Příspěvky

811

Sítě / Re:Nastavení IPtables na serveru s Debianem

« kdy: 17. 05. 2018, 08:56:33 »

dakujem,

Zkuste to přes iptables-restore, jak popisuji tady - https://david.cesal.cz/nastaveni-site/ .

ked som iptables studoval, tak som si to na konci clanku vsimol https://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-linuxovy-firewall-zaklady-iptables-2 ten clanok je asi 8 rokov stary (ale je vyborne napisany) tak som si myslel ci nebude aj nejaky iny sposob zavedenia (ale toto je tiez v pohode).

Nebo si nainstaluj firewal ufw a res to v nem. Prijde mi prehlednejsi

Pro slozitejsi pravidla treba viz https://gist.github.com/kimus/9315140

UFW som pouzival do teraz. Je to v celku jednoduche aj pre zaciatocnikov, ale chcel som sa naucit viac iptables (mozno by uz bolo vhodnejsie nftables, ale nikdy nie je na skodu ist od zakladu (priznam sa, ze ipchains som neskusal)).

Na debianu stačí použít https://packages.debian.org/stretch/admin/netfilter-persistent a nemusíš nic scriptovat

skusim aj toto.

Ale nejak sa nikto nevyjadril k pravidlam.
Priznam sa, ze KVM pevadzkujem na proxmoxe, kde je pre kazdy VM (aj LXC) klikaci firewall. Mozno by to stacilo poriesit aj tam, ale ako som pisal vyssie chcem sa trocha priucit iptables

812

Software / Re:archivace a zalohovani tar.gz (bez urciteho adresara)

« kdy: 17. 05. 2018, 07:36:14 »

dik, funguje

Kód: [Vybrat]

tar -cvzf /home/name/web-1.tar.gz /var/www/web1  --exclude "/var/www/web1/data"


813

Software / Archivace a zálohování tar.gz s vynecháním adresáře

« kdy: 17. 05. 2018, 06:33:07 »

Dobry den,
zalohujem si /var/www pomocou tar.gz. Chcem zalohovat kompletne vsetko, ale su tam 1-2 adresare kde su data (velkost v GB) a tie nechcem zalohovat (tie si zalohujem zvlast).
Na zalohu pouzivam

Kód: [Vybrat]

tar -cvzf /home/name/web-1.tar.gz /var/www/web1
tar -cvzf /home/name/web-2.tar.gz /var/www/web2
atd...
Vedel by som utilitke na zalohovanie povedat, ze zalohuj cely /var/www/web1, okrem /var/www/web1/data ?

814

Sítě / Nastavení IPtables na serveru s Debianem

« kdy: 16. 05. 2018, 21:30:10 »

Dobry den,
mam nainstalovany debian netinstall v KVM/qemu. Bezi mi tam len FTP server, ssh, openvpn a jedna sluzba na porte 17000.
Chcel by som si to zabezpecit netfilterom cez iptables
Debian (KVM) ma cez bridge realnu Ip adresu 192.168.1.100 (je v sieti 192.168.1.0/24)
Openvpn v debiane ma siet 10.8.0.0/24 (IP servera je teda 10.8.0.1)
Ako teda spravne nastavit iptables ?

Najprv by som asi vycistil vsetky retazce, vymazal vytvorene retazce a nastavil politiku

Kód: [Vybrat]

iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROPPovolit lokalnu smicku

Kód: [Vybrat]

iptables -A INPUT -i lo -j ACCEPTpovolit naviazane a pribuzne spojenia

Kód: [Vybrat]

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTSSH by som chcel nastavit len na jednu IP a tak isto aj FTP

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -s 192.168.1.4 -j ACCEPTOtvorenie portu 17000 pre kazdeho

Kód: [Vybrat]

iptables -A INPUT -p tcp --dport 17000 -j ACCEPTDalej by mal byt otvoreny port pre pakety prichadzajuce na vstupne rozhranie, ktore vytvaraju openvpn spojenie (ano mam to na tcp)

Kód: [Vybrat]

iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -j ACCEPTVsetko ostatne ma byt zahodene (vid politika)

Forwarding sa na tomto stroji nekona.
Zatial som iptables nikdy nenastavoval, len som to trochu studoval a vyhladaval info ako to funguje.
Su v tom nejake chyby ? Bude to pracovat tak ako predpokladam?

Skript by vyzeral takto

Kód: [Vybrat]

#!/bin/bash
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -s 192.168.1.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 17000 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -p tcp --dport 1194 -j ACCEPTPS iptables je potrebne ulozit do nejakeho suboru ako skript a pri kazdom starte spustat napr. cez rc.local ?

815

Studium a uplatnění / Re:Intenzivní kurz pro IT začátečníka

« kdy: 16. 05. 2018, 11:31:02 »

Ja len nechapem takym kurzom, ktore travaju 1-2 dni a cena kurzu je 200-400€.
Clovek nie je schopny ani za 2-3 tyzdne ponat aspon zaklady programovania (ospravedlnujem sa .... hlavickam, ktore to zvladnu, ale tych je asi 1:10000).
To ako keby si na VS profaci povedali, ze zkratia semester z 3 mesiacov na 6 dni a hotovo.
Syntax by sa dala nastudovat mozno za 10-15 dni, ale skutocne realne programovanie urcite za 10-15 dni nezvladne nikto (ako som pisal mozno 1 z 10000).
A koniec koncov clovek sa uci programovat cely zivot, lebo vzdy je nieco nove.
Mne tie 1-2 dnove kurzy pripadaju ako keby na nich isli uz profi programatori a na nich si len overia ci je to vsetko spravne a ci to dobre pochopili, prip. nieco zkonzultuju.

Ja ked nieco potrebujem spravit (u mna sa skor jedna o konfiguraciu a nastavenia systemu (nie o programovanie)), tak najprv googlim a ked ani google nevie pomoct, tak sa obratim na nejake odborne forum a ziadam o nakopnutie.
Potom zacnem googlit znova.
Anglictina je velmi dolezita i ked ja sa s nou velmi nekamaratim, ale aspon ako tak technicku anglictinu zvladam (pri najhorsom) s podporou translatora.
Preco je programovanie, alebo konfiguracia sieti, routerov, firewallov a roznych systemov tak dobre platena ?? Lebo to nemoze robit hocikto, co ma 2-3 denny  kurz. Na toto firmy potrebuju fachmanov ktori maju roky praxe (ale kde tu prax ziskali ?? ).
Najprv studovali (ci uz v skole (ale viem ze v skole sa toho vela naucit neda)) vela krat aj po nociach a potom zacali ako juniori.
Preco si napr. nemoze hocikto povedat, ze .... Prave ja sa naucim programovat !!!! lebo uz pri if, else a uz nespominam ani pointer je strateny a vzda to.

816

Studium a uplatnění / Re:Intenzivní kurz pro IT začátečníka

« kdy: 15. 05. 2018, 20:52:54 »

Asi se neobejdes bez knihy https://www.kosmas.cz/knihy/143041/velky-pruvodce-protokoly-tcp-ip-a-system-dns/

Zkus ji nekde sehnat, treba jako PDF

Tak to sa určite hodí...ďakujem

Tieto knihy sa daju kupit, ja prave doluskavam druhe vydanie (uz som pri protokole DNS) a teraz som prave stiahol vydanie 5, takze zase bude co citat (v praci mam casu habadej (nie som ITeckar (ale bavi ma to)).
Nechcem to tu rozsirovat, ale tie knihy sa daju normalne stiahnut, staci zadat do googla ich nazov s koncovkou pdf.
Tie knihy su naozaj dobre, ale v nich sa prebera hlavne teoria (v druhom vydani je myslim aj nejaka konfiguracia bindu, takze moznoi aj prakticke ukazky by tam mohli byt).
Ale ked sa dotycny chce naucit programovat, tak musi trocha ovladat aj tcp/ip, pretoze dnes to bezi skor na baze server/klient.
Ono IT je neskutocne rozsiahla oblast a ked sa chces IT skutocne venovat, tak sa zameraj hlavne na jednu oblast.
Myslim si ze buducnost ma sietova bezpecnost, ale bude to velmi velmi zlozite

817

Server / Re:QFDN hostname (proxmox)

« kdy: 15. 05. 2018, 09:22:23 »

Je to na LANke (do internetu budu vystavene kontajnery)

818

Server / QFDN hostname (proxmox)

« kdy: 15. 05. 2018, 08:40:49 »

Pri instalacii proxmoxu je mozne vyplnit ako kvalifikovane domenove meno hocico ?
napr. hocico.sk ?
Prip. ak by som to chcel upravit, tak staci editovat

Kód: [Vybrat]

vi /etc/hosts?
Chystam sa to instalovat.

819

Sítě / Re:t-mobile vdsl packet loss

« kdy: 30. 04. 2018, 12:38:32 »

nejakym nedopatrenim jsem mel v modemu stary firmware, po updatu klesl ping z 17 na 7ms
packet loss se ale vubec nezmenil.

Na VDSL mas ping 7ms ??
To je ako na optike ..... ja mam vzdy >34ms
Ked skusam next hop (to ma moj provider "orange" blokovane) ale napr. google nad 34ms vzdy

820

Sítě / Re:Prepajanie sieti NIX

« kdy: 26. 04. 2018, 13:50:24 »

Dakujem za odpoved

Je potřeba se na to dívat z pohledu konkrétní sítě, protože je na ní, jak se propojí s ostatními. Typicky musí začít s připojením k nějakému tranzitnímu operátorovi. To jsou globální sítě, které si mezi sebou vyměňují data zadarmo. To je vlastně internet. Když se k některé z nich připojíte, tak vám garantuje, že vám data doručí do celého internetu, protože k němu nebo dalším jeho partnerům jsou připojeni vlastně všichni.

Skratku "PC" menim na "IX"
Podla toho sa vlastne nikto mensi (pokial nie je hodne bohaty) nepripojuje priamo na tranzit, ale ide cez nejake "IX" a az to "IX" sa pripojuje na tranzit

Jenže to nestačí, protože takové doručování je drahé a zároveň nechcete, aby z Bratislavy do Prahy ta data tekla přes Frankfurt nebo New York, kde se ty velké sítě potkávají nejblíž. Takže chcete síť zahušťovat. Jedna varianta jsou přímé propoje, kdy si prostě s jinou sítí řeknete, že si přenášíte dost dat a chce to prohodit si kabel mezi sebou. Tím pádem data mezi vámi mají bližší cestu a jdou tudy. Tranzit je pak vlastně záloha.

Toto sa aj v skutocnosti deje ?? Ak si zoberieme tych vacsich hracov na trhu, co su vlastne konkurenti, nevyuziju na to radsej nezavisle "IX" ?

Tohle taky ale nestačí, protože takhle se propojíte jen s některými sítěmi a je to docela složité a drahé – musíte si s každou sítí zřizovat linku. Proto vznikly peeringové uzly (IX), což není nic jiného než speciálně založená síť, do které se připojí všichni. Každý má tak jednu linku (raději dvě, kvůli záloze) a tam se všichni potkají. Ta peeringová centra obecně propojena nijak nejsou. Je to jen „chodba“ navíc, ale vede jen do těch sítí, které tam jsou připojené. Samozřejmě se můžete s někým v IX domluvit, že vám bude tudy prodávat tranzit, ale to už je otázka dohody mezi sítěmi.

Třeba CESNET je připojený do různých IX: NIX.CZ, VIX, SIX, AMS-IX a tudy odbaví většinu komunikace. Je to rychlejší, spolehlivější, levnější. Pochopitelně je běžné, že pak potkává stejné sítě v různých IX, ale to je výhoda, protože je to záloha. Když všechno ostatní selže a daná síť v Uzbekistánu není ani v jednom z těchto uzlů, jde se přes univerzální tranzit.

Stačí takto?

Ano samozrejme staci to. V podstate som to pochopil dobre i ked som si nebol vo vsetkom celkom isty. Chcel som vediet ako to funguje principialne (na hrubo) nie detailne.

Nastudujte si fungovani BGP4, pak vam to zacnw byt trochu jasne.

Aj bez studia BGP4 mi je to jasne, ale dik

821

Sítě / Prepajanie sieti NIX

« kdy: 26. 04. 2018, 12:21:32 »

Chcel by som sa opytat cisto teoreticky ako funguje internet (hierarchia).
Napr. male podnikove siete, ktore maju jednu linku (WAN) do internetu, prevadzkuju nejake http, ftp, smtp ... servery a maju vlastny vnutropodnikovy DNS. Nastane situacia, ked im linka (WAN) spadne. Prestane fungovat internet, ale vnutropodnikova siet (http, ftp, smtp ... servery) bezi dalej + ked je tam proxy, tak sa to moze z pohladu uzivatela tvarit, ze funguje (za urcitych okolnosti) aj internet.
V tomto pripade mozeme povedat ze tato siet pracuje v autonomnom systeme (AS) ??
Ked je takato siet ovela rozsiahlejsia (ako som popisal vyssie) a ma k dispozicii urcity rozsah verejnych IP adries napr. /19 a vo svojej sieti zdruzuje nie len uzivatelov, ale aj tych, ktori nieco do siete dodavaju (napr. http, ftp, smtp ... sluzby) a  vypadne (WAN) tak znova sa pre uzivatelov siet tvari tak, ze v ramci siete je vsetko OK, ale ak uzivatel pozaduje nieco mimo siet, tak sa odpovede nedocka (ked do toho neuvazujeme proxy).
To co som popisoval teraz, tak som uvazoval o ISP.

Takych vacsich ISP v mensich krajinach ako je napr. Slovensko, alebo Cesko je mozno spocitat na jednej ruke (max. na dvoch )
Cize napr. na Slovensku  nech je tych velkych ISP 5 (urcite je ich viac, ale ide len o princip).
Potom na slovensku je 5 AS co pokryvaju cele slovensko (cize kazdy kto je pripojeny do internetu, musi byt ci uz priamo, alebo nepriamo pripojeny do jednej z 5 AS).
Tieto 5 AS nie su medzi sebou poprepajane a je ich potrebne prepojit a tak sa to udeje cez peerengove centra (PC).
Na Slovensku sa tieto PC nachadzaju vacsinou na neutralnej pode a to su univerzity (BA, KE). Takze ak tomu spravne rozumiem, tak tych 5 AS sa musi fyzicky pripojit do jedneho z PC a tieto PC by mali byt prepojene aj medzi sebou.
Ked to tak je a nikto nikde neprekopal ziadny kabel a funguju vsetky routery (ako v AS, tak v PC), tak na Slovensku je kazdemu dostupny internet, ale len v ramci Slovenska.

Funguje to aj dalej takym sposobom ako som popisoval vyssie, v ramci statov a kontinentov ?
Do akeho dalsieho peerengoveho centra vedu (fyzicke kable) z univerzit (BA, KE) do Viedne, Prahy, Budapesti .... ?
Nieco o nix je aj tu https://www.root.cz/clanky/lehky-uvod-do-peeringu-aneb-jak-funguje-nix-cz/
Na konci je jeden graf

Tok NIX.CZ na Štědrý den 2013
Tento tok je namerany medzi akymi rozhraniami ?

822

Sítě / Re:Odesílání e-mailu z MikroTiku

« kdy: 23. 04. 2018, 13:24:16 »

Ano dik, uz to funguje a vie to aj hostname

823

Sítě / Re:odosielanie mailu z mikrotiku

« kdy: 22. 04. 2018, 20:36:34 »

Takze nakoniec IP je

Kód: [Vybrat]

77.75.76.48Cez klikatko mi to funguje, ale z terminalu to stale hodi tu samu chybu

Kód: [Vybrat]

failure: timeout occuredV manuale uvadzaju, ze ak nebudu vyplnene niektore polozky, tak sa pouziju z " server's configuration".
Aj ked ich zadam rucne tak to mail neposle

Kód: [Vybrat]

send to=existujuci_mail@pobox.sk subject="email test" body="email test" start-tls=yes server=77.75.76.48 port=465


824

Sítě / Odesílání e-mailu z MikroTiku

« kdy: 22. 04. 2018, 16:06:55 »

Pokusam sa nastavit odosielanie mailu z mikrotiku
Nastavenie emailu (email na seznam.cz)

Kód: [Vybrat]

set address=77.75.72.43 from=moje_meno_na_sezname@seznam.cz password=moje_heslo_na_sezname port=465 start-tls=yes user=moje_meno_na_seznameKed skusim mail odoslat

Kód: [Vybrat]

/tool e-mail> send to=existujuci_mail@pobox.sk subject="email test" body="email test" start-tls=yestak to zahlasi

Kód: [Vybrat]

failure: timeout occured


825

Server / Re:Blokování portů ve VPN kromě jednoho

« kdy: 19. 04. 2018, 20:15:10 »

principialne neviem ako to riesit cez proxy