Poslední příspěvky

1

Sítě / Re:má smysl iptables -je REJECT misto drop v OUTPUT

« Poslední příspěvek od František Ryšánek kdy Dnes v 08:17:14 »

...moment...
Teprve teď jsem si všiml chainu OUTPUT :-)
To je traffic od lokálně běžícího procesu, směrem ven.

Tam mi popravdě nedává moc smysl něco filtrovat, snad kromě selektivního filtru na ICMP = kolik toho mašina je ochotna na sebe vykecat. Případně by se filtr na tomhle místě dal použít jako "pojistka s velmi krátkou životností" pro případ, že se někomu povede stroj "převzít" :-) V tomto kontextu mi přijde trochu bizardní řešit navíc REJECT :-)

Moje předchozí poznámka se týkala v zásadě směru "FORWARD" a "INPUT" - jenom to vracené ICMP je možné/potřebné filtrovat směrem ven.

2

Windows a jiné systémy / Re:Windows odmítá naformátovat n-tý oddíl na flashce

« Poslední příspěvek od Marek Staněk kdy Dnes v 07:51:39 »

Například NTFS (jehož poslední verze je dle wikipedie z 2001) pracuje s názvy souborů v režimu case sensitive a podporuje v názvech souborů speciální znaky typu /\:*"?<>|. Zatím co ani aktuální WinAPI výše uvedené znaky v názvech souborů
(...)
nahraje soubory, které pak Widle kvůli nekompatibilnímu názvu neumí přečíst.

To má jednoduchý zdůvodnění. Zpětná kompatibilita. MS chce, aby i na aktuálně 2025kách fungovaly bambilión let starý věci, který si naprogramovali korporátní zákazníci, takže z pohledu uživatele se to musí chovat navenek furt stejně.
Čistší řešení by asi bylo obdobný tomu, co udělal Apple při přechodu z Power na Intel a teď znova při přechodu z Intelu na ARM, tzn. emulační vrstva, pod kterou by se starý věci spouštěly. Apple je důkazem že to jde, otázkou je, jestli to na Windowsech je s ohledem na korporát schůdný.

3

Bazar / Re:Prodám Mac Mini A1993 (2018)

« Poslední příspěvek od Daveran kdy Dnes v 07:51:34 »

Momentálně je rezervován, takže prozatím je prodej ukončen.

4

Windows a jiné systémy / Re:Windows odmítá naformátovat n-tý oddíl na flashce

« Poslední příspěvek od Marek Staněk kdy Dnes v 07:47:38 »

*Jedno to neni, protoze jsou aplikace, ktery si sitovej disk prevedou na UNC a jiny ktery si to tak neprevedou a s UNC vubec fungovat neumej(treba MS office). A neexistuje na tyhle planete uzivatel, ktere by to umel pouzit sam bez toho pripojenyho disku.

Úplně by stačilo zmínit CLI utility v samotnejch Windows. Některý UNC cesty umí, některý ne, některý tak napůl. Ve výsledku je nejlepší při jejich používání preventivně SUBSTovat.

5

Windows a jiné systémy / Re:Windows odmítá naformátovat n-tý oddíl na flashce

« Poslední příspěvek od Marek Staněk kdy Dnes v 07:45:04 »

Proč bych proboha dělal takový nepořádek mapování? Když už desítky let je prioritou UNC cesta, asi deset let DFS?! Když už musim mapovat shares, tak si snad pohlídám, abych v tom neměl takový šílený hokej, jak píšete.

To ani nemusíš. Ono úplně stačí, když nějakej jantar udělá mnohaúrovňovou strukturu složek, vylepší to diakritikou, a pak se nad tím pokusíš spustit nějakou konzolovku, ideálně ještě v nějakým dávkovým řetězci, kde se operace budou lišit podle toho, na který složce je budeš provádět = budeš potřebovat ty cesty nějak filtrovat. Dostaneš to v různým kódování nejen podle toho, jestli to spustíš přes CMD nebo PowerShell, ale bude se to často lišit i podle verze systému a jestli to budou wokna 64bitový nebo starý 32bitový desítky, 7/2008, nebo XP/2003. A jako bonus se to bude lišit podle toho, jak má dotyčnej uživatel, pod kterým se to spustí, nastavený regionální nastavení. A kdyby to nebylo málo, tak se to ještě umí lišit podle toho, jestli to spustíš z CMD spuštěnýho interaktivně (tzn Win+R, CMD.exe, <tvoje_dávka>.cmd), nebo jestli <tvoje_dávka>.cmd spustíš z něčeho, co už běží.

A další veledílo jsou komprimovaný složky, kterejm ve 2024Q4 s velikou slávou přidali podporu RARů a 7z. Ono to totiž umí jen některý komprimační metody a vůbec to neumí zaheslovaný archivy, což by byl ten menší problém. Ten větší problém je, že to má daleko větší omezení hloubky vnoření struktury složek v archivu, než ty origo archivátory, takže se ti může stát, že i když si při balení originálním 7zipem dáš bacha abys to nezahesloval a nepoužil LZMA2 na Ultra do solid archivu s blokem větším než tuším 1GB a slovníkem větším než 128MB, tak to na druhým konci samotnejma Windowsama stejně nerozbalíš, protože máš přešvihnutou maximální očekávanou hloubku vnoření nebo délku cesty uvnitř archivu, nebo nějaký podobný srandičky.

6

Sítě / Re:má smysl iptables -je REJECT misto drop v OUTPUT

« Poslední příspěvek od František Ryšánek kdy Dnes v 07:21:38 »

Zamyslete se, na koho ten REJECT vs. DROP bude mířit, a s jakým efektem.

Reject je zdvořilé explicitní odmítnutí s okamžitým účinkem, tzn. "ano jsem tu, ale nemám zájem". Odesilateli se pošle nějaká ICMP odezva, proč mu jeho traffic neprošel.

DROP je "tvářím se, že tu nejsem, ale ať si tazatel počká = musí si sám pro sebe timeoutovat, aby k tomu závěru došel".

Jsou porty/situace/ směry příchozích pokusů, kde 100% trafficu budou tvořit šmejdi z internetu, kteří hledají otevřený port, aby třeba zkoušeli hádat hesla apod. Těm nemá cenu napovídat a šetřit tak jejich čas / zrychlovat obrátku pokusů o útok.

Naopak jsou situace, kde nějaké to "ICMP unreachable" je součástí správného a svižného fungování nějakého protokolu. Viz třeba tradičně zmíněný "ident" v souvislosti se SMTP (nevím jak moc je to dnes ještě aktuální) nebo třeba "couldn't fragment" při autodetekci path MTU (provádí TCP stack per connection, pokud se nepletu). Pak jsou třeba situace, kdy si ISP monitoruje dostupnost Vašeho CPE pomocí pingu - takže pokud si jako bezpečnostní opatření zakážete příchozí ping (nebo odchozí odpovědi) tak je dobré, udělat díru aspoň pro monitoring ze strany ISP. Podobně když budete DROPovat odchozí tuším "ICMP ttl exceeded", tak bude příchozí traceroute zvenčí končit v /dev/null - je jistě Vaše rozhodnutí, zda chcete být maximálně bezpečný, nebo to vezmete sportovně jako že "za svou existenci se nestydím a případných DoS blbečků se nebojím".  Obecně bych byl opatrný na paušální dropování ICMP.

7

Bazar / Re:Prodám Mac Mini A1993 (2018)

« Poslední příspěvek od k3dAR kdy Dnes v 06:42:18 »

[...] pokud je ještě k mání [...]

a pokud by nebyl, doporucuju zkouknout napr. "Lenovo ThinkCentre M720q Tiny" ;-)

8

Vývoj / Re:Synchronizace obsahu dvou souborů

« Poslední příspěvek od snugar_i kdy Dnes v 05:53:53 »

Co se má stát s řádky, co jsou v CZ souboru, ale nejsou v EN souboru? Mají zůstat na té pozici, kde jsou teď? A k čemu vlastně jsou?

9

Sítě / Re:má smysl iptables -je REJECT misto drop v OUTPUT

« Poslední příspěvek od Wasper kdy Dnes v 01:00:31 »

dává smysl pravidlo v OUTPUT -j REJECT (kontra DROP)? přijde icmp, dává to nějaký smysl?

Nechapu otazku - co je konkretne cilem cviceni?

Pokud tim clovek blokuje neco sobe, tak to smysl dava (okamzity reject misto dlouheho timeoutu tak neprudi), asi porad na smysl do rejectu hazet tcp/113 (ident) pokud tam nebezi prislusna servica, dal bych do rejectu 80 pokud tam neni apache/nginx s redirem na 443, opet aby kdyz nekdo da omylem http:// misto https:// apod.

10

Sítě / Rozdíl mezi REJECT a DROP ve firewallu

« Poslední příspěvek od Vietnanka kdy 01. 01. 2025, 23:48:02 »

dává smysl pravidlo v OUTPUT -j REJECT (kontra DROP)? přijde icmp, dává to nějaký smysl?