Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - Vietnamka

Stran: 1 2 [3] 4 5 6
31
Pokud si přidám do iptables nějaké pravidla  pro skupin IP adres,pak mi iptables -vL vrátí logicky jeden řádek týkající se té  sady.
Je možné  nějakým způsobem zjistit statistiky (to co je v první a druhém sloupci příkazu výše - počet matchnutých bajtů a paketů) pro každou IP nebo záznam (což je rozdíl) zvlášť , podobně  jako kdyby to byla série pravidel iptables s --source /--dest nějakým způsobem?

Něco jako cat /proc/net/xt_recent/identifikator

tedy něco takového
Kód: [Vybrat]
z
  134  7288 DROP       all  --  *      *       000000000/24       0.0.0.0/0      set: MATCH-SET ssh-grupa      /* ssh--množina */
na:
    1    40 DROP       all  --  *      *       176.111.173.0/24     0.0.0.0/0            /* ssh--l3 */
    0     0 DROP       all  --  *      *       94.20.154.0/24       0.0.0.0/0            /* ssh--l3 */
   40  2400 DROP       all  --  *      *       195.226.194.0/24     0.0.0.0/0            /* ssh--l3 */
   93  3848 DROP       all  --  *      *       62.233.50.0/24       0.0.0.0/0            /* ssh--l3 */
Pochopitelně to nemusí být v tomhle formátu

třeba ten xt_recent má
src=128.199.138.0 ttl: 52  last_seen: 4340684258 oldest_pkt: 25 4340450426,...
src=138.199.134.0 ttl: 126 last_seen: 4340684218 oldest_pkt: 25 4340450426,...


PS: man 8 ipset nemám

32
Sítě / Pakety tečou neNATované do veřejného rozhraní
« kdy: 28. 03. 2023, 21:17:21 »
Zjistil jsem, že mi z nějakého důvodu na WAN rozhraní odchází  pakety, které neprojdou NATováním. tj odejdou 192.168.0.N -> domena.com . Ty paket jsou bezezměny forwardované z interní sítě (Jde o odpověď na SYN pakety přicházejícího z jiného rozhraní) Když už je packet filter nenasměruje do rozhraní odkud přišlo spojení, tak nechápu proč  jim není změněna src adresa pravidlem MASQUERADE

Mám podezření na pravidlo zvýrazněné tučně:


FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 192.168.1.0/24 -i wan -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[FORWARD -s 192.168.1.0/24 -i eth0 -o wan -j ACCEPT




Jsou v pořadí odshora dolů první. Nemělo by mít více parametrů --ctstate  který by omezily ACCEPT?

Přitom jde o (v případě policy forward drop) esenciální pravidlo, aby interní síť vůbec mohla iniciovat spojení do internetu.

Pomohlo by pravidlo  -tnat  POSTROUTING -i eth0 -o wan -s 192.168.1:6 -j REJECT ... Jenže REJECT nejde na -tnat

Ale klíčové je odhalit příčinu, proč paket odejde ne-z-MASQUERADEován?


přestože v iptables mám:
*nat
-A POSTROUTING -s 192.168.0.0/24 -o wan -j MASQUERADE



(ip rule s příbuzného dotazu jsem promazal a je ve výchozím stavu )

ip route:
default via 192.168.0.222 dev wlan0
10.0.0.2 dev tun8 proto kernel scope link src 10.0.0.1
192.168.0.222 dev wlan0 scope link
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100


33
Zdravec, jak by se  na routeru vnitřní sítě správně řešil  routing  , aby  odchozí pakety nechodily na hlavní rozhraní do internetu ale, přes TUN?  Příchozí spojení pěkně dorazí do zařízení, ale odchozí má tendenci odcházet  špatným rozhraním.
Stručně: je to dím, že nemám v iptables žádné pravidlo FW/CONN/MARK nebo prohibit nebo supressprefix_length?
Obousměrně funkční spojení je funkční pouze  na ip adresu routeru (10.0.0.1) na rozhraní tun. Není funkční na ip rozsah vnitření sítě(ani routeru 192.168.0.222)
Potřebuji zachovat IP adresy remote hostů(takže nejde použít kombo  PREROUTING DNAT 80->192.168.1.9:8080 +  POSTROUTING SNAT  --to-source 10.0.0.2, takže router na vnitřní síti uvidí traffic z vpn rozsahu)
(Rozvedu, toto byl jen stručný úvod)

Na domácím routeru je TUN obsluhované ssh -w 1:2 Vzdálený bod je VPS (IP 1.2.3.4), kde jsou forwardované porty ( iptables -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.9:8080
)

/etc/iproute2/rt_tables : mám "10 vpn"
ip rule: 32765:  from 10.0.0.0/24 lookup vpn

ip route show table vpn
default via 10.0.0.2 dev tun8 (ip samotná je 10.0.0.1)
192.168.1.0/24 via 192.168.1.222 dev eth0

ip link:eth0  =lokální síť, tun =tunel, wan= rozhraní do internetu

Pozorování: Pakety  dovnitř krásně dojdou  (5.4.3.2 je nějaká remote host)

5.4.3.2:54321 -> 1.2.3.4:80 (in: vps-eth0)
5.4.3.2:54321 -> 192.168.1.9:8080 (vps forward out: tun-x, pravidlo -j DNAT)
----
tunel
----
5.4.3.2:54321 -> 192.168.1.9:8080 (router forward in: tun-y)
paket do zařízení v lokální síti
zařízení odpoví  192.168.1.9:8080 -> 5.4.3.2:54321
192.168.1.9:8080 -> 5.4.3.2:54321 (router forward in eth0)
192.168.1.9:8080 -> 5.4.3.2:54321 (router out : wan) - neaplikuje se ani  ip rule from 10.0.0.0/24

Jak routeru říct že tento paket má jít do tun-x a ne do wan  Logicky tam musí být nějaký conntrack, a poznamenat  si že flow z port 54321 přišel z  tun a ne z WAN. Samotné zařízení v síti pak nemá ponětí, že pakety pochazí z WAN

Nebo druhé řešení nějaký prapodivný nat že bych (na VPS) místo -jDNAT 192.168.1.6 dával  -j DNAT 10.99.0.6 a v routeru by se to pak muselo podruhé z natovat pravidlem  10.99.0.Q na  192.168.1.Q?


Co vychází lepe, ten extra-nat nebo nějaký MARK?



(Chci to právě zprovznit na holém tun, tedy ne wireguard).   -jMARK jsem nikdy nepoužíval...
četl jsem toto Policy-based routing v Linuxu: směrování provozu pod kontrolou



---ta funkce " Mezitím vypršelo sezení. Odešlete příspěvek znovu. Tento formulář jste již odeslali je  kvzteku. Už se to stalo zase stalo."  Reload zobrazí samou stránku bez dialogu prohlížeče odeslání POST Dat jelikož je přesměrován na  GET. Tlačítko zpět ho sice zobrazí ale zobrazí se pak čištá formulář

34
Řeším takový záludnější problém se ssh -R který jsem nenašel v man-u ( / -B(ind interface) -b(ind adress),
a sice jak určit ssh klientovy jakou IP použít pro připojení se na cíl tunelu (ne z jaké IP se připojit na sshd démona server, což podle mě dělá -b/-B)

Používám  úspěšně ssh -R  "*:443:192.168.1.20:443", ale chci změnit adresu , z jaké se ssh klient připojuje na   ten
 výstupní endpoint tunelu . 192.168.1.20:443.
pc s ssh klientem má více rozhraní (prvním se připojuje na internet a druhé je LAN) a více ip adres (kromě obvious každé adresy na každém rozhraní  myslím víc ip adres na LAN a tam právě chci provést selekci.).



Přepdpokládám, že zdvojené použití parametru -b nebude fungovat (jako třeba u ffmpeg, kde opakované volby patří ke každému inpu file):

(za předpokladu, že by ssh takto hypoteticky posuzovalo argumenty -b a že ip ssh klienta je 192.168.1.3 na lan a 41.23.22.11 na WAN):
ssh -b 192.168.1.88 -R  "*:443:192.168.1.20:443 -b 41.23.22.11 sshd.com   
(kde 41.23..22.11 je vlastně navíc, jelikož by se mělo vázat na rozhraní do netu a to já měnit nechci - to je stejně jedno)
ale chci změnit  ip adresu ze kterého ssh klient se připojuje na konec tunelu, místo z 192.168.1.3 na 192.168.1.88)

35
Server / Existuje rekurzivní DNS přes šifrovaný kanál?
« kdy: 26. 01. 2023, 11:58:55 »
Je možné  provádět rekurzivní DNS resolvování přes šifrované DNS (over HTTP, TLS)? 
Pokud ano, je v tom nějaký zádrhel a dává to smysl? Představoval jsem si něco jako, že u root serverů změním port na 853 nebo 443...

Pokud ne, kde je problém, v jakém článku řetězu to nepůjde?

36
/dev/null / význam domény sn.pujcka.****.cz
« kdy: 11. 11. 2022, 16:31:09 »
Proč se načítá obrázek /m.png?1475891721 z domény banky https://sn.pujcka.***banka.cz  ,když ve skutečnosti DNS záznam ukazuje na doménu  eq-sp-prod.activate.cz ???
Není v tom nějaká " n e k a l o S T " ?

37
Mám BT klávesnici a pozoruju,že než dojde k spojení (což definuju jako okamžik odkdy právě stisknuté písmeno se ihned objeví v textareře), si klávesnice pamatuje předchozí* stisknutá písmena, která pak náhle naráz se vloží do textarey.

Mám ji připojenou k androidu(spárovanou) a pro spojení není třeba nic udělat kromě zapnutí bluetooth na telefon nebo zapnutí zapínacího přepínače na klávesnice. Je to apple exerience i když žádný gadget od firmy Apple si nekoupil a nekoupím.


*Nezkoumal jsem to nějak podrobně, ale myslím, že to je 10 znaků. Tím myslím jako pořadí zapnutí jakého zařízení (klávesnice, zařízení), doba prodlevy nebo i jiné zařízení.
Zajímalo by mě, jestli takovéhle bufferování probíhá.

A je přenos kláves přes klávesnicový bluetooth protokol něco jako UDP nebo TCP? a je stavový? Posílají se taky třeba taky údaje o času stisku klávesy (nebo intervaly mezi nimi)?
A posílají se taky flagy o tom, že jde o nabufferovaný znak nebo ne a příjmač to nemá šanci zjistit?

Kolik bajtů se přenese na jedno písmeno z bt Klávesnice? Vždyť ethernetový rámec má taky min 64b(nevím jestli vč preambule), ip taky, u WLAN asi taky. BT protokol má taky několik vrstev abylo by ajímavé vědět, kolik bajtů v jakých vrstvá je potřeba na jeden ASCII znak (něco jako wear leavel nebo amplification ration)


Pokud k bufferingu duchází, je omezen časem(třeba 4s), počtem kláves(třeba 10) nebo obojím (a Minimem nebo maximem z obojího)?

38
Distribuce / Linux Wayland na ARMu (v8,v7)
« kdy: 27. 10. 2022, 21:01:26 »
Měl bych dotaz k distribucím. Zaprvé existuje linuxová  velká (nic upečeného na míu) distribuce na udělaná prostě pro ARM? Narážím nato,že pro jednodeskové počítače se upravuje distribuce na míru a taky tyhle kompíky se vyznačujou  zvláštním bootloderovacím procesem (něco jako boot ini na nějaké skrytém dev/mmcblkXp1 .) a ještě jakýmisi dtbo soubor, čemuž moc nerozumím a ani nechci, je to podle mě nějaká obdoba ACPI či definice hardwaru který počítač má. Je tov různých formách dtbx.

A konkrétně, existuje funkční wayland pro armové počítače architektur armv7l a arm8 ? Když už tak univerzálně dle gpu nebo jen pro vybrané (konkrétně MALI-T6xx)?

