Poslední příspěvky

1

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od Michal Šmucr kdy Dnes v 00:34:53 »

BTW, jak se nftables chová při aktualizaci tabulky pravidel?
V jednom projektu mám úkol, kdy bych potřeboval průběžně měnit seznam asi 500-900 whitelistovaných IP adres.
Cca co vteřinu.
V principu mám jak kompletní seznam IP, tak i to, co se má přidat a odebrat.
Ale jak se k tomu postavit?
Jde o to, aby se to necukalo/nepřerušoval se tok dat navázaných spojení, aby aktualizace pravidel co vteřinu nedělala paseku.

Berte mě spíš s rezervou, reálně spíš používám hotové nadstavby nad nftables, jako firewalld nebo filtruji někde před servery. Ale kdybych měl řešit něco podobného, tak bych se na to snažil využít pojmenované sety, případně mapy (vmaps) v nftables. K nim by pak byla přiřazena pravidla, která bych neměnil. Tzn. programem na manipulaci bych jen přidával nebo odebíral z těch setů.. (add element, delete element).
Počítám, že při takhle časté manupulaci by program běžel pořád.. Po startu bych si vylistoval aktuální obsah toho setu z nftables a uložil do nějakého pole, seznamu v programu, pak bych si získal seznam adres z nějakého externího zdroje, porovnal a udělal nějaké dva další seznamy adres na přidání a odebrání elementů.
Ty bych nacpal do nftables a pokud by to proběhlo bez chyby, zaktualizoval bych si také ten vnitřní seznam s aktuálním stavem. Pak bych čekal až se případně změní ty externí adresy.. (nevím nějaký polling, nebo asynchornně) a jen bych to celé zopakoval. S tím, že už bych ten aktuální stav nemusel vytahovat, protože by byl v tom seznamu s aktuálním stavem.
Mělo by to jít implementovat třeba v Pythonu, kde je modul python-nftables, co používá třeba FirewallD. V podstatě je to wrapper okolo libnftables. Příkazy jsou víceméně stejné jako u nft, akorát se musí zabalit do JSON struktury.. podobně i výstupy z příkazu to vrací jako JSON.
Ale to je jen takový výkop, jak bych to zkusil sám. Možná zjistíte, že to zpracování je tak rychlé, že ty optimalizace s nějakými rozdílovými daty nemají smysl a můžete to sypat celé. Já jen vetšinou raději počítám s nějakou minimální zátěží a tím, že když mi někdo řekne, bude toho x, tak rovnou přemýšlím co se stane, až toho bude 5x

Jinak to jak jste se ptal, co jsem si kdysi zkoušel (klasicky seznam zdroj. adres, pravidlo na nová příchozí spojení), navázaná spojení a related by měla zůstat běžet i když odeberete hosta, další navázaní spojení už neprojde (klasifikace paketu nevyhoví). Jinak aktualizace rulesetu v nftables můžou být s optionem atomické (jako option -f u nft), tzn. není tam ten problém, že by třeba komplikovaný ruleset, který se nějakou dobu zpracovává (bambilion řádků) nechal filtr v mezistavu, kdy tam jsou chvíli nová i stará pravidla zároveň. Nemusí se explicitně dávat flush (který to typ. nechá neprůchozí, než se tam naládují nová pravidla).

2

Odkladiště / archive.org,náhrada, down

« Poslední příspěvek od mikesznovu kdy Dnes v 00:34:19 »

Přestal afungovat http(s!)://web.archive.org ? nevíte, proč a jestlidočasně? asi minulý týden ještě ok, . Dnes hlásí, že jsou offline a včera to házelo nějakou chybu (býval bych si otevřel web.archvie.org v web.archive.org)

3

Vývoj / gdb: Jak se připojit na (stdin,stdout)existující interactive shell?

« Poslední příspěvek od mikesznovu kdy Dnes v 00:16:10 »

Potřebuju vydolovat data z interaktivního bash shellu spuštěného vzdáleně přes ssh.  Historii a zadefinovanou promennou.  Napadly mě 2 způsoby, zkopírovat datovou strukturu historie přes gdb, ale to se mi nadařilo ,druhý způsob napojit se na stávající PID a "unést-přivlastnit" stdin a stdout. to jsem zkoušel ale nešlo mi to
(chci tam spustit příkaz - defacto vypsat proměnnou) Ještě visí bash v paměti PC, dostanu se k němu.

lrwx------ 1 64 říj  9 22:39 0 -> /dev/pts/4
lrwx------ 1 64 říj  9 23:26 1 -> /dev/pts/4
lrwx------ 1 64 říj  9 23:26 2 -> /dev/pts/4
lrwx------ 1 64 říj  9 23:26 255 -> /dev/pts/4


gdb descriptory: (jde o výplod ai, zkoušel jsem víc verzí,  s call (int)dup2 třeba, )
# Assume you want to redirect stdout to "output.txt" and stdin from "input.txt"

# Open the output file
call open("output.txt", 0x601, 0644)  # O_WRONLY | O_CREAT | O_TRUNC
set $fd_out = $rax  # Store the file descriptor returned by open

# Open the input file
call open("input.txt", 0x0, 0)  # O_RDONLY
set $fd_in = $rax  # Store the file descriptor returned by open

# Redirect stdout
call dup2($fd_out, 1)  # Redirect stdout (fd 1) to output.txt

# Redirect stdin
call dup2($fd_in, 0)  # Redirect stdin (fd 0) to input.txt

# Close the file descriptors if needed
call close($fd_out)
call close($fd_in)

Zkoušel jsem cd /proc/ID/fd. Zápis jde, ale čtení nic nevypisuje. (zkoušel jsem přímo i /dev/pts/4) 

balík bash-dbgsym nemám dostupný přes apt.
Snažil jsem se i přes gdb -p
print history_info_  ... No symbols table loaded
 info proc mappings ; find (stack a heap) ... find 0x... , 0x... , "retezec" - nenašlo


Jde to nějak? Nemá třeba ten bash ty deskriptory třeba už uzavřené, když visí v paměti dlouho? Proč nejde čtení (a asi ani zápis) z /proc/pid/fd/N ?

4

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od LamZelezo kdy Dnes v 00:08:35 »

Co kdyz nftables neni firewall? Co kdyz nftables je "modern Linux kernel packet classification framework" ? Blby, co?

5

Odkladiště / Re:Přístup ke Google z neexistujícího zařízení

« Poslední příspěvek od LamZelezo kdy Dnes v 00:06:57 »

Postlo mi to sem neco, co melo jit jinam.

6

Hardware / Re:Oplatí sa repasovaný notebook?

« Poslední příspěvek od jjrsk kdy 09. 10. 2024, 23:56:37 »

...Lenovo distribuuje novy FW do embedded controlleru a prakticky tim zmenoznuje pouziti neorigo beterii...

Tak schvalne, kdy dostanou miliardu (nebo deset) eur flastr? Rekl bych, ze v okamzeni kdy si na to nekdo postezuje to maj lozeny.

7

Windows a jiné systémy / Re:Plnohodnotná náhrada za Windows

« Poslední příspěvek od maikcrew kdy 09. 10. 2024, 23:54:02 »

Já bych zkusil OpenSuse. Nicméně je si systém doladit podle svých představ. O tom byl Linux většinou postavený i když už to také není pravda. Dá se používat tak jak je pro nenáročné uživatele.

8

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od CPU kdy 09. 10. 2024, 23:30:01 »

BTW, jak se nftables chová při aktualizaci tabulky pravidel?
V jednom projektu mám úkol, kdy bych potřeboval průběžně měnit seznam asi 500-900 whitelistovaných IP adres.
Cca co vteřinu.
V principu mám jak kompletní seznam IP, tak i to, co se má přidat a odebrat.
Ale jak se k tomu postavit?
Jde o to, aby se to necukalo/nepřerušoval se tok dat navázaných spojení, aby aktualizace pravidel co vteřinu nedělala paseku.
Jak na to jít správně? Že bych si to zkusil. 
Díky! 

9

Hardware / Re:Headset se špičkovým mikrofonem

« Poslední příspěvek od Michal Šmucr kdy 09. 10. 2024, 23:15:03 »

Možná kdybyste fakt rovnou napsal na co to potřebujete a kam to chcete zapojovat, bylo by to jednodušší.

Vykopnete dvoje různě vybavená drátová profi sluchátka, která mají odpovídající zapojení (XLR s fantomem a 6,5 mm jack), pak nahodíte Phila Collinse (který používal drátový kondenzátorový AKG 311 za uši) a pak to uzavřete třemi herními BT headsety (primárně tedy teamspeak, srozumitelnost..).

