abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 23:23 | Humor

Nová služba České pošty nazvaná Bezpečné úložiště nabízí až 100GB kapacitu pro "bezpečnou správu Vašich dat pod patronací důvěryhodného partnera Česká pošta".

… více »
Lol Phirae | Komentářů: 0
dnes 22:14 | Bezpečnostní upozornění

Nova kritická hrozba VPNfilter bola zistená po dlhšiej spolupráce Talos s verejnými i súkromnými bezpečnostnými agentúrami. VPNfilter ohrozuje približne 500 000 zariadení v približne 54 krajinach. Zasiahnutí výrobcovia sú Linksys, MikroTik, NETGEAR, TP-Link (SOHO), QNAP (NAS). Správanie malwaru je nebezpečnej povahy, čo môže v určitých prípadoch spôsobiť škody veľkého rozsahu. Často tieto zariadenia sú na perimetri sieťe bez ochrany.

ewew | Komentářů: 0
dnes 21:55 | Pozvánky

CSNOG (Czech and Slovak Network Operators Group), první československé setkání síťových operátorů, se uskuteční 11. a 12. června v Brně. Akce je určena poskytovatelům internetového připojení, síťovým operátorům, provozovatelům registrů, internetovým odborníkům a všem zájemcům o internetové a síťové technologie. Program je zaměřený na odborná, technická témata jako například síťová architektura, bezpečnost sítí, zpracování dat, DNS a další. Nutná je registrace.

Ladislav Hagara | Komentářů: 0
dnes 21:33 | Komunita

Na Humble Bundle lze získat počítačovou hru, simulátor hackování, Hacknet (Wikipedie, YouTube) běžící také v Linuxu zdarma. Tentokrát je ke stažení také verze bez DRM a navíc soundtrack. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
včera 20:11 | Zajímavý software

Alexandre Julliard oznámil jménem vývojového týmu Wine vydání první verze 1.0 knihovny vkd3d určené pro překlad volání Direct3D 12 na Vulkan. Zdrojové kódy vkd3d jsou k dispozici pod licencí LGPLv2.1+.

Ladislav Hagara | Komentářů: 1
včera 19:33 | Komunita

Dnešním dnem lze účet Firefoxu chránit dvoufázovým ověřováním (2FA). Implementován byl standard TOTP (Time-based One-Time Password).

Ladislav Hagara | Komentářů: 0
včera 15:17 | Pozvánky

Od pátku 25. 5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spoustu zajímavých přednášek, workshopů a také na Release Party nového openSUSE Leap 15.0. Na stejném místě proběhne v sobotu 26. 5. i seminář o bezpečnosti CryptoFest.

Jendа | Komentářů: 0
včera 13:33 | Zajímavý software

Drawpile je svobodný multiplatformní program pro kreslení podporující společné kreslení několika uživatelů. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3+. Drawpile i Drawpile Server jsou ke stažení také ve formátu AppImage. Stačí tedy nastavit právo na spouštění a spustit.

Ladislav Hagara | Komentářů: 0
včera 09:44 | Zajímavý software

Kalifornskému Muzeu počítačové historie (Computer History Museum) se po pěti letech vyjednávání se společností Qualcomm podařilo získat veškerá práva na poštovního klienta Eudora (Wikipedie), tj. kromě zdrojových kódů muzeum získalo také ochranní známku Eudora nebo domény eudora.com a eudora.org. Po pročištění byly zdrojové kódy Eudory uvolněny pod licencí BSD.

Ladislav Hagara | Komentářů: 5
22.5. 15:00 | Nová verze

Byla vydána nová stabilní verze 5.11 toolkitu Qt. Přehled novinek v příspěvku na blogu a na wiki stránce. Další dnešní příspěvek na blogu Qt je věnován Qt pro WebAssembly umožňujícímu běh Qt aplikací ve webovém prohlížeči. K vyzkoušení jsou příklady.

Ladislav Hagara | Komentářů: 0
Používáte pro některé služby inetd?
 (35%)
 (23%)
 (43%)
Celkem 150 hlasů
 Komentářů: 5, poslední 22.5. 16:46
    Rozcestník

    Dotaz: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom

    24.10.2012 22:39 victor8 | skóre: 24 | blog: blog | Košice
    MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    Přečteno: 197×
    Zdravim vospolok,

    riesim jeden problem s dost specifickymi poziadavkami na konektivitu virtualnej masiny beziacej na virtualboxe, ktora ma network interface zbrigdovany na eth0 interface na hoste. Velmi mi to nejde a napady dochadzaju, preto dufam, ze mie niekto bude schopny pomoct.

    Na fyzickej masine (debian) mam nahodenu virtualku s bridgovanym interfacom na eth0 interface na hostovi.

    Problemom je, ze switch overuje MAC adresy voci whitelistu a len vyvolene MAC adresy sa dostanu do spravnej VLANy, kde DHCP server vyslysi prosby o pridelenie IP adresy.

    Dalsim obmedzenim je, ze na jeden port na switchi moze byt pripojena len jedna "whitelistovana" MAC adresa.

    Vo fyzickom hoste mam sietovu kartu vyhradenu pre pouzitie virtualkami, jej MAC adresa je vo whiteliste a host ju nijako nepouziva.
    root@host:~# ip a
    2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
        link/ether b0:48:7a:81:15:58 brd ff:ff:ff:ff:ff:ff
    
    relevantne nastavenia virtualnej masiny:
    virtualbox@host:~$ VBoxManage showvminfo client
    NIC 1:           MAC: 080027959BD1, Attachment: Bridged Interface 'eth0', Cable connected: on, Trace: off (file: none), Type: 82540EM, Reported speed: 0 Mbps, Boot priority: 0, Promisc Policy: deny
    
    Potrebujem zabezpecit, aby vsetka prevadzka vychadzajuca z eth0 na hostovi mala ako source MAC adresu prave adresu fyzickej karty.

    skusil som na hostovi nastavit toto:
    PHYS_MAC="b0:48:7a:81:15:58"
    VIRT_MAC="08:00:27:95:9B:D1"
    
    ebtables -t nat -A POSTROUTING -o eth0 -j snat --to-src $PHYS_MAC --snat-arp --snat-target ACCEPT
    ebtables -t nat -A PREROUTING -i eth0  -j dnat --to-dst $VIRT_MAC --dnat-target ACCEPT
    
    avsak vysledok sa nedostavil, klient stale nedostava IP adresu od DHCP klienta

    vypis z tcpdumpu (neviem nakolko je relevantny, nie som si isty v ktorom mieste odchytava pakety, ci pred, alebo az za postroutingom...
    root@host:~# tcpdump -i eth0
    tcpdump: WARNING: eth0: no IPv4 address assigned
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
    ...
    22:06:49.300151 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 08:00:27:95:9b:d1 (oui Unknown), length 300
    22:06:49.300174 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 08:00:27:95:9b:d1 (oui Unknown), length 300
    22:07:03.294648 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 08:00:27:95:9b:d1 (oui Unknown), length 300
    22:07:03.294674 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 08:00:27:95:9b:d1 (oui Unknown), length 300
    ...
    ^C
    136 packets captured
    136 packets received by filter
    0 packets dropped by kernel
    
    Mate nejake napady ako tento problem vyriesit? Nemusim nutne pouzit MAC maskaradu, rozmyslal som nad nastavenim MAC adresy fyzickeho adaptera aj pre virtualny, no nie som si isty ako by sa bridge zachoval, keby na oboch jeho koncoch boli adaptery s rovnakou MAC adresou...

    Vdaka za (akukolvek) pomoc.

    Řešení dotazu:


    Odpovědi

    24.10.2012 22:51 NN
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    No mohl by jsi ty MAC adresy proste otocit.. tu kterou potrebujes nakonfigurovat navrdo do virtualu, a na hostu vytvorit nejakou nahodnou..
    Řešení 1× (victor8 (tazatel))
    24.10.2012 23:09 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    Mě to připadá jako flikování. Možnosti jsou asi takové.
    1. Domluvím se se správcem switche, aby na konkrétním interface pro mne povolil více MAC. Asi síťově nejčistší řešení.
    2. Udělám to co píše NN. Na interface nastavím povolenou adresu do virtuálu a na reálného hostitele jakoukoli jinou.
    3. Virtuál zanořím za NAT a potřebné porty napřímo forwardnu do virtuálu.
    Nic jiného z podstaty síťových protokolů, udělat nejde. Bridge do virtuálu funguje tak, že hostitel převede kartu do promiskuitního modu a pakety se zpracovávají až v systému a také tímto způsobem odesílají.
    Michal Makovec avatar 25.10.2012 01:19 Michal Makovec | skóre: 22 | Prostějov
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    přimlouvám se za možné řešení č. 1, správci sítě jsou také lidé, nevidím důvod proč by se nešlo domluvit...
    25.10.2012 14:09 victor8 | skóre: 24 | blog: blog | Košice
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    Dakujem za reakciu.

    Bohuzial moznost c.1 v uvahu nepripada, je to celofiremna politika, na jej zmenu nema dosah ani spravca siete.

    moznost c.2 podla NN ale zabrala, ze ma to nenapadlo skor :)

    nastavil som na hoste:

    VBoxManage modifyvm aston-gw-test --macaddress1 b0:48:7a:81:15:58 && macchanger --mac=b0:48:7a:81:15:59 eth0

    na prvu supu to neslo, tak som este fyzicku sietovku prepol do promisc modu
    ip l s promisc on dev eth0
    a voila :)

    25.10.2012 15:44 Sten
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    ebtables
    25.10.2012 15:56 Sten
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    ebtables -t nat -A PREROUTING -p ipv4 --ip-destination vi.r.tu.al -i eth0 -j dnat --to-destination 55:44:33:22:11:00
    ebtables -t nat -A POSTROUTING -p ipv4 --ip-source vi.r.tu.al -o eth0 -j snat --snat-arp --to-source 00:11:22:33:44:55
    25.10.2012 17:37 victor8 | skóre: 24 | blog: blog | Košice
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    take nieco som samozrejme skusal, vid otazka.

    --ip-destination pouzit ale nemozem, ip nie je vzdy vopred znama, musim sa obmedzit na L2 vrstvu.
    25.10.2012 19:18 Sten
    Rozbalit Rozbalit vše Re: MAC maskarada virtualboxovej virtualky s bridgovanym interfacom
    Aha, tam je DHCP. No s tím to nepůjde, to totiž identifikuje klienty právě pomocí MAC adres.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.