu povedl - rozdělení, odstraňování "neodstranitelných" partition, recovery a správa softwarového RAIDu). Jinak jak Pavel psal, popisuješ docela obstarožní distribuce. Za sebe: pokud chceš out-of-box fungující systém, tak nějaké nové Ubuntu - asi 13, LTS nevím jaký má pro tebe význam, na Ubuntu je "skvělé", že tam v drtivé většině vše jede, tak jak má, má širokou podporu a obsahuje i aplikace ze světa Windows, které v jiných distro nenajdeš a to ani v alternativách, dám tady příklad na ActivBoard software, drivery sou pouze pod Windows a Ubuntu, nikde jinde nejede - respektive možná jo, ale nemám tolik zkušeností, abych psal drivery pod jiné distribuce), pokud chceš systém na hraní a na to, aby ses s linuxem naučil - tak Fedoru 19 (Gentoo by byl asi už over-kill ).

169

Windows a jiné systémy / Re:Microsoft Update skrze proxy a tunel

« kdy: 21. 08. 2013, 15:27:18 »

*Místo inbound rules (příchozí pravidla) použij outbound (odchozí pravidla).

170

Windows a jiné systémy / Re:Microsoft Update skrze proxy a tunel

« kdy: 21. 08. 2013, 15:25:51 »

Jinak tohle sem našel přímo na strńkách MS:

Control Panel / Windows firewall / Advanced settings (on left side) / Inbound rules / New rule (on right side) :
set "all programs" , protocol "ICMPv4" , ICMP settings click Customize button and choose "specific ICMP types / echo request.  Choose "block".

Ale podotýkám, že tím zenmožníš funkcí všech programů, které toot použivají (a asi jich nebude málo, očekával bych, že jakýkoliv program, který se dotazuje na updaty, se na ně nedotáže, taky ti pravděpodobně přestane chodit internet, protože nebude korektně fungovat 3-way handshaking a pár dalších věcí).

171

Windows a jiné systémy / Re:OT: Odchozí Ping a Tracert

« kdy: 21. 08. 2013, 15:19:50 »

Zadna ICMP sluzba neni. A nechapu, proc to proboha blokovat???

Nejspíše měl na mysli echo-reply, echo-request a podobně (to zablokovat jide, nevím, jak to má nastavené Windows firewall, každopádně jde reject echo-reply nebo throw away echo-reply, prvni vrati "cilovy host odmitl dany packet" a druhy vrati "vypresel cas zadosti", ty zpravy z hlavy přesně nevím, akorát že u rejectu tazatel ví, že druhý konec existuje, u throw-away neví). Ve vnitřní síti mi to nepříjde účelné, ale mám to nastavené pro příchozí komunikaci zvenčí, už se párkrát stalo, že se mi někdo chtěl nabourat na nějaké služby.

K Windows Update - obecně celý systém je založen na registrech, takže tyto věci sou i v registrech uloženy (Linux registry nemá a i když je to položka, která dokáže časem zpomalit počítač,tak se přes ní dá ovládat téměř všechno ve Windows a to z jednoho centrálního místa, neberu samozřejmě v potaz aplikace, které registry nepouživají). Registry neobsahují přímý odkaz na Akamai nebo Windows Update servery (počítám, že to bude ukryto buď v nějakem configu nebo dllku), jen jaké je nastavení PC pro příjem updatů. Správně zmiňuješ certifikáty - systém se bez nich nezaktualizuje ba co víc, když mu posuneš datum na out of support (respektive end-of-support pro daný Windows, tak se ti nezaktualizuje a ještě bude na tebe něco řvát), proto se čas od času v aktualizacích objeví Aktualizace kořenových certifikátů. Jinak obecně k time.windows.com (nebo co to je) bych byl skeptický, ještě nikdy se mi nestalo, že by fungoval (respektive v doméně sem to řešil pomocí doménových řadičů). Jak sem psal, mohu vysvětlit, jak to tak nějak může fungovat, ale potřebuji na to čas (mám ve virtuálu připraven Windows server i klienta, ale nasimulovat chování Windows update s BITS na lokálu bude dost těžké, ne že by to nešlo, ale výsledky nebudou tak viditelné jako ve velké síti, budu to muset monitorovat Etherealem nebo něčím podobným, aby to aspoň šlo vidět v paketech).

172

Server / Re:TXT seznam pornostránek v ČR

« kdy: 20. 08. 2013, 15:46:33 »

Máte pravdu. Jenomže právě jde o to, že ty školy jsou nezřídka soukromé
Další věc je, že základní škola je povinná. Střední, omlouvám se nevím jak je to nyní přesně, domnívám se již nikoliv.

