Hálózatok általános

Sagemcom dobozka, bemegy a koax amin jön a tévéadás, és bemegy az internet. Utóbbi nélkül nem is lehet üzembehelyezni. De azt tapasztalom, hogy különféle Netflx szervereken kívül semmi máshoz nem kapcsolódik. Igaz, másra nem is vagyok előfizetve. Ha csak tévézéshez használom, mire kell neki az internet?

A másik bosszantó dolog, hogy nincs beépített wifi. UTP kábelt kell beledugni. Ma már szinte mindenben van wifi, ehhez azonban kábelt kell odahuzigálni, hogy egyáltalán tévézni lehessen rajta. Csak a műsorvisszanézés funkció miatt tartom, egyébként a tévém a bedugott médiakártyával ugyanezt vagy többet tudna.

Ja, hogy szoftverfrissítés.

Ha rossz helyen van a topic, kerem helyezze at a moderator, koszonom!

UPC/Vodafone-rol Telekomra valtottam. Eszrevettem, hogy a .Xauthority file-ba "neha" bekerul a telekom szoveg is, illetve, hogy a username@manjaro helyett a username@telekom fogad a terminalban. Ha torlom a relevans file-t, majd restart, tobbnyire megoldodik.

Talalkozott valaki ilyesmivel?

Illetve azota X-be lepes utan siman 10 masodpercre nem reszponziv semmi ( KDE ), korabban ez sem fordult elo

Bizonytalan vagyok, hogy jó fórumra írok-e?

Az oldalamon kb. 2-400 ezer user letöltés / nap van, mellette kb. 1 millió bot / nap.

Próbáltam letiltani a robots.txt-ben, de vannak botok amiket nem érdekli, hogy letiltottam őket. Az is zavaró, hogy vannak a bot-ok számára letiltott oldalak és sok bot azokat is töltögeti.

Az alábbi kérdések merültek fel bennem:

1. Google( esetleg Bing, Yandex)-en kívül egyáltalán melyik amelyiknek van értelme, hogy meghagyjam?

2. Hogyan tiltsam le a renitens bot-okat?

Sziasztok!

Szeretnék egy .hu regisztrátort, aki:

  - nem sokkal drágább mint a többiek, tehát mondjuk évi pár ezer,

  - van online admin felület a delegált .hu-ban lévő névszerverek állítására (ez a felület záros határidőn belül megnyomja a gombot a regisztrátori felületen zöld regcheck esetén, akár hétvégén is),

  - az online felületen lehet enablálni és disablálni a dnssec-et (erre a .hu reg admin felületén rég lehetőségük van a regisztártoroknak),

  - ha kérek ad másodlagos névszervert a domainjeimhez, jó lenne, ha ez sem email küldős lenne, hanem online webes állítós,

  - valamely fórumozónak van vele pozitív tapasztalata.

Próbáltam a forpsi.hu-t, aminek van online dashboardje, de a dnssecet csak hírdetik, valójában nem lehet és secondary DNS sincs.

Természetesen önreklám is jöhet, ha valóban jó, equal opportunity kuncsaft vagyok, bárkit szívesen kipróbálok.

A domainek száma 3-20 között lesz, nem kell nagy businessre számítani... :-(

Köszönöm a segítséget,

Gergő

PS: ha csak olyat tudsz, ami részleges requirementeket teljesít, de te mégis elégedett vagy vele, kérlek azt is írd meg!

UPDATE: expliciten leírtam, hogy a delegált DNS-t kell tudni állítani, nem a saját maguk által üzemeltett DNS-t (amit én nem kérek).  Bocsánat mindenkitől, akinek elsőre félreérthető volt a kérdésem.

UPDATE: végül az awh.hu mellett döntöttem, mivel dolgozójuk itt a hup-on is elérhető és mindenre teljeskörű és tökéletes választ adott, ezúton is köszönöm szépen Csardij!  A DomainTank-kal is kapcsolatba léptem és ott is nagyon jó szakmai emaileket és válaszokat kaptam, azonban sajnos DNSSEC-et jelenleg nem tudnak.  A LinuxWeb is nagyon jól néz ki, de DNSSEC-et ők sem tudnak.

Üdv!

E-mail szerver elé szeretnék egy nginx -et mail proxyként. Egy domain-nel működik is de több domain-t nem tudok beállítani ugyanarra az ip cimre. Azt gondoltam a virtuális hostokhoz hasonlóan a mail szekcióban is tudok majd virtuális hostokat configolni. Az nginx tudja ezt vagy más megoldás után kell néznem?

Köszönöm segítségeteket!

Sziasztok!

Előzmény:
A legutóbbi MikroTik MTCWE oktatáson arról beszélt az oktató, hogyha nem akarjuk, hogy lássák egymást a WIFI kliensek, kapcsoljuk ki a "default forwarding" opciót.
Ha 2 WIFI AP van az eszközben, a 2 AP kliensei még láthatják egymást. Erre megoldás Split Horizon, ami elszigeteli egymástól 2 interfészt L2 szinten.

Ötlet:
Ezt nagyobb vezetékes (irodai) hálózatban az access rétegben is meg lehet valósítani büntetlenül?
Tehát minden access switch minden portján bekapcsolom a split horizont azonos horizon értékkel, kivéve az uplink portján.
Így nem látják egymást közvetlenül az irodai számítógépek. Hivatalból nem kell egymást látniuk. Külön VLANban és subnetben lévő szerverekkel beszélgetnek, amit az uplinken keresztül érnek el.

Teszt:
Mikrotik HEX 2 portján azonos horizont beállítottam, megszakadt a ping. Amint eltért a 2 horizon érték vagy nem volt, a ping ment. A tcpdump is igazolta az L2 elszigetelődést.
HW switch chippel rendelkező mikrotikben ez gondolom port isolation funkcióval helyettesíthető.

Cél:
windows a mellette lévő windowst ne buzerálja. Ha bekap az egyik egy crypto vírust, ne fertőzze le valami  sebezhetőséget kihasználva.
A gépek ne fűrkésszék a hálózatot, semmi közük hozzá. Van gateway, menjenek arra, majd az ottani tűzfal policy szabályoz.
Tehát már L2 szinten szeretném elvágni a félrekolbászoló csomagokat a hálózaton.

Ellenérv:
Van bármi? Windowsos kollégák szerint a windows nem fog jól működni. A sajátgép nem fog működni, mert a beragad a hálózatfelderítés során.
Az egész felesleges, mert az AD felé mindenki elmondja, hogy létezik, az AD meg úgy is elmondja mindenkinek, hogy ki vannak a hálózaton.
Sőt, az AD szerver segítségével ki tudják kerülni az egész L2 védelmet, rajta keresztül elérik egymást a kliensek.
Ezeket én nem nagyon tudom hova tenni linuxos fejjel. Kellene egy kis tapasztalat a való életből.

Tudom, hogy a split horizon eredetileg nem erre való. Lehet, hogy túl egyszerűen gondolkozom, de nem alkalmas a fenti feladatra? Ha nem, akkor mi a bevett gyakorlat erre?

Van egy szolgáltatói routerem, aminek a LAN portján csatlakozik egy másik router ugyanabban a subnetben. ICMP redirectel szeretném megoldani néhány subnet route-olását a szolgáltatói routeren. A szolgáltatói routeren sikerült SSH accesst szereznem és a route-ot hozzáadni (utolsó sor):

# ip route
default via 10.0.0.1 dev ppp0
10.0.0.1 dev ppp0  proto kernel  scope link  src 91.82.130.144
10.49.0.0/17 dev nbif1  proto kernel  scope link  src 10.49.62.15
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.1
192.168.10.0/24 via 192.168.1.249 dev br0
 

ilyenkor ugye ha a 192.168.10.0/24 subnetet akarnám elérni egy kliens gépről akkor a routernek kellene küldeni egy ICMP redirectet a másik router cimével, de ez valamiért nem megy. Send_redirects valamiért nem volt a /proc/sys/net/ipv4/conf alatt, úgyhogy azt én hoztam létre kézzel, most igy néz ki:

# cat /proc/sys/net/ipv4/conf/*/send_redirects
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
 

Elképzelhető lenne hogy a kernelbe nem lett beleforgatva vagy valamit még álltani kell? Ez a verzió egyébként

# cat /proc/version
Linux version 2.6.36 (xialei@A10184242) (gcc version 4.3.4 (GCC) ) #1 SMP Fri Dec 11 14:37:52 CST 2015
#
 

Uraim,

Van egy Mikrotik cAP ac wifis router, amin az lenne a feladat, hogy cyberghost vpn kapcsolatot létrehozva a  vpn-en keresztül menne a forgalom.