39
Kde se jinde používá syntaxe host:/cesta jinde než v rsync a mount nfs?

Konkrétně mě zajímá: networking-at-ludicrous-speed-blasting-through-the-10000mbps-network-speed-limit-with-the-odroid-h2 a vyhledání mkdri
 zajímá mě tento box  s kodemJe to chyba? Rozumím, že v mount to jde použít (xxx:/něco)
Předpokládám že správně místo mkdir h2a:/mnt je mkdir /mnt
Kód: [Vybrat]
Create the mount points:
~$ sudo mkdri h2a:/mnt/nfs/h2a/ssd
~$ sudo mkdri h2a:/mnt/nfs/h2a/hdb           <----- TOTO
# Mount the SSD remote volume from the H2 over the 1 GbE network:
~$ sudo mount h2a:/mnt/ssd/nfs /mnt/nfs/h2a/ssd
# Measure the time it takes to copy a file:
~$ time cp /home/domih/Downloads/CentOS-7-x86_64-DVD-1804.iso /mnt/nfs/h2a/ssd
# Mount the hard disk remote volume from the H2 over the 1 GbE network:
~$ sudo mount h2a:/mnt/hdb/nfs /mnt/nfs/h2a/hdb
# Measure the time it takes to copy a file:
~$ time cp /home/domih/Downloads/CentOS-7-x86_64-DVD-1804.iso /mnt/nfs/h2a/hdb
# Unmount the volumes:
sudo umount /mnt/nfs/h2a/ssd
sudo umount /mnt/nfs/h2a/hdb
# Mount again but this time over NFS RDMA
sudo mount -o rdma,port=20049 h2a.ib:/mnt/ssd/nfs /mnt/nfs/h2a/ssd
# Measure the file copy again.
sudo mount -o rdma,port=20049 h2a.ib:/mnt/hdb/nfs /mnt/nfs/h2a/hdb
# Measure the file copy again.

40
Desktop / Výběr vyzrálého desktopového prostředí
« kdy: 24. 10. 2022, 00:47:37 »
Které  desktopové linuxové prostředí doporučíte? Mělo by být vyzrálé, aby tam nechyběly programy pro základní činnosti, aby programy se držely podobných UI konceptů aby to nebyl každý program jiná ves. Pokud možno víc funkcí než ne/ořezeaná tupé XFCE (ta jednduchost má něco o sebe, ale už mě nebaví, kromě toho z toho číší spíš nedodělanost, jako kdyby UI designér odešel v půlce práce).

Mám takový skromný dotaz, jak sakra vložím obrázek ze schránky ? Obrázek mám ve schránce a chci ho do souboru. prostředí mate je panoptikum  náhodných programů s názvy jako čaja, šotvel, celulitioid ,EyeOF MATE.. Jako kdyby jedny programy navrhoval asiat, jinou skupinu rus (sony alpha a7 první řady).  Ale nikde jsem v nenašel program, který umí vložit obrázek ze schránky. zkoušel jsem shotwell, nástroj pro screenshoty.

41
Desktop / Grafické artefakty v prohlížeči Chrome
« kdy: 24. 10. 2022, 00:36:34 »
Objevujou se mi na kompu grafický glyče, čím by to mohlo být? dmesg nic nehlásí. browser je chrome, a dělají o jen některé stránky.

Vždy de o pruh přes celou šířku, ale o pevné výšce, celé to scrolluje. Občas se to odhalí na správný obsah co má být když zkusím přejet myší, označí text atd, ale asi na padesátý pokus.

Prosakují tam i  prvky jiných webových tabú. Občaas pomůže resize okna.

Zrovna to problémový místo se drží místo jak ho*n* košile prostě jako kdyby se to drželo konkrétních html elementů.

Jinde v os - žádný problém.Většina tabů - žádný problém. Může jít ale o seskupení tabů to jednoho procesu. Zkoušel jsem kilnout grafickýho posluhovače chromu.

42
Software / SQL deobfuscátor
« kdy: 23. 10. 2022, 23:44:31 »
Existuj SQL deobfuscátor?

Kód: [Vybrat]
13+  AND (SELECT 5808 FROM(SELECT COUNT(*),CONCAT(0x54736d46,(SELECT MID(IFNULL(CAST(COLUMN_NAME AS NCHAR),0x20),1,55) FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA=0x7679706164656b AND TABLE_NAME=0x6a6f735f62616e6e6572636c69656e74 AND COLUMN_NAME LIKE (0x25656d61696c25) AND COLUMN_NAME NOT LIKE (0x256c61737425) AND COLUMN_NAME NOT LIKE (0x256461746525) AND COLUMN_NAME NOT LIKE (0x2574696d6525) AND COLUMN_NAME NOT LIKE (0x2573746174757325) AND COLUMN_NAME NOT LIKE (0x25737562736372697074696f6e25) LIMIT 1),0x4e49746c,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)
Aspoň 0x jsem přes perl nahradil...

