Poslední příspěvky

1

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od xsouku04 kdy Dnes v 10:35:59 »

Tak jsem to vyřešil pomoci Sets.

V /etc/nftables.conf v tabulce filter nadefinuji prázdný set

Kód: [Vybrat]

   set ssh_acc_set {                                                                                                                                                                                                                                         
      type ipv4_addr                                                                                                                                                                                                                                         
      }


Přidám pak pravidlo:

 ip saddr @ssh_acc_set       counter accept # dynamické ip adesy 

A do cronu pak pro každou doménu, co může změnit ip adresu dám tohle:

Kód: [Vybrat]

00 7  * * * root  nft add element filter ssh_acc_set { $(dig +short subdomena.domena.cz) comment \"subdomena.domena.cz $(date +\%F_\%H:\%M:\%S)\" }
Tam je zajímavé, že znak % se v cronu musí escepovat, protože má zvláštní význam. ip adresu získávám pomocí příkazu
dig +short .

Že úloha crontabu proběhla mohu ověřit pomocí

Kód: [Vybrat]

journalctl -u cron| tail -n 50



Každou novou ip adresu to pak samo přidá do whitelistu včetně poznámky o jakou se jedná doménu a kdy se tak stalo. Pokud už tam ip adresa je (většina případů) tak se nestane nic. Zůstane původní záznam.

Kód: [Vybrat]

nft list set filter ssh_acc_set
table ip filter {
        set ssh_acc_set {
                type ipv4_addr
                elements = { 49.176.124.121 comment "subdomena.domena.cz 2024-10-16_09:56:01" }
        }
}

Množinu mohu promazat příkazem flush, ale pak je nutné přidat aktuální ip adresy.

Kód: [Vybrat]

nft flush set filter ssh_acc_set


Na to jak nftables přesložitělé, třetí předělávka, to bohužel nic moc neumí a nepracuje se s tím dobře.

Jako dynamický dns používám  http://freedns.afraid.org/ .  Je zadarmo a možnosti jak aktualizovat ip adresu jsou pravdu bohaté. Např. stačí načíst speciální url s hashem z cronu.

Lézt na všechny servery jen pomocí dvou jiných strojů nebo tunelů je zbytečně omezující, protože když jsou problémy, nemusí fungovat kde co. Takže tohle řešení celkem ujde.

2

Sítě / Re:Řešení internetu na samotě

« Poslední příspěvek od vitajakoubek kdy Dnes v 09:44:28 »

kamarád schání něco na dílnu co ma v prumyslovym areálu , 5G tam je okrajový právě, lte venku 2 čárky, uvnitř sotva jedna, podle netmonstra a co jsme koukali do map tak na vysílač by viděl ale má ho pod kopcem takže tomu i odpovídá ta kvalita. No nic mam tu MF268 plonkovou tak jí tam zkusíme a uvidíme co to dá na lte

3

Odkladiště / Re:Kontakt na ČVUT kvůli vyřazenému poli

« Poslední příspěvek od 🇺🇦 GPU kdy Dnes v 09:37:08 »

Darovaný kůň nemusí mít všechny zuby, hlavně pokud se člověk sveze. :-D

Jako majitel koně, pohybující se mezi koňáky, k tomuto dodám, že darovaný kůň je v konečném důsledku většinou nejdražší... O vyřazeném HW to často platí také. Rozdíl je v tom, že HW se dá vypnout, zatímco kůň potřebuje žrát furt. Takže starý HW leda tak na příležitostné použití, na 24/7 provoz moc ne.

4

Hardware / Re:Nákup nového serveru s limitem do 50 tisíc Kč

« Poslední příspěvek od Marek Staněk kdy Dnes v 09:31:44 »

To máš sice pravdu, ale robustním hardwarem pravděpodobnost a četnost těch výpadků a oprav dokážeš velice významně stlačit. Ideálem samozřejmě je, aby to nekleklo nikdy, aby k poškození dat došlo jen chybou oprávněného uživatele, který už existující data omylem přepíše nesprávnými hodnotami, a aby obnova byla vždy rychlá a bezchybná.
V tomhle kontextu má ten desktop z mého pohledu tu nevýhodu, že sortiment na trhu se mění mnohem rychleji než u serverových komponent, takže je mnohem větší pravděpodobnost, že až některý díl umře, už ten samý neseženu a po výměně za jeho náhradu to nepojede, a oprava tak bude mnohem pracnější, náchylnější na chyby, a časově náročnější, takže bude delší výpadek a zákazník nade mnou bude několik hodin stát a nervózně dupat nožkou.
Z vlastní zkušenosti říkám, že tahle úspora mě osobně za to nestojí.

5

Hardware / Re:Nákup nového serveru s limitem do 50 tisíc Kč

« Poslední příspěvek od Tomas-T kdy Dnes v 08:44:45 »

I laciný desktop může v komerčním prostředí úspěšně sloužit jako server.
Jen si musím předem zvážit:
- jak dlouhý případný výpadek je pro mě bez problémů akceptovatelný.
- mít k tomu připravenou dobrou strategii pro zálohování a obnovu - to je to, na čem závisí, zda přijdu o data nebo ne - ne ECC paměti, diskový RAID, redundantní zdroje apod. - to jsou jen doplňky snižující možnost HW výpadku (snižující, ne odstraňující).

6

Hardware / Re:Nákup nového serveru s limitem do 50 tisíc Kč

« Poslední příspěvek od Marek Staněk kdy Dnes v 08:44:34 »

Tak prej ne, pro neziskovky jsou pravidla sekundárních licencí stejný jako pro ostatní, tzn výhradně pro testovací a vývojové prostředí.
ALE !!! mají licenční program Non-Profit speciálně pro neziskovky, kde se za nějakých podmínek dá dosáhnout na plné licence dokonce zadax.
Takže si najdi nějakého autorizovaného poskytovatele licencí (Compos / AutoCont, T-Mobile, atd), nech si spojit licenčního specialistu, a třeba ti to dají. Ovšem pozor, některé licenční programy jdou jen přes některé licenční partnery (zejm se to týká školství a státní správy), ale to by tě měli kdyžtak odkázat.

7

Hardware / Re:Chytrý detektor kouře do domu

« Poslední příspěvek od 🇺🇦 GPU kdy Dnes v 08:37:17 »

ESP = wifi, ne?

A pouzit BT na tom ESP na takove cidlo by bylo hardcore.

Moderní detektory kombinují více metod detekce právě kvůlu různým charakteristikám kouře. Teplotní čidlo je jen třešnička na dortu, neboť většinou zabíjí kouř ještě dříve, než se požár rozvine. Často někde něco doutná bez plamene.

Na Wifi bych nespoléhal, pokud není celá infrastruktura napájena z UPS, protože pokud zkrat vyhodí chrániče a následně způsobí zahoření, nedozvíte se to. Ale i UPS může zahořet, takže i to by měl člověk nějak hlídat. Je hezké, že mám chytrý dům, dokud mi neblafne něco v racku, a já se pak ani nedozvím, že něco blaflo...

Shelly funguje dobře s HA. Je v tom ESP a podporuje alternativní FW.

Já to zmiňovat v souvislosti s tím, že tu někdo plánoval spínat sirénu v ložnici chytrou (WiFi) zásuvkou. To je podle mého názoru nespolehlivé  a nebezpečné řešení.

Detektory kouře primárně varují před požárem intenzivním pípáním, a jakékoliv další způsoby varování by měly být brány jako doplňkové.

A umístění samotných detektorů by mělo být takovové, aby byl pokrytý co největší prostor a zabezpečena úniková cesta, třeba v předsíni, odkud bude slyšet ve všech místnostech a zároveň se předsíní opouští být/dům. Mít detektor v kuchyni je fajn, ale když vám v předsíni chytne v noci nabíjející se elektrokolo, vy se v ložnici udusíte dřív, než se kouř dostane do kuchyně, případně se už nedostanete z bytu ven.

Tohle se nevyplatí podceňovat, protože jinak vytváříte akorát falešný pocit bezpečí.

8

Hardware / Re:Nákup nového serveru s limitem do 50 tisíc Kč

« Poslední příspěvek od Marek Staněk kdy Dnes v 08:34:58 »

Hele ještě mě napadlo.
Pro neziskovky by možná mohly být přípustné druhotné licence i v produkci. Odpoledne bych měl mít hovor s maníkem co licence dělá jako specialista, tak se ho na to zeptám. A jestli se v chápání podmínek nějak šeredně nepletu, mohlo by ti to vyřešit část problému.

9

Sítě / Re:Řešení internetu na samotě

« Poslední příspěvek od Martin-2 kdy Dnes v 08:27:13 »

Rád bych to tady ještě oživil.

Má někdo zkušenosti s timhle 5G CPE zařízením od O2? Co jsem tak dohledal tak by to měla bejt nejvykonější mašinka co je ted na cz trhu k dispozici.

GreenPacket 5G CPE Atom H5-200Q1

Zjistěte si nejdříve dostupná pásma na vysílači a jakou na něj máte viditelnost. Podle toho zjistíte maximální dostupnou rychlost BTS.

GP-H5 montuje O2 a Nordic. Na LTE spojí 3 pásma stejně jako MF268, reálná ziskovost +- stejná. Na 5G (NSA) již funguje spolehlivě a bez výpadků. 5G je háklivé na kvalitu signálu, pokud máte slabý/špatný pojede na LTE. Je to nejdostupnější 5G jednotka.

Záleží co od toho očekáváte.

10

Hardware / Re:Nákup nového serveru s limitem do 50 tisíc Kč

« Poslední příspěvek od Marek Staněk kdy Dnes v 08:13:19 »

Odporucim na server sa vykaslat, ...

Ehm, doporučil bych ti zamyslet se nad kontextem, do jakého něco takového doporučuješ. Tohle není nasazení na hraní v domácím labu, kde se něco učíš. Tady jde o produkční nasazení v sice neziskovce v neupřesněným sektoru, ale pořád v subjektu, kde na tom visí živobytí x lidí a odpovědnost za způsobenou škodu. A ta může mít mnohem víc nul, než si chceš představovat.
Ale vůbec nic ti nebrání dát mu na to nabídku a převzít za to záruku.