Microsoft hodlá zrušit zhruba tři procenta pracovních míst. Microsoft na konci loňského června zaměstnával kolem 228.000 lidí. Tři procenta z tohoto počtu představují téměř 7000 pracovních míst.
V říjnu loňského roku provedl Úřad pro ochranu hospodářské soutěže (ÚOHS) místní šetření u společnosti Seznam.cz. Krajský soud v Brně tento týden konstatoval, že toto šetření bylo nezákonné.
Branch Privilege Injection (CVE-2024-45332, Paper) je nejnovější bezpečnostní problém procesorů Intel. Intel jej řeší ve včerejším opravném vydání 20250512 mikrokódů pro své procesory. Neprivilegovaný uživatel si například může přečíst /etc/shadow (YouTube).
Dle plánu byl vývoj Firefoxu přesunut z Mercurialu na Git. Oficiální repozitář se zdrojovými kódy je na GitHubu.
V terminálovém multiplexoru GNU Screen byly nalezeny a v upstreamu ve verzi 5.0.1 už opraveny bezpečnostních chyby CVE-2025-23395, CVE-2025-46802, CVE-2025-46803, CVE-2025-46804 a CVE-2025-46805. Podrobnosti na blogu SUSE Security Teamu.
Training Solo (Paper, GitHub) je nejnovější bezpečnostní problém procesorů Intel s eIBRS a některých procesorů ARM. Intel vydal opravnou verzi 20250512 mikrokódů pro své procesory.
Byla vydána nová verze 25.05.11 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.
Svobodný elektronický platební systém GNU Taler (Wikipedie, cgit) byl vydán ve verzi 1.0. GNU Taler chrání soukromí plátců a zároveň zajišťuje, aby byl příjem viditelný pro úřady. S vydáním verze 1.0 byl systém spuštěn ve Švýcarsku.
Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 209. brněnský sraz, který proběhne tento pátek 16. května od 18:00 ve studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Jelikož se Brno stalo jedním z hlavních míst, kde se vyvíjí open source knihovna OpenSSL, tentokrát se OpenAlt komunita potká s komunitou OpenSSL. V rámci srazu Anton Arapov z OpenSSL
… více »GNOME Foundation má nového výkonného ředitele. Po deseti měsících skončil dočasný výkonný ředitel Richard Littauer. Vedení nadace převzal Steven Deobald.
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE iptables --append FORWARD --in-interface eth1 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -m multiport -p udp --dports 500,4500 --to-destionation 77.75.76.3 iptables -t nat -A POSTROUTING -o eth0 -p gre -j MASQUERADEZkoušel jsem i pfSense a IPcop... výsledek stejný. Připojím se, dál nic neprojde. Pokud se s VPN klientem připojím přímo k WAN, je vše OK. Je mi divné, že ani pfSense (nb. postavený na FreeBSD) a spol. není s to fungovat, když je právě k takovýmto účelům stvořen a krabička-router za 800, či ICS ve Windows to zvládá bez problému. Na internetu se válí různé diskuze o tomto problému, ale nepodařilo se mi najít funkční řešení. Takže mi spíše jde o to, jestli jste to už někdo neřešil. Předem díky.
Když tvrdí, že má ciscoVPN, tak potřebuje esp, port 4500 pro traversal a 500 pro ipsec. To vlastně vidí v tom logu z wiresharku
V isakmp fázi IPsecu se používá buď AH nebo ESP, v tom sniffu, kde to maká, by mělo být vidět, jaké protokoly jedou. A mam pocit, že CiscoVPN je ořezanej v tom smyslu, že tam moc volit nejde
Jak koukam na specifikaci CiscoVPN, AH nepodporuje ... a nějaké parametry v konfiguráku v linuxu nevidim
P.S. co fragmentace a MTU, nemáte v tom háček? Kolik vám proleze linkou jednim paketem?
Viz onen odkaz na IPsec v linuxu ...
První fáze obvykle podporuje dva různé módy: hlavní (main) a agresivní (aggressive) mód. Oba módy sice ověřují identitu protějších stran komunikace a vytvářejí ISAKMP SA, ale agresivní mód užívá pouze polovinu zpráv, aby dosáhnul tohoto cíle. To má ale svoji stinnou stránku, protože argesivní mód nepodporuje zabezpečení procesu ověření identity a je proto náchylný na útok typu "muž uprostřed" (man-in-the-middle attack), pokud je užívaný ve spojení se sdílenými klíči. Na druhou stranu je to jediný účel agresivního módu. Z důvodu vnitřního fungování hlavního módu, tento mód nepodporuje použití různých sdílených klíčů pro neznámé protější strany komunikace. Agresivní mód nepodporuje zabezpečení procesu ověření identity a přenáší identitu klienta otevřeným způsobem. Protější strany komunikace se proto musejí před procesem ověřování identity znát, aby se mohly použít různé sdílené klíče pro různé účastníky komunikace.
Takže mi přijde jasné, že se v tom sniffu, kde nejede VPNclient, dostane wireshark dostane na vnitřek paketu, aby vypsal, co tam vidí = rozpoznal to, protože to není kryptováno. Na rozdíl od úspěšného navázání VPNclienta, kde jsou data kryptována a tudíž nelze vypsat, nevidí wireshark, jaké pakety vidí.
Hm, pro mne podstatné bylo to, že i zde v té citaci je vidět, že Aggressive mode se sestavuje v kratším počtu paketů. V tom sniffu při průchodu natem je vidět oněch paketů o dost víc. Dneska si zřejmě to nasimulovat nestihnu, abych dal do placu řešení.
Za prvné si ujasni jaký transport vlastně používáš, resp. chceš používat:
Případně pokoušíš-li se o GRE, které myslím ale se Cisco klientem nerozchodíš
Nastavení transportu je ve Windows klientu v založce transport, v Linuxu i Windows v profilu jako EnableNat a TunnelingMode.
Pokud si můžeš vybrat (podporuje-li to VPN server) zkus TCP, jako jediné je bezproblémové, pokud máš dva klienty.
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.a.b.cNo a na druhem pc jsme jen nastavil branu 192.168.1.1 a ner jel a i pripojeni na vpn. Takze zkus to takto, proste se vykasli na porty atd. Jde ejn o test. Proste nech vse povoleny.
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.0.2.15 iptables -t nat -A PREROUTING -d 10.0.2.15 -j DNAT --to 192.168.68.2
Hm, mam dojem, že pointou je to, že odchozí se nejdřív natuje a pak kryptuje a příchozí obráceně - a když to prohodíte, sice máte ipsec, ale data nee ... v tom že bude pointa.
IPsec - swan česky jako zdroj. Sám jsem nezkoušel.
Tiskni
Sdílej: