Příspěvky

46

Server / Re:Poraďte levné VPS na testování

« kdy: 17. 02. 2024, 09:48:29 »

Já tedy nejsem odborník na Oracle Free Tier, ale jak si tady o tom píšete, tak jsem si ze zájmu přečetl v jejich podmínkách, že vyžadují, aby ta platební karta byla funkční a upozorňují, že její funkčnost budou v nějakých intervalech kontrolovat zablokováním určité částky, která ale nakonec nebude stržena. A že když se jim to nepovede zablokovat, tak mohou účet zrušit.

47

Sítě / Re:Netfilter's flowtable

« kdy: 18. 09. 2023, 18:41:57 »

Jj to je ono - používal jsem dříve.

Mrkni třeba na: https://walda.starhill.org/pocitace/nftables/ na mapy:

Už jsem na tvoje stránky narazil dříve.

Nicméně, já používám hashing filtry (až dole na lartc stránce). Nic ve firewallu nemarkuji, jak ty píšeš na svém webu. A tím pádem je zátěž routeru výrazně snížena.

48

Sítě / Re:Netfilter's flowtable

« kdy: 18. 09. 2023, 16:51:41 »

A přes tc matchuješ takto, že?

Kód: [Vybrat]

u32 match ip src xx.xx.xx.xx

https://tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.adv-filter.hashing.html

49

Sítě / Re:Netfilter's flowtable

« kdy: 18. 09. 2023, 16:25:42 »

Čistě náhodou jsi neřešil kombinaci flowtable + balancování přes Cake: https://www.bufferbloat.net/projects/codel/wiki/Cake/ ?

To jsem neřešil. Ale mám na tom routeru řízení rychlostí pomocí htb + tc a funguje to i s offloadingem. Tj. přes forward nebo přes flowtable, pořád to řídí správně.

50

Sítě / Re:Netfilter's flowtable

« kdy: 18. 09. 2023, 15:50:21 »

Myslíš tyhle timeouty?

Kód: [Vybrat]

$ sysctl -a -r nf_flowtable
net.netfilter.nf_flowtable_tcp_timeout = 30
net.netfilter.nf_flowtable_udp_timeout = 30

Ano, myslím tyhle timeouty.

Pokud to je ono, tak je to už dávno fixnutý...

Vzhledem k tomu, že to pozoruji na kernelu 6.5.3, tak se mi to moc fixnutý nezdá.

Nemáš k tomu nějaký info? Odkaz na nějaký bugtracker, kde by byly podrobnosti?

Mám k tomu vlastní pozorování. Dlouhé udp spojení (wireguard) přes natující router s kernelem 6.5.3, zvenku na stroj v lokální síti. Přes wireguard tečou nějaká data, pár paketů za vteřinu, občas vteřina dvě pauza. Spojení v conntracku routeru přeskakuje z ASSURED do OFFLOAD a zase nazpátek. Je to přitom pořád jedno spojení.

Totéž přes OpenWRT s kernelem 5.xx - spojení je pořád OFFLOAD.

Ty timeouty... Nastavování nf_flowtable_udp_timeout nemá vůbec žádný vliv na stav v conntracku. Tedy do té doby, než nastavím nf_flowtable_udp_timeout na hodnotu rovnu nebo vyšší, než nf_conntrack_udp_timeout_stream. Pak to spojení úplně vytuhne.

Takže, s OpenWRT s kernelem 5.xx na nevýkonném routeru offloading pomocí flowtable zvyšuje propustnost. S kernelem 6.xx to něco dělá, pro některá spojení to skutečně offloaduje, ale nedá se na to spolehnout. Ale vzhledem k tomu, že to běží na normálním počítači, tak je to víceméně fuk, protože ten to výkonově zvládá i bez offloadingu.

51

Sítě / Re:Netfilter's flowtable

« kdy: 18. 09. 2023, 11:15:33 »

je tu někdo kdo úspěšně používá flowtable

Úspěšně to používá například každý, kdo má dostatečně nové OpenWrt a zaškrtne si tam takové zaškrtávátko, používat offload. Tam to funguje. Je tam kernel  5.xx.

Ale v nových kernelech to nefunguje (minimálně softwarový offload), protože je tam nějaká chyba, díky které flowtable kašle na nastavený timeout a toky z ní neustále vypadávají.

52

Sítě / Re:Ping na NAT

« kdy: 13. 09. 2023, 08:07:47 »

V RFC 1122 s názvem Požadavky na internetové hostitele se v oddíle 3.2.2.6 píše: „Every host MUST implement an ICMP Echo server function that receives Echo Requests and sends corresponding Echo Replies.“

Takže odpověď zní: pokud je zařízení připojené k internetu, musí podle standardů reagovat na ping.

V Nordic Telecomu to tedy evidentně nečetli.

Konkrétní situace, jejich koncový router neodpovídá na pingy z internetu ani ze zákaznického zařízení. Při odeslání jednoho jediného arpingu (jako pokus o náhradu pingu) ze zákaznického zařízení na jejich router dojde k odbloknutí zákaznické ip adresy na cca 1 minutu.

53

Sítě / Re:Návrh domacej siete

« kdy: 26. 05. 2023, 19:06:23 »

Jinak představa, že nějaký zedník opravující stěnu v baráku

způsobí traffic, který přivodí nájezd policajtů se zabavením techniky na přezkoumání, je taky dost perla. ;-)

Každopádně ty VLANy nemohou ničemu ublížit. Naopak, mohou situaci jenom vylepšit.

54

Odkladiště / Re:Zadaní telefonu při přihlášení do Komerčky

« kdy: 02. 04. 2023, 10:48:51 »

Co já vím, tak Komerčka vyžaduje nejprve zadání uživatelského jména. Hned pod tím je souhlas se zapamatováním údajů pomocí cookies. Následně chce telefonní číslo a pak ověření pomocí klíče...
Takže, patrně, když nedáš souhlas s cookies, musíš při dalším prihlášení projít toto celé znovu. Když souhlas dáš a cookies nevymažeš, může být ten krok příště přeskočen.
Předpokládám, že na infolince dotaz zodpoví bez nejmenších problémů.

55

Windows a jiné systémy / Re:Odlehčené Windows 10 do virtualizace

« kdy: 02. 03. 2023, 17:04:36 »

System requirements for AutoCAD:
https://knowledge.autodesk.com/support/autocad/troubleshooting/caas/sfdcarticles/sfdcarticles/System-requirements-for-AutoCAD.html

Which hardware components are important for the use of AutoCAD and AutoCAD specialized toolsets?
https://knowledge.autodesk.com/support/autocad/learn-explore/caas/sfdcarticles/sfdcarticles/Which-hardware-components-are-significant-for-the-use-of-AutoCAD.html

56

Windows a jiné systémy / Re:Odlehčené Windows 10 do virtualizace

« kdy: 01. 03. 2023, 17:30:52 »

Za provozování AutoCADu se platí slušné peníze. Pokud má správně fungovat, je lepší mu poskytnout to, co potřebuje. Tj. Windowsy na odpovídajícím fyzickém stroji.

57

Sítě / Re:Veřejná IPv4 a IPv6 a bezpečnost

« kdy: 26. 10. 2022, 21:29:03 »

Ať už bude mít tazatel internet s dodávanými veřejnými nebo neveřejnými adresami, musí mít nějaký svůj firewall. A konfigurace toho firewallu by měla být v obou případech prakticky úplně stejná - paranoidní. Takže za mě, pokud je možné vybrat si za stejné peníze adresu veřejnou i neveřejnou, je volba úplně jasná - veřejnou.

A pokud je to dokonce opravdový dual stack, tak není vůbec co řešit. Já mám kupříkladu doma možnost dynamické veřejné ipv4 bez ipv6 nebo možná nevím jakou veřejnou ipv6 s natovanou neveřejnou ipv4. Mám tedy veřejnou ipv4 a abych měl doma ipv6, musím řešit opičárny s tunelováním ipv6 provozu před VPS.

58

Windows a jiné systémy / Re:Je tento antivirový účet bezpečný?

« kdy: 10. 10. 2022, 07:13:51 »

Docela bych se obával, že s původím majitelem budeš zanedlouho sdílet i svůj účet v bance.

59

Odkladiště / Re:jak moc je whatsapp end-to-end?

« kdy: 02. 10. 2022, 10:27:00 »

měnil jsem systém na kterém jsem měl WhatsApp nainstalovaný (z Androidu ve virtuálu na fyzický iPhone), data jsem nepřenášel, tj. ani klíče se nemohly nijak přenést/podepsat jeden druhým, a nikomu s kým jsem komunikoval pokud vím žádné varování nevyskočilo.

To, že nikomu nevyskočilo žádné varování, je způsobené nastavením WhatsAppu na jejich zařízení. Dá se to tam naklikat (Nastavení -> Účet -> Zabezpečení -> Zobrazovat oznámení o zabezpečení na tomto zařízení). To samozřejmě neznamená, že někde není nějaký MITM.

60

Hardware / Re:Synology: citlivost na chyby disku „volume crashed“

« kdy: 22. 09. 2022, 16:44:55 »

Pokud ti nevadí, že na úložišti můžeš přicházet o data, můžeš je rovnou posílat do /dev/null. Já jsem třeba radši, když se o problému dozvím všas a můžu uložená data zachránit.