Příspěvky

511

Server / Re:Jsou nutná tato pravidla v iptables?

« kdy: 03. 09. 2020, 11:48:02 »

mangle, podobně jako nat, slouží pro manipulaci s pakety – tedy k přepisu hodnot v hlavičkách paketu. Opět, název napoví. Konkrétně nat slouží pro manipulaci s adresami (Network Address Translation), mangle slouží pro manipulaci s dalšími údaji v hlavičkách, třeba QOS.

Pokud potřebujete určit, že na některém interface neočekáváte provoz v privátních rozsazích (RFC 1918), je mangle to pravé místo. To totiž není filtrovací pravidlo, ale základní sanitizace provozu. Tuto operaci nevyřeší ani rp_filter, ani FW filter. Na FW filtru už pracujete s adresami po překladu, takže tam už pravidlo nemůže zabrat (reagovalo by i na provoz, který tuto adresu získal NATEM). Samozřejmě, v mangle se řeší i ty další operace, jak jste psal.

512

Server / Re:Jsou nutná tato pravidla v iptables?

« kdy: 03. 09. 2020, 07:41:24 »

b] Nekde vidis subnet 192.168.0.0/24? O nejake odpovedi nemuze byt rec. No a co, ze na to klient posle paket. Je to z LAN bloku neroutovelneho v netu zahodi to prvni router na ceste.

Pokud útočník sedí hned v segmentu za routerem (tedy zdánlivě "v netu"), tak se to tam odroutuje. Útok sice nemůže proběhnout z větší dálky (tam se to opravdu neodsměruje), ale když to bude Váš soused, tak říkajíc "na stejném switchi", tak má dveře otevřené.

rp_filter, některá mangle pravidla a forward prostě každý řeší něco jiného.
rp_filter lze nahradit manglem, je to aspoň částečné usnadnění (osobně preferuji nastavit to na mangle, nespoléhat se na to, že jiný sw nenastaví rp_filter na off nebo na loose)
jiná mangle pravidla nelze nahradit ničím jiním
forward nelze opomenout vůbec

513

Server / Re:Jsou nutná tato pravidla v iptables?

« kdy: 02. 09. 2020, 21:56:05 »

Na blokovani ve FORWARD a na ty mangly se uplne vykasli a radsi si nastuduj si k cemu se pouziva rp_filter a nebudes je vubec potrebovat.

Hodně odvážné tvrzení. Taky dejte chvilku studiu.

514

Server / Re:Jsou nutná tato pravidla v iptables?

« kdy: 02. 09. 2020, 17:32:53 »

Tady je malůvka, jak packet prochází přes mangle, nat, filter (a další): https://en.wikipedia.org/wiki/Netfilter

515

Software / Re:Rozpadající se weby při blokování JS

« kdy: 02. 09. 2020, 17:11:27 »

@Kamui

Osobně si myslím, že to nemá moc smysl dělat, přináší popsané problémy a užitek není zas tak velký. Nicméně, pokud to chcete takto praktikovat, tak nejjednodušší je mít nainstalovaný druhý browser a ten používat bez těchto serepetiček. Pokud se i tak bojíte o bezpečnost, dá se virtualizovat.

516

Server / Re:DKIM: jak příjemce ví, že maily mají být podepsané

« kdy: 02. 09. 2020, 16:59:23 »

Utocnik posle zlej email z teto domeny, nic nepodepise. Jak se prijemce ma dozvedet, ze email mel byt vubec podepsanej?

Pomocí DKIM nemůžete určit, že mail není legitimní. Dá se z něj dovodit pouze to, že je.