Možná to nechápu správně, ale je jedno, zda se jedná o soukromou školu nebo státní, daná insitutce se musí řídit legislativou země, pod kterou náleží. U nás je odposlech nebo jakékoliv monitorování narušující soukromí člověka nelegální (vlastně si myslím, že ve většině demokratickýhc zemí tomu tak je). Střední škola sice povinná není, ale to nemá na tohle vliv, dokonce i vysoké školy nesměji monitorovat aktivity svých studentů. Jiná věc je neúcta lidí k autoritám, ale morální hledisko nemůžete použit k porušení zákona/ů. Můžete, jak sem psal do určité míry monitorovat svůj majetek a patřičné prostory (například vstupy do budovy a podobně, ale musí to splňovat patřičné náležitosti, jednak nějaká vývěsní cedule, doba skladování materiálů, pokud se jedná o školu, tak by moniorint prosotr neměl být zapnut v době, kdy je škola v provozu, ono je to docela složité to popisovat). Pokud byste potřeboval více věcí ohledně tohohle, tak se podivte na ústavu a na související zákony (já toho o moc víc v této oblasti, než sem tady napsal nevím).

173

Server / Re:TXT seznam pornostránek v ČR

« kdy: 20. 08. 2013, 11:12:36 »

No to je mi ale pěkný opruz. Představte si, že je škola soukromá a síť a počítače atd. jsou soukromým majetkem.
Připadá mi to jako kdyby nesměl dopravce monitorovat své kamiony přes satelit. A to zodpovídají rodiče ? Viděl nebo slyšel někdo z vás o soudu s rodiči v případě nějaké škody, kterou by dítko na školní síti nebo prostřednictvím této sítě způsobilo ?
Nebo soudním řešení morálně výchovné újmy, která by se dítěti stala. O obráceném případě kdy děcka počítači a mobily poškozují učitele jsem něco málo viděl ovšem nemyslím si, že to bylo soudně dořešeno, policií došetřeno do nějakého rozumného konce.

Mícháte dvě naprosto odlišné věci. Škola vs zaměstnavatel. Zaměstnavatel může sledovat pohyb zaměstnanců a majetku, pokud to je ve smlouvě nebo patřičných dokumentech a zaměstnanec s tím musí být i obeznámen. Pohyb na webu je dost ošemetnější záležitost, sice můžete sledovat, jaké stránky navštívil, ale jak zajistíte, aby nedošlo k zachycení citlivých údajů? A přestože je to jen "aby", tak to budete vy jakožto zaměstnavatel, kdo bude muset dokazovat opak.

Nevím co je na tom opruz - majetek máte možnost si chránit, to ano (kldině do něj nainstalovat GPS moduly, použít různé zámky a já nevím co), ale sledovat žáky a studenty a jejich pohyb, ať už kamerově, nebo monitoringem, toho jaké webové stránky navštěvují, mi jednak příjde nemorální a jednak je to i nezákonné (ochrana osobních údajů). Pokud samozřejmě vznikne podezření, tak máte možnost požádat příslušné orgány o pomoc.

174

Server / Re:TXT seznam pornostránek v ČR

« kdy: 20. 08. 2013, 09:08:52 »

Ještě dovětek k monitoringu - ten se nesmí používat. Pokud nejsou žáci plnoletí, tak za ně zodpovídají rodiče, tudíž byste od nich musel mít souhlas (nejlépe písemný), jakmile dosáhnou plnoletosti, tak s tím musí souhlasit přímo žáci (studenti).

175

Server / Re:TXT seznam pornostránek v ČR

« kdy: 20. 08. 2013, 09:04:04 »

Ahoj, nechce se mi to tady pročítat, ale proč dělat něco,, co už existuje a je zadarmo - OpenDNS, stačí se zaregistrovat a ideálně mít statickou veřejnou IP adrsu (i když funguje i na dynamickém rozsahu, ale v tom případě je nutný klient v interní síti). V něm můžete zablokovat v podstatě cokoliv podle kategorií, takže bych bloknul XXX a proxy servery. Přes doménu bych nastavil zakázání nastavení proxy v Internet Exploreru a přes DHCP server a DNS servery bych OpenDNS delegoval na studentské počítače. Platit nějaké specializované firmě mi příjde mrhání peněz (ve školství sou peníze důležitější na jiné věci) a starat se o to sám, to jeden člověk nezvládne (i když pomoci regulárních výrazů zákažete spoustu věcí, tak určitě ne proxy a anonymizační stránky, těch deně vzniká a zaniká několik set). Pokud bysto to chhtěl řešit přesto touto cestou, tak doporučují firewallové distribuce, která tuto funkcionalitu obsahují, například pfSense, Monowall, pro SMB ClearOS (vyhněte se komerčním produktům typu Kerio a Zyxell, sou sice dobré, ale mají omezený bandwith a platí se u nich roční poplatky).

176

Windows a jiné systémy / Re:Microsoft Update skrze proxy a tunel

« kdy: 19. 08. 2013, 16:25:29 »

Ahoj, tak dlouhé eseje na mě nemůžeš .