BT sety moc neznám, resp. na nějaký kvalitnější záznam (pokud o to jde, např. youtube, tutoriály) mi to nepřišlo úplně vhodné, co jsem to měl možnost slyšet. Z drátových pro normální počítače (tzn. TRRS jack, nebo dvojice jacků, kde vstup do PC dává plug-in power napájení) mi přišly Beyerdynamic MMX 300 Pro jako docela dost dobře použitelné, má to za mě za tu cenu velice dobrý kondenzátorový (back electret) mikrofon. Když si vyladíte vzdálenost (sykavky, proximity efekt), případně přidáte ještě v počítači po cestě low-cut, zní to hezky. Nový MMX 330 Pro je jen variace s otevřenými sluchátky.
Tam si zas musíte říct, jestli pro vás má větší benefit izolace (uzavřené, ale většinou trochu klaustrofobické podání prostoru) nebo příjmnější poslech (otevřená).. Podobně jako např. u sluchátkových řad DT 770 a 990, z které ty headsety budou nejspíš vycházet.
Řada 300 vs 200 je Německo vs Čína, 200 jsem neslyšel, přičemž počítám, že půjde i o kvalitnější měniče a u té první bude výhoda dostupnosti náhradních dílů jako u jejich normálních sluchátek.

AKG HSC 271 mají taky podle mě dobrý kond. mikrofon, ale mají dva aspekty - samotná sluchátka jsou v podstatě normální AKG 271, která jsou pohodlná, ale podáním spíš středové (mají dobrou srozumitelnost a ukáží spoustu chyb, ale na muziku to nejspíš moc neoceníte) a druhý je pak to, že potřebujete zvukovku z XLR a fantomem.

Ale třeba střílím mimo a benefit bezdrátových sluchátek pro vás bude větší výhoda, záznam neřešíte a budete chodit po místnosti a mít boss voice na Teamsech nebo na Discordu.

10

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od Michal Šmucr kdy 09. 10. 2024, 22:32:44 »

V tomhle popsaném případě mi implementace firewallu s používáním FQDN (tuplem ještě pro hosty z nějaké DynIP služby) nepřijde úplně dobrý nápad.
Teď úplně nejde jen o to, že to nftables (jako víceméně low-level filtrační mechanismus) nepodporuje. Ale i na produktech, které to přímo podporují, a při použitích kde to opravdu může výrazně zjednodušit obsluhu (typově přístupy z různých CDNek), to může mít spousty konsekvencí. Obecně se DNS překlad může stát velmi kritickou závislostí pro chod toho FW, měly by se ozkoušet všechny fallback varianty, jak se filtr chová při nedostupném nebo pomalu odpovídacím DNS, jaký to má případně vliv na prvotní spojení, jak se chová vzhledem k cachování a životnosti těch záznamů.. jestli to nebude problematické při velkém množství zpětných překladů s krátkým TTL atp.
Což neznamená, že to nejde, jen to nemusí být vždy ideální, nebo opodstatněné řešení pro nějaké obecné jednotlivé servery a virtuály s veřejnými adresami (vs např. zabezpečení něajké firmy, centra atp.).

Ale abych se vrátil k tomu, co jste psal. Pokud máte veřejnou dynamickou adresu, jste prostě normální road-warrior a podle mě je rozumná cesta jen to, co už používáte - nějaká forma zabezpečeného připojení na jump host.
Pokud se obáváte o dostupnost, zařiďte si jednoduše druhý. Osobně mám pro tyhle situace vždy druhý, záložní přístup, ideálně u jiného provozovatele na jiné síti.
Postačí na to jakákoliv nejslabší VPSka, je to otázka do 100,- měsíčně, případně zkusit i nějaký free tier (u Oraclu to šlo, nevím teď, jestli ještě přidělují veřejné IPv4 adresy). Výhoda pak je, že vám ten záložní jump host bude fungovat odkudkoli, ne jen z domova.
A stran toho O2, nevím co je nej.cz, ale mám doma VDSL a rovnou jsem si připlatil za veřejnou adresu. Ano, bylo by fajn to mít rovnou jako to bývalo před lety, když byly adresy za hubičku, a něco to stojí (jeden oběd). Nicméně nakonec jsem to prostě vzal jako další nástroj k práci. Krom statické adresy to hlavně řeší přímý přístup přes IPv4 bez CGNATu.