Příspěvky

46

Windows a jiné systémy / Mobilní Firefox neukazuje obraz na iVysilání

« kdy: 15. 06. 2023, 14:43:44 »

Zdravím, asi před cca 2 týdny mi přestal jít obraz na ivysílání/ceskatelevize.cz v prohlížeči Fennec pro Android. Ukáže se jenom černá plocha, zvuk jde. Nejde to tedy ani ani nijak na stránce ovládat, musí být štěstí, že stránka iniciuje přehrávání(třeba při kliknutí na "Část pořadu") NEukáže se ani nějaká animace, že se něco načítá, prostě jako kdyby element VIDEO měl height 0

Další VELMI  důležité poznámky:
-Nejde to ani na druhém telefonu se stejným browserem.
-V mobilním chrome to jde.
-Nepomohly  a/b test parametrů: běžný/anonymní režim, nastavení Autoplay(Allow/Block), Checkbox "Zobrazení pro desktopové prohlížeče"
-Nepomohlo ani vyřazen všech  doplňků .
Browser ani android jsem neupdatoval, tudíž na mém zařízení se nic nezměnilo
-Předtím to šlo v pohodě.
-Zkusil jsem v browseru "smazat cache  a cookie"
-Zkusil jsem měnit user agenta.(je potřeba být trpělivý až se to projevý)
- V stahovacím menu androidu vidím "aktivní přehrávání", mohu dát (un)pause
-Naprostov klíčová věc: živé vysílání jde i s obrazem. Stejně tak jdou videa na článcích zpravodajství české televize: pohledem jde o stejný přehrávač. Tak proč kurňa u pořadů ne.

Podle mě dost důležité memento je, že zvuk jde. Pokud vím, jednotlivé streamy mají prikládaný zvuk+video. Ano to nevidím na síťovou chybu.

Provedla česká televize za poslední měsíc překodování (nebo dřív ateď překlopila) do AV1 třeba?


Průser je, že nelze ani seeknout, video by se dalo oželet , je přeci válka, tak se uskrovním, Mohu to je v chrome, ale tenhle browser tam mám z nouze, které v mobilním FF nejdou (sem tam problém s viewportem, ovládáním prvků, polofunkční videokonference asi 8 druhů problémů, náhodné pády, chybějící ovládací prvky na pár webech "mimo obrazovku"), jinak je můj primární browser

Bohužel na mobilnim firefoxu nemám žádné diagnostickén nástroje. Z logcat jsem taky nic nevyčetl.(Jednak je to chrlí přehl šel dat při stisku klávesy na BT(nedělám si srandu, nějaké IND_WAKE), klávesnici, přepnutí oken,sjetí lišty...)) za druhé mi nic ani nepadlo do oka,

Pokud najdu nějakou chybu v logcat, dám vědět.

47

Sítě / Dva řádky v conntracku pro jeden flow

« kdy: 14. 06. 2023, 21:04:24 »

Mám VPN na VPS tvořící mi spojení do domácí sítě a některé porty mám forwardované. Use case je například, připojit se na nějaký monitoring , například https://VPS_IP:66443. ( takže DNAT je i DPAT 66443 -> 443 ; oh wait maximum čísla portu je 65535 ale už se mi to nechce přepisovat  )

A samozřejmě mohu se připojit i když se nacházím v domácí síti, jelikož se připojuji na veřejnou IP adresu, tak provoz jde na adresu vps, a tunelem zpět, kde to router forwardne na určené zařízení. (Takhle mi to nevadí, vedle toho samozřejmě ještě mám bookmark https://TARGET:443 - zjednodušeně)

Mě zajímá, jestli je v pořádku, že v conntrack -L se vynoří dva záznamy. Logicky se nabízí je spojit si je podle společného prvku, což je port.
1. otázka je ,zda conntrack sám ví, že tyto 2 nějak patří spolu
2. existuje nějaká nadstavba conntracku, která "na tohle přijde" a umí seskupit tyto záznamy?


A nebo principiálně tam 2 záznamy musí být ? Prostě že to spojení tam automaticky není? Ani podle stejného čísla portu 52590 se to nedá ztotožnit? (Ano, vím pro soketový pár číslo portu není jednoznačný identifikátor)

zde je výpis conntrack -L | grep 52590 (což je číslo společné portu ) z mašiny, která je brána do internetu.  (každý řádek jsem jenom rozdělil na 3 kvůli přehlednosti.)
)


tcp      6 427773 ESTABLISHED 
#záznam pro odchozí spojení,
#zároveň přeložené z LAN do WAN
#SNAT(MASQ --to WAN_IP)
src=192.168.1.ZDROJ dst=VPS_IP sport=39149 dport=443
src=VPS_IP dst=WAN_IP sport=443 dport=52590 [ASSURED] mark=0 use=1

tcp      6 427773 ESTABLISHED #
#záznam pro příchozí spojení z tunelu
#není překládáno, správný routing je přes mark
src=EXT_IP dst=192.168.2.TARGET sport=52590 dport=66443
src=192.168.2.TARGET dst=EXT_IP sport=66443 dport=52590 [ASSURED] mark=9911 use=1
 

význam proměnných:
WAN_IP... je adresa routeru na rozhraní do internetu, která je následně  ještě jednou (kdoví jestli jen)přeložena na EXT_IP( což je "internetová adresa zdroje" v terminologii nebo veřejná adresa, která ale není veřejná,jinak bych nepotřeboval tunel)
VPS_IP ...veřejná VPS (druhý konec tunelu)
192.168. adresy zařízení ve vnitřní síti (je jich víc)

48

Software / Aplikační firewall hlídající kaskádu parent PID

« kdy: 12. 06. 2023, 23:41:15 »

Existuje (aplikační)firewall  pro Linux a Pro Windows, který by uměl násladující funkci? Potažmo mají firewally tuto funkci běžně?

Když v pravidlu je konkrétní aplikace( cesta,hash,... to je jedno), analyzují i sérii Parent PID , kterou aplikaci spustily, a obráceně  aplikují dané kopii pravidel i na aplikace spuštěné danou aplikací? (jsou to 2 případy - dopředně i zpětně)

Cil: znemožnění malwaru obejit omezení firewallu tím, že si spustí komunikační podproces

Modelové příklady:
1. (aplikace pravidel PPID na potomky) i když potomek je whitelistovaný) Mám aplikaci wget.exe, kterou mám whitelistovanou (že se může připojovat kamkoli).  Pokud ale stáhnu a spustím malware (hmm, zamyslel jsem se, kdy naposled .....), který by si něco chtěl stáhnout nepo curl -XPOSTnout, bude chytrý a nebude iniciovat spojení na vlastní triko, ale třeba spustí wget.exe přes %PATH%.. Tady by firewall měl ohlídat, že stejná pravidla se použijí pro wget.exe, jelikož nyní je v roli podprocesu (ačkoli technicky  vždy je každý proces protomek nějakého procesu, holt se to nějak musí rozlišit, nebo explorer.exe,cmd budou whitelistované)

2.
Mám nějakou aplikaci, do které si mohu stáhnout pluginy. nebo aplikace umožňuje skriptování a může dojít třeba rozšířením nebo updatem, "že zvlčí".(neže byse pozměnil hash samotné binárky, ale vir se stáhnul do pluginů.  že díky malware pluginu spustí child process. A teď aby se na child procesy aplikovaly pravidla jako pro neznámé  procesy , i kdyby  třeba  ho uložila pod jménem .byl wget.exe . (Opravdu jde o jiný příklad enež 1, je nutno vzít i v úvahu něco jako POLICY pro aplikace, co nejsou v seznamu.)


JDe to specifikovat i s nějakými nastaveními a flagy, jako kolik úrovní hledat zpět, případě přerušit lookup, pokud se narazí známý PPID, případně vynutit pravidlo, pokud jeden z PPID bude neznámý...?

Navíc nějak je potřeba spravovat priority pravidel.

3. uplně mimo, je možné nějak ve windows a v linuxu zakázat aplikacím (všem nebo vybraným) spouštět podprocesy / nebo (obráceně) určit jména aplikací, které nemohou být (v roli child process) spouštěný nadřazeným procesem ? Něco jako firewall na "fork?" (Jasně, dost by to nabouralo základní smysl a funkci OS), ale jak jinak zakázat :
 - neznámým aplikacím spouštět podprocesy
 - vybraným procesům jako wget,ssh,telnet zakázat aby byly spouštěny neznámými procesy
?


5 Nějak trackovat, soubory vytvořené aplikací, aby dědily pravidla dle aplikace, která je vytvořil (zapsala nadisk)?


---
v příáḱladech mám na mysli aplikační firewall, ten co běží na tom počítači, co má chránit, takové ty zone alarmy, symantecy atd.

49

Hardware / Re:Tip na disk M.2 a externí box pro RPi

« kdy: 12. 06. 2023, 22:51:23 »

Topení je věc power managementu a nastavení. Nevím jak na linuxu, (by mě to zajíimalo), al na windows hodně měl vliv něco jko Agfresita uspávání linky PCIE. Nízká Střední Maximální. Pouze na maximální měl disk hodně nižsí teplotu, jjnak topil

Pak je tam ještě přímo nějaká volba HIPM, DIPM, sleep atd, to myslim že vliv nemělo


Já bych bral Verzi s USB 3.1 (10Gbps se hodí), pro RPI overkill. redukce na USB-A) USB-C stojí stovku, ale je vzácná(opačný směr), co vím, měli ji jen v CZC


Ve finále RPI stejně nepozná rozdíl ... 300MBps

Zlaté RPI4 ... na 3 jsou rychlosti o řád níž

50

Windows a jiné systémy / Re:Kurví Windows připojení k adb přes USB nebo je špatný drajvr

« kdy: 11. 06. 2023, 17:24:54 »

Bohužel, jak jsem zjistil, ve správci zařízení na druhou položku "zařízení MTP usb! Nemohu dát odebrat/odinstalovat.


....

A mezitím mi svchost.exe nakynul na 700MB / 1500 Ram (Priv/WS)

51

Windows a jiné systémy / Kazí Windows připojení k adb přes USB?

« kdy: 11. 06. 2023, 17:16:14 »

Nejde mi na první pokus se připojit nástrojem adb k android telefonu, který připojím k USB. Chová se to pěti různými způsoby. někdy ('Asi na padesátý pokus se to povedede, po té co windows po 4minutách "skončí" s" hledání driverů"

ale musím asi ve správný okamžik spustit v cmd adb shell.
Jinak to píše:
no devices/emulators found
error: closed
still authorizing
device offline

Ve správci vidím Složené zařízení usb
-NEXUS Adb interface
-složené zařízení USB

Poradíte, jak z tohoto průšvihu s nekonečnou instalací "driveru" a nemožností se připojit kadb ?

Někde se mi povede napsat 2 písmena do promptu shell@bacon :$

Někdy mi Window udělá Kombo 3 zvuků: Odpojeno+Připojeno+Potíže při vysouvání MTP USB a dvou grafických prvků( chyba s vykřičníkem(to vysouvání) a popu vysunuto(animované

Když se mi to konečně podaří po 20 minutách "spojit" zjistím, že jsem nedal adb root předtím a můžu to celé opakovat, protože příkaz adb root ; adb shell něco "resetne"

52

Distribuce / Ve správci aktivit Androidu se vynořují kostlivci

« kdy: 08. 06. 2023, 09:30:12 »

Mám na Androidu 11 takový ten defaultní správce-přepínač aktivit(scrollování do stran, ukon'ení nahoru). Snažím se tam kvůli tomuto debilní designu znemožnující orientaci při víc jak 4 kartách opuštěné karty umazávat(nahoru). Ne kvuli obavám o zaplnění paměti. Kéž by třeba přepínač úloh ukázal na tom FullHD+*²  třeba 4 aktivity na ráz, vážně nepotřebuju miniatury velké 5x9cm abych poznal co zač za appku to je. Zlatý alt+tab©windoes. (Doporučíte nějaký povedený? Klidně jednoduchý, bez konfigurace, ale dělaný pro přehlednost)

K věci:

Ale občas pozoruji, že se mi do listu zničehonnic přidají záznamy o kterých netuším kde se vzaly.(dříve čtené pdf soubory, aplikaci, kterou jsem nikdy nespustil)

Kde se tyhle potěmkinovské aktivity berou?

53

Sítě / Re:Port forwarding bez DNAT

« kdy: 08. 06. 2023, 09:21:31 »

Aha, koukám , že název topicu byl přejmenován. Mělo tam být (navíc?) -jDNAT vs ip rule add dport pro zvýraznění že chci srovnat 2 metody jak přesměrovat traffic na cílové místo. Taky v druhym odstavci bylo "port forwarding" v" uvozovkách"


Šlo mi o pouhé forwardování paketů. Berte to tak , že dosavadní(první-DNAT)je způsob, jak dostat pakety na cílové místo a tento způsob holt přepisuje cílovou IP a možná port.

( psal jsem , že port je volitelné, je to jen speciální případ, kdy port v --to se rovná portu -dport )

54

Sítě / Re:Port forwarding bez DNAT

« kdy: 07. 06. 2023, 17:34:15 »

Pro upřesnění. Není použit  SNAT (server na konci tunelu vidí skutečné IP adresy klientů). Ale v dotazu  se naťukává  druhá IP adresa (serveru nebo tunelu). S DNATem je přepsáno na 10.1.8.x  (ip na rozhraní vpn), což by s pouhym routingem být nemohlo a adresa serveru by byla rovněž globální ipv4. o té server(myšleno OS toho pc,resp. Jeho ip stack) aptiory nemá tušo(až info vyšších vrstev jako $SERVER[local.addr)]

55

/dev/null / Re:Jak se díváte na omezení používání rodných čísel?

« kdy: 07. 06. 2023, 13:22:23 »

Asi mi něco uniká, ale co se omezuje? Nebo ruší? Nebo se utajují? Omezuje se  okruh použití nebo práva,kdo je může zpracovávat?

56

Sítě / Port forwarding bez DNAT

« kdy: 07. 06. 2023, 13:16:30 »

Klasicky si forwarduji porty z VPS přes iptables -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.8.1:80 , kde 10.1.0,0/16 je nějaký tunel, který nás v tuto chvíli nezajímá.

V dotazu mě zajímá, řešení na straně VPS. A to využívá conntrack a vlastně to modifikuje TCP segmenty - (přepisuje to volitelně-port a) mění to i cílovou adresu  IP, že?  Už asi víte kam mířím.

Je možná docílit i "port forwardingu" jiným způsobem, a to přes ip rule add dport 80 table pomocna; ip route add ??.??.??.?? via vpn Tím by totiž mohly chodit pakety bez nutnosti perestrojky (volitelně-portu a) dst IP. (A asi by bylo nutné udělat rovnák na dalších pár věcí na druhé straně tunelu...

Ono udělat port forwarding přes i ten pitomý DNAT --to chce alchymii s mangle-PREROUTING restore-mark a fwmark)

Jde to takhle? Jsou v tom nějaké praktické výhody? Jsou tam nějaká úskalí  vůbec stojí za to  ta složitější konfigurace(jelikož chodí defakto cizí dst IP, asi by se musel obměkčit rp-filter, "klonovat" ip adresa VPS) - to znamená, ža na druhém konci tunelu by musel soket poslouchat  na této IP vps nebo v nějakém "*" režimu

PS: pokud (ne nutně na konfiguraci výše) například spustím php -S "0.0.0.0:80", bude dostanou se do PHP procesu vůbec TCP streamy s dst IP , která neni mezi IP adresami stroje? Nebo jádro nejdřív provádí u příchozích  paketů kontrolu IP adres na všech rozhraních a propustí aplikaci jen typ toky, kde dst IP je některá z adres stroje.
A je tato kontrola provedena jen jednou v okamžiku spuštění naslouchacího procesu nebo je dynamická(když se přidají rozhraní nebo adresy na rozhraní)?

není i tohle nějaká opšna TCP, která právě aktivuje "roadwarrior"/"wildcard" režim naslouchání?

57

Sítě / Re:Doporučte službu VPN s port forwardingem

« kdy: 07. 06. 2023, 13:01:37 »

euserv.com - 1€ za měsíc (to není cena VPS, to je cena za statickou IPv4), Cena VPS je NULA. Zřízení VPS a každé IP jednorázově za 2.5€. Má ale 1jádro, 1GB.  nutné každý měsíc v administraci prodloužit. Peníze přes paypal nebo na účet
S obojími naásledujícími problémy bych chtěil i poradit. ale jurovo dikce (nebo  jurův d...) je v EU. Ping je bída, 120ms.
Akorát se mi tam nepodařilo zprovoznit wireguard, ale asi mám špatnou distribuci. nainstalováno, ale ip tunnel add type wireguard hlásí neznámý typ
Nepodařilo se mi ani zprovoznit docker, myslím, že je to tím, že jde o LXC virtualizaci a ne KVM . V tom se vyznáte? Nebo by to teoreticky povolit, ale muselo by se nastavit LXC nesting?

Kernel je 5.4, na tom wg už musí jít?

Každopádně pro seriozní použití by to možná chtělo placený tarif - druhý skoro zdarma je 7€ ročně (plus 12€ za IPv4) , ale je to roční plán(nevidím praktický rozdíl mezi nimi)

řekl bych že tohle je takový ultra low cost a odpovídá tomu všechno: výkon, RAM, pomalost disku(přístupy),

58

Server / Re:Sendmail hlásí Internal server error

« kdy: 01. 06. 2023, 16:24:44 »

A nechtělo by to aspoň From: a To: ještě? (Echo -ne "From:ja@mail/r/nSubject:test.../r/n/r/n)

Čeho je to log? Co je přijimaci server?
Nezda se mi to "050 " to je mi.divné.

59

Hardware / Re:Neočekávané vypnutí PC

« kdy: 01. 06. 2023, 13:36:10 »

Nedostatek paměti, sestřelení grafického driveru, dwm, to znám
Monitor stále je zapnutý , zobrazený obraz je rgb 0 0 0?

Ostatni vec jdou (ping případně tcp server funguje dál =žije to)


Systém se z toho pak nevyhrabe.

60

Server / Re:Pomalá reverzní proxy s Nginx

« kdy: 01. 06. 2023, 12:19:57 »

Geniální! minutu po odeslání jsem chtěl připsat doplnění a po odeslání se mi ukázalo Litujeme, Přístup odepřen  a v tomto browseru se nepopulují formuláře rozepsaným textem

Connection "" ;

To by mělo znamenat "smaž tuto hlavičku, neposílej na upstream).
Ale pozor (*)add_header a (*)set_header se chovají zásadně rozdílně, právě co se týče vícenásobného uvedení , vícenásobných hodnot a defaultních hodnotu,


obojí ( přepisy vs  smazání  vs přidávání hlaviček a optimalizace pomalosti Connection:close)  jde to najít v tutoriálech pro nginx něco jako top 10 mistakes in configuring reverse proxy nginx