Haladó szintű hálózati témák topikja
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [attilasd:] A laposföld elmebaj: Vissza a jövőbe!
- [Re:] PLEX: multimédia az egész lakásban
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [sziku69:] Szólánc.
- [Re:] Elektromos rásegítésű kerékpárok
- [Re:] [MasterDeeJay:] Volta a bányából azaz CMP 100-210 kisteszt (Tesla V100 mining)
- [Re:] [Sub-ZeRo:] Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
GAMEPOD.hu témák
Téma összefoglaló
Hozzászólások
Reggie0
félisten
Tool alatt az a progit ertem amivel pocogteted es nem a gyari wg nevezeto command line tool, ami csak a wireguard interfeszt konfiguralja.
Linux alatt pl. a wg-quick a tipikus tool (wireguard-tools csomag resze). Ez allitja a default routeokat. [link]
Az alap wg command ami a wireguard csomagban van, az csak a wg interfeszek parametereit allitja, route tablahoz nem nyul, az a user feladata.
[ Szerkesztve ]
MasterMark
titán
Ennek még nincs köze a pihole-hoz, amiket kérdeztél azok docker kérdések voltak.
Switch Tax
MasterMark
titán
Telefonra és windowsra is ezek offical "toolok", de ugye windowson együtt jár a kettő.
szerk.: Pedig de, az allowedIPs az automatikusan kernel route lesz, nem kell hozzá tool, a wg interfész csinálja.
[ Szerkesztve ]
Switch Tax
Játékos
addikt
Akkor pontosítok: a linux, docker, pihole mindegyik abba a halmazba tartozik, amiben nem vagyok nagyon jártas. Azért próbálkoztam dockerben a pihole-lal, mert nyilván így kényelmes a meglévő PC előtt ülve, illetve néhány "oktató" videót találtam, de mindegyik végén működött a "localhost/admin", csak nálam nem ...
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
MasterMark
titán
Akkor PC-re tegyél egy virtuális gépet, arra meg egy debiánt, és arra mehet natívan a pihole.
Switch Tax
Reggie0
félisten
Erdekes, en beirom, hogy
wg set wg0 peer <PK> add allowed-ips 0.0.0.0/0
es semmit sem valtozik a route tabla. Szoval nem a wg valtoztatja, hanem a melle pakolt tool.
Sajnos a win/android verziokon bundleben kapod, de szerencsere fent van a forraskodja, at lehet irni.
[ Szerkesztve ]
Játékos
addikt
Ok, köszönöm, így lesz.
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
A megoldás a WireGuard beállítására meglepően egyszerű lett:
Ha ugyanis a windowsos kliensben a konfiguárciós file szerkesztési ablakában az AllowedIPs sorba azt írom be, hogy 0.0.0.0/0, csakkor megjelenik egy "Block untunneled traffic (kill-switch) opció a szerkesztési ablak alatt. Ha ez nincs beikszelve, akkor az AllovedIPs sorhoz beír a 0.0.0.0/0 mögé egy 128.0.0.0/1 értéket.
Mindenkinek köszönöm a segítséget!
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
Játékos
addikt
Működni látszik a pihole virtuális gépen ubuntun.
Merre induljak, ha egy bizonyos kliens forgalmát szeretném látni a lokális hálózaton?
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
ArthurShelby
addikt
Ez végül mit oldott meg? Én már elfelejtettem az eredeti problémád.
Azt látom, hogy a 0.0.0.0/0-t fölbontja 2 részre, 0.0.0.0/1 és 128.0.0.0/1-re. Azt nem értem pontosan ez miért jó? A /1 talán magasabb prioritású mint a /0?
szerk: mondjuk a kill switch funkció sem tiszta nekem...
[ Szerkesztve ]
A rosszban mindig van valami megtévesztően jó, különben nem választanánk a rosszat
(#12561) MasterMark válasza ArthurShelby (#12560) üzenetére
MasterMark
titán
Én se értem.
A kill-switch arra kell, hogy ne szivárogjon a VPN-en kívülre packet. Szóval úgy állítja be, hogy csak a VPN-en keresztül küldjön csomagokat. Azt nem tudom ezt hogy éri el, és hogy az említett allowedIPs szabály ezt hogy oldja meg.
Switch Tax
MasterMark
titán
A kliensek használják ezt a DNS szervert.
Switch Tax
Az volt a gond, hogy ha bekapcsoltam a WireGuard kapcsolatot a mindenes AllowedIPs-szel, akkor ezzel el is dobta a helyi hálózatomat, mert minden a WireGuardon keresztül jött. A checkbox viszont lehetővé teszi, hogy a távoli és a helyi hálózatot is lássam, ugyanakkor a távoli hálózat netkapcsolatát használjam.
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
MasterMark
titán
Szerintem az a trükk, hogy ha 0.0.0.0/0 van az allowedIPs-ben akkor azt úgy veszi hogy akkor minden mást kizár. Amint mellékerül bármi, akkor már nem csinálja ezt a kizárást. A 128.0.0.0/1 az átfedésben van amúgyis a 0.0.0.0/0-val, szerintem csak dummynak van odarakva, hogy ne érvényesüljön ez a kizárás.
Switch Tax
Köszönöm, ezt jó tudni. Ugyanis elég sokat agyaltam azon, hogy a 128.0.0.0/1 mégis hogyan működhet, de hiányos IP-címzési ismereteimmel nem sokra jutottam.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
Reggie0
félisten
A 128.0.0.0/1 a 0.0.0.0/0 felso fele. Azert van odarakva, hogy 128.0.0.0-255.255.255.254 cimeken levo gepeket is elerjed. A 0.0.0.0/1 csak 1.0.0.0-126.255.255.255-ig fedi le.
Reggie0
félisten
Nagyon egyszeru: a / utan levo szam azt jelzi, hogy mennyi bit fix, balrol szamolva.
Tehat 0.0.0.0/0 eseten barmelyik bit megvaltoztathato, az az ez a teljes cimatartomany.
0.0.0.0/0-nel ez azt jelenti, hogy a legfelso bit allando, a mogotte levo tartomanyok valtoztathatoak:
Azaz
0xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx maszkolva, igy az eleje:
0000000 0000000 0000000 0000000 = 0.0.0.0, a vege pedig:
0111111 11111111 11111111 11111111 = 127.255.255.255
Ehhez hasonloan a 128.0.0.0/1 majdnem ugyanez lesz, csak a legfelso bit 1-es:
1xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx maszkolva, igy az eleje:
1000000 0000000 0000000 0000000 = 128.0.0.0, a vege pedig:
1111111 11111111 11111111 11111111 = 255.255.255.255
Szoval ennyi a matek. A 0.0.0.0/0 also fele a 0.0.0.0/1 a felso fele a 128.0.0.0/1.
MasterMark
titán
Igen, de nem azért van odarakva, hiszen eddig is benne volt a 0.0.0.0/0-ban.
Switch Tax
Játékos
addikt
Köszönöm a választ!
A képen lévő IP-k közül valamelyik a megfelelő, vagy rossz helyen keresem?
Ezt a DNS-t a routeremben kell beállítani, vagy csak a figyelni kívánt gépben?
Ha ez a pihole kikapcsolásra kerül, akkor a kliens nem fog tudni wifin internetet használni, vagy esetleg akkor egy másodlagos DNS-t használ, ami a mostani?
Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...
Köszi, a matekot eddig is értettem (bizonyos gyakorlati bizonytalanságokkal),de nekem is az a furcsa (ismeretlen), amit MasterMark írt.
Olyan ez nekem, mint egy csomó jogszabályban, amikor van egy olyan meghatározás, hogy pl. "beléphetnek: a, kék szeműek; b, barna szeműek; c, egyébként minden színű szeműek"
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
Reggie0
félisten
Ja, latom en is beneztem. hogy /0-t hagynak a 128.0.0.0/1 melle, de ott a /1 is jo lenne. Valoszinuleg azert mert valami primitiv content matchingot csinaltak es ha nem pont 0.0.0.0/0 van a stringben, akkor mar nem routeol. Valoszinuleg barmi mast is melle lehetne irni, akar 0.0.0.1/24-et is.
[ Szerkesztve ]
A teljes IPv4 tartományt le tudod fedni a 0.0.0.0/0 leírással.
Ezt persze felbonthatod ketté is, a 0.0.0.0/1 és 128.0.0.0/1 leírással.
Na most. Ha két helyen is szerepel a 0.0.0.0/0, de csak az egyik helyen az utóbbi kettő, akkor az lesz a nyertes, mivel nála van jobban passzoló routing szabály.
Szerintem 😁
[ Szerkesztve ]
MasterMark
titán
Igen, én is erre gondolok, hogy arra matchel ez a kizárás dolog, hogy ha csak az van ott. Sajnos semmit nem találtam erről hogy működik.
Illetve arról se találtam semmit, hogy hogy tudja megakadályozni olyankor a packet leak-et más routera.
Switch Tax
Reggie0
félisten
Igen, pont errol volt szo. Azaz konkretabban arrol, hogy a nem linux wg klienseknel hogyan erik el, hogy ne turjon bele a default route-ba.
Reggie0
félisten
Csak a route prioritasok alapjan, esetleg, ha OS szinten van valami kivetel kezeles is, pl. 127.0.0.0/8-ra, mondjuk windowson, de annak a lelkivilagat nem ismerem annyira.
Linuxon biztos, mert pl. a 127.0.0.0/8 a local routing tablaban van, nem a main-ben, es annak prioritasa van a main tabla elott.
[ Szerkesztve ]
TigerCat
nagyúr
Sziasztok!
Esetleg nem tudjátok, hogy miért tekernek egy csomó kábelt pluszban ezekre az eszközökre? Sok esetben ennek a mennyiségnek akár a kétszeresét is látom.
Nekem pazarlásnak tűnik, de biztos van rá magyarázat...
Köszi!
[ Szerkesztve ]
♛ Kanapékirály Bútor és Kanapé Webáruház »»» https://kanapekiraly.hu
fatpingvin
őstag
szervizhurok, csak nem aprózták el
A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)
sziszi-fuszi
senior tag
Esetleges oszlopcsere esetén van rá szükség, azért, hogy ne kelljen szétbombázni mindent.
Mi alá kell írás?
TigerCat
nagyúr
fatpingvin, sziszi-fuszi: Köszi szépen! Ma is tanultam valamit... :-)
♛ Kanapékirály Bútor és Kanapé Webáruház »»» https://kanapekiraly.hu
Albi001
tag
Sziasztok!
Van egy TUF-AX3000V2-es routerem.
Bekapcsoltam benne a tűzfalat.
A kérdésem az volna, hogy ha port forwardnál rögzítek szabályokat, akkor kell-e avval külön foglalkozni, hogy a tűzfalnál is kivételek közé tegyem azokat?
Feltételezném, hogy inteligens annyira a rendszer, hogy ebben az esetben ott már nem kell.
Ha viszont automatikosan működik szépen, akkor meg mi értelme annak, hogy külön lehet tűzfal szabályt is és külön lehet port forwardingot is csinálni?
MasterMark
titán
Általában automatikusan létrehoz tűzfalszabályt, hacsak nem lehet ezt valahol kikapcsolni.
A port forward az egy Source NAT szabály a NAT-olás közben.
A tűzfalszabály meg utána jön.
Switch Tax
Albi001
tag
Köszönöm szépen!
Akkor nem foglalkozom külön a tűzfallal, csak bekapcsolva hagyom és ennyi.
gozi
tag
A kötődobozoknál lévő optikai kábel tartaléknak elsődlegesen más a feladata: mivel a szálhegesztést nem igazán lehet megfelelő minőségben elvégezni az oszlopon lógva, így a plusz feltekert kábel ebben az esetben azért kell, hogy a kötődobozt levéve a földön tudják a hegesztést elvégezni. Normál esetben csak annyi plusz kábel kellene oda, hogy a kötődobozt leszerelve, a földig kényelmesen leérjen.
[ Szerkesztve ]
prime_adam
aktív tag
Sziasztok!
Remélem jó helyre írok, mert egy elég speciális kérdésem lenne. Előre szeretném leszögezni, hogy ebben a témakörben nem igazán vagyok otthon, sok mindent nem értek, és ezért is szeretnék segítséget kérni. Szóval adott 2 docker container, nevezzük őket A-nak és B-nek.
A-n uwsgi fut, a következő beállítással (a lényeget kiemelve):
socket = 0.0.0.0:8000
B containeren Nginx fut, a következő beállításokkal (szintén a lényeget kiemelve):
upstream backend_upstream {
server backend:8000;
}
...
location / {
uwsgi_pass backend_upstream;
include uwsgi_params;
}
Ez így rendben van, működik. Nginx kommunikál a megadott socket porton a backend containerrel és minden tökéletes.
Viszont szeretném lecserélni az uwsgi-t, mert szükség lenne asgi-re. Jelenlegi állás szerint daphne-ra. És innentől kezdve nem értem a dolgokat, mivel ha daphne-n socket-es kommunikációt szeretnék, ahhoz be kell állítani egy socket fájlt. De minek a fájl? Nem lesz socket port? Hogy skálázódik? A jelenlegi konfigurációba hogy illeszkedik bele? Egyszerűen nem értem a mögöttes logikát, pedig úgy néz ki a többi megoldás is socket fájlokat használ, pl. uvicorn.
Egyébként azt tudom, hogy simán http alapon is működhetném a daphne-t, de azt olvastam, hogy nem javasolt amennyiben van Nginx is, mert a socket gyorsabb és "tisztább" megoldás.
Mai Hardverapró hirdetések
prémium kategóriában
- APPLE MacBook Air 2020 13" Retina - M1 / 8GB / 256 GB SSD / MAGYAR / 96% akku, 81 ciklus / Garancia
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!