Tedy:
DKIM je a odpovídá => mail je důvěryhodný.
DKIM není => mail může být důvěryhodný a nemusí.
DKIM je a neodpovídá => záleží na nastavené politice (považovat za "možná" důvěryhodný nebo za s jistotou nedůvěryhodný)

517

Server / Re:Jsou nutná tyto pravidle v iptables

« kdy: 02. 09. 2020, 15:44:59 »

Samotná pravidla bezpečnosti (co smí odkud a kam) se řeší výhradně na filteru. NAT to nezajistí (díky conntracku a helperům je dojem bezpečnosti NATU pouze zdánlivý). Mangle zase nemá informace o zdroji provozu. Do mangle patří úplně bazální kontroly, aby se na interfacu neobjevil provoz z/na IP adresu, se kterou si interface z logiky věci neporadí, nebo třeba kontroly MAC vs. IP apod. V mangle je častější notace v negaci (pokud packet nemá zdrojovou adresu X.X.X.X => DROP). Na filtru je obvyklejší notace přímá (a policy DROP). Tedy velmi nepřesně a velmi zjednodušeně: na mangle vypíšete, co všechno neočekáváte z/do daného směru. Do filtru naopak povolíte, co očekáváte.

Osobně ještě navíc doporučuji v rámci LAN nepoužívat DROP, ale REJECT s patřičnými parametry, zkrátíte si tím timeouty a vše se v síti chová spořádaněji. Směrem do internetu záleží na situaci. Při pomalejších linkách se musí preferovat DROP, pokud je linka rozumně dimenzovaná, je lepší REJECT s určitým limitem (po překročení přejde na DROP).

Pak jste se ptal, jestli něco dělá systém implicitně. Ano, dá se nastavit vícero parametrů, ale z hlavy mě napadá, že by Vás mohl zajímat rp_filter (https://tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.kernel.rpf.html).

Myslím, že pro tyto účely je vhodné využít nějaký sofistikovanější firewall. Zkuste se podívat např. na https://shorewall.org/. Ten podle lidsky čitelnější konfigurace nastaví spoustu věcí sám.

Nicméně přemýšlíte o tom správně a kladete (si) správné otázky, které velká část "odborníků" (těch v uvozovkách) naprosto zanedbává.

518

Sítě / Re:Filtrování IP provozu na základě DHCP (povolit těm co si prošli DHCP)

« kdy: 02. 09. 2020, 14:23:13 »

@Hamparle

A nemůžete použít rovnou 802.1X, které je k tomu určené? Přes DHCP to bude vždy nedostatečné z hlediska bezpečnosti a nespolehlivé kvůli tomu, že to musíte vyrobit na koleni.

519

Sítě / Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč

« kdy: 01. 09. 2020, 23:55:53 »

diky, asi to už chápu. Ale pak je věc co by mě zajímala... ty tagy zmizí po přečtení prvním zařízením, nebo zůstavají i po průchodu a je tak možné poté příslušnost k dané síti nastavit i v např. v nastavení síťové karty? To by se hodilo že bych router a tagovací switch nechal u modemu a nechal stávající jeden kabel do pracovny s obyčejným switchem a měl tu zařízení z různých VLAN pomíchaná v tom obyčejném switchi ale oddělená tím tagem.

Tagy zmizí, jakmile je na switchi (nebo i na routeru) výstupní port označený jako netagovaný. Takový port pak patří jen do jedné předem dané VLAN. Tj. pokud switch posílá z netagovaného portu do tagovaného, tak značku přidá. V opačném směru ji odstraní.

Mimochodem, existuje i režim, že na portu mohou běhat netagované packety (tam se určí, o jakou vlan jde), a zároveň probíhá i tagovaný provoz. Je to vhodné na situace, kdy chcete mít zdířku univezrální. Např. netagovaný provoz jde do běžné sítě. Jakmile se objeví tag, tak v tom případě se zařadí do příslušné VLAN.

Na straně Windows to funguje stejně. Ve správci zařízení, když máte správné ovladače, nadefinujete VLANY, a ve Windows se Vám objeví nové (virtuální) síťové adaptéry. Pracoval jsem s tím na kartách Intel, ale ostatní značky to budou mít asi taky.

Co se týče výkonu, tak pro srovnání. V práci mám RB4011, ten poměrně stíhá UPC linku. Asi by mi stačil RB3011. Nižší těžce nestíhají takové datové toky, jakmile tam máte firewallovací pravidla. Na stránkách Mikrotiku mají tabulku výkonu (Test Results): https://mikrotik.com/product/RB3011UiAS-RM#fndtn-testresults. Všimněte si, jak drasticky padá výkon při menší velikosti packetu a pár pravidlech firewallu. Bacha, ty čísla jsou součet obou směrů, ne každý zvlášť. (Někteří výrobci to ani raději nezveřejňují, těm se vyhnout obloukem)

520

Sítě / Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč

« kdy: 01. 09. 2020, 19:05:01 »

Funkci VLAN chápu, tagování trochu méně. Prostě to všechno pochopím víc až praxí s nastavením, s čím jsem chtěl poradit je s nákupem HW na kterém se to naučím a nechci koupit neco co pak nebude něco co potřebuju umět nebo pojede pomalu.

Není to nic těžkého, když chápete základ VLAN. Zopakuji. Nastavíte VLAN 10 a VLAN 20 a přiřadíte jim porty. Tím z jednoho switche uděláte jakoby dva oddělené.

Pak chcete ty "dva switche" nějak routovat. Máte možnost samozřejmě do routeru vést dva kabely - jeden z VLAN 10 a druhý z VLAN 20. Jenže je nepohodlné vodit to dvěma kabely - překáží to a zabírá to jak ve switchi, tak v routeru dva porty. Plýtvání.

Takže se místo toho jeden port na switchi a port na routeru označí, že má přijímat tagovaný provoz. Obě zařízení na konec packetu přidají značku, ve které je označení VLAN. Když dorazí packet do switche, přečte značku a pak s tím packetem dál pracuje v té části, která se ho týká.

Na routeru to funguje obdobně. Máte port, který se jmenuje např. ether2. Jenže Vy potřebujete odlišit ještě VLAN. Tak se na routeru nastaví, že do něj přichází tagovaný provoz a router vytvoří (virtuálně) dva nové interfacy: ether2.10 a ether2.20. S těmi pak už pracujete, jako kdyby to byly fyzické porty.

Takže do routeru Vám může vést jen jediný kabel, router si vytvoří klidně 100 různých virtuálních interfaců a mezi nimi routuje.

Je to opravdu jen způsob, jak se to, co se dá dělat fyzicky, dělá jen logikou (virtuálně). Proto i velké routery mají v základu třeba jen dva, tři porty, protože to stačí. Zbytek se obslouží vlanami na switchi a tagováním.

Úbytek výkonu je minimální, k packetu přibudou (tuším) dva bajty.

521

Sítě / Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč

« kdy: 01. 09. 2020, 14:44:10 »

Na ebayi se dají sehnat kolem 2-3 tisíc 3750x.

Jejich L3 funkce jsou dost ořezané a taky trochu neohrabané na účel, který byl tázán.

522

Sítě / Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč

« kdy: 01. 09. 2020, 13:43:15 »

Jak rychlou linku máte (i výhledově) a jak moc by případně tekly data mezi oddělenými částmi?
Wifi na modemu použít nemůžete, modem je v části před routerem (tedy před chráněnou částí).

523

Software / Re:Delay při výstupu

« kdy: 31. 08. 2020, 12:54:25 »

To mi pořád nevysvětluje, jaké podivnosti se tou zvláštní pajpou snažíte dosáhnout. Protože podle mě nemůže fungovat a nepodařilo se mi odhadnout, co je cílem.

524

Software / Re:Delay při výstupu

« kdy: 31. 08. 2020, 12:33:39 »

Čeho se snažíte dosáhnout?

525

Sítě / Re:Menší RD - nastavení VLAN k izolování návštěv

« kdy: 28. 08. 2020, 07:38:29 »

V práci mám kombinaci obojího. Mikrotik se stará o VRF, VLANY, firewall, QoS.
UBNT je fajn pro nastavení a správu wifi.