Příspěvky

1

Sítě / Re:Zvláštní reflected SYN ACK útok

« kdy: Dnes v 13:05:40 »

Autor si z vas
a) dela zadek
b) nevi, jak funguje TCP

Kdyz dostanu SYN, poslu SYN/ACK.
Kdyz nedostanu ACK, pockam predem definovany interval (1s) a poslu znovu.
Kdyz porad nedostanu ACK, zdvojnasobim interval, pockam a poslu SYN/ACK znovu.
Opakuji, dokud nedosahnu hodnotu z /proc/sys/net/ipv4/tcp_synack_retries.

Problem vidim v tom, ze se autoruv SYN/ACK nedostane ke zdroji SYN a ten nevi, ze ma poslat ACK.

2

Hardware / Re:Konkrétní výhody starých enterprise serverů

« kdy: 18. 04. 2024, 19:39:23 »

V zasade asi jenom remote management(IPMI), ECC pameti (v pripade Intelu), pocet PCI-E linek a hotswap vseho mozneho.

3

Server / Re:Přeposílání pošty mezi více příjemci

« kdy: 13. 02. 2024, 11:40:47 »

SRS je klasika, ale nejnověji by to chtělo ARC, viz https://en.wikipedia.org/wiki/Authenticated_Received_Chain

(osobně se mi to ale nepodařilo zatím nastavit, dokumentace sux)

Neni to tak slozite.
Zkompilujes si https://github.com/trusteddomainproject/OpenARC, do konfigurace nastavis selektor, domenu a klic pro podpis a pridas milter do postfixu.

4

Studium a uplatnění / Re:DevOps

« kdy: 02. 11. 2023, 19:26:25 »

Jenkins/Gitlab? Terraform?

5

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 14. 09. 2023, 12:09:48 »

Kdybys mel misto 'table ip raw' 'table inet raw', tak to automaticky zafunguje i na IPv6.
Na nf_flowtable si zaloz novy dotaz. Ja ho nepouzivam a necekal bych, ze ostatni budou cist vsechny diskuze az do konce.

6

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 14. 09. 2023, 09:50:24 »

fib daddr type local pozna ipcka na routeru, abys mohl psat pravidla pro chain input, ktera obvykle zacinaji necim jako

Kód: [Vybrat]

        chain input {
                type filter hook input priority 0; policy accept;
                ct state invalid drop
                ct state established,related accept


7

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 13. 09. 2023, 18:15:55 »

Pridej si do raw pred finalni accept ten fib daddr type local accept.
V zasade jenom rikas, ze spojeni na lokalni ipcka se taky maji trackovat, takze pro vlastni router mas k dispozici normalni statefull firewall.

8

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 13. 09. 2023, 11:58:43 »

Numericky vystup se zapina parametrem -n a mas pravdu, ze raw je -300.
Mas v table inet (nebo ip) filter chain forward s policy accept?
Hybou se Ti ty countery?

9

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 13. 09. 2023, 09:47:14 »

To nebyl navod, jenom napoveda. Dokumentace totiz rika:

To be effective your notrack rule must come before conntrack is triggered. You can ensure this by attaching it to a base chain with prerouting hook and priority < NF_IP_PRI_CONNTRACK (-200). Using raw priority (-300) is a good choice.

Takze si budes muset udelat chain s prioritou -300, kde si vyberes vyfiltrujes neco jako ip saddr 10.11.12.0/28 accept a zbytku das notrack accept.
A pak si v normalnim table ip nat chain postrouting udelas SNAT pro ten subnet. Na prvni pohled to tvoje pravidlo vypada OK.
Jinak vrele doporucuju sledovat, co ten firewall vlastne dela pres https://wiki.nftables.org/wiki-nftables/index.php/Ruleset_debug/tracing

10

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 12. 09. 2023, 15:54:12 »

Ja mam vypnute trackovani nelokalnich spojeni pres

Kód: [Vybrat]

table inet raw {
        chain prerouting {
                type filter hook prerouting priority -300; policy accept;
                fib daddr type local accept
                notrack accept
        }
}


11

Server / Re:Význam reason→comment:arc=fail v DMARC

« kdy: 11. 08. 2023, 16:26:26 »

https://en.wikipedia.org/wiki/Authenticated_Received_Chain se pouziva pri preposilani emailu.

12

Hardware / Re:Klonování disku na větší

« kdy: 21. 03. 2023, 13:21:01 »

To celé je samozřejmě nutné dělat na odpojeném (unmountovaném) disku, se kterým operační systém nepracuje.

O Vašem názoru by se dalo s úspěchem pochybovat pane kolego.

13

Studium a uplatnění / Re:HPP vs IČO

« kdy: 07. 02. 2023, 17:49:48 »

Ahoj,

potřebuji poradit - pracuji na HPP jako Senior Java developer u jedné bankovní korporace. Mám 150tis CZK hrubého. Přes agenturu jsem dostal nabídku práce na IČO, zajímavý obor, zajímavá práce, 11tis MD, 20-21MD měsíčně. Švarc prý mají pořešený, jde o opravdu velkou a známou agenturu, co má stovky lidí takto.
Všechny kalkulačky na netu mi ukazují výhodnost nabídky. Hledám háček - pomůžete? S dovolenou, nemocenskou, důchodem, administrativou navíc apod počítám. Díky.

Jeden poradny hak: rucis celym svym majetkem!

14

Studium a uplatnění / Re:HPP vs IČO

« kdy: 07. 02. 2023, 17:48:40 »

Nadměrný odpočet je jediný případ, kdy může být plátcovství DPH výhodné. Ve všech ostatních případech výhodné nikdy nebylo, není a nebude. A také na tom ten systém DPH stojí, aby z něho stát profitoval. Že to nechápeš je sice tvůj problém, ale na podstatě věci to nic nemění, tj. kdo nemusí být plátcem DPH, tak je pro něho lepší, aby jím ani nebyl.

DPH se resilo i proto, ze na vstupu kdysi byvala vyssi sazba nez na vystupu a rozdil zustal zivnostnikovi v kapse.

15

Studium a uplatnění / Re:Matematika na ČVUT/MUNI/VUT

« kdy: 06. 02. 2023, 15:37:04 »

Na stredni elektro prumyslovce jsme meli matematiku vcetne derivaci a jednoduchych integralu, ktera mi na FELu vystacila na prvni semest a pul.
Ale nejlepsi bylo, kdyz v patem semestru prisla Demlova na prednasku a prohlasila, ze konci kupecke pocty a zacina matematika.