Příspěvky

331

Sítě / Filtrování IP provozu na základě DHCP (povolit těm co si prošli DHCP)

« kdy: 01. 09. 2020, 13:30:59 »

Jak běžná je funkce, že síťový prvek (kam se strká kabel do sítě) "nedovolí"* připojit "cizí zařízení"(to které si IP adresu nastaví přímo místo toho, aby se zeptalo DHCP.) Má tato funkce nějaké pojmenování? Jak moc je k užitku a kde a se obvykle používá? Je lepší to řešit na 2 nebo 3. vrstvě?). Prostě že zařízení, která budou mít IP adresu nastavenou staticky v síti budou "zablokované".
Logicky dhcp démon server to nemůže řešit, protože to je jen sl užba na portu 67,68 a nikoli firewall.


* to je jen lapidární formulace. Připojit nezabrání, ale myslím tím, že zatrhne komunikaci (například tak že tam bude firewall, který defaultně blokuje traffic mezi IP kromě 0.0.0.0 a 255.255.255.255 a kromě těch které prošly DHCP přiřazením(dynamický seznam)). A nebo dá se to řešit na úrovni L2(tam ale si bude muset v nějaké fázi vytáhnout info z vyšších vrstev - například povolit dhcp pouze do té doby než dostane dhcp přidělí IP a dhcp se postará o update pravidla, že odemkne traffic pro tuto MAC)? Nutno myslet, že na jednom portu/wifi rozhraní může být více zařízení(lišíci se MAC adresami)

332

Windows a jiné systémy / Chytrá televize se vysype, když zabanuji domény

« kdy: 31. 08. 2020, 18:36:14 »

Mám problém s Samsung TV. díval jsem se a připojuje se asi na 30 domé, tak mi ruply nervy a zabanoval jsem DNS pro tuto TV. Od této doby když zapnu SMART hub, tak se ukazje hláška že Smart Hub nebo že aplikace se aktualizuje a to je vše. Víte někdo kterou doménu povolit, aby funkce (využívá se výhradně youtube aplikace která se samsung vůbec nesouvisí),aby se s prominutím televize neposrala, když se nemůže připojit "na internet" (když pominu že na youtube to vůbec není potřeba) a "youtube šel" ? Myslím minimální sadu domén ab to šlo

Před blokací seznam dotazů

Kód: [Vybrat]

A] notice.samsungcloudsolution.com
A] notice.samsungcloudsolution.com
A] ns11.whois.co.kr
A] cdn.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] vdterms.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] www.googleapis.com
A] infolink.pavv.co.kr
A] api.flickr.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] www.samsungrm.net
A] oempprd.samsungcloudsolution.com
A] i.ytimg.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] www.samsungrm.net
A] oempprd.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] infolink.pavv.co.kr
A] configprd.samsungcloudsolution.net
A] sso.internetat.tv
A] configprd.samsungcloudsolution.net
A] sso.internetat.tv
A] wwp.greenwichmeantime.com
A] wwp.greenwichmeantime.com
A] www.worldtime.com
A] www.worldtime.com
A] pool.ntp.org
A] tvstoregw.pavv.co.kr
A] infolink.pavv.co.kr
A] auth.samsungosp.com
A] auth.samsungosp.com
A] infolink.pavv.co.kr
A] auth.samsungosp.com
A] auth.samsungosp.com
A] apps-pub.samsungcloudcdn.com
A] pool.ntp.org
A] infolink.pavv.co.kr
A] fwk.allshareplay.com
A] fwk.allshareplay.com
A] infolink.pavv.co.kr
A] pool.ntp.org
A] pool.ntp.org
A] infolink.pavv.co.kr
A] billing-2w.samsungcloudsolution.com
A] dpiapi-2w.samsungcloudsolution.com
A] media.internetat.tv
A] media.internetat.tv
A] media.internetat.tv
A] cdn.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] fkp.samsungcloudsolution.com
A] www.samsungotn.net
A] otn.samsungcloudcdn.com
A] ns11.whois.co.kr

Po blokaci seznam dotazů(vše zablokovaný)

Kód: [Vybrat]

A] ns11.whois.co.kr
A] cdn.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] cdn.samsungcloudsolution.com
A] vdterms.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] infolink.pavv.co.kr
A] infolink.pavv.co.kr
A] www.googleapis.com
A] notice.samsungcloudsolution.com
A] api.flickr.com
A] time.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] time.samsungcloudsolution.com
A] notice.samsungcloudsolution.com
A] i.ytimg.com
A] prov.samsungcloudsolution.com
A] infolink.pavv.co.kr
A] cdn.samsungcloudsolution.com
A] www.samsungrm.net

333

Server / Re:Nastavení dnsmasq pro překlad lokální domény

« kdy: 31. 08. 2020, 15:23:14 »

zkus volbu --no-resolv
případně smazat --bind-interfaces nebo u /lokalnadomena/ umazat 127.0.0.1.. Možná pak nahradit --address za --server

a myslím, by to mělo jít nějak jednodušeji bez použití dnsmasq (eidtací resolv.conf, hosts)

334

Server / Re:DNS server - změna dle cílové IP *

« kdy: 31. 08. 2020, 15:06:31 »

A věděli byste jiné řešení blokace AAAA pro dnsmasq?

335

Server / Nelze smazat ani změnit routu

« kdy: 31. 08. 2020, 15:01:26 »

cíl: chci z routovací tabulky linuxu smazat nebo změnit routu(dát blackhole nebo flag UP odstranit). (pracuji s právy root)

nejde route del x.x.x.x/16 - příkaz se vykoná, ale po výpisu route je vše při starém
příkaz ip route replace routu zduplikuje, ip route change ji změní, ale nevím ,jak změnit ji aby... nějak jsem se v té syntaxi (man ip-route či ip route change help ztratil a nepřisel jsem na to kde se mění UP/DOWN nebo blackhole). něco jsem zkoušel ale vždy mi to házelo chybu syntaxe typu

 ip route change 192.168.0.0/24 as  to 192.168.0.4
RTNETLINK answers: No such device

mate mě také  OPTIONS, FLAGS , NH a NHFLAGS. mimochodem co je zač flags?-není vysvětleno

Kód: [Vybrat]

    
       ip route { add | del | change | append | replace } ROUTE
SELECTOR := [ root PREFIX ] [ match PREFIX ] [ exact PREFIX ]
            [ table TABLE_ID ] [ vrf NAME ] [ proto RTPROTO ]
            [ type TYPE ] [ scope SCOPE ]
ROUTE := NODE_SPEC [ INFO_SPEC ]
NODE_SPEC := [ TYPE ] PREFIX [ tos TOS ]
             [ table TABLE_ID ] [ proto RTPROTO ]
             [ scope SCOPE ] [ metric METRIC ]
             [ ttl-propagate { enabled | disabled } ]
INFO_SPEC := NH OPTIONS FLAGS [ nexthop NH ]...
NH := [ encap ENCAPTYPE ENCAPHDR ] [ via [ FAMILY ] ADDRESS ]
	    [ dev STRING ] [ weight NUMBER ] NHFLAGS
FAMILY := [ inet | inet6 | ipx | dnet | mpls | bridge | link ]
OPTIONS := FLAGS [ mtu NUMBER ] [ advmss NUMBER ] [ as [ to ] ADDRESS ]
           [ rtt TIME ] [ rttvar TIME ] [ reordering NUMBER ]
           [ window NUMBER ] [ cwnd NUMBER ] [ initcwnd NUMBER ]
           [ ssthresh NUMBER ] [ realms REALM ] [ src ADDRESS ]
           [ rto_min TIME ] [ hoplimit NUMBER ] [ initrwnd NUMBER ]
           [ features FEATURES ] [ quickack BOOL ] [ congctl NAME ]
           [ pref PREF ] [ expires TIME ] [ fastopen_no_cookie BOOL ]
TYPE := { unicast | local | broadcast | multicast | throw |
          unreachable | prohibit | blackhole | nat }

Zaprvé:proč ke změně  nedojde i když příkaz se provede? Není to nejaká autokonfigurace rout?

zadruhé jak dát dohromady syntaxi pro změnu TYPE=blackhole nebo flag up zrušit?

336

Sítě / iptables -P FORWARD DROP k čemu dobré na routeru

« kdy: 30. 08. 2020, 00:59:27 »

Nevím, proč se neuložil příspěvek, který jsem odesílal, ale pokusím zrychleně popsat znova.
Zjednodušeně, v návodech pro zprovoznění brány do internetu s funkcí nat  na železe s linuxuem nebo openwrt stěžejní kroky jsou sysctl net.ipv4.ip_forward=1 a  iptables -t nat -A POSTROUTING -o wlan1 -j MASQUERADE.

Samozřejmě  v kompletním návodu je i zprovoznění DHCP, DNS (jak pro vnitřní síťku  za NATem tak i pro WAN rozhraní). a v neposlední řadě nastavení pravidel firewallu. To je kvůli čemu se ptám.

Pravidlo pro povolení provozu ven jsou:

Kód: [Vybrat]

iptables -A FORWARD -i eth0 -o wlan0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

Nicméně nejsou potřeba, když je default policy ACCEPT (pro forward ). Zároveň se ale radí dát

Kód: [Vybrat]

iptables -P FORWARD DROP

. A to proč?
Z jakých dobrých důvodů se tohle dělá? Co hrozí, když zustane accept? (INPUT a output -t filter samotného stroje neřeším nyní)

Namátkou:
- hrozí že se do vnitřní sítě za natem "může dostat" někdo nepovolaný (čímž myslím 2 případy: třeba kohokoli z globálního internetu,  a nebo někoho kdo by uhodl IP rozsah sítě za NATem a vydávával se za zařízení z tého sítě na WAN portu), buď že vůbec se podaří  poslat konkrétnímu zařízení za NATem a nebo i dokonce že toto zařízení na něj odpoví a odpověď se k "útočníkovi dostane"
- opačná situace, že zařízení za NATem mohou komunikovat(tedy ony iniciují komunikaci, v odstavci výše to byl někdo zvenčí) se zařízeními v  jiné lokální síti v WAN (tímto laickým popisem myslím, že za NATem není "ještě internet", ale další jiná síť, ve které až leží brána do internetu, ) a povídat si zařízeními v této síti.  Když už jsem to napsal tak bych chtěl bych aby tato síť pro ně neexistovala (což sí myslím že by mělo jít pomocí příkazu route del-net 192.168.10.0/24, příkaz proběhne korektně ale nic se nezmění, jako kdyby se vzápětí routa vytvořila)

a nevím jestli se tím nedotýkám i volby net.ipv4.conf.all.rp_filter, ale tuto volbu jsem nikdy neřešil

337

Software / Re:Dlouhé odezvy (curl, FF, TB, ...) při default (nebo ipv6) oproti ipv4.

« kdy: 29. 08. 2020, 18:47:43 »

Pane Vráno  nebo jaké máte dnes pohlaví, mě se toto stávalo na windows, po úpravě souboru hosts. Už nevím přesně příčinu, ale může to být:
-odmazané jméno počítače( není tam ani jeden záznam 127.0.0.1)
-chybí tam záznam pro localhost
-je tam více záznamů pro 127.0.0.1

338

Server / Re:DNS server - změna dle cílové IP *

« kdy: 29. 08. 2020, 15:36:11 »

Kód: [Vybrat]

address=/tld/8.8.8.8 # adresa reálného dns
server=/tld/::

Dodatek. Ten trik (zdroje jsem našel zde "solved-disable-aaaa-response-for-a-given-domain") mi nefunguje. "Rozbije to internet".Na dotazy to vrací refused. Zkoušel jsem různé pořadí, prohodit address a server...

Funguje tentro trik někomu jinému?

339

Odkladiště / Re:dns blocklist platforem (android,windows,apple,spotify atd)

« kdy: 29. 08. 2020, 15:33:30 »

U všech grét, já to přehlíd. Nenapadlo mě že ty adresy budou zadrátovaná v procedurálním kódu... Šel jsem  souborech hledal jestli najdu nějaký, gde to jde deklarativně vypsáno.

340

Hardware / Re:Jak moc je reálné z M.2 slotu získat klasický PCIe?

« kdy: 27. 08. 2020, 23:55:27 »

K původnímu dotazu: porovnáváte naprosto obecný popis M.2 rozhraní a popis konkrétní základní desky. M.2 může přenášet PCI-E ale nemusí. U desky se o tom nepíše. Chtělo by to dotaz na podporu.

To neni tak uplne pravda. Na webu asusu je u te desky napsano:
- 1 x M.2 Socket 1 with E key, type 2230 for WIFI/BT devices support PCIE/USB mode
- 1 x M.2 Socket 3, M Key, podpora úložných zařízení typu 2260/2280 (režimy SATA i PCIE)

takze teoreticky by nemel byt problem. Spis se bojim nejakeho mozneho uefi whitelistu.

Přiznávám se, provnával jsem popis v dotazu ne, co se píše na webu.

341

Server / Re:DNS server dnsmasq - ignorace AAAA dotazů

« kdy: 27. 08. 2020, 23:50:18 »

Pokračuji v rozjetém vlaku.
Lze v démonu dnsmasq ignorovat AAAA dotazy ? Že je to ani nebude forwardovat.
Lze to nějak normálně nastavit než tímto trikem, co jsem našel někde??:

Kód: [Vybrat]

address=/tld/8.8.8.8 # adresa reálného dns
server=/tld/::

Misto neplatne IP bych vracel kdyz uz, tak 127.0.0.1.

Uniká mi smysl tohoto kroku. To se mi zdá kravina, to přece bude zanařáďovat stroj? (Mimochodem, jak si s tím DNS klient operačních systémů nebo prohlížečů poradí? Podle mě to musí vyhodnotit jako nesmysl, když jim vzdálený DNS server vrátí 127.0.0.1)

342

Windows a jiné systémy / Nelze přejmenovat zástupce.ve výpisu souborů ls není vidět zástupce.

« kdy: 27. 08. 2020, 23:38:56 »

Koukám puk jak na zásupce v OS X. V průzkumníku Finder vidím na ploše zástupce na jinou složku.
Problém čislo  jedna je že ho nelze přejmenovat (po pokusu o uložení vrací chybí –8072).
A pak mě zaráží, že ve výpisu příkazu ls -l -a - G v programu Terminál není vidět.
Existuje řešení problému 1 a vysvětlení absence 2?

343

Hardware / Re:Jak moc je reálné z M.2 slotu získat klasický PCIe?

« kdy: 27. 08. 2020, 23:15:18 »

K původnímu dotazu: porovnáváte naprosto obecný popis M.2 rozhraní a popis konkrétní základní desky. M.2 může přenášet PCI-E ale nemusí. U desky se o tom nepíše. Chtělo by to dotaz na podporu.

344

Hardware / Re:Odkud HDD berou správné datum pro zápis do SMART/statistik

« kdy: 27. 08. 2020, 23:11:53 »

Odpověď na původní otázku: host pošle ATA povel 0x77 SET DATE & TIME EXT jehož payload je unix time v milisekundách, 48 bitů takže to pár tisíc let vydrží :-)

http://t13.org/Documents/UploadedDocuments/docs2017/di529r18-ATAATAPI_Command_Set_-_4.pdf

Super, tak je to jasňačka.

BTW na mezidotaz pavla

Proč si myslíte, že disk ví přesný čas a datum? Podle mě neví.

Zajímá mě odkud se bere časová hodnota v tom výpisu.

Jasně že atributy nejsou hodnoty a že myslím hexadecimální ostatně(když uvádím číslo C0) ale přišlo mi, že nemůže dojít k mílce.A to vím, že SMART atributy jsou nestandardní ,ale zrovna tato čtveřice + Počet hodin v provozu je mívá identický význam a dokonce i jasný tvar(hex->dec).
Například teplota ne, u ni může být poslední bajt číslo aktuální teploty, zatímco 4.a3. bajt jsou nějaké číslo skrytého významu(například průměr teplot nebo nejvyšší dosažená teplota ever)

345

Odkladiště / Re:dns blocklist platforem (android,windows,apple,spotify atd)

« kdy: 27. 08. 2020, 22:59:58 »

https://f-droid.org/en/packages/org.jak_linux.dns66/
https://jak-linux.org/projects/dns66/
https://github.com/julian-klode/dns66

Já stále nemohu vidět ten seznam co řádek to dns záznam. Aspoň pro zajímavost.