Příspěvky

46

Sítě / Re:Blokování přístupu přes IPv6

« kdy: 03. 05. 2023, 21:35:00 »

Proto jsme posílal ten screen z MT, kde je vidět, že něco povolím a potom na konci jde vše ostatní do bloku.

Budete muset napsat, o jakém firewallu vlastně píšete.

scotty, dík za screenshot. firewallům rozumím, IPv6 ne.
Filipe, nakonec proč ne, je to Checkpoint SMB FW locally managed, ale pochybuju, že s tím zde někdo pracuje.

47

Sítě / Re:Blokování přístupu přes IPv6

« kdy: 03. 05. 2023, 20:20:45 »

Budete muset napsat, o jakém firewallu vlastně píšete.

dik,asi ne, já potřebuju jen ty rozsahy:

 - všechny možné IP v6
 - všechny veřejné IP v6
ale možná hledám něco jako global unicast addres scope nebo taky něco, co neexistuje.

Zkrátka něco co dát do pravidla , aby mi nikdo nelezl dovnitř přes IPv6

Běžné firewally mají defaultní politiku, případně pravidlo bez IP adresy, které se vyhodnotí vždy. Nenastavuje se tam žádná adresa „pro všechny“, udělá si to tohle samo uvnitř. Například iptables (i na IPv4; na IPv6 analogicky ip6tables):

Kód: [Vybrat]

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT

(ty rejecty jsou tam proto, aby mi to při ladění nekončilo frustrujícím timeoutem, ale rovnou chybou; samozřejmě je typicky vhodné povolit také provoz na loopbacku atd.)

A jinak jak psali ostatní, ::0/0, stejně jako IPv4.

diky, a ten verejny scope asi 2000::/3 , že ?

48

Sítě / Re:Blokování přístupu přes IPv6

« kdy: 03. 05. 2023, 20:05:46 »

Budete muset napsat, o jakém firewallu vlastně píšete.

dik,asi ne, já potřebuju jen ty rozsahy:

 - všechny možné IP v6
 - všechny veřejné IP v6
ale možná hledám něco jako global unicast addres scope nebo taky něco, co neexistuje.

Zkrátka něco co dát do pravidla , aby mi nikdo nelezl dovnitř přes IPv6

49

Sítě / Re:Blokování přístupu přes IPv6

« kdy: 03. 05. 2023, 17:47:28 »

Já vůbec nechápu otázku. Bavíš se o FW. Je to stejné jako u IPv4, co povolíš povolíš, co zakážeš, zakážeš.

Chápu , je to začátečnická otázka, třeba u IPv4 je "any" 0.0.0.0 - 255.255.255.255
Zkrátka nevím jak ty objekty "odkud a kam" sichr definovat via IPv6 scopes a nechci udělat chybu a tudíž nechtěný prostup.
Mám zatím o IPv6 adresaci pouze matnou představu, ale studuju to pilně :-) ...

50

Sítě / Blokování přístupu přes IPv6

« kdy: 03. 05. 2023, 17:26:10 »

Ahoj,
 začal jsem před pár týdny zkoumat IPv6 úplně od nuly, takže mám zmatek.
Nechci něco chybně  povolit a tak bych se zeptal:
chtěl bych pomocí pravidla na firewallu zakázat provoz na IPv6 než ho  na FW zapnu a pak teprve postupně povolovat.
Na to potřebuju objekty ~ scope , třeba vše veřejné, celý Ipv6 rozsah apod.
Nebo je to mimo ?
Já bych si ty rozsahy asi zbastlil, ale chci mít jistotu,tak se radši ptám .
Dík

51

Sítě / Re:Internet na lokálním PC a firemní VPN

« kdy: 27. 04. 2023, 19:34:58 »

Třeba Cisco AnyConnect...

...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...

Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).

Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.

To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...

Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.

* edit
Dovolím si oponovat no flamewars intended
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP  Za mne tedy nenulová bezpečnost.
2) Já osobně vidím HO jako benefit , tak bych se necukal.
3) Způsob a pravidla  vzdáleného připojení určuje firma, pokud se to dotyčnému nelíbí, má možnost přijet do práce a sednout za firemní PC.
Bez VPN (které tehdy nebyly), jsem dělal support asi 15 let, max. jsem si mohl zapískat přes modem. (ale 5000 km za měsíc průměrně :-( )

52

Sítě / Re:Internet na lokálním PC a firemní VPN

« kdy: 27. 04. 2023, 19:23:47 »

Třeba Cisco AnyConnect...

...A ze budu moct vyuzivat jen pripojeni na RemoteDesktop?...

Na tohle se normalne nepouziva vpn, ale ipsec p2p (tzn nikoli tunel). Pricemz pokud jde o to, ze ti lide sedi doma a nejezdi vsude mozne po svete tak i to je ponekud meh, protoze i kdyz je rdp fakt "bezpecny" tak ho povolim z vyjmenovanych IPcek naprimo, a on se svet taky nezbori (specielne kdyz mi nevadi, ze ty stroje nemam pod kontrolou).

Jak sem psal vejs, na soukromym HW nemuzes vubec nic, ten HW patri tem lidem, ty jim nemuzes narizovat jak ho muzou nebo nemuzou pozivat. Pokud resis bezpecnost, nemuzes dopustit pouzivani HW kterej nemas pod kontrolou. To se samozrejme tyce i telefonu, tabletu atd atd. Jinak je to ciste placebo.

To ze aktualne ten stroj nemuze na net primo je uplne jedno. Kdyz budu chtit data, tak proste spustim script, ten nasaje data pres vpn na lokal a jakmile bude net naprimo, data si poslu. Uplne stejne muzu proscanovat dostupnou cast infrastruktury atd atd atd ...

Jednoduse receno soukromy HW ze kteryho se muzes dostat do interni site === nulova bezpecnost.

Dovolím si oponovat <no flameware intended>
1) I na soukromém počítači lze přes VPN klienta zkontrolovat zda má update, antivir, pokud ne, nepustit do firmy a pokud ano, pustit ho jen na RDP  Za mne tedy nenulová bezpečnost.
2) Já osobně vidím HO jako benefit , tak bych se necukal.
3) Pravidla pro vzdálené připojení určuje firma, pokud se to dotyčnému nelíbí, ať laskavě přijede do práce a sedne za firemní PC. Bez VPN, které tehdy nebyly, jsem dělal support asi 15 let, max. jsem si mohl zapískat přes modem. (ale 5000 km za měsíc průměrně :-()

53

Sítě / Re:Internet na lokálním PC a firemní VPN

« kdy: 27. 04. 2023, 10:44:11 »

virtualka mi napadla jako mozne reseni. rozsah IP kdyz nastavim, jak spominate, je mozne, ze firma to zjisti?

tak virtualka je nejjednodušší, pokud to zvládneš.
zmena route a tak, no nevím, třeba Cisco AnyConnect je spravovaný centrálně včetně privilegií klienta.

54

Sítě / Re:Internet na lokalnim pc a firemni VPN

« kdy: 27. 04. 2023, 09:58:53 »

Zakladni vec je, komu patri lokalni pc.

Ne tak docela, může mít povoleno dělat z domu na soukromém PC s nainstalovaným VPN klientem.

55

Sítě / Re:Internet na lokalnim pc a firemni VPN

« kdy: 27. 04. 2023, 09:55:38 »

a sekundarni sitova karta by to nemohla vyresit jak to obejit?

Snad kdybys mel taky druhe pripojeni

56

Sítě / Re:Internet na lokalnim pc a firemni VPN

« kdy: 27. 04. 2023, 09:49:14 »

Technicky je to omezení možné, obejít to pokud já vím, nejde, jen vypnout VPN.
Ale spíš bych čekal, že tě pustí na internet přes firemní proxy třeba. Samozřejmě s omezením, jinak by to nemělo smysl.

57

Hardware / Re:Jak se bezpečně zbavit telefonu?

« kdy: 08. 04. 2023, 21:31:44 »

Mlatit do nej kladivem se mi nechce ...

Na to kladivo bych byl opatrný. Na vlastní oči jsem viděl požár mobilu v tramvaji a byl dost úděsný pohled, třetina vozu byla totálně zakouřená - nebylo vidět pomalu na krok.
Došlo k tomu tak, že majiteli při čekání na tramvaj mobil vypadl z ruky, načež na něj ještě šlápl a to tak nešťastně, že jej v polovině nalomil. Takže jej sebral, dolomil, sklapl :-), strčil do kapsy a nastoupil. Po chvíli ucítil v kapse teplo a už to jelo. Naštěstí se nic nestalo.

Na funkci rostlináře to vliv nemělo ?

58

Odkladiště / Re:Službu pro posílání e-mailů na SMS

« kdy: 08. 04. 2023, 21:22:32 »

Když ti jede internet, telegram bot je dobrá volba. Když ne, email-to-sms taky nepojede.
Už jsme to tady řešili nedávno ve dvou threadech, zkus najít

59

Vývoj / Re:Bash - kde je chyba?

« kdy: 23. 03. 2023, 19:24:43 »

Kamarád navrhuje toto (neřešit to porovnávání se 4, to vyplyne automaticky):

Kód: [Vybrat]

#!/usr/bin/bash

clear
echo "How to install:"

while true; do
    read -p "Enter a number between 1 and 3: " WhereToStart

    case "$WhereToStart" in
        1) WhereToStart="COMPLETE"; break;;
        2) WhereToStart="WINEHQ+"; break;;
        3) WhereToStart="SKIP_BEGIN_WINEHQ"; break;;
        *) echo "Invalid input. Please enter a number between 1 and 3.";;
    esac
done

echo "You chose $WhereToStart."

Nejlepší, ještě bych možná přidal proměnnou ReadMyInput

60

Vývoj / Re:Bash - kde je chyba?

« kdy: 23. 03. 2023, 19:20:43 »

Když stahuju skript

Kód: [Vybrat]

apt install -y oh-my-zsh
sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)

jak zeditovat ten stažený soubor, aby nenajížděl do shellu a neptal se zda chci nastavit zsh jako výchozí shell?

Když edituju skript na windows v mc se jeví jako ^M na konci řádku asi carriage return, jak odstranit?

počkej až si v MC zedituješ něco z /etc/, třebas services
Už TO NIKDY NEDĚLEJ :-)
pro zobrazení cat -v file
pro úpravu příkaz dos2unix , sed , nebo vi. najdi si syntaxi

pokud by sis takto blbě editovaný skript pustil , skončíš s řadou funny side efektů, jako že ti třeba vytvoří soubory, které ti za nic nepůjdou smazat a ty nebudeš vědet proč a až na to přijdeš, zas nebudeš vědět jak je smazat :-)