abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Electronic Frontier Foundation (EFF) opouští platformu X (dříve Twitter)
    dnes 05:22 | IT novinky

    Nezisková organizace Electronic Frontier Foundation (EFF) hájící občanské svobody v digitálním světě po téměř 20 letech opouští platformu X (dříve Twitter). Na platformách Bluesky, Mastodon, LinkedIn, Instagram, TikTok, Facebook, Threads a YouTube zůstává.

    Ladislav Hagara | Komentářů: 2
    GNU nano 9.0
    dnes 03:33 | Nová verze

    Terminálový textový editor GNU nano byl vydán ve verzi 9.0. Vylepšuje chování horizontálního posouvání pohledu na dlouhé řádky a chování některých klávesových zkratek. Více v seznamu změn.

    |🇵🇸 | Komentářů: 0
    Předvyplnění daňového přiznání pomocí umělé inteligence
    včera 19:22 | IT novinky

    Ministerstvo financí ve spolupráci s finanční správou dnes představilo beta verzi aplikace využívající umělou inteligenci pro předvyplnění daňového přiznání. Není třeba přepisovat údaje z různých potvrzení, ani hledat správné řádky, kam údaje napsat. Stačí nahrát dokumenty a využít AI.

    Ladislav Hagara | Komentářů: 7
    Veřejně dostupná schémata periferií Keychron
    včera 18:33 | Zajímavý projekt

    Výrobce počítačových periferií Keychron zveřejnil repozitář se schématy šasi klávesnic a myší. Licence je restriktivní, zakazuje většinu komerčních užití a v podstatě jsou tak data vhodná pouze pro výukové účely, hlášení a opravy chyb, případně výrobu vlastního příslušenství.

    |🇵🇸 | Komentářů: 1
    APT 3.2
    včera 18:22 | Nová verze

    Správce balíčků APT, používaný v Debianu a odvozených distribucích, byl vydán ve verzi 3.2 (seznam změn). Mezi novinkami figurují nové příkazy pro práci s historií, včetně vracení transakcí.

    |🇵🇸 | Komentářů: 0
    Projekt Glasswing a s ní související AI model Claude Mythos Preview
    včera 14:33 | IT novinky

    Společnost Anthropic oznámila Projekt Glasswing a s ní související AI model Claude Mythos Preview. Jedná se o iniciativu zaměřenou na kybernetickou bezpečnost, do které se zapojily velké technologické společnosti Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA a Palo Alto Networks. Anthropic věří, že nový AI model Claude Mythos Preview dokáže

    … více »
    Ladislav Hagara | Komentářů: 1
    Little Snitch pro Linux a zdarma
    včera 13:55 | Zajímavý software

    Firma Ojective Development vydala svůj nástroj pro monitorování a řízení odchozích síťových připojení Little Snitch i pro operační systém Linux. Linuxová verze se skládá ze tří komponent: eBPF program pro zachytávání provozu a webové rozhraní jsou uvolněny pod GNU GPLv2 a dostupné na GitHubu (převážně Rust a JavaScript), jádro backendu je proprietární pod vlastní licencí, nicméně zdarma k použití a redistribuci (cena přitom normálně … více »

    » FIDESZ🧡! « | Komentářů: 0
    Vojenské zpravodajství se zapojilo do akce proti ruským hackerům, ovládli routery
    8.4. 18:44 | IT novinky

    Vojenské zpravodajství (VZ) se v březnu zapojilo do mezinárodní operace proti aktivitám hackerské skupiny APT28, která je spojovaná s ruskou vojenskou zpravodajskou službou GRU a která přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v ČR i zahraničí. Operaci vedl americký Federální úřad pro vyšetřování (FBI) a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně … více »

    Ladislav Hagara | Komentářů: 33
    Prý odhalili identitu tvůrce kryptoměny bitcoin
    8.4. 16:44 | IT novinky

    Tvůrcem nejpopulárnější kryptoměny bitcoin, který se skrývá za pseudonymem Satoši Nakamoto (Satoshi Nakamoto), je britský kryptograf Adam Back. Na základě vlastní investigativní práce to tvrdí americký deník The New York Times (NYT). Několik indicií podle autorů jasně ukazuje na to, že Back a Nakamoto jsou stejný člověk. Jde mimo jiné o podobný odborný a osobnostní profil či totožné chyby a manýry v psaném projevu.

    Ladislav Hagara | Komentářů: 13
    Google Chrome 147
    8.4. 14:44 | Nová verze

    Google Chrome 147 byl prohlášen za stabilní. Nejnovější stabilní verze 147.0.7727.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Vylepšeny byly také nástroje pro vývojáře. Přehled novinek v Chrome DevTools 145 až 147 také na YouTube.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (14%)
     (8%)
     (1%)
     (12%)
     (30%)
     (3%)
     (6%)
     (2%)
     (14%)
     (24%)
    Celkem 1256 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / ip_conntrack
    Štítky: TCP

    Dotaz: ip_conntrack

    17.6.2008 13:33 secido | skóre: 27
    ip_conntrack
    Přečteno: 801×
    V /proc/net/ip_conntrack sa mi zacali hromadit zaznamy, ale netusim z coho pochadzaju. Viete mi ich vysvetlit? Moze to by nejake skenovanie portov? Napr. adresa dst=192.168.46.59 sa v lokalnej sieti nepouziva i ked niektore z rozsahu 192.168.46.0/24 ano. 
    tcp      6 40258 ESTABLISHED src=201.231.167.28 dst=192.168.46.59 sport=44186 dport=4252 packets=2 bytes=80 [UNREPLIED] src=192.168.46.59 dst=201.231.167.28 sport=4252 dport=44187 packets=0 bytes=0 mark=0 use=1
tcp      6 40253 ESTABLISHED src=24.206.184.124 dst=192.168.46.59 sport=44165 dport=4241 packets=2 bytes=80 [UNREPLIED] src=192.168.46.59 dst=24.206.184.124 sport=4241 dport=44166 packets=0 bytes=0 mark=0 use=1
tcp      6 39735 ESTABLISHED src=84.54.166.74 dst=192.168.46.64 sport=42749 dport=1889 packets=2 bytes=80 [UNREPLIED] src=192.168.46.64 dst=84.54.166.74 sport=1889 dport=42750 packets=0 bytes=0 mark=0 use=1
tcp      6 39223 ESTABLISHED src=87.121.169.51 dst=192.168.46.64 sport=5 dport=1777 packets=2 bytes=80 [UNREPLIED] src=192.168.46.64 dst=87.121.169.51 sport=1777 dport=6 packets=0 bytes=0 mark=0 use=1
tcp      6 39082 ESTABLISHED src=87.120.145.133 dst=192.168.46.64 sport=41759 dport=1729 packets=2 bytes=80 [UNREPLIED] src=192.168.46.64 dst=87.120.145.133 sport=1729 dport=41760 packets=0 bytes=0 mark=0 use=1
tcp      6 38298 ESTABLISHED src=87.120.145.133 dst=192.168.46.64 sport=311 dport=1587 packets=2 bytes=80 [UNREPLIED] src=192.168.46.64 dst=87.120.145.133 sport=1587 dport=312 packets=0 bytes=0 mark=0 use=1
tcp      6 38100 ESTABLISHED src=85.196.168.249 dst=192.168.46.64 sport=39774 dport=1533 packets=2 bytes=80 [UNREPLIED] src=192.168.46.64 dst=85.196.168.249 sport=1533 dport=39775 packets=0 bytes=0 mark=0 use=1
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    17.6.2008 14:45 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: ip_conntrack
    Máte nezbedného providera, protože si jinak (kromě source-routingu nebo sdíleného média) nedokážu představit, jak by se z Internetu do vaší sítě dostali pakety určené pro veřejně nesměrované rozsahy.

    Prostě si na gatewayi zakažte jakékoliv příchozí pakety s cílovou adresou z vašeho soukromého rozsahu.
    17.6.2008 14:50 secido | skóre: 27
    Rozbalit Rozbalit vše Re: ip_conntrack
    Nebude to robiť šarapatu, keď router slúži ako gateway s NAT?
    17.6.2008 15:10 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: ip_conntrack
    Musíte je zahazovat v tabulce mangle nebo raw. Tj. ještě dříve, než než se vám smíchají s regulérními pakety, jejichž cílovou adresu změnil NAT. Nebo si ty pakety nejprve označkujte a zahazujte je až pak. Nebo je rozpoznávajte podle --cstate !DNAT filtru.
    17.6.2008 16:05 vr
    Rozbalit Rozbalit vše Re: ip_conntrack
    pocházejí z modulu jádra ip_nat a ip_conntrack, ten se zavede pokaždé, když se pokusíte provést něco s NATem, nemusíte mít NAT funkční, stačí napsat iptables -t nat -nvL

    řešení

    zařídit aby se modul ip_nat nikdy nezavedl, nebo ho potom odstranit z jádra
    17.6.2008 16:22 secido | skóre: 27
    Rozbalit Rozbalit vše Re: ip_conntrack
    NAT potrebujem, funguje aj bez modulu ip_nat?
    pavlix avatar 17.6.2008 16:23 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ip_conntrack
    1) koukni, jestli máš zapnutý rp_filter, ten by měl takovéto věci zvenku filtrovat (pokud je to tak, jak říkáš)

    2) spíš si myslím, že máš na síti počítač, co tuhle IP používá. Vzhledem k tomu, že je to established spojení, tak bych se dost divil, kdyby ne.

    Dál doporučuju na routeru prohlédnout arp tabulku (ip neigh nebo arp) v době, kdy spojení probíhá. Router ti pravděpodobně sdělí, že tohle IP na síti máš.

    Na scanování portů bych to neviděl.

    3) Máš doma wifi?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.6.2008 23:32 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: ip_conntrack
    Sice tam také vidím "established", ale také je tam UNREPLIED a pro druhý směr packets/bytes=0 ... packets=2 bytes=80 [UNREPLIED] src=... packets=0 bytes=0.
    pavlix avatar 17.6.2008 23:38 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ip_conntrack
    To podle mě jen znamená, že komunikace probíhala pouze jedním směrem... což lze vyčíst i z těch počtů paketů.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.6.2008 23:59 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: ip_conntrack
    Právě, čili není řečeno že když je tam napsáno "established" že tam počítač s danou ip opravdu je.
    pavlix avatar 18.6.2008 02:37 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ip_conntrack
    To není obecně řečeno nikdy...

    Ale co řečeno je, že někdo poslal packet s touhle zdrojovou adresou (veřejnou) a že očekává tamtu cílovou (neveřejnou).

    Pokud to byl ten počítač s tou veřejnou IP... tak je to blbost a nemělo by se to nikdy stát (bezpečnostní prvky po cestě + jejich správná konfigurace).

    Pokud to poslal jinej počítač mimo naši síť, je to taky špatně... a zase buď konfigurace nebo nějaký obcházení bezpečnosti (měl by zachytit "náš" router).

    Pokud to poslalo něco z naší sítě... tak nefunguje NAT. protože src adresa je stejná jako reply adresa, což v případě NATu být nemá.

    Možná jsem něco přehlédl, tak to berte s rezervou, musel bych se na to podívat pořádně a stejně bych to radši řešil s přístupem k síti, kdybych měl říct, co se opravdu děje.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.6.2008 23:58 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: ip_conntrack
    V zásadě by tedy na to takzvané "established" mohl stačit jeden jediný SYN+ACK paket. Čili nemyslím, že by na druhé straně něco muselo odpovědět, to by tam bylo v "terminologii conntrack" třeba ASSURED nebo tak.
    18.6.2008 00:07 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: ip_conntrack
    Nebo když jsou tam všude packets=2 tak jeden SYN, a jeden SYN+ACK (týmž směrem), což už je skoro "established" (i když tam něco dost důležitého chybí:D)
    pavlix avatar 18.6.2008 02:22 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ip_conntrack
    Když tam je jeden směr 2 a druhý směr 0, tak bych očekával, že to bude jeden packet SYN a druhej packet taky SYN.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    pavlix avatar 17.6.2008 16:55 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ip_conntrack
    Když to prohlížím pečlivěji... a porovnávám se svým conntrackem... to vypadá, jak když určité IP adresy prostě nenatuješ.

    Tzn... buď máš špatnou konfiguraci... a nebo přicházejí, odkud přicházet nemají.

    Vůbec se mi to nelíbí. Zkus tcpdump s nějakými parametry a zjistíš víc.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    18.6.2008 12:57 secido | skóre: 27
    Rozbalit Rozbalit vše Re: ip_conntrack
    Zistil som, že spojenia pochádzaju od ľudí s p2p klientom (asi bittorrent). Ospravedlňujem sa za zavádzanie. Ale aj tak, prečo zostávajú established?
    pavlix avatar 18.6.2008 13:14 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: ip_conntrack
    Tak ony nejsou v pravym smyslu established, jsou nezodpovězený. Nikdo se neobtěžoval na ně reagovat. Takže se taky špatně zjišťuje, kdy skončily, když pořádně ani nezačly. A to je TCP, kde ještě nějaký spojení i existuje.

    Na UDP máš úplnou smůlu, tam se zpravidla jede jen na timeouty.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    18.6.2008 13:31 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: ip_conntrack
    Lepší otázka je, jak se tam dostaly?

    Předně se ujistěte, že máte poslední verzi jádra. Některá verze 2.6.25.X opravuje conntracking.

    Dále je třeba vědět, že se natují jen pakety, které jsou NEW a pakety, které patří do proudu, jehož první NEW paket jádro vidělo a rozhodlo se jej natovat.

    Např. když si z vnitřní sítě odešlete TCP paket jen s ACK příznakem, tak vám vyleze přes maškarádu s nepozměněnou adresou. Ovšem takový paket by měl mít stav INVALID nikoliv ESTABLISHED. Zkuste ve FORWARDU logovat INVALID a UNTRACKED pakety. Třeba se dozvíte více.

    Také standardní conntracking je dosti přísný a opakované pakety bývají vyhodnoceny jako neplatné. Zkuste nastavit /proc/sys/net/netfilter/nf_conntrack_tcp_be_liberal.
    18.6.2008 16:01 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: ip_conntrack
    Ještě jedno možné vysvětlení přistálo dnes do netfilterové konference: 
    > Now I see log entries like:
> 
> ip_ct_tcp: invalid packet ignored IN= OUT= SRC=a.b.c.d DST=x.y.z.q LEN=48 
> TOS=0x00 PREC=0x00 TTL=118 ID=57462 DF PROTO=TCP SPT=2745 DPT=110 
> SEQ=1241333208 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)
> (most of them have SYN flag)
> 
> Interesting thing is that these log entries do not match those logged by
> iptables -t filter -A INPUT -m state --state INVALID -j LOG
> 
> Can someone tell why these two logs do not match, and what happens with 
> packets logged by (ip_ct_tcp) ip_conntrack_log_invalid?

TCP conntrack tries very hard to keep track of the connections.

The packets which are logged as 'invalid packet ignored' looks to 
conntrack as invalid, because it holds a connections and the packet does 
not fit into the stream. But at the same time it might be that conntrack 
holds a dead connection and the packet is a real, new, 
connection-initiating packet (SYN flag is on). So conntrack ignores the 
seemingly invalid packet, flags it as 'ESTABLISHED' (not 'INVALID') and 
lets it through. The reply packet will tell conntrack what should it do: 
delete the old dead connection or keep it as real.

ip_conntrack_log_invalid logs the "magic", which can help to identify
possible problems in TCP connection tracking: ignored packets or packets 
dropped by conntrack itself. All else is flagges as NEW, ESTABLISHED, 
RELATED or INVALID.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.