Vojenské zpravodajství (VZ) se v březnu zapojilo do mezinárodní operace proti aktivitám hackerské skupiny APT28, která je spojovaná s ruskou vojenskou zpravodajskou službou GRU a která přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v ČR i zahraničí. Operaci vedl americký Federální úřad pro vyšetřování (FBI) a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně … více »
Tvůrcem nejpopulárnější kryptoměny bitcoin, který se skrývá za pseudonymem Satoši Nakamoto (Satoshi Nakamoto), je britský kryptograf Adam Back. Na základě vlastní investigativní práce to tvrdí americký deník The New York Times (NYT). Několik indicií podle autorů jasně ukazuje na to, že Back a Nakamoto jsou stejný člověk. Jde mimo jiné o podobný odborný a osobnostní profil či totožné chyby a manýry v psaném projevu.
Google Chrome 147 byl prohlášen za stabilní. Nejnovější stabilní verze 147.0.7727.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Vylepšeny byly také nástroje pro vývojáře. Přehled novinek v Chrome DevTools 145 až 147 také na YouTube.
Vývojáři z Laboratoří CZ.NIC vydali nové verze aplikací Datovka (Datovka 4.29.0, Mobilní Datovka 2.6.2). V případě desktopové verze přibyly možnosti projít všechny uložené zprávy, zkontrolovat časy expirací časových razítek a přerazítkovat datové zprávy, které lze v ISDS přerazítkovat. Novinkou je také možnost vytahovat myší ze seznamu ZFO soubory datových zpráv, tento úkon jde udělat i pomocí tlačítek Ctrl+C. Nová verze Mobilní Datovky přináší jen drobné úpravy.
MicroPython (Wikipedie), tj. implementace Pythonu 3 optimalizovaná pro jednočipové počítače, byl vydán ve verzi 1.28.0. Z novinek lze vypíchnout novou třídu machine.CAN.
Michael Meeks, CEO společnosti Collabora, na apríla oznámil, nebyl to ale apríl, že nadace The Document Foundation zastřešující vývoj kancelářského balíku LibreOffice vyloučila ze svých řad všechny zaměstnance a partnery společnosti Collabora, tj. více než třicet lidí, kteří po mnoho let přispívali do LibreOffice. Nadace The Document Foundation po několika dnech publikovala oficiální vyjádření. Přiznává pochybení při zakládání
… více »Protože je už po aprílu, můžou strahováci opět zveřejnit program další Virtuální Bastlírny, aniž by připravená témata působila dojmem, že jde o žert. Vězte tedy, že v úterý 14. dubna (změna!!!) od 20:00 proběhne VB, kde se setkají bastlíři, technici, učitelé i nadšenci do techniky a kde i vy se můžete zapojit do družného hovoru, jako by všichni seděli u pomyslného piva. Co mají bastlíři tento měsíc na srdci? Pravděpodobně by nás musel zasáhnout
… více »Byla vydána verze 26.1 aneb čtvrtletní aktualizace open source počítačového planetária Stellarium (Wikipedie, GitHub). Vyzkoušet lze webovou verzi Stellaria na Stellarium Web.
VOID (Video Object and Interaction Deletion) je nový open-source VLM model pro editaci videa, který dokáže z videí odstraňovat objekty včetně všech jejich fyzikálních interakcí v rámci scény (pády, kolize, stíny...) pomocí quadmaskingu (čtyřhodnotová maska, která člení pixely scény do čtyř kategorií: objekt určený k odstranění, překrývající se oblasti, objektem ovlivněné oblasti a pozadí scény) a dvoufázového inpaintingu. Za projektem stojí výzkumníci ze společnosti Netflix.
