The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Создать новую тему
- Свернуть нити
Пометить прочитанным
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |  
Форум Информационная безопасность
Соединение двух подсетей по IPsec, !*! bm_rec, (VPN, IPSec) 29-Янв-21, 00:41  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
FTP за NAT на нестандартном порту, !*! Smjbv, (Linux iptables, ipchains) 29-Янв-21, 03:19  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
VPN for Iphone 5s HELP!!!!, !*! ciganvasya, (VPN, IPSec / Другая система) 02-Фев-16, 14:48  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Локальный администратрп, !*! Reyf777, (Разное / Другая система) 28-Янв-21, 00:02  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Проброс трафика через 2-ю машину, !*! Alex, (Linux iptables, ipchains) 08-Янв-21, 22:15  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Проверенный VPN сервис, !*! lemana, (VPN, IPSec / Другая система) 08-Ноя-09, 22:21  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Новый драйвер Intel RFIM и Техника скрытой передачи данных..., !*! Аноним, (Обнаружение и предотвращение атак / Linux) 16-Дек-20, 14:57  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
изолировать от сети сохранив передачу данных, как?, !*! несторМахно, (Безопасность системы) 20-Июл-20, 15:18  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Ага, шапочка из фольги, говорят, помогает По теме - бред какой-то несешь Взлома, Аноним (1), 16:36 , 20-Июл-20 (1) !*!
  • Ну что же ты так, недопараноил Предположим, что в данных, которые отдаёт В , си, ACCA (ok), 16:46 , 20-Июл-20 (2) !*!
  • Противоречие Или надо переопределить термины, чтобы появилось пересечение между, !*! Licha Morada (ok), 02:02 , 21-Июл-20 (14)
    > аппаратно изолировать
    > сохранив при этом возможность передачи данных

    Противоречие. Или надо переопределить термины, чтобы появилось пересечение между "ещё можно обмениваться данными" и "уже аппаратно изолированно".

    Пусть оператор читает с экрана одной машины и набивает данные на другой. Это достаточно изолированно?
    Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой.
    Не так давно описывали сценарий проникновения в изолированную сеть когда одна машина пищала динамиком, а другая слушала микрофоном.

    Или пусть оператор на внешних носителях таскает данные, хотя иранские центрифуги от Stuxnet это не спасло.

    Вроде бы, можно порт USB перевести в роль device, так чтобы одни компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию, или уже нет? Хотя, я бы больше доверил сети IP.


    Вам про изолированную сеть дело писали, она может быть просто шнурком от одной машины к другой.
    Интернет - сервер А - изолированная сеть - сервер Б.

    Если процесс позволяет, сервер Б можно держать отключённым, от эенергии и/или от изолированной сети, и включать только когда надо переборсить данные.
    Для каждой транзакции, сервер А можно загружать с RO носителя и на время отключать от Internet.

    Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств которые вы готовы терпеть.

    сообщить модератору +/ответить
    • интересная идея, но это должно быть довольно медленно вот тут затрудняюсь ответи, !*! несторМахно (?), 04:53 , 21-Июл-20 (15)
      > Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой.

      интересная идея, но это должно быть довольно медленно.

      > Вроде бы, можно порт USB перевести в роль device, так чтобы одни
      > компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию,
      > или уже нет? Хотя, я бы больше доверил сети IP.

      вот тут затрудняюсь ответить, буду изучать эту возможность.

      > Для каждой транзакции, сервер А можно загружать с RO носителя и на
      > время отключать от Internet.

      вот это тоже интересно, не подумал об этом, сейчас уже утро а не спал еще, в более адекватном состоянии обдумаю.

      > Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств
      > которые вы готовы терпеть.

      да, согласен полностью.

      Licha Morada, спасибо вам за варианты!


      сообщить модератору +/ответить
  • Как вариант - SAN СХД технологии машина_А подключается к FC-switch или SAS-s, !*! Аноним (16), 20:38 , 23-Июл-20 (16)
    > смысл чтобы обмениваться данными без участия сетевых программ и протоколов.

    Как вариант - SAN (СХД) технологии.
    [машина_А] подключается к FC-switch или SAS-switch и монтирует LUN, выделенный для совместного использования с [машина_С с rsync].
    На серверах нужна поддержка кластерной файловой системы (shared disks). Или можно просто по очереди монтировать этот LUN по расписанию. :)

    сообщить модератору +/ответить


IPFW +VLAN правило на запрет трафика., !*! Evonder, (BSD ipfw, ipf, ip-filter / FreeBSD) 16-Май-18, 15:25  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Добавил 2 таких правила fwcmd 12 deny all from 192 168 32 0 24 to any out vi, !*! Evonder (ok), 16:02 , 16-Май-18 (1)
    > Добрый день настроил точку доступа микротик для доступа к wi-fi. На точке
    > работает 2 сети, основная, для офиса и гостевая -виртуальная. Для гостевой
    > настроен vlan 20, точка соединена с сетью единственным кабелем.
    >   Основная сеть 192.168.31.0/24 и гостевая 192.168.32.0/24.
    >   Шлюз на freebsd11. re0-$Lan и re1-$Inet. Для vlan поднял интерфейс
    > re0.20-$Vlan, поднял DHCP и сделал привязку к интерфейсу $Vlan.
    >   Теперь вопрос, каким правилом можно запретить трафик между $Lan и
    > $Vlan. На текущий момент хосты друг друга без проблем видят.
    >   Умолчальное правило для IPFW allow ane from any via $Lan

       Добавил 2 таких правила:
    $fwcmd 12 deny all from 192.168.32.0/24 to any out via $Lan
    $fwcmd 12 deny all from 192.168.31.0/24 to any out via $Vlan
      И получил что хотел.
    Нубский вопрос, почему не работает правило вида:
    $fwcmd 12 deny all from $Vlan to any out xmit $Lan
    Выдает ошибку announ host ""re0.20""
    Насколько безопасна такая реализация правил, как наверху, заблочит ли это вирусы от "клиентов" со стороны и любопытных товарищей?

    сообщить модератору +/ответить
Наиболее полный список адрессов гугла, где найти ?, !*! Аноним, (Linux iptables, ipchains / Linux) 03-Дек-20, 15:23  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Какие криптографические смарткарты шифруют канал обмена с PC?, !*! sanyo, (Шифрование, SSH, SSL / Linux) 11-Окт-20, 04:23  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Где надежнее защита веб-сервера?, !*! Аноним, (Проблемы с безопасностью) 08-Ноя-20, 21:29  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


PAX: refcount overflow detected in: *, !*! Аноним, (Проблемы с безопасностью) 08-Ноя-20, 19:05  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Strongswan. Резервирование VPN-cерверов., !*! zomka25, (VPN, IPSec / Linux) 06-Ноя-20, 00:36  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • gt оверквотинг удален Если я хоть что-то понял, то была похожая ситуация б, !*! Аноним (1), 14:53 , 06-Ноя-20 (1)
    >[оверквотинг удален]
    > 1. Есть две площадки. На каждой поднято по одному серверу на ОС
    > Убунта 18.04 (ядро 5.3.ххх) + Strongswan (5.8.1). Сервера спрятаны за роутерами
    > Cisco (DNAT), при этом сервера строят IPSec на нестандартных портах, не
    > udp/500 и udp/4500. Решено обеспечить отказоустойчивость - на каждой площадке использовать
    > по два сервера в режиме MASTER/BACKUP c использованием сервиса keepalived (VRRP).
    > Но столкнулся с проблемой "тупняка" установки нового туннеля, когда основной сервер
    > в пределах площадки уходит в состояние BACKUP (при этом стопается сервис
    > ipsec), а резервный сервер  получает статус MASTER и пытается установить
    > новый туннель. Порой туннель не устанавливается пока не перезагрузить ipsec на
    > удаленном сервере-партнере.

    Если я хоть что-то понял, то... была похожая ситуация (без цисок и vpn) в случае с построением отказоустойчивого шлюза, когда было важно обеспечить удержание открытых сессий клиентов в рабочем состоянии при переключении с мастера на слейва (гы, all lives matter). Но это было на фряхе, и там задачка решилась при помощи pfsync. Поищи аналог на линуксе. По-моему, проблемы одного поля ягоды.

    сообщить модератору +/ответить
    • Спасибо Посмотрю pfsync Попробовал другую схему на тестовом стенде Сервера с к, !*! zomka25 (ok), 09:50 , 09-Ноя-20 (4)
      >>[оверквотинг удален]
      >> 1. Есть две площадки. На каждой поднято по одному серверу на ОС
      >> Убунта 18.04 (ядро 5.3.ххх) + Strongswan (5.8.1). Сервера спрятаны за роутерами
      >> Cisco (DNAT), при этом сервера строят IPSec на нестандартных портах, не
      > Если я хоть что-то понял, то... была похожая ситуация (без цисок и
      > vpn) в случае с построением отказоустойчивого шлюза, когда было важно обеспечить
      > удержание открытых сессий клиентов в рабочем состоянии при переключении с мастера
      > на слейва (гы, all lives matter). Но это было на фряхе,
      > и там задачка решилась при помощи pfsync. Поищи аналог на линуксе.
      > По-моему, проблемы одного поля ягоды.

      Спасибо. Посмотрю pfsync.
      Попробовал другую схему на тестовом стенде. Сервера с каждой площадки держат активные парные туннели. За ними роутеры создают GRE тунели через каждую пару серверов, а OSPF выбирает маршрут. Попробовал использовать балансировку на базе OSPF, но что-то она не впечатлила. Хотя возможно что-то упустил.

      сообщить модератору +/ответить
  • А почему не держать оба тунеля в апе, и разрулить на уровне роутинга BGP Давно у, !*! shadow_alone (ok), 21:30 , 08-Ноя-20 (2)
    А почему не держать оба тунеля в апе, и разрулить на уровне роутинга BGP?
    Давно уходят от мастер-слейв, ECMP тебе в помощь
    сообщить модератору +/ответить
Абузоустойчивый хостинг выбрать какой?, !*! allesha227, (Разное) 01-Авг-19, 13:22  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Как не пропускать спам на relay, !*! diggge, (Блокирование спама и вирусов / FreeBSD) 12-Апр-17, 15:28  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Хранят ли УЦ закрытые ключи?, !*! ООО Вектор, (Разное) 27-Дек-19, 01:13  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Закрытй ключ остаётся у них Могут сказать, что нет, но это ложь , Аноним (1), 08:42 , 27-Дек-19 (1) !*!
  • Делал через Taxcom Через браузер csr Возможно нужен CrypToPro , izyk (ok), 17:28 , 27-Дек-19 (2) !*!
  • Ты и только ты, всегда сам, должен создавать приватный ключ Публичную часть клю, !*! Аноним (4), 10:19 , 07-Май-20 (4)
    > Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
    > ключ, делаю csr и получаю открытый ключ.
    > А как обстоит дело с этим в нашем ЭЦП?
    > По телефону дали понять что все делается в УЦ на их оборудовании.
    > На вопрос о закрытом ключе толком ответить не могут.

    Ты и только ты, всегда сам, должен создавать приватный ключ. Публичную часть ключа, с распечаткой, подписью и печатью несеш им лично для удостоверения что это ты. Удостоверяющий центр подписывает только публичную часть ключа.

    Если удостоверяющий центр скажет давайте мы за вас создадим приватный ключ не соглашайтесь - это развод лохов.

    Для РФ генерил в КриптоПро которое завилось только под виндой, версия под GNU/Linux не работала (8 лет назад).

    сообщить модератору +/ответить
    • Ещё может быть ущербена бюрократическая процедуры, или сам норматив Вы делаете п, !*! Licha Morada (ok), 21:02 , 07-Май-20 (5)

      > Если удостоверяющий центр скажет давайте мы за вас создадим приватный ключ не
      > соглашайтесь - это развод лохов.

      Ещё может быть ущербена бюрократическая процедуры, или сам норматив.
      Вы делаете правильное замечание, но, к сожалению, законодатели и дизайнеры услуг веремя от времени косячат на фундаментальном уровне. Объехать это трудно или невозможно, так что приходится оценивать риски. Или отказываться связываться вообще, отдавая преимущество конкурентам которые решили рискнуть.

      сообщить модератору +/ответить
      • Я лично 8 лет назад получал ключи Еще раз, пару открытый приватный ключ создает, !*! Аноним (6), 17:42 , 11-Май-20 (6) +1
        > Ещё может быть ущербена бюрократическая процедуры, или сам норматив.
        > Вы делаете правильное замечание, но, к сожалению, законодатели и дизайнеры услуг веремя от времени косячат на фундаментальном уровне.

        Я лично 8 лет назад получал ключи. Еще раз, пару открытый/приватный ключ создает лично владелец подписи. Мы для этого покупали комп и КрыптоПро, под виндой, для GNU/Linux не работало. Владелец создавал пару, публичный с запросом отдавал мне, а секретный хранил на своей спец флешке.

        Я не подписывал обязаности инженера по ИБ, был самым обычным сысадмином.

        Если они не захотят с паспортами лично перется в удостоверяющий центр, а они ВСЕ не захотели, то каждый пишет и надлежащим образом заверяет на твое имя доверенность. Потом со всеми этими доверенностям, распечатками публичных ключей и их отпечатков с мокрыми печатями и личными подписями, а также флешкой с публичными ключами и их запросами шел лично в удостоверяющий центр. Предъявлял свой паспорт с рук, они проверяли все доверенности, все распечатки ключей потом меня отпустили. Если будут косяки в доверенностям или распечатка ключей то конечно откажут! Через день два они перезвонили я к ним опять подошло и мне отдали флешку с уже подписанными публичными ключами.

        Хоть инженером по ИБ официально не был, мозгоебщиком не являюсь по натуре, но если видел, что секретный ключ валяется не в надлежащем месте сразу отзывал серт! Файлы для отзыва всех сертификатов у меня были с публичными ключами. Потом заставлял создать новый сертификат и нес его публичную часть со всеми бумагами в удостоверяющий центр. У нас с ними был договор, на внезапные отзывы смотрели косо, но свою работу делали, новые серты подписывали без проблем.

        сообщить модератору +1 +/ответить
      • Ты мне пальцем в косяк ткни 63 ФЗ, написанный кажется более-мение нормально Иск , !*! Аноним (8), 18:41 , 16-Июл-20 (8) +1
        >  к сожалению, законодатели и дизайнеры услуг веремя от времени косячат на фундаментальном уровне.

        Ты мне пальцем в косяк ткни 63 ФЗ, написанный кажется более-мение нормально.

        > Объехать это трудно или невозможно

        Иск в суд на УЦ за нарушение ФЗ 63 с требованием лишить их лицензии и выплатить компенсацию морального вреда.

        сообщить модератору +1 +/ответить
  • Такие удостоверяющие центры, которые требуют отдать им приватный ключ, или сами , !*! Аноним (8), 18:34 , 16-Июл-20 (7) +3
    > На вопрос о закрытом ключе толком ответить не могут.

    Такие удостоверяющие центры, которые требуют отдать им приватный ключ, или сами создают приватный ключ и отдают клиенту надо лишать лицензии!

    http://www.consultant.ru/document/cons_doc_LAW_112701/c50517.../

    Приватный ключ:
    5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

    Публичный ключ:
    6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

    Результат деятельности Российского УЦ (сертификат на ваш публичный ключ):
    2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
    14) вручение сертификата ключа проверки электронной подписи - передача доверенным лицом удостоверяющего центра созданного этим удостоверяющим центром сертификата ключа проверки электронной подписи его владельцу;

    Русский УЦ:
    7) удостоверяющий центр - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;

    Проверки Российского УЦ (подписать своим приватным ключом заявку на получение сертификата):
    15) подтверждение владения ключом электронной подписи - получение удостоверяющим центром, уполномоченным федеральным органом доказательств того, что лицо, обратившееся за получением сертификата ключа проверки электронной подписи, владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному таким лицом для получения сертификата;

    сообщить модератору +3 +/ответить
    • Возможные проверки при выдачи сертификата усилений электронной подписи строго ог, !*! Аноним (9), 16:29 , 19-Июл-20 (9)
      Возможные проверки при выдачи сертификата усилений электронной подписи строго ограничены ст.10 ФЗ#63

      http://www.consultant.ru/document/cons_doc_LAW_112701/e13bdc.../

      Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей

      1. При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:

      1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

      2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;

      3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

      4) использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

      2. Участники электронного взаимодействия не вправе устанавливать иные, за исключением предусмотренных настоящим Федеральным законом, ограничения признания усиленной квалифицированной электронной подписи. Нарушение запрета на ограничение ........ по любым причинам, кроме предусмотренных настоящим Федеральным законом, не допускается.

      сообщить модератору +/ответить
  • Пару приватный-публичный ключ вы создаете САМИ ЛИЧНО НА СВОЕМ ОБОРУДОВАГИИ Закон, !*! Аноним (10), 14:48 , 03-Авг-20 (10)
    Пару приватный-публичный ключ вы создаете САМИ ЛИЧНО НА СВОЕМ ОБОРУДОВАГИИ.

    Законодатель дает право создать приватный ключ по вашему обращению:

    http://www.consultant.ru/document/cons_doc_LAW_112701/

    ст. 13, п.1, пп. 7:
    7) создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

    Он обязан соблюдать конфиденциальность приватных ключей:
    ст. 13, п.2, пп. 4:
    4) обеспечивать конфиденциальность созданных удостоверяющим центром ключей электронных подписей;

    Сертификаты ключей проверки электронных подписей УЦ создайте всегда сам и на своем оборудовании:

    ст.13, п.1, пп.1:
    1) создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям)...

    ст.14, п.1:
    1. Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки электронной подписи на основании соглашения между удостоверяющим центром и заявителем.

    ст.17, п.1:
    1. Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра.