Odáig eljutottam, hogy az ipsec kapcsolat összejön, de nem tudom ráterelni a forgalmat.

Van valakinek hasonlóhoz konfigja? Ötlet?

köszönöm

OpenWrt-t futtató router mögött van egy ftp szerverem. Ahhoz hogy kívülről is el lehessen érni, a 21-es port forwardon kívül az alábbi custom szabályt is be kellett állítani:

iptables -t raw -I PREROUTING -p tcp --dport 21 -j CT --helper ftp

Ezt az OpenWrt GUI lementette a /ect/firewall.user file-ba, amit a /etc/config/firewall config meg felnyalt ezzel a sorával:

config include
      option path '/etc/firewall.user'

OpenWrt 21.02.x alatt ez ment is szépen, csak fel kellett tenni a kmod-ipt-nathelper és kmod-ipt-raw csomagokat is.

Azonban OpenWrt 22.03.x alatt már iptables based firewall3 helyett nftables based firewall4 van, nincs iptables parancs, ezért nem megy a fenti custom rule.

A tünet a következő: ftp login lemegy, login / pass megad, elfogadja a helyeset, de utána nem történik semmi, nincs hibaüzenet, csak áll az ftp kliens. (mc beépített)

Keresgéltem, hogy miként lehetne a fenti szabályt nftables-el megoldani, de nem sikerült, ilyen szinten nem értek a hálózat mélységeihez.

Aztán észrevettem, hogy van a firewall beállításnál a forward szabályánál az advanced fülön van egy olyan lehetőség, hogy "Match helper" és egy legördülőből ki lehet választani az "FTP passive connection tracking (FTP)" lehetőséget.

Sajnos, ha ezt beállítom, akkor a forward komplett megszűnik, még telnet-el sem lehet a 21-es portra kapcsolódni. Ha kikapcsolom, akkor a login folyamatig újra megy az ftp, csak utána áll meg.

Tudom, hogy az ftp egy elavult, unsecure, stb. protokoll, de ebben az esetben nem tudom megkerülni.

Tud esetleg valaki megoldást a problémára?

Kedves tagok!

Nekem a problémám az lenne, hogy egy adott portot szeretnék elérni (ssh egyedi portja) elérni wireguard segítségével.

Viszont amikor csatlakozik pl a mobilom vpn-el a szerverhez, semmilyen hálózati forgalom nincs a telefonon.

Azt szeretném elérni, hogy minden forgalom megfelelően működjön, akkor is ha csatlakozik a telefon a vpn-hez.

Kliens config:

[Interface]
Address = 10.0.0.2/8,fd00:00:00::2/8
DNS = 1.1.1.1,1.0.0.1,2606:4700:4700::1111,2606:4700:4700::1001
ListenPort = 62781
MTU = 1280
PrivateKey = [ ]
[Peer]
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 1.2.3.4:51820    //szerver ip cím:port
PersistentKeepalive = 25
PresharedKey = [ ]
PublicKey = tmTzelzutQOFFl7l6xO2hQk2zIJajlVC7qzqL8JhPSg=

Szerver konfig

[Interface]
Address = 10.0.0.2/8,fd00:00:00::2/8
DNS = 1.1.1.1,1.0.0.1,2606:4700:4700::1111,2606:4700:4700::1001
ListenPort = 62781
MTU = 1280
PrivateKey = [ ]
[Peer]
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 1.2.3.4:51820    //szerver ip cím:port
PersistentKeepalive = 25
PresharedKey = [ ]
PublicKey = tmTzelzutQOFFl7l6xO2hQk2zIJajlVC7qzqL8JhPSg=

Az 51820 számú port engedélyezve van.

/etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

/etc/ufw/sysctl.conf

net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1
net/ipv6/conf/all/forwarding=1

Mit nem csinálok jól? :)

Nézegettem a neten erre fórumtémákat, de én nem találtam meg sajnos a megoldást.