abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Anthropic sponzorem Blenderu
    dnes 04:44 | Komunita

    Vývojáři svobodného 3D softwaru Blender představili (𝕏, Mastodon, Bluesky) nejnovějšího firemního sponzora Blenderu. Je ním společnost Anthropic stojící za AI Claude a úroveň sponzoringu je Patron, tj. minimálně 240 tisíc eur ročně. Anthropic oznámil sponzorství v tiskové zprávě Claude for Creative Work.

    Ladislav Hagara | Komentářů: 0
    wayvnc 0.10.0 a neatvnc 1.0.0
    dnes 03:55 | Nová verze

    VNC server wayvnc pro Wayland kompozitory postavené nad wlroots - ne GNOME, KDE nebo Weston - byl vydán ve verzi 0.10.0. Vydána byla také verze 1.0.0 související knihovny neatvnc.

    Ladislav Hagara | Komentářů: 0
    Fedora Linux 44
    včera 16:22 | Nová verze

    Bylo oznámeno vydání Fedora Linuxu 44. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách

    … více »
    Ladislav Hagara | Komentářů: 1
    Novinky v GCC 16
    včera 15:44 | Zajímavý článek

    David Malcolm se na blogu vývojářů Red Hatu rozepsal o vybraných novinkách v GCC 16, jež by mělo vyjít v nejbližších dnech. Vypíchnuta jsou vylepšení čitelnosti chybových zpráv v C++, aktualizovaný SARIF (Static Analysis Results Interchange Format) výstup a nová volba experimental-html v HTML výstupu.

    Ladislav Hagara | Komentářů: 0
    Trinity Desktop Environment (TDE) R14.1.6
    včera 15:11 | Nová verze

    Byla vydána verze R14.1.6 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5, Wikipedie). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

    JZD | Komentářů: 0
    Budoucnost AI v Ubuntu
    včera 12:55 | Komunita

    Jon Seager z Canonicalu včera na Ubuntu Community Hubu popsal budoucnost AI v Ubuntu. Dnes upřesnil: AI nástroje budou k dispozici jako Snap balíčky, vždy je může uživatel odinstalovat. Ve výchozím nastavení budou všechny AI nástroje používat lokální AI modely.

    Ladislav Hagara | Komentářů: 0
    Nový ovladač Steam Controller jde do prodeje 4. května
    27.4. 23:11 | IT novinky

    Nový ovladač Steam Controller jde do prodeje 4. května. Cena je 99 eur.

    Ladislav Hagara | Komentářů: 2
    Jak vypadá gkh_clanker_t1000?
    27.4. 14:22 | Komunita

    Greg Kroah-Hartman začal používat AI asistenta pojmenovaného gkh_clanker_t1000. V commitech se objevuje "Assisted-by: gkh_clanker_t1000". Na social.kernel.org publikoval jeho fotografii. Jedná se o Framework Desktop s AMD Ryzen AI Max a lokální LLM.

    Ladislav Hagara | Komentářů: 8
    Ubuntu 26.10 bude Stonking Stingray
    27.4. 04:44 | Komunita

    Ubuntu 26.10 bude Stonking Stingray (úžasný rejnok).

    Ladislav Hagara | Komentářů: 2
    Dillo 3.3.0
    26.4. 22:22 | Nová verze

    Webový prohlížeč Dillo (Wikipedie) byl vydán ve verzi 3.3.0. S experimentální podporou FLTK 1.4. S příkazem dilloc pro ovládání prohlížeče z příkazové řádky. Vývoj prohlížeče se přesunul z GitHubu na vlastní doménu dillo-browser.org (Git).

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (14%)
     (8%)
     (2%)
     (13%)
     (31%)
     (4%)
     (7%)
     (3%)
     (15%)
     (25%)
    Celkem 1449 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Captive portal
    Štítky: DHCP, DNS, Internet, ISP, NAT, registrace, síť, sítě, uložení, web

    Dotaz: Captive portal

    30.8.2012 21:39 Pavel | skóre: 17
    Captive portal
    Přečteno: 712×
    Zdravim, učím se porozumět této problematice, kterou využívá řada ISP. Není tedy nic snažšího než si to zkoušet doma. Muj plán je následující:
    V síti 192.168.0.0 mám 2 servery. První slouží jako GW s FW a DNS. Ve FW je povolen NAT pro síť 192.168.2.0 Na druhém běží DHCP a WWW. Z jednoho serveru nelze ovládat druhý.
    Pokud se tedy nějaké neznámé zařízení připojí k síti, dostane IP 192.168.1.1 a při přístupu na web se mu zobrazí stránka ISP, kde po vyplnění pár údajů dojde k uložení údajů a autorizaci. Ta proběhne tak, že upravím DHCP list na serveru a klientu bude změněna IP na 192.168.2.1.
    Zároveň na serveru poběží jednoduchá aplikace, která si přečte údaje od klienta a po hodině od registrace změní IP opět na 192.168.1.1 a znefunkční připojení. Moje otázka je jestli je to takto realizovatelné. Jsem si vědom toho, že to neni zrovna efektivní způsob a lze to obejít byť jen pevnou IP adresou, ale pro začátek je to asi to nejsnažší...
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    mess avatar 30.8.2012 23:28 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Toto opatření není zrovna 2x bezpečné (resp. není vůbec). Navíc, pomocí DHCP nelze vynutit změnu adresy klienta. Maximálně můžeš počkat, až bude klient žádat o obnovení zápůjčky a přidělit mu adresu jinou. To se ale taky můžeš pěkně načekat, takže si myslím, že tudy cesta nevede. Navíc když se jednou klient dozví, přes s jakou IP se dostane do sítě, tak si ji nastaví napevno a na nějakou registraci se ti příště vykašle.

