Poslední příspěvky

91

Sítě / Re:má smysl iptables -je REJECT misto drop v OUTPUT

« Poslední příspěvek od Wasper kdy 02. 01. 2025, 09:13:45 »

...moment...
Teprve teď jsem si všiml chainu OUTPUT :-)

Tam mi popravdě nedává moc smysl něco filtrovat, snad kromě selektivního filtru na ICMP = kolik toho mašina je ochotna na sebe vykecat. Případně by se filtr na tomhle místě dal použít jako "pojistka s velmi krátkou životností" pro případ, že se někomu povede stroj "převzít" :-) V tomto kontextu mi přijde trochu bizardní řešit navíc REJECT :-)

Taky jsem se nachytal. :-)
A priznavam, ze tenhle use-case pouzivam hned z nekolika duvodu (primarne asi dedikovany uzivatel na AI experimenty - ma zakazane uplne vsechno krome lezt na lokalniho squida, aby pripadna kompromitovana librarka/modul neskodila vic nez malo). Pripadne kdyz mam na dedikovanem uctu steam, ktery chci z nejakeho duvodu udrzet offline (rekneme treba Skyrim SE s SKSE a automapou, ktera na novejsim EXE nefunguje...)

Kazdopadne trvam na tom, ze nechapu puvodni, takhle siroce formulovany dotaz. Ma to use-cases, pro jine veci je to naprosto k nicemu, ale prvne to chce vedet, ceho chce clovek dosahnout a pak vymyslet, jak to technicky resit.

92

Vývoj / Re:Synchronizace obsahu dvou souborů

« Poslední příspěvek od Svatopluk Vít kdy 02. 01. 2025, 08:53:59 »

Dobrý den, žádám o pomoc/příkaz/skript, který by zajistil následující:

Aktualizace českého souboru:
https://raw.githubusercontent.com/haveno-dex/haveno/refs/heads/master/core/src/main/resources/i18n/displayStrings_cs.properties

Na základě obsahu anglického souboru:
https://raw.githubusercontent.com/haveno-dex/haveno/refs/heads/master/core/src/main/resources/i18n/displayStrings.properties

Zkuste použití služeb lokalizátorů jako je projekt Lokalise, Transifex nebo CrowdIn. Ty dokáží dělat správu překladů řetězců v souborech. Třeba lokalise má integraci s GitHubem....

93

Sítě / Re:Rozdíl mezi REJECT a DROP ve firewallu

« Poslední příspěvek od mensinamlcici kdy 02. 01. 2025, 08:49:04 »

Zvažte, prosím, v jakém kontextu se pohybujete. Sešna má nějaké parametry a timeouty, když dáte REJECT, tak aplikace / služba ví, že data neprojdou a může se přizpůsobit, reagovat. Když dáte jen DROP tak aplikace bude čekat až vyprší timeout ... zároveň se tím i omezuje počet (polo)otevřených spojení ...
U sebe si to můžete dělat tak, jak chcete, jinde se doporučuje nějaká přehlednost a třeba i logování ... pak se nastavují access-listy jen v nějakých směrech v souladu s bezpečnostní politikou.

94

Sítě / Re:má smysl iptables -je REJECT misto drop v OUTPUT

« Poslední příspěvek od František Ryšánek kdy 02. 01. 2025, 08:17:14 »

...moment...
Teprve teď jsem si všiml chainu OUTPUT :-)
To je traffic od lokálně běžícího procesu, směrem ven.

Tam mi popravdě nedává moc smysl něco filtrovat, snad kromě selektivního filtru na ICMP = kolik toho mašina je ochotna na sebe vykecat. Případně by se filtr na tomhle místě dal použít jako "pojistka s velmi krátkou životností" pro případ, že se někomu povede stroj "převzít" :-) V tomto kontextu mi přijde trochu bizardní řešit navíc REJECT :-)

Moje předchozí poznámka se týkala v zásadě směru "FORWARD" a "INPUT" - jenom to vracené ICMP je možné/potřebné filtrovat směrem ven.

95

Windows a jiné systémy / Re:Windows odmítá naformátovat n-tý oddíl na flashce

« Poslední příspěvek od Marek Staněk kdy 02. 01. 2025, 07:51:39 »

Například NTFS (jehož poslední verze je dle wikipedie z 2001) pracuje s názvy souborů v režimu case sensitive a podporuje v názvech souborů speciální znaky typu /\:*"?<>|. Zatím co ani aktuální WinAPI výše uvedené znaky v názvech souborů
(...)
nahraje soubory, které pak Widle kvůli nekompatibilnímu názvu neumí přečíst.

To má jednoduchý zdůvodnění. Zpětná kompatibilita. MS chce, aby i na aktuálně 2025kách fungovaly bambilión let starý věci, který si naprogramovali korporátní zákazníci, takže z pohledu uživatele se to musí chovat navenek furt stejně.
Čistší řešení by asi bylo obdobný tomu, co udělal Apple při přechodu z Power na Intel a teď znova při přechodu z Intelu na ARM, tzn. emulační vrstva, pod kterou by se starý věci spouštěly. Apple je důkazem že to jde, otázkou je, jestli to na Windowsech je s ohledem na korporát schůdný.

96

Bazar / Re:Prodám Mac Mini A1993 (2018)

« Poslední příspěvek od Daveran kdy 02. 01. 2025, 07:51:34 »

Momentálně je rezervován, takže prozatím je prodej ukončen.

97

Windows a jiné systémy / Re:Windows odmítá naformátovat n-tý oddíl na flashce

« Poslední příspěvek od Marek Staněk kdy 02. 01. 2025, 07:47:38 »

*Jedno to neni, protoze jsou aplikace, ktery si sitovej disk prevedou na UNC a jiny ktery si to tak neprevedou a s UNC vubec fungovat neumej(treba MS office). A neexistuje na tyhle planete uzivatel, ktere by to umel pouzit sam bez toho pripojenyho disku.

Úplně by stačilo zmínit CLI utility v samotnejch Windows. Některý UNC cesty umí, některý ne, některý tak napůl. Ve výsledku je nejlepší při jejich používání preventivně SUBSTovat.

98

Windows a jiné systémy / Re:Windows odmítá naformátovat n-tý oddíl na flashce

« Poslední příspěvek od Marek Staněk kdy 02. 01. 2025, 07:45:04 »

Proč bych proboha dělal takový nepořádek mapování? Když už desítky let je prioritou UNC cesta, asi deset let DFS?! Když už musim mapovat shares, tak si snad pohlídám, abych v tom neměl takový šílený hokej, jak píšete.

To ani nemusíš. Ono úplně stačí, když nějakej jantar udělá mnohaúrovňovou strukturu složek, vylepší to diakritikou, a pak se nad tím pokusíš spustit nějakou konzolovku, ideálně ještě v nějakým dávkovým řetězci, kde se operace budou lišit podle toho, na který složce je budeš provádět = budeš potřebovat ty cesty nějak filtrovat. Dostaneš to v různým kódování nejen podle toho, jestli to spustíš přes CMD nebo PowerShell, ale bude se to často lišit i podle verze systému a jestli to budou wokna 64bitový nebo starý 32bitový desítky, 7/2008, nebo XP/2003. A jako bonus se to bude lišit podle toho, jak má dotyčnej uživatel, pod kterým se to spustí, nastavený regionální nastavení. A kdyby to nebylo málo, tak se to ještě umí lišit podle toho, jestli to spustíš z CMD spuštěnýho interaktivně (tzn Win+R, CMD.exe, <tvoje_dávka>.cmd), nebo jestli <tvoje_dávka>.cmd spustíš z něčeho, co už běží.

A další veledílo jsou komprimovaný složky, kterejm ve 2024Q4 s velikou slávou přidali podporu RARů a 7z. Ono to totiž umí jen některý komprimační metody a vůbec to neumí zaheslovaný archivy, což by byl ten menší problém. Ten větší problém je, že to má daleko větší omezení hloubky vnoření struktury složek v archivu, než ty origo archivátory, takže se ti může stát, že i když si při balení originálním 7zipem dáš bacha abys to nezahesloval a nepoužil LZMA2 na Ultra do solid archivu s blokem větším než tuším 1GB a slovníkem větším než 128MB, tak to na druhým konci samotnejma Windowsama stejně nerozbalíš, protože máš přešvihnutou maximální očekávanou hloubku vnoření nebo délku cesty uvnitř archivu, nebo nějaký podobný srandičky.

99

Sítě / Re:má smysl iptables -je REJECT misto drop v OUTPUT

« Poslední příspěvek od František Ryšánek kdy 02. 01. 2025, 07:21:38 »

Zamyslete se, na koho ten REJECT vs. DROP bude mířit, a s jakým efektem.

Reject je zdvořilé explicitní odmítnutí s okamžitým účinkem, tzn. "ano jsem tu, ale nemám zájem". Odesilateli se pošle nějaká ICMP odezva, proč mu jeho traffic neprošel.

DROP je "tvářím se, že tu nejsem, ale ať si tazatel počká = musí si sám pro sebe timeoutovat, aby k tomu závěru došel".

Jsou porty/situace/ směry příchozích pokusů, kde 100% trafficu budou tvořit šmejdi z internetu, kteří hledají otevřený port, aby třeba zkoušeli hádat hesla apod. Těm nemá cenu napovídat a šetřit tak jejich čas / zrychlovat obrátku pokusů o útok.

Naopak jsou situace, kde nějaké to "ICMP unreachable" je součástí správného a svižného fungování nějakého protokolu. Viz třeba tradičně zmíněný "ident" v souvislosti se SMTP (nevím jak moc je to dnes ještě aktuální) nebo třeba "couldn't fragment" při autodetekci path MTU (provádí TCP stack per connection, pokud se nepletu). Pak jsou třeba situace, kdy si ISP monitoruje dostupnost Vašeho CPE pomocí pingu - takže pokud si jako bezpečnostní opatření zakážete příchozí ping (nebo odchozí odpovědi) tak je dobré, udělat díru aspoň pro monitoring ze strany ISP. Podobně když budete DROPovat odchozí tuším "ICMP ttl exceeded", tak bude příchozí traceroute zvenčí končit v /dev/null - je jistě Vaše rozhodnutí, zda chcete být maximálně bezpečný, nebo to vezmete sportovně jako že "za svou existenci se nestydím a případných DoS blbečků se nebojím".  Obecně bych byl opatrný na paušální dropování ICMP.

100

Bazar / Re:Prodám Mac Mini A1993 (2018)

« Poslední příspěvek od k3dAR kdy 02. 01. 2025, 06:42:18 »

[...] pokud je ještě k mání [...]

a pokud by nebyl, doporucuju zkouknout napr. "Lenovo ThinkCentre M720q Tiny" ;-)