Příspěvky

841

Server / Re:blokovanie vpn rozsahu okrem ...

« kdy: 07. 04. 2018, 18:10:55 »

sorry !
ovpn mi funguje dobre, takze nevidel som dovod davat sem konfigurak, ale budis

Kód: [Vybrat]

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key 
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
topology subnet
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
user nobody
group nogroup
persist-key
persist-tun
log-append /var/log/openvpn.log
status openvpn-status.log
verb 3
#client-to-client
OS ubuntu 14.04
Problem vidim na urovni firewallu (nepustal som sa do iptables, radsej som pouzil pre mna jednoduchsi ufw) a tabulku ufw som dal v prvom prispevku

842

Server / Blokování portů ve VPN kromě jednoho

« kdy: 07. 04. 2018, 16:24:49 »

Popis problemu:
Na servery je nainstalovany OpenVPN server, ktory funguje celkom dobre.
Na servery je okrem ineho aplikacia, ktora pocuva na porte 12345.
Chcem aby klienti mali povoleny len ten jeden port 12345 (a jeden klient (ja) aby mal pristup aj na ostatnych klientov (porty 80, 21 a pod ...)).
VPN sluzi len cisto na to, aby sa klient pripojil na jednu aplikaciu na porte 12345 (nic viac, ziadny forwarding).
V konfiguracii vpn servera (server.conf) je direktiva

Kód: [Vybrat]

client to clientktora zabezpecuje aby sa klienti videli. Ak tu direktivu pouzijem, tak vsetci sa vidia. Ak direktivu zrusim, klienti sa nevidia.
OpenVPN funguje na IP 10.8.0.0/24. Skusil som to nastavit v UFW, ale nejako to nefunguje.
IP adresa ktora ma mat pristup vsade je 10.8.0.155

Kód: [Vybrat]

Do                         Operácia    Od
--                         --------    --
22                         ALLOW       Anywhere
1194/tcp                   ALLOW       Anywhere
12345/tcp                  ALLOW       Anywhere
Anywhere                   ALLOW       10.8.0.155
21                         DENY        10.8.0.0/24
21                         ALLOW       Anywhere
80                         DENY        10.8.0.0/24
80/tcp                     ALLOW       Anywhere
Zaciatok firewalu vyzera takto.
Povolil som kazdemu port 22, 1194 a 12345.
Dalej som povolil vsetko pre 10.8.0.155
Pre rozsah 10.8.0.0/24 som zakazal port 21, 80 a pre ostatnych tieto porty povolil.
Aj ked mam ufw takto nastaveny, tak klientom z 10.8.0.0/24 funguje aj port 80 aj 21 atd ...
Ako by som dosiahol to co potrebujem ?
Je to vobec mozne ?

843

Odkladiště / Re:Má smysl web magazín o programování?

« kdy: 31. 03. 2018, 19:53:27 »

Vsetko ma zmysel. Aj keby si pomohol len par ludom, tak to ma zmysel. Ale ide hlavne o tvoj cas

844

Sítě / Re:Zneužití otevřeného rekurzivního DNS

« kdy: 30. 03. 2018, 20:35:15 »

dik filip, teraz mi je to uz naprosto jasne (samozrejme z teoretickeho hladiska (a o to mi islo)).

845

Sítě / Re:Zneužití otevřeného rekurzivního DNS

« kdy: 30. 03. 2018, 19:09:39 »

diky ondro (cs, alebo cz a neni to jedno )
Ale uz tomu chapem "pravdepodobne"
Cize ja som v prvom prispevku pisal, ze ked som si otvoril resolver na verejnej IP, tak nejaky nepekny scaner portov zistil, ze na mojej IP je otvoreny port 53 a mam tam resolver a hned ho aj pouzil.
Ak by chcel teda utocnik zautocit na root.cz, tak na moj resolver posle udp paket kde je v hlavicke sfalsovana IP adresa (na ktorej sedi root.cz) a moj resolver (pokial to nema v cache (tak by to postupne cez korenove dns do cache dostal)) by neustale posielal udp pakety na root.cz az zahlti linku (samozrejme moj resolver je maly a linku mam pomalu, takze takych resolverov by sa muselo pouzit viac).
Moze byt ?
Inak na ten resolver som trochu pozabudol a moj mikrotik to tahal par hodin

846

Sítě / Re:Zneužití otevřeného rekurzivního DNS

« kdy: 30. 03. 2018, 15:34:54 »

No zatial som sa nedozvedel nic. Z prednasky v anglictine totalne nic, lebo neovladam jazyk a z textu velmi malo. Skor hladam nieco v cz/sk

UDP nemá spojení, jsou to jen jednotlivé pakety. V DNS jedním paketem přijde dotaz a jako odpověď se pošle zase jeden paket. Tím pádem není nutné, aby v UDP paketu byla správná adresa odesílatele. Pokud na rekurzivní DNS resolver přijde dotaz se zfalšovanou odchozí IP adresou, DNS resolver odpoví na tu adresu. Čehož využije útočník – vytvoří dotaz, na který DNS server odpoví pořádně velkou odpovědí, a v dotazu zfalšuje adresu odesílatele. Útočníkovi tedy stačí poslat malý paket s dotazem, a na cíl útoku dorazí podstatně větší paket s odpovědí.

Rekurzivní DNS servery se k tomu využívají proto, že rekurzivní server posbírá záznamy i k nadřazeným doménám, takže odpověď pěkně nabobtná. Autoritativní server odpovídá jen na záznamem, na který byl dotázán, nepostupuje po DNS stromu nahoru směrem ke kořenové doméně, takže jeho odpovědi jsou obecně menší.

Dobre co som sa uz davnejsie docital, tak podla mna to funguje nejak takto.
Obycajny klient, napisanim internetovej adresy do url web prehliadaca spusti proces, kde sa odosle paket (kde v lavicke su nejake data, cielova ip, port a zdrojova ip port + .... ine ) s  priznakom syn. Paket ide najprv do lokalneho resolvera a ked adresu nenajde, tak posiela paket na korenovy DNS (autoritativny).
Korenovy DNS resolveru vrati paket len s dalsimi DNS servermi (o uroven nizsimi) a tym jeho uloha skoncila.
Tak to postupuje az k poslednemu DNS serveru, na ktorom sa nachachadza aj internetova adresa, na ktoru sa klient dotazoval.
Neviem ci len na posledny DNS (alebo na vsetky), resolver posiela paket s priznakom syn, kde DNS vracia paket s priznakom syn ack a klient to potvrdzuje paketom ack (neviem to presne). Cize ak nastane podanie ruk, spojenie sa vytvori a je vybavene.

Ako sa to da zneuzit ??
Staci ze utocnik zasiela na DNS server pakety s falosnou IP adresou v hlavicke a DNS vracia odpoved na sfalsovanu IP adresu, ale kedze tato IP adresa nic neziadala, tak nemoze poslat potvrdzovaci paket.
DNS server tak v intervaloch zasiela paket, ale druha strana stale mlci.
Utocnik zasiela v jednom case desattisice falosnych paketov az vytazi DNS server, ked tak urobi viac utocniko, tak to nevydrzi linka a server spadne.
Co ma z toho utocnik ??
Len to ze DNS sa stane nedostupnym ??

847

Sítě / Re:DS-Lite na FTTH u Orange.sk?

« kdy: 29. 03. 2018, 20:27:43 »

Na xDSL FUPko, bez IPv4 ..... orange ide dole vodou

848

Sítě / Re:DS-Lite na FTTH u Orange.sk?

« kdy: 29. 03. 2018, 20:15:51 »

Aj keby si mal router, ktory podporuje DS-Lite klienta (OpenWRT/LEDE), tak to nepomoze - provider nedovoli pripojenie na AFTR server z tvojho IPv6 subnetu (iba z toho, co dostane router providera, tvoj router dostava cez prefix delegation iny).

odkial mas tuto inromaciu za na AFTR je nejaky filter na B4 adresy?

Asi si necham potom IPv4 a ak nebudu chciet, tak prejdem vedla do telekomu oni maju IPv4 este dost

ak mas teraz IPv4 tak ti ju nikto nezoberie ani pri predlzeni zmluvy, ipv6 ucet sa dava iba novym zakaznikom a aj tam sa da dohodnut ze da prehodia na ipv4 ucet ak im das dovody ze mas doma NASko a neviem co este...

Mne predosla zmluva neskoncila, ale oni vzdy pred skoncenim zmluvy zakaznikovy zavolaju a snazia sa predlzit, ale ak sa pamatam, tak chceli mi dat IPv6 a ja som to odmietol.
Potom som sa s nimi dohodol  po telefone, ze budem mat IPv4 (zadarmo (inak chcu za IPv4 99€ co je neskutocne)).
Niekedy v juny 2018 ma asi znova oslovia, tak uvidim
Idealne by bolo keby dali verejnu IPv4 a zaroven IPv6 .... co im v tom brani ??
Inak IPv6 by som si mohol teoreticky testovat aj cez https://tunnelbroker.net/

849

Sítě / Zneužití otevřeného rekurzivního DNS

« kdy: 29. 03. 2018, 17:01:27 »

Teoreticka otazka
Vsade sa docitam, ze ako sa zneuzivaju resolvery ktore bezia na klientskych routeroch s verejnou IP a nechtiac, resp. majitel zariadenia ani nevie ze ma otvoreny resolver na wan interface (kontrola resolvera).
Kto, ako a preco zneuziva resolvery:
Kto ich zneuziva je jasne su to botnety alebo nejaky iny sofistikovany sw, ktory pre niekoho pracuje.
Vsade sa docitam, ze ak ma niekto otvoreny resolver, tak ktokolvek z internetu si cez tento resolver moze prekladat co chce.
Nemam zaujem sa dozvediet presne ako to funguje aby som to mohol aj ja zneuzit ale chcem vediet teoreticky ako to funguje.
Skusil som si otvorit resolver na wan a do par hodin som mal na udp 53 asi 20 000 spojeni (na miesto beznych 100-200).
Ako to vlastne funguje a preco to niekto robi ?

850

Sítě / Re:DS-Lite na FTTH u Orange.sk?

« kdy: 29. 03. 2018, 16:38:00 »

Asi si necham potom IPv4 a ak nebudu chciet, tak prejdem vedla do telekomu oni maju IPv4 este dost

851

Hardware / Re:Jakou desku (ARM) na domácí experimenty?

« kdy: 29. 03. 2018, 16:36:28 »

U rock64 som sa docital, ze ovladace su closed, takze support bude asi obmedzena. Vykonovo je na tom velkom dobre

852

Sítě / Re:DS-Lite na FTTH u Orange.sk?

« kdy: 29. 03. 2018, 14:16:47 »

Ja mam momentalne vdsl od orange IPv4 (verejnu). Po skonceni zmluvy ma nahovorili znova (lebo som chcel odist) ale moja poziadavka bola IPv4 a lacnejsie ako konkurencia. Kedze to splnili, tak som ostal u orange.
Modem mam vlastny, zyxel vmg1312-b30b. Myslim, ze presne ten isty maju v ponuke aj oni.
Mne ten modem len bridguje a vytacanie mam na mikrotiku.
Mna najviac zaujma, ked by som presiel na IPv6 a chcel by som to mat ako doteraz (modem bridge) a vsetko ostatne sa konfiguruje na MK, ci je s tym vela prace.
Za dalsie mam v LAN na servery nejake virtualhosty + nejake mensie sluzby vyuzivajuce niektore porty (cize mam to NATovane z IP adresy LAN na WAN adresu). Vsetko mi to funguje a som spokojny.
Ak by som teda dostal nativnu IPv6 od poskytovatela, mam to chapat tak, ze IPv6 dostanem na WAN a v LAN mam stale IPv4 ako doteraz (+ by sa robil ten DS-lite) ?  Pripadne si mozem priradit aj na zariadenia v LAN (ktore to podporuju) IPv6 adresy?
A to najdolezitejsie pre mna je, ako by som sa zo siete IPv4 (niekde z vonka (ked budem niekde s mobilom)) dostal napr. na moj virtualhost, prip. na inu sluzbu. To by fungovalo cez PCP ?
Sorry, ale ja zatial tomu prechodu z 4 na 6 velmi nerozumiem a obavam sa ze ten prechod bude travat este hodne dlho, kym sa prejde uplne na IPv6.

853

Sítě / Re:DS-Lite na FTTH u Orange.sk?

« kdy: 29. 03. 2018, 09:47:15 »

@darebacik
pisal som ze zakaznicky router je na LAN strane dualstack, teda bezi tam IPv4 aj IPv6, teda na svojom PC budes mat privatnu IPv4 a verejnu IPv6 z delegovaneho prefixu

IPv4 komunikacia sa bali do IPv6 hlavicky a posiela smerom na CGN kde sa IPv6 hlavicka zahodi, vnutorny IPv4 paket sa zaNATuje a posle do internetu
IPv6 komunukacia nejde cez CGN, kedze nemusi, ide nativne svojou cestou k destinacii

co sa tyka rozbalovania IPv6 tunnelu na CGN a natovania IPv4, ano pravdepodobne tisice zakaznikov maju este z defaultnych nastaveni rovnaky IPv4 LAN subnet na svojich routroch, ale toto CGN zariadeniu nevadi, kedze v stavovej tabulke sa drzi zaznam z ktoreho zariadenie dana komunikacia prisla a zdaka tomu ich rozlisuje aj ked source IPv4 adresy mozu byt rovnake

NAT64 vs DS-Lite, z mojho pohladu je DS-Lite mensie zlo, kedze robis NAT z IPv4 na IPv4 co je rokmy overeny koncept. preklad IPv6 a IPv4 je uz z principu zly a mohlo by tam dochadzat k roznym problemom.

Ano teraz uz rozumiem, dik za vysvetlenie

854

Hardware / Re:Jakou desku (ARM) na domácí experimenty?