    сообщить модератору +/ответить
  • Прочел ФЕДЕРАЛЬНЫЙ ЗАКОН N 63 ОБ ЭЛЕКТРОННОЙ ПОДПИСИОтбило охоту получать квалиф, !*! Аноним (10), 15:00 , 03-Авг-20 (11)
    Прочел ФЕДЕРАЛЬНЫЙ ЗАКОН N 63 ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

    Отбило охоту получать квалифицированную ЭП следующие два пункта:

    ст. 18
    п. 1, пп. 4
    4) предложить использовать шифровальные (криптографические) средства, указанные в части 19 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", физическим лицам, обратившимся к нему в целях проведения идентификации без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы (для предоставления биометрических персональных данных физического лица в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством сети "Интернет"), и указать страницу сайта в информационно-телекоммуникационной сети "Интернет", с которой безвозмездно предоставляются эти средства. При этом в случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством информационно-телекоммуникационной сети "Интернет" при выдаче сертификата ключа проверки электронной подписи отказывается от использования шифровальных (криптографических) средств, аккредитованный удостоверяющий центр обязан отказать такому лицу в проведении идентификации и выдаче сертификата ключа проверки электронной подписи.

    Комент: А почему не предложить сразу вшить чип в *опу, а если не захотят то отказывать такому лицу.

    п. 3
    3. При получении квалифицированного сертификата заявителем он должен быть ознакомлен аккредитованным удостоверяющим центром с информацией, содержащейся в квалифицированном сертификате. Подтверждение ознакомления с информацией, содержащейся в квалифицированном сертификате, осуществляется под расписку посредством использования заявителем квалифицированной электронной подписи при наличии у него действующего квалифицированного сертификата либо посредством простой электронной подписи заявителя - физического лица, ключ которой получен им при личном обращении в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, устанавливаемых Правительством Российской Федерации, при условии идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы. Указанное согласие, подписанное электронной подписью, в том числе простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица. Удостоверяющий центр обязан хранить информацию, подтверждающую ознакомление заявителя с информацией, содержащейся в квалифицированном сертификате, в течение всего срока осуществления своей деятельности.

    Комент: Почему не предусмотрена личная подпись на бумаге? Зачем мне еще надо получать простую ЭЦП?

    сообщить модератору +/ответить
    • Плохо прочитал ФЗ, попробуй ещё Обязан предложить Обязан аутентифицировать п, !*! Аноним (12), 19:04 , 10-Сен-20 (12)
      > Прочел ФЕДЕРАЛЬНЫЙ ЗАКОН N 63 ОБ ЭЛЕКТРОННОЙ ПОДПИСИ
      > Комент: А почему не предложить сразу вшить чип в *опу, а если
      > не захотят то отказывать такому лицу.

      Плохо прочитал ФЗ, попробуй ещё. Обязан предложить != Обязан аутентифицировать посредством ЕБС.

      > Комент: Почему не предусмотрена личная подпись на бумаге? Зачем мне еще надо
      > получать простую ЭЦП?

      Ещё одно доказательство что читал плохо. Посмотри определение простой ЭП в том же ФЗ.
      А подпись ты поставишь после выпуска ЭП на сведениях о сертификате, что "негласно" считается актом приемки-педерачи. Но это зависит от УЦ.

      сообщить модератору +/ответить
      • При этом в случае, если физическое лицо для предоставления своих биометрических, !*! Аноним (13), 13:15 , 11-Сен-20 (13)
        > Плохо прочитал ФЗ, попробуй ещё. Обязан предложить != Обязан аутентифицировать посредством ЕБС.

        "При этом в случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством информационно-телекоммуникационной сети "Интернет" при выдаче сертификата ключа проверки электронной подписи отказывается от использования шифровальных (криптографических) средств, аккредитованный удостоверяющий центр ОБЯЗАН ОТКАЗАТЬ такому лицу в проведении идентификации и выдаче сертификата ключа проверки электронной подписи."

        > Ещё одно доказательство что читал плохо. Посмотри определение простой ЭП в том же ФЗ.
        > А подпись ты поставишь после выпуска ЭП на сведениях о сертификате, что "негласно" считается актом приемки-педерачи. Но это зависит от УЦ.

        "Подтверждение ознакомления с информацией, содержащейся в квалифицированном сертификате, осуществляется под расписку посредством использования заявителем КВАЛИФИЦИРОВАННОЙ  ЭЛЕКТРОННОЙ ПОДПИСИ при наличии у него действующего квалифицированного сертификата либо посредством ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСИ заявителя - физического лица, ключ которой получен им при личном обращении в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, устанавливаемых Правительством Российской Федерации, при условии идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы. Указанное согласие, подписанное ЭЛЕКТРОННОЙ ПОДПИСЬЮ, в том числе ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСЬЮ, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица."

        сообщить модератору +/ответить


Теоиетический опрос. , !*! Павел Отредиез, (Разное / Linux) 28-Авг-20, 17:45  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Мой ответ cap_fowner , !*! Павел Отредиез (?), 17:46 , 28-Авг-20 (1)
  • cap_chgrp , !*! PavelR (??), 07:09 , 31-Авг-20 (2)
    > Если не смотреть в текущие реализации *nix, то по Вашему мнению.
    > Кто должен обладать правом смены группы файла - cap_chown или cap_fowner?

    cap_chgrp ?? )))

    сообщить модератору +/ответить
    • Я серьёзно Просто у меня есть патч, который меняет и это Прав ли я изменив cap, !*! Павел Отредиез (?), 18:53 , 31-Авг-20 (3)
      >> Если не смотреть в текущие реализации *nix, то по Вашему мнению.
      >> Кто должен обладать правом смены группы файла - cap_chown или cap_fowner?
      > cap_chgrp ?? )))

      Я серьёзно. Просто у меня есть патч, который меняет и это. Прав ли я изменив cap_chown на cap_fowner?

      сообщить модератору +/ответить
      • Я как-то явно механики capabilities и не использовал никогда Чем cap_chown тебе , !*! PavelR (??), 19:09 , 31-Авг-20 (4)
        >>> Если не смотреть в текущие реализации *nix, то по Вашему мнению.
        >>> Кто должен обладать правом смены группы файла - cap_chown или cap_fowner?
        >> cap_chgrp ?? )))
        > Я серьёзно. Просто у меня есть патч, который меняет и это. Прав
        > ли я изменив cap_chown на cap_fowner?

        Я как-то явно механики capabilities и не использовал никогда.
        Чем cap_chown тебе не угодил? Я тут в маны глянул, функция у него ограниченная, разве есть проблема обе capability выдать, если надо?

        В ограниченности этой capability и заключен её смысл. Процесс сможет делать chown но не сможет делать всё остальное, для чего потребовался бы cap_fowner. Т.е. выдавать cap_fowner - это выдавать излишние привилегии, что не безопасно.

        Как-то так я понял всю эту кухню. Могу быть не прав, бегло ознакомился )

        сообщить модератору +/ответить
        • gt оверквотинг удален Понял Вашу мысль Дело в логике Рядовой пользователь ме, !*! Павел Отредиез (?), 19:20 , 31-Авг-20 (5)
          >[оверквотинг удален]
          >> Я серьёзно. Просто у меня есть патч, который меняет и это. Прав
          >> ли я изменив cap_chown на cap_fowner?
          > Я как-то явно механики capabilities и не использовал никогда.
          > Чем cap_chown тебе не угодил? Я тут в маны глянул, функция у
          > него ограниченная, разве есть проблема обе capability выдать, если надо?
          > В ограниченности этой capability и заключен её смысл. Процесс сможет делать chown
          > но не сможет делать всё остальное, для чего потребовался бы cap_fowner.
          > Т.е. выдавать cap_fowner - это выдавать излишние привилегии, что не безопасно.
          > Как-то так я понял всю эту кухню. Могу быть не прав, бегло
          > ознакомился )

          Понял Вашу мысль.
          Дело в логике. Рядовой пользователь меняет группу файла только на основании владения файлом. Логично было бы и для рута эти операции отнести к cap_fowner.

          сообщить модератору +/ответить
VPN сеть устан, а интернет не работает при использовании роутер, !*! Vilis, (Разное / Другая система) 23-Мрт-20, 18:32  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Я так понимаю, это происходит на одном и том-же кленте Покажите таблицу маршрути, !*! Licha Morada (ok), 18:53 , 23-Мрт-20 (1)
    > Добрый день!
    > Не уверен, в нужный ли раздел пишу, но рискну...
    > Есть клиент OpenVPN на устройстве под Windows или Android.
    > Есть свой сервер с сервером OpenVPN, в конфиге указано push "redirect-gateway def1
    > bypass-dhcp".
    > Если клиент устанавливает VPN соединение через GSM, то видна как сеть VPN,
    > так и работает интернет, клиент получает IP сервера.
    > Но! Если клиент работает в локальной сети через роутер, то сеть VPN
    > открывается, но интернет на устройстве клиента не работает.

    Я так понимаю, это происходит на одном и том-же кленте.
    Покажите таблицу маршрутизации клиента, когда он подключём к VPN через GSM, и когда "в локальной сети через роутер".

    Проверьте, что значит "не работает интернет", может, дело в ДНС. Имена хостов резольвятся?


