abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 1
včera 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 26
včera 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 7
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 14
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 25
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 15
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 5
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 1
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 774 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: update servery - co zakazat pro omezeni trafficu?

7.5.2012 15:04 xts | skóre: 10
update servery - co zakazat pro omezeni trafficu?
Přečteno: 416×
zdarec,

nemate nekdo svuj seznam/link na seznam nejcastejcich update serveru? Docela me prekvapuje ze o tom nejsem schopnej v dobe ruznych FUP apod skoro nic najit..

mame nekolik routeru ktery se pouzivaji na mistech se pomalym pripojenim, muze na tom byt pomerne dost pocitacu a chci omezit co nejvic tenhle zombie traffic co bezi na pozadi a kazdej BFU ho ma automaticky zapnutej - windows/mac os update, google update, adobe..... necham asi jen antiviry. Spousta tech veci bezi na 80/443 takze je problem to nejak komplexne blokovat.

Na jakykoliv dotaz o zablokovani update serveru konkretniho programu vyjede milion odkazu, ale nenasel jsem nic kde by se to resilo nejak vic zesiroka, nemate nekdo podobnej problem na pomalych linkach, prip. ruznych prenosnych mobilnich pripojenich, FUP atd? Jak jste to resili? Neni nekde dostupny seznam nejcastejsich programu a jejich update serveru?

Vzhledem k tomu ze tam neni zadny security risk tak to asi budu blokovat jen pres dns ktery jede na tom routeru (napr. blokovat *windowsupdate.com).

Vsechno je to hodne kratkodoby (max. nekolik dni) takze reseni ruznych cache apod je zbytecny, staci to jen zablokovat.
 
diky za napady

Řešení dotazu:


Odpovědi

7.5.2012 15:28 ewew | skóre: 36 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
Mohli by pomôcť QoS priority na základe cieľovej IP.
sec.linuxpseudosec.sk
8.5.2012 10:46 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
QoS se mi nechce davat ze 2 duvodu:

- na nekterych pripojenich muze byt fup ktera se bude zbytecne plytvat na updaty a tomu QoS moc nepomuze - jak pisu nize, pri vytizeni stoupaji latence (a to skoro linearne) a rozpada se spojeni, proto je chci zakazat at se to proste nestahuje vubec - i kdyz by to vytizilo dodatecny "nevytizeny" pasmo - pokud u rychlosti v radu desitek/stovek kbit vubec nejaky nevytizeny pasmo bude :)
Řešení 1× (xts (tazatel))
8.5.2012 10:58 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
V tom případě bych na routeru blokoval přístup na zvolené IP adresy na portech 80/443. Snad to ty updatovací systémy pochopí jako že není konektivita a zkusí to později znovu. Do DNS bych nezasahoval, s rozšiřováním DNSSEC to bude čím dál problematičtější a mohlo by to na klientském počítači spustit nějaký poplach. Problém bude s udržováním toho seznamu IP adres, asi to bude chtít udržovat seznam DNS názvů a ty pravidelně překládat na IP adresy.
8.5.2012 11:17 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
hmm.. no jo sakra.. chtej jsem to udelat pres DNS ale na DNSSEC jsem nepomyslel. A blokovat to rucne bude alespon u velkych firem nerealny, stacilo mi videt na kolika ip a celych rozsahach jede facebook a furt se to meni presne jak pises. Takze tohle asi bude opravdu nejlepsi cesta - zjistovat z DNS aktualni IP a az ty zablokovat.

Ale to jsme u jadra pudla - to co jsem psal v uplne prvnim postu - nenasel jsem jediny seznam pouzivanych update serveru pro nejcastejsi programy, dam dohromady ty co pouzivam nebo vymyslim ale to je tak vsechno. Existuje vubec nebo takovyho?
8.5.2012 11:24 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
O ničem takovém nevím. A ani si moc nedovedu představit, jak by to vlastně vypadalo. Ten seznam by se musel neustále udržovat, muselo by tam být vysvětleno, pro co je která adresa určena -- jenže to bude často problém nějak věrohodně zjistit.
8.5.2012 12:00 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
nemyslel jsem IP adresy, ale prave seznam serveru a jejich URL ktery pouzivaj znamy programy, jak je to napriklad uvedeno u microsoftu treba tady http://technet.microsoft.com/en-us/library/dd939870%28WS.10%29.aspx

proste neco jako:

Microsoft:
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
Apple:
swscan.apple.com
Adobe:
xxx.adobe.com
...

neprijde mi to jako tak netypicka uloha aby o tom google nenasel ani radku
8.5.2012 12:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
Já jsem také myslel seznam URL, i ten by se musel udržovat. Myslím, že na ten seznam by měl každý trochu jiné požadavky, takže pokud si někdo takový seznam vytvoří, nemá důvod jej zveřejňovat.
8.5.2012 18:11 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
asi to tak bude, zpusob mam a seznam dam nejak do kupy z toho co najdu. Kazdopadne dik.
7.5.2012 15:35 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
Abys mě blokoval nějaké servery a já si nemohl stáhnout věci tak bych tě poslal někam....

Podle mě není řešením blokovat, podle mě je řešením QoS a prostě ať si uživatel zapere přenosovej kanál pornem a pak tím pádem nebude fungovat třeba www.abclinuxu.cz :-)

A potom si uživatel musí stanovit priority co stahovat jako důležité a pod....

PS. I když je to podle vás dočasné tak pak bych tam QoS nechal napořád pouze pozvedal limity podle nového připojení.
8.5.2012 10:26 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
poslat me user muze kam chce ale to je jediny co s tim udela :-) bezne po me chteji ve firmach blokovat p2p, facebooky, dokonce i veskerej internet krome par explicitne vybranych stranek.. o tom rozhoduje ten kdo to plati, a pokud je pozadavek udelat pripojeni co nejvic funkcni na spatnym signalu a co nejvic orezat ostatni traffic tak udelam i to, ostatne jak to funguje vysvetluju v prispevku nize.

Pokud to bude potreba, at si klidne stahuje i porno - a plnou rychlosti co to da, neni problem ze by ti uzivatele byli dementi a stahovali porno, ale vetsina z nich neovlivni co ten pocitac stahuje na pozadi a ani po nich nemuzu chtit aby vypinali aktualizace apod. coz bych ostatne ani neudelal.

dalsi vec je, ze nekde je dana FUP a zbytecne se plytva na aktualizace, kdyz ten pocitac bude za par hodin viset na rychlym internetu - a tam mi QoS nepomuze, proto to chci uplne zablokovat.
7.5.2012 20:43 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
Když ty počítače budou zavirované, budou využívat přenosové pásmo daleko víc. Zablokovat automatické aktualizace operačního systému je zatím nejhorší nápad na blokování, který jsem kdy zaznamenal. Pokud máte v síti uživatele, kteří nechávají automatické aktualizace zapnuté, buďte rád -- já znám spíš uživatele, kteří je vypínají (protože tomu přeci rozumí), a pak se diví, proč mají počítač plný různých zviřátek.
8.5.2012 10:09 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
ver mi, ze pokud se aktualizace nestahnou pres den ale az vecer doma nebo v kanclu na kabelu, klidne i dalsi den, nicemu, ale opravdu nicemu to nevadi u asi tak 99.99% myslitelnych pripadu.

Ale evidentne si nerozumime, funkce a dulezitost aktualizaci je mi jasna, tak to jeste trochu upresnim: nejedna se samozrejme o nejaky omezovani uzivatelu ve firme na paterni optice, jedna se dost casto o ruzne zapadly mista kde nejlepsi varianta je nejaka pomala wifi, ale nejcasteji to jde jenom pres mobilni data. Tam kde je nejaka varianta 3G/4G to jeste celkem jde, ale tam kde je jenom gprs nebo cdma a jeste s blbym signalem to je opravdu peklo, stane se ze to bezi treba i 100-200kbit a pritom na tom visi nekolik lidi.

Problem tehle mobilnich pripojeni (zejmena cdma) se spatnym signalem je ze v momente kdy se hodne/na maximum vytizej, extremne vzrostou latence (bezne 1000-3000ms) a po chvili se spojeni uplne rozpada takze je to skoro nepouzitelny. A ted si predstav, ze napr. Apple vyda update pro svuj OS X kterej ma skoro 1GB, a na siti jsou pripojeny 3 Macy...

Jedna se v naprosty vetsine pripadu o nekolik hodin, malokdy to trva dyl nez 1 den, pak lidi odjedou do svych kanclu a dostahujou si co potrebujou na rychlym internetu.

Urcite nebude nikdo z useru menit cokoliv ve svym pocitaci.

Nechci blokovat/omezovat nic co by mohla byt vyzadana akce, klidne si muzou prehravat videa z youtube kdyz to bude potreba, ale je problem kdyz kazdej pocitac je schopnej tu linku vytizit updatama co bezej na pozadi - proste at se nepripojuje nic co neni explicitne vyzadany nejakou uzivatelskou akci.

Abych jeste uvedl priklad - typicky to vypada tak ze tam ty lidi dopoledne prijedou, sedej na mailech, sem tam otevrou nejakou stranku (coz je i spatny pripojeni pomerne schopny pobrat) a odpoledne/vecer jedou zpatky do kanclu - tam se ty updaty v klidu a pohode dostahnou.
8.5.2012 10:35 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
To ale dost podstatně mění situaci. Nicméně bál bych se ty updaty blokovat úplně, bůhví, jak by si to ten updatovací systém vyložil. Pro Windows Update je myslím možné zprovoznit server ve vlastní síti, ale to pravděpodobně bude vyžadovat spolupráci ze strany klientů.

Asi bych to řešil nasazením transparentního proxy serveru (a to jsem obvykle proti), na kterém by se pro některé adresy výrazně omezila rychlost. Z logu proxy serveru bych si pak vytipovával adresy, které takhle omezovat. Problém je co s HTTPS, tam transparentní proxy server nepomůže -- určitě bych proxy server oznamoval i přes WPAD, takže zbývá dořešit ty případy, kdy je natvrdo zapnutý přímý přístup do sítě. Pak by bylo nutné asi zjistit, jak moc se tyhle nežádoucí věci stahují přes HTTPS -- a buď to nechat být, nebo HTTPS přímo zakázat a poskytnout návod, jak si nastavit proxy server.

Obecné řešení to bohužel nemá. V Linuxu nebo třeba na Androidu aspoň je systémový správce aplikací, který se stará o updaty, ale pořád se některé aplikace vnucují svým řešením, třeba data (mapové podklady, jízdní řády) si ty aplikace pořád tahají sami. No a Mac nebo Windows, tam už je to úplná anarchie.

Nicméně možná by to byl zajímavý námět pro nějakou školní práci, laboratoř CZ-NIC, Google Summer of Code nebo tak něco -- navrhnout nějaký systém, jak by se na různých WiFi třeba ve vlacích, autobusech, v restauracích nebo na benzínkách dalo třeba Androidímu mobilu nebo tabletu oznámit, že stahovat aktualizace přes tuhle konektivitu je nežádoucí.
8.5.2012 11:02 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
na svych pocitacich jsem zkousel zablokovat *windowsupdate.com, update.microsoft.com atd a system se choval jako kdyby nebyl na internetu, prestoze vsude jinde internet normalne fungoval takze pouzitelny by to myslim bylo. S lokalnima updatama mas pravdu, to dela wsus ale musi bezet na windows server a jsem si skoro jisty ze ty pocitace musi byt v AD/domene.

transparentni proxy tam mam, to byla prvni vec co jsem udelal k usetreni pasma, a vzhledem k tomu ze kazdej ma jako vychozi stranku seznam tak to funguje prekvapive dobre :) WPAD tam nemam ale zni mi to jako dobry napad, na to mrknu. HTTPS bych blokoval dost nerad, taky nevim co vsechno na nem bezi.

Ten posledni odstavec je GENIALNI napad!! - divim se ze neco takovyho jeste neni
8.5.2012 11:12 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
Zablokoval jste je na tom proxy serveru, v DNS nebo IP adresy na routeru? Tomu blokování DNS bych se spíš snažil vyhnout, dnes s čistými Windows to možná funguje, ale nikdo neví, za jak dlouho to začnou třeba antiviry kontrolovat. Zablokování těch IP adres na routeru mi připadá jako nejlepší řešení, i když je potřeba aktualizovat ten seznam IP adres -- protože to simuluje neexistující spojení. Blokace na proxy serveru by znamenala vracet třeba stavový kód 404 not found, a to už si ten aktualizační systém zase může vyložit všelijak.
8.5.2012 11:48 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
blokoval jsem URL v proxy, nevim presne co to vraci za chybu ale myslim ze se to ani nespoji a vrati to connection refused, tedy bez stavovyho kodu. Blokovani IP bude asi opravdu lepsi reseni, zkusim vymyslet nejaky reseni jak se to bude aktualizovat z DNS.
8.5.2012 11:59 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
Při blokování na proxy serveru se spojení klienta s proxy serverem naváže (a klient si myslí, že komunikuje s cílovým serverem), klient pošle požadavek a teprve pak proxy server zjistí, co klient vlastně chce, a může tedy zareagovat -- buď nějakým stavovým kódem, nebo ukončením spojení. Connection refused takhle tedy udělat nejde.
8.5.2012 12:07 xts | skóre: 10
Rozbalit Rozbalit vše Re: update servery - co zakazat pro omezeni trafficu?
na tom neco je :) zjistim co to vraci, ale asi to bude ta 404.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.