1. Fórum Root.cz
  2. Profil tuxmartin
  3. Zobrazit příspěvky
  4. Témata

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - tuxmartin

Stran: 1 2 3 [4] 5 6 ... 8
46
Server / Let’s Encrypt a klientské certifikáty v Nginx
« kdy: 24. 01. 2017, 22:50:26 »
Zdravim,

na nginx webserveru pouzivam prihlasovani klientskymi ssl certifikaty. Je to bezpecne a dobre funkcni.
Mam vlastni CA, kterou generuji klientum certifikaty.
Problem je neduveryhodnost webu pri otevreni v prohlizeci (klient s certifikatem to resit nemusi, ale lide bez certifikatu by meli videt info stranku a to bez chyboveho varovani).
Rad bych i na tento web nasadil Let’s Encrypt, ale chci zaroven zachovat i klientske ssl certifikaty. Je to nejak mozne? Slysel jsem, ze by to melo jit pomoci mezilehle CA. Musel bych tedy svoji vlastni CA podepsat Let’s Encrypt certifikatem.

Je to vubec techniky mozne? Pripadne jak na to? Nic funkcniho jsem nenasel.


47
Hardware / Raspberry Pi - vždy vytuhne USB ovladač
« kdy: 22. 12. 2016, 18:27:03 »
Ahoj, mam problem s vytuhavajicim ovladacem na Raspberi Pi 2.
Jde o tento model

Celkem casto se stava, ze po chvili neaktivite prestane reagovat a v dmesg se objevi:
Kód: [Vybrat]
[    9.787342] IPv6: ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
[    9.795564] smsc95xx 1-1.1:1.0 eth0: link up, 100Mbps, full-duplex, lpa 0x45E1
[   30.828268] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  151.824922] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  177.658274] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  230.581546] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  274.784897] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  277.854900] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  324.648263] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  327.131579] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  332.201586] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  344.848242] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  346.494894] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  361.751561] usb 1-1.3: device descriptor read/64, error -110
[  377.111565] usb 1-1.3: device descriptor read/64, error -110
[  377.471561] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  392.728202] usb 1-1.3: device descriptor read/64, error -110
[  408.088230] usb 1-1.3: device descriptor read/64, error -110
[  408.448222] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  408.849554] usb 1-1.3: device descriptor read/8, error -32
[  408.967866] usb 1-1.3: device descriptor read/8, error -32
[  409.324894] usb 1-1.3: reset low-speed USB device number 4 using dwc_otg
[  411.560668] usb 1-1.3: device descriptor read/8, error -32
[  411.676427] usb 1-1.3: device descriptor read/8, error -32
[  411.778825] usb 1-1.3: USB disconnect, device number 4
[  412.001520] usb 1-1.3: new low-speed USB device number 5 using dwc_otg
[  427.081541] usb 1-1.3: device descriptor read/64, error -110
[  442.264853] usb 1-1.3: device descriptor read/64, error -110
[  442.448184] usb 1-1.3: new low-speed USB device number 6 using dwc_otg
[  457.528181] usb 1-1.3: device descriptor read/64, error -110
[  472.711512] usb 1-1.3: device descriptor read/64, error -110
[  472.894848] usb 1-1.3: new low-speed USB device number 7 using dwc_otg
[  473.322902] usb 1-1.3: device descriptor read/8, error -32
[  473.439659] usb 1-1.3: device descriptor read/8, error -32
[  473.621552] usb 1-1.3: new low-speed USB device number 8 using dwc_otg
[  473.736577] usb 1-1.3: device descriptor read/8, error -32
[  473.852965] usb 1-1.3: device descriptor read/8, error -32
[  473.955010] usb 1-1-port3: unable to enumerate USB device
tv:~ #

vzdy pomuze odpojeni a pripojeni prijimace z USB.

Mate nejaky napad, jak to rychle opravit? Rad bych mel na Vanoce funkcni prehravac :-)

Napadlo kazdych treba 10s volat usbreset
Je to dobry napad?


48
Hardware / Kde sehnat Cherry MX Switch Tester
« kdy: 11. 12. 2016, 17:24:26 »
Ahoj, rad bych si poridil klavesnici s Cherry MX spinacema. Porad se ale nemuzu rozhodnout pro typ tlacitka.
Mate nekdo tip, kde si pujcit na vyzkouseni Cherry MX Switch Tester.
Prece jenom objednat si tester za asi 1 kKc a pote ho hned zahodit je celkem skoda...


49
Sítě / Levná náhrada za 802.1X switch
« kdy: 07. 12. 2016, 19:23:04 »
Ahoj,
hodilo by mi se mi overovat pocitace (cca 5-10) pres radius. Pokud se overeni nezdari, zarizeni by se nedostalo na sit.
Switche s podporou 802.1X jsou hodne drahe. Starsi Cisco se mi kupovat nechce, hrozne zere.

Napadlo me jedno reseni:
Switch s podporou VLAN, nejlevnejsi se da sehnat pod 700 Kc.
Na kazdem portu by byla jina VLAN.
Na linux routeru by bezel hostapd.

Je to realne funkcni? Zajima me to spis ze zvedavosti a rad bych si to vyzkousel.

Na WiFi pouzivam miniPCIe WiFi kartu v routeru, kde se pc overuji proti FreeRADIUSu.

50
Hardware / Biostar TH61 + Mint 18 - nefunguje Wake On LAN
« kdy: 21. 11. 2016, 10:28:42 »
Mam desku Biostar TH61 a procesor Core i5 3470 (take muj druhy dotaz zde na foru).

Nutne bych potreboval Wake On Lan.

Na desce je integrovana sitovka od Realteku, myslim 8111. Zkousel jsem dat i do PCI stary 100Mbps Realtek 8139.
WoL s zadnou nefunguje.
Nekolikrat jsem prolezl cely UEFI. Vse, co by mohlo aspon vzdalene mit souvislost mam zapnute.

V Mintu 18 vidim presne jako v navodu na ubuntu wiki pismeno g:

Kód: [Vybrat]
sudo ethtool eth0
...
Supports Wake-on: puag
Wake-on: g

Je mozne, ze podpora WoL na me desce vubec neni?
Nemuze za to moct stary zdroj?

Uz me napadaji zoufala reseni, jako spinani dratu k vypinaci arduinem s ethernet shieldem.

51
Hardware / Biostar TH61 nenaskočí grafika v Mintu 18
« kdy: 21. 11. 2016, 10:15:24 »
Poridil jsem si starsi desku Biostar TH61 a procesor Core i5 3470.

Vse chodi skvele, ale mam problem s grafikou v Mintu 18.
Pokud necham vse vychozi, zobrazi se prihlasovaci obrazovka, zadam heslo a tma. Cerny monitor, pouze kurzor je videt a je mozne s nim hybat. Nic vic. I kdyz pockam, problem se nevyresi.
Nemohl jsem takhle dlouho nabootovat ani live cd s instalatorem.

"Resenim" je na prihlasovaci obrazovce vybrat "c2" - softwarove vykreslovani. Pak vse funguje, ale pocita cpu.

I kdyz se prihlasim v "c2" modu, akcelerace by mela jit:
Kód: [Vybrat]
martin@martinpc ~ $ glxinfo | grep render
direct rendering: Yes
    GLX_MESA_multithread_makecurrent, GLX_MESA_query_renderer, 
    GLX_MESA_multithread_makecurrent, GLX_MESA_query_renderer, 
Extended renderer info (GLX_MESA_query_renderer):
OpenGL renderer string: Gallium 0.4 on llvmpipe (LLVM 3.8, 256 bits)
    GL_ARB_conditional_render_inverted, GL_ARB_conservative_depth, 
    GL_NV_conditional_render, GL_NV_depth_clamp, GL_NV_packed_depth_stencil, 
    GL_ARB_conditional_render_inverted, GL_ARB_conservative_depth, 
    GL_NV_blend_square, GL_NV_conditional_render, GL_NV_depth_clamp, 
    GL_OES_element_index_uint, GL_OES_fbo_render_mipmap, 
martin@martinpc ~ $

Nainstaloval jsem ovladac na grafiku primo od Intelu a zadna zmena.
https://download.01.org/gfx/ubuntu/16.04/main/pool/main/i/intel-graphics-update-tool/intel-graphics-update-tool_2.0.2_amd64.deb

Co muze byt spatne? A hlavne - jak to opravit?

PCIe grafiku nechci.

52
Distribuce / Python - rozbité apt závislosti
« kdy: 06. 11. 2016, 11:52:39 »
Ahoj, kompiloval jsem si pjsip. Pro vetsi pohodli jsem si nechal pomoci checkinstall vygenerovat deb balicek.
Nevsiml jsem si, ze vysledny balicek se jmenuje python.

Kód: [Vybrat]
martin python # pwd
/usr/local/src/pjproject-2.5.5/pjsip-apps/src/python

martin python # file /usr/local/src/pjproject-2.5.5/pjsip-apps/src/python/python_20161106-1_amd64.deb 
/usr/local/src/pjproject-2.5.5/pjsip-apps/src/python/python_20161106-1_amd64.deb: Debian binary package (format 2.0)


martin python # dpkg -l | grep python
...
ri  python                                       20161106-1                                 amd64        Package created with checkinstall 1.6.2
...

martin python # dpkg -L python
/.
/usr
/usr/local
/usr/local/lib
/usr/local/lib/python2.7
/usr/local/lib/python2.7/dist-packages
/usr/local/lib/python2.7/dist-packages/pjsua-2.5.5.egg-info
/usr/local/lib/python2.7/dist-packages/_pjsua.so
/usr/local/lib/python2.7/dist-packages/pjsua.pyc
/usr/local/lib/python2.7/dist-packages/pjsua.py
martin python #

Kdyz spustim python, funguje:
Kód: [Vybrat]
martin@martin ~ $ python
Python 2.7.12 (default, Jul  1 2016, 15:12:24) 
[GCC 5.4.0 20160609] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>>

otazka, co to udela po restartu.

Nemuzu ted vubec pouzivat apt kvuli rozbitym zavislostem. A pokud bych chtel balicek python odebrat a znova nainstalovat, smaze se mi vetsina systemu - temer vse zavisi na python balicku.

Muzete mi prosim poradit, co s tim?
Ano, mel jsem davat vetsi pozor.

Mint 18 (Ubuntu 16.04).

53
Server / OpenVPN nespoji se - TLS Error: TLS key negotiation failed
« kdy: 22. 10. 2016, 18:34:04 »
Ahoj, mam problem s OpenVPN. Asi pul roku jsem ji nepouzival a ted se nespojim. Nevim, jestli jsem za tu dobu neco nemenil.

Nespojim  se ani z Android klienta, ani z Ubuntu 16.04. Driv ochodily oba.

Config serveru:
Kód: [Vybrat]
mode server
tls-server
port 1194
proto udp
dev tun1
server 10.123.2.0 255.255.255.0
topology subnet
client-to-client
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
log-append /var/log/openvpn_UDP1194
status /var/run/vpn_UDP1194.status 10
user nobody
group nogroup
keepalive 10 120
comp-lzo
verb 5
persist-key
persist-tun
push "route 10.123.1.0 255.255.255.0 10.123.2.1"
push "route 10.123.2.0 255.255.255.0 10.123.2.1"
push "dhcp-option DNS 10.123.2.1"
push "route-gateway 10.123.2.1"
push "redirect-gateway def1"
ifconfig-pool-persist ip_pool_UDP1194.txt
max-clients 5

Config klienta:
Kód: [Vybrat]
client
remote example.net 1194
ca /etc/openvpn/ca.crt
cert /etc/openvpn/martin.crt
key /etc/openvpn/martin.key
comp-lzo yes
dev tun
proto udp
nobind
auth-nocache
persist-key
persist-tun
verb 5


Log ze serveru:
Kód: [Vybrat]
Sat Oct 22 18:05:38 2016 us=683954 MULTI: multi_create_instance called
Sat Oct 22 18:05:38 2016 us=684334 37.188.132.120:61613 Re-using SSL/TLS context
Sat Oct 22 18:05:38 2016 us=684562 37.188.132.120:61613 LZO compression initialized
Sat Oct 22 18:05:38 2016 us=685062 37.188.132.120:61613 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Oct 22 18:05:38 2016 us=685173 37.188.132.120:61613 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Oct 22 18:05:38 2016 us=685355 37.188.132.120:61613 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Oct 22 18:05:38 2016 us=685430 37.188.132.120:61613 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Oct 22 18:05:38 2016 us=685553 37.188.132.120:61613 Local Options hash (VER=V4): '530fdded'
Sat Oct 22 18:05:38 2016 us=685666 37.188.132.120:61613 Expected Remote Options hash (VER=V4): '41690919'
RSat Oct 22 18:05:38 2016 us=685858 37.188.132.120:61613 TLS: Initial packet from [AF_INET]37.188.132.120:61613, sid=6e5f88fc eacadaa1
WWRWRWSat Oct 22 18:05:52 2016 us=246304 37.188.132.120:61607 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Oct 22 18:05:52 2016 us=246487 37.188.132.120:61607 TLS Error: TLS handshake failed
Sat Oct 22 18:05:52 2016 us=246962 37.188.132.120:61607 SIGUSR1[soft,tls-error] received, client-instance restarting
WRWWRWSat Oct 22 18:06:38 2016 us=680194 37.188.132.120:61613 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Oct 22 18:06:38 2016 us=680370 37.188.132.120:61613 TLS Error: TLS handshake failed
Sat Oct 22 18:06:38 2016 us=680801 37.188.132.120:61613 SIGUSR1[soft,tls-error] received, client-instance restarting
Sat Oct 22 18:06:40 2016 us=849236 MULTI: multi_create_instance called
Sat Oct 22 18:06:40 2016 us=849411 37.188.132.120:61616 Re-using SSL/TLS context
Sat Oct 22 18:06:40 2016 us=849504 37.188.132.120:61616 LZO compression initialized
Sat Oct 22 18:06:40 2016 us=849734 37.188.132.120:61616 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Oct 22 18:06:40 2016 us=849809 37.188.132.120:61616 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Oct 22 18:06:40 2016 us=849936 37.188.132.120:61616 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Oct 22 18:06:40 2016 us=849991 37.188.132.120:61616 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Oct 22 18:06:40 2016 us=850070 37.188.132.120:61616 Local Options hash (VER=V4): '530fdded'
Sat Oct 22 18:06:40 2016 us=850139 37.188.132.120:61616 Expected Remote Options hash (VER=V4): '41690919'
RSat Oct 22 18:06:40 2016 us=850262 37.188.132.120:61616 TLS: Initial packet from [AF_INET]37.188.132.120:61616, sid=0d9fa230 6813bc97
WRWWRWWRW^C


Log z klienta:
Kód: [Vybrat]
client # openvpn --config client.conf 
...
Sat Oct 22 18:05:35 2016 us=372594 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Feb  2 2016
Sat Oct 22 18:05:35 2016 us=372624 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Sat Oct 22 18:05:35 2016 us=372803 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Enter Private Key Password: *********
Sat Oct 22 18:05:38 2016 us=215609 LZO compression initialized
Sat Oct 22 18:05:38 2016 us=215803 Control Channel MTU parms [ L:1542 D:1212 EF:38 EB:0 ET:0 EL:3 ]
Sat Oct 22 18:05:38 2016 us=215869 Socket Buffers: R=[212992->212992] S=[212992->212992]
Sat Oct 22 18:05:38 2016 us=672864 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:143 ET:0 EL:3 AF:3/1 ]
Sat Oct 22 18:05:38 2016 us=672980 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Oct 22 18:05:38 2016 us=673012 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Oct 22 18:05:38 2016 us=673080 Local Options hash (VER=V4): '41690919'
Sat Oct 22 18:05:38 2016 us=673128 Expected Remote Options hash (VER=V4): '530fdded'
Sat Oct 22 18:05:38 2016 us=673170 UDPv4 link local: [undef]
Sat Oct 22 18:05:38 2016 us=673206 UDPv4 link remote: [AF_INET]1.2.3.4:1194
WWWWWSat Oct 22 18:06:38 2016 us=342885 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Oct 22 18:06:38 2016 us=342958 TLS Error: TLS handshake failed
Sat Oct 22 18:06:38 2016 us=343195 TCP/UDP: Closing socket
Sat Oct 22 18:06:38 2016 us=343263 SIGUSR1[soft,tls-error] received, process restarting
Sat Oct 22 18:06:38 2016 us=343313 Restart pause, 2 second(s)
Sat Oct 22 18:06:40 2016 us=343439 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Oct 22 18:06:40 2016 us=343503 Re-using SSL/TLS context
Sat Oct 22 18:06:40 2016 us=343534 LZO compression initialized
Sat Oct 22 18:06:40 2016 us=343587 Control Channel MTU parms [ L:1542 D:1212 EF:38 EB:0 ET:0 EL:3 ]
Sat Oct 22 18:06:40 2016 us=343616 Socket Buffers: R=[212992->212992] S=[212992->212992]
Sat Oct 22 18:06:40 2016 us=844549 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:143 ET:0 EL:3 AF:3/1 ]
Sat Oct 22 18:06:40 2016 us=844657 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Oct 22 18:06:40 2016 us=844692 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Oct 22 18:06:40 2016 us=844753 Local Options hash (VER=V4): '41690919'
Sat Oct 22 18:06:40 2016 us=844804 Expected Remote Options hash (VER=V4): '530fdded'
Sat Oct 22 18:06:40 2016 us=844847 UDPv4 link local: [undef]
Sat Oct 22 18:06:40 2016 us=844886 UDPv4 link remote: [AF_INET]1.2.3.4:1194
WWWW^CSat Oct 22 18:07:00 2016 us=52421 event_wait : Interrupted system call (code=4)
Sat Oct 22 18:07:00 2016 us=52709 TCP/UDP: Closing socket
Sat Oct 22 18:07:00 2016 us=52789 SIGINT[hard,] received, process exiting

Cely log z klienta, protoze tady je limit na 20k znaku. http://pastebin.com/MngR0ynw
Napada vas nekoho, co delam spatne? 

54
Sítě / DNAT na jiný port
« kdy: 16. 10. 2016, 17:56:12 »
Ahoj, mam problem napsat DNAT pravidla.
Pokud delam DNAT na stejny port, funguje mi:

Kód: [Vybrat]
iptables -t nat -A PREROUTING -p tcp -i $WAN --dport 51413 -j DNAT --to 10.123.1.11
iptables -A FORWARD -i $WAN -p tcp --dport 51413 -d 10.123.1.11 -j ACCEPT

Nyni ale potrebuji udelat DNAT verejnaIp:1020 -> 10.123.1.12:2030.

Kód: [Vybrat]
iptables -t nat -A PREROUTING -p tcp -i $WAN --dport 1020 -j DNAT --to 10.123.1.12:2030
#iptables -t nat -A PREROUTING -p tcp -i $WAN --dport 1020 -j REDIRECT --to-port 2030
iptables -A FORWARD -i $WAN -p tcp --dport 1020 -j ACCEPT

DNAT ani REDIRECT mi nefunguje. Netusite, co delam spatne?

55
Server / Schválení tiskové úlohy před vytištěním (CUPS)
« kdy: 16. 10. 2016, 00:01:05 »
Ahoj,
potreboval bych nastavit tiskovy server (cups?) nasledujicim zpusobem:

  • K Debianu 8 pripojena USB tiskarna.
  • Tisk z Windows pocitacu (linux pc zatim zadne nejsou).
  • Vice uzivatelu s moznosti tisku.
  • Skupina admin muze tisknout vse.
  • Skupina user muze poslat ulohu k tisku, ale admin ji musi (asi z web admin cupsu) potvrdit a poslat do tiskarny. Do te doby se nevytiskne. Idealne by si admin mohl zobraz i nahled. Ale stacil by pocet stran.
  • Sledovani, ktery uzivatel (nebo alepson ktery pc) vytisknul kolik stranek.

Je mozne toto nejak resit? Hraju si s cupsem uz dost dlouho, ale nepovedlo se mi na to prijit. Zkousel jsem nastavovat tridy, ale nejde mi to pres ne.

Misto uzivatelu bych si umel predstavit omezeni na pc. Nektere IP by mohli tisknout vse a hned, jine IP by vyzadovaly potvrzeni od pc s admin IP.

Pripadne existuje nejaka nadstavba nad cups, nebo neco jineho nez cups, co by umelo me pozadavky?


56
Sítě / Přístup na moji veřejnou IP z vnitřní sítě
« kdy: 05. 10. 2016, 23:17:51 »
Ahoj,
mam server, ktery slouzi zaroven jako router. Server ma verejnou IP a dela NAT pro PC v LAN.
Zaroven na nem bezi par webu, na ktere potrebuji pristupovat z internetu i z LAN.

Kód: [Vybrat]
iptables -t nat -A POSTROUTING -o $WAN -j SNAT --to 1.2.3.4

PC v LAN pouzivaji dnsmasq na serveru. Ten ma pro vsechny domeny na serveru A zaznam:

Kód: [Vybrat]
address=/moje.domena.cz/10.123.1.1
address=/example.net/10.123.1.1

Problem nastane pri pridani domeny. Casto zapomenu pridat do dnsmasq zaznam.
Da se nejak snadno nastavit firewall, aby pozadavky na verejnou IP serveru 1.2.3.4 natoval na lokalni IP serveru 10.123.1.1?
Asi jsem na to sel blbe, ale nefungovalo mi to.

57
Server / Padající dnsmasq v Debianu
« kdy: 03. 09. 2016, 10:59:25 »
Ahoj,
mam problem s padajicim dnsmasq na Debian 8.5 jessie. Dela mi DNS a DHCP pro asi 10 zarizeni v LAN.

Nekdy jede 2 dny v kuse, jindy 3x za den spadne.

Na hlidani pouzivam monit, takze mi vzdy prijde info mail o padu:
Kód: [Vybrat]
# cat /etc/monit/monitrc
check process dnsmasq with pidfile /var/run/dnsmasq.pid
       start program = "/usr/sbin/dnsmasq --conf-dir=/etc/dnsmasq.d"
       stop  program = "/usr/bin/killall dnsmasq"
       if failed
                host 127.0.0.1
                port 53 use type udp
                protocol dns
                with timeout 10 seconds
       then alert

Z monitu pak prijde mail a dnsmasq se znova nahodi:
Kód: [Vybrat]
Connection failed Service dnsmasq

        Date:        Sat, 03 Sep 2016 09:12:24
        Action:      alert
        Host:        localhost
        Description: failed protocol test [DNS] at INET[127.0.0.1:53] via UDP -- DNS: error receiving response -- Resource temporarily unavailable

Your faithful employee,
Monit

Otazka zni, proc se to deje. Zkousel jsem v dnsmasq zapnout co nejvice logovani:
Kód: [Vybrat]
log-dhcp
log-queries
log-facility=/var/log/dnsmasq
ale, v dobe padu jsou jen bezne DNS dotazy:
Kód: [Vybrat]
Sep  3 09:11:31 dnsmasq[19979]: forwarded play.googleapis.com to 8.8.8.8
Sep  3 09:11:31 dnsmasq[19979]: dnssec-query[DS] play.googleapis.com to 8.8.8.8
Sep  3 09:11:31 dnsmasq[19979]: dnssec-query[DS] googleapis.com to 8.8.8.8
Sep  3 09:11:31 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:11:31 dnsmasq[19979]: reply play.googleapis.com is <CNAME>
Sep  3 09:11:31 dnsmasq[19979]: reply googleapis.l.google.com is 216.58.214.202
Sep  3 09:11:31 dnsmasq[19979]: reply googleapis.l.google.com is 216.58.214.234
Sep  3 09:11:31 dnsmasq[19979]: reply googleapis.l.google.com is 216.58.209.170
Sep  3 09:11:32 dnsmasq[19979]: query[A] www.google.cz from 10.123.1.103
Sep  3 09:11:32 dnsmasq[19979]: forwarded www.google.cz to 8.8.8.8
Sep  3 09:11:32 dnsmasq[19979]: dnssec-query[DS] www.google.cz to 8.8.8.8
Sep  3 09:11:32 dnsmasq[19979]: dnssec-query[DS] google.cz to 8.8.8.8
Sep  3 09:11:32 dnsmasq[19979]: dnssec-query[DS] baidu.com to 8.8.8.8
Sep  3 09:11:32 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:11:32 dnsmasq[19979]: reply dxp.baidu.com is <CNAME>
Sep  3 09:11:32 dnsmasq[19979]: reply dxp.e.shifen.com is 202.108.23.24
Sep  3 09:11:32 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:11:32 dnsmasq[19979]: reply www.google.cz is 172.217.18.67
Sep  3 09:11:34 dnsmasq[19979]: query[A] android.googleapis.com from 10.123.1.103
Sep  3 09:11:34 dnsmasq[19979]: forwarded android.googleapis.com to 8.8.8.8
Sep  3 09:11:35 dnsmasq[19979]: dnssec-query[DS] android.googleapis.com to 8.8.8.8
Sep  3 09:11:35 dnsmasq[19979]: dnssec-query[DS] googleapis.com to 8.8.8.8
Sep  3 09:11:35 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:11:35 dnsmasq[19979]: reply android.googleapis.com is <CNAME>
Sep  3 09:11:35 dnsmasq[19979]: reply googleapis.l.google.com is 216.58.209.202
Sep  3 09:11:35 dnsmasq[19979]: reply googleapis.l.google.com is 216.58.214.202
Sep  3 09:11:35 dnsmasq[19979]: reply googleapis.l.google.com is 216.58.214.234
Sep  3 09:11:46 dnsmasq[19979]: query[A] portal.fb.com from 10.123.1.100
Sep  3 09:11:46 dnsmasq[19979]: cached portal.fb.com is <CNAME>
Sep  3 09:11:46 dnsmasq[19979]: forwarded portal.fb.com to 8.8.8.8
Sep  3 09:11:46 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:11:46 dnsmasq[19979]: reply portal.fb.com is <CNAME>
Sep  3 09:11:46 dnsmasq[19979]: reply star.c10r.facebook.com is 31.13.93.3
Sep  3 09:11:49 dnsmasq[19979]: query[A] data.flurry.com from 10.123.1.103
Sep  3 09:11:49 dnsmasq[19979]: cached data.flurry.com is <CNAME>
Sep  3 09:11:49 dnsmasq[19979]: forwarded data.flurry.com to 8.8.8.8
Sep  3 09:11:49 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:11:49 dnsmasq[19979]: reply data.flurry.com is <CNAME>
Sep  3 09:11:49 dnsmasq[19979]: reply flurry.agentportal.prod.g04.yahoodns.net is 74.6.34.30
Sep  3 09:11:52 dnsmasq[19979]: query[A] www.gstatic.com from 10.123.1.103
Sep  3 09:11:52 dnsmasq[19979]: forwarded www.gstatic.com to 8.8.8.8
Sep  3 09:11:52 dnsmasq[19979]: dnssec-query[DS] www.gstatic.com to 8.8.8.8
Sep  3 09:11:52 dnsmasq[19979]: dnssec-query[DS] gstatic.com to 8.8.8.8
Sep  3 09:11:52 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:11:52 dnsmasq[19979]: reply www.gstatic.com is 172.217.16.99
Sep  3 09:12:04 dnsmasq[19979]: query[A] openrcv.baidu.com from 10.123.1.103
Sep  3 09:12:04 dnsmasq[19979]: forwarded openrcv.baidu.com to 8.8.8.8
Sep  3 09:12:04 dnsmasq[19979]: dnssec-query[DS] openrcv.baidu.com to 8.8.8.8
Sep  3 09:12:05 dnsmasq[19979]: dnssec-query[DS] baidu.com to 8.8.8.8
Sep  3 09:12:05 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:12:05 dnsmasq[19979]: reply openrcv.baidu.com is <CNAME>
Sep  3 09:12:05 dnsmasq[19979]: reply openrcv.e.shifen.com is 111.202.114.38
Sep  3 09:12:21 dnsmasq[19979]: query[A] r4---sn-2gb7ln7e.gvt1.com from 10.123.1.103
Sep  3 09:12:21 dnsmasq[19979]: forwarded r4---sn-2gb7ln7e.gvt1.com to 8.8.8.8
Sep  3 09:12:21 dnsmasq[19979]: dnssec-query[DS] r4---sn-2gb7ln7e.gvt1.com to 8.8.8.8
Sep  3 09:12:21 dnsmasq[19979]: dnssec-query[DS] gvt1.com to 8.8.8.8
Sep  3 09:12:21 dnsmasq[19979]: validation result is INSECURE
Sep  3 09:12:21 dnsmasq[19979]: reply r4---sn-2gb7ln7e.gvt1.com is <CNAME>
Sep  3 09:12:21 dnsmasq[19979]: reply r4.sn-2gb7ln7e.gvt1.com is 173.194.10.9
Sep  3 09:12:23 dnsmasq[19979]: query[NS] . from 127.0.0.1
Sep  3 09:12:23 dnsmasq[19979]: forwarded . to 8.8.8.8

Tady jsou me konfiguraky:
Kód: [Vybrat]
#___________________________________________________________
          # cat dnsmasq.conf
no-resolv
no-hosts
port=53
bind-interfaces
pid-file=/var/run/dnsmasq.pid
no-dhcp-interface=
listen-address=0.0.0.0
server=8.8.8.8

domain=lan
local=/lan/
local=/123.10.in-addr.arpa/
expand-hosts
domain-needed
bogus-priv

addn-hosts=/etc/dnsmasq.d/dnsmasq.hosts
conf-file=/etc/dnsmasq.d/dnsmasq.dns_zaznamy

dnssec
dnssec-check-unsigned
trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
# https://blog.nic.cz/2014/05/15/validace-dnssec-pomoci-dnsmasq/


#___________________________________________________________
          # cat /etc/dnsmasq.d/dnsmasq.hosts
#redirect:
#10.123.1.1 server.lan

#___________________________________________________________
          # cat /etc/dnsmasq.d/dnsmasq.dns_zaznamy
#-----------
address=/moje.domena.cz/10.123.1.1

address=/server.lan/10.123.1.1
address=/pc.lan/10.123.1.10
#-----------
cname=*.server,server
cname=*.pc,pc
#-----------

ptr-record=1.1.123.10.in-addr.arpa.,server.lan
ptr-record=10.1.123.10.in-addr.arpa.,pc.lan
#-----------
#___________________________________________________________

Mate nekdo tuseni, co delam spatne? A hlavne jak to spravit. Zkousel jsem googlit, ale asi spatne.

58
Server / Je bezpečné otevřít Sambu do Internetu?
« kdy: 24. 08. 2016, 17:22:49 »
Ahoj,
po asi 2 letech jsem se znovu vratil k tematu, zda je bezpecne otevrit sambu volne do internetu.

V soucasne dobe mam Sambu pouze v lan a pres OpenVPN. Pristup z venku mam reseny pomoci SFTP a FTPes.
Jenze ve Windows je to hodne nepohodlne. Samba se na Windows pres SSH neda tunelovat (musel by byt loopback adpater, slozite, potrebuje admin prava).

Co jsem videl, tak vsichni stale tuneluji sambu pres nejaky typ VPN. Je to stale nutne, nebo jde o zvyk z minulosti?

Na serveru mam Debian Jessie s distribucni sambou 4.2.10.

Otazka zni: pokud budou mit uzivatele kvalitni heslo a pomoci fail2ban omezim pocet pokusu o prihlaseni na treba 3 pokusy za 10 minut - je bezpecne otevrit sambu do internetu?

Pls no flame :-)

59
Software / Bash: info mail o dokončení příkazu
« kdy: 02. 08. 2016, 23:09:01 »
Ahoj,
obcas provadim prikazy, ktere trvaji hodne casu. Radove hodiny, nekdy i vice. Poustim je ve screenu.
Rad bych nejak jednoduse dostal oznameni, ze byl prikaz ukoncen a zda uspesne, nebo neuspesne. Hlavne by melo byt jednoduche pouziti.
Protoze prikazu je vice, potrebuju znat i presny string prikazu vcetne parametru.

Co potrebuju:
Kód: [Vybrat]
ps -aux | grep "rsyslogd" ; necoCoPosleNotifikace

Pokud pouziju !:0 !:*, castecne to funguje:

Kód: [Vybrat]
$ ps -aux | grep "rsyslogd"
syslog    1663  0.0  0.0 255836  1648 ?        Ssl  čec27   0:00 rsyslogd
martin    6232  0.0  0.0  11880   936 pts/4    S+   22:54   0:00 grep --color=auto rsyslogd
$ echo "Prikaz: '!:0 !:*' byl ukoncen: $?"                 # ******************
$ echo "Prikaz: 'ps -aux | grep "rsyslogd"' byl ukoncen: $?"
Prikaz: 'ps -aux | grep rsyslogd' byl ukoncen: 0
$

$ ps -aux | grep "rsyslogd" ; echo "Prikaz: '!:0 !:*' byl ukoncen: $?"
$ ps -aux | grep "rsyslogd" ; echo "Prikaz: 'echo "Prikaz: 'ps -aux | grep "rsyslogd"' byl ukoncen: $?"' byl ukoncen: $?"   # ***************
syslog    1663  0.0  0.0 255836  1648 ?        Ssl  čec27   0:00 rsyslogd
martin    6239  0.0  0.0  11880   936 pts/4    S+   22:55   0:00 grep --color=auto rsyslogd
Prikaz: 'echo Prikaz: ps -aux | grep "rsyslogd" byl ukoncen: 0' byl ukoncen: 0
$

Kdyz zadam prikaz oznaceny hvezdickami a potvrdim enter, tak misto vypisu dostanu predvyplneny prikaz na radku pod nim a musim znova zmacknout enter.

Pokud si zkusim poslat mail, vubec se prikaz nevyhodnoti:

Kód: [Vybrat]
#!/bin/bash
	# /tmp/notify.sh
{
	echo "Prikaz: '!:0 !:*' byl ukoncen: $?"
} | mail -s "PRIKAZ DOKONCEN" mujmail@example.net

Kód: [Vybrat]
ps -aux | grep "rsyslogd" ; /tmp/notify.sh

A v mailu je:
Kód: [Vybrat]
Prikaz: '!:0 !:*' byl ukoncen: 0

Alias se mi nedari vubec zadefinovat:
Kód: [Vybrat]
alias notify="echo \"Prikaz: '!:0 !:*' byl ukoncen: $?\" | mail -s 'PRIKAZ DOKONCEN' mujmail@example.net"

ps -aux | grep "rsyslogd" ; notify

Odesilani idealne na mail, nebo pres curl poslat android push notifikaci. To je jedno.

Znate nekdo reseni?

60
Sítě / Zlepšení LTE signálu - mobil v ohnisku paraboly
« kdy: 11. 07. 2016, 14:49:10 »
Potrebuju se ted par tydnu vyskytovat na miste, kde ma O2 horsi podporu LTE. 3G tam neni vubec.
Mobil mi ukazuje na LTE asi 2-3 carky z 5. Na EDGE 5/5 - plny signal. I kdyz mam v nastaveni mobilu aktivovane preferovat 4G, tak to nepomaha. Telefon se kazdou chvili prepne na EDGE a treba po minute zase zpet na LTE. Nebo staci ujit par kroku pro zmenu 2G/4G.

Napadlo me vrazit mobil do ohniska paraboly a natocit ji na BTS. Podle me by to melo pomoct.
Ptal jsem se O2 guru - necekane zadna pouzitelna odpoved.

Nejdriv jsem chtel pouzit offsetovou parabolu na satelitni tv, mam tu jednu 60cm. Ale co jsem vygooglil, tak je problem s uhlem. Musi byt namirena "do zeme".
https://www.engadget.com/2005/11/15/how-to-build-a-wifi-biquad-dish-antenna/
http://www.skifactz.com/wifi/?p=159

http://img.engadget.com/common/images/3060000000054071.JPG
http://img.engadget.com/common/images/3060000000054085.JPG
http://www.skifactz.com/wifi/wp-content/uploads/2014/12/d500_looking_ahead.jpg

Stale se mi nedari vygooglit levnou stredovou parabolu. Nalezam jenom offsetove 60-85cm na tv.
Myslite, ze by sla pouzit 30cm parabola z NanoBridge? Je mala, takze by se relativne dobre od oka smerovala a snad je stredova.

Otazka zni: Je to blbost, nebo to muze pomoct?
Proto se nejdriv ptam, jestli jsi neco podobneho nezkousel :-)

Kolem roku 2011 jsem pouzival na U:fon CDMA (410-430MHz) doma vyrabenou antenu a HODNE to pomohlo. Modem mel ale vystup na antenu.

Stran: 1 2 3 [4] 5 6 ... 8