Haladó szintű hálózati témák topikja
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] PLEX: multimédia az egész lakásban
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [sziku69:] Szólánc.
- [Re:] Elektromos rásegítésű kerékpárok
- [Re:] [MasterDeeJay:] Volta a bányából azaz CMP 100-210 kisteszt (Tesla V100 mining)
- [Re:] [Sub-ZeRo:] Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- [Re:] [antikomcsi:] Való Világ: A piszkos 12 - VV12 - Való Világ 12
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
MasterMark
titán
Létező dolog, de továbbra is ugyanaz van, hogy ha szűrni akarják akkor ezeket nem fogják engedni, ha meg engedik akkor minek szűrni?
Switch Tax
Mert ez azt jelenti, hogy a sok lehetőség közül, amiből kiderülhet, hogy vírus van a gépeden, egyet ellenőrzöl, a többit nem. Nekem ez hamis biztonságérzetnek tűnik. Ráadásul ha logolnád a teljes forgalmat, akkor is necces, hogy ki tudod-e deríteni, hogy egy adott kapcsolat legális vagy sem, mivel ugyanazon címtartományt használhatnak legális meg illegális célokra is.
Hogy csak egy példát mondjak: pingnél nem csak a ping által kitalált 64 byte-os adatmezővel lehet pingelni, hanem bármivel, és te is megadhatod, hogy mivel. Tehát egy botnet tag gép simán elérheti a vezérlőszerverét pinggel, és kaphat is választ. Ehhez képest az, hogy 65 ezer lehetséges portból te egyet-kettőt logolsz, az eléggé alultervezett vizsgálat. Mondjuk az is kérdés, hogy https-t is lehet használni legális és illegális célra is, szóval még a 443-as port logolása se mutat meg mindent.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Na mégegyszer akkor: nem lehetsz biztos benne, hogy térben és időben konstans hozzáférésed van.
Térben konstans: a világon minden ip felé ugyanúgy viselkedik a hálózat és nincs területi tiltás
időben: nem lehetsz biztos benne, hogy a portscaned hatására nem csukja be a tűzfal saját magát. pláne: nem lehetsz biztos benne, hogy nem intel puma chipsetes modem van a hálózatban, ami pár próbálkozástól önállóan is összecsinálja magát.
Tehát annak az esélye, hogy a portscan fals eredményt ad, nagyon magas. Másrészt egy hálózatot két esetben portscanelhetsz meg:
1. tied
2. előzetesen aláírt, korrekt megbízási szerződésed van hálózat-ellenőrzésre.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
"Ez csak ilyen pollinggal megy": meg hosszasan nyitvatartott https kapcsolattal, meg imap notificationnel, meg hasonlókkal.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
"máris nem annyira triviális: nmap az feltételezi, hogy valaki fogadja a kérést az adott porton. Viszont az hálózaton lógó gépen szerintem nem fog menni, hogy mind a 65536 portra ráüljön egy program és semmi mást ne tegyen, mint válaszoljon a SYN flages packetekre egy ACK csomaggal.": de, ez még ennél is sokkal triviálisabb.
van ilyen program, úgy hívják: kernel. minden porton ül. be tudod állítani, hogy mi legyen a reakciója azoknál a portoknál, amiket nem nyitottak meg. leggyakrabban icm_port_unreachable üzenetet küld, ez tökéletesen elég az nmap-nek.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Azt, hogy nem engedsz ki semmit, nagyjából a saját privát hálózatodon teheted meg. Az internet szolgáltatókat jogszabály kötelezi, hogy minden forgalmat egyformának tekintsen (net semlegesség), és ha ettől mégis eltér, akkor azt alaposan megindokolva közzétegye a webjén.
A tipikus az, hogy az smtp port és az smb/netbios portok default zárva vannak, a többi pedig korlátozásmentesen nyitva.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Annak ugye mi értelme van, hogy tiltják a 853-as privát DNS portot? Talán dns fertőzéssel meghamisítják a banki oldalakat és el akarják lopni a pénzem /banki jelszavaim?
(ez nem komoly, de megtehetnék. Ha a böngészőben elfelejtené valaki bekapcsolni a 443-as porton a DNS-t)
a csomag forrás ip címében benne van, tehát tudhatod.
most abba ne menjünk bele, hogy a ttl-ből is kideríthető.
"Pont arról van szó, hogy alkalmazás nem tud ilyet csinálni": az alkalmazás is meg tud csinálni bármit, hozzá lehet férni a hálózati kártyához alap szinten.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Valószínű az ilyen wifi hotspotok, bevásárlóközpontok, étkezdék nem számítanak "internet szolgáltató"-knak. Ezért szűrhetnek. Vagy törvényt sért az Auchan? Menjek feljelenteni?
MasterMark
titán
Most nyilván nem ISP-ről volt szó.
Hotelek, és más hasonló wifiken szokott lenni ilyesmi kimenő port tiltás.
Switch Tax
MasterMark
titán
Hát pl., hogy monitorozni tudják a DNS forgalmat. Ilyenkor amúgy is minden forgalmat NAT-ol a saját DNS szerverükre, akármit is írsz be.
Switch Tax
"Másrészt egy hálózatot két esetben portscanelhetsz meg:
1. tied
2. előzetesen aláírt, korrekt megbízási szerződésed van hálózat-ellenőrzésre."
De én nem a hálózatot akarom scannelni hanem az interneten egy távoli címet. Különben sem tudok ilyen törvényről. Feltörni /jogosulatlanul behatolni/ vagy működést megzavarni tilos, de ez ezek eggyikét se fedi le.
[ Szerkesztve ]
MasterMark
titán
Rossz irány ez az egész. Ha szűrve van akkor nem fogsz random nyitott portot találni, ez kb. garantált.
Publikus wifin amúgy is érdemes saját VPN-re csatlakozni, az meg legyen ráültetve a HTTPS 443 TCP-re és kész.
Switch Tax
Nem monitorozni. Eltéríteni.
Az ő dns szerverük azt fogja állítani hogy a 192.168.55.222 az ip címe az otpbank.hu nak, a felülete is megtévesztésig hasonlítani fog, esetleg még regisztrálnak rá egy free Let's Encrypt tanusítványt is. Szinte lehetetlenség ekkor észrevenni hogy nem a banknak hanem a csalónak adod meg a banki jelszavad. Ettől csak egy biztonságos DNS óv(na) meg...
Az hogy 2db port tiltva van még nem jelenti azt hogy 65000 port biztosan tiltva van. Sok helyen blokkolnak portokat spam küldés, játékok, torrent stb ellehetetlenítés miatt.
Erre mondtam hogy az Android 14 nem tudja, csak a böngésző.
Majd átirányít a otpbąnk.hu-ra..
[ Szerkesztve ]
Sajnos pont ez a routingszabály hozzáadása az, ami nekem már túl magas.
Hol, hogyan, milyen szabályt....?
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
A routing olyan, mint a metró a Deákon. Feljössz egy mozgólépcsőn, bemész a nagy terembe, és azzal foglalkozol, hogy onnan melyik kijáraton fogsz kimenni abból a teremből. Az 1-es, 2-es, 3-as metró felé vezető mozgólépcsőn vagy fel, a szabadba. Azzal foglalkozol, hogy amerre *tovább*mész, ott az *első* lépést hol teszed meg.
A wg-s routing is ilyen. Van egy speciális route, a default, a 0.0.0.0/0, az a "maradék", vagyis ha nincs pontosabb specifikáció, akkor ez lép életbe. Egyébként pedig megmondod, hogy a pontosabban specifikált irányokat melyik interfészen kell kiküldeni. Ha a wireguardos interfész a kimenet, akkor titkosítja és elküldi a wireguard cső másik végére, és majd ott történik vele valami.
Tehát be kell állítani a wireguard *mindkét* végén, hogy melyik route merre mutasson, és akkor jó lesz. Beállítod a klienseden, hogy pl. 10.10.10.0/24 hálózat wg0 felé, akkor a wg0 másik végén be kell állítanod, hogy ahonnan eljutottál a 10.10.10.0/24-be, a forráshálózat, szintén a wg-n keresztül keresendő. szóval megcsinálod a specifikus route-okat, plusz a defaultot.
Ebbe a wireguard beállítása jócskán beleszól, mert hogy mit állít be alapértelmezetten, az bekavarhat. Ezen kívül van "push" is, a kliens megmondhatja, hogy milyen route-okat vegyen fel a szerver, és fordítva: a szerver megmondhatja, hogy milyen route-okat vegyen fel a kliens.
röviden ennyi
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
MasterMark
titán
Wireguardnál ugyan nincs ilyen push, mindent a kliensen lévő konfig dönt el. Meg ugye az egész peer-to-peer.
Switch Tax
MasterMark
titán
PostUp meg PostDown szabályba beleírod mint egy cmd parancs.
PostUp-ba: route add
blabla ami kell.
PostDown-ba: route del
az amit az előbb csináltál.
[ Szerkesztve ]
Switch Tax
májkimiki
őstag
DHCP Pool, amennyiben be van állítva. pl.: 192.168.0.100 - 192.168.0.199-ig. Mi a helyzet a 2-99 és a 200-254 címekkel? Ezek kioszthatóak kézzel fix címnek ebben a hálózatban?
Egy kicsit foglalkoztam Mikrotik routerrel is, ott nem volt ilyen előre beállított pool.
Ha jól emlékszem.
Melyik a jobb megoldás ha egy eszköznek fix ip-t szeretnék?
A DHCP pool-ban Address Reservation MAC címmel vagy fix ip a pool alatti-feletti tartományból? A default GW mindegyik esetben a 0.1 lesz.
MasterMark
titán
A maradékot lehet használni fix IP-re és dhcp reservation-ra is igen.
Mikrotiknál is biztosan poolok vannak, esetleg máshogy hívják.
Statikus fix IP hátránya hogy mindenhol neked kell állítgatni, meg tudni mit hova állítottál.
DHCP reservation hátránya, hogy ha nincs DHCP szerver akkor nincs cím.
Neked kell eldönteni melyik jobb neked.
Switch Tax
(#12478) MasterMark válasza MasterMark (#12475) üzenetére
MasterMark
titán
Közben erre találtam egy biztosan működő egyszerűbb módszert.
A mobilos appban van egy olyan opció, hogy mindent a vpn fele küldjön, kivéve a privát hálókat.
Ilyenkor ezeket írja be az allowed ips-hez:
1.0.0.0/8, 2.0.0.0/8, 3.0.0.0/8, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/6, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4
Ehhez még hozzáírod azt az egy privát hálót amit a vpn fele akarsz és kész.
[ Szerkesztve ]
Switch Tax
májkimiki
őstag
Esetemben a routeren fut a DHCP server, ha az kiesik semmi nincs (pl. tönkre megy). Se internet, se belső háló. Mondjuk az gáz, ha a belső háló is lehal. Mert se hálózati nyomtatás, se belső fájl megosztás nem megy.
Pár eszközről van csak szó aminek jobbnak láttam az állandó ip-t.
A pool csak azért ötlött fel bennem, mert ilyen előre beállított pool nem rémlik a Mikrotik-ben, mint pl. a TP-Link routerben (100-199).
Ha nincs beállított pool, akkor a teljes címtartományt oszthatja a DHCP server ( pl.:1-254 közt). Ha jól tudom.
lokalisalj
csendes újonc
sziasztok,
UTP kábel vétel előtt állok. (20m)
CAT 5e - 6 - 6e fajták közt vacillálok.
Ha van jelenleg még pár (5ös utp csatlakozóm, amit ráraknék a sima kábelre, illetve az eszközeim (modem, gép) is pár éves)
akkor van abban rizikó, hogy melyik fajtát veszem meg a kábelből?
Ergó van átjárás a kábel típusok közt?
Ha pl a kábelem CAT6, de pár éves ilyen UTP végcsatijaim vannak (gondolom 5ös), akkor az rámehet, s a rendszer működhet üzemszerűen?
Van bármilyen fontos szabály, megszorítás?
köszönöm!
minden kábelhez a saját utp csatlakozóját javasolt rátenni, mert egyébként kontakthibát kockáztatsz.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
nyesteb
tag
Sziasztok!
Próbáltam az otthoni netes csoportban is, de ott nem érkezett válasz, ide talán jobban illik a kérdésem
Rég csináltam már ilyet, ezért inkább kérek segítséget.
Adott egy mobilnetes HUAWEI B628-265 router, aminek van wifije, de nagyon gyenge, sokszor szakadt, ezért vettünk egy Asus RT-AX58U routert. Ez azért ég és föld.
De. A mobilneten csak kikapcsoltam a 2.4-es wifit, az 5-ös még fut, hogy be tudjak lépni beállítani.
Egymástól csak egy fal választja el őket, kábelen kötöttem össze természetesen.
A 4G routeren minden fut, csak fix IP-t ad az Asusnak. Működik minden rendben, de nem tudom, hogy nem lehetne-e ennél jobban beállítani? Gondolom nincs szükség a 4G-s wifijére sem, de amíg nem végleges a beállítás, addig nem akartam kikapcsolni.
Szóval, hogy lehetne ezt jobban?
Köszi!
4Grider
nagyúr
A legjobban úgy lehetne, hogy bridge módba teszed a huawei-t, így a mögé kötött saját router kapja meg az előfizetés publikus ip címét és így egyetlen LAN-od lesz kettő helyett (mert ha jól sejtem nem AP módban használod most az asus-t).
Reggie0
félisten
Torveny nem tiltja, de a szolgaltatod tilthatja a szerzodesben.
Játékos
addikt
Szia!
Köszönöm a választ!
Sok pénzt semmiképp nem fogok rááldozni, időt hajlandó lennék.
Feljelentés nem lesz belőle semmiképpen.
Rettenetes adatmennyiséget nem kellene átnéznem, mert egyetlen kliensről van szó, és tudom az időpontokat, amik érdekesek lennének számomra.
Hogy ne beszéljünk el egymás mellett, egész konkrétan arra lennék kíváncsi, hogy bizonyos időpontban a wifi hálózaton az adott készülék mely honlapot látogatja meg. Az ottani tevékenység nem érdekes, csak hogy mely oldalakat keresi fel.
Erre keresnék valamilyen megoldást.
Továbbra is hálás vagyok a segítségért.
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
Humán megoldás: állj oda mögé. nekem mindig bejön
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
MasterMark
titán
Mondjuk erre egy sima pihole nagyon egyszerű, és még statisztikát is mutat neked szépen.
Switch Tax
4Grider
nagyúr
Ha maradéktalanul tájékoztattad a LAN-t használókat, hogy forgalmat fogsz elemezni, több lehetőséged is van. Pl. beüzemelsz egy proxy kiszolgálót és csak azon keresztül engeded ki a forgalmat, vagy olyan komolyabb routert használsz, amiben van forgalomelemző funkció.
MasterMark
titán
Ja tényleg a deep packet inspection is jó a routeren. Ráadásul USG-je van ami tud DPI-t.
UniFi DPI (Deep Packet Inspection)
szerk.: Mondjuk ez nem fogja megmondani konkrétan milyen weboldalt néz, ahhoz a pihole kell ami a DNS forgalmat nézi. Kettő együtt is mehet.
[ Szerkesztve ]
Switch Tax
Játékos
addikt
Köszi mindenkinek. USG-n sajna kevés a DPI.
A "pihole"-ra rákeresek, mert nem találkoztam még vele.
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
nyesteb
tag
Igen, jól sejted, holnap beállítom így.
Köszi!
Velem semmilyen szerződést nem szoktak aláiratni amikor betérek a Mekibe egy kávéra..
MasterMark
titán
Dehogynem amikor csatlakozol a hálózathoz akkor feldobja. Legalábbis legelőször, és csak akkor enged tovább ha elfogadod.
[ Szerkesztve ]
Switch Tax
lokalisalj
csendes újonc
köszönöm!
Köszönöm, de én itt sajnos elfogytam.
Linuxra találtam többé-kevésbé érthető leírásokat, de a windosos WG kliensre sajnos nem.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
MasterMark
titán
Switch Tax
inf3rno
nagyúr
ÁSZF-nek hívják.
Buliban hasznos! =]
Megmutatnád azt a pár sort ami tiltja?
inf3rno
nagyúr
Biztos benne van vagy abban, vagy van valami házirend, amiben benne lehet. Nem fogok most mekis iratokban keresgélni, van jobb dolgom is.
Buliban hasznos! =]
Mai Hardverapró hirdetések
prémium kategóriában
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5