    сообщить модератору +/ответить
    • gt оверквотинг удален Добрый день Огромное спасибо за отзыв помочь Все дни по, !*! Vilis (ok), 17:21 , 28-Мрт-20 (2)
      >[оверквотинг удален]
      >> bypass-dhcp".
      >> Если клиент устанавливает VPN соединение через GSM, то видна как сеть VPN,
      >> так и работает интернет, клиент получает IP сервера.
      >> Но! Если клиент работает в локальной сети через роутер, то сеть VPN
      >> открывается, но интернет на устройстве клиента не работает.
      > Я так понимаю, это происходит на одном и том-же кленте.
      > Покажите таблицу маршрутизации клиента, когда он подключём к VPN через GSM, и
      > когда "в локальной сети через роутер".
      > Проверьте, что значит "не работает интернет", может, дело в ДНС. Имена хостов
      > резольвятся?

      Добрый день!
      Огромное спасибо за отзыв помочь! Все дни после этого ну совершенно не мог ответить.

      Клиенты либо ноут под Виндоус, либо телефон под Андроид. На них запускается или не запускается OpenVPN. У обоих клиентов одинаковая проблема.
      Оба либо работают через WIFI роутера  (через роутер, короче говоря :) - интернет не доступен при включенном OpenVPN на них,
      либо ноут работает через WIFI точки доступа телефона, но телефон при этом уже работает не через роутер, а через GSM. Тогда у обоих устройств все нормально.

      По поводу "не работает интернет". Извините, я не в терминах, да и не в знаниях Вашей специализации :)
      Не открываются страницы ни Chrome, ни в Explorer как по имени, так и по IP - например, ни rbc.ru, ни 80.68.253.3. Причем вот что только что обнаружил: Я сейчас работаю в домашней ЛВС. В сети OPenVPN у меня есть еще одна ЛВС на даче. Так вот устройства другой сети пингуюся в командной строке, но в браузерах на открываются при запущенном OpenVPN. Устройства в домашней сети доступны в браузере.

      Маршрутизация:

      VPN через GSM:

      Список интерфейсов
      15...70 5a 0f 65 53 e8 ......Realtek PCIe FE Family Controller
      17...46 1c a8 2b 01 39 ......Microsoft Wi-Fi Direct Virtual Adapter
      11...44 1c a8 2b 01 39 ......Microsoft Wi-Fi Direct Virtual Adapter #2
      16...00 ff c1 8d a5 5d ......TAP-Windows Adapter V9
      20...44 1c a8 2b 01 39 ......Realtek RTL8723BE 802.11 bgn Wi-Fi Adapter
        6...44 1c a8 2b 01 3a ......Bluetooth Device (Personal Area Network)
        1...........................Software Loopback Interface 1
      ===========================================================================

      IPv4 таблица маршрута
      ===========================================================================
      Активные маршруты:
      Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
                0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.193     55
                0.0.0.0        128.0.0.0         10.8.0.9        10.8.0.10     35
               10.8.0.0    255.255.255.0         10.8.0.9        10.8.0.10     35
               10.8.0.8  255.255.255.252         On-link         10.8.0.10    291
              10.8.0.10  255.255.255.255         On-link         10.8.0.10    291
              10.8.0.11  255.255.255.255         On-link         10.8.0.10    291
              127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
              127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
        127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
              128.0.0.0        128.0.0.0         10.8.0.9        10.8.0.10     35
         178.62.225.129  255.255.255.255     192.168.43.1   192.168.43.193     55
           192.168.43.0    255.255.255.0         On-link    192.168.43.193    311
         192.168.43.193  255.255.255.255         On-link    192.168.43.193    311
         192.168.43.255  255.255.255.255         On-link    192.168.43.193    311
          192.168.137.0    255.255.255.0         On-link     192.168.137.1    281
          192.168.137.1  255.255.255.255         On-link     192.168.137.1    281
        192.168.137.255  255.255.255.255         On-link     192.168.137.1    281
              224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
              224.0.0.0        240.0.0.0         On-link    192.168.43.193    311
              224.0.0.0        240.0.0.0         On-link     192.168.137.1    281
              224.0.0.0        240.0.0.0         On-link         10.8.0.10    291
        255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        255.255.255.255  255.255.255.255         On-link    192.168.43.193    311
        255.255.255.255  255.255.255.255         On-link     192.168.137.1    281
        255.255.255.255  255.255.255.255         On-link         10.8.0.10    291
      ===========================================================================
      Постоянные маршруты:
        Отсутствует

      IPv6 таблица маршрута
      ===========================================================================
      Активные маршруты:
      Метрика   Сетевой адрес            Шлюз
        1    331 ::1/128                  On-link
      20    311 fe80::/64                On-link
      11    281 fe80::/64                On-link
      16    291 fe80::/64                On-link
      11    281 fe80::b135:c55a:9106:9488/128
                                          On-link
      20    311 fe80::b407:3568:565:9a8a/128
                                          On-link
      16    291 fe80::e546:115f:9b37:c390/128
                                          On-link
        1    331 ff00::/8                 On-link
      20    311 ff00::/8                 On-link
      11    281 ff00::/8                 On-link
      16    291 ff00::/8                 On-link
      ===========================================================================
      Постоянные маршруты:
        Отсутствует

      VPN через роутер:

      Список интерфейсов
      15...70 5a 0f 65 53 e8 ......Realtek PCIe FE Family Controller
      17...46 1c a8 2b 01 39 ......Microsoft Wi-Fi Direct Virtual Adapter
      11...44 1c a8 2b 01 39 ......Microsoft Wi-Fi Direct Virtual Adapter #2
      16...00 ff c1 8d a5 5d ......TAP-Windows Adapter V9
      20...44 1c a8 2b 01 39 ......Realtek RTL8723BE 802.11 bgn Wi-Fi Adapter
        6...44 1c a8 2b 01 3a ......Bluetooth Device (Personal Area Network)
        1...........................Software Loopback Interface 1
      ===========================================================================

      IPv4 таблица маршрута
      ===========================================================================
      Активные маршруты:
      Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
                0.0.0.0          0.0.0.0      192.168.2.1     192.168.2.50     50
                0.0.0.0        128.0.0.0         10.8.0.9        10.8.0.10     35
               10.8.0.0    255.255.255.0         10.8.0.9        10.8.0.10     35
               10.8.0.8  255.255.255.252         On-link         10.8.0.10    291
              10.8.0.10  255.255.255.255         On-link         10.8.0.10    291
              10.8.0.11  255.255.255.255         On-link         10.8.0.10    291
              127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
              127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
        127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
              128.0.0.0        128.0.0.0         10.8.0.9        10.8.0.10     35
         178.62.225.129  255.255.255.255      192.168.2.1     192.168.2.50     50
            192.168.2.0    255.255.255.0         On-link      192.168.2.50    306
           192.168.2.50  255.255.255.255         On-link      192.168.2.50    306
          192.168.2.255  255.255.255.255         On-link      192.168.2.50    306
              224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
              224.0.0.0        240.0.0.0         On-link      192.168.2.50    306
              224.0.0.0        240.0.0.0         On-link         10.8.0.10    291
        255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        255.255.255.255  255.255.255.255         On-link      192.168.2.50    306
        255.255.255.255  255.255.255.255         On-link         10.8.0.10    291
      ===========================================================================
      Постоянные маршруты:
        Отсутствует

      IPv6 таблица маршрута
      ===========================================================================
      Активные маршруты:
      Метрика   Сетевой адрес            Шлюз
        1    331 ::1/128                  On-link
      20    306 fe80::/64                On-link
      16    291 fe80::/64                On-link
      20    306 fe80::b407:3568:565:9a8a/128
                                          On-link
      16    291 fe80::e546:115f:9b37:c390/128
                                          On-link
        1    331 ff00::/8                 On-link
      20    306 ff00::/8                 On-link
      16    291 ff00::/8                 On-link
      ===========================================================================
      Постоянные маршруты:
        Отсутствует

      сообщить модератору +/ответить
      • Поведение, которое вы описываете, может быть связанно с конфигурацией прокси в б, !*! Licha Morada (ok), 21:26 , 30-Мрт-20 (3)
        > Не открываются страницы ни Chrome, ни в Explorer как по имени, так
        > и по IP - например, ни rbc.ru, ни 80.68.253.3. Причем вот
        > что только что обнаружил: Я сейчас работаю в домашней ЛВС. В
        > сети OPenVPN у меня есть еще одна ЛВС на даче. Так
        > вот устройства другой сети пингуюся в командной строке, но в браузерах
        > на открываются при запущенном OpenVPN. Устройства в домашней сети доступны в
        > браузере.

        Поведение, которое вы описываете, может быть связанно с конфигурацией прокси в браузере, которая применяется в сети WIFI роутера, и отсутствует в сети WIFI точки доступа телефона. Это гипотеза.

        Проверьте "наличие или отсутствие интернета" не браузером, а пингом. По имени и по IP адресу.

        > VPN через GSM:
        > ...
        > VPN через роутер:
        > ...

        Таблицы более или менее экивалентны. Суда по ним:

        Сеть WIFI роутера 192.168.2.0/24
        Адрес шлюза 192.168.2.1
        Ваш адрес 192.168.2.50

        Сеть WIFI точки доступа телефона 192.168.43.0/24
        Адрес шлюза 192.168.43.1
        Ваш адрес 192.168.43.193

        Адрес VPN сервера в Интернете: 178.62.225.129
        Пул адресов в сети VPN 10.8.0.0/24
        Адрес шлюза внутри туннеля 10.8.0.9
        Ваш адрес внутри туннеля 10.8.0.10

        Непонятно что такое 192.168.137.0/24. Выглядит как подключение к какой-то ещё локальной сети и присутствует только при подключении через WIFI точку доступа телефона. Не могу себе представить, откуда оно взялось и как это может влиять. Может быть, вы куда-то ещё и кабелем подключаетесь?

        > У меня провайдер Билайн. При первичной авторизации через роутер он понаставил множество Статических маршрутов.

        На обоих устройствах, Windows и Android? Раскажите по-подробнее, что за маршруты и куда он их понаставил. В таблицах ничего особо лишнего нет, кроме 192.168.137.0/24, но этот маршрут отсутствует при подключении через WIFI роутер.


        сообщить модератору +/ответить
        • gt оверквотинг удален Большое спасибо за желание помочь Прокси браузера не мож, !*! Vilis (ok), 19:46 , 02-Апр-20 (4) –1
          >[оверквотинг удален]
          > Адрес шлюза внутри туннеля 10.8.0.9
          > Ваш адрес внутри туннеля 10.8.0.10
          > Непонятно что такое 192.168.137.0/24. Выглядит как подключение к какой-то ещё локальной
          > сети и присутствует только при подключении через WIFI точку доступа телефона.
          > Не могу себе представить, откуда оно взялось и как это может
          > влиять. Может быть, вы куда-то ещё и кабелем подключаетесь?
          >> У меня провайдер Билайн. При первичной авторизации через роутер он понаставил множество Статических маршрутов.
          > На обоих устройствах, Windows и Android? Раскажите по-подробнее, что за маршруты и
          > куда он их понаставил. В таблицах ничего особо лишнего нет, кроме
          > 192.168.137.0/24, но этот маршрут отсутствует при подключении через WIFI роутер.

          Большое спасибо за желание помочь!
          Прокси браузера не может быть - все одинаково как на ноуте под виндой, так на телефоне, на которых запускается ВПН.

          В браузере сайты не открываются, но из командной строки пингуются как по имени домена, так и по IP.
          И вот, что интересно: Я использую доступ к своему внешнему серверу по sftp. Доступ по sftp://user@179... работает как при ВПН, так и без него. А при запущенном впн по sftp://user@10.8.0.1 при работе через GSM работает, при работе через роутер - нет. Вот только сегодня обнаружил.
          Спасибо огромное за помощь. Нверное, тут нужно специалисту смотреть самому через teamviewer...

          сообщить модератору –1 +/ответить
          • Ну так что там с этим множеством статических маршрутов Вы, всё-таки, посмотрите , !*! Licha Morada (ok), 21:32 , 02-Апр-20 (5)
            >>> У меня провайдер Билайн. При первичной авторизации через роутер он понаставил множество Статических маршрутов.
            >> На обоих устройствах, Windows и Android? Раскажите по-подробнее, что за маршруты и
            >> куда он их понаставил. В таблицах ничего особо лишнего нет, кроме
            >> 192.168.137.0/24, но этот маршрут отсутствует при подключении через WIFI роутер.

            Ну так что там с этим множеством статических маршрутов?

            > Большое спасибо за желание помочь!
            > Прокси браузера не может быть - все одинаково как на ноуте под
            > виндой, так на телефоне, на которых запускается ВПН.
            > В браузере сайты не открываются, но из командной строки пингуются как по
            > имени домена, так и по IP.

            Вы, всё-таки, посмотрите. Раз пинг отвечает, значит, в принципе, "интернет есть". Таким образом проблему надо искать не на уровне VPN и маршрутов, а где-то ещё.

            Попробуйте с Firefox. Хром и IE, насколько я помню, используют настройки системы, а Firefox имеет свои собственные.
            Ещё попробуйте сделать телнет к IP и хосту сайтов, на порт 80 и 443.
            Таким образом удастся вычленить, связана проблема с браузером или с трафиком на портах HTTP/HTTPS.


            > И вот, что интересно: Я использую доступ к своему внешнему серверу по
            > sftp. Доступ по sftp://user@179... работает как при ВПН, так и без
            > него. А при запущенном впн по sftp://user@10.8.0.1 при работе через GSM
            > работает, при работе через роутер - нет. Вот только сегодня обнаружил.

            Что-то темнит ваша система, когда подключается через роутер.

            сообщить модератору +/ответить
            • gt оверквотинг удален очееень дивная проблема, я никогда с таким нен сталкивал, !*! kkostintimur (ok), 11:33 , 26-Авг-20 (6)
              >[оверквотинг удален]
              > а Firefox имеет свои собственные.
              > Ещё попробуйте сделать телнет к IP и хосту сайтов, на порт 80
              > и 443.
              > Таким образом удастся вычленить, связана проблема с браузером или с трафиком на
              > портах HTTP/HTTPS.
              >> И вот, что интересно: Я использую доступ к своему внешнему серверу по
              >> sftp. Доступ по sftp://user@179... работает как при ВПН, так и без
              >> него. А при запущенном впн по sftp://user@10.8.0.1 при работе через GSM
              >> работает, при работе через роутер - нет. Вот только сегодня обнаружил.
              > Что-то темнит ваша система, когда подключается через роутер.

              очееень дивная проблема, я никогда с таким нен сталкивался, но скорее всего проблема в роутере

              сообщить модератору +/ответить
              • gt оверквотинг удален могу сказать, что я посмотрел на русвпн https rusvpn, !*! kkostintimur (ok), 11:35 , 26-Авг-20 (7)
                >[оверквотинг удален]
                >> и 443.
                >> Таким образом удастся вычленить, связана проблема с браузером или с трафиком на
                >> портах HTTP/HTTPS.
                >>> И вот, что интересно: Я использую доступ к своему внешнему серверу по
                >>> sftp. Доступ по sftp://user@179... работает как при ВПН, так и без
                >>> него. А при запущенном впн по sftp://user@10.8.0.1 при работе через GSM
                >>> работает, при работе через роутер - нет. Вот только сегодня обнаружил.
                >> Что-то темнит ваша система, когда подключается через роутер.
                > очееень дивная проблема, я никогда с таким нен сталкивался, но скорее всего
                > проблема в роутере

                могу сказать, что я посмотрел на русвпн ( https://rusvpn.com/ru/blog/chto-takoe-vpn-klyuchevye-ponyati.../ ) как в принцпе работает впн и сеть
                проблема явно не в маршрутизации ((

                сообщить модератору +/ответить
Время в PCAP файле - что означает?, !*! ИванР0, (Firewall и пакетные фильтры) 24-Авг-20, 13:42  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Ещё чего Есть такая совершенно повёрнутая на пакетах TCP IP дама по имени Лора Ч, !*! alexgard (ok), 18:25 , 24-Авг-20 (1)
    > Всем привет, кто может подсказать что означает timestamp в pcap файле в
    > WireShark. Трафик перехвачен между двумя удаленными хостами в promiscuous mode. Время
    > начала передачи информации от А до Б или ещё чего?
    > СПС

    Ещё чего.

    Есть такая совершенно повёрнутая на пакетах TCP/IP дама по имени Лора Чапел (Laura Chappell). Мне посчастливилось попасть на её курс по анализу трафика в WireShark. Лет, наверное, 15 назад это было, но ответить на этот вопрос могу, кажется, даже ночью. При создании pcap время берётся из компьютера, на котором установлена WireShark или подобная программа. Если время выставлено неверно, то и в pcap оно будет неправильным. Подробнее можно в прочитать на тему pcap timestamps у экспертов на англ. сайте https://www.elvidence.com.au/understanding-time-stamps-in-pa...

    сообщить модератору +/ответить
Возможно ли подписать видео на HTML странице и проверять его?, !*! PeKar, (Шифрование, SSH, SSL / Linux) 17-Апр-18, 09:50  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Воспроизводится видео на компьютере пользователя очевидно С какой ноды дикой CDN, !*! ыы (?), 10:17 , 17-Апр-18 (1)
    > Возможно ли сделать так что бы скрипт с главного сайта мог при
    > просмотре проверить на каком сайте-каталоге видео воспроизводиться?

    Воспроизводится видео на компьютере пользователя очевидно.
    С какой ноды дикой CDN-сети качаются файлы проверить можно. Естесссно...

    > И самое главное, как
    > проверить подлинность воспроизводимого видео-файла?

    Если ваше видео - это нарезанное мелкими кусочками файло - то crc на каждый такой кусочек. И проверять перед воспроизведением.

    >  То что партнёр-анонимус не подсовывает
    > вместо нужного видео какую нибудь рекламу или Чёрного Властелина?

    Сейчас модно контент вообще в пиринг засовывать. в этом случае корректность данных обеспечивается силами технологии, и неважно подсовывает кто-то невалидный контент или нет.
    поищите в поисковиках как видео отдают через p2p сети.


    > И не слишком ли легко это будет обойти?

    Обойти проверку crc очень сложно, если она считается по полному файлу а не только по его заголовку.

    сообщить модератору +/ответить
Дублирование пакетов;, !*! cement, (Linux iptables, ipchains) 23-Июл-20, 15:04  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Осталось догадаться, каким механизмом тебе надо И ещё что про тебя и твой механи, ACCA (ok), 22:44 , 23-Июл-20 (1) +1 !*!
    • самым бюджетным в идеале iptablesдля понимания ситуации, речь идет про GPS-тре, cement (?), 10:33 , 24-Июл-20 (2) !*!
      • Даже не смешно Прочитай весь RFC-1180, потом мы сможем разговаривать В твоей си, !*! ACCA (ok), 23:02 , 24-Июл-20 (4)
        > По факту TCP может ограничиться рамками UDP, и этого будет достаточно.

        Даже не смешно. Прочитай весь RFC-1180, потом мы сможем разговаривать.

        > Если подытожить, правильно ли я понял, что в моей ситуации проблема заключается
        > в открытии сокета на .2, перед тем как принять следующий (важный

        В твоей ситуации проблема заключается в том, что ты не отличаешь TCP от UDP.

        сообщить модератору +/ответить
        • UDP-а TCP-ой никогда не станет, а вот TCP UDP имитировать может Спасибо за , !*! cement (?), 00:49 , 25-Июл-20 (5)
          >> По факту TCP может ограничиться рамками UDP, и этого будет достаточно.
          > Даже не смешно. Прочитай весь RFC-1180, потом мы сможем разговаривать.
          >> Если подытожить, правильно ли я понял, что в моей ситуации проблема заключается
          >> в открытии сокета на .2, перед тем как принять следующий (важный
          > В твоей ситуации проблема заключается в том, что ты не отличаешь TCP
          > от UDP.

          =))
          UDP-а TCP-ой никогда не станет, а вот TCP UDP имитировать может...

          Спасибо за критику, и советы.
          Ваше мнение о моих проблемах ошибочно, и это подтверждает то, что Вы невнимательно читаете мои ответы, жаль. Искренне надеюсь что у Вас всё гораздо лучше, чем у меня. :) Мне просто показалось, Вы на меня накинулись не по теме вопроса :)

          И всё-таки я не буду уподобляться критике в Ваш адрес, глубоко искать какие-то Ваши изъяны и постараюсь Вам вежливо пояснить, то что, возможно, было не очевидно для Вас в моём предыдущем ответе...

          Ниже приведен простой пример telnet-сессии. Надеюсь Вы согласитесь что это будет TCP (по крайней мере мой tcpdump показывает так, и судя по Вашим ответам, Вы уж точно разбираетесь где TCP, а где UDP, у меня ведь с этим трудности, не так ли?).
          Так вот, в моём случае (об этом я ранее уже писал, Вы просто это проигнорировали), рассматривая приведенный пример, после отправки "HELLO WORLD" ожидать от удалённой стороны успешное подтверждение приема пакета (рамки TCP) - не принципиально, т.к. по факту "HELLO WORLD" уже обработается и сохранится тем, чем мне надо;
          В своей терминологии я это (отсутствие подтверждения приёма пакета c "HELLO WORLD") назвал "рамки UDP", жаль что сразу это было не так доходчиво, как я ожидал.(


          ~$ telnet 10.10.10.2 9999
          Trying 10.10.10.2...
          Connected to 10.10.10.2.
          Escape character is '^]'.
          HELLO WORLD
          ^]
          telnet> quit
          Connection closed.

          В любом случае, огромное спасибо за советы. Ведь куда проще раскритиковать, нежели помочь :)
          Горжусь своим собеседником :)

          сообщить модератору +/ответить
          • Я на тебя не сержусь, ты просто неграмотный и не понимаешь, что ты делаешь Межд, !*! ACCA (ok), 03:01 , 25-Июл-20 (6)
            > просто это проигнорировали), рассматривая приведенный пример, после отправки "HELLO WORLD"
            > ожидать от удалённой стороны успешное подтверждение приема пакета (рамки TCP) -
            > не принципиально, т.к. по факту "HELLO WORLD" уже обработается и сохранится
            > тем, чем мне надо;

            Я на тебя не сержусь, ты просто неграмотный и не понимаешь, что ты делаешь. Между "Trying 10.10.10.2..." и "Connected to 10.10.10.2." прошло 2 пакета ARP и 3 пакета TCP. Это если вы на одном кабеле сидите. И это ещё не было никаких данных, так что не мешались PMTU Discovery и прочие window size control.

            Ещё раз напомню - прочти RFC-1180 от начала до конца, чтобы с тобой можно было разговаривать. Ты задаёшь бессмысленные вопросы и не понимаешь ответов.

            Кроме того, прочитай про "OSI модель".

            TCP не может "имитировать" UDP и наоборот тоже не может быть. Разница как между USB и VGA. А чо, провода же?


            Про дублирование трафика - либо пиши демона, который на 7 уровне скопирует данные и перешлёт на .3, либо переводи всё на UDP, либо не дублируй пакеты.

            сообщить модератору +/ответить
          • gt оверквотинг удален Вы не понимаете предмет разговора от слова совсем Что , !*! ss (??), 09:12 , 28-Июл-20 (7)
            >[оверквотинг удален]
            > Connected to 10.10.10.2.
            > Escape character is '^]'.
            > HELLO WORLD
            > ^]
            > telnet> quit
            > Connection closed.
            >
            > В любом случае, огромное спасибо за советы. Ведь куда проще раскритиковать, нежели
            > помочь :)
            > Горжусь своим собеседником :)

            Вы не понимаете предмет разговора от слова "совсем".

            Что же до Вашей проблемы - воспользуйтесь поисковиком на предмет "зеркалировать трафик"

            сообщить модератору +/ответить
            • Правильно ли я Вас понимаю, что советуя зеркалировать трафик , Вы в корне поним, !*! cement (?), 22:46 , 28-Июл-20 (10)
              > Вы не понимаете предмет разговора от слова "совсем".
              > Что же до Вашей проблемы - воспользуйтесь поисковиком на предмет "зеркалировать трафик"

              Правильно ли я Вас понимаю, что советуя "зеркалировать трафик", Вы в корне понимаете предмет разговора (не то что я, совсем:) ), и считаете что это поможет в решении изначально поднятого вопроса? И знаете как реализовать задачу, но не расскажите? :) Верно?

              Как предложите зеркалировать трафик, через port-mirror на коммутаторе; или тот вариант, который я уже указал в своем первом сообщении?

              Готов поспорить что Вы невнимательно его почитали, раз затронули тему зеркалирования, и вместо совета по сути (указать чего в моём примере "зеркалирования" не хватает) :) начинаете упорно советовать воспользоваться поисковиком. Спасибо, улыбнуло :)

              Я уже привел пример зеркалирования трафика, и Вы (тут можете подключить свою фантазию, чтобы себя оценить по достоинству), вместо того чтобы признать что Вам эта задача так же не по зубам, начинаете давать советы, которые не приведут ни к чему конкретному. Признайтесь, вам просто хотелось хоть что-то ответить, и раз не помогу, так хоть чуток подосру)) Я оценил..


              Это примерно как:
              -Пишу код на [python|js|c], не получается реализовать [фича], код ниже, прошу помощи;
              -Воспользуйся поиском по [python|js|c];

              Вам самим не смешно от своих ответов, или вы действительно загнаны в такие рамки?
              Или, поделитесь, Вашим представлением для чего создан этот форум? (может я не по адресу обратился?)
              Мой ответ по сути - Вы мне не помогли.

              сообщить модератору +/ответить
              • gt оверквотинг удален Как много слов вместо того чтобы начать учить матчасть , !*! ss (??), 08:32 , 29-Июл-20 (12)
                >[оверквотинг удален]
                > Это примерно как:
                > -Пишу код на [python|js|c], не получается реализовать [фича], код ниже, прошу
                > помощи;
                > -Воспользуйся поиском по [python|js|c];
                >
                > Вам самим не смешно от своих ответов, или вы действительно загнаны в
                > такие рамки?
                > Или, поделитесь, Вашим представлением для чего создан этот форум? (может я не
                > по адресу обратился?)
                > Мой ответ по сути - Вы мне не помогли.

                Как много слов вместо того чтобы начать учить матчасть... :)
                Успехов Вам :)

                сообщить модератору +/ответить
  • На втором хосте сделать правило PREROUTING, с DNAT на желаемый адрес Тогда паке, Licha Morada (ok), 21:23 , 24-Июл-20 (3) !*!
    • gt оверквотинг удален Учитывая что человек не понимает базовых вещей в пердмет, !*! ss (??), 09:14 , 28-Июл-20 (8)
      >[оверквотинг удален]
      > Ещё можно сделать так чтобы 10.10.10.2 считал адрес 10.10.10.3 своим. Например, назначить
      > .3 алиасом на интерфейсе lo.
      > Имейте в виду, что в таком случае 10.10.10.2 и 10.10.10.3 не смогут
      > общаться друг с другом используя эти адреса.
      > Имейте в виду, что при использовании TCP, второй сервер тоже будет пытаться
      > провести handshake с клиентом. В лучшем случае второй handshake будет игнорирован,
      > вторая сессия TCP установлена не будет и .2 ничего н еполучит.
      > В худшем это замусорит сессию с .3 и она тоже не
      > установится. Переходите на UDP.
      > Можно попытаться что-то намутить с UDP multicast на шлюзе.

      Учитывая что человек не понимает базовых вещей в пердметной области- все что вы говорите очень сложно походу будет.

      сообщить модератору +/ответить
      • Да ну, чего сложного Увидит в сниффере пакеты с тем dst_host который хотелось, м, !*! Licha Morada (ok), 22:09 , 28-Июл-20 (9)

        > Учитывая что человек не понимает базовых вещей в пердметной области- все что
        > вы говорите очень сложно походу будет.

        Да ну, чего сложного?
        Увидит в сниффере пакеты с тем dst_host который хотелось, мусор от неудавшихся хэндшейков и что всё равно приложение не работает. И начнёт что-то подозревать. Собственно, "учитывая", в таком случае можно считать что ответ свою задачу выполнил. А если не начнёт, то, может быть, в другой раз.


        сообщить модератору +/ответить
        • Полностью с Вами согласен, рассматривая конкретно заданный мною вопрос Получив, !*! cement (?), 23:24 , 28-Июл-20 (11)
          > Да ну, чего сложного?
          > Увидит в сниффере пакеты с тем dst_host который хотелось, мусор от неудавшихся
          > хэндшейков и что всё равно приложение не работает. И начнёт что-то
          > подозревать. Собственно, "учитывая", в таком случае можно считать что ответ свою
          > задачу выполнил. А если не начнёт, то, может быть, в другой
          > раз.

          Полностью с Вами согласен, (рассматривая конкретно заданный мною вопрос).
          Получив на сетевой интерфейс важный для меня пакет со всеми нужными мне заголовками (вопрос как раз был про них), он действительно не обработается тем механизмом, который у меня уже имеется (nc, который слушает tcp-порт);

          сообщить модератору +/ответить
          • И как вы это понимаете , !*! ss (??), 08:44 , 29-Июл-20 (13)
            >> Да ну, чего сложного?
            >> Увидит в сниффере пакеты с тем dst_host который хотелось, мусор от неудавшихся
            >> хэндшейков и что всё равно приложение не работает. И начнёт что-то
            >> подозревать. Собственно, "учитывая", в таком случае можно считать что ответ свою
            >> задачу выполнил. А если не начнёт, то, может быть, в другой
            >> раз.
            > Полностью с Вами согласен, (рассматривая конкретно заданный мною вопрос).
            > Получив на сетевой интерфейс важный для меня пакет со всеми нужными мне
            > заголовками (вопрос как раз был про них), он действительно не обработается
            > тем механизмом, который у меня уже имеется (nc, который слушает tcp-порт);

            И как вы это понимаете?

            сообщить модератору +/ответить


зашифрованы файлы WANNACASH NCOV v170720, !*! Emi_Shot, (Шифрование, SSH, SSL) 20-Июл-20, 03:14  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Docker vs apparmor, !*! Аноним, (Linux привязка / Linux) 31-Окт-19, 10:56  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Двойной проброс порта во внутреннюю сеть, !*! KSSh, (Linux iptables, ipchains) 09-Июн-20, 16:18  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Через iptables и routing это можно сделать, но не нужно Есть нюанс - в результат, !*! ACCA (ok), 19:46 , 09-Июн-20 (1) +3
    Через iptables и routing это можно сделать, но не нужно.

    Есть нюанс - в результате у тебя IIS выставлен голой жопой в интернет, что плохо закончится и для IIS и для Internet.

    Что следует сделать - SSL на IIS выключить, пусть отдаёт HTTP. На LINSRV запустить тот же HAPROXY или NGINX, сделать reverse proxy c SSL на нём.

    сообщить модератору +3 +/ответить
    • Там на интерфейсе GATEWAY есть жесткое правило - доступ только из строго огранич, !*! KSSh (ok), 20:18 , 09-Июн-20 (3)
      > Через iptables и routing это можно сделать, но не нужно.
      > Есть нюанс - в результате у тебя IIS выставлен голой жопой в
      > интернет, что плохо закончится и для IIS и для Internet.
      > Что следует сделать - SSL на IIS выключить, пусть отдаёт HTTP. На
      > LINSRV запустить тот же HAPROXY или NGINX, сделать reverse proxy c
      > SSL на нём.

      Там на интерфейсе GATEWAY есть жесткое правило - доступ только из строго ограниченного пула IP, так что завалить не выйдет. Да и не прод это, а среда разработки будущая.
      Поэтому, меньшей кровью было бы настроить одно-два правила iptables.

      Если не получится так - то придется, наверное, haproxy или nginx. Но для меня, как не для админа, это будут дополнительные сложности. Хотел как поскорее) А какой из этих двух вариантов проще заведется?

      сообщить модератору +/ответить
  • Вам правильно посоветовали, не надо публиковать вебсервисы пробросом портов Про, !*! Licha Morada (ok), 20:12 , 09-Июн-20 (2)

    Вам правильно посоветовали, не надо публиковать вебсервисы пробросом портов. Прокси справляется с этой задачей лучше.

    Если же всё-таки очень надо, то обсуждали недавно:
    https://www.opennet.dev/openforum/vsluhforumID10/5518.html
    https://www.opennet.dev/openforum/vsluhforumID10/5529.html

    Вкратце, понадобится:
    Чтоб был packet forwarding.
    Чтоб netfilter разрешил пакетам ходить.
    Правило DNAT чтоб скрыть IIS_SRV_WIN от GATEWAY.
    Правило SNAT чтоб скрыть GATEWAY от IIS_SRV_WIN.
    MASQUERADE не нужен.

    Но лучше через прокси.

    сообщить модератору +/ответить
    • gt оверквотинг удален Спасибо огромное Завтра будет возможность попробовать п, !*! KSSh (ok), 20:27 , 09-Июн-20 (4)
      >[оверквотинг удален]
      > Если же всё-таки очень надо, то обсуждали недавно:
      > https://www.opennet.dev/openforum/vsluhforumID10/5518.html
      > https://www.opennet.dev/openforum/vsluhforumID10/5529.html
      > Вкратце, понадобится:
      > Чтоб был packet forwarding.
      > Чтоб netfilter разрешил пакетам ходить.
      > Правило DNAT чтоб скрыть IIS_SRV_WIN от GATEWAY.
      > Правило SNAT чтоб скрыть GATEWAY от IIS_SRV_WIN.
      > MASQUERADE не нужен.
      > Но лучше через прокси.

      Спасибо огромное! Завтра будет возможность попробовать применить, думаю поможет. Интуитивно понимал, что что-то похожее нужно, но не знал как.)
      А по поводу безопасности - отписался в предыдущем комментарии)

      сообщить модератору +/ответить
      • Хорошо, но мало Эшелонирование защиты это дешёвая и эффективная мера Зачем ей , !*! Licha Morada (ok), 01:01 , 10-Июн-20 (5)

        > Там на интерфейсе GATEWAY есть жесткое правило - доступ только из строго
        > ограниченного пула IP, так что завалить не выйдет.

        Хорошо, но мало. Эшелонирование защиты это дешёвая и эффективная мера. Зачем ей пренебрегать?
        У вас правильная топология на картинке нарисована. Пусть GATEWAY следит чтоб не лезли откуда попало, а LINSRV (если туда поставить прокси который умеет HTTP) следит чтоб совсем дичь не творили.

        > Да и не прод это, а среда разработки будущая.

        Во-во. Не прод это такое вкусное место, где бывают пароли test:test, права файлов 777 "потом пофиксим", временно закороченные валидации, недоросший до ревью джунский код... Кисельные берега.

        > Если не получится так - то придется, наверное, haproxy или nginx. Но
        > для меня, как не для админа, это будут дополнительные сложности.

        Не более чем iptables, где в логику packet traversal вникать надо и за персистентностью следить.
        Почитайте туториалы про обоих, попробуйте так и сяк. Считайте что их конфиги это такой декларативный язык программирования.

        сообщить модератору +/ответить
        • Честно говоря, мне не понятно, чем прокси в данном случае был бы лучше, чем проб, !*! KSSh (ok), 02:01 , 10-Июн-20 (6)
          > Хорошо, но мало. Эшелонирование защиты это дешёвая и эффективная мера. Зачем ей
          > пренебрегать?
          > У вас правильная топология на картинке нарисована. Пусть GATEWAY следит чтоб не
          > лезли откуда попало, а LINSRV (если туда поставить прокси который умеет
          > HTTP) следит чтоб совсем дичь не творили.

          Честно говоря, мне не понятно, чем прокси в данном случае был бы лучше, чем проброс портов.
          На внешний интерфейс GATEWAY разрешено стучаться трем ip. По сути, это просто торчащее наружу API для трех удаленных адресов.
          А на ближайшее будущее - планируется перенос приложения с сервака iis на linsrv в виде пачки docker-контейнеров. Постепенно, понемножку, чтобы в общем приложение всегда было рабочим. А потом и полностью отказаться от iis, а следовательно, и от проброса портов на него

          сообщить модератору +/ответить
          • Причин много разных В каких-то случаях будут более существенны одни из них, в к, !*! Licha Morada (ok), 22:55 , 10-Июн-20 (7)

            > Честно говоря, мне не понятно, чем прокси в данном случае был бы
            > лучше, чем проброс портов.
            > На внешний интерфейс GATEWAY разрешено стучаться трем ip. По сути, это просто
            > торчащее наружу API для трех удаленных адресов.

            Причин много разных. В каких-то случаях будут более существенны одни из них, в каких-то - другие.
            Например:
            - Обратный прокси сервер ведёт компактные и удобочитаемые логи. Можно меньше прибегать к снифферу при поиске источника проблем.
            - До настоящего веб приложения долетают только заведомо корректные HTTP запросы, а не какой попало мусор который послали в открытый порт. Дешовая защита от атак, эксплуатирующих особенности сетевого уровня, типа Slowloris.
            - Легко публиковать не весь корень веб сервера апстрима, где может быть админка или другие приложения, а только избранные пути.
            - Централизованное терминирование сессий TLS позволяет снизить риск ошибок конфигурации.
            - Легко контролировать текущую конфигурацию "что куда и как пробрасывается" и делегировать поддержку.
            - Удобно стандартизировать. Одно и то-же решение покрывает множество кейсов, от простого "опубликовать в интернете" до баланисровки нагрузки и кэширования статичного контента.
            - Решение находится на одном и том-же уровне абстракции (веб сервис) что и задача (опубликовать в Интернете).
            - И т.д.

            > А на ближайшее будущее - планируется перенос приложения с сервака iis на
            > linsrv в виде пачки docker-контейнеров. Постепенно, понемножку, чтобы в общем приложение
            > всегда было рабочим. А потом и полностью отказаться от iis, а
            > следовательно, и от проброса портов на него

            Хороший план. Докерские best practices всё равно рекомендуют reverse proxy. Имеет смысл с него и начать, используя IIS в качестве апстрима для всех сервисов, и постепенно переводя их куда надо.


            сообщить модератору +/ответить
cryptsetup как принудительно отключить устройство?, !*! nafnaf, (Шифрование, SSH, SSL) 02-Июл-20, 21:42  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
два xorg от разных пользователей, !*! namedw, (Разное / Linux) 04-Мрт-20, 21:33  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Не знаю, какую задачу вы решаете, но подозреваю что она похожа на ту, которую не, !*! Licha Morada (ok), 23:37 , 04-Мрт-20 (1)
    > Не могу понять как запустить два xorg от разных пользователей.

    Не знаю, какую задачу вы решаете, но подозреваю что она похожа на ту, которую недавно решил для себя я.
    Хотелось в штатном Ubuntu Desktop (конкретно 18.04 Mate), не трогая дефолтный логин и, возможно, графическуя сессию на vt7, иметь киоск с неким дашбордом на vt8.
    При загрузке на экране показывается киоск. Если с машиной надо повзаимодействовать, то руками переключаюсь на нормальный десктоп Alt-Ctrl-F7, делаю что надо, закрываю или блокирую сессию, переключаюсь обратно Alt-Ctrl-F8.

    Вот кусок моей technical memory:

    apt-get install openbox nodm

    NEWUSER=kioskuser
    NEWGECOS="Kiosk User"
    adduser --disabled-password --quiet --gecos "${NEWGECOS}" ${NEWUSER}

    install -b -m 755 /dev/stdin /home/${NEWUSER}/runkiosk.sh << EOF
    #!/bin/sh

    xset -dpms
    xset s off
    #openbox-session &
    #xterm
    #chromium-browser --app=https://xxxxxxxx
    #firefox https://xxxxxxxx
    firefox --kiosk --url=xxxxxxx

    EOF

    cat >> /etc/default/nodm
    NODM_ENABLED=true
    NODM_USER=${NEWUSER}
    NODM_XSESSION=/home/${NEWUSER}/runkiosk.sh
    NODM_X_OPTIONS=':8 vt8 -nolisten tcp'
    EOF

    /etc/init.d/nodm stop
    /etc/init.d/nodm start

    Масштабировать на N kioskuser не пробовал, но не вижу почему бы ему не.
    Это дело сожительствует с Mate Desktop, но совершенно от него не зависит. Без всего, думаю, nodm будет работать точно так-же.


    сообщить модератору +/ответить
  • там скорей всего для каждого Xorg определен своя переменная DISPLAY 1 и DISPL, !*! odmin (??), 04:16 , 05-Мрт-20 (2)
    > Не могу понять как запустить два xorg от разных пользователей.

    там скорей всего для каждого Xorg определен своя переменная DISPLAY=":1" и DISPLAY=":2", поэтому в параметрах этого не видно

    сообщить модератору +/ответить
  • Какова цель Многомесная система maltihead , !*! Аноним (4), 07:06 , 17-Июн-20 (4)
    Какова цель? Многомесная система (maltihead)?
    сообщить модератору +/ответить
Аномалия при доставке пакетов определённых размеров, !*! datswd, (VPN, IPSec) 08-Июн-20, 09:43  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
  • Немного дополню предыдущее сообщениеПри выполнении ping 10 1 2 1 -l 321Последова, !*! datswd (?), 22:13 , 09-Июн-20 (1)
    Немного дополню предыдущее сообщение

    При выполнении ping 10.1.2.1 -l 321

    Последовательность пакетов выглядит так

    27    Client IP        Server IP        ESP    448        ESP (SPI=0xc77bcd31)
    45    Client IP        Server IP        ESP    448        ESP (SPI=0xc77bcd31)
    46    10.1.2.3        10.1.2.1        ICMP    365        Echo (ping) request  id=0x0001, seq=2171/31496, ttl=127 (reply in 47)
    47    10.1.2.1        10.1.2.3        ICMP    365        Echo (ping) reply    id=0x0001, seq=2171/31496, ttl=64 (request in 46)
    48    Server IP        Client IP        ESP    448        ESP (SPI=0xcdd4a265)
    52    Client IP        Server IP        ESP    448        ESP (SPI=0xc77bcd31)

    То есть приходят ESP пакеты и на этом всё заканчивается. Один раз он на пинг всё-таки ответил.

    Если же делать просто ping 10.1.2.1 то получается вот так
    65    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
    66    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2173/32008, ttl=127 (reply in 67)
    67    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2173/32008, ttl=64 (request in 66)
    68    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)
    72    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
    73    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2174/32264, ttl=127 (reply in 74)
    74    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2174/32264, ttl=64 (request in 73)
    75    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)
    80    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
    81    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2175/32520, ttl=127 (reply in 82)
    82    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2175/32520, ttl=64 (request in 81)
    83    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)
    86    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
    87    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2176/32776, ttl=127 (reply in 88)
    88    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2176/32776, ttl=64 (request in 87)
    89    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)


    Буду очень благодарен, если у кого-то есть идеи, почему такое может быть.
    Если интересна используемая конфигурация, то она описана в соседней ветке https://www.opennet.dev/openforum/vsluhforumID10/5497.html

    сообщить модератору +/ответить
  • чем отличается подключение к серверу напрямую и через Wi-Fi В роутере, видим, !*! little Bobby tables (?), 14:21 , 11-Июн-20 (2)
    чем отличается подключение к серверу "напрямую" и через Wi-Fi?  В роутере, видимо, какой-то айпиэс
    сообщить модератору +/ответить
    • Не совсем понял про чем отличается Точка доступа подключена к интернету через, !*! datswd (?), 08:33 , 12-Июн-20 (3)
      > чем отличается подключение к серверу "напрямую" и через Wi-Fi?  В роутере,
      > видимо, какой-то айпиэс

      Не совсем понял про "чем отличается". Точка доступа подключена к интернету через провод (обычный DHCP), раздаёт Wi-Fi в квартире. У точки есть функция VPN подключения. Точка Keenetic Giga.

      Под прямым подключение подразумеваю подключение с ноута, с помощью стандартного виндового клиента.

      А вопрос кстати решился! Урааа!
      Если в настройках StrongSwan убрать 3DES из списка алгоритмов ESP, то всё работает!

      Кто именно косякнулся с реализацией этого алгоритма: StrongSwan или ZyXEL, без понятия.
      Главное, что всё работает.

      ПАСИБА!

      сообщить модератору +/ответить
Проблемы с почтой., !*! Vladimir, (Разное / Linux) 18-Окт-19, 11:21  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]
Перенаправление трафика (forwarding), !*! WeSTMan, (Firewall и пакетные фильтры) 21-Апр-20, 17:39  [ | | | ] [линейный вид] [смотреть все] [раскрыть новое]


 
Пометить прочитанным Создать тему
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру