Létező dolog, de továbbra is ugyanaz van, hogy ha szűrni akarják akkor ezeket nem fogják engedni, ha meg engedik akkor minek szűrni?

Switch Tax

Mert ez azt jelenti, hogy a sok lehetőség közül, amiből kiderülhet, hogy vírus van a gépeden, egyet ellenőrzöl, a többit nem. Nekem ez hamis biztonságérzetnek tűnik. Ráadásul ha logolnád a teljes forgalmat, akkor is necces, hogy ki tudod-e deríteni, hogy egy adott kapcsolat legális vagy sem, mivel ugyanazon címtartományt használhatnak legális meg illegális célokra is.

Hogy csak egy példát mondjak: pingnél nem csak a ping által kitalált 64 byte-os adatmezővel lehet pingelni, hanem bármivel, és te is megadhatod, hogy mivel. Tehát egy botnet tag gép simán elérheti a vezérlőszerverét pinggel, és kaphat is választ. Ehhez képest az, hogy 65 ezer lehetséges portból te egyet-kettőt logolsz, az eléggé alultervezett vizsgálat. Mondjuk az is kérdés, hogy https-t is lehet használni legális és illegális célra is, szóval még a 443-as port logolása se mutat meg mindent.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Na mégegyszer akkor: nem lehetsz biztos benne, hogy térben és időben konstans hozzáférésed van.
Térben konstans: a világon minden ip felé ugyanúgy viselkedik a hálózat és nincs területi tiltás
időben: nem lehetsz biztos benne, hogy a portscaned hatására nem csukja be a tűzfal saját magát. pláne: nem lehetsz biztos benne, hogy nem intel puma chipsetes modem van a hálózatban, ami pár próbálkozástól önállóan is összecsinálja magát.

Tehát annak az esélye, hogy a portscan fals eredményt ad, nagyon magas. Másrészt egy hálózatot két esetben portscanelhetsz meg:
1. tied
2. előzetesen aláírt, korrekt megbízási szerződésed van hálózat-ellenőrzésre.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"Ez csak ilyen pollinggal megy": meg hosszasan nyitvatartott https kapcsolattal, meg imap notificationnel, meg hasonlókkal.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"máris nem annyira triviális: nmap az feltételezi, hogy valaki fogadja a kérést az adott porton. Viszont az hálózaton lógó gépen szerintem nem fog menni, hogy mind a 65536 portra ráüljön egy program és semmi mást ne tegyen, mint válaszoljon a SYN flages packetekre egy ACK csomaggal.": de, ez még ennél is sokkal triviálisabb.

van ilyen program, úgy hívják: kernel. minden porton ül. be tudod állítani, hogy mi legyen a reakciója azoknál a portoknál, amiket nem nyitottak meg. leggyakrabban icm_port_unreachable üzenetet küld, ez tökéletesen elég az nmap-nek.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Azt, hogy nem engedsz ki semmit, nagyjából a saját privát hálózatodon teheted meg. Az internet szolgáltatókat jogszabály kötelezi, hogy minden forgalmat egyformának tekintsen (net semlegesség), és ha ettől mégis eltér, akkor azt alaposan megindokolva közzétegye a webjén.

A tipikus az, hogy az smtp port és az smb/netbios portok default zárva vannak, a többi pedig korlátozásmentesen nyitva.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Annak ugye mi értelme van, hogy tiltják a 853-as privát DNS portot? Talán dns fertőzéssel meghamisítják a banki oldalakat és el akarják lopni a pénzem /banki jelszavaim?

(ez nem komoly, de megtehetnék. Ha a böngészőben elfelejtené valaki bekapcsolni a 443-as porton a DNS-t)

a csomag forrás ip címében benne van, tehát tudhatod.
most abba ne menjünk bele, hogy a ttl-ből is kideríthető.

