abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 3
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 801 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Systémová blokace doménových adres

31.1. 21:34 zase já
Systémová blokace doménových adres
Přečteno: 935×
Jaký je rozdíl blokace hosts vs netfilter, co je více účinější?

Odpovědi

31.1. 21:45 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Zápisy v souboru /etc/hosts nic neblokují.
31.1. 22:03 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres

Chceš říct že

127.0.0.1	ad.crwdcntrl.net	#ADDED:2016,WEB:unknown,FOUNDin:images.undertone.com/append/1x1.html,FOUNDover:ads.undertone.com/ajs.php?&zoneid=(2,3,15,19,20,21,23,24,26*,27)

nefunguje a jen se mi to zdá?
31.1. 22:28 Vantomas | skóre: 24 | Praha
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
A až ten web nebude přistupovat na doménové jméno, ale přímo na IP adresu, tak se to tímto způsobem zablokuje jak?

Pokud jde o blokaci reklam a šmírovacích hostnamů, tak se asi vyplatí kombinace, přeci jen v dnešní době je za DNS jménem schováno několik, klidně i stovky IP adres a toto všechno blokovat v netfilteru je nereálné. Přeci jen přidávání do netfilteru na základě hostnamu funguje tak, že se při vložení záznamu do filtru resolvne DNS jméno na IP a pak se pracuje s tímto a nedochází k aktualizacím IP adres.
31.1. 23:00 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
A až ten web nebude přistupovat na doménové jméno, ale přímo na IP adresu, tak se to tímto způsobem zablokuje jak?

Netfilterem, proto se ptám na doménové adresy, které lze použít v hosts a jehož formát je více multiplatformní.

Pokud chci blokovat doménu ip způsobem ležící na hostingu, kde bych tím pádem zablokoval i domény užitečné, netfilter asi nebude ideální.

Třeba mi ale něco uniká, včetně zatěžování?

Jendа avatar 1.2. 02:42 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Netfilterem
Pokud nepoužívají round robin DNS, takže tam pokaždé bude úplně jiná adresa.

Dále, hosts neumí wildcardy. Nejjednodušší by asi bylo spustit si vlastní resolver a zablokovat to na něm. A nebo to řešit o úroveň výš, např. adblockem v prohlížeči.
Třeba mi ale něco uniká, včetně zatěžování?
Když se to udělá tupě, opravdu to chain prochází po jednom. ipsets
1.2. 03:12 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
az bude pristup na IP, nebude to souviset s dotazem na blokace doménových adres ;)
1.2. 06:55 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres

Что такое »doménová adresa«?

Ale především: ten řádek v /etc/hosts nic neblokuje. Je jen projevem toho, že lidé s oblibou opisují z návodů nesmysly, aniž by se jim pokusili porozumět.

1.2. 21:55 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Ale to že hosts nic neblokuje jsem mu napsal hned v první odpovědi.
1.2. 22:19 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Bohužel se to minulo účinkem. :-(
1.2. 22:35 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
(nejen) z kontextu je jasne, ze "domenova adresa" je myslena adresa kterou representuje "domenove jmeno"...
umistenim do hosts se v principu docili blokovani pristupu pomoci teto adresy na realny server kteremu toto jmeno patri, misto toho se spojeni provede na localhost, tedy v podstate do /dev/null, ze nejde o realne zablokovani je snad jasne, ale ze se zamezi pristupu k realnemu serveru, tedy blokuje se spojeni na realny server je preci take jasne, tak ocogo ;)
1.2. 23:08 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Jenže problém je že tazatel vůbec nemá ponětí jak to funguje.

A jenom taková drobnost nezáleží na souboru /etc/hosts ale i na nastavení v /etc/host.conf stačí aby tam měl order bind,hosts a už mu to fungovat nebude. :-)
2.2. 01:41 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Mám tam
# The "order" line is only used by old versions of the C library.
order hosts,bind
multi on
Pravděpodobně to je zkonfigurováno správně, a proto mi kterýkoliv browser oznámí, že se s uvedenou doménou (reprezentující servr) nespojí.
2.2. 02:04 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
a už mu to fungovat nebude.
Takže mi to funguje a poírá to tu prní odpověď?
2.2. 06:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Záleží na tom, jak definujete "funguje". V každém případě není pravda, že to něco blokuje.
2.2. 07:03 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
hosts: keď aplikácia chce komunikovať s www.google.com, tak najprv musí preložiť reťazec "www.google.com" na IP adresu. Tú IP adresu použije potom na vyrobenie sieťového spojenia. Preklad na IP adresu sa môže robiť viacerými spôsobmi. Jeden z nich je ten, že sa použije obsah súboru /etc/hosts. Ak sa tam dané meno nachádza, tak sa použije IP adresa, ktorá je tam k nemu napísaná. Ak tam je napísaná IP adresa, ktorá v skutočnosti nezodpovedá tomu stroju, na ktorý sa aplikácia pôvodne snažila dostať, tak sa aplikácia pokúsi komunikovať s touto IP adresou a to pravdepodobne zlyhá. Aplikácia však môže IP adresu získať inými spôsobmi. Môže sa použiť iný DNS server, môže mať IP adresu napísanú natvrdo, alebo ju získať z iného zdroja ... V konečnom dôsledku nejde o "blokovanie". Ide o pokus presvedčiť aplikáciu, aby komunikovala s iným serverom, ako bol pôvodný úmysel v nádeji, že to zlyhá.

netfilter: IP adresa paketu prechádzajúceho sieťovým rozhraním (buď jedným alebo druhým smerom) sa porovná s pravidlami netfilteru-u a tie môžu rozhodnúť o ďalšom osude paketu. Napr. ho zahodiť. V tomto prípade ide o skutočné "blokovanie" pretože sa (pri správnych pravidlách) zamedzí ďalšiemu spracovaniu paketu.
2.2. 17:44 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Tísicelé díky, za vysvětlení, už snad chápu. Netfilter: Než se paket zahodí nedojde ani k pingu mého stroje a odeslání ven (teď se neptám na ping ve webovém brouwru)?
3.2. 08:06 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
To závisí na netfilter pravidlách. Sieťová komunikácia prebieha na viacerých vrstvách. Jedna z najspodnejších vrstiev je "IP". Nad ňou je vrstva, na ktorej môžu byť rôzne komunikačné protokoly - typicky ICMP, UDP a TCP. Ping patrí do ICMP. Resolvovanie mien (DNS) patrí (spravidla) do UDP. Prenos webovej stránky medzi serverom a browserom je postavený na TCP. Takže pravidlá môžu "pustiť ping" ale "zakázať stránky". Alebo aj naopak.

Ak ti ide o zakázanie komunikácie s webovými servermi poskytujúcimi reklamu, tak na to nejdeš správne, pretože na úrovni komunikačných protokolov nie je možné rozlíšiť čo je reklama a čo nie. Server, ktorý dnes poskytuje obsah môže zajtra poskytovať reklamu.
2.2. 07:02 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Technická poznámka: direktiva order v host.conf ovlivní pouze programy linkované proti libc4 nebo libc5. V mé distribuci je v tom souboru dokonce komentář, který na to upozorňuje. Cokoli, co je linkováno proti libc6/glibc2 (tj. dnes v podstatě všechno), se řídí podle nsswitch.conf.
pavlix avatar 2.2. 10:08 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
A já jsem si říkal, že jsem tohle vždycky řídil přes nsswitch.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
2.2. 14:14 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
A mě to nějak vypadlo hold stará škola kdy nsswitch nebyl. Ale vím že existuje už jsem ho taky upravoval.
2.2. 18:44 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat
group:          compat
shadow:         compat

hosts:          files myhostname mdns4_minimal [NOTFOUND=return] dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
Chápu tedy dobře, že u hosts je dǔležitý files na začátku seznamu? Takže hosts.conf je už jen nefunkční balast dodaný v mě distribuci z roku 2015?
pavlix avatar 2.2. 10:06 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
A až ten web nebude přistupovat na doménové jméno, ale přímo na IP adresu, tak se to tímto způsobem zablokuje jak?
Nebo si člověk stáhne netresolve a může se /etc/hosts úplně vyhnout. :)
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
2.2. 17:35 zase on
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Petr Špaček pointed me to SSSD developers.
Nemělo tam být ČSSD?
pavlix avatar 2.2. 19:20 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Jsme v poradně, tak to tu snad můžeme držet trochu na úrovni, ne?
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
2.2. 19:37 zase on
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
jj trapná sranda;-)
1.2. 07:13 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Z vašeho dotazu je zřejmé, a vaše komentáře to jen potvrzují, že v tom máte pěkný hokej. Pokud chcete opravdu poradit, napište, čeho chcete docílit.
2.2. 01:57 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Chci aby uvedené se nespojilo s jakýmkoli daty na mém pc a tím mě neidentifikovalo, aby skripty které odkazují na uvedené adresy nevykonaly co chtěl pisatel toho skriptu, chci aby u uvedeného nedošlo k jakémukoliv pingu, a chci aby to fungovalo systémově.
2.2. 06:51 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Co znamená to „uvedené“? Když spustíte nějaký skript,nezabráníte tomu, aby provedl, co autor chtěl – i kdybyste zablokoval nějaký druh komunikace, sofistikovaný skript to může obejít a komunikovat jiným způsobem. Pokud v /etc/hosts přesměrujete nějaké doménové jméno na localhost, může někdo použít svůj DNS resolver a /etc/hosts úplně obejít. Pokud byste chtěl komunikaci blokovat pomocí firewallu, může často měnit IP adresy. Zkrátka když pořád nevíme, o co se vlastně snažíte, těžko vám můžeme poradit účinný postup.
2.2. 11:16 name
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Nechtel se ten clovek nahodou zeptat na TCP Wrapper a v dotazu "jen" pomichal hrusky s jabkama? Varim z vody.
Jendа avatar 2.2. 16:16 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Když spustíte nějaký skript,nezabráníte tomu, aby provedl, co autor chtěl – i kdybyste zablokoval nějaký druh komunikace, sofistikovaný skript to může obejít a komunikovat jiným způsobem.
Jistě. Zkušenost ale ukazuje, že to tak většina skriptů nedělá, a obrana před těmi zlomyslnými je nemožná. Proto lidé blokují alespoň ty nezlomyslné (kterých je většina).
2.2. 17:56 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Já teda nevím, co dělají lidé, ale já především nespouštím v systému skripty, o kterých nevím, co dělají. Pak nemusím řešit, že by kromě mnoha jiných škod mohly také komunikovat přes internet. Ostatně, takový zlomyslný skript by se asi manipulací s DNS odpověďmi blokoval těžko, protože nebudu dopředu vědět, jaké doménové jméno bude chtít přeložit.
Jendа avatar 3.2. 01:07 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
ale já především nespouštím v systému skripty, o kterých nevím, co dělají
To bych také rád dělal, ale odhadem tak polovina webů by pak přestala fungovat.
3.2. 07:01 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Skripty z webů nespouštím v systému ale ve webovém prohlížeči. A tam mají hodně omezené možnosti, rozhodně nemůžou číst libovolná data ze systému nebo nemůže navázat komunikaci s webovým prohlížečem server, jak psal tazatel.
Jendа avatar 3.2. 15:08 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Slovo "server" jsem v tazatelově příspěvcích fulltextem nenašel.

Podle mě mu celou dobu šlo o různé webové trackery, ale ať to teda radši napíše.
3.2. 15:47 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Chci aby uvedené se nespojilo s jakýmkoli daty na mém pc a tím mě neidentifikovalo
Uvedené, je doména uvedená v hosts.
Tedy „doména se nemá spojit s jakýmikoli daty na mém PC“. Těžko říct, co to znamená – vzhledem k tomu, že je to spojení od domény k PC, chápal jsem to jako komunikaci navázanou serverem.
Slovo "server" jsem v tazatelově příspěvcích fulltextem nenašel. Podle mě mu celou dobu šlo o různé webové trackery, ale ať to teda radši napíše.
Ptal jsem se několikrát, o co se tazatel vlastně snaží, zatím marně.
3.2. 17:21 zase on
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Přesně tak, skripty ve webovém prohlížeči, ale chtěl bych to řešit systémově aby to fungovalo (blokovalo prostě aby se skript na adrese kterou budu mít v nějakém pravidle neprovedl a je jedno jestli se bude blokovat nebo se přesměruje do nikam) i v jiných browsrech ne, že bych si stahoval nějaký skripty na disk a zkoušel je spouštět i když bych nevěděl co vlastně dělají. Ano, zajímají mě jen reklamní servry a trackery (sledovače) což se nevylučuje protože ten kdo poskytuje reklamu má zájem i sledovat cestu své reklamy, také mě zajímají přesměrovávače (huraia.org, zerodirect) naopak mě nezajímají servry z phisingem (to jsou ty konečné (jak vyhrát iphone) typycky s doménou info, ty které blokuje google).
3.2. 19:40 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Kdybyste tohle napsal hned na začátku, ta diskuse by vypadal úplně jinak… Nejlepší je použít proxy server, některé jsou přímo k vašemu účelu dělané – např. Privoxy. Proxy server vidí celou požadovanou adresu (u HTTP) nebo alespoň doménové jméno (u HTTPS), takže z nějaké domény můžete přes HTTP blokovat jenom některé soubory, nebo můžete blokovat domény pomocí hvězdičkové masky (třeba *.example.com – to s /etc/hosts nedokážete, tam byste musel všechny domény vyjmenovat). Podobně může fungovat rozšíření AdBlock (nebo podobná) v prohlížeči, ale to závisí na tom, zda pro daný prohlížeč existuje takové rozšíření.
Jendа avatar 4.2. 02:48 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Osobně jsem na blokátory reklam nikdy moc nebyl, použil bych spíš Ghostery, které je zaměřeno primárně na trackery, ne na reklamu.
4.2. 19:40 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Ghostery nevěřím, protože ta firma se živý sama reklamou, jediné o co jí asi jde je ničení konkurence. Adblockp je sice dobrý manager pravidel ale má problémy s jejich větším množstvím. Problém těchto rozšíření ale je, že nedokáží zachytit ty přesměrovávače, pokud nechcete zcela odstavit skript který má uvnitř adresu (popup) na přesměrovávač nebo i několik přesměrovávačů (řětězících) před konečnou adresou (livechat, casino apod.), bohužel ani ten chytrý noscript na to nestačí. Reklamu nepotřebuju, když něco chci najdu si to sám. Jsem přesvědčený, že kdyby bylo méně webů s obsahem, které jsou živy jen kvůli té reklamě (jinak by jejich webmasteři ani obsah nevytvářeli), zbylo by na internetu více obsahu od webmasterů které to baví i bez těch výdělků a ještě by nemuselo vznikat ani ipv6, protože by ubylo nenažranců.
Jendа avatar 4.2. 20:00 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
zbylo by na internetu více obsahu od webmasterů které to baví i bez těch výdělků a ještě by nemuselo vznikat ani ipv6, protože by ubylo nenažranců
Jako že by se k Internetu nikdy nepřipojilo víc než tři miliardy zařízení? Na světě, který má 7 miliard lidí, z nichž půlka žije v dostatečně rozvinutém světě, aby pomýšleli na Internet, a horní miliarda žije v tak rozvinutém světě, že mají notebook, smartphone, televizi, ledničku, tiskárnu, APčko a já nevím do ještě?
4.2. 20:32 zase on
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Není to v tom, že domény jsou tak levné, že jedinec nebo nenažraná reklamka má víc ip adres než by jí stačilo? Jako, že by každý důchodce nebo dítě potřebovalo svou ip?
4.2. 20:52 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Myslím že nejen každý důchodce nebo dítě, ale každý termostat, webkamera, auto, lednička, robotický vysavač, pračka, myčka, ať již v bytě, na chalupě nebo u přátel by mohl mít svou IP. Což samozřejmě neznamená, že ty zařízení jsou dostupné odkudkoliv. Ale prostě mají jedinečný identifikátor, pod který jsou stabilně. A přístupnost vytvářejí pravidla na firewallu. A to co se děje teď je v zásadě hrůza, flikování toho, abych uměl zapnout dopředu elektrická kamna na chalupě, když se na ni blížím a když je chalupa za 3 NATem, nebo její monitoring, nebo kamarádům VPNky na domácí server, je zcela nesmyslné.
4.2. 21:03 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Není to v tom, že domény jsou tak levné, že jedinec nebo nenažraná reklamka má víc ip adres než by jí stačilo?

Mohl byste tu úvahu trochu rozvést? Uniká mi souvislost mezi cenou domén a počtem IP adres.

Jako, že by každý důchodce nebo dítě potřebovalo svou ip?

Proč by důchodce nebo dítě (od určitého věku) neměli mít právo na svůj počítač?

4.2. 22:19 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Pomíchal jsem to, myslel jsem domény druhé úrovně (aliasy na 1IP), ani nevím kolik domén me viset na 1IP. Ale nenažrancům jedna nestačí. Pravděpodobně to tak ale je, o právu jsem nic nepsal, většinu drží spekulanti (prodejci domén, reklamky).
Jendа avatar 4.2. 22:33 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Pomíchal jsem to, myslel jsem domény druhé úrovně (aliasy na 1IP)
???
~> dig +short hrach.eu
46.167.245.64
~> dig +short donesu.cz
46.167.245.64
5.2. 08:15 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Pomíchal jste to úplně. Mezi doménami a IP adresami není žádná souvislost. Na jednu IP adresu může odkazovat klidně milion domén, a jedno doménové jméno může odkazovat na desítky IP adres. A pod jednou doménou si můžete vytvořit spoustu poddomén, a ty mohou každá odkazovat na jiné IP adresy a mít pod sebou další poddomény.
6.2. 09:00 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Takže problém s nedostatkem ip má souvislost jen s hardwarem?
Jendа avatar 6.2. 10:33 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
6.2. 10:37 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Problém s nedostatkem IP adres je způsobený jenom tím, že už je k internetu připojeno víc zařízení, která je potřeba jednoznačně identifikovat, než je prostor všech IPv4 adres. Přičemž to „zařízení, které je potřeba identifikovat“ nemusí být nutně celý počítač, ale zejména v případě serverů to mohou být třeba jednotlivé procesy na serveru (třeba web servery pro jednotlivé domény). Nedostatek IP adres umíme obejít na obou stranách, ale jsou to berličky, které nás omezují – na straně „klientů“ schováme celou síť za jednu IP adresu a tvrdíme jim, že přístup z venku na jejich počítač k ničemu nepotřebují. Na straně serveru schováme web servery pro více domén za jednu IP adresu, jenže pak musíme navíc přenášet informaci o tom, kterou doménu klient vlastně požadoval.

