Hálózatok egyéb

Opensuse Leap 15.2 tűzfal

Sziasztok. Elakadtam, segítséget kérnék, mert nem vagyok egy guru. Openvpn hálózat, nyomtatás. Adott egy céges belső hálózat, (t-com ipsound mögött) ahol van egy központi gép,  legyen mondjuk ERPSERVER a neve, amin Leap15.2 fut. Ezen van minden, ERP, CUPS, samba, stb, de NEM ez a router/gateway a hálózaton. Ugyanezen a hálózaton van egy szintén Leap15.2, ezen fut az openvpn kiszolgáló. A kliens csatlakozások működnek, nyomtatás megy, de csak erről a gépről. Ha az ERPSEVER gépen futó cups alá fel akarok telepíteni egy vpn kliens hálózaton található IP-s nyomtatót, akkor ez nem megy. Telnet alól "No route to host" üzenetet kapok, bár pingelni meg tudom a nyomtatót. Az ERPSERVER gépen be vannak állítva a vpn kliensek hálózati címei a router táblába, ez nem lehet gond. (ping megy!) VISZONT ha kikapcsolom az openvpn szerver gépen a tűzfalat, akkor elérhető az opnevpn kliens hálózaton található IP nyomtató. Mindkét gépen a firewalld fut, szükséges portok nyitva, de valami benézek.

openvpn server tüzfalbeállítások:

firewall-cmd --zone=trusted --add-interface tun0
firewall-cmd --zone=trusted --add-masquerade
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.1x.0/24  -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.2x.0/24  -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d ........
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED  -j ACCEPT  

firewall-cmd --list-services
ssh mdns samba-client openvpn apache2 apache2-ssl ftp http https samba ipp ipp-client

 firewall-cmd --list-ports
9100/tcp 9100/udp

Milyen tűzfalszabály kell még szerintetek az openvpn kiszolgálóra? Köszönöm előre is a segítséget!

pfsense szívás

Sziasztok!

Egy suliban szerettem volna lecserélni, az elavult, szarrá bonyolított tűzfalat egy pfsense tűzfalra.

Egy frissen telepített pfsense tűzfalon beállítottam a NET-et a suli szubnetjére, az egyik WAN-t pedig DHCP-vel a helyi (nem a sulié!) net-re, hogy elérje az internetet. A web-es felület elérhető, beállítottam a másik WAN-t (két kijárata van a sulinek), frissítettem, feltettem pár csomagot. A kliens gép itt még közvetlenül volt a tűzfallal összekötve (egy szimpla kábellel).

A helyszínen  kicseréltük a tűzfalat, és sehogy sem lehetett elérni a tűzfalat, senkit nem lehetett pingelni a tűzfalról, miközben a tűzfalon indított tcpdump-al látható volt a NET-en a forgalom (a broadcast a switch miatt), de semmi más. Az is látszódott, hogy jó VLAN-on vagyok, nincs címkézés, összhangban a switch port beállításával. Csináltam egy reset-et, újra konfig, de továbbra sem lehetett pingelni senkit, és a tűzfalat se (a tűzfal saját magát igen, a tcpdump szerint látszik a NET).

Itthon csináltam egy VLAN-t a tűzfal NET-jének, és a web-es felület elérhető, rá sem kellet rakni monitort a tűzfalra.

Végignéztem a switch (Zixel GS1900-24) beállításait, nincs benne semmilyen olyan beállítás (szerintem) ami ezt a jelenséget okozhatja.

Ezek után nincs olyan érzésem, hogy újra kicserélve a tűzfalat a suliban, akkor menni fog a dolog.

Mi a frászkarika történik itt? Számomra értelmezhetetlen a jelenség.

Robusztus hálózati fájlrendszert keresek

Halihó!

Írtam már korábban, hogy van egy NAS-om, és szenvedek vele. Ez egy dLink eszköz, van benne egy darab 6T WD Red, és NFS-en keresztül mountolom a fájlrendszert fel Linux alól. Az asszony is használja Mac OS alól időnként (nem tudom, hogy Mac NFS-t vagy Sambát használ-e). A gond az, hogy néha valami (valószínűleg írás) történik, és ilyenkor lelassul _valami_, ami hatására a Linux eszméletlenül lelassul.

Próbáltam mindenfélét, a NAS nem mutat semmi hibát, NAS-on kívül a hdd hiba nélkül működik, lementettem róla mindent majd visszamásoltam (mert valaki töredezettségre gyanakodott). Nem javult meg.

Nincs több ötletem, a dLink NAS helyett építek magamnak valami alacsony fogyasztású hardverből egy saját NAS-t. Viszont az NFS helyett szeretnék valami robosztusabb fájlrendszert. Ha tudtok ilyen rendszert, ajánljatok, légyszi!

Kb ezeket szeretném:

  • lehessen felmountolni Linux, Mac, Windows alól (nem baj, ha Linux számára van valami és Win (és Mac) számára valami más).
  • támogassa a Linux fájlrendszerek alatt megszokott dolgokat. Jogosultságok, soft és hardlink, megkülönböztetett kis- és nagybetű, stb.
  • ha fel van mountolva Linux alatt és a NAS eltűnik, lehessen umountolni különösebb nehézség nélkül (ez NFS alatt nem szokott működni).
  • ha fel van mountolva Linux alatt, a NAS eltűnik (hálózati hiba, áramszünet), aztán egy idő után újra megjelenik, menjen minden tovább (ez NFS alatt jellemzően működik)
  • ha fel van mountolva Linux alatt, és a NAS nem válaszol, vagy nagyon lassan válaszol, akkor vagy legyen valami timeout, ami után mondja azt, hogy automatikusan read-only remount lett, vagy umount lett, vagy ilyesmi, vagy ha nem automatikusan mondja ezt, hanem csak próbálkozik, akkor engedje nekem azt, hogy azt mondjam, hogy akkor most umount, és zárjon le mindent. (ez NFS alatt katasztrofális)
  • Nem árt, ha van valami authentikáció mountoláskor, hogy ne tudja akárki felmountolni az itthoni hálózatról, de nem esek kétségbe, ha nincs.
  • Nem kell feltétlenül megoldani, hogy Windows-ból felmásolt fájlok és Linuxból felmásolt fájlok azonos owner/group id-val legyenek létrehozva. De ha van erre valami megoldás, az jó.
  • root felhasználóval lehessen a távoli fájlrendszeren ownert és groupot változtatni
  • Nem árt, ha különböző felhasználóval és jelszóval különböző exportokhoz fér hozzá a mount
  • Ha jelszót használunk, az közlekedjék titkosítva a hálózaton
  • Nem árt, ha a hálózati forgalom titkosított bár alapvetően megbízom a hálózatra kapcsolódó gépekben, és nem szeretnék emiatt mondjuk lassabb hálózati sebességet, nagyobb gépigényt, extrán dolgozó processzort, magasabb fogyasztást, NAS-ban pörgő ventilátort. Esetleg valami hw támogatott titkosítást vagy valami egyszerű és kis gépigényű scramble-t el tudok képzelni. Nem az a lényeg, hogy a CIA ne tudja visszafejteni

reverse tunnel kerdes

Sziasztok,

 

Egy ideje bogaraszom mar hogy meg tudom-e ezt oldani reverse tunnellel vagy nem:

 

Van egy szerver amin fut egy regi telnet szerver amit szeretnek elerni

Ez a szerver egy tuzfal mogott van es csak a szerverrol kifele meno 9100as port van nyitva. A tuzfalhoz nincs hozzaferesem.

En pedig egy androiddal szeretnem elerni a telnet szervert.

Ez az amivel probalkoztam de elakadtam:

termuxon inditottam egy ssh szervert a 9100as porton. A szerverrol csatlakoztam ugyhogy local portforward legyen es az 5000es port a 23as portra forwardoljon.

Majd az androidrol probaltam csatlakozni az 5000es portra de nem sikerult.

Nem hasznalok gyakran reverse tunnelt igy aztan be kell lassam kicsit kodos a tema.

Barmi otlet?

IP címről információk

Sziasztok,

létezik olyan adatbázis, API, szolgáltatás, ahonnan adott IP címekről tudok visszanyerni napi 5-10 ezres volumenben olyan információkat, mint
* szolgáltató/adott cím "tulajdonosa"
* route, milyen címtartománynak képezi a részét
* abuse contact

Előre is köszönöm a válaszokat!
 

LG klíma infrásat vagy Wifiset a Home Assistant vezérléshez

Helló, tervezek LG klímát venni. A Home Assistanttal akarom majd vezérelni, még csak tanulgatom. Mit javasoltok, az LG beltéri az régi infrás távirányítós legyen vagy Wifis? Mindkettőt lehet Home Assistant alól irányítani,lekérdezni jól? Az infrásnál ha jól tudom és vezérlem nincs visszajelzés, csak elküldi az utasítást, hogy hűt, fűt, ventilátor, amit lementek gombok azt küldi neki vissza, kell hozzá IR küldő. Wifisről amit találtam: SmartThinQ rendszer. Ennek kell internet, vagy mehet net nélkül is? Nem akarom netre kötni a klímát.

Keresek: tárhely, domain, email szolgáltatót

Az alábbiakban kérném ki a véleményeteket, javaslataitokat.
Régóta érlelődik bennem, hogy a család számára "hivatalos" email fiókokat vegyek, ami nem függ az aktuális internet szolgáltatótól.
Google keresések alapján főleg a hirdetési találatok között láttam olyan csomagokat, ahol a domain regisztráció és fenntartás, némi tárhellyel és 5-10 vagy ennél is több email fiókkal, évi 10-15 ezer Ft körüli áron kapható.
Jó lenne .hu és/vagy .eu esetleg .net fő-domain alá regisztrálni. Olyan szolgáltatót és csomagot keresek, ahol egy webes felületen magam adminisztrálhatom az al-domaineket és az email fiókokat.
A tárhely főleg a levelezéshez lenne, de ha igény lenne rá a családban akkor egy egyszerűbb weboldal is kerülhet rá blognak vagy hobbi projektekhez.
Fontos lenne a biztonság, az hogy hosszútávon lehessen számítani rá, lehetőleg magas rendelkezésreállás, legyen mentés és segítőkész ügyfél támogatás.

Tehát ki milyen szolgáltatót ismer ahol jó tapasztalata van a fenti igények kielégítésére.
Magyar és európai szolgáltató is szóba jöhet.
Köszi

Milyen portot nyissak ki? UAP VPN/VPS-n elérni

Sziasztok!

VPS-n openvpn-n keresztül szeretném a unifi controllerbe (helyi hálón elérhető) adoptált UAP-AC-AP-LR eszközt elérni. Azaz VPS-n fut a Unifi Controller - látni szeretném az eszközt. Kell valami tűzfal szabály? Ill. TPLINK routerben eléggé korlátozottak ezek megadása.. Mert nem érem el.

Köszi,

R.