« kdy: 29. 03. 2018, 09:17:22 »

Ja som si chcel postavit mensi  cluster na SOC, ale tu v diskusii ma odhovorili, ze je to o hovne. Ja som to chcel len na domace testovanie, mozno nejaky lamp, aby tam isiel aspon web .... + nejaku virtualizaciu.

Co sa tyka SOC tak raspi je zname, ma dobru podporu, ale oproti inym cinanom je dost drahe.
Pozri na orangepi konkretne SOC co mas v linku by mohla splnat tvoje predpoklady

Kód: [Vybrat]

CPU  H3 Quad-core Cortex-A7 H.265/HEVC 4K
Memory (SDRAM)  2GB DDR3 (shared with GPU)
Onboard Storage  TF card (Max. 32GB) / MMC card slot  16GB EMMC Flash
Onboard Network  10/100/1000M Ethernet RJ45
Onboard WIFI  Realtek RTL8189ETV, IEEE 802.11 b/g/nAle sata to nema (take rychle to zas nebude. Cena je ale celkom slusna
Parametrovo podobne je aj toto ma to aj volajaky sv sata, ale obavam sa, ze to neni nativny sata, takze je to vlastne ako usb 2.0.
Dalsia moznost je nieco od hardkernel tam je vacsinou USB 3.0. Odroid je uz ale o nieco drahsi

855

Sítě / Re:DS-Lite na FTTH u Orange.sk?

« kdy: 28. 03. 2018, 13:17:03 »

@darebacik
DS-lite (dual-stack lite) zakaznikov router ma dualstack LAN a IPv6-only WAN stranu
komunikuje sa cez IPv4 vs IPv6 podla DNS odpovede, ak existuje AAAA zaznam, tak IPv6 je preferovane

Myslel som si, ze zakaznicke zariadenia maju uz aj v LAN nasadenu IPv6 (potom by uz mali byt vsetky zariadenia v sieti IPv6 verejne dostupne (a na zabezpecenie sa pouziva uz len firewall)).

IPv4 komunikacia prebieha tak, ze ak idem z PC v LAN s IP 192.168.0.20 na napr. web 200.200.200.200, tak IPv4 paket je zabaleny do IPv6 hlavicky:

Kedze ma zakaznik lokalne IPv4, tak vzdy prebieha balenie paketu (ci ide do IPv6, alebo IPv4) ... aspon tak som to pochopil. Lebo na zakaznickom routery je na WAN nativna IPv6. Ak by mal zakaznik v LAN IPv6, tak aspon v IPv6 svete by komunikacia prebiehala priamo.

payload
TCP/UDP/...
IPv4 hlavicka: source: 192.168.0.20 | destination: 200.200.200.200
IPv6 hlavicka: source: WAN IPv6 adresa pridelena zakaznikovmu routru | destination: AFTR adresa (CGN router u operatora)
L2 hlavickaIPv6 hlavicka (src: WAN IPv6 adresa pridelena zakaznikovmu routru, dst: AFTR adresa() )

takto zabaleny paket pride na CGN zariadenie, rozbali sa (IPv6 hlavicka je odstranena), urobi sa NAT source adresa 192.168.0.20 je zaNATovana na nejaku IP z public pool-u (pravdepoddobne sa robi PAT, takze sa zmeni aj source port) a vysledny paket sa posle IPv4 internetom smerom do ciela, spatna komunikacia ide rovnakou cestou reverzne.

Tomu velmi nerozumiem: alebo ? Rozbali sa paket (CGN) a ostane paket IPv4 z IP adresou 192.168.0.20 (taku IP mozu mat 100vky zakaznikov) alebo sa niekde ulozi aj informacia ze je to od zakaznika z tou ci onou IPv6))?
Dalej uz tomu chapem. Urobi sa NAT u poskytovatela .....
BTW nebolo by idealnejsie pouzit u poskytovatela NAT64 a vykaslat sa na DS-Lite ?

pri PCP si v GUI tvojho routra poziadas o staticky mapping: nejaky port na ktory budes pristupovat z internetu bude presmerovany na nejaku IP/port v tvojej LAN.
napr. chces presmerovat tcp/22222 na IP 192.168.0.55 tcp/22 cez PCP sa tvoj router dohodne s CGN zariadenim na presmerovani a pri potvrdeni v GUI uvidis ze napr. 100.100.100.100 tcp/2000 je presmerovane na 192.168.0.55 tcp/22
CGN moze, ale nemusi vyhoviet tvojej poziadavke pre port 22222, v tomto pripade nevyhovel a vratil port 2000

Uz ma nutil ist poskytovatel do IPv6, ale velmi do toho nevidim, tak som si este presadil IPv4.
Bezi mi doma zopar sluzieb a obavam sa, aby som k nim nestratil pristup (z vonkajsej IPv4).