Co se týče nastavení Proxy v IE, tak je docela možná, že to dělá bordel (ve firemní sféře sem to nevypozoroval, ale tam se WSUS chová a ovládá jinak než doma, respektive doma se dotazuje drtivá většina uživatelů Windows přímo serverů MS, respektive jak si zmínil - Akamai, na ně se zapomněl, přitom se je kdysi musel explicitně ve firewallu povolit, ale to je tak 3-4 roky zpět).

Media Home Cinema komunikuje na 80, tudíž je těžké ji odchytit (zároveň je závislá na nastavení Proxy v IE, takže když zakážeš 80 port anebo nastavíš Proxynu, tak ano, může to tenhle program zmást).

Co se týče hlubšího popisu BITS, WSUS, tak se to mohu pokusit popsat (ale bude to na dýl a taky je nutné počítat s tím, že díky tomu, že MS technologie nejsou open-source, tak to mohu popsat jen z vlastní zkušenosti a praxe).

177

Windows a jiné systémy / Re:Microsoft Update skrze proxy a tunel

« kdy: 19. 08. 2013, 11:45:56 »

...Problém je zřejmě v tom, že ne každá aktualizace běží ve stejném uživatelském kontextu, a i to musí být pro mnohé matoucí, protože jde o systémovou službu....

Ahoj, mohl bys rozvést, jak to myslíš? Možná o tom píšeš, ale nějak to nechápu.

Jinak k tomu, že Blesk mobil blokuje Windows updates, pokud tomu opravdu tak je, tak určitě od nich pryč (zkus schválně změnit primární DNS server, místo toho, co ti poskytne Bleskmobil, dej jiný, nějaký veřejný, protože pokud se nemýlím, tak standardní WSUS servery od Micosoftu dostupné pro veřejnost by měly používát 80 a 443 porty, u XP tomu tak bylo, a vzhledem k tomu, že WSUS jde hromadně nastavit jak pro XP, tak i pro Visty, 7, 8 a samozřejmě i serverové edice, tak nevidím důvod, proč by měl mít jiné porty).

Pokud ti WSUS pojede - pak jej Bleskmobil blokuje na základě DNS záznamu (což mi příjde neetické), pokud ti to nepojede, tak ti pravděpodobně nepojede internet vůbec, protože Bleskmobil bude pravděpodobně blokovat ostatní DNS servery (firewallovací pravidlo není pro tento příúpad zas tak složité) (v tomto případě mi to příjde taky neetické).

Co se týče BITS, tak ten je nutný k tomu, aby ti to nevytížilo celou síťovku (velmi zjednodušeně řečeno, celá problematika je složitější, ale to je nad rámec tohoto tématu).

178

Software / Re:Google Earth padá s ovladači AMD

« kdy: 14. 08. 2013, 15:05:12 »

Malá jiskřička naděje - zkoušel si to pod sudo? Občas mi některé aplikace crashnou, když je pustím jako standardní uživatel a ne jako root (su -, sudo).

179

Windows a jiné systémy / Re:Windows server a pole iSCSI

« kdy: 13. 08. 2013, 16:02:52 »

Jednoduchá odpověď - ano, použij multipathing ve Windows (někde ve funkcćh jej musíš doinstalovat). Složitá odpověď - ta mě teď nenapadá (v tvém případě půjde o HW multipathing, protože má pole dva řadiče, takže i nastavení na serveru by mělo být přímočaré, teda doufám, že si teď ty technologie nepletu, když tak mě opravte).

180

Sítě / Re:Rack a domácí rozvod sítě

« kdy: 30. 07. 2013, 16:21:06 »

Při pročítání příspěvku od Withy14 mám pocit, že se tu probírá zapojení nějaké serverovny pro střední firmu s nějakou technologií pro nepřetržitý technologický provoz. Např. switch za 8,5 tisíce pro zapojení domu je naprostý overkill. Tak drahé switche v síti Pilsfree nepoužíváme ani pro připojení celých panelákových vchodů.

Overkill? Jak se to veme, jestli si mám zapojit celý barák, tak radši obětuji těch 8 tisíc a mám na pár let pokoj, než koupit nějaký TP-Link nebo podobnou blbost a pak každý týden nebo dva řešit jeho zahlcení (nehledě na to, že tam mám NBD záruku a limited life-time a to jen tak něčím nevykompenzujete). Taky je rozdíl ve switchovací kapacitě těchto switchů oproti těm levnjším (a to nemluvím o tom, že některé switche a dokonce routery mají "sdílené" porty, tudíž se například tváří jako 5x100MBitps (x2 U/D), ale switchovací kapacita celého zařízení je jen 100Mbitps (x2 U/D). Takže ne - nemyslím si, že to je overkill, pokud tohle vydrží 10-15 let, tak je to podstatně výhodnější než ty levná zařízení (a nezlobte se na mě - TPLink, Tenda, ASUS a další podobné nejsou switche, které bych si dal do baráku a už vůbec ne, abych na nich stavěl metropolitní síť).