"Pont arról van szó, hogy alkalmazás nem tud ilyet csinálni": az alkalmazás is meg tud csinálni bármit, hozzá lehet férni a hálózati kártyához alap szinten.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Valószínű az ilyen wifi hotspotok, bevásárlóközpontok, étkezdék nem számítanak "internet szolgáltató"-knak. Ezért szűrhetnek. Vagy törvényt sért az Auchan? Menjek feljelenteni?

Most nyilván nem ISP-ről volt szó.

Hotelek, és más hasonló wifiken szokott lenni ilyesmi kimenő port tiltás.

Switch Tax

Hát pl., hogy monitorozni tudják a DNS forgalmat. Ilyenkor amúgy is minden forgalmat NAT-ol a saját DNS szerverükre, akármit is írsz be.

Switch Tax

"Másrészt egy hálózatot két esetben portscanelhetsz meg:
1. tied
2. előzetesen aláírt, korrekt megbízási szerződésed van hálózat-ellenőrzésre."

De én nem a hálózatot akarom scannelni hanem az interneten egy távoli címet. Különben sem tudok ilyen törvényről. Feltörni /jogosulatlanul behatolni/ vagy működést megzavarni tilos, de ez ezek eggyikét se fedi le.

[ Szerkesztve ]

Rossz irány ez az egész. Ha szűrve van akkor nem fogsz random nyitott portot találni, ez kb. garantált.

Publikus wifin amúgy is érdemes saját VPN-re csatlakozni, az meg legyen ráültetve a HTTPS 443 TCP-re és kész.

Switch Tax

Nem monitorozni. Eltéríteni.
Az ő dns szerverük azt fogja állítani hogy a 192.168.55.222 az ip címe az otpbank.hu nak, a felülete is megtévesztésig hasonlítani fog, esetleg még regisztrálnak rá egy free Let's Encrypt tanusítványt is. Szinte lehetetlenség ekkor észrevenni hogy nem a banknak hanem a csalónak adod meg a banki jelszavad. Ettől csak egy biztonságos DNS óv(na) meg...

Az hogy 2db port tiltva van még nem jelenti azt hogy 65000 port biztosan tiltva van. Sok helyen blokkolnak portokat spam küldés, játékok, torrent stb ellehetetlenítés miatt.

Erre mondtam hogy az Android 14 nem tudja, csak a böngésző.

Majd átirányít a otpbąnk.hu-ra..

[ Szerkesztve ]

Sajnos pont ez a routingszabály hozzáadása az, ami nekem már túl magas.

Hol, hogyan, milyen szabályt....?

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

A routing olyan, mint a metró a Deákon. Feljössz egy mozgólépcsőn, bemész a nagy terembe, és azzal foglalkozol, hogy onnan melyik kijáraton fogsz kimenni abból a teremből. Az 1-es, 2-es, 3-as metró felé vezető mozgólépcsőn vagy fel, a szabadba. Azzal foglalkozol, hogy amerre *tovább*mész, ott az *első* lépést hol teszed meg.

A wg-s routing is ilyen. Van egy speciális route, a default, a 0.0.0.0/0, az a "maradék", vagyis ha nincs pontosabb specifikáció, akkor ez lép életbe. Egyébként pedig megmondod, hogy a pontosabban specifikált irányokat melyik interfészen kell kiküldeni. Ha a wireguardos interfész a kimenet, akkor titkosítja és elküldi a wireguard cső másik végére, és majd ott történik vele valami.

Tehát be kell állítani a wireguard *mindkét* végén, hogy melyik route merre mutasson, és akkor jó lesz. Beállítod a klienseden, hogy pl. 10.10.10.0/24 hálózat wg0 felé, akkor a wg0 másik végén be kell állítanod, hogy ahonnan eljutottál a 10.10.10.0/24-be, a forráshálózat, szintén a wg-n keresztül keresendő. szóval megcsinálod a specifikus route-okat, plusz a defaultot.

Ebbe a wireguard beállítása jócskán beleszól, mert hogy mit állít be alapértelmezetten, az bekavarhat. Ezen kívül van "push" is, a kliens megmondhatja, hogy milyen route-okat vegyen fel a szerver, és fordítva: a szerver megmondhatja, hogy milyen route-okat vegyen fel a kliens.

röviden ennyi

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

PostUp meg PostDown szabályba beleírod mint egy cmd parancs.
PostUp-ba: route add blabla ami kell.
PostDown-ba: route del az amit az előbb csináltál.

[ Szerkesztve ]

Switch Tax

DHCP Pool, amennyiben be van állítva. pl.: 192.168.0.100 - 192.168.0.199-ig. Mi a helyzet a 2-99 és a 200-254 címekkel? Ezek kioszthatóak kézzel fix címnek ebben a hálózatban?
Egy kicsit foglalkoztam Mikrotik routerrel is, ott nem volt ilyen előre beállított pool.
Ha jól emlékszem.
Melyik a jobb megoldás ha egy eszköznek fix ip-t szeretnék?
A DHCP pool-ban Address Reservation MAC címmel vagy fix ip a pool alatti-feletti tartományból? A default GW mindegyik esetben a 0.1 lesz.

A maradékot lehet használni fix IP-re és dhcp reservation-ra is igen.

Mikrotiknál is biztosan poolok vannak, esetleg máshogy hívják.

Statikus fix IP hátránya hogy mindenhol neked kell állítgatni, meg tudni mit hova állítottál.
DHCP reservation hátránya, hogy ha nincs DHCP szerver akkor nincs cím.
Neked kell eldönteni melyik jobb neked.

Switch Tax

Közben erre találtam egy biztosan működő egyszerűbb módszert.
A mobilos appban van egy olyan opció, hogy mindent a vpn fele küldjön, kivéve a privát hálókat.

Ilyenkor ezeket írja be az allowed ips-hez:
1.0.0.0/8, 2.0.0.0/8, 3.0.0.0/8, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/6, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4

Ehhez még hozzáírod azt az egy privát hálót amit a vpn fele akarsz és kész.

[ Szerkesztve ]

Switch Tax

Esetemben a routeren fut a DHCP server, ha az kiesik semmi nincs (pl. tönkre megy). Se internet, se belső háló. Mondjuk az gáz, ha a belső háló is lehal. Mert se hálózati nyomtatás, se belső fájl megosztás nem megy.
Pár eszközről van csak szó aminek jobbnak láttam az állandó ip-t.

A pool csak azért ötlött fel bennem, mert ilyen előre beállított pool nem rémlik a Mikrotik-ben, mint pl. a TP-Link routerben (100-199).
Ha nincs beállított pool, akkor a teljes címtartományt oszthatja a DHCP server ( pl.:1-254 közt). Ha jól tudom.

sziasztok,
UTP kábel vétel előtt állok. (20m)
CAT 5e - 6 - 6e fajták közt vacillálok.
Ha van jelenleg még pár (5ös utp csatlakozóm, amit ráraknék a sima kábelre, illetve az eszközeim (modem, gép) is pár éves)
akkor van abban rizikó, hogy melyik fajtát veszem meg a kábelből?
Ergó van átjárás a kábel típusok közt?
Ha pl a kábelem CAT6, de pár éves ilyen UTP végcsatijaim vannak (gondolom 5ös), akkor az rámehet, s a rendszer működhet üzemszerűen?

Van bármilyen fontos szabály, megszorítás?
köszönöm!

minden kábelhez a saját utp csatlakozóját javasolt rátenni, mert egyébként kontakthibát kockáztatsz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Sziasztok!

Próbáltam az otthoni netes csoportban is, de ott nem érkezett válasz, ide talán jobban illik a kérdésem

Rég csináltam már ilyet, ezért inkább kérek segítséget.
Adott egy mobilnetes HUAWEI B628-265 router, aminek van wifije, de nagyon gyenge, sokszor szakadt, ezért vettünk egy Asus RT-AX58U routert. Ez azért ég és föld.
De. A mobilneten csak kikapcsoltam a 2.4-es wifit, az 5-ös még fut, hogy be tudjak lépni beállítani.
Egymástól csak egy fal választja el őket, kábelen kötöttem össze természetesen.
A 4G routeren minden fut, csak fix IP-t ad az Asusnak. Működik minden rendben, de nem tudom, hogy nem lehetne-e ennél jobban beállítani? Gondolom nincs szükség a 4G-s wifijére sem, de amíg nem végleges a beállítás, addig nem akartam kikapcsolni.
Szóval, hogy lehetne ezt jobban?
Köszi!

A legjobban úgy lehetne, hogy bridge módba teszed a huawei-t, így a mögé kötött saját router kapja meg az előfizetés publikus ip címét és így egyetlen LAN-od lesz kettő helyett (mert ha jól sejtem nem AP módban használod most az asus-t).

Torveny nem tiltja, de a szolgaltatod tilthatja a szerzodesben.

Szia!

Köszönöm a választ!
Sok pénzt semmiképp nem fogok rááldozni, időt hajlandó lennék.
Feljelentés nem lesz belőle semmiképpen.
Rettenetes adatmennyiséget nem kellene átnéznem, mert egyetlen kliensről van szó, és tudom az időpontokat, amik érdekesek lennének számomra.
Hogy ne beszéljünk el egymás mellett, egész konkrétan arra lennék kíváncsi, hogy bizonyos időpontban a wifi hálózaton az adott készülék mely honlapot látogatja meg. Az ottani tevékenység nem érdekes, csak hogy mely oldalakat keresi fel.
Erre keresnék valamilyen megoldást.
Továbbra is hálás vagyok a segítségért.

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

Mondjuk erre egy sima pihole nagyon egyszerű, és még statisztikát is mutat neked szépen.

Switch Tax

Ha maradéktalanul tájékoztattad a LAN-t használókat, hogy forgalmat fogsz elemezni, több lehetőséged is van. Pl. beüzemelsz egy proxy kiszolgálót és csak azon keresztül engeded ki a forgalmat, vagy olyan komolyabb routert használsz, amiben van forgalomelemző funkció.

Ja tényleg a deep packet inspection is jó a routeren. Ráadásul USG-je van ami tud DPI-t.

UniFi DPI (Deep Packet Inspection)

szerk.: Mondjuk ez nem fogja megmondani konkrétan milyen weboldalt néz, ahhoz a pihole kell ami a DNS forgalmat nézi. Kettő együtt is mehet.

[ Szerkesztve ]

Switch Tax

Köszi mindenkinek. USG-n sajna kevés a DPI.
A "pihole"-ra rákeresek, mert nem találkoztam még vele.

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

Igen, jól sejted, holnap beállítom így.
Köszi!

Velem semmilyen szerződést nem szoktak aláiratni amikor betérek a Mekibe egy kávéra..

Dehogynem amikor csatlakozol a hálózathoz akkor feldobja. Legalábbis legelőször, és csak akkor enged tovább ha elfogadod.

[ Szerkesztve ]

Switch Tax

köszönöm!

Köszönöm, de én itt sajnos elfogytam.

Linuxra találtam többé-kevésbé érthető leírásokat, de a windosos WG kliensre sajnos nem.

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

[link]

Switch Tax

ÁSZF-nek hívják.

Buliban hasznos! =]

Megmutatnád azt a pár sort ami tiltja?

Biztos benne van vagy abban, vagy van valami házirend, amiben benne lehet. Nem fogok most mekis iratokban keresgélni, van jobb dolgom is.

Buliban hasznos! =]

Általában valami nagyon általános megfogalmazásban lesz, pl. hogy beleegyezel, hogy csak rendeltetésszerűen használod vagy ilyesmi.

Switch Tax