Příspěvky

331

Software / Reset nebo pročištění conntrack na stroji s forwardingem

« kdy: 02. 09. 2020, 13:22:15 »

Jak na linuxovém stroji, který forwarduji, flushnu  a killnu spojení která jsou povolená díky pravidlu firewallu ~-mconttrack --ctstate related,established -j ACCEPT~?

hledal jsem na googlu a pokud vůbec jsem našel odpověď ,tak radili

Kód: [Vybrat]

echo f > /proc/net/nf_conntrackale tento soubor je jen na debianu jen pro čtení.

A mimojiné, lze nějakým příkazem vypsat tabulku pro nat (v podstatě informace z souboru výše díky tomu že při forwardování probíhá překlad ještě pro spojení do internetu), ale jde mi o to, za conntrack modul to nějak interně má v "jiné" routovací tabulce

332

Server / Re:Nelze smazat ani změnit routu

« kdy: 01. 09. 2020, 17:34:19 »

To jsem netušil, že proti tomu je tak silné hnutí za přechod na IP. Já tedy používám oboje snažil jsem se vnímat rozdíli mezi tím. je pravda že ip route toho umí víc a není problém tedy route přestat používat.


(ale tady dostal jsi mě ip route show je ip route list a) -- tento příkaz neumí to co route [-n [-e [-e ]]]

po změně:

Kód: [Vybrat]

Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn   MSS Okno    irtt Rozhraní
default         192.168.1.1   0.0.0.0         UG        0 0          0 wlan0
192.168.0.0     0.0.0.0         255.255.0.0     U         0 0          0 *
192.168.1.1   0.0.0.0         255.255.255.255 UH        0 0          0 wlan0
10.10.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0


333

Server / Jiné cesty zviditelnění NASu v internetu

« kdy: 01. 09. 2020, 17:27:39 »

Omlouvám se za další lamerský dotaz, ale rád bych věděl zda je možné docílit laicky "zviditelnění NASu" či domácího webservru odkudkoli přes internet jiným způsobem než pronájmem VPS  nebo pronájmem tunelu (což si myslím mělo být levnější neboť tunel toho dělá méně než VPS.) Existuje kromě IP tunelu jen obyčejný  TCP tunel?
Za kolik se dá každé sehnat? Lze třeba VPSza 30 Kč měsíčně?

existují jiné možnosti?  Něco co mě vůbec nenapadlo.

Samozřejmě jde o případ, že nemám veřejnou adresu + jsem za NATem + není možné zprovoznit port forwarding

334

Server / Re:Nelze smazat ani změnit routu

« kdy: 01. 09. 2020, 17:21:19 »

Je možné, že by to držel dhcpcd? Po ukončení služby lze je smazat. Cílem byly takové hrátky s linuxem, zkusit si, zprovoznění sítě od píky( něco jako kompilace linux from scratch)- bez nějakých démonů a autokonfigurace (natož gui klikátek)
Takže jsem smazal routy -net 0.0.0.0,  -net 192.168.0.0/ a přidal si  -host 192.168.1.1 dev eth0 a následně -net 0.0.0.0 gw 192.168.1.1 a potom route add blackhole 192.168.0.0

Jen tak bokem: když mám prázdnou routovací tabulku, proč nemohu dát si rovnou route na -net 0.0.0.0 přes eth0 ale musím si nejdřív dát routu na   -host 192.168.1.1 dev eth0 a následně až pak defaultní routu přes 192.168.1.1. (ip brány)?

A jednou bych chtěl rozumět https://github.com/LiamHaworth/go-tproxy - různé stínové routovací tabulky, scope, typ routy atd

335

Sítě / Re:Filtrování IP provozu na základě DHCP (povolit těm co si prošli DHCP)

« kdy: 01. 09. 2020, 17:12:50 »

Díky oho za nasměrování i za ten arp mód
Nevěděl jsem jak to googlit, když neznám jak se to jmenuje. Kromě toho když se ptám na use-case, vhodnost a další souvislosti

336

O serveru Root.cz / Re:chjo

« kdy: 01. 09. 2020, 13:37:37 »

https://c.seznam.cz/click?adurl=

První řádek (BTW co to bylo za druh requestu ? beacon / redirect / image / xmlhttp)

Taková řečnická otázka: pustili byste si do obýváku strýčka (nebo nějakou známou osobu jako Ivana Rittiga, Mynáře), který se rozleze přes celý gauč  (a to u všech lidí ke kterým se dostane), nota bena aniž byste ho zvali(což v tomto případě neplatí)?

337

Sítě / Filtrování IP provozu na základě DHCP (povolit těm co si prošli DHCP)

« kdy: 01. 09. 2020, 13:30:59 »

Jak běžná je funkce, že síťový prvek (kam se strká kabel do sítě) "nedovolí"* připojit "cizí zařízení"(to které si IP adresu nastaví přímo místo toho, aby se zeptalo DHCP.) Má tato funkce nějaké pojmenování? Jak moc je k užitku a kde a se obvykle používá? Je lepší to řešit na 2 nebo 3. vrstvě?). Prostě že zařízení, která budou mít IP adresu nastavenou staticky v síti budou "zablokované".
Logicky dhcp démon server to nemůže řešit, protože to je jen sl užba na portu 67,68 a nikoli firewall.


* to je jen lapidární formulace. Připojit nezabrání, ale myslím tím, že zatrhne komunikaci (například tak že tam bude firewall, který defaultně blokuje traffic mezi IP kromě 0.0.0.0 a 255.255.255.255 a kromě těch které prošly DHCP přiřazením(dynamický seznam)). A nebo dá se to řešit na úrovni L2(tam ale si bude muset v nějaké fázi vytáhnout info z vyšších vrstev - například povolit dhcp pouze do té doby než dostane dhcp přidělí IP a dhcp se postará o update pravidla, že odemkne traffic pro tuto MAC)? Nutno myslet, že na jednom portu/wifi rozhraní může být více zařízení(lišíci se MAC adresami)

338

Windows a jiné systémy / Chytrá televize se vysype, když zabanuji domény

« kdy: 31. 08. 2020, 18:36:14 »

Mám problém s Samsung TV. díval jsem se a připojuje se asi na 30 domé, tak mi ruply nervy a zabanoval jsem DNS pro tuto TV. Od této doby když zapnu SMART hub, tak se ukazje hláška že Smart Hub nebo že aplikace se aktualizuje a to je vše. Víte někdo kterou doménu povolit, aby funkce (využívá se výhradně youtube aplikace která se samsung vůbec nesouvisí),aby se s prominutím televize neposrala, když se nemůže připojit "na internet" (když pominu že na youtube to vůbec není potřeba) a "youtube šel" ? Myslím minimální sadu domén ab to šlo

Před blokací seznam dotazů

Kód: [Vybrat]

A] notice.samsungcloudsolution.com
A] notice.samsungcloudsolution.com
A] ns11.whois.co.kr
A] cdn.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] vdterms.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] www.googleapis.com
A] infolink.pavv.co.kr
A] api.flickr.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] www.samsungrm.net
A] oempprd.samsungcloudsolution.com
A] i.ytimg.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] www.samsungrm.net
A] oempprd.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] infolink.pavv.co.kr
A] configprd.samsungcloudsolution.net
A] sso.internetat.tv
A] configprd.samsungcloudsolution.net
A] sso.internetat.tv
A] wwp.greenwichmeantime.com
A] wwp.greenwichmeantime.com
A] www.worldtime.com
A] www.worldtime.com
A] pool.ntp.org
A] tvstoregw.pavv.co.kr
A] infolink.pavv.co.kr
A] auth.samsungosp.com
A] auth.samsungosp.com
A] infolink.pavv.co.kr
A] auth.samsungosp.com
A] auth.samsungosp.com
A] apps-pub.samsungcloudcdn.com
A] pool.ntp.org
A] infolink.pavv.co.kr
A] fwk.allshareplay.com
A] fwk.allshareplay.com
A] infolink.pavv.co.kr
A] pool.ntp.org
A] pool.ntp.org
A] infolink.pavv.co.kr
A] billing-2w.samsungcloudsolution.com
A] dpiapi-2w.samsungcloudsolution.com
A] media.internetat.tv
A] media.internetat.tv
A] media.internetat.tv
A] cdn.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] fkp.samsungcloudsolution.com
A] www.samsungotn.net
A] otn.samsungcloudcdn.com
A] ns11.whois.co.kr

Po blokaci seznam dotazů(vše zablokovaný)

Kód: [Vybrat]

A] ns11.whois.co.kr
A] cdn.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] vdterms.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] infolink.pavv.co.kr
A] infolink.pavv.co.kr
A] www.googleapis.com
A] notice.samsungcloudsolution.com
A] api.flickr.com
A] time.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] notice.samsungcloudsolution.com
A] i.ytimg.com
A] prov.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] www.samsungrm.net


339

Server / Re:Nastavení dnsmasq pro překlad lokální domény

« kdy: 31. 08. 2020, 15:23:14 »

zkus volbu --no-resolv
případně smazat --bind-interfaces nebo u /lokalnadomena/ umazat 127.0.0.1.. Možná pak nahradit --address za --server

a myslím, by to mělo jít nějak jednodušeji bez použití dnsmasq (eidtací resolv.conf, hosts)

340

Server / Re:DNS server - změna dle cílové IP *

« kdy: 31. 08. 2020, 15:06:31 »

A věděli byste jiné řešení blokace AAAA pro dnsmasq?

341

Server / Nelze smazat ani změnit routu

« kdy: 31. 08. 2020, 15:01:26 »

cíl: chci z routovací tabulky linuxu smazat nebo změnit routu(dát blackhole nebo flag UP odstranit). (pracuji s právy root)

nejde route del x.x.x.x/16 - příkaz se vykoná, ale po výpisu route je vše při starém
příkaz ip route replace routu zduplikuje, ip route change ji změní, ale nevím ,jak změnit ji aby... nějak jsem se v té syntaxi (man ip-route či ip route change help ztratil a nepřisel jsem na to kde se mění UP/DOWN nebo blackhole). něco jsem zkoušel ale vždy mi to házelo chybu syntaxe typu

 ip route change 192.168.0.0/24 as  to 192.168.0.4
RTNETLINK answers: No such device

mate mě také  OPTIONS, FLAGS , NH a NHFLAGS. mimochodem co je zač flags?-není vysvětleno

Kód: [Vybrat]

   
       ip route { add | del | change | append | replace } ROUTE
SELECTOR := [ root PREFIX ] [ match PREFIX ] [ exact PREFIX ]
            [ table TABLE_ID ] [ vrf NAME ] [ proto RTPROTO ]
            [ type TYPE ] [ scope SCOPE ]
ROUTE := NODE_SPEC [ INFO_SPEC ]
NODE_SPEC := [ TYPE ] PREFIX [ tos TOS ]
             [ table TABLE_ID ] [ proto RTPROTO ]
             [ scope SCOPE ] [ metric METRIC ]
             [ ttl-propagate { enabled | disabled } ]
INFO_SPEC := NH OPTIONS FLAGS [ nexthop NH ]...
NH := [ encap ENCAPTYPE ENCAPHDR ] [ via [ FAMILY ] ADDRESS ]
    [ dev STRING ] [ weight NUMBER ] NHFLAGS
FAMILY := [ inet | inet6 | ipx | dnet | mpls | bridge | link ]
OPTIONS := FLAGS [ mtu NUMBER ] [ advmss NUMBER ] [ as [ to ] ADDRESS ]
           [ rtt TIME ] [ rttvar TIME ] [ reordering NUMBER ]
           [ window NUMBER ] [ cwnd NUMBER ] [ initcwnd NUMBER ]
           [ ssthresh NUMBER ] [ realms REALM ] [ src ADDRESS ]
           [ rto_min TIME ] [ hoplimit NUMBER ] [ initrwnd NUMBER ]
           [ features FEATURES ] [ quickack BOOL ] [ congctl NAME ]
           [ pref PREF ] [ expires TIME ] [ fastopen_no_cookie BOOL ]
TYPE := { unicast | local | broadcast | multicast | throw |
          unreachable | prohibit | blackhole | nat }
Zaprvé:proč ke změně  nedojde i když příkaz se provede? Není to nejaká autokonfigurace rout?

zadruhé jak dát dohromady syntaxi pro změnu TYPE=blackhole nebo flag up zrušit?

342

Sítě / iptables -P FORWARD DROP k čemu dobré na routeru

« kdy: 30. 08. 2020, 00:59:27 »

Nevím, proč se neuložil příspěvek, který jsem odesílal, ale pokusím zrychleně popsat znova.
Zjednodušeně, v návodech pro zprovoznění brány do internetu s funkcí nat  na železe s linuxuem nebo openwrt stěžejní kroky jsou sysctl net.ipv4.ip_forward=1 a  iptables -t nat -A POSTROUTING -o wlan1 -j MASQUERADE.

Samozřejmě  v kompletním návodu je i zprovoznění DHCP, DNS (jak pro vnitřní síťku  za NATem tak i pro WAN rozhraní). a v neposlední řadě nastavení pravidel firewallu. To je kvůli čemu se ptám.

Pravidlo pro povolení provozu ven jsou:

Kód: [Vybrat]

iptables -A FORWARD -i eth0 -o wlan0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPTNicméně nejsou potřeba, když je default policy ACCEPT (pro forward ). Zároveň se ale radí dát

Kód: [Vybrat]

iptables -P FORWARD DROP. A to proč?
Z jakých dobrých důvodů se tohle dělá? Co hrozí, když zustane accept? (INPUT a output -t filter samotného stroje neřeším nyní)

Namátkou:
- hrozí že se do vnitřní sítě za natem "může dostat" někdo nepovolaný (čímž myslím 2 případy: třeba kohokoli z globálního internetu,  a nebo někoho kdo by uhodl IP rozsah sítě za NATem a vydávával se za zařízení z tého sítě na WAN portu), buď že vůbec se podaří  poslat konkrétnímu zařízení za NATem a nebo i dokonce že toto zařízení na něj odpoví a odpověď se k "útočníkovi dostane"
- opačná situace, že zařízení za NATem mohou komunikovat(tedy ony iniciují komunikaci, v odstavci výše to byl někdo zvenčí) se zařízeními v  jiné lokální síti v WAN (tímto laickým popisem myslím, že za NATem není "ještě internet", ale další jiná síť, ve které až leží brána do internetu, ) a povídat si zařízeními v této síti.  Když už jsem to napsal tak bych chtěl bych aby tato síť pro ně neexistovala (což sí myslím že by mělo jít pomocí příkazu route del-net 192.168.10.0/24, příkaz proběhne korektně ale nic se nezmění, jako kdyby se vzápětí routa vytvořila)

a nevím jestli se tím nedotýkám i volby net.ipv4.conf.all.rp_filter, ale tuto volbu jsem nikdy neřešil

343

Software / Re:Dlouhé odezvy (curl, FF, TB, ...) při default (nebo ipv6) oproti ipv4.

« kdy: 29. 08. 2020, 18:47:43 »

Pane Vráno  nebo jaké máte dnes pohlaví, mě se toto stávalo na windows, po úpravě souboru hosts. Už nevím přesně příčinu, ale může to být:
-odmazané jméno počítače( není tam ani jeden záznam 127.0.0.1)
-chybí tam záznam pro localhost
-je tam více záznamů pro 127.0.0.1

344

Server / Re:DNS server - změna dle cílové IP *

« kdy: 29. 08. 2020, 15:36:11 »

Kód: [Vybrat]

address=/tld/8.8.8.8 # adresa reálného dns
server=/tld/::

Dodatek. Ten trik (zdroje jsem našel zde "solved-disable-aaaa-response-for-a-given-domain") mi nefunguje. "Rozbije to internet".Na dotazy to vrací refused. Zkoušel jsem různé pořadí, prohodit address a server...

Funguje tentro trik někomu jinému?

345

Odkladiště / Re:dns blocklist platforem (android,windows,apple,spotify atd)

« kdy: 29. 08. 2020, 15:33:30 »

U všech grét, já to přehlíd. Nenapadlo mě že ty adresy budou zadrátovaná v procedurálním kódu... Šel jsem  souborech hledal jestli najdu nějaký, gde to jde deklarativně vypsáno.