Design (GitHub) je 2D CAD pro GNOME. Instalovat lze i z Flathubu. Běží také ve webovém prohlížeči.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/64. Veřejnou adresu mám tedy prefix::1, nastavenou na eth0. Na routeru mi tedy IPv6 v pohodě funguje. Ale jak mám začít síťovat lokální počítače? Zapnul jsem forwarding pro ipv6 v sysctl.conf a nainstaloval radvd a poslal ho na eth1 (ten má pouze link local adresu). Radvd jsem jsem nechal používat celý prefix (protože jsem se dočetl že potřebuje celých /64). Počítače v síti si správně najdou advertisement pakety a nakonfigurují si globální ipv6 adresu. Ale ping z routeru na lokální počítače a naopak nefunguje. Zřejmě bude problém v routování a podezřívám z toho i to, že mám jenom /64 prefix, takže si nemůžu udělat vlastní subnet. Jak to má správně být? Díky.
Řešení dotazu:
Pokud to chceš routovat, budeš potřebovat ty subnety od providera dva.No a nebo se vykašlat na /64 konvenci a prostě si to šmiknout a nastavit routy a adresy ručně jak je libo.
Což stejně nebude fungovat, pač to nebude naroutovanéJestli myslíte, že ta /64 je jen jako spojovačka, tak to mě nenapadlo. V tom př. se to bude dělat hůř, ale v podstatě to jde i bez naroutování.
fakt super nápad - skoro hodný jako kdyby to vymysleli v MSMně spíš přijde že ty /64 bloky vymyslel někdo v tomhle podniku, nedejbože je ještě nasazovat po point to point sítě.
Jestli myslíte, že ta /64 je jen jako spojovačka, tak to mě nenapadlo. V tom př. se to bude dělat hůř, ale v podstatě to jde i bez naroutování.tak skoro mi to tak přišlo - v otázce jsou míchány ty rozsahy do sebe a o jiném tam není slovo, takže mi to přijde, že je momentálně k dispozici jenom jeden /64 rozsah, který je naroutován (takže jenom jako spojovačka)
Mně spíš přijde že ty /64 bloky vymyslel někdo v tomhle podniku, nedejbože je ještě nasazovat po point to point sítě.Těžko říct, zase s tím funguje autokonfigurace podle MAC adresy - pravda, na to by stačil i menší rozsah, ale i tak by to bylo obrovské... Nicméně stalo se, tak mi přijde rozumné to aspoň dodržovat, aby v tom nebyl ještě větší bordel...
Pokud to chceš routovat, budeš potřebovat ty subnety od providera dva.Někdy stačí z routeru udělat bridge s radvd. Ale záleží na providerovi, jak to routuje, a na typu tunelu, jestli se dá dát do bridge.
Ještě je možné vnitřní síť řídit přes DHCP a na routeru zapnout na vnějším rozhraní neighbor discovery proxy.
Každopádně nic vás nebude stát, když se poskytovatele přeptáte, jak si to vlastně představuje on. Třeba rychle pochopí problém (RFC 3177) a nasměruje vám větší blok :)
Dobrý den, technicky neni z nasi strany zatim mozne rozdavat klientum vetsi rozsahy. Nicmene technicky pro domaci pouziti /64 urcite staci. Pokud potrebujete adresu na verejnem rozhrani na routeru a take routovat do vnitrni site, doporucim na verejny interface (interface tunelu) pridat adresu /128 a cely /64 odroutovat na vnitrni interface.Tohle "funguje", pokud nepotrebuju z vnitrni site lezt na tu adresu prirazenou verejnemu interface. Mozna by slo nejak vnutit klientum natvrdo route, ale nevim jak to do radvd zapsat.
21.11.2011 23:23
pavlix | skóre: 54
| blog: pavlix
Jenom věštím, ale pokud se vnější rozhraní jmenuje eth0, pak se jedná o Ethernet, a ten není point-to-point. Aby vaše teorie fungovala, poskytovatel by musel znát ethernetovou adresu onoho rozhraní. Ne že by neexistovaly částečně úspěšné metody, jak ji zjistit, ale rozhodně to není univerzální řešení (zákazník místo routeru připojí switch a k němu několik routeru). Ještě by bylo možné, že by poskytovatel tlačit do linky packety s cílovou ethernetovou adresou broadcastovou, ale o takové prasárně jsem ještě neslyšel. Celkem by mě zajímalo, co tazatel na eth0 na linkové vrstvě vidí.
22.11.2011 16:04
pavlix | skóre: 54
| blog: pavlix
Aha, takže to není nativní, ale tunelované. To pak dává smysl.
Jak už bylo řečeno, zařízení tunelu nemusí mít přiřazenou žádnou globální adresu.
To vám ale způsobí problém, pokud budete chtít komunikovat s routerem z Internetu a zároveň nebudete mít nosnou na vnitřním rozhraní (například vytažený kabel). Jádro pak všechny síťové adresy (včetně globální adresy routeru) přiřazené tomuto rozhraní nechá ve stavu „tentative“, kdy je není možné použít (protože není zaručena jejich jedinečnost na lince).
I když mám pocit, že lze v Linuxu zapnout experimentální podporu pro optimistickou DAD, která tohle částečně řeší.
V IPv4 umí Linux odpovídat na ARP dotazy i pro adresy ze sousedního rozhraní. Jestli tohle funguje i s IPv6, nevím. Pokud ano, pak by bylo možné mít globální adresu ze stejného rozsahu jako má vnitřní rozhraní i na tunelovém, a přesto by si stanice myslely, že se jedná o on-link adresu.
I když teď mě napadá, že přes oznámení směrovače je možné rozesílat specifická směrovací pravidla, takže kdyby router kromě výchozí brány se prohlásil za bránu pro tu jednu konkrétní adresu, co máte na tunelovém rozhraní, tak by to snad stanice mohly správně pochopit.
24.11.2011 18:30
pavlix | skóre: 54
| blog: pavlix
V IPv4 umí Linux odpovídat na ARP dotazy i pro adresy ze sousedního rozhraní. Jestli tohle funguje i s IPv6, nevím. Pokud ano, pak by bylo možné mít globální adresu ze stejného rozsahu jako má vnitřní rozhraní i na tunelovém, a přesto by si stanice myslely, že se jedná o on-link adresu.Pokud vím, tak za normálních okolností Linux odpovídá na ARP dotazy jen na daném rozhraní a při zapnutém proxy ARP dokonce přenáší ARP dotazy do jiných sítí. Při troše snahy se dá dosáhnout toho, že ARP dotazy nebude přeposílat, ale bude je používat napříč rozhraními. To stejné jde (o trochu složitěji) i na IPv6. A nebo o mnoho jednodušeji multiprotokolově nad rozhraními, která jdou zařadit do bridge. Ale je to prasárna a na běžný setup navíc naprosto zbytečná. Na IPv4 i IPv6 se běžně na spoj používají globální adresy. Na IPv6 jako bonus fungují i linkové, což situaci značně ulehčuje.
I když teď mě napadá, že přes oznámení směrovače je možné rozesílat specifická směrovací pravidla, takže kdyby router kromě výchozí brány se prohlásil za bránu pro tu jednu konkrétní adresu, co máte na tunelovém rozhraní, tak by to snad stanice mohly správně pochopit.A hle, další způsob, jak obejít neexistující problém. Bravo.
Pokud vím, tak za normálních okolností Linux odpovídá na ARP dotazy jen na daném rozhraní
Já jsem hovořil o /proc/sys/net/ipv4/conf/default/arp_*. Především o arp_filter an arp_announce. Výchozí hodnota je taková, že Linuxový uzel odpoví na dotaz pro adresu, která je jeho, ale která je přiřazena jinému rozhraní, než kterým dotaz přišel.
Právě jsem si to ověřil. A taky jsem si ověřil, že v IPv6 nefunguje.
A hle, další způsob, jak obejít neexistující problém. Bravo.
Neexistující? Chcete říct, že stroj s jedinou globální adresou na rozhraní bez linky bude globálně dostupný? To je totiž nastavení, které jste mu tu poradili.
24.11.2011 21:43
pavlix | skóre: 54
| blog: pavlix
Právě jsem si to ověřil. A taky jsem si ověřil, že v IPv6 nefunguje.Vyzkoušel bych to sám, pokud bych si myslel, že je to k něčemu dobré.
Chcete říct, že stroj s jedinou globální adresou na rozhraní bez linky bude globálně dostupný?Samozřejmě. Prakticky vyzkoušeno.
Tiskni
Sdílej:
