Příspěvky

271

Sítě / Re:100 Mbit, 1GBit, 10 GBit, 40 GBit k čemu vlastně?

« kdy: 15. 12. 2020, 09:41:32 »

Pánové já Vás obdivuju. V IT nadnárodní firmě máme na FW 1Gb a navíc nemáme nárok, doma teď vše postupně migruju taky na 1Gb a všichni tu básní o 10Gb. Podle mě to je trochu overhead

No a my jsme ve firme v serverovne presli na 10G, kde to bylo mozne (tzn, vse co neni super stare).

Migrace na 1G povazuju dnes za fail. Staci se podivat na specifikace SATA3 - 6Gbps - to je vic, nez 1G utahne. Takze pokud tahat kabelaz, tak minimalne priprava na 10G s tim, ze budoucnost rj45 neni moc ruzova - latence a spotreba vuci DAC/optika je nekde jinde.

272

Windows a jiné systémy / Re:Chytrá televize se vysype, když zabanuji domény

« kdy: 29. 11. 2020, 20:26:02 »

Alternativni reseni: prestat otravovat root.cz kravinami a obalit si cely domov alobalem.

273

Sítě / Re:Šifrované připojení k embedden serveru na lokální síti

« kdy: 29. 11. 2020, 10:08:50 »

Jo, jenže ono to nemá připojení k internetu...

Ale pokud tam v síti internetová konektivita je, můžete použít důvěryhodné certifikáty od Let's Encrypt, ZeroSSL nebo Buypass. Ten certifikát by nezískával embedded server, nýbrž proxy server. (A nemusí to ani dělat sám, může to pro něj zprostředkovat jiné zařízení). A stačí možnost vložit záznam na příslušný DNS server a stáhnout vystavený certifikát přes HTTPS. Třeba Caddy může fungovat jako proxy server, zároveň umí automaticky získávat certifikáty přes ACME, a už má implementovánu podporu pro několik cloudových poskytovatelů DNS.

Totalni kravina.

Urcite nebudu povolovat neznamymu zarizeni treti strany pristup do administrace DNS.

274

Sítě / Re:Šifrované připojení k embedden serveru na lokální síti

« kdy: 29. 11. 2020, 09:59:29 »

Self-signed s dlouhou platnosti a umozneni importu vlastniho certifikatu.

Vse ostatni zalezi na tom, ze jste neuvedl, jestli se k tomu serveru pripojuje pouze technik, nebo i zakaznik. Z toho se odviji dalsi pozadavky.

10 let je dlouha doba. A ja citim, ze za tech 10 let se do certifikatu brutalne rizne, stavajici system pomalu a jiste kolabuje.

275

Server / Re:Subdelegace domeny

« kdy: 16. 11. 2020, 11:24:26 »

To, ze NS nemuze mit IP, jsem asi nekde minul. A administrace me v tom neblokuje prekvapive.

U tech zon doslo k nepozorumeni dotazu.

zone example.com:

Kód: [Vybrat]

sub in NS nsa.sub.example.com

zone sub.example.com:

Kód: [Vybrat]

@ in ns nsa
nsa in A a.a.a.a

Pokud jsou obe zony na tom samem serveru, potrebuji v zone example.com zaznam nize?

zone example.com:

Kód: [Vybrat]

nsa.sub in A a.a.a.a

Byt navic tam muze. Ale jde o to, zda by tam mel byt uveden.

276

Server / Re:Zkušenosti s AntiSpam Gateway

« kdy: 16. 11. 2020, 09:35:19 »

Z rucne postaveneho reseni postfix/spamassassin/clamav jsme presli na PMG.

Mohu se zeptat na důvod, proč jste opustili původní řešení? V práci pro 300+ mailboxů máme právě Postfix+Amavis+Spamassassin+Clamav a já nyní stavím nové řešení prakticky na tom samém. Samozřejmostí je DKIM kontrola/podepisování, SPF kontrola, DMARC kontrola, DNS blacklisty, ruční whitelisty/blacklisty...

Za prve sef chtel mit moznost modifikovat antispamova pravidla (+ videt karantenu), coz v puvodnim reseni bylo slozite. Nemluve o orchestraci.
Za druhe, presli jsme na vice mailservervu. Takze jednotna brana je rozhodne plus i pro jednoduchost orchestrace. Moznost vymenit za jinou branu je dalsi plus.

Mame cca 100-200 schranek s 200+GB total.

Prozatim jsem narazil jen na tyto nevyhody:
1] automaticka zaloha v ramci PMG zatim neexistuje
2] nevim zda se to jiz zmenilo, ale podepisovani dkim jsem radeji sveril tem mailserverum, kdyz jsem PMG nasazoval, umel jen 1 klic na vsechno.

277

Server / Re:Subdelegace domeny

« kdy: 16. 11. 2020, 09:26:11 »

Diky.

Ohledne glue zaznamu. Pokud ten server spravuje example.com a sub.example.com, tak tedy v zone example.com staci pro domenu sub.example.com pouze NS zaznamy na jmeno tech ns.sub (cili: sub in NS nsa.sub.example.om atd.) a glue netreba, jestli to tedy dobre chapu? Kdyz tam dam do tech NS rovnou IP, tak je to jednoznacne.

278

Server / Subdelegace domeny

« kdy: 13. 11. 2020, 16:41:05 »

Ahoj,

chtel bych si ujasnit jednu vec v subdelegaci domeny. Normalne to nepouzivam...

server ns1.example.com, zona example.com:

Kód: [Vybrat]

@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server nsa.sub.example.com, zona sub.example.com:

Kód: [Vybrat]

@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Toto je asi standardni zpusob subdelegace. A tedka, pokud je server ns1 ci ns2 je taky autoritativni pro zonu sub.example.com, je ok, ze by to vypadalo takto:

server ns1.example.com, zona example.com:

Kód: [Vybrat]

@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns ns1.example.com
sub.example.com in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server ns1.example.com, zona sub.example.com:

Kód: [Vybrat]

@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
@ in ns ns1.example.com
@ in ns ns2.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Pripadne chybejici glue zaznamy ignorujte. Jde mi o to, ze od pohledu to vypada jako mozna smycka, je takova konfigurace mozna, spravna atd.? Cili subdomena "deleguje" na nadrazenou domenu? Nebo je lepsi reseni teto situace, kdy server spravuje obe zony, ale jsou pridany jeste dodatecne interni servery, na ktere rekurzory primo smeruji interni fqdn/reverzy? Jde o to, ze ty interni servery nejsou pak blokovany/zpomalovany pruchodem pres firewall, jako kdyby vsechny dns servery byly v "dmz".

Diky

279

Server / Re:Zkušenosti s AntiSpam Gateway

« kdy: 13. 11. 2020, 14:48:53 »

Z rucne postaveneho reseni postfix/spamassassin/clamav jsme presli na PMG. Ani jsme dalso reseni nezkouseli. Zkusenosti vesmes pozitivni. Jedine, co mi tam zatim chybi, je automaticka zaloha konfigurace. Hodne to zjednodusilo spravu. Nevyhodou je slozitejsi konfigurace, pokud to nekdo chce v orchestraci.

Rspamd jsem take zkousel, uz jsem mel cele reseni hotove pro orchestraci, ale sila PMG ve webui rozhodla.

280

Hardware / Re:Zpomalování procesoru při hře

« kdy: 02. 11. 2020, 09:38:05 »

Ten cpu ma 2.2GHz s boostem na 4.1GHz. Pokud se mu to prehriva pri 3.8GHz, tak je logicky, ze zacne cyklovat.

Pokud mu to pri 2GHz funguje stabilne, tak to neni na reklamaci, je to proste CPU, ktery frekvenci nad 2.2GHz nema v ramci chlazeni notebooku urcenou pro dlouhodobejsi provoz.

281

Distribuce / Re:Ubuntu pro náctiletou?

« kdy: 20. 10. 2020, 08:44:42 »

Pracovne mam ubuntu na desktopu. A muzu rict, ze takove kraviny, co tam jsou, nejsou ani ve Win. Napr. chromium instalovane pres snap. A kdyz se updatuje, tak se aktualne spusteny chromium "odpoji" od ikony na liste.

Pokud tazatel nechce delat zadny support, tak at se domluvi s rodicema. A maximalne poridi HW a OS at si resi sami.

282

Server / DNS: filtrování dotazů a odpovědí na některé zóny

« kdy: 06. 10. 2020, 11:09:48 »

Zdravim,

potreboval bych na verejnych dns serverech blokovat nektere typy dotazu. K tomu momentalne mam nakonfigurovany dnsdist. V ramci acl mam zablokovane dotazy na:

1] sub1.domain.tld
2] 168.192-in-addr.arpa

Problem ale nastava s ipv6. Pokud pouziji globalni adresy pro interni adresaci, tak mi skonci interni reverzy v "ip6.arpa". Dnsdist neumi pracovat s odpovedi, takze pripadny dotaz na ipv6 reverz by vratil interni sub1.domain.tld. Rad bych se vyhnul definovani kazde interni ipv6 zony pres ACL. Nezna nekdo nejaky dns balancer atd, ktery by umel resit pristup k internim zonam jak v dotazu, tak v odpovedi?

Diky.

283

Server / Re:Postfix nemuze najit opendkim/opendmarc socket...

« kdy: 28. 08. 2020, 08:54:09 »

Postfix bezi v chrootu, proto nevidi na ten socket. Musi se ten socket nastavit do chroot prostredi posftixu, nebo pouzit ip:port.

284

Server / Re:DNS server - změna dle cílové IP *

« kdy: 24. 08. 2020, 08:08:06 »

Misto neplatne IP bych vracel kdyz uz, tak 127.0.0.1.

A krome bind reseni lze podobne veci resit nasazenim treba dnsdist pred dns serverem.

285

Sítě / Re:Zabbix Agent na IPv6 adrese

« kdy: 18. 08. 2020, 15:00:08 »

Ne, ani kombinace mi nefunguje. Takze asi nejaky bug v zabbix-agent2 (5.0).