Kód: [Vybrat]
["TsmF", " ", "vypadek", "jos_bannerclient", "%email%", "%last%", "%date%", "%time%", "%status%", "%subscription%", "NItl"]

43
Software / Organizace souborů ve /var/log/journal
« kdy: 21. 10. 2022, 15:48:22 »
Mám komplexnější dotaz ohledně dřívějších záznamů(z předešlých bootuů) na záznamy dmesg a journactl.
1. Jak dlouho se uchovávají v /var/log/journal?
2. jaký je význam  bezprostředního adresáře journal/RANDOM_HEX (je tam jen jeden).
Dál už uvažuji jen v tomto adresáři. Je  tam dost souborů  8MBa 16MB.
Začínají system@ a user-1000@ ,, z toho jsem pochopil, že první je ekvival. dmesg nebo journalctl -k.
Ale část za @ se liší:
0005ea7587e9a2a4-1944b2e2936e8ca4.journal~
0037673c0a164c35b1e16ea38b972896-00000000000015ab-0005b8c92f88f975.journal
user-1000.journal (bez @) a system.journal
Nejsou tam žádné symlinky.

Co znamená poslední znak ~ ?
Jaká je jejich časová soushlednost (bohužel systému nejdou hodinyRTC, takže data neodpovídají). Ale třeba hodinu po bootu se ručně nastaví čas na správný.

Existuje nějaká možnost jak vypsat detaily každého souboru, odkdy dokdy tam jsou záznamy?
Je možnost hledat v všech souborech naráz v určitém rozpětí dat


jaký je význam  v *.journal bez ~  koncové části 3dfa972ac65e4018acd9d6882978be07-000000000000046f-0005dd290e402ffa,
ea22e21698d54068b5e06cfee961cfcc-0000000000001002-0005df9cda5849b7 ?
Vypadá to jako když 1.část je random, druhá nějaká nízká série a třetí  (skoro !)odpovídá
souborů s tildou ~ user-1000@0005dd290e312b68-ac708be4d17ce1bc.journal~

44
Distribuce / V Debianu nefunguje taskset time příkaz
« kdy: 20. 10. 2022, 19:41:23 »
Z jakého důvodu v debianu nejde příkaz
Kód: [Vybrat]
taskset -c 0 time grep -r bla..._.+ dir
Hlásí to taskset: failed to execute time :Adresář/složka neexistuje

Na Ubuntu to jde.

Do toho mám druhý dotaz, proč vrací forma tasket time příkaz patičku kde chybí nové řádky a tabulátory? Narážím na tu ztrátu formátování mezer, řádků oproti běžnému příkazu time whoami, který je na 3 řádku úhledně a tabulátory zajíštují i sloupcový vzhled..

Kód: [Vybrat]
Výstup        z
  programu ještě s zachovanými
   mezery       a tabulátory.
KONEC PROGRAMU10.21user 0.00system 0:4.21elapsed 99%CPU


Mimochodem: přehození time na začátek taky jde na obou platformách. Ale setkal jsem se další zvláštností, že nějak výsledky real/user/sys byly nekonzistentní v tom smyslu, že občas byl user čas skoro nulový, když normálně se téměř rovná času real. Bohužel nemohu zreprodukovat.

To by se vysvětlilo čím? Tipoval bych něco směrem, že úloha se přesunula na jiný cpu...což je věc náhody a možná aktuálního zátěže systému.

45
Když mám vypnutý mobil, tak jednorázové SMS mi nepřijdou ani později (ani ty co by se vešly do časového limitu x minut pro zadání do bankovnictví v době zaputí telefonu). Čím to je? Je to na straně telefonu, operátora nebo autora SMS? Je to nějaký flag, který určuje, že SMS


A jak technicky příjem SMS probíhá? Něco na způsob TCP, že telefon povrdí příjem?. Posílá rovnou BTS text zprávy nebo nejdřív navazuje spojení?

Stran: 1 2 [3] 4 5 6