Hirdetés
- Dedikált NPU-t tervezne az AMD?
- És akkor egy fejlesztőstúdió rájött, hogy vissza is élhetne a felskálázással
- Száguld a Meta és a Microsoft, 500 milliárd dollárral lőttek ki az AI-részvények
- Jól áll az ARM-os Windows helyzete, de a játékoknál nem jön az áttörés
- Kínai kézbe kerül a MediaMarkt áruházak tulajdonosa
- Házimozi belépő szinten
- Milyen belső merevlemezt vegyek?
- Milyen processzort vegyek?
- TCL LCD és LED TV-k
- HiFi műszaki szemmel - sztereó hangrendszerek
- RAM topik
- Azonnali fotós kérdések órája
- Jól áll az ARM-os Windows helyzete, de a játékoknál nem jön az áttörés
- Dedikált NPU-t tervezne az AMD?
- Kettő együtt: Radeon RX 9070 és 9070 XT tesztje
Hirdetés
Talpon vagyunk, köszönjük a sok biztatást! Ha segíteni szeretnél, boldogan ajánljuk Előfizetéseinket!
-
PROHARDVER!
Haladó szintű hálózati témák topikja
Új hozzászólás Aktív témák
-
gozi
tag
válasz
MaCS_70
#11698
üzenetére
Az alábbi típusok is jók lehetnek, és lényegesen olcsóbbak a korábban linkeltekhez képest:
https://lan.hu/keystone-modul-utp-cat5e-180-fokos-toolless-3176
https://lan.hu/keystone-modul-utp-cat6-180-fokos-toolless-3175
A linken lévő adatlapokon méretezett rajz is van. -
Xpod, gozi!
Nagyon köszönöm!
Kedves, hogy utánanéztetek, de ha most ennyiért veszek egy sor keystone-t, akkor több Swarovski kristályokkal kirakott Gucci patch panel árát költöttem el rájuk.
Itthon, háztáji felhasználásra egyszerűen nincs értelme ilyen drága eszközöket vásárolni -- nem is beszélve arról, hogy a betétek ugye megvannak, csak nem bérnek be...
Vélhetően elkezdek neten rendelgetni az 5-10e Ft-os panelekből, aztán remélem, csak befut egy jó is.
Azért írtam ide, mert beromi kíváncsi vagyok ennek az anomáliának a hátterére, illetve mindig él az emberben a remény, hogy ő szűrt el valami triviális dolgot és van egyszerű megoldás.
Köszönettel: MaCS
-
válasz
bambano
#11694
üzenetére
Igen, pontosan ez a gond, túl sűrű az osztás.
Egyébként vicces, hogy most végigkatattam a neten vagy egy tucatnyi patch panel előlap leírását, és konkrétan egyetlen egynél sem találtam adatot a lyuksűrűségre / fogadott betétek lehetséges szélességére. 19" a teljes szélesség 1U a magasság, oszt annyi...
Egyébként telefonálgattam még egy sort, beszéltem pár üzlettel, ahol volt polcon keystone betét. Mindegyik elért helyen 19,2 mm szélességű darabokat árulnak, ami azért már egy kicsit sok a véletlen egybeeséshez.
Ez az AFL, akik a panelem gyártői, valami egzotikus cég?
Egyáltalán: létezik Átlag Józsi számára keskenyebb betét?
Csak kíváncsiságból: Nálatok milyen széles betétek sorakoznak a panelben/fiókban?
Köszönettel: MaCS
-
Köszönöm!
Ez azért elég meredek.
Az a gondom, hogy jelenleg öt különböző gyártótól származó keystone-om van, amelyik nem megy bele a házba, és kettő (szintén nem a házzal azonos gyártótól), amelyik keskenyebb. Gyors körbe telefonálás alapján a barátaimnál is a nálam tobzódó, 19,2 mm-es változat fordul elő.
Ahogy pedig nézem a kínálatot, egyetlen panelnél sem tüntetik fel az egyes helyek szélességét, sőt, két boltot fel is hívtam, és fogalmuk sincs arról. Csak annyit tudnak, hogy "rendes keystone", és ne aggódjak, mert az egységes.Hát, nem az. A nálam levő AFL-be biztosan csak 18,2 mm-ig fér bele bármi, ráadásul valamiért baromi drágák ezek az üres panelek.
Köszönettel: MaCS
-
válasz
MaCS_70
#11691
üzenetére
Ez gyártónként eltérhet. Tudomásom szerint nincs szabvány.
Én azzal szívtam meg, hogy a tartó körmök az egyiknek az oldalán vannak, a másiknak meg a tetején, és a panelbe csak azokat tudtam beletenni, aminek a tetején vannak a körmök.
Érdemes a panelt és a keystone-t is ugyanattól a gyártótól rendelni. -
Elég hülye kérdésem van: milyen széles egy jól nevelt, szabályos UTP keystone jack aljzat?
Az ugyanis a gondom, hogy a patch panelembe egymás mellé nem fér be kettő. Van egy csomó, különböző gyártmányú és kivitelű darabom, amelyek valahogy mind 19,25 mm szélesek. Ha egy ilyet bepattintok a panelbe, a szomszéd helyre már nem fér be a testvérkéje.
Van két prémium kategóriás (legalábbis árban...) darabom is, amelyek viszont csak 18,2 mm szélesek. Na, ezek nagyon szorosan, de betolhatók egymás mellé.
A kérdés az, hogy most a dugaljak a túl szélesek, vagy a patch panel túl szűk...
Köszönettel: MaCS
-
válasz
rgeorge
#11689
üzenetére
"Az miért biztonsági kockázat, hogy nem split tunnelling van beállítva a PaloAlto VPN-en?"
Mert így a te gépedet felhasználva egyik hálózatból át lehet esetleg jutni a másik hálózatba.
Egyszerre kell dolgoznod az SAP-ban és a fejlesztői adatbázisban?
Nem ismerem az architektúrát, csak kíváncsi vagyok miért kell egyidejűleg mindkét rendszert elérned? -
rgeorge
addikt
válasz
krealon
#11687
üzenetére
Most tényleg nem értitek, hogy nem a munkahelyem korlátoz, hanem az egyik partner? Eddig nem is volt ilyen korlátozás, és egyik másik partnernél sincs És igen, ha nem biztosítanak megfelelő eszközt, akkor nem fogunk nekik fejleszteni se támogatni nem fogjuk őket.
És nincs összenyitva semmi sem. Az nem kényelmi szempont, hogy most el sem tudom indítani az alkalmazást, mert VPN nélkül csak a fejlesztői adatbázist érem el, SAP-ot nem, VPN-nel pedig csak a SAP-ot, semmi mást sem. Csak távoli asztalon tudom futtatni a programot, de ott persze fejlesztőeszköz nincs.
Az miért biztonsági kockázat, hogy nem split tunnelling van beállítva a PaloAlto VPN-en? -
-
krealon
veterán
válasz
rgeorge
#11682
üzenetére
"Egyik üzleti partnerünk VPN megoldást cserél, Cisco helyett PaloAlto lesz. Kaptam is egy GlobalProtect klienst, telepítettem, csatlakoztam, majd kiderült, hogy ilyenkor minden más hálózati erőforrás elérhetetlen lesz. Állítólag ez IT biztonság miatt van így és nem lehet rajta változtatni. Nyilván van rá műszaki megoldás, ahogy az előző Cisco kapcsolat pl. nem korlátozta a hálózati eléréseket, de más megoldások esetén sincs ilyen korlátozás (vagy könnyen áthidalható).
Nem azzal van a probléma, hogy aktív VPN miatt nincs böngészés és email, hanem pl. más VPN kapcsolat sem építhető fel, ami csak azért kellemetlen, mert a GlobalProtect csak a rendszer egyik eleméhez kell (SAP), a fejlesztői adatbázis máshol van, amihez másik VPN kell.
Mit lehet ilyenkor helyi megoldásként kipróbálni? "Mivel a hozzáférést egy adott gépre korlátozzák, kell egy második gép.
Én Virtualizációt használnék és kiszámláznám az extra szoftver licensz költségeket.De egyet értek a #11685 bambano megállapításával, hogy olyan helyen nem kell dolgozni, ahol a munkavégzéshez szükséges feltételeket nem biztosítják.
-
rgeorge
addikt
válasz
bambano
#11685
üzenetére
Mire gondolsz pontosan? Én keressek más helyet, vagy ott keressek valakit, aki pénzért segít?
Az üzleti partner azért adja a vpn-t, hogy támogatást adhassunk a mi általunk fejlesztett rendszerhez. Azért keresek alternatívát, mert ilyenkor az szokott lenni, hogy valami problémájuk vagy igényük támad, és akkor jönnek rá, hogy nem tudunk segíteni a VPN miatt, és megy a kapkodás és az értetlenkedés. -
olloczky
senior tag
válasz
rgeorge
#11682
üzenetére
Legegyszerűbb az lenne, ha a hálózati adminok beállítanának split-tunnelinget, hogy csak az a forgalom menjen a vállalati hálózatba, ami odatartozik (SAP). Minden más mehet ki a hálókártyádon (vagy ahogy jónak látják). Mert ha jól értem ők korlátoztak téged most ezzel az új klienssel és konfiggal.
-
rgeorge
addikt
Üdvözlet! Egyik üzleti partnerünk VPN megoldást cserél, Cisco helyett PaloAlto lesz. Kaptam is egy GlobalProtect klienst, telepítettem, csatlakoztam, majd kiderült, hogy ilyenkor minden más hálózati erőforrás elérhetetlen lesz. Állítólag ez IT biztonság miatt van így és nem lehet rajta változtatni. Nyilván van rá műszaki megoldás, ahogy az előző Cisco kapcsolat pl. nem korlátozta a hálózati eléréseket, de más megoldások esetén sincs ilyen korlátozás (vagy könnyen áthidalható).
Nem azzal van a probléma, hogy aktív VPN miatt nincs böngészés és email, hanem pl. más VPN kapcsolat sem építhető fel, ami csak azért kellemetlen, mert a GlobalProtect csak a rendszer egyik eleméhez kell (SAP), a fejlesztői adatbázis máshol van, amihez másik VPN kell.
Mit lehet ilyenkor helyi megoldásként kipróbálni? Elég hézagosak a hálózati ismereteim, ezért fogalmam sincs, hogy pl. a két hálókártya (laptopról lévén szól wlan + lan) segíthet-e, vagy valamilyen routing esetleg. -
válasz
bambano
#11677
üzenetére
"tévedés, nem ad fals biztonságérzetet, mert nem ad biztonságérzetet sem"
Meglátásom szerint hasonló problémát két eltérő nézőpontból közelítjük meg. Mindkettő helyes lehet. (egyébként biztonságérzetet ad valamennyit, mert különben nem csináltad volna meg, nem vesződtél volna vele)
Az első hozzászólásomnál ki kellett volna egészítenem a saját "szerverem" leírásával és akkor valószínűleg te is mást írtál volna.Az NKI-MNB részben igazad van. De ha szervezeteknél/cégeknél bevált valami és ehhez hasonlót az otthoni rendszerekben is be lehet állítani akkor miért ne azt használja az ember? A legtöbb otthoni router már tartalmaz OpenVPN/L2TP szervert, amit ráadásul nem is nagy művészet bekattintani. Ezekkel biztonságosabb elérést lehet kialakítani, mint egy port forward-olt alkalmazással.
#11678 én hasonló elv alapján gondolkodok. Mivel a szerver torrent futhat, így nem korlátozhatom le csak megadott IP-re az elérést, de le tudom szűkíteni, hogy pl külföldi IP-ket tiltson. Nekem most nem az a lényeg, hogy egy lehetséges támadást ismerjen fel és egyből reagáljon a rendszer (ahhoz IDS/IPS kellene), hanem hogy szűkítsem a kört ahonnan elérhető és így támadható a rendszer. Ezt ha kiegészítem az általad is javasolt time-out megoldással akkor a timeout lista kezelhető méretű marad (kb 72 órás megőrzési idő, mert általánosságban 24-48 óránként az új IP-t egy internet szolgáltató, ettől több ideig biztos hogy felesleges az IP-t őrizgetni), és így a router CPU-ja, memóriája sem lesz nagyon kiterhelve feleslegesen.
-
#11680
MaCS_70
félisten
fatpingvin
#11676
válasz
fatpingvin
#11676
üzenetére
Az én fogalmaim szerint a felhasználói szint a skála két szélén van a legnagyobb veszélyben:
Azok, akiket valamiért tudatosan, támadnak, mert valamilyen feltételezett értékhez tudnak hozzájutni, és ezért megérheti komoly erőforrásokat bevetni, illetve azok, akik sima gereblyéző módszerrel akadnak horogra, egységre lebontva Lim0 erőfeszítéssel, de ennél egy kicsit nagyobb értéktalálati aránnyal. Persze vannak mindenféle trükkös, statisztikai, publikusadat-elemző módszerek is, de a szkennelők erőforrásai sem annyira végtelenek, hogy egy bizonyos statisztikai esély alatt megérje azokat egy esetleges behatolásra fordítani.
Az ilyen támadás ellen pedig hatékony lehet bármilyen egyszerű trükk, amely önmagában ugyan nem zár hermetikusan, de a megtérülési zónából kimozdítja a védett eszközt.
Kicsit olyan ez, mint az egyszerű barkácsvédelem az autókban. Anno bő húsz éve az autólopások legsötétebb időszakában volt egy ügyem, amelyben elloptak féltucatnyi Golfot. A gyári indításgátlót kiiktatták, az autókat lábon vitték el. Egy maradt csak az udvaron, tök ugyanolyan, mint a többi (céges flotta volt). Abban két extra volt, nem tudjuk melyik miatt nem volt gazdaságos foglalkozni a kocsival: egy hengerkulcsos pedálzár (egy perc alatt nyitható) és egy rejtett áramtalanító kapcsoló a gyári elektronika előtt.
MaCS
-
bambano
titán
válasz
krealon
#11667
üzenetére
"Ez egy értelmetlen kérdés. NAT (pontosabban Port Address Translation (PAT)) egy-az-egyhez hozzárendelés.": nem, a kérdés nem értelmetlen ebből a szempontból nézve.
igen, kinyitom mindenkinek, akinek a külső ip címe ugyanaz.a kérdés abból a szempontból aggályos, hogy egy konkrét felhasználás esetén az elvárt biztonság és a hozzá befektetendő energia más, mint más esetben. Tehát arra, hogy topictárs elérje a virágbolti gyűjteményét, és a script kiddie-ket távol tartsa, ez a megoldás tökéletes, miközben pontosan ugyanez a megoldás egy banki tranzakciós rendszerhez nem megfelelő.
-
#11678
bambano
titán
MasterMark
#11665
bambano
titán
válasz
MasterMark
#11665
üzenetére
én pl. publikus címet kapok, tehát a családomnak nyitom csak ki.
másrészt még mindig jobb kinyitni pár, földrajzilag valószínűleg közeli usernek (tehát feltételezhetően békés szándékúnak), mint mikor mindenkinek nyitva van (tehát a mocskoknak is). -
bambano
titán
tévedés, nem ad fals biztonságérzetet, mert nem ad biztonságérzetet sem.
pontosan tudni lehet, hogy adott felhasználási körülményekre milyen befektetéssel milyen eredményt hoz. SENKI NEM MONDTA, hogy ez általános csodaszer.a biztonságban mindig az a lényeg, hogy adott konkrét esetre végiggondolt költség-haszon és kockázat elemzés eredménye alapján határozzuk meg a megoldást.
"Nem véletlen, hogy mind az NKI mind az MNB a kritikus fontosságű rendszerek távoli eléréséhez": mint ahogy az sem véletlen, hogy egy csomó otthoni user privát rendszerét sem az nki felügyeli, meg nem az mnb. Ez egy adott konkrét kérdésre, egy adott konkrét otthoni rendszerre adott válasz. Nem általános.
-
#11676
fatpingvin
addikt
MasterMark
#11675
fatpingvin
addikt
válasz
MasterMark
#11675
üzenetére
na ez viszont igen, egy másik kupac probléma. bár ha valaki a forgalmat látja ott már egyéb aggályok is felmerülhetnek.
-
#11675
MasterMark
titán
fatpingvin
#11674
MasterMark
titán
válasz
fatpingvin
#11674
üzenetére
Amit itt én még problémának látok, hogy ha valaki látja a forgalmat akkor nagyon egyszerű kiszedni belőle a kódot.
-
#11674
fatpingvin
addikt
MaCS_70
#11669
fatpingvin
addikt
válasz
MaCS_70
#11669
üzenetére
pontosan így. simán lehet a kopogószellemnek megadni 63+ portból álló knock patternt is, ezt könnyen belátható hogy bruteforce-olni gyakorlatilag lehetetlen (sokkal időigényesebb mint a sima jelszavazás, ugyanis itt minden "karakter" beviteléhet egy IP kapcsolat próbálkozásra van szükség).
matematikailag optimalizálható, lásd Haruhi probléma megoldása (n! + (n−1)! + (n−2)! + n − 3) de ez a portok számára (65535) vetítve praktikusan konvergál a végtelenhez. ugyanaz az eset hogy matematikai szempontból a RSA-4096 is algoritmikusan törhető, de az erőforrásigénye minden realisztikus helyzetben használhatatlanná teszi mint megoldás.
a plusz védelem itt leginkább az hogy rendkívül erőforrásigényes bruteforce-olni, és amíg nem tudod lekopogni a helyes mintát addig azt sem tudod hogy van-e egyáltalán mögötte valami. -
válasz
krealon
#11671
üzenetére
"Publikus szolgáltatások esetén sem használható. (SMTP, HTTP, HTTPS, stb.)"
Használható, ha csak 1 helyről akarjuk elérni.Az már akkor nem publikus. Ha egy helyről akarjuk elérni, akkor sokkal egyszerűbb egy site2site / client-site VPN és/vagy az IP cím korlátozás beállítása, hogy csak megadott IP-ről lehessen bejelentkezni. Ez továbbra is kevesebb munka, mint tűzfalon beállítani a kompogtatást, scriptet írni, stb és nagyobb biztonságot nyújt. Ok a VPN az nagyobb internet sávszélességet igényelhet, de többet is nyújt.
A próbálgatásos módszerre vonatkozó résszel egyet értek, jobban bele gondolva igaz. De továbbra is csak akkor használható ha kevesen használják és meg van a megfelelő script tudás a használathoz.
-
#11672
krealon
veterán
MasterMark
#11668
krealon
veterán
válasz
MasterMark
#11668
üzenetére
Most fogom csak fel a kérdésedet.
Ha nem megbizhartó hálózatból érkezel, akkor nyílván rossz eszköz a port kopogtatás.
Ez esetben az IPv6 lehet egy megoldás. -
krealon
veterán
"Ez meglátásom szerint szintén fals biztonság érzetet ad. Mi ebben a védelem? Próbálgatásos módszerrel előbb utóbb meg lehet fejteni a helyes sorrendet, ez ugye csak idő és elszántság kérdése."
A próbálgatással kísérletezőt könnyű blokkolni. A portlista növelésével a szükséges kisérletszám 65000 alapon hatványozódik.
"Használhatóság tekintetében kb addig működik, míg egy viszonylag szűk csoport használja akik valamilyen szinten értenek az informatikához, vagy az egész le van scriptelve amit csak el kell indítani."
Az a lényege a módszernek, hogy lehetőleg kevés lehetőség legyen egy kritikus ponthoz hozzáférni.
"Publikus szolgáltatások esetén sem használható. (SMTP, HTTP, HTTPS, stb.)"
Használható, ha csak 1 helyről akarjuk elérni.
A port kopogtatás nem általános tűzfalazási technika, hanem egy konkrét, kritukus pont védelmére szolgál.
A publikus IP-mre (honeypot) tipikusan 2 napig szokott érkezni próbálkozásos támadás, azután feladja. Senkinek sincs korlátlan ideje, energijája egy bizonytalan előnyöket eredményező próbálkozásos támadásra.
Persze ha a támadónak van információja a betörés adta előnyökről, akkor az egy teljesen más szituáció. -
#11670
MasterMark
titán
MaCS_70
#11669
-
Már csak pár portra történő "bekopogás" is durván megsokszorozza a feltörés időigényét, és nem lehet tudni kívülről, hogy eleve van-e ilyen védelem és mennyire összetett mintát vár.
Ahogy én látom, kívülről eleve nem detektálható, hogy belülről figyelik-e a kopogást.
Egy célzott támadás esetén lehet rá idő/erőforrás, de a sebezhetőség-szkennelést szerintem nagyon hatékonyan kizárja.
Mondom ezt úgy, hogy két napja még csak nem is hallottam erről a megoldásról, de nagyon ötletesnek találom.
MaCS
-
#11667
krealon
veterán
MasterMark
#11665
krealon
veterán
válasz
MasterMark
#11665
üzenetére
"És ha NAT mögött van a kliensed akkor mindenkinek kinyitod a NAT mögött?"
Ez egy értelmetlen kérdés. NAT (pontosabban Port Address Translation (PAT)) egy-az-egyhez hozzárendelés. Nincs értelme a többes számnak.
#11658 bambano
"a tűzfal kinyitja az ssh portot a forrásip címre."Ebbből nyílvánvaló a külső oldali szűrés.
-
válasz
bambano
#11658
üzenetére
Ez meglátásom szerint szintén fals biztonság érzetet ad. Mi ebben a védelem? Próbálgatásos módszerrel előbb utóbb meg lehet fejteni a helyes sorrendet, ez ugye csak idő és elszántság kérdése.
Használhatóság tekintetében kb addig működik, míg egy viszonylag szűk csoport használja akik valamilyen szinten értenek az informatikához, vagy az egész le van scriptelve amit csak el kell indítani. De akkor már egyszerűbb egy SSL VPN kiépítése. Nem véletlen, hogy mind az NKI mind az MNB a kritikus fontosságű rendszerek távoli eléréséhez (pl rendszergazdai elérés) SSL VPN + 2FA és SSH/RDPS + 2FA követel meg, (lehetőleg fix forrás IP címről).
Publikus szolgáltatások esetén sem használható. (SMTP, HTTP, HTTPS, stb.)
-
válasz
bambano
#11662
üzenetére
Értem, de nekem más a meglátásom ezzel kapcsolatban. Nem szolgáltatok, csak itthoni hálózat. A "szerveren" hamarosan már semmilyen értékes adat nem lesz (torrent nem minősül annak számomra), külön vlan-ba lesz rakva, ahol egyedül lesz. Egyrészt ezért kockázat arányos a védelem, másrészt eddig nem vettem észre célzott támadást, a vírusirtó tűzfala jelzett volna. Csak a Plex-nek és a torrentnek van nyitott portja a külvilág felől, és ezt akarom kicsit levédeni, hogy ne legyen bárhonnan elérhető, és első körben azokkal az Ip tartományokkal kezdem, ami külföldi és szükségtelen pl a Plex működéséhez.
Igen, tisztában vagyok, hogy produktív környezetben ez a reakció idő elképzelhetetlen (mellesleg rohadt sok cégnél találkozok ezzel, hogy nem hogy 1 hét, de még havi szinten sem néznek bele a logokba, sőt nincs is loggyűjtés), és hülyeség lenne így csinálni, de nekem ez most itt megfelelő a jelenlegi eszközpark és idő függvényében. -
#11663
fatpingvin
addikt
MaCS_70
#11661
fatpingvin
addikt
válasz
MaCS_70
#11661
üzenetére
igen, azzal a különbséggel, azaz hogy annyival jobb egy egyszerű tűzfalszabálynál, hogy amíg a minta nincs meg addig nincs is nyitott port a háló felé, azaz azoka a botok amik csak nyitott porton próbálkoznak békén is fogják hagyni. ja, és nem is épül ki IP kapcsolat amíg a bekopogás meg nem történik, szval azt így tűzfalazni meg célirányosn szűrni nem is kell (elvi síkon persze, aztán a gyakorlat már más tészta
) -
bambano
titán
"Valahol írtam ilyet?": igen, amikor azt írtad, hogy "végleg" kitiltod.
szerintem a hetes reagálási idő pont nem jó semmire.
vagy reagálj sokkal gyorsabban, vagy felejtsd el, mert felesleges energia pazarlás.ez nem tűzfal-költség kérdés. szerintem ez a döntésed nem kockázat-arányos. szerintem kockázat-arányosan jobb pár órás timeoutot tenni és hagyni békében.
-
válasz
bambano
#11659
üzenetére
"az a feltételezés se helytálló szerintem, hogy ahonnan ma megtámadtak, onnan hosszú ideig jönni fog a szemét."
Ezt nem értem. Valahol írtam ilyet? Az meg, szerintem ér valamit, ha komplett tartományok vannak letiltva, amikről biztos nem akarok fogadni semmilyen forgalmat. Értem én, hogy NGFW-t mindenhova, de ezért nem fogok több százezres tűzfalat venni, vagy külön tűzfal szervert üzemelteni otthon.
Értem az általam elképzelt rendszer hátrányát, tisztában vagyok a kockázattal, de kockázat arányosan ennyit tudok tenni. -
bambano
titán
válasz
MaCS_70
#11656
üzenetére
most arra vagy kíváncsi, hogy pontosan hogy működik, vagy arra, hogy hogyan használják? mert azt le tudom írni, hogy mikrotiken hogyan működik
az alapelv a security by osbcurity (fenébe, leírni sem bírom --->> szuper titkos
). alapértelmezetten tűzfalban minden port zárva van, ami fontos. kiválasztasz néhány portot, és megcsinálod a tűzfalon, hogyha ezekre a portokra megfelelő sorrendben kapcsolódási kérelem érkezik, akkor a tűzfal azt az ip-t, ahonnan a kérelmek jöttek, felveszi egy olyan címlistára, ahonnan jogosult a belépés.nekem van egy egyszerű shell szkriptem, kb ez:
wget http://szerverip:port1/index.htmlwget http://szerverip:port2/index.htmlwget http://szerverip:port3/index.html...wget http://szerverip:portn/index.htmlezt ráküldöm a tűzfalra és ettől a tűzfal kinyitja az ssh portot a forrásip címre.
-
válasz
bambano
#11654
üzenetére
Ebben igazad van. Ez én tervem, hogy Visual Syslog Server-t pattitntok fel egy gépre. Heti rendszerességgel ránézek, és elkezdem a külföldi IP tartományokat letiltogatni az Edgerouteren.
Nem a leghatékonyabb, nem a legbiztonságosabb, de azért mégiscsak ér valamit. A gép ami kint van neten csak Plex+torrent, más szinte nincs is rajta, meg fut a gépen egy normális víruisrtó+tűzfal szoftver. (hálózat feltörése ellen tudom nem véd, de így is jobban állok az otthoni hálózat védelmével, mint az átlag) -
bambano
titán
hogy nézed meg? van, hogy napokig nem jön semmi, utána fél napig percenként.
nincs ember, aki ezt nyomon tudná követni.
vpn-ezni lehet.
vagy kopogtató démont felrakni.
valamit mindenképpen csinálni kell, mert ha felnyomják a cuccod és onnan megy tovább a törés, azért fenékbe billentenek. -
válasz
bambano
#11652
üzenetére
Én azért ezt kiegészíteném, hogy megnézném, hogy honnan történik bejelentkezés és akár komplett tartományokat is kitiltanék. Pl ha külföldről nem kell az elérhetőség, akkor minden IP tartományt amit külföldi letiltanék.
De persze itt is érvényes, hogy egyáltalán van-e értelme vesződni vele. Home környezetben nem biztos van értelme a dolognak, de ha sok a próbálkozó akkor inkább megszüntetném az FTP szolgáltatást és VPN-re tenném át.
Én is most kezdek ilyen projektbe otthon, csak előtte összerakom a logszervert, hogy legyen infóm. -
#11652
bambano
titán
fatpingvin
#11650
bambano
titán
válasz
fatpingvin
#11650
üzenetére
a végleges helyett valami időkorlátot.
mindenki által saját maga kitalált ideig maradjon egy ip cím a listán.
szerintem egytől néhány óráig lehet valahol a helyes idő. -
#11651
4Grider
félisten
fatpingvin
#11650
4Grider
félisten
válasz
fatpingvin
#11650
üzenetére
Nyilvánvalóan ha egy ilyet beállítasz, akkor időnként ránézel. A saját honeypot-om adatbázisa napi 1-2 tucatnyi ip címmel bővül 4 általánosan használt portot (2 levelezőkiszolgáló, 1 távmenedzsment és 1 fájlátviteli) nyitottként tartva. Tehát egy év alatt bőven 10000 ip cím alatt marad.
Egy ilyen NAS azért megbirkózik egy néhány ezres adattáblával, így a 60 naptól 180 napig simán beleférhet. -
4Grider
félisten
válasz
laracroft
#11647
üzenetére
Saját otthoni NAS-omon létrehoztam 300/21/55536 és 55735/engedélyezett SFTP és alap 22-es port beállításokkal és távolról az egyik adatparkból rátoltam kb. 50 fájlt, ami olyan 670 GB összméretű volt. Gond nélkül néhány óra alatt abszolválta a feladatot. Timeoutra csak akkor futott, amikor távolról ezt töröltem is rajta, de folytatta a törlést és rendben befejezte. Azaz magának a szolgáltatásnak nincs baja. Logikusan ekkora teszthez 1000/1000-res netet használtam mindkét oldalon, így a másolási sebesség valahol 105 MB/s körül volt.
Ja és fontos:
Tedd automatikusan végleges tiltólistára az x percen belül többször próbálkozó IP címeken sikertelenül bejelentkezőket, mert végtelen számú erőforrás van SFTP kiszolgálók feltörésére... -
#11642
lenoma
aktív tag
MasterMark
#11640
lenoma
aktív tag
válasz
MasterMark
#11640
üzenetére
Megpingetni sem tudtam a láthatatlan gépet. Odáig jutottam, hogy ha mindkét gépen kikapcsolom a kaspersky internet securityt akkor működik. Ha csak az egyiken kapcsolom ki akkor nem kapcsolódik.
-
#11641
lenoma
aktív tag
MasterMark
#11640
lenoma
aktív tag
válasz
MasterMark
#11640
üzenetére
total Commanderben látszik a gép neve a Hálózatnál.
IP alapján "Nincs elérési útvonal"
De "kapcsolódás távoli asztal kapcsolattal" működik az intézőből indítva. -
#11639
lenoma
aktív tag
MasterMark
#11638
lenoma
aktív tag
válasz
MasterMark
#11638
üzenetére
Nem, hanem hálózati mappából próbálnám nyit, szerintem változtak az IP-k. De az egyik gép látja a másikat csak fordítva nem.
-
lenoma
aktív tag
Routert cseréltem, 2 gép van rákötve kábellal, korábban mindkét gép látta a gépeken megosztott mappákat.
Most viszont csak az egyik gép látja a másikat de fordítva nem.
"Kapcsolódás távoli asztal kapcsolattal" rá tudok kapcsolódni a gépre, de ha a megosztott mappáját akarom megnyitni akkor Hálózati hiba a Windows nem tud kapcsolatot létesíteni és diagnosztizáljam. -
laracroft
senior tag
Sziasztok
A Syno NAS-omon (DS2018+ DSM7.1) fut egy FTP szerver.
Kapcsolódási-, passzív portjai forwardolva vannak a NAS felé.
Távolról történő másolás során kis méretű fájlok esetén tökéletes a kapcsolat, sikeres a másolás.
Nagyobb fájlok esetén (kb >1GB) szinte biztosra vehető, hogy megszakad/leáll a másolás, hibát írva. Olyan mintha megszakadna a kapcsolat.
Ilyenkor újrkapcsolódva, tudom folytatni a másolást, de a szakadozás továbbra is random.
ITT láthatóak a szerver beállításai.
Mit tudnék tenni ez ellen?
előre is köszi
-
#11634
ArthurShelby
addikt
lenoma
#11631
ArthurShelby
addikt
válasz
lenoma
#11631
üzenetére
Amit te szeretnél, az a wifi roaming. Ez elég ingoványos (nem ismert) terület. Ehhez szerintem a legfontosabb a 802.11r szabvány (bss fast transition) támogatása (legtöbb mesh ezt tudja, azért van ott roaming). Ezenkívül van még pár roaminghoz kapcsolódó szabvány (802.11k/v), de azok szerintem kevésbé lényegesek.
A roamingot (mint ahogy előttem is mondták) nem fogod tudni elérni csak annyival, ha ugyanaz az ssid/jelszó páros. Sőt tapasztalatok alapján a kommersz márkák (asus/tplink) mesh megoldásai sem tökéletesek roamingnál. Ha tökéletes roamingot akarsz, az már enterprise terültet (ubiquiti, cisco). -
lenoma
aktív tag
válasz
krealon
#11632
üzenetére
Köszönöm a választ.
Akkor meshnél ugyanaz lesz a hlózat?
Azért ugyanarra a SSID/jelszó állítanám, hogy váltásnál ne legyen az a pár másodperces hitelesítés a telefononn még átvált.
Milyen hiba lehet? Most kb 15 eszköz van a régi telekomos wifi 4 routeren és a repeateren és gyakran van csatlakozási probléma elsőre, vagy akadó videotelefon.
Jövő héten érkezik az új wifi6-os telekom router.
Mesh hálózat építésénél csak veszek 1 plusz ezközt vagy jobban szeretik egymást ha azonos a gyártó? -
krealon
veterán
válasz
lenoma
#11631
üzenetére
"Telekomos router Wi-fi 6 jelét szeretném kiterjeszteni nagyobb területre egy TP-Link WA850RE repeaterrel.
Ugyanazt a nevet és kódot adjam neki mint a routeré?"Ugyanattól az SSID/jelszó párostól nem lesz ugyanaz a hálózat, viszont a hibafelderítést nagyjából lehetetlenné teszi.
"Vagy a telekomoshoz vásárolható Mesh kiegészítő nem a telekomtól, mert ott több mint 60e Ft-ra jönne ki."
Erre a kérdésre hamarabb kapsz választ a Telekom topikban.
-
lenoma
aktív tag
Telekomos router Wi-fi 6 jelét szeretném kiterjeszteni nagyobb területre egy TP-Link WA850RE repeaterrel.
Ugyanazt a nevet és kódot adjam neki mint a routeré?
Vagy a telekomoshoz vásárolható Mesh kiegészítő nem a telekomtól, mert ott több mint 60e Ft-ra jönne ki. -
abcde22
tag
válasz
bambano
#11628
üzenetére
Az első ábra miért nem lehetséges? Nekünk van otthon egy koax hálózatunk és bármelyik végpontjára rákötöm a DVB-T modulatort, az bárhol fogható lesz. Gondolom ugyanez a helyzet akkor is ha több végpontjára kötök rá egy-egy DVB-T modulátort.
"Igen, létezik optikai átalakító, de azt tippelném, hogy nem akarod megfizetni."
Ha létezik, akkor esetleg egy linket tudnál küldeni? (Megvenni valóban nem akarom, ha drága, mert nem éri meg.)Valódi probléma az lenne, hogy: van két ház egymás mellett, mindkettőben van egy koax hálózat. Műholdas és terrestrial tv megy a koax hálózatban, Csak az egyik ház tetején van a parabola antenna és a terrestrial antenna. Egy koax légkábel van áthúzva a másik házba, és azon megy át a műholdas és a terrestrial tv. És van egy DVB-T modulator a másik házban.
A kérdés az lenne hogy azt az RG6-os koax légkábelt ki lehetne-e cserélni optikai légkábelre, a két koax hálózatot összekötő szakaszt. Próbálkoztam ilyennel: [link] [link]
A gond az hogy ez csak egyirányú, a terrestial antenna jelét átviszi, de vissza irányba már nem megy a DVB-T modulátor jele. Vagy ha megfordítom akkor meg csak a DVB-T modulator jele megy és a terrestrial antenna nem. -
-
JSandor
tag
válasz
MasterMark
#11624
üzenetére
Csak annyit, hogy lecsatlakozott.
A device has been disconnected from an Ethernet port (5) -
JSandor
tag
Sziasztok!
Adott egy asztali PC ami lan kábellel csatlakozik a routerhez és olyan havi 1-2 alkalommal csinál egy olyat a gép/vagy a router, hogy eltűnik a gép a hálózatról, se internet se helyi kacsolat nincs azonban egyből megjavul ha átdugom a routerben egy másik lan port ra vagy a gépet újraindítom. Van valakinek valami ötlete erre ? Az a baj, hogy erre a gépre nincs se monitor se beviteli eszközök csatlakoztatva, ez csak hálózatból van elérve gyakran távolról és amikor ezt eljátsza akkor kellemetlen mert csak helyileg lehet orvosolni (ahogy fentebb írtam) és eddig nem tudtam rájönni mi okozza.
-
laracroft
senior tag
Sziasztok
Remélem a megfelelő fórumba írok kérdésemmel.
Van egy Synology NAS-om (DS 218+/DSM v7.1) otthon, amit szeretnék elérni asztali gépemről (WIN11).
SMB (SMB3) és NFS (v4.1) is engedélyezve van, sikeres is a kapcsolódás.
A gondom a következő:
1. Az SMB kapcsolat bizonyos időközönként megszakad, ekkor újra be kell írnom login/jelszavamat (hiába van beállítva, hogy csatlakozzon újra, és jegyezze meg a login adatokat)
2. Gondoltam ok, akkor az NFS lesz a megoldás. Sajnos az NFS kapcsolat viszont az összes ékezetemet elrontja.
Ezt a parancsot használom: mount -o mtype=hard 192.168.1.240:/volume1/ready r:
Próbáltam a lang=Ansi kapcsóval is, de nem lett jó. Jól látom, hogy nincs UTF8?Előre is köszi a válaszokat
-
#11616
Vesa
veterán
MasterMark
#11615
Vesa
veterán
válasz
MasterMark
#11615
üzenetére
Értem, köszönöm az infót!
-
#11615
MasterMark
titán
Vesa
#11611
-
Vesa
veterán
Köszönöm, közben rákerestem és megtaláltam én is.
Végső soron rá lehet kötni monitort, de linux alapú a cucc (FreeNAS), és nem nagyon értek a konzolos mókákhoz. Alapvetően webGUI-val kell konfigurálni, bár nyilván lehet parancssorból is csak az nehezebb. Mindegy, teszek egy próbát ezzel a statikuis IP-vel, remélem összejön.
Köszönöm a segítséget mindenkinek!
-
Horvi
őstag
1. Hülye kérdés de nem lehet arra a NAS-ra egy monitort meg billt kötni és akkor nem lenne ez a szívás?
2. Control panel -> network and internet -> network connections -> kiválasztod a második LAN kártyát -> jobb katt rajta properties -> networking fülön lesz egy lista -> ott kiválasztod az Internet Protocol version 4-et -> use the following IP address
Itt kitöltöd ami neked kell és kész. -
#11611
Vesa
veterán
MasterMark
#11607
Vesa
veterán
válasz
MasterMark
#11607
üzenetére
Most úgy próbálom, hogy a routeren keresztül csatlakozok hozzá, mert az működik, és akkor webGUI-n meg tudok adni neki egy statikus IP címet. Viszont 2 problémám akadt:
1. Amikor menteni akarom a beállítást, akkor nyilván visítozik, hogy bontja a jelenlegi kapcsolatot. Eddig érthető, de attól tartok, ha valamiért a direkt csatlakoztatás után mégsem működik majd, akkor végérvényesen nem fogom tudni elérni már a routeren keresztül sem. Illetve meg kell-e adnom a NAS-on IPV4 Gateway-t és ha igen, az azonos legyen a statikus IP címmel?
2. Hogyan kell a második LAN adapternek a PC-n, a W10-ben saját statikus IP-t adni? (tudom ez itt láma kérdés, de nem csináltam még ilyet, előre is elnézést)
-
#11610
krealon
veterán
MasterMark
#11609
krealon
veterán
válasz
MasterMark
#11609
üzenetére
"Kell legyen egy default cím amire beáll, általában úgy szokott működni."
Lehet olyan típusú NAS, ami felvesz egy alapértéket, de ez általában nem igaz.
Az IP protokol elég jól ki van dolgozva, nincs szükség egyedi megoldásokra. -
krealon
veterán
"A kérdés tehát az, hogyan tudom összekötni a NAS-t közvetlenül a PC-vel, vagy hogyan tudom láthatóvá tenni, mert a routeren keresztül megy, de direktben valamiért nem látja a PC?"
Elvileg, a közvetlen kapcsolatnál, a DHCP szerver nélkül, az IP-t használó eszközök, APIPA címet (169.254.0.0/16) adhatnak maguknak, majd broadcast utján terjeszthetik ezt a nevükhöz társítva. (A stabil állapot kialakulására, akár 15 percre is szükség lehet.)
Másik megoldás DHCP szerver beállítása az Ethernet csatolóra (pl: TftpD64 https://pjo2.github.io/tftpd64/)
-
#11606
Vesa
veterán
MasterMark
#11605
Vesa
veterán
válasz
MasterMark
#11605
üzenetére
Szia,
Igen, így kötöttem össze. A gond az, hogy a NAS-t egyelőre nem érem el, és addig nem tudok benne IP-t állítani. -
Vesa
veterán
Sziasztok,
Nem találtam jobb topikot, remélem nem megyek nagyon félre.
Adott egy NAS, amit egy új hálózaton szeretnék életre kelteni (másik router). Eleinte semmilyen módon nem látszott a w10-ben és nem tudtam elérni, de ezt megoldottam egy Network Scanner nevű szoftverrel ami kiírta az IP címét. Most viszont szeretném a NAS-t úgy összekötni a PC-vel, hogy nem a routeren keresztül, hanem közvetlenül a PC második LAN portján át. Rá is dugtam, de nem látja. Megnéztem a második LAN adapter IP címét, a szkennerrel lefuttattam egy keresést a közeli tartományban, de nem lát semmit, csak a PC-t.A kérdés tehát az, hogyan tudom összekötni a NAS-t közvetlenül a PC-vel, vagy hogyan tudom láthatóvá tenni, mert a routeren keresztül megy, de direktben valamiért nem látja a PC?
-
-
bambano
titán
válasz
grabber
#11596
üzenetére
nem csináltam még ilyet, de nem látok okot arra, hogy miért ne működhetne.
a kérdés az, hogy milyen forgalmat akarsz bondolni, hogy erre tényleg kell-e vps, vagy megoldod helyben.
ha a telephelyen kevés a drót, de sok adat van, amit közzé kell tenni, akkor meg kellene fontolni, hogy a telephelyi szervert rakod a vps-re. ha a telephelyről akarnak internetezni, arra lehet helyi terheléselosztást csinálni. -
#11601
grabber
addikt
MasterMark
#11600
válasz
MasterMark
#11600
üzenetére
Igen megoldható,de akkor csak az egyik ISP van kihasználva mert a DNS csak round robin-al működik.
Pedig jó lenne az ISP feltöltési sávszéleket kicsit összeadni mert abból nincs elég az adott telephelyen. Erre a bonding jó lenne.
)
). alapértelmezetten tűzfalban minden port zárva van, ami fontos. kiválasztasz néhány portot, és megcsinálod a tűzfalon, hogyha ezekre a portokra megfelelő sorrendben kapcsolódási kérelem érkezik, akkor a tűzfal azt az ip-t, ahonnan a kérelmek jöttek, felveszi egy olyan címlistára, ahonnan jogosult a belépés.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Miért álltak az oldalak egy hétig, mi történt?
- Anime filmek és sorozatok
- One mobilszolgáltatások
- Házimozi belépő szinten
- Trollok komolyan
- Samsung Galaxy S25 - végre van kicsi!
- Akvarisztika
- Bemutatkozott a Poco X7 és X7 Pro
- Milyen belső merevlemezt vegyek?
- sziku69: Fűzzük össze a szavakat :)
- További aktív témák...
- Samsung 32" M8 4k Smart Monitor!32"/4k/VA/Smart Remote/DEX /Airplay/Type-C/Slimfit Kamera/Beszámítá
- VW/ Skoda fejegység Android 13, 6/64gb eladó
- Lenovo Loq Gaming 15IRX9
- Dell Precision M4700- I7 4. generációs - 16Gb - Nvidia Quadro
- Panasonic Toughbook CF-MX4-1 12.5" Érintős- - Akár 8-10 órás akkuval
- Bomba ár! Lenovo ThinkPad T440P - i5-4GEN I 8GB I 128GB SSD I 14" HD+ I Cam I W10 I Gari!
- REFURBISHED és ÚJ - Lenovo ThinkPad 40AS USB-C docking station (akár 3x4K felbontás)
- REFURBISHED és ÚJ - HP USB-C Dock G5 docking station (5TW10AA) - 3x4K felbontás, 120Hz képfrissítés
- ÚJ Lenovo ThinkPad X13 Gen 5 - 13.3" WUXGA IPS - Ultra 5 135U - 16GB - 512GB - Win11 - 2,5 év gari
- ÚJ Lenovo Yoga 7 2-in-1 - 14"WUXGA - Ryzen 7 8840HS - 16GB - 512GB - Win11 - 3 év garancia - MAGYAR
Állásajánlatok
Cég: FOTC
Város: Budapest