The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Создать новую тему
- Свернуть нити
Пометить прочитанным
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |  
Форум Информационная безопасность
замена TeamViewer, !*! mmm, (Разное / Другая система) 06-Май-22, 08:24  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


Есть хорошие специалисты по интернет безопасности, !*! Enter222, (Разное / Другая система) 11-Дек-22, 21:15  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Поймал вирус! Теперь Chrome не открывает страницы. , !*! RekrutTeam, (Проблемы с безопасностью) 02-Фев-21, 20:43  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
pptp, !*! slavik141092, (Разное) 23-Окт-22, 20:43  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Strongswan настройка конфигурации по таблице., !*! ITX, (VPN, IPSec / Linux) 04-Ноя-19, 16:33  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, , !*! Licha Morada (ok), 21:04 , 04-Ноя-19 (1) +1
    > Доброго времени суток уважаемые.
    > Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для
    > передачи данных.
    > так вот они нам прислали таблицу для заполнения и вот тут у
    > меня возникли вопросы как все это перевести в конфиг файл.
    > Таблица состоит из таких вот строк.

    Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net.

    Получается примерно так:

    > Encryption Mode   |Site to Site Tunnel Mode | Site to
    > Site Tunnel Mode

    type=tunnel

    > Setting of IPSEC connection
    > Phase 1
    > Authentication Method  |Pre-Shared Key  |Pre-Shared Key

    authby=secret

    > Encryption Scheme  |IKE   |IKE

    keyexchange=ike

    > Diffie-Hellman Group  |Group 2  |Group 2
    > Encryption Algorithm  |3DES   |3DES
    > Hashing Algorithm  |SHA1   |SHA1

    ike=3des-sha1-modp1024

    > Main or Aggressive Mode  |Main mode  |Main mode

    aggressive = no #default

    > Lifetime (for renegotiation) |86400s   |86400s

    ikelifetime=24h

    > Phase 2
    > Encapsulation (ESP or AH) |ESP   |ESP
    > Encryption Algorithm  |3DES   |3DES
    > Authentication Algorithm |SHA1   |SHA1
    > Perfect Forward Secrecy  |Group 2  |Group 2

    esp=3des-sha1-modp1024

    > Lifetime (for renegotiation) |3600s   |3600s
    > Lifesize in KB    |0   |0

    Возможно, lifebytes = <number> и lifetime = <time>

    > Tunnel Configuration
    > Local IP address |192.168.120.150 |192.168.0.5
    > Peer IP address  |1.1.1.1        
    >  |2.2.2.2

    left=xx.xx.xx.xx #this side real IP in the interface
    leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks

    right=XX.XX.XX.XX #peer side visible IP
    rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks

    Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет под рукой примера.

    Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
    Смотрите доки, типа:
    https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...

    сообщить модератору +1 +/ответить
    • gt оверквотинг удален Спасибо большое что помог хоть чуть чуть разобраться теп, !*! ITX (ok), 22:16 , 06-Ноя-19 (2)
      >[оверквотинг удален]
      >>  |2.2.2.2
      > left=xx.xx.xx.xx #this side real IP in the interface
      > leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
      > right=XX.XX.XX.XX #peer side visible IP
      > rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
      > Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
      > под рукой примера.
      > Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
      > Смотрите доки, типа:
      > https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...

      Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у меня возникла такая проблема пока обе стороны пинги не отправят пинги не идут т.е через какое то время они уходит в сон что ли не понятно почему так.

      сообщить модератору +/ответить
      • Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с об, !*! Licha Morada (ok), 01:08 , 07-Ноя-19 (3)

        > Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
        > меня возникла такая проблема пока обе стороны пинги не отправят пинги
        > не идут т.е через какое то время они уходит в сон
        > что ли не понятно почему так.

        Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с обоих сторон. Причины могут быть весьма разнообразными.

        сообщить модератору +/ответить
        • Понял , !*! ITX (ok), 05:34 , 07-Ноя-19 (4)
          >> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
          >> меня возникла такая проблема пока обе стороны пинги не отправят пинги
          >> не идут т.е через какое то время они уходит в сон
          >> что ли не понятно почему так.
          > Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с
          > обоих сторон. Причины могут быть весьма разнообразными.

          Понял )

          сообщить модератору +/ответить
    • gt оверквотинг удален Добрый день А StrongSwan сам создаст сертификат и ключи, !*! the_mask (ok), 13:53 , 24-Авг-22 (5)
      >[оверквотинг удален]
      >>  |2.2.2.2
      > left=xx.xx.xx.xx #this side real IP in the interface
      > leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
      > right=XX.XX.XX.XX #peer side visible IP
      > rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
      > Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
      > под рукой примера.
      > Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
      > Смотрите доки, типа:
      > https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...

      Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?

      сообщить модератору +/ответить
      • gt оверквотинг удален В примере, который я привёл, от оператора требуется толк, !*! Licha Morada (ok), 17:55 , 24-Авг-22 (6)
        >[оверквотинг удален]
        >> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
        >> right=XX.XX.XX.XX #peer side visible IP
        >> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
        >> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
        >> под рукой примера.
        >> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
        >> Смотрите доки, типа:
        >> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
        > Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
        > делать самостоятельно?

        В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
        Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.

        сообщить модератору +/ответить
        • gt оверквотинг удален Огромное спасибо вам за пост, очень помогла эта инфа в а, !*! the_mask (ok), 10:11 , 25-Авг-22 (7)
          >[оверквотинг удален]
          >>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
          >>> под рукой примера.
          >>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
          >>> Смотрите доки, типа:
          >>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
          >> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
          >> делать самостоятельно?
          > В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
          > Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно
          > и танцевать вокруг Certification Authority.

          Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.

          сообщить модератору +/ответить
        • Добрый день Подскажите пожалуйста что писать в конфиги strongswan и ipsec в так, !*! the_mask (ok), 16:14 , 23-Сен-22 (8)
          Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае.
          Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает.
          --------------------------------------------------------------------------------------
          VPN peer gateway            |    здесь внешний ip их Cisco                    
          --------------------------------------------------------------------------------------
          IKE Parameters (Phase 1)                                                              
          --------------------------------------------------------------------------------------
          IKE version                |    Ikev2                                        
          Authentication Method            |    Preshared key                                
          Key Exchange encryption            |    AES-256                                      
          Data Integrity                |    SHA                                          
          Diffie-Hellman Group (phase 1)    |    Group 14                                      
          Timer IKE phase 1        |    86400                                        
          pseudo-random function (prf)    |    sha256 sha                                    
          Type                |    Main mode                                    
          --------------------------------------------------------------------------------------
          IPSec SA Parameters (Phase 2)                                                        
          --------------------------------------------------------------------------------------
          UDP encapsulation        |    Yes                                          
          Protocol            |    ESP                                          
          IPSEC                |    AES-256                                      
          Data Integrity            |    AES-256                                      
          Diffie-Hellman Group        |    PFS Group 14                                  
          Transform-set            |    esp-aes-256 esp-sha-hmac (AES256-SHA)        
          Timer IKE phase 2        |    3600                                          
          Traffic Initiator        |    V                                            
          Encryption Domain        |    Тут три ip из пула внутренней сети оператора  
          --------------------------------------------------------------------------------------
          сообщить модератору +/ответить
Выбор площадки для анонимной публикации, !*! cc1551d332ce, (Разное) 30-Авг-22, 06:01  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Новое программное обеспечение для резервного копирования виртуа, !*! ZoeChris, (Проблемы с безопасностью / Другая система) 09-Мрт-22, 10:14  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


Странные домены, !*! userovich, (Проблемы с безопасностью / Linux) 20-Сен-21, 14:03  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Углубленная безопасность Wifi-Роутера, !*! Look_Proger, (Обнаружение и предотвращение атак / Другая система) 10-Фев-22, 19:52  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Проблема не в прошивке Большинство ботнетов на роутерах не лезут в прошивку Дл, !*! Аноним (2), 21:41 , 10-Фев-22 (1)
    Проблема не в прошивке. Большинство ботнетов на роутерах не лезут в прошивку. Для любых целей достаточно получить шелл. Сами подумайте, моделей роутеров очень много, под одну единственную сделать стабильно работающий бинарный(!) патч это уже очень сложно, не говоря уже обо всем зоопарке, где у одной модели может быть несколько аппаратных платформ...

    Скорее всего роутер светит в интернет портом, на котором висит уязвимый сервис. Просканируйте свой IP снаружи. Это основной вектор заражения роутеров.
    Другой вариант - ваш роутер ломают прямо с вашего компьютера, либо через троян на вашем компе и один из портов, которые светят в локалку, либо через какую-нибудь дырку в UPNP, которую вполне можно эксплуатировать прямо из браузера.
    Троян на компе - тут понятно что делать. Против дыр в UPNP смена прошивки на актуальную, либо отключение UPNP с концами. И заодно можно отключить модные технологии в браузере, типа WebRTC.

    сообщить модератору +/ответить
  • Купил шаурмяу с убийственным даже для тараканов wifi и по очень выгодной ц, !*! муу (?), 22:19 , 10-Фев-22 (2)
    Купил шаурмяу с "убийственным" (даже для тараканов) wifi и по "очень выгодной" цене? - СТРАДАЙ

    сообщить модератору +/ответить
  • Перепрошейте роутер openwrt По крайней мере та мне будет заводских дефолтных па, !*! ыы (?), 10:05 , 11-Фев-22 (3)
    > Привет, хочу поделиться проблемой, уже давно меня беспокоящей.
    > Роутер Xiaomi 4C, имеются проблемы в падениях скорости (замерялось Speedtest'ом на нескольких
    > устройствах)

    Перепрошейте роутер openwrt. По крайней мере та мне будет заводских дефолтных паролей торчащих наружу.

    Зато будет нормальная обычная ssh консоль и утилиты для отслеживания сетевого трафика.

    После чего там можно включить дамп трафика, и при отключенной внутренней сети (чтоб трафик от компов не мешался) - вместо внутренних потребителей подключить ноутбук в котором файрволом запрещено все кроме ssh на роутер,
    посмотреть дамп трафика на роутере- что куда идет. ВОзможно просадка скорости вообще не связана с интернетом- а например флуд в локальной сети провайдера... или ваши манипуляции с роутером просто совпадают с шевелениями плохо обжатого кабеля - подергали роутер - пошевлеили кабель- количество битых пакетов уменьшилось...

    сообщить модератору +/ответить
    • Идея неплохая, но если честно, то я боюсь что попытавшись перепрошить его не на , !*! Look_Proger (?), 14:55 , 11-Фев-22 (4)
      > Перепрошейте роутер openwrt. По крайней мере та мне будет заводских дефолтных паролей
      > торчащих наружу.
      > Зато будет нормальная обычная ssh консоль и утилиты для отслеживания сетевого трафика.
      > После чего там можно включить дамп трафика, и при отключенной внутренней сети
      > (чтоб трафик от компов не мешался) - вместо внутренних потребителей подключить
      > ноутбук в котором файрволом запрещено все кроме ssh на роутер,
      > посмотреть дамп трафика на роутере- что куда идет. ВОзможно просадка скорости вообще
      > не связана с интернетом- а например флуд в локальной сети провайдера...
      > или ваши манипуляции с роутером просто совпадают с шевелениями плохо обжатого
      > кабеля - подергали роутер - пошевлеили кабель- количество битых пакетов уменьшилось...

      Идея неплохая, но если честно, то я боюсь что попытавшись перепрошить его не на заводскую версию прошивки, то могу "сломать" его и потом не смогу все откатить обратно :D


      сообщить модератору +/ответить
      • gt оверквотинг удален Опытные товарищи покупают роутеры сразу с целью перепрош, !*! ыы (?), 18:35 , 11-Фев-22 (5)
        >[оверквотинг удален]
        >> После чего там можно включить дамп трафика, и при отключенной внутренней сети
        >> (чтоб трафик от компов не мешался) - вместо внутренних потребителей подключить
        >> ноутбук в котором файрволом запрещено все кроме ssh на роутер,
        >> посмотреть дамп трафика на роутере- что куда идет. ВОзможно просадка скорости вообще
        >> не связана с интернетом- а например флуд в локальной сети провайдера...
        >> или ваши манипуляции с роутером просто совпадают с шевелениями плохо обжатого
        >> кабеля - подергали роутер - пошевлеили кабель- количество битых пакетов уменьшилось...
        > Идея неплохая, но если честно, то я боюсь что попытавшись перепрошить его
        > не на заводскую версию прошивки, то могу "сломать" его и потом
        > не смогу все откатить обратно :D

        Опытные товарищи покупают роутеры сразу с целью перепрошить его в openwrt.

        сообщить модератору +/ответить
  • 1 найдите у друзей или возьмите в аренду сертификатор кабельных линий2 ввзовит, !*! анон (?), 14:11 , 12-Фев-22 (7)
    1. найдите у друзей или возьмите в аренду сертификатор кабельных линий
    2. ввзовите представмтеля провайдера полкупом и/или шантажом убедите проверить линию сертефикатором.

    Возможно проблема именно в физике.

    сообщить модератору +/ответить
  • с изучения договора с провайдером, в котором посмею предположить указано скорос, !*! Alex5Anc (ok), 03:07 , 03-Авг-22 (9)
    > Тут главный гвоздь в том что даже не знаешь по каким ключевым словам гуглить эту проблему и как начать ее решать

    с изучения договора с провайдером, в котором посмею предположить указано "скорость до"


    сообщить модератору +/ответить
Как смертному настроить TOR?, !*! Сноуден, (Разное / Linux) 05-Май-22, 09:31  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Смертный может поставить себе Tails в виртуалку, открыть там Tor Browser, постав, !*! врр (?), 02:24 , 06-Май-22 (1)
    Смертный может поставить себе Tails в виртуалку, открыть там Tor Browser, поставить в самый защищенный режим, и не беспокоиться больше. Если нужно через мост - там в настройках есть птичка - "Use a bridge". Но надо понимать в чем смысл Tor-a чтобы потом не говорить "а я думал меня не найдут". Он-то анонимный, но если логиниться через него в свои личные (не анонимные) учетки - вы теряете анонимность. Так что - в свой Gmail и в какие нибудь онлайн магазины - обычным инетом лезть нужно.

    Ну а если Вы просто для обхода цензуры/блокировок, а анонимность не нужна, то и париться особо нечего.

    А не смертные могут читать документацию, если нужны ответы на некоторые нестандартные вопросы.

    сообщить модератору +/ответить
  • хмм ты точно Сноуден , !*! Аноним (-), 15:57 , 06-Май-22 (2) +1
    > Что необходимо:
    > - Как запустить через мосты? РФ на связи. И только ли через
    > них возможно войти в сеть или есть киллерфича как в i2p
    > - рандомная БД узлов?
    > - Как прокси, весь трафик системы заворачивать не нужно (способ нагуглен, если
    > пригодится).
    > - Без транзита в обычный интернет.
    > - Актуальны ли отсуствующие в конфиге строки чёрного списка стран, но присутствующие
    > в гуглопоиске, через которые TOR должен не работать?
    > - Лишнее (пока нужен только как прокси в обычный интернет) отключить.

    хмм.. ты точно Сноуден??

    сообщить модератору +1 +/ответить
  • Достаточно просто загрузить пакет tor из репозитория и запустить его , !*! Аноним (-), 23:29 , 06-Май-22 (3)
    Достаточно просто загрузить пакет tor из репозитория и запустить его.
    сообщить модератору +/ответить
  • UseBridges 1 и нужная директиваBridge в torrc Ещё ClientTransportPlugin в некот, !*! Националптеродактиль (?), 11:55 , 09-Май-22 (5)
    > Что необходимо:
    > - Как запустить через мосты? РФ на связи. И только ли через
    > них возможно войти в сеть или есть киллерфича как в i2p

    UseBridges 1 и нужная директива
    Bridge в torrc. Ещё ClientTransportPlugin в некоторых случаях.

    И да,
    <I need an alternative way of getting bridges!

    <Another way to get bridges is to send an email to bridges@torproject.org. Leave the email subject empty and write "get transport obfs4" in the email's message body. Please note that you must send the email using an address from one of the following email providers: Riseup or Gmail.

    > - рандомная БД узлов?

    Нет.

    > - Как прокси, весь трафик системы заворачивать не нужно (способ нагуглен, если
    > пригодится).
    > - Без транзита в обычный интернет.

    Флаг OnionTrafficOnly в директиве SocksPort в torrc.

    > - Актуальны ли отсуствующие в конфиге строки чёрного списка стран, но присутствующие
    > в гуглопоиске, через которые TOR должен не работать?

    Актуально {ru}, всё остальное - чисто исходя из твоих заскоков. Можно ещё {bg} прописать, у КГБ там сервера есть. И {by}.

    > - Лишнее (пока нужен только как прокси в обычный интернет) отключить.

    Не включишь - не включится.

    сообщить модератору +/ответить
Похоже что TLS не защищает. И любой трафик можно перехватывать., !*! village_coder, (Шифрование, SSH, SSL) 23-Янв-21, 10:16  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Как привязать службу к сокету или localhost?, !*! Начинающий, (Linux iptables, ipchains / Linux) 15-Янв-22, 11:22  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Дорогой, в твоей инструкции написано, что тебе не следует биндить всё подряд на , !*! freehck (ok), 16:43 , 17-Янв-22 (1)
    > изучал арч вики и вот не понимаю как сделать https://wiki.archlinux.org/title/Security_(%D0%A0&...)#%D0%9E%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%B5_%D0%BF%D0%BE%D1%80%D1%82%D1%8B
    > Там где написано что службу можно привязать к локалхост. Это как то
    > через systemd делается?

    Дорогой, в твоей инструкции написано, что тебе не следует биндить всё подряд на интерфейсы, которые доступны из внешнего мира. Потому что, например, забиндить на внешний интерфейс какой-нибудь, ну скажем, редис -- считай, твою машину поимеют в течение 24 часов.

    Адрес, на котором сервис/демон/служба слушают -- обычно указывается в конфигурационном файле этого сервиса. К systemd это никакого отношения не имеет, и настроек в юнитах systemd для ограничения интерфейсов, доступных для прослушивания -- не существует.

    сообщить модератору +/ответить
    • gt оверквотинг удален Опять же в той инструкции можно проверить списко портов,, !*! Начинающий (??), 23:00 , 17-Янв-22 (2)
      >[оверквотинг удален]
      >> Там где написано что службу можно привязать к локалхост. Это как то
      >> через systemd делается?
      > Дорогой, в твоей инструкции написано, что тебе не следует биндить всё подряд
      > на интерфейсы, которые доступны из внешнего мира. Потому что, например, забиндить
      > на внешний интерфейс какой-нибудь, ну скажем, редис -- считай, твою машину
      > поимеют в течение 24 часов.
      > Адрес, на котором сервис/демон/служба слушают -- обычно указывается в конфигурационном
      > файле этого сервиса. К systemd это никакого отношения не имеет, и
      > настроек в юнитах systemd для ограничения интерфейсов, доступных для прослушивания --
      > не существует.

      Опять же в той инструкции можно проверить списко портов, у меня вот так
      https://pastebin.com/YywbBYu3

      это имеется ввиду вот та колонка там где peer address port или local address port.

      Спасибо что отвечаешь в теме

      сообщить модератору +/ответить
      • ну это тебе в man ss идти вообще-то надо за ответами вообще, я бы на твоём мест, !*! freehck (ok), 04:00 , 18-Янв-22 (3)
        > это имеется ввиду вот та колонка там где peer address port или local address port

        ну это тебе в man ss идти вообще-то надо за ответами. вообще, я бы на твоём месте за арчеводами слепо всё подряд не повторял. вместо ss юзай лучше старый добрый netstat. netstat знают все, он есть во всех дистрах. ss -- фиг знает что такое.

        короче. ss я в глаза не видел, но смотреть надо local address port

        У тебя там что-то странное, кстати. На 53м порту кто-то слушает, да к тому же сразу на всех интерфейсах.

        PS: вместо арча взял бы ты что-либо более стабильное, типа debian или ubuntu lts
        PPS: ничего себе ты начинающий, с 2003го года на опеннете сидишь

        сообщить модератору +/ответить
        • gt оверквотинг удален я не сижу с 2003 года Только щас понял о чем ты, я вооб, !*! Начинающий (??), 07:30 , 18-Янв-22 (4)
          >[оверквотинг удален]
          > я бы на твоём месте за арчеводами слепо всё подряд не
          > повторял. вместо ss юзай лучше старый добрый netstat. netstat знают все,
          > он есть во всех дистрах. ss -- фиг знает что такое.
          > короче. ss я в глаза не видел, но смотреть надо local address
          > port
          > У тебя там что-то странное, кстати. На 53м порту кто-то слушает, да
          > к тому же сразу на всех интерфейсах.
          > PS: вместо арча взял бы ты что-либо более стабильное, типа debian или
          > ubuntu lts
          > PPS: ничего себе ты начинающий, с 2003го года на опеннете сидишь

          я не сижу с 2003 года. Только щас понял о чем ты, я вообще просто имя написал, я даже не авторизован на сайте. Думаю ты тоже сможешь мне ответить от имени начинающего. это сайт так сделан тут

          сообщить модератору +/ответить
2 ISP (PBR+NAT)- ipfw routing проблема fwd c mac+ip , !*! radiorobot, (BSD ipfw, ipf, ip-filter / FreeBSD) 11-Дек-21, 23:31  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • На хосте H1 надо сделать дополнительную таблицу маршрутизации для второго интерф, !*! gfh (??), 16:33 , 12-Дек-21 (1)
    На хосте H1 надо сделать дополнительную таблицу маршрутизации для второго интерфейса со своим шлюзом по умолчанию R1, тогда ответ на пакет пришедший на второй интерфейс будет отправляться с этого же интерфейса.
    сообщить модератору +/ответить
    • гхм поясните с адресацией, на мой взгляд ваше утверждение не верно Как я поним, !*! radiorobot (ok), 19:38 , 12-Дек-21 (2)
      > На хосте H1 надо сделать дополнительную таблицу маршрутизации для второго интерфейса со
      > своим шлюзом по умолчанию R1, тогда ответ на пакет пришедший на
      > второй интерфейс будет отправляться с этого же интерфейса.

      гхм. поясните с адресацией, на мой взгляд ваше утверждение не верно. Как я понимаю решение о маршрутизации принимает R1 согласно своей таблицы маршрутизации. На это никак не может влиять H1. Т.е. вне зависимости от таблиц H1, R1 будет руководствоваться своей таблицей с той же проблемой mac+ip по первому найденному соответствию.

      причем не зависимо как получен трафик через B.B.B.B или например D.D.D.D (если ввести дополнительную адресацию между R1 и H1, где D.D.D.D адрес R1 и шлюз по умолчанию для H1)

      сообщить модератору +/ответить
      • gt оверквотинг удален man ipfwключевое слово setfib, !*! Аноним (3), 09:42 , 13-Дек-21 (3)
        >[оверквотинг удален]
        >> своим шлюзом по умолчанию R1, тогда ответ на пакет пришедший на
        >> второй интерфейс будет отправляться с этого же интерфейса.
        > гхм. поясните с адресацией, на мой взгляд ваше утверждение не верно. Как
        > я понимаю решение о маршрутизации принимает R1 согласно своей таблицы маршрутизации.
        > На это никак не может влиять H1. Т.е. вне зависимости от
        > таблиц H1, R1 будет руководствоваться своей таблицей с той же проблемой
        > mac+ip по первому найденному соответствию.
        > причем не зависимо как получен трафик через B.B.B.B или например D.D.D.D (если
        > ввести дополнительную адресацию между R1 и H1, где D.D.D.D адрес R1
        > и шлюз по умолчанию для H1)

        man ipfw
        ключевое слово setfib

        сообщить модератору +/ответить
      • Я с FreeBSD не работал и поэтому по синтаксису буду ошибаться На роутере вам над, !*! gfh (??), 14:43 , 13-Дек-21 (4)
        Я с FreeBSD не работал и поэтому по синтаксису буду ошибаться.
        На роутере вам надо поднять дополнительную таблицу маршрутизации с помощью setfib (?)
        Что-то типа: 
        setfib 1 route add default A.A.A.A via em2

        В дефолтной таблице маршрутизации 0 у вас уже должен быть маршрут по умолчанию через A.A.A.A via em0
        В правилах файрвола указать что-то типа: 
        ipfw add 1100 setfib 1 divert 8668 ip from B.B.B.B+2 to any
        ipfw add 4100 setfib 1 divert 8668 ip from any to A.A.A.A+2
         чтобы пакеты с адреса B.B.B.B+2 и портами 8668 попадали во вторую таблицу маршрутизации.
        Думаю идея понятна?

        Но это ещё не всё.
        Пускай у вас приходит пакет на A.A.A.A+2 порт 8668, он отправляется на адрес B.B.B.B+2 и попадает на интерфейс em0_alias, но проблема в том что на хосте H1 только один шлюз по умолчанию через интерфейс em0, соответственно ответ с хоста H1 пойдет через интерфейс em0 с адресом B.B.B.B+1 и роутере R1 он не попадет в правила файрволла, так как правилом 

        ipfw add 1100 divert 8668 ip from B.B.B.B+2 to any
        он ждет пакета с адреса B.B.B.B+2, а не B.B.B.B+1 для порта 8668
        сообщить модератору +/ответить
Мой трафик прослушивают? , !*! maninthebeginning, (Обнаружение и предотвращение атак / Другая система) 22-Фев-21, 08:58  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


gnutls поддерживает гост?, !*! sods, (Шифрование, SSH, SSL) 02-Окт-21, 15:19  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
ipfw и natd, !*! omar22, (BSD ipfw, ipf, ip-filter / FreeBSD) 22-Июл-21, 14:52  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • есть такая фигня как forward, Сергей (??), 17:13 , 22-Июл-21 (1) !*!
  • gt оверквотинг удален запусти второй natd, !*! Денис (??), 02:38 , 23-Июл-21 (2)
    >[оверквотинг удален]
    > via $extIf
    > $fwcmd 1746 divert 8666 log tcp from $IPo1 7654 to any out
    > via $extIf
    > суть какая. при коннекте из внешнего мира на $extIP2 на порт 7654
    > пробрасывает на $IPo1:7654.
    > С этим вроде бы хорошо. Но необходимо чтобы была подмена $extIP2 на
    > адрес $intIf
    > и что то с этим никак. если в строке NAt заменить -а
    > $extIP2 на -а $intIf то перестает все работать.
    > можно ли такое сделать?

    запусти второй natd

    сообщить модератору +/ответить
    • gt оверквотинг удален поясните, что вторым натом натить можно с примером , !*! omar22 (ok), 08:00 , 23-Июл-21 (3)
      >[оверквотинг удален]
      >> $fwcmd 1746 divert 8666 log tcp from $IPo1 7654 to any out
      >> via $extIf
      >> суть какая. при коннекте из внешнего мира на $extIP2 на порт 7654
      >> пробрасывает на $IPo1:7654.
      >> С этим вроде бы хорошо. Но необходимо чтобы была подмена $extIP2 на
      >> адрес $intIf
      >> и что то с этим никак. если в строке NAt заменить -а
      >> $extIP2 на -а $intIf то перестает все работать.
      >> можно ли такое сделать?
      > запусти второй natd

      поясните, что вторым натом натить? можно с примером?

      сообщить модератору +/ответить
      • gt оверквотинг удален Я подобное на pf делал Получился то ли 2-ой, то ли 3-ой, !*! universite (ok), 13:34 , 23-Июл-21 (4)
        >[оверквотинг удален]
        >>> via $extIf
        >>> суть какая. при коннекте из внешнего мира на $extIP2 на порт 7654
        >>> пробрасывает на $IPo1:7654.
        >>> С этим вроде бы хорошо. Но необходимо чтобы была подмена $extIP2 на
        >>> адрес $intIf
        >>> и что то с этим никак. если в строке NAt заменить -а
        >>> $extIP2 на -а $intIf то перестает все работать.
        >>> можно ли такое сделать?
        >> запусти второй natd
        > поясните, что вторым натом натить? можно с примером?

        Я подобное на pf делал. Получился то ли 2-ой, то ли 3-ой NAT.

        сообщить модератору +/ответить
        • gt оверквотинг удален можно ли пример показать чтобы суть понять а то что то, !*! omar22 (ok), 13:39 , 23-Июл-21 (5)
          >[оверквотинг удален]
          >>>> пробрасывает на $IPo1:7654.
          >>>> С этим вроде бы хорошо. Но необходимо чтобы была подмена $extIP2 на
          >>>> адрес $intIf
          >>>> и что то с этим никак. если в строке NAt заменить -а
          >>>> $extIP2 на -а $intIf то перестает все работать.
          >>>> можно ли такое сделать?
          >>> запусти второй natd
          >> поясните, что вторым натом натить? можно с примером?
          > Я подобное на pf делал. Получился то ли 2-ой, то ли 3-ой
          > NAT.

          можно ли пример показать? чтобы суть понять? а то что то я туплю...

          сообщить модератору +/ответить
      • gt оверквотинг удален первый делает проброс портов, а второй подменяет адрес и, !*! Денис (??), 06:32 , 24-Июл-21 (6)
        >[оверквотинг удален]
        >>> via $extIf
        >>> суть какая. при коннекте из внешнего мира на $extIP2 на порт 7654
        >>> пробрасывает на $IPo1:7654.
        >>> С этим вроде бы хорошо. Но необходимо чтобы была подмена $extIP2 на
        >>> адрес $intIf
        >>> и что то с этим никак. если в строке NAt заменить -а
        >>> $extIP2 на -а $intIf то перестает все работать.
        >>> можно ли такое сделать?
        >> запусти второй natd
        > поясните, что вторым натом натить? можно с примером?

        первый делает проброс портов, а второй подменяет адрес источника, если я правильно понял, что требуется
        пример писать лень, но я так делал, когда нужно было постепенно с одного сервера на другой перейти

        сообщить модератору +/ответить
        • Добрый день всем Что то так и не получилось у меня сделать связку Прошу еще раз, !*! omar22 (ok), 14:32 , 27-Июл-21 (7)
          > первый делает проброс портов, а второй подменяет адрес источника, если я правильно
          > понял, что требуется
          > пример писать лень, но я так делал, когда нужно было постепенно с
          > одного сервера на другой перейти

          Добрый день всем.
          Что то так и не получилось у меня сделать связку. Прошу еще раз помощи.
          есть такие правила.
          nat="/sbin/natd -f /etc/natd.conf"

          intIf="em0"
          extIf="em1"
          #extIf2="em2"

          extIP2="1.2.3.4"
          intIP1="5.6.7.8"
          intIPo1="1.2.9.3"

          $fwcmd 1746 divert 8666 log tcp from any to $extIP2 7654 in via $extIf
          $fwcmd 1746 divert 8666 log tcp from $intIPo1 7654 to any out via $extIf

          $nat -a $extIP2 -p 8666 log -redirect_port tcp $intIPo1:7654 7654
          $nat -a $intIP1 -p 8666

          если смотреть tcpdump -n -i em1 port  7654
          то запрос приходит на внешний адрес
          IP ХХ.ХХ.ХХ.ХХ.45166 > extIP2.7654: Flags [S], seq 2874030667, win 65535, options [mss 1420,sackOK,TS val 8236322 ecr 0,nop,wscale 8], length 0
          я так понимаю что правильно
          если смотреть tcpdump -n port 7654
          IP ХХ.ХХ.ХХ.ХХ.51583 > intIPo1.7654: Flags [S], seq 2679570057, win 65535, options [mss 1420,sackOK,TS val 8243881 ecr 0,nop,wscale 8], length 0
          издесь вроде бы редирект ушел но без подмены

          то адрес приходит с внешнего IP и пересылается на внутренний. я так понимаю что почему то без подмены?
          или я завис и что то не догоняю?
          Помогите кто в теме ... никак въехать не могу

          сообщить модератору +/ответить
  • В 9 фре разве нет ядерного ната для ipfw Или у вас специфическая причина natd ис, !*! Аноньимъ (ok), 11:08 , 05-Авг-21 (8)
    В 9 фре разве нет ядерного ната для ipfw?
    Или у вас специфическая причина natd использовать?
    сообщить модератору +/ответить


xfce4-screensaver, обход проверки, !*! Skif, (Авторизация и аутентификация / Linux) 07-Окт-14, 16:02  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
tails in virtualbox, !*! tails in user, (Разное / Linux) 17-Июн-21, 02:46  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Посещаемый форум на i2p, !*! Red7, (ПО для увеличения безопасности / Linux) 01-Окт-17, 17:59  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
FreeBsd Ipfw, !*! DevSet, (Firewall и пакетные фильтры / FreeBSD) 24-Май-21, 14:52  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Можно не пересобиратьsysrc firewall_enable YES или ручками в rc confнастройка л, dl (??), 19:12 , 24-Май-21 (1) +1 !*!
  • как уже сказали выше, нет, не нужно - все можно загрузить модулямkldload ipfw, i, !*! arachnid (ok), 16:36 , 25-Май-21 (3) +1
    как уже сказали выше, нет, не нужно - все можно загрузить модулям

    kldload ipfw, ipfw_nat (модуль libalias подгрузится самостоятельно) - только осторожно - по умолчанию ipfw закрыт - deny all from any to any

    2. не совсем - модули могут быть загружены и одновременно. divert просто перенапрявляет пакеты демону natd

    3. нет

    4. схему приложи - накидаю примерно

    сообщить модератору +1 +/ответить
    • Сейчас конфиг такой rc confInternet ifconfig_em0 inet 1 1 1 1 netmask 255 255 , !*! DevSet (?), 13:42 , 27-Май-21 (4)
      Сейчас конфиг такой:
      rc.conf
      Internet  
      ifconfig_em0="inet 1.1.1.1 netmask 255.255.255.248"  
      Alias internet ftp  
      ifconfig_em0_alias0="inet 1.1.2.1 netmask 255.255.255.255"  
      Local Network  
      ifconfig_em1="inet 192.168.1.10 netmask 255.255.255.0"  
      DMZ  
      ifconfig_em2="inet 192.168.2.10 netmask 255.255.255.0"  

      Правила

      #!/bin/sh  

      #reset rules  
      ipfw -q -f flush  

      #-------main network-------
      #macro  
      net="em0"  
      lan="em1"  
      dmz="em2"  
      cmd="ipfw -q add"  
      skip="skipto 2000"  

      #kernel nat 1 config  
      ipfw -q nat 1 config if $net same_ports unreg_only \  
      redirect_port tcp 192.168.2.31:21 21 \  
      redirect_port tcp 192.168.2.31:20 20 \  
      redirect_port tcp 192.168.2.31:30000-31000 30000-31000 \  
      redirect_port tcp 192.168.1.58:443 443 \  
      redirect_port tcp 192.168.2.60:25 25  

      #-------rules network -------
      #allow networks  
      $cmd 0001 allow all from any to any via $lan  
      $cmd 0002 allow all from any to any via $dmz  
      $cmd 0004 allow all from any to any via lo0  

      #kernel nat 1 in  
      $cmd 0040 nat 1 ip from any to any in via $net  

      #dinamic rules  
      $cmd 0050 check-state  

      #-------out network-------
      #allow trafic from gate out  
      $cmd 0060 $skip tcp from any to any out via $net setup keep-state  
      $cmd 0061 $skip udp from any to any out via $net keep-state  
      $cmd 0062 $skip icmp from any to any out via $net keep-state  

      #exchange trafic out  
      $cmd 0070 $skip tcp from 192.168.1.58 443 to any  
      $cmd 0071 $skip tcp from 192.168.2.60 25 to any  

      #dmz ftp trafic out  
      $cmd 0072 $skip tcp from 192.168.2.31 20,21,30000-31000 to any  

      #-------in network-------
      #exchange trafic in  
      $cmd 0130 allow tcp from any to 192.168.1.58 443  
      $cmd 0131 allow tcp from any to 192.168.2.60 25  

      #dmz ftp trafic in  
      $cmd 0130 allow tcp from any to 192.168.2.31 20,21,30000-31000  

      #-------end network-------
      #deny all  
      $cmd 0500 deny log all from any to any in via $net  
      $cmd 0510 deny log all from any to any out via $net  

      #kernel nat 1 out  
      $cmd 2000 nat 1 ip from any to any out via $net  
      $cmd 3000 allow ip from any to any  

      #deny all other  
      $cmd 4000 deny log all from any to any  

      сообщить модератору +/ответить
    • Приложил , !*! Devset (ok), 11:57 , 31-Май-21 (6)
      > как уже сказали выше, нет, не нужно - все можно загрузить модулям
      > kldload ipfw, ipfw_nat (модуль libalias подгрузится самостоятельно) - только осторожно
      > - по умолчанию ipfw закрыт - deny all from any to
      > any
      > 2. не совсем - модули могут быть загружены и одновременно. divert просто
      > перенапрявляет пакеты демону natd
      > 3. нет
      > 4. схему приложи - накидаю примерно

      Приложил

      сообщить модератору +/ответить
      • и еще вывод команд ipfw show и ipfw nat show config, !*! arachnid (ok), 17:14 , 31-Май-21 (7) +1
        и еще вывод команд ipfw show и ipfw nat show config
        сообщить модератору +1 +/ответить
        • gate-01 ipfw show00001 88144381 64989212950 allow ip from any to any via em1, !*! Devset (ok), 08:44 , 01-Июн-21 (10)
          > и еще вывод команд ipfw show и ipfw nat show config

          gate-01:~ # ipfw show
          00001 88144381 64989212950 allow ip from any to any via em1
          00002     2620      136240 allow ip from any to any via em2
          00003 31867890 18506893372 allow ip from any to any via tun0
          00004      678      171322 allow ip from any to any via lo0
          00010 21442036 10416892137 allow udp from any to me 1194
          00011 23334762 15556716106 allow udp from me 1194 to any
          00020        0           0 deny ip6 from any to any
          00021        0           0 deny udp from any to any 546
          00022        0           0 deny udp from any to any 547
          00040 35883220 43530335534 nat 1 ip from any to any in via em0
          00050        0           0 check-state :default
          00060 49399902 43171443857 skipto 2000 tcp from any to any out via em0 setup keep-state :default
          00061  6522916  3133645162 skipto 2000 udp from any to any out via em0 keep-state :default
          00062     1778      241239 skipto 2000 icmp from any to any out via em0 keep-state :default
          00070     5673     3619426 skipto 2000 tcp from 192.168.1.20 443 to any
          00071      788      114095 skipto 2000 tcp from 192.168.1.21 25 to any
          00130     6819      567081 allow tcp from any to 192.168.1.20 443
          00131      898       68262 allow tcp from any to 192.168.1.21 25
          00140        0           0 allow tcp from 192.168.1.250 to me 70000 in via em0 setup limit src-addr 2 :default
          00500   132920     9709344 deny log logamount 40 ip from any to any in via em0
          00510    31799     3647102 deny log logamount 40 ip from any to any out via em0
          02000 20188473  2789072830 nat 1 ip from any to any out via em0
          03000 55931055 46309063551 allow ip from any to any
          04000        0           0 deny log logamount 40 ip from any to any
          65535      754      116157 deny ip from any to any

          gate-01:~ # ipfw nat show config
          ipfw nat 1 config if em0 same_ports unreg_only redirect_port tcp 192.168.1.21:25 25 redirect_port tcp 192.168.1.20:443 443

          С меня на пиво)

          сообщить модератору +/ответить
          • из того, что вижу и на что рекомендую обращать внимание в будущем при написании, !*! arachnid (ok), 14:04 , 03-Июн-21 (11)
            из того, что вижу (и на что рекомендую обращать внимание в будущем при написании) - выводы того, что мы хотим (в скрипте) и того, что получаем - отличаются. и это сразу повод смотреть в отличия более внимательно :)

            плюс, если разбить правило ната на несколько, будет проще по счетчикам смотреть, что и как. ну и для упрощения понимания можно первыми ставить правила ната на уходящий от нас трафик, а потом в конце обрабатывать входящий - можно будет отказаться от skip

            $int_lan="192.168.0.0/16"

            ipfw nat 10 config if $net deny_in same_port reset
            ipfw nat 20 config if $net redirect_port tcp 192.168.2.31:21 21 192.168.2.31:20 20 192.168.2.31:30000-31000 30000-31000
            ipfw nat 30 config if $net redirect_port tcp 192.168.2.60:25 25
            ipfw nat 40 config if $net redirect_port tcp 192.168.1.58:443 443


            #-------rules network -------
            #allow networks
            $cmd 0001 allow all from any to any via $lan
            # а имеет ли смысл правило 2 ? дмз же нужна, что бы изолировать сервисы, а вы разрешаете все - по хорошему вам надо разрешить пользоватлеям из локалки доступ к необходимым сервисам в дмз и доступ из дмз наружу.
            $cmd 0002 allow all from any to any via $dmz
            $cmd 0004 allow all from any to any via lo0

            # разрешаем прохождение трафика снаружи к сервисам внутри
            $cmd 0040 nat 20 tcp from any to me 20,21,30000-31000 via $net
            $cmd 0041 nat 30 tcp from any to me 25 via $net
            $cmd 0041 nat 40 tcp from any to me 443 via $net

            # разрешаем пользователям локальной сети и дмз уходить наружу
            $cmd 50 nat 10 from $int_lan to any via $net

            # правила 60 и 61 не нужны. опять же, два правила можно заменить одним при использовании allow all вместо allow tcp allow udp

            # и у вас тут как-то странно - вроде как почтовик то в дмз(.2), то в .1

            $cmd 100 allow tcp from 192.168.1.58 443 to any keep-sate


            # разрешаем пакетам снуружи попадать на нат  - оно должно быть последним перед полным запретом
            $cmd 10000 nat 10 ip from any to me via $net

            сообщить модератору +/ответить


Aтрибуд Calling-Station-Id в RADIUS не передается?, !*! INONEI, (Авторизация и аутентификация / Linux) 29-Янв-21, 13:01  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Ну можно tcpdump-ом тем же пакет радиуса прям на интерфейсе перехватить и посмот, !*! fantom (??), 14:29 , 01-Фев-21 (1)
    > Помогите разобраться.
    > Реализован впн с аутентификацией через freeraвius 3, с хранением данных в mysql.
    > Ожидаю в таблице radacct атрибут Calling-Station-Id видеть ип адрес клиентской машины в
    > сети интернет, но записываются данные "2.18". Подскажите, куда посмотреть в радиус
    > или pptpd, чтобы понять почему ip адрес не передается в БД,
    > как этот параметр передается с pptpd в radius. Как настроить запрос
    > sql, чтобы брался именно ип адрес,а не непонятные данные "2.18"?
    > Спасибо!

    Ну можно tcpdump-ом тем же пакет радиуса прям на интерфейсе перехватить и посмотреть, что там в принципе-то нарисовано.

    сообщить модератору +/ответить
AppArmor заблокировать доступ в сеть, !*! sasha, (ПО для увеличения безопасности / Linux) 03-Май-21, 22:16  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Насколько можно доверять серверам Cloudflare в России?, !*! GrayBeard, (Проблемы с безопасностью) 28-Авг-20, 02:31  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Защита внутренней сети , !*! artorius, (Проблемы с безопасностью) 28-Апр-21, 02:54  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Где это Я ничего не имею в виду, просто так спрашиваю Это, в основном, дисци, Licha Morada (ok), 06:29 , 28-Апр-21 (1) !*!
    • Украина, центр Ниша - узкоспециализированная, лечение спины и травм позвоночник, !*! artorius (ok), 16:58 , 28-Апр-21 (3)
      > Где это? Я ничего не имею в виду, просто так спрашиваю. (:

      Украина, центр. Ниша - узкоспециализированная, лечение спины и травм позвоночника.  

      > Если компьютер врача один, то не надо сервер. Пусть только срач в
      > файлах не устраивает, и бакапится регулярно. Например, на флешку.

      хаха, смешно. как раз с этим ведется активная борьба. пока, не очень успешно.

      > Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы,
      > чтобы снаружи кто попало не лез.

      то и пытаюсь сделать. но главное требование - что бы было беспроводное. и тут камень преткновения - либо безопасность и провода, либо не безопасно и потеря данных. а это репутация, и вполне возможна потеря лицензии на мед практику. но пока не случится - "кто нас может взломать?"

      по поводу сервера - согласен, можно даже локалку кинуть и будет общ доступ к файлам как от админа, так и от доктора. полноценный сервер - это я задумал титаник для двух человек сделать. то, чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию. то, что сейчас - хелпдеском (верее, полным отсутствием). сейчас переходим на банальный эксель в самом элементарном виде. но за месяц-два нужно что то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить оболочку для него написать, что бы было юзабельно и понятно (благо руки растут из нужного места, но знаний мало). плюс, если придут проверки МОЗовские, что бы была возм все быстро напечатать и показать им.

      сообщить модератору +/ответить
      • Если очень приспичело, начните не с сервера, а с аппаратного NAS-а По цене буде, !*! Licha Morada (ok), 22:06 , 28-Апр-21 (4)
        >> Если компьютер врача один, то не надо сервер. Пусть только срач в
        >> файлах не устраивает, и бакапится регулярно. Например, на флешку.
        > хаха, смешно. как раз с этим ведется активная борьба. пока, не очень
        > успешно.

        Если очень приспичело, начните не с сервера, а с аппаратного NAS-а. По цене будет примерно то-же самое (если с сервером на базе б/у PC не сравнивать, это вне конкуренции), а разница в простоте настройки и администрирования будет очень существенна.
        Берите из известных брендов которые подешевле. Qnap, Synology, Seagate, Western Digital.
        Если потом всё-таки заведёте сервер, то NAS всё рвно пригодится, бакапы на него будете сливать.

        >> Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы,
        >> чтобы снаружи кто попало не лез.
        > то и пытаюсь сделать. но главное требование - что бы было беспроводное.
        > и тут камень преткновения - либо безопасность и провода, либо не
        > безопасно и потеря данных. а это репутация, и вполне возможна потеря
        > лицензии на мед практику. но пока не случится - "кто нас
        > может взломать?"

        Безпроводное тоже можно сделать безопасным, но это ощутимо дороже. И требует большего скилла не только от исполнителя, но и от заказчика, чтобы распознать туфту.

        Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном, менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин хакер из дома напротив...
        Напомните заказчику что безопасность, это не только про "чтоб не взломали", но ещё и про доступность услуги. Провода помогают не заисеть от степени засранности эфира или от режима работы микроволновой печи у соседей.

        > по поводу сервера - согласен, можно даже локалку кинуть и будет общ
        > доступ к файлам как от админа, так и от доктора. полноценный
        > сервер - это я задумал титаник для двух человек сделать. то,
        > чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию.
        > то, что сейчас - хелпдеском (верее, полным отсутствием).

        Это место непонятно совсем.

        > сейчас переходим на
        > банальный эксель в самом элементарном виде. но за месяц-два нужно что
        > то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить
        > оболочку для него написать, что бы было юзабельно и понятно (благо
        > руки растут из нужного места, но знаний мало). плюс, если придут
        > проверки МОЗовские, что бы была возм все быстро напечатать и показать
        > им.

        Рекомендую поискать готовое решение. Посмотрите, чем пользуются коллеги и конкуренты.
        Заниматься написанием, и главное, поддержкой решения в одно рыло, тем более паралельно с сетью, сервером и техподдержкой пользователей, удовольствие ниже среднего. И для исполнителя, и для его непосредственных клиентов.
        Не факт, что специализированное решение будет лучше банального экселя.


        сообщить модератору +/ответить
        • спасибо, изучусогласен, в принципе, это никому не нужно теоретически - все може, !*! artorius (ok), 01:19 , 29-Апр-21 (6)
          > Если очень приспичело, начните не с сервера, а с аппаратного NAS-а.

          спасибо, изучу

          > Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном,
          > менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин
          > хакер из дома напротив...

          согласен, в принципе, это никому не нужно. теоретически - все может произойти. и уж лучше предупредить, чем разгребать последствия.

          > Это место непонятно совсем.

          самое первое, чем пользовались - бд в ms access. но, 1. нельзя ыбло использовать одновременно, и 2. не устраивал функционал и дизайн
          сейчас пользуемся МИС (мед информ система), но польностью отсутсвует хелпдеск. номинально, он есть. но по факту - нет. просто пример - форма записи пациента выдает ошибку на финальном этапе. как итог - у пациента ошибка, у нас запись появляется, но пациент об этом не знает. и, либо ему звонить, либо нам перезванивать. это - доп усилия как клиента, так и администратора. раньше работал в банке, нас за это вполне реально штрафовали по 360 грн (около 1000 руб). и хд знают об этой ошибке еще с нового года. никаких телодвижений в сторону решения вопроса нет.

          > Не факт, что специализированное решение будет лучше банального экселя.

          украинские МИС имеют ряд проблем. самая главная - отсутствие развития. ни в одной мы не увидели то, что нам необходимо. а переплачивать за функционал, которым мы не пользуемся (ибо некоторые просто огромные) - смысла нет. и уж лучше раз свое написать, настроить, но что бы оно было стабильно и выполняло поставленные задачи.

          в любом случае, спасибо вам огромное за доходчивое разъяснение текущих и последующих проблем!

          сообщить модератору +/ответить
          • Как раз в том и дело, что принцип Неуловимого Джо здесь не работает Направленно , !*! Licha Morada (ok), 03:03 , 29-Апр-21 (7) +1
            > > Кто вас может взломать? Кофеварка заражённая мальварью ...
            > согласен, в принципе, это никому не нужно. теоретически - все может произойти.

            Как раз в том и дело, что принцип Неуловимого Джо здесь не работает.
            Направленно вас атаковать, скорее всего, никто не будет, но на любою тривиальную уязвимость как мухи налетают боты и вандалы.

            > украинские МИС имеют ряд проблем. ... уж лучше раз свое написать, настроить

            Амбициозно.
            Я бы рекомендовал поискать какой-нибудь открытый проект, который можно подрихтовать для ваших нужд и, если надо, украинизировать. Работы меньше, а обществу польза.
            Не обязательно специализированый МИС, возможно, удастся настроить какой-нибудь CRM общего назначения. Это общие соображение, по медицине, тем более украинской, я не в теме.

            Вот навскидку:
            https://en.wikipedia.org/wiki/List_of_open-source_health_sof...
            https://openmrs.org/

            Можно запустить пилот в виртуалке на рабочей станции. Если зайдёт, то просить целевой бюджет под сервер.

            сообщить модератору +1 +/ответить
  • gt оверквотинг удален 1 Совет нанять специалиста Вам уже дали Это важный мом, ыы (?), 09:28 , 28-Апр-21 (2) +1 !*!
  • Поддерживай ПО в актуальном состоянии Своевременное обновление 8212 важный э, !*! Сейд (ok), 22:31 , 28-Апр-21 (5)
    Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент защиты корпоративной сети от несанкционированного доступа.
    сообщить модератору +/ответить


ПО для шифрования данных?, !*! Plum, (ПО для увеличения безопасности / Другая система) 04-Апр-16, 11:10  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Сисадминский юмор, !*! Павел Отредиез, (Разное / Другая система) 18-Апр-21, 10:59  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Что-то в сети режет звонки WhatsApp, !*! timsa, (BSD ipfw, ipf, ip-filter / FreeBSD) 18-Авг-15, 07:23  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Каталог статей на тему этичного хакинга или тестирование на про, !*! maclien2053, (Безопасность системы / Другая система) 15-Мрт-21, 06:27  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
ЕДИНАЯ СИСТЕМА ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ, !*! Аноним, (Авторизация и аутентификация / Другая система) 25-Дек-20, 10:27  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


Для чего нужен reload в ufw?, !*! Аноним, (ПО для увеличения безопасности / Linux) 08-Фев-21, 14:26  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
 
Пометить прочитанным Создать тему
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру