Příspěvky

196

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 06. 03. 2022, 15:53:10 »

Mám li vycházet z předchozího příspěvku: Maškaráda dělá 2 věci, že mění adresy spojením zevnitř ven a defacto s tím nesouvisí(možná až na to, že zároveň vytvořit spojení zvenku dovnitř, což není přímo důsledek maškarády, ale obvyklého setupu s maškarádou ,například FORWARD povolen jen ve směru  zevnitř ven & ctstateRELATED+EST obráceně). Vy řešíte, jestlitomu dobře rozumím spojení zvenku dovnitř.

A to  řeší tabulka pravidlo DNAT/REDIRECT (a ty jdou ostatně jen v tabulce NAT a ta nabízí se jen chain PREROUTING).

Je to prosté, pravidlo bude mít --source-port 8080 (to je číslo cílového portu co než to dorazí do routeru) a --to(-port) bude (127.0.0.1):80 (přepíšu to aby to nebylo na prasáka: -j DNAT --to 127.0.0.1:80, ale jak jsem psal, je lepší -jREDIRECT --to 80)

DNAT v tomtopřípadě bych nepoužil, protože vyžaduje rovnák na ohejbák (že pakety obvykle požere rpfilter nebo že FORWARDOVÁNÍ MEZI loopbackem se nedělá) - REDIRECT je lepší volba (ostatně --to je jen číslo portu)

197

Sítě / Re:WireGuard - nefunguje připojení více peerů

« kdy: 06. 03. 2022, 15:37:02 »

Ale vždyť jsi ten konfigurační soubor nijak neupravil kromě odstranění 10.0.0.x

A mám pocit, že je ty nastaven /24 vs /32 jsou naopak než na https://ondrej-sika.cz/blog/wireguard/ (Tam nevím jaký je důvod proč firemní počítač má adresu .100/32 když i mac i apple mají .101,.201/24)

Kód: [Vybrat]

[Interface]
PrivateKey = Priv/Office=
Address = 10.10.0.100/32
DNS = 1.1.1.1

Nicméně pokud je někde problém, první co bych vyzkoušel, je redukovat allowedIPs na /32....
Vypozoroval jsem, že pokud se překrývají, tak pakety sice dorazí od protistrany, ale daný pc je neodešle.

198

Server / QNAP NAS - možnosti alternativního systému

« kdy: 05. 03. 2022, 23:28:52 »

Jaké jsou možné alternativní fw pro (armv8) qnap nasy (truenas, quts,  freenas, debian pro arm,arch linux)...

Například aby nebylo vložené disk nutné "formátovat"  a šlo tam disky použít se stávajícími partitiony, filesystemy (samozřejmě se přijde o část featur Volume,snapshoty), jsem si vědom že to trochu bude každýpesjinýles než když se disky podřítí dyktátu systému

(Stejně ty disky pri inixializaci se naplni daty z NAND toho nasu-myšleno né celá kapacita ake jen pár oddiílů)

Dějou se tam složitá kouzla s Raid,Lvm, vytvářejí swapy (jako jistě to umožňuje  flexibilní luny, rozšiřování storage poolu a hrát si s alokací)

199

Sítě / Re:Mikrotik hAP ac3 OpenVPN. / udp lepší?

« kdy: 05. 03. 2022, 23:20:02 »

mv).[/li]
[li]WG je UDP only a v nekterych (ne castych) pripadech muze byt TCP vyhodou.[/li][/list]

Mám takovou kacířskou otázku není právě UDP lepší? aka problém. TCPinTCP
Asi jen ze 3 hledisek co mě napadají v případě TCP: 
- vyšší(2x) roundtrip time
- nižší dosažitelná rychlost(propusnost)
- horší chování při kolísavé lince (rychlost se mění,jitter,ztrátovost,latence)... To v závorce myšleno jako vstupní parametry linky ale i pozorovatelné v tunelivané lince
Která jsou reálná?

200

Sítě / Re:Docker Pi-hole a OpenVPN

« kdy: 04. 03. 2022, 13:49:05 »

Mám pocit, že problém bude v kolizích subnetů. Funguje tedy klientům DNS nebo jim to timeoutuje  jaký mají nastavený a kam až dotaz projde? Ten pihole kontejner má jaký režim networkingu nastaven ? ... https://poste.io/doc/network-schemes

201

Sítě / Re:Přesměrování portu 8080 na port 80 v nftables

« kdy: 04. 03. 2022, 13:26:41 »

Ale PRE/POSTROUTING se neuplatňuje když se připojuješ na lokální server.

Ono je taky možné (Jak psal Naposled Filip Jirsák v dodatku), že ta entanglovaná dvojice pravidel proběhne celá , takže 80 přepíše na 8080 a následně zase na 80.
To jsem si ověřil a není to pravda: zkuste si spustit PHP -S 0.0.0.0:{1811,1822} & s index.php <?php var_dump($_SERVER); a zároveň sledovat iptables -nxvL -t nat s tabulkou

Kód: [Vybrat]

 

vložit pravidla
 iptables  -I PREROUTING   -p tcp --dport 502 -t nat   -j REDIRECT --to 509
 iptables  -I PREROUTING   -p tcp --dport 509 -t nat   -j REDIRECT --to 502
 sudo iptables  -I PREROUTING   -p tcp --dport 409 -t nat   -j DNAT --to :402
 sudo iptables  -I PREROUTING   -p tcp --dport 402 -t nat   -j DNAT --to :409
#  DNAT --to :port  to je validní zápis - říká že má jen změnit port a ponechat dst_IP


   pkts      bytes target     prot opt in     out     source               destination
       2      120 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:502 redir ports 509
       1       60 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:509 redir ports 502
       4      240 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:409 to::402
       7      420 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:402 to::409

Mimochodem, REDIRECT a DNAT nejdou v INPUT a OUTPUT , je nějak možné docílit analogické změny portu v těchto chainech. ?


Taky je důležité, jak se služba (server apache spouští), jestli v konfiguraci je listen *:80 nebo konrétní_ip:80 nebo *:80 (php to má v parametru -S jako -S IP:port a ekvivalent *:80 je 0.0.0.0:80)


> filip jirsák:
Kdo DNATUJE na 127.0.0.1 se zlou se potáže
divil jsem se proč tcpdump -nti lo nic nezachytí...
"zachytil" to totiž_rp_filtr
d kernel: IPv4: martian destination 127.0.0.1 from 192.168.1.5, dev eth0

202

Software / Zjistit bash-historii po smazání souboru $HISTFILE?

« kdy: 03. 03. 2022, 12:39:11 »

Zdravím, nadpis snad mluví za vše , ale je tam jeden háček. Mám nastaveno  HISTSIZE 3000 a HISTFFILESZE 8000. .
Počítač byl spuštěn (pak defaultně běží bash na tty1,, jsou spuštěny nějaké terminály přes ssh.) Pak došlo k smazání ~/.bash_history z jednoho z těch ssh terminulů-shellů. Ten měl původně 7654 řádek.

Je možné se nějak dostat k těm 7654 řádkům historie? K 3000 řádkům se lze dostat z jiného  basheskrz příkaz history.


(A pak otázka bokem), lze nějak zapisovat a číst z/do tty1(který je umístěn obvykle na výstupu monitoru Ctrl Shift F1), ale já jsem na druhém konci republiky na pts2 přes ssh.
Zkoušel jsem naivně v jednom okně cat </dev/tty1 a v druhém echo ls >/dev/tty1 ale bylo to jak zmrzlý krtek

203

Windows a jiné systémy / Re:Odesílání emailu z aplikace, která neumí SSL/TLS ani STARTTLS

« kdy: 02. 03. 2022, 22:21:05 »

Jestli tomu dobře rozumím, tak na odesílajícím serveru (ten který, který vyžaduje to TLS), není potřeba nic nastavovat co se týče relay..

204

Software / Re:VLC pri spusteni playlistu z Vivaldi nedekoduje H265/HEVC

« kdy: 02. 03. 2022, 22:13:31 »

workdir, proměnné...
cat /proc/`pidof Xtightvnc`/environ | tr "\0" "\n"
file --brief /proc/`pidof Xtightvnc`/cwd

205

Sítě / Re:WPA handshake

« kdy: 02. 03. 2022, 22:03:51 »

Ten popis je nějak mlhavý pořádně tomu nerozumím, co se ti najednou někde ukáže a co jsou zač ti uživatelé. Nějak jsem z toho nevydedukoval kde, máš "víc" instancí, jestli v capture souboru . A co jeto zač (stejný klienta na jednu sít, různí klienti na stejnou síť, uplně cizí lidi na jiné sítě)

Taky je možné že aircrack nebo jiný tool defaultně hledá hesla pro všechny handshake.