Druhý problém je v tom, že pro to, aby mohlo směrování v internetu fungovat efektivně, je potřeba mít mezi těmi přidělenými IP adresami velké rezervy – nevíte dopředu, kdo bude kolik potřebovat v budoucnosti, ale efektivní je, když má přidělený jeden velký blok, ne když mu postupně přidělíte spoustu malých. Což ještě zmenšuje množství skutečně použitelných IP adres.
7.2. 13:12 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Zkusím to doplnit, jak to vidím já. Což je rozvedení druhého odstavce. InterNet je o propojování sítí ne počítačů. Ty sítě jsou definovány adresou a maskou a je jedno kolik adres bude v síti fakticky reálně obsazené. Obvykle jich nemusí být obsazených moc, protože necháváš si rezervy na budoucí rozvoj, protože když se ti prostor zaplní máš problém s přeadresací. Navíc zaplňování přináší další komplikace v tom, že na globální úrovni BGP protokolem se směruje čím dál větší množství, čím dále menších sítí. Není možná agregace v tom směru, že do této geografické oblasti se bude směrovat tímto jedním pravidlem, ale díky tomu, že není adresní prostor a vše se využívá do mrtě, jsou čím dál menší sítě na globální úrovní. Někdy před asi rokem jsem se díval na BGP, což je informace, kterou používají hraniční routery na globální úrovni, kam co směrovat a v té době už více než polovina sítí byla menší než /24. Před časem byl s částí hraničních routerů problém, protože počet položek BGP tabulce přesáhl 500 000 a to pro starší routery bylo moc. V případě většího prostoru může být tak agregace mnohem účinnější, tím pádem tabulka menší a router může být efektivnější, přece jen pro každý paket vybírat z 500 000 možností platí v mnoha gigabitových rychlostech není asi sranda.
7.2. 14:44 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
a opravdu tvoje zachodova mista potrebuje public ip? ;)
Jendа avatar 7.2. 14:52 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Ano. Třeba aby jí fungoval ipsec.
7.2. 15:08 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
a opravdu nestaci public ip pro domacnost kde komunikujes z venku se serverem, kterej si komunikuje se zachodovou misu jen v ramci lokalni site? :)
Jendа avatar 7.2. 15:12 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Ne, třeba stahuje ze serveru výrobce updaty.
7.2. 15:14 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
to by si ale v ramci bezpecnosti mel stahovat tim vlastnim serverem, nejdriv to otestujes s virtualnim zahodem a pak az nechas teprve aktualizovat zachodovou misu, preci jen nechces aby ti misa diky nejakemu bugu ustrihla neco jineho nez toaletni papir :)
Jendа avatar 7.2. 23:40 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
A ten domácí server bude ve dvou sítích, mezi kterými se nedá routovat? To vypadá jako nějaký workaround na nedostatek adres.
Jendа avatar 7.2. 15:12 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Nebo ještě lépe, prostě se na ni chci připojit z práce.
7.2. 15:17 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
ale to muzes prostrednictvim homeserveru, ktery by veskere informace o mise mel, samozrejme v realnem case :)
7.2. 17:09 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Vždycky mne popadne smutek, když vidím, jak si na nějaké nešťastný nouzový workaround lidé zvyknou natolik, že ochotně ostatním vysvětlují, že "takhle se to dělá" a zuby nehty se brání každému, kdo by měl drzost chtít problém vyřešit pořádně.
pavlix avatar 7.2. 17:33 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Třeba jako v případě AI_ADDRCONFIG?
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
7.2. 20:34 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Resolverem nijak moc nežiju, takže musel vypomoci Google, abych zjistil, na co to má být narážka. Vzhledem k tomu, že v úterý ráno (spíš v noci) odjíždím na konferenci, nemám čas ani chuť účinkovat v remake přes tři roky starého flamu, takže jen stručně, než mi doběhnou benchmarky. Vzhledem k tomu, že jsem tam v podstatě tvrdil, že
  • jak definice toho flagu ve standardu, tak jeho implementace v glibc silně limitují jeho použitelnost (velmi mírně řečeno)
  • oboje je jen nepříliš dobrou aproximací něčeho úplně jiného, co uživatele opravdu zajímá
  • některé navrhované změny (ty, které nejsou v rozporu se současnou specifikací) by situaci jen mírně vylepšily, ale na tvrzení z předchozího bodu by nic podstatného nezměnily
  • jiné navrhované změny by ji sice vylepšily o něco více, ale pořád by šlo jen o jakousi aproximaci, takže nesouhlasím s tím, že změna zdokumentovaného chování by byla přijatelnou cenou
  • a některé návrhy by jen nahradily jednu nejasně definovanou podmínku jinou nejasně definovanou podmínku

musím konstatovat, že nevidím rozpor s tím, co jsem tu napsal.

7.2. 20:42 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
opravdu povazujes za nestastnej nouzovej workaround ze mas domaci server kterej komunikuje s domacima zarizenima a z domova i z venku komunikujes se serverem naprosto totozne ? :-D nebo te vazne trapi ze nemuzes dat ipv6 adresu sve toalety svemu lekari?
pavlix avatar 7.2. 22:56 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
opravdu povazujes za nestastnej nouzovej workaround ze mas domaci server kterej komunikuje s domacima zarizenima
Samozřejmě. Jestliže musím přidávat speciální server na zajištění základní funkcionality, která žádný takový server nevyžaduje, je to hodně nešťastný workaround.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
7.2. 23:10 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
centralni home server povazuju za zakladni funkcionalitu, potrebu/nutnost pripojovat se odkudkoliv a separatne k destikam nezavislejch home miniserveru bezicich v kazdym zarizeni mi prijde naprosto smesna :)
8.2. 00:12 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Ale ten server nepotřebuji. k serverum se mohu připojit nějakým konkrétním klientem, který třeba výrobce té věci naprogramuje do mobilu. Což neznamená, že někomu nemusí připadat účelné věci integrovat do serveru. Ale v případě, že veřejné adresy nemáš tak obezličky udělat musíš. Většinu svého procesního času trávím v institucích, které mají adresu /16 a každý oprávněný mobil, notebook, o desktopech nemluvě, dostane veřejnou IP. A je s tím daleko méně práce než u jiných institucí, kde mají zoufalý nedostatek adres, pak to flikují to jak mohou, zoufale tunelují co potřebují a hlavně udržet tohle stabilní, jak se průběžně požadavky zvyšují (nyní potřebujeme tuhle službu a tamtu službu).
8.2. 06:19 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Prostě nechápu proč se úpěnlivě každý drží IPv4 když adresy nejsou?

Prostě IPv4 už se měla zrušit a bylo by po problému. Takhle udržovat dvě sítě je opruz.

A teď mě vysvětli jak se mám dostat na své zařízení, mám dvě připojení jedno dostává IPv6 adresy a druhé má jednu veřejnou IPv4 na routeru.

Naštěstí nemám doma moc zařízení na které potřebuji přistupovat takže u té IPv4 mi stačí přesměrovat porty, ale jak to mám udělat když jsem na té IPv4 adrese a připojit se na IPv6?

ISP tvrdí doma IPv6 na nic nepotřebuješ zavádět to nebudem a stejně tvoje zařízení IPv6 neumí!

Naštěstí se dá ještě použít tunel 6to4, ale co kdybych neměl veřejnou IPv4 tak se můžu klouzat.
Jendа avatar 8.2. 06:25 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Hurricane má i tunely, kde veřejnou IPv4 nepotřebuješ. Nebo třeba běžně dostaneš /64 nebo i víc k VPSce, tak si můžeš prorazit OpenVPN.
8.2. 07:06 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Jasně ale proč to dělat jednoduše když to jde složitě že?
8.2. 11:28 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Souhlasím s tebou. Mě také zaráží, jak lidi mají dojem, že veřejná IP je něco jako "hodnota", když je to prostě "identifikátor". Teď když je IPv4 nedostatek tak se adresy jako "hodnota" projevují čím dál více a je prostě blbost. A ještě více mne zaráží, jak tento šílený koncept s x NATy za sebou pořád někdo obhajuje. Většinou mladí kluci, kteří nepoznali, jaká je to v podstatě svoboda pohybovat se v prostoru bez NATů s veřejnými adresami.
pavlix avatar 8.2. 08:20 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Nebudu ti to brát. :)
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
4.2. 20:39 zase on
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
bohužel ani ten chytrý noscript na to nestačí.
Vlastně stačí (ABE) ale systémově je to lepší.
3.2. 20:05 nobody
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
pro jistotu, blokovani per browser(dostupne pro chromebased a firefox) PrivacyBadger znas?
3.2. 21:22 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Znám a přestal jsem ho používat, protože má ve výchozím svá pravidla, já pak složitě hledal proč mi nějaký web nefungoval (blokované cookies). Ve foxu mám uorigin, adblockp (jen vlastní pravidla), noscript (dočasně povoleno pro první stranu) ale plánoval jsem používat jen uorigin (zatím používám jen jeho vynikající logger), až bych odfiltroval systémově ty pro mě zlé třetí strany.
2.2. 17:15 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres

Uvedené, je doména uvedená v hosts. Rozumím, že skript se provede ale skript který odkazuje na jiný na jiném servru (doméně) který je jak tedy říkáte přesměrován na 127.0.0.1 (někdo to přirovnal k /dev/null) už uvedený servr nenajde a skript na vzdáleném servru se nemůže provést, a o to mě jde. Pokud mě to zase nevyvrátíte.

může někdo použít svůj DNS resolver a /etc/hosts úplně obejít.

Teď to myslíte tak, že já jako správce něco napíšu do hosts a kdokoliv kdo bude mít přístup na moje pc to může obejít, nebo ten někdo nemusí mýt ani fyzický přístup? Realita je taková, sprácem a uživatelem svého pc jsem jen já, nikdo tedy do mého pc nemá fyzický přístup, proto takové situace řešit nepotřebuju.

PS: IT se neživým, nestudoval jsem ho, jen mě baví ale vím, že toho stále dost nevím.

2.2. 17:53 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Uvedené, je doména uvedená v hosts.
Chci aby uvedené se nespojilo s jakýmkoli daty na mém pc
Doména se určitě s vašimi daty žádným způsobem nespojí. Doména je jenom název uvedený v nějaké databázi.
Rozumím, že skript se provede ale skript který odkazuje na jiný na jiném servru (doméně) který je jak tedy říkáte přesměrován na 127.0.0.1 (někdo to přirovnal k /dev/null) už uvedený servr nenajde
Pokud ten skript bude používat /etc/host. Pokud pro překlad doménového jména na IP adresu použije něco jiného, nebo bude mít v sobě zadrátovanou přímo IP adresu, spojí se ten skript se správným serverem bez problémů.
Teď to myslíte tak, že já jako správce něco napíšu do hosts a kdokoliv kdo bude mít přístup na moje pc to může obejít, nebo ten někdo nemusí mýt ani fyzický přístup?
Nemusí mít fyzický přístup. Obvyklý, ale ne jediný, způsob překladu doménových jmen vypadá tak, že se knihovní funkce nejprve podívá do /etc/host, a když tam jméno nenajde, dotáže se některého z DNS serverů, které jsou definované v /etc/resolv.conf. Existují i veřejně známé DNS servery, např. dvojice s IP adresami 8.8.8.8 s 8.8.4.4 od Googlu. V /etc/host můžete mít cokoli, ale když se ten skript protokolem DNS přes UDP nebo TCP zeptá na danou adresu serveru 8.8.8.8, adresa se mu přeloží a skript se spojí se svým serverem.

Skriptem teď myslím kód napsaný třeba v Pythonu, Perlu nebo třeba v shellu s nějakými doplňky. JavaScript spuštěný ve webovém prohlížeče přímo dotazy DNS protokolem není schopen poslat – ale vy jste psal obecně o blokaci přístupu, programech a skriptech, nepsal jste nic o tom, že byste chtěl řešit specificky přístup z webového prohlížeče.
2.2. 21:10 zase on
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Doména se určitě s vašimi daty žádným způsobem nespojí. Doména je jenom název uvedený v nějaké databázi.
Dobře, tak se tedy nepřeloží na to ip a neproběhne ani ping. Jenom taková poznámka, i když mám v hosts www.maxmind.com doména s geololokací kterou využívá mnoho servrů, mě i tak dokáže lokalizovat i když jen dle ip provajdra.
Existují i veřejně známé DNS servery, např. dvojice s IP adresami 8.8.8.8 s 8.8.4.4 od Googlu. V /etc/host můžete mít cokoli, ale když se ten skript protokolem DNS přes UDP nebo TCP zeptá na danou adresu serveru 8.8.8.8, adresa se mu přeloží a skript se spojí se svým serverem.
Ty DNS znám, ano psal jsem obecně a myslel jsem v prvé webových (open source) prohlížečích ale i programech (open source).
2.2. 22:12 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
MYslím že odpovědí, proč to nejde tak jednoduše, jak jsi myslíš, jsi už dostal dost. Prostě proto, že se tak, jak myslíš, skript nezeptá. Navíc ten skript ani nemusí jít na DNS servery googlu, ale pokud je autor paranoidní (což utočných skripty celkem autor může být) tak si provede DNS rekurzi celou sám (což není nic těžkého, zeptá se kořenových serverů->analyzuje odpověď->zeptá se první úrovně z těch, které dostal od kořene atd). Asi jedinou cestu jak bych si dokázal představit blokaci by bylo rozjet na stanici rekurzivní nameserver, v něm nadefinovat blokační pravidla, a na úrovni systému zablokovat pro všechny ostatní procesy možnost komunikavat po portech 53. Což teď nevím jestli omezení blokace na proces nějak dostanu do iptables. Pak by DNS šlo buď přes recursor nebo nijak.
Jendа avatar 3.2. 01:08 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
ale pokud je autor paranoidní tak si provede DNS rekurzi celou sám
A já myslel, že celou dobu mluvíme o javascriptech v browseru.
3.2. 08:07 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Když skriptu zabráníte překládat dotazy na určitou doménu, pořád se snadno může přesunout na jinou, nebo si v internetu vystavit službu dostupnou přes HTTP, přes kterou ty názvy bude překládat.

Pořád jde o to, čeho chce vlastně tazatel docílit. Pokud toho, aby skripty ve webovém prohlížeči nemohli použít zařízení počítače k geolokaci (GPS, WiFi sítě, mobilní sítě), je nejspolehlivější metodou nekliknout na „povolit“ v okamžiku, kdy se prohlížeč zeptá, zda má skriptu geolokoační údaje zpřístupnit. Shodou okolností je to zároveň metoda nejjednodušší.

Někteří lidé mají možná ze čtení internetových diskusí pocit, jak je na internetu nebezpečno a jak se používáním webového prohlížeče svlékají do naha, a aby se tomu bránili, musí blokovat všechno možné už na úrovni hardware. Jenže to není pravda, a ochrany před šmírováním na webu a před nebezpečnými webovými stránkami uživatel nejlépe zajistí tak, že bude mít aktualizovaný prohlížeč a bude číst, na co se ho prohlížeč ptá.
pavlix avatar 3.2. 09:53 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Když skriptu zabráníte překládat dotazy na určitou doménu, pořád se snadno může přesunout na jinou, nebo si v internetu vystavit službu dostupnou přes HTTP, přes kterou ty názvy bude překládat.
Nebo využije jednu z mnoha existujících služeb.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
3.2. 17:46 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Pořád jde o to, čeho chce vlastně tazatel docílit. Pokud toho, aby skripty ve webovém prohlížeči nemohli použít zařízení počítače k geolokaci (GPS, WiFi sítě, mobilní sítě), je nejspolehlivější metodou nekliknout na „povolit“ v okamžiku, kdy se prohlížeč zeptá, zda má skriptu geolokoační údaje zpřístupnit. Shodou okolností je to zároveň metoda nejjednodušší.
ǔplný debil opravdu nejsem, abych klikal na co ve skutečnosti nechci, firefox mám nastavený podobně jako "jenda" tedy to s čím se sestavuje tzv. thorbrowsr.
pavlix avatar 2.2. 11:26 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Jak se dělá blokace doménových adres přes netfilter? Odhlédnu od toho, že zápisy v /etc/hosts jen přesměrovávají na alternativní adresu a lidé se pak kolikrát hodně diví, co to se svým systémem vlastně udělali.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
Jendа avatar 2.2. 16:10 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Jak se dělá blokace doménových adres přes netfilter?
Můžeš matchovat string v paketech směřujících na port 53 :-)
pavlix avatar 2.2. 16:44 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
To je mi jasné, ale tebe jsem se úplně neptal, šlo mi o to, jak si to představuje tazatel, abych věděl, na co to vlastně odpovídáme.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
2.2. 18:17 zase já
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
2.2. 19:53 Filip Jirsák
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
To ale doménové jméno přeloží na IP adresu v okamžiku spuštění toho příkazu – nevím, zda se přeloží jen na jednu, nebo zda je to dokonce tak „inteligentní“, že to použije všechny IP adresy, na které se dané jméno v danou chvíli přeloží. Jenže ta DNS jména se vzápětí mohou přeložit na jiné IP adresy. Buď to někdo záměrně změní, a nebo se to udělá prostě automaticky v rámci rozvažování zátěže – DNS server může mít třeba pro dané názvy 20 IP adres, ale když posílá odpověď klientovi, pošle jich vždy jenom 5 náhodně vybraných.
2.2. 22:30 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
A stejně tak i opačně. Na jednu adresu může být mnoho doménových jmen. Na jeden z mých mailových učtů teď chodí spam, který je vždy z nějaké domény. doména je funkční včetně MX a PTR záznamů zpět. Ale doména je jen tak cca týden stará podle whois. Dokonce mailer posílá po 15 minutách znovu maily/spamy, které byly odmítnuté odpovědí s 400 (greylist). Nicméně ta doména obsazuje prostor tak cca /29. A po 4 až 7 dnech je na stejných IP úplně jiná doména opět včetně MX a PTR záznamu a předchozí doména neexistuje a nebo existuje bez PTR odkazů. (to že jsou funkční MX záznam se pozná díky tomu, že mail má funkční reply odkazy, a PTR záznamy resolvuje přijímací mailer do Received položek hlavičky a jsou správně (což samozřejmě trochu pomáhá v anitispamových filtrech). Tedy správně v den příchodu mailu a tak určite 2-3 dny poté pak asi jak je úspěšný. Ještě ten mail typicky obsahuje odkaz na webové stránky opět ve stejné doméně.
pavlix avatar 2.2. 20:37 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
Další nepříliš povedený vtip?
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.