Příspěvky

316

Server / Re:Jsou nutná tato pravidla v iptables?

« kdy: 03. 09. 2020, 22:44:23 »

a] Je tam maskarada, takze je uplne jedno co prijde z venku protoze netrackovane se to stejne zahodi.

Maškaráda se neuplatní, neboť se spojení nenavazuje skrz maškarádované rozhraní ven.

b] Nekde vidis subnet 192.168.0.0/24? O nejake odpovedi nemuze byt rec. No a co, ze na to klient posle paket. Je to z LAN bloku neroutovelneho v netu zahodi to prvni router na ceste.

Dobře, tak naprosto konkrétní příklad (doufám že to mám nakonfigurované správně, nechce se mi nastavovat lab od nuly, tak jsem to vyzkoušel na existující síti; pro info router je aktuální OpenWRT):

• LAN 192.168.91.0/24, v ní zařízení 192.168.91.215 "oběť"
• WAN 192.168.12.0/24, v ní zařízení 192.168.12.1 "útočník"
• Router, který má wlan1 s adresou 192.168.12.150 a br-lan s adresou 192.168.91.1. Na wlan1 má nastavenou maškarádu. Má zapnutý RP filter a nemá zakázaný forward.
• Když na "útočníkovi" přidám routu 192.168.91.0/24 via 192.168.12.150 a napíšu ping 192.168.91.215, tak to normálně pingá, a když napíšu ssh 192.168.91.215, tak se normálně připojím.

Zajímavé postřehy toto, ještě jsem to neměl čas vše vstřebat. (Jen na okraj, ten mangle jsem dal jako příklad, demonstrativní že chci v určité fázi zpracování paketu ho zahodit a vím že mangle a raw se zřídkakdy používají na běžné domácí firewallování.)

317

Software / Re:Otravné hlášky googlu

« kdy: 03. 09. 2020, 22:38:52 »

blokovat consent.google.com + iframy + klasicky elementy consentu a debilní "proužky" na youtube.com.
blbé je že když se to zablokuje na routeru (ta doména, jiné na routeru nejdeú, tak se neléčenému surfařovi bez výbavy doplňků zobrazí šedý overlay případně hlášky že rámec se nezdařilo načíst.
(těch domén je víc adservice.google.com, ogs.google.com, dále jednotlivé url (asi 40 url )gen204, gen_204, mac204, mac_204, generate_204, jserror LogjsError, pak na figerprintování prohlížeče a , google.*/url?sa= ,dál specialita jsou docs.google.com)


play.google.com není vhodné blokovat na routeru,ale v (desktopovém prohlížeči)
domény nutno rozlišovat v suffixech *.com a *.cz


z nějakého klikání na souhlasy, nebo odklikávat neodolatelné nabídky jak panák by mi asi venclo. Rovněž já se na google nepřihlašuji neboť tam nemám účet.

318

O serveru Root.cz / Re:chjo - křížek jako konečné řešení (nahlašování) reklam ?

« kdy: 02. 09. 2020, 18:09:26 »

Otázkay za bludišťáka: (alias anketa s křížkem k funusu)
1) klidní ta existence křížku někoho
2) bude havran klikat na křízky místo psaní do Havraní sekce
3) kdo z vás se ukliká na ty křížky
4) nebudou někomu z vás ty křížky prosrandu králíkům
5) nebudou někomu z vás ty křížky  u Brusele?
nebude někdo z vás ty křížky  považovat za alibi
9) je tady někdo jiný kromě havrana který ho nějaký křížky absolutně nezajímaj a myslí že je to jak házení hráchu na zeď?

319

Software / Re:Reset nebo pročištění conntrack na stroji s forwardingem

« kdy: 02. 09. 2020, 18:03:50 »

Ano, na to jsem už přišel při zkoumání conntrack --help, výstup je skoro stejný jako cat /proce/net/nf_conntrack

320

Software / Re:Rozpadající se weby při blokování JS

« kdy: 02. 09. 2020, 17:55:50 »

Když už jsem byl v tom, tak dopnlním 6)

Kód: [Vybrat]

hb/prebid*.js$script,first-party
aam/cpex_universal.js
getid/MID*external$$subdocument,first-party
&it=0&gdpr=0&np=0$subdocument,first-party
?predirect=https*$subdocument,first-party
^pixel=*&nid=*&cont$first-party,script
/hb/cnc/$first-party
.cz/*/cookie-html$first-party,subdocument

podstata je že tenhle seznam nikdy nemůže být kompletní jsou to spíš takové úniky, které se dají ještě odfiltrovat ve fázi propuknutí. Samozřejmě nikdy k tomu nedoje, pokud budete používat ochranu a k nákaze nedojde.

321

Software / Re:Rozpadající se weby při blokování JS

« kdy: 02. 09. 2020, 17:40:52 »

Blokuji JS třetích stran. Stáhne se méně dat a zrychlí to načítání stránek, které tak sežerou méně RAM. Užitek je tedy trojí.

Nejen skripty, ale cokoli. (což možná rozbije více webů za cenu malého zvýení soukromí a balastu) v obou případech je potřeba je ale potřeba masivní whitelist cdn atd. V tvé případě je potřeba i "malý" blacklist domén za kterých jepotřeba blokovat vše ( sledovací obrázky  pak ty šmejdské beacony a reporty-csp)

6)
Součástí doplňkové kůry je tzv.seznam fragmentů, zachytí to jen část  záškodnického provozu (pohrobků -)

Kód: [Vybrat]

namátkou:
^cpex-skin.js$script,first-party
^cpex-hb-sas-cnc.js$script
multi-sync.$subdocument,script,first-party
^callback=adTrackCallback*$script,first-party
sas.min.js$script$domain=~video.aktualne.cz
*.cz/bservers$xmlhttprequest
*.cz/ball/random=s$xmlhttprequest
*.cz/count/act*FCIDs$xmlhttprequest
c7controller.min.js$script
loader_spark.js$script
hb/prebid*.js$script,first-party

(seznam by byl obrovsky dlouhý)

7) o blokování reklamních domén jako etarget, imedia.cz, cerebroad.cz,convexexperiments, sklik.cz vůbec není pochyb.




resumé
nelze  to blokovat na routeru, musí se v prohlížeči. Další problém je že ne každý browser bude umět spolupracovat s těmito "animujícími "pravidly ublocku.

-Nemá cenu blokovat url typu zivecz/kJDLKSJLDKSLKJF7DSDN.LKSJAkksalkd (url s náhodnými znaky)

Proto komu to nejde, nebo nechce se základní či doplnkovou kůrou trávit čas , ať si zablokuje cookies na těchto doménách či skripty.

Případně možné řešení by bylo na routeru: přesměrovat hříšné domény na svůj webserver a dělat proxy (MITM HTTPS), kde je vyléčený server předchroustá a odstraní z toho html zdrojáku problémové sekce.

322

Software / Re:Rozpadající se weby při blokování JS ; řešení se liší dle pohodlí a schopnost

« kdy: 02. 09. 2020, 17:13:09 »

Dělají to mimálně tyto
iprima.cz,emimino.cz,osobnosti.cz,cnews.cz,euro.cz,autorevue.cz,slunecnice.cz,idnes.cz,novinky.cz,aktualne.cz,aktuality.sk,info.cz,reflex.cz,zive.cz,mobilmania.cz,e15.cz,tiscali.cz,blesk.cz,ahaonline.cz,extra.cz,super.cz,auto.cz,maminka.cz,autorevue.cz,lupa.cz,vareni.cz,osobnosti.cz,sport.cz,lidovky.cz,karaoketexty.cz,hnonline.sk,kupi.cz,kinobox.cz,cnews.cz,onetv.cz,zeny.cz,expres.cz,modnipeklo.cz,nasepenize.cz

0) Dělá to vyděračský skript detekující adblock. Funguje zákežřě žě znásilňuje onUnload a běží v evalech a používá krutou obfuskaci a stahuje javascriptový payload v css nebo obrázcích arrow.css a gen/lite_mod.png.

1) Nejjednoduší řešení je blokovat a odstranit cookies na tomto serveru.

2) Jako druhé řešení zakázat  inline scripty

3) Funguje to tak, že když malware v zdrojáku detekuje že browser čistí stránky od humusu, tak nastaví scriptem cookie a možná ještě signaluzuje na doménu prvního řádu (
Podstata je že stránka buď funguje v režimu nákazy a nebo ne. Jakmile dostaneš stránku do režimu nákazy, nic nepomůže, žádné  blokování(jednak bude unikat smetí od tebe(tracking) i k tobě(malware payload třetích stran)  jelikož traffic půjde přes proxy kanál.

4) Tento druh svinstva také používá maskování přes CNAME domény, čímž se snaží ošálit velice jinak účinné blokování domén 3. stran v prohlížeči ( i pokud blokujete v nejpřísnějším režimu cokoliv z 3. strany), jelikož se doména typicky a.centrum.cz, a.prima.cz,a.zive.cz,a.blesk.cz.... tomuto unikne. (doména sice textově patří jako subdoména navštíveného serveru, ale cname záznam ji ukazuje)
- ASI půl rok ublock již s tímto také umí zatočit. Nefunguje to ale ve všech prohlížečích, neboť to vyžaduje přístup k ("raw") DNS.

5) Jako základní kůru, co funguje optimálně( neokleští stránky o JS a umožní cookie na příhlašování, pokud vůbec  webech této cenové kategorie vůbec je toho vůbec hodno si dělat účet) .

Je potřeba do stránky "zasáhnout". mimochodem, ublock posledních verzí umí spoustu zajímavých věcí jako json-prune, fixaci atributů

Kód: [Vybrat]

emimino.cz,cnews.cz,euro.cz,autorevue.cz,slunecnice.cz,idnes.cz,novinky.cz,aktualne.cz,aktuality.sk,info.cz,reflex.cz,zive.cz,mobilmania.cz,e15.cz,tiscali.cz,blesk.cz,ahaonline.cz,extra.cz,super.cz,auto.cz,maminka.cz,autorevue.cz,lupa.cz,vareni.cz,osobnosti.cz,sport.cz,lidovky.cz,karaoketexty.cz,iprima.cz,hnonline.sk,kupi.cz,kinobox.cz,cnews.cz,onetv.cz,zeny.cz,expres.cz,modnipeklo.cz,nasepenize.cz##+js(abort-current-inline-script.js, kununu_mul)
emimino.cz,cnews.cz,,euro.cz,autorevue.cz,slunecnice.cz,idnes.cz,novinky.cz,aktualne.cz,aktuality.sk,info.cz,reflex.cz,zive.cz,mobilmania.cz,e15.cz,tiscali.cz,blesk.cz,ahaonline.cz,extra.cz,super.cz,auto.cz,maminka.cz,autorevue.cz,lupa.cz,vareni.cz,osobnosti.cz,sport.cz,lidovky.cz,karaoketexty.cz,iprima.cz,hnonline.sk,kupi.cz,kinobox.cz,cnews.cz,onetv.cz,zeny.cz,expres.cz,modnipeklo.cz,nasepenize.cz##+js(abort-current-inline-script.js, ATOB)
emimino.cz,cnews.cz,euro.cz,autorevue.cz,slunecnice.cz,idnes.cz,novinky.cz,aktualne.cz,aktuality.sk,info.cz,reflex.cz,zive.cz,mobilmania.cz,e15.cz,tiscali.cz,blesk.cz,ahaonline.cz,extra.cz,super.cz,auto.cz,maminka.cz,autorevue.cz,lupa.cz,vareni.cz,osobnosti.cz,sport.cz,lidovky.cz,karaoketexty.cz,iprima.cz,hnonline.sk,kupi.cz,kinobox.cz,cnews.cz,onetv.cz,zeny.cz,expres.cz,modnipeklo.cz,nasepenize.cz##+js(set-constant.js, adbDetect, noopFunc)
emimino.cz,cnews.cz,euro.cz,autorevue.cz,slunecnice.cz,idnes.cz,novinky.cz,aktualne.cz,aktuality.sk,info.cz,reflex.cz,zive.cz,mobilmania.cz,e15.cz,tiscali.cz,blesk.cz,ahaonline.cz,extra.cz,super.cz,auto.cz,maminka.cz,autorevue.cz,lupa.cz,vareni.cz,osobnosti.cz,sport.cz,lidovky.cz,karaoketexty.cz,iprima.cz,hnonline.sk,kupi.cz,kinobox.cz,cnews.cz,onetv.cz,zeny.cz,expres.cz,modnipeklo.cz,nasepenize.cz##+js(cookie-remover.js, /^_?adb|gd_p_yes/)
cnews.cz,euro.cz,autorevue.cz,slunecnice.cz,idnes.cz,novinky.cz,aktualne.cz,ihned.cz,info.cz,reflex.cz,zive.cz,mobilmania.cz,e15.cz,centrum.cz,volny.cz,tiscali.cz,blesk.cz,ahaonline.cz,extra.cz,super.cz,auto.cz,maminka.cz,nasepenize.cz##script:inject(addEventListener-defuser.js, /^(beforeunload)$/)


(víceméně se to skládá ze dvou částí, seznam problémových domén a deklarace)
-> doporučuji si vést seznam hříšníků zvlášť a léčebné kůry "+js(abort/defuser/set-constant) zvlášť a jen pak v editoru rozkopírovat zvlášť.
Tento dlouhý seznam je důsledkem toho, že ublock nedovolí tyto léčebné kůry aplikovat na  *.cz nebo dokonce všude - vždy vyžaduje seznam domén.

6) Jako odbornou kůru je třeba blokovat doménu dopc.cz   ||cloudfront.net/css/arrow.css a gen/lite_mod.png. Abyste mohl blokovat i na routeru, tak zde přikládám seznam (ne nutně všechny jsou kvůli tomuto). Což je jen jako pojistka, aby když narazíte na web, na kterém nemáte léčebnou kůru základní aby vás nepoflusal uplně do bezvědomí, ale jen "fungoval v omezeném režimu"

Kód: [Vybrat]

# grep -Pio "[^/]+cloudfront.net" poissoncdn.conf
dopc.cz
d1iazwv1n1tsyi.cloudfront.net
5u1vg1q28b3w.cloudfront.net
d1hi41nc56pmug.cloudfront.net
d1daeonbqcq0oh.cloudfront.net
d3eyd961wi10bl.cloudfront.net
d10lpsik1i8c69.cloudfront.net
d1fc8wv8zag5ca.cloudfront.net
d1z2jf7jlzjs58.cloudfront.net
d2dpiwfhf3tz0r.cloudfront.net
d2zv5rkii46miq.cloudfront.net
d3n5x2l91yva9h.cloudfront.net
d70shl7vidtft.cloudfront.net
dsh7ky7308k4b.cloudfront.net
dstik9906m659.cloudfront.net
d31qbv1cthcecs.cloudfront.net
dnn506yrbagrg.cloudfront.net
d1oxlq5h9kq8q5.cloudfront.net
mrezadosa.com
mrazadosa.com
mraza2dosa.com
https://cz.mrezadosa.com/gen/lite_mod.png? # javascript ukrytý v pixelech obrázku

7) o blokování reklamních domén jako etarget, imedia.cz, cerebroad.cz,convexexperiments, sklik.cz vůbec není řeč.

koho to zajímá doporučuji "support" bugrtacker listu. Bohužel asi z nějakého určitého dúvodu tam chodí hodně spamu(podobnost s modus operandi tzv.ruských trolllů čistě náhodná).
https://easylist-czech-and-slovak.tenderapp.com/

Bohužel na easylistu o tyto pokročilejší metody nezavadíte. (+js()) dříve +script:inject (). Bez nich to nejde

323

Server / Jsou nutná tato pravidla v iptables?

« kdy: 02. 09. 2020, 15:27:19 »

Jsou nutná pravidla v iptables? Ve smyslu dalšího zabezpečení, abych nebyl zdrojem bogus paketů, marťanských paketů, aby se do mé vnitřní sítě naopak tyto nedostaly.

Podstatou dotazu je ,zda sám systém řeší korektní směrování & filtrování tak, aby
z  WAN wlan0 neodcházely pakety s IP cílovou nebo zdrojovou patřící vnitřní síti (probíhá NAT)
na  byly blokovány příchozí pakety s IP zdrojovou adresou  rozsahu patřící vnitření síti mimo rozhraní eth0(kde se tato síť vyskytuje)

wlan=vnější rozhraní (upstream konektivita) WAN, síť např 192.168.2.0/24 - adresa stroje 192.168.2.32.
eth0=rozhraní vnitření sítě (192.168.1.0/24) - adresa 192.168.1.100

(komentáře vypadají stejně, ale liší se), pravidla jsou také zde v ukázce napsané vícekrát -mnohdy zbytečně. Která pravidla jsou naprosto zbytečná
--z důvodu že je řeší NAT nebo samotné forwardování a není potřeba se starat o fyzická rozhraní)
-- ale aby fungovoval přístup do internetu z vnitřní sítě

-A FORWARD -i wlan0 -o wlan0 -j DROP
-P FORWARD DROP
-A FORWARD -i wlan0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A POSTROUTING -t mangle -o wlan0 -s 192.168.1.0/24 -j DROP ## dohnané a ohnuté do extrému, smyslem mělo být "ať wlan0 neopustí paket s zdrojovou adresou mé sítě) - jenže filter nemá POSTROUTING
-A POSTROUTING -t mangle -o eth0 -s 192.168.2.0/24  -j DROP ## dohnané a ohnuté do extrému, smyslem mělo být "ať do Eth0 nepřijde paket s IP nadřazené sítě) - jenže filter nemá POSTROUTING
-A PREROUTING -t mangle -i wlan0 -s 192.168.1.0/24  -j DROP ## dohnané a ohnuté do extrému, smyslem mělo být "ať do wlan0 nnepřijde paket paket s IP mé sítě) - jenže filter nemá
-A PREROUTING -t mangle -i eth0 -s 192.168.2.0/24  -j DROP ## dohnané a ohnuté do extrému, smyslem mělo být "ať do eth0 nepřijde paket paket s IP nadřazené sítě) - jenže filter nemá POSTROUTING



2.revize

-A FORWARD  -i wlan0 -s 192.168.1.0/24 -j DROP ## pakety přicházející na WAN obsahující

-A FORWARD  -o wlan0 -d 192.168.1.0/24  -j DROP ##  smyslem mělo být "ať do wlan0 nnepřijde paket paket s IP mé sítě)


celkem je možno 8 kombinací  (-i / -o , -s / -d  wlan0/eth0)

Dopracoval jsem se k tomuto pravidlu (pro policy DROP)

iptables -A FORWARD  -s 192.168.1.0/24 -i eth0 -o wlan0    -j ACCEPT
iptables -A FORWARD  -d 192.168.1.0/24 -i wlan0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


tím pádem jsou tyto zbytečná že:

-A FORWARD  -d 192.168.2.0/24   -j DROP # chci aby sítě 168.1 a 168.2. spolu nemluvily ( outbound ,není potřeba určovat -s)
-A FORWARD  -s 192.168.2.0/24   -j DROP # chci aby sítě 168.1 a 168.2. spolu nemluvily (inbound)

Je to dlouhý post plný pravidel firewallu, ale rád bych věděl, která pravidla jsou skutečně nutná a o která se není potřeba starat a vyplývají z logiky routování případně definice sítě (a zároveň bych se zbavil explicitních zápisu rozhraní a/nebo IP rozsahů kde to není bezpodmínečně nutné)


čili aby to nebylo tak dlouhé

Kód: [Vybrat]

# prázdná tabulka a policy DROP

iptables -A FORWARD  -s 192.168.1.0/24 -i eth0 -o wlan0    -j ACCEPT
iptables -A FORWARD  -d 192.168.1.0/24 -i wlan0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 

324

Software / Re:"reset nebo pročištění" conntrack na stroji s forwardingem -

« kdy: 02. 09. 2020, 13:51:22 »

1.conntrack --flush
2. iptables -nvL -t nat

1.Skvělé, to jsem chtěl. mimochodem ten příkaz flush přímo maže tabulku svým binárním kódem nebo volá nějaký příkaz nebo maže/edituje něco v /proc/net, /proc/sys ?
2. to jsme si nerozuměli, toto vypíše pravidla firewallu a ne proběhšivší spojení.

325

Software / Reset nebo pročištění conntrack na stroji s forwardingem

« kdy: 02. 09. 2020, 13:22:15 »

Jak na linuxovém stroji, který forwarduji, flushnu  a killnu spojení která jsou povolená díky pravidlu firewallu ~-mconttrack --ctstate related,established -j ACCEPT~?

hledal jsem na googlu a pokud vůbec jsem našel odpověď ,tak radili

Kód: [Vybrat]

echo f > /proc/net/nf_conntrack

ale tento soubor je jen na debianu jen pro čtení.

A mimojiné, lze nějakým příkazem vypsat tabulku pro nat (v podstatě informace z souboru výše díky tomu že při forwardování probíhá překlad ještě pro spojení do internetu), ale jde mi o to, za conntrack modul to nějak interně má v "jiné" routovací tabulce

326

Server / Re:Nelze smazat ani změnit routu

« kdy: 01. 09. 2020, 17:34:19 »

To jsem netušil, že proti tomu je tak silné hnutí za přechod na IP. Já tedy používám oboje snažil jsem se vnímat rozdíli mezi tím. je pravda že ip route toho umí víc a není problém tedy route přestat používat.


(ale tady dostal jsi mě ip route show je ip route list a) -- tento příkaz neumí to co route [-n [-e [-e ]]]

po změně:

Kód: [Vybrat]

Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn   MSS Okno    irtt Rozhraní
default         192.168.1.1   0.0.0.0         UG        0 0          0 wlan0
192.168.0.0     0.0.0.0         255.255.0.0     U         0 0          0 *
192.168.1.1   0.0.0.0         255.255.255.255 UH        0 0          0 wlan0
10.10.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0

327

Server / Jiné cesty zviditelnění NASu v internetu

« kdy: 01. 09. 2020, 17:27:39 »

Omlouvám se za další lamerský dotaz, ale rád bych věděl zda je možné docílit laicky "zviditelnění NASu" či domácího webservru odkudkoli přes internet jiným způsobem než pronájmem VPS  nebo pronájmem tunelu (což si myslím mělo být levnější neboť tunel toho dělá méně než VPS.) Existuje kromě IP tunelu jen obyčejný  TCP tunel?
Za kolik se dá každé sehnat? Lze třeba VPSza 30 Kč měsíčně?

existují jiné možnosti?  Něco co mě vůbec nenapadlo.

Samozřejmě jde o případ, že nemám veřejnou adresu + jsem za NATem + není možné zprovoznit port forwarding

328

Server / Re:Nelze smazat ani změnit routu

« kdy: 01. 09. 2020, 17:21:19 »

Je možné, že by to držel dhcpcd? Po ukončení služby lze je smazat. Cílem byly takové hrátky s linuxem, zkusit si, zprovoznění sítě od píky( něco jako kompilace linux from scratch)- bez nějakých démonů a autokonfigurace (natož gui klikátek)
Takže jsem smazal routy -net 0.0.0.0,  -net 192.168.0.0/ a přidal si  -host 192.168.1.1 dev eth0 a následně -net 0.0.0.0 gw 192.168.1.1 a potom route add blackhole 192.168.0.0

Jen tak bokem: když mám prázdnou routovací tabulku, proč nemohu dát si rovnou route na -net 0.0.0.0 přes eth0 ale musím si nejdřív dát routu na   -host 192.168.1.1 dev eth0 a následně až pak defaultní routu přes 192.168.1.1. (ip brány)?

A jednou bych chtěl rozumět https://github.com/LiamHaworth/go-tproxy - různé stínové routovací tabulky, scope, typ routy atd

329

Sítě / Re:Filtrování IP provozu na základě DHCP (povolit těm co si prošli DHCP)

« kdy: 01. 09. 2020, 17:12:50 »

Díky oho za nasměrování i za ten arp mód
Nevěděl jsem jak to googlit, když neznám jak se to jmenuje. Kromě toho když se ptám na use-case, vhodnost a další souvislosti

330

O serveru Root.cz / Re:chjo

« kdy: 01. 09. 2020, 13:37:37 »

https://c.seznam.cz/click?adurl=

První řádek (BTW co to bylo za druh requestu ? beacon / redirect / image / xmlhttp)

Taková řečnická otázka: pustili byste si do obýváku strýčka (nebo nějakou známou osobu jako Ivana Rittiga, Mynáře), který se rozleze přes celý gauč  (a to u všech lidí ke kterým se dostane), nota bena aniž byste ho zvali(což v tomto případě neplatí)?