Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Vilith

Stran: [1] 2 3 ... 44
1
Sítě / Re:Mikrotik - jaké porty povolit ve firewallu
« kdy: 23. 01. 2022, 09:55:32 »
Osobně bych si udělal VPNKu zvenku dovnitř a nic zevnitř nemapoval ven.

Pak už stačí zvenku povolit jen port VPNky a nějaké porty typu SSH/HTTP/HTTPS - pokud jsou potřeba - a vše ostatní zahazovat

Nebo potřebuješ analyzovat kdo na tebe "útočil"?

2
Distribuce / Re:Live distribuce Linuxu v češtině
« kdy: 16. 01. 2022, 21:39:57 »
Nebo uživateli nainstalovat v češtině na USB disk - to by neměl být problém

3
Distribuce / Re:Live distribuce Linuxu v češtině
« kdy: 16. 01. 2022, 20:52:29 »
Vyzkoušej

Mint česky už jako Live?  Jak na to? To by mě zajímalo. Děkuji

Vždycky se pouštěl s výběrem jazyka, stejně jako MX. A Instalátory jsou taky v češtině

4
Distribuce / Re:Live distribuce Linuxu v češtině
« kdy: 16. 01. 2022, 20:23:57 »
Vyzkoušej

5
Nainstaluj si https://www.ispconfig.org/ podle návodu https://www.ispconfig.org/documentation/ a tam se potom podívej jak se to dělá
Nebo to jen používej

6
Software / Re:Mail pre distribučný zoznam
« kdy: 09. 01. 2022, 18:26:14 »
Otestuj si, co posíláš, třeba https://mailtester.com/en/index.html

Nebo bylo https://www.mail-tester.com/ ?

7
Software / Re:Mail pre distribučný zoznam
« kdy: 08. 01. 2022, 18:17:28 »
Specifické atributy?

Ve stručnosti:
  • fungující doména
  • správné A, AAAA a PTR záznamy
  • HELO odpověď serveru
  • SPF record
  • DKIM
  • rychlost odesílání
  • důvěryhodná IP adresa serveru
  • DMARC
  • a možná i něco dalšího...

Nic složitého, ale člověk musí vědět, co dělá

8
Server / Re:Mail u sebe doma
« kdy: 28. 10. 2021, 20:23:07 »
Ty jo, vy se furt ještě hádáte? To by zasloužilo snad i nějakou věcnou cenu nebo alespoň titul :o

p. Jirsák zvyšuje počet svých příspěvků a stále má málo - jen 4 713

Jinak od něho raději nic lepšího nečekejte, kromě "nastudované" teorie. Praxe už kulhá

9
Server / Re:Zvětšení disku u Forpsi
« kdy: 28. 09. 2021, 08:50:35 »
https://www.root.cz/clanky/lvm-prakticke-ukazky/

Chtělo byto nacvičit u sebe na virtuálce nebo požádat někoho, kdo to opravdu umí

10
Server / Re:Náhrada za Eset Mail Security pro Linux
« kdy: 23. 09. 2021, 10:03:49 »
Pokud používáš amavis, podívej se na seznam podporovaných antivirů v souboru /etc/amavis/conf.d/15-av_scanners

Clamav není nic moc, clamav-daemon dokáže "vyžrat" RAM a cpe se do swapu. Jedině ho používat, ale ne jako daemon. Ale za ty peníze je super.

Prostě mít ochranu jak na straně serveru, tak i na straně klienta. Ideálně od různých výrobců

11
Většinou jsem vždy volil klíčový aktivní prvek sítě - Cisco. Proti němu běžely Wokenní AD servery. Stanice si to braly z AD serverů

12
Ještě pro jistotu explicitně doplním, že pokud se vám z nějakého důvodu nelíbí mít ty názvy pod vaší oficiální doménou (ať už přímo pod example.com nebo všechny schované třeba pod intranet.example.com), pořád je lepší pořídit novou veřejnou doménu než mít svůj vlastní doménový strom (domény .local a podobně). Důvod je jednoduchý – kterýkoli záznam z té veřejné domény můžete zveřejnit, když se ukáže, že je to potřeba. Třeba že na něj potřebujete vystavit všeobecně uznávaný certifikát (stačí zveřejnit TXT záznam, nic jiného), nebo když se ukáže, že ta aplikace, která určitě navždy bude jenom v interní síti najednou má být dostupná i z internetu.

Ano inside LAN zveřejnit i internetu jen pomocí DNS - skvělá rada, tleskám

14
Připadá mi, že to v tom PDF máte nějak obráceně.

Node1 má u sebe síť 192.168.10.0/24 a má svou adresu ve VPN 192.168.222.10

Tedy by měl mít v AllowedIPs rozsahy jiných sítí a ne svojí. Tedy 192.168.20.0/24 a 192.168.222.0/24
Položky 192.168.222.1/32 a 192.168.222.20/32 jsou nadbytečné, protože jsou pokryty hodnotou 192.168.222.0/24.

Osobně bych doporučoval zvolit spíše větší prefix, pro případ, že sítě budou časem tři nebo čtyři - nemá cenu obcházet pak nastavení všech uzlů. Já bych tedy doporučil na oba nody nastavit AllowedIPs na 192.168.0.0/16.

Static route také není potřeba, protože Wireguard je L3 spoj, takže tam se adresa nexthopu beztak nijak neuplatní (192.168.20.0/24 via 192.168.222.20 dev wg0 je totéž co 192.168.20.0/24 dev wg0 a tento záznam automaticky vytvoří startovací skript wireguardu, pokud mu nevypnete "Route Allowed IPs").

Na straně serveru je nastavení AllowedIPs správně, ovšem ta maškaráda a pravidla PostUp a PostDown jsou úplně zbytečná, stačí prostě povolit předávání v /proc/sys/net/ipv4/ip_forward a pokud se používá firewall, nastavit ho tak, aby neblokoval forwarding. To lze udělat staticky.

Nevím, ale toto řešení, jako jedno z mnoha pokusů, je funkční

Node A má skutečně
Kód: [Vybrat]
allowed ips: 192.168.10.0/24, 192.168.222.10/32, 192.168.222.1/32, 192.168.222.20/32, 192.168.20.0/24

Jeho LAN je 192.168.10.0/24
VPN co ho řídí je 192.168.222.10/32
na serveru je 192.168.222.1/32
a na nodu B je 192.168.222.20/32

Obecně se dá povolit vše, ale na druhou stranu je lépe mít větší kontrolu a povolovat opravdu jen to, co je potřeba

Nyní je zvolen malý IP adresní rozsah IPv4 , ale jistě pro nikoho nebude problém použít rozsahy větší podle potřeby

Kód: [Vybrat]
192.168.20.0/24 via 192.168.222.20 dev wg0 proto static je jeden z řádků výpisu "ip rou" na node A. Vlastní routing je nastaven na další záložce v OpenWRT webové konfigurace

15
Tak to jsem rád že se to povedlo.
Jen mi není jasné proč je v na serveru v PostUp toto
Kód: [Vybrat]
iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADEPodle mě je to zbytečné.

To  jsem neřešil, ale použil z předchozího příkladu od drobek1, kdy autor posílá do tunelu veškerý provoz a odchozí komunikaci zajišťuje server ve středu řešení.

U mne to moc význam mít nebude, ale co kdyby někdy něco do tunelu "vlítlo" v rámci experimentu a nebo nepozornosti

Snad se nepletu

Stran: [1] 2 3 ... 44