Už je dlouho co jsem s tím laboroval (a nakonec skončil v fázi luštění u hashcatu protože i integrovaná grafika s OpenCL kernelem je násobně rychlejší )

Každopádně mé zásady:
1. snažím se omezit velikost  zachytávanách dat (když vím o jakou síť se zajímám) capture filter na data & eapol.  Takysi udělám jeden krátký capture na beacon (to je pro komfort) Zachytávám klidně wiresharkem nebo  jiným klikátkem , to je jedno.

2. otevřu si beacon capture (to stačí nechat běžet sekundu, beacon jedou 10Hz) a exportuji jeden paket. Některé nástroje mají radši, když ví kterou síť luštit Asi není nutné to mít.

3. Otevřu si dlouhodobý capture (snaha o eapol) najdu handshake a těch pár paketů exportuji. (Fun Fact: údajně není potřeba všechny pakety 1+2+3+4, ale stačí z jedné strany, teď z hlavy nevím které. Výhodné to je, že nemusí být v dosahu jak AP+STA)

2+3 V wiresharku do jde normálně uložit Save/export - v dialogu selected packets. Oba pak sloučím. Pak tím hacapaxaxaxa nástrojem to převedu do kýžené formy.

> Mám jistotu že neluštím něco co nechci.
No a pak stačí čekat `estimated time 763 years`

206

Desktop / korektní odhlášení z tightvnc lxde/openbox lx-sessin z DE(bez kill)

« kdy: 02. 03. 2022, 21:47:20 »

Stává se mi jeden problém při (pokusu) odhlašování (příkaz lxde-lougout,lxsession-logout) mi pouze se "změní grafické prostředí" (něco jako když v Windows XP+) se ukončí služby Motivy/témata/uxsms



Mám raspbian lxde/openbox- lxsession. (greeter lightdm, ale ten jak pozoruji htop se neuplatní  z následující  řetězu spouštění:
tightvncserver je wrapper pro xtightvnc
 xtightvnc spustí  pod rootem()?~/.vnc/xstartup , který spustí finálně(nakonci skriptu) /etc/X11/Xsession (což je nějaký skript z roku 2005).  Ten skript sh ~/.vnc/xstartup zůstane viset po celou dobu běhu "vzdálené plochy", jeho potomkem je lxsession.


Výsledkem je pouze že se ukončí lxsession a ten skript xstartup , aplikace zůstanou jako sirotci bez rodiče v htop(Tree)  a
 okna talčítka mají jinačí ikonky a LXDE má ještě hranatější vzhled.Aplikace zůstanou běžet dál a pomůže:

 tightvncserver -kill :1 (načež se klient odpojí) Někde to zabere.


Někdy ne a to se ukáže ještě jako výsledek předchozího příkazu

Can't find file /home/u/.vnc/hostname:1.pid
You'll have to kill the Xtightvnc process manually


Vlastně jediné korektní "ukončení" které nedělá "leftovery" je tightvnceserver -kill :1  (je tedy možné následovat hladce ho tightvncserver :1)


Co se tam děje? Nějaký nepořádek v screen managerech/DE/window managerech /Xauthority?

207

Desktop / Re:Jak spustit automaticky tighvnc démona

« kdy: 02. 03. 2022, 16:54:59 »

To se mi bude jednou hodit, až budu řešit tohle na serioznější úrovni.. Díky za cenné rady ... Mezitím mě fórum obdarovalo náhodnou hláškou Litujeme, přísup odepřen.

Jinak vyřešeno, měl jsem trapnou chybu v rc.local, můžeš si typnout:
předchozí příkaz bez &
#sem by se to nikdy nedostalo
su user -c "gNNNhtvncserver :1 >/run/t_log.txt" > /run/t_out.txt &
# na t_log nemá user práva
(byla to jen jedna chyba)


První zkušnost - přehrání QVGA videa:  Xtightvnc 40% , mpv 40% (v turbbo modu 1200MHz)

208

Desktop / Re:Jak spustit automaticky tighvnc démona

« kdy: 02. 03. 2022, 16:36:07 »

Ha, tak ono na kolonce  username vůbec nezáleží, může to být klidně neexistující uživatel.

Je nějaký článek o této problematice RDP /VNC a režimem spuštění, přihlašování, systémovém účtu a možnost přihlašovat se na virtuální monitor nebo vidět obsah skutečného monitoru (a v roli pozorovatele a nebo skutečně toho kdo je přihlášen)


Mimochodem, jsou role VNC zaměnitelné? V tom smyslu, že by to fungovalo reverzně: "virtualizovaná stanice  se připojí na server. Na server se následně připojí tenký klient , čímž se vlastně tenký klient bude moc ovládat stanici. Buď tenký klient si sám řekne ke komu se chce připojit/řeší autentizaci s stanicí přímo a nebo se autentizuje na serveru  a server jen ověří jestli tenký klient má právo se připojit na stanici.

209

Desktop / Jak spustit automaticky tighvnc démona

« kdy: 02. 03. 2022, 15:12:04 »

Nedaří se mi tightvnc démona přidat do seznamu  po spuštění pro vybraného usera, ale ručně ho přes ssh spustím. (Vím, tam je problém,  že není "zalogovaný" user a obecně problém) pro jakého user ho spustit. V té problematice virtual/user/service jsem se uplně nezorientoval.
Zároveň jsem si  vybral tighvnc místo realvnce, protože k němu jedinému se mi telefon připojil.

Funguje mi to, když jsem připojen jako aktuální uživatel přes ssh a spustím tightvncserver :1 ....  (předtím tightvncpasswd) - tím pádem server se rozběhne a klidně  mohu ssh terminál ukončit.
Když tam zadám jen tightvncserver :1, tak se spustím vnc pod rootem.



Ale když to /etc/rc.local dám jedno su ja -c "tightvncserver :1" tak to nejde.  (příkaz se provádí z kontextu roota a v tomto případě příkaz su skončí na interaktivním čekání na zadání hesla). Tedy v obou případech v klientovi mám údaje  ja / vncheslo ,ale přihlásí se "na plochu" toho, pod kým jedémon spuštěn...




žádnou systemd službu (/grep vnc) nemám.


Cítím tam určitou problematiku přihlašování a autentizace. (probíhá výběr usera při spuštění démona vs  proč ne přes přihlašovací údaje klienta), taky se mi nelíbí sdílené heslo pro všechny.
Za druhé, jak nastavit, abych se tam logoval svým systémovým heslem? Souvisí to nějak s Auth Metodou (None, VncAuth,Default,VeNCrypt)?

Tedy je to headless, monitor je nepřipojen. Hypoteticky jak bych udělal jinou další situaci  že chci ovládat přesně to, co se bude dít na obrazovce whoever je přihlášen??(až vyřeším toto)?

210

Software / Zjištění co zapisuje disk když už skoro vše je ošetřeno

« kdy: 02. 03. 2022, 10:07:07 »

Co způsobuje zbylých 2 MB/ hodinu zápis na disk ?
Zkusil jsem inotify wait -e create,modify,delete -rm
Zjistil jsem, že něco zapisuje na /var/cache/{samba,nscd} - to jsem umístil přes fstab na tmpfs (/run a /var/log už tam jsou)

Reálně už mi inofify nehlásí  (skoro )vůbec nic pod hodině....

Přesto mi za 8 hodiny přibyde 16MB  v kolonce written na disk po iostat -d.

zkusil jsem ještě sysctl vm.dump_block=1, a (jen na chvíli) - viděl jsem tam  zápis na sektoru nula 4 miliony. 4/8kb. Ale z toho nezjistím který proces zapistuje


1. Jak zjistím jaký soubor patří konkrétnímu sektoru
2. Jak u sd karty zjistím velikost sektoru

Ještě jedna možnost bylo sudo iotop -aok .. Občas se tam objevuje něco jbd2/... - To prý je journal, přískakuje to po 40 kB nebo víc, až k  80kB.

Pak tam se blýskne kworker/~s_unbound,kworker/u8:1 ale zvláštní je že DISK WRITE/READ (cumulative) je nula.

Root FS je ext4{noatime,commit=120} Je možné že periodicky jsou nějaké zápisy kvůli journalu, i když se nic nezapisuje. Je možné journal nastavit, aby byl šetrný ke kartě (uplně vypínat nevím jestli je dobrý nápad). Jsou různé volby jako barrier,
Jak velký může být zápis na sd kartu reálně kvůli 8kb datům

Nebo je nereálně se dostat na nulové zápisy prostě? (po nějaké době od startu)


Taky jsem už vyzkoušel skoro vše co se týče řešení Mám pocit, že už vše co šlo přesunout je na tmpfs.
Taky mám pocit, že jsem vyzkoušel vše od způsobů detekce - iostat (udá jen zapsané kB)), iotop(neudá soubor), inotifywait (udá jen soubor ale ne velikost ani proces) a sysctl vm.dump_block (udá jen sektor), lsof je pouze snapshot otevřených handlů

Máte tip na nástroj, který tedy dokáže zjistit, který proces zapsal který soubor? (nebo které soubory, když znám proces) -- tuto situaci žádný nástroj nástroj nepokrývá.