    Já bych viděl 3 varianty:
    1. Implementovat 802.1x, jakožto standardní řešení pro autentizaci.
    2. Nastavíš si VLAN pro uživatele autorizované a pro uživatele neautorizované. Nový uživatel by se připojit do VLAN pro neautorizované a ta tvoje malá aplikace by ho po ověření identity přeřadila do správné VLAN. Případně zkombinovat s předchozím řešením.
    3. Blokovat neautorizované uživatele na firewallu. Ta tvoje aplikace by potom po autentizaci/autorizaci měnila pravidla firewallu. A po uplynutí určitého času by ty pravidla změnila zase zpátky.
    Ale jak se to nastavuje na nějakém konkrétním zařízení, to se mě neptej :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 30.8.2012 23:51 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Možnost č. 4 - nasadit nějakou aplikační bránu, pokud ti jde jenom o omezení HTTP.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:04 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Ano, to by bylo nejlepší řešení, ale připadá mi až moc složité. Předpokládam, že uživatelé budou lidé neznalý, tudíž nebudou si měnit IP adresy. A i kdyby, v tom počtu (cca 5) lidí, snadno uvidím vetřelce. U DHCP mam platnost nastavenou na 60s a funguje to bez problémů, nevidím v tom problém, změnit IP adresu. Navíc toto řešení vyžaduje komunikaci s FW, ale ta není možná. Mám pouze k dispozici server ve stejné podsíti jako klientské PC, proto mi napadlo jediné toto řešení.
    mess avatar 31.8.2012 00:31 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Tvoje "řešení" má ale dva zásadní nedostatky:
    1. Není bezpečné. Ani trochu.
    2. Uživatel bude po ověření čekat až minutu na to, než dostane správnou IP.
    Ještě můžeš na FW blokovat všechen HTTP provoz (porty 80 a 443) a donutit uživatele, aby ve tvé síti používali proxy. A na tom si můžeš dělat, co chceš.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 00:42 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Pokud moje řešení bude funkční nevidím v tom problém. Bydlím na vesnici, s počtem lidí do 400, odhaduju, že přístup na net má tak 150 lidí, přičemž tak 50 z nich zkoumá wifi sítě. Vlastně za poslední 2 roky, se na moje AP chtělo připojit jen 70 klientů. Navíc jsou zde tři ISP, přičemž všichní maj sítě zabezpečené pouze vypnutím DHCP, takže bezpečnost připojení je srovnatelná. Pro začátek myslím, že stačí.
    mess avatar 31.8.2012 01:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Jestli se chceš připojit do klubu neodborných "ISP", je to tvůj boj :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 01:36 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Já vím, ale to s tim RADIUS serverem se mi líbí taky. Máš s tim nějaké zkušenosti? Lze to nastavit tak, že po novém uživateli to nebude požadovat přihlašovací údaje, ale po registraci už ho to na net bez nich nepustí? Já si nějak nedokážu představit jak by to takle fungovalo.
    mess avatar 31.8.2012 12:25 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Proč chceš na Net pouštět neregistrované uživatele? Aby se jim mohla zobrazit ta přihlašovací stránka? Nebo aby si mohli zařídit registraci?

    Dalo by se to řešit tak, že si nastavíš 2 VLAN - jednu pro neautentizované/neautorizované (nazvěme ji VLAN1) a druhou pro ty, kteří už autentizovaní/autorizovaní jsou (VLAN2).

    Pokud klient neodpoví na požadavek na autentizaci, bude umístěn do VLAN1, jejíž všechen provoz bude směrován třeba na server, kde ti poběží ta registrační aplikace. Tím se zabezpečí, že si člověk u tebe může zařídit registraci, aniž by musel znát přihlašovací údaje.

    Pokud se klient při připojení autentizuje a je mu udělena autorizace, tak je umístěn do VLAN2, jejíž provoz je směrován normálně do Internetu. Tady se o tom něco píše, případně zkus Google.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 12:58 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    chci aby se novému uživateli zobrazila stránka s informací o tom, že se může zaregistrovat do sítě a využívat tak internet, předtím než registraci provede, poběží hodinová zkušební lhůta během níž může taky využít internetu, ovšem s patřičním omezením...
    O to mi právě jde, jestli i když uživatel nezadá přihlašovací údaje, nebo je zadá špatně, aby byl zařazen do VLAN1. Odkaz si jdu přečíst...
    mess avatar 31.8.2012 22:00 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    No a jak chceš ošetřit, aby se po té hodině jen neodpojil a znova nepřipojil (třeba s jinou MAC adresou) a neměl další hodinu zdarma? Já bych spíš ty neregistrované uživatele omezil tak, že by měli přístup třeba jenom na Facebook, Youtube, Senznam, nějaké měření rychlosti a na tvoji registrační stránku a všechno ostatní z té VLAN bych blokoval na tom firewallu.

    S detaily neporadím, nikdy jsem to neměl v rukách, jsem spíš teoretik :-D
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    31.8.2012 23:11 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak zrovna Facebook bych nechal zakázanej :-D A jak jsem již psal výše, nečekam připojení tak zkušených lidí, a pokud jo, snaha se cení a zaslouží si být připojeni déle než ostatní :) Problémem ale bude, že neni možná dynamická konfigurace FW, takže asi stejně skončim u mého navrhovaného řešení
    mess avatar 31.8.2012 23:18 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    U tohohle řešení by dynamická konfigurace firewallu nemusela být. Ty VLANy mají oddělené adresové prostory, takže ve FW by byly cca tyto pravida: (VLAN1 bude 192.168.11.0/24, VLAN2 bude 192.168.12.0/24).
    1. Ze sítě 192.168.12.0/24 povol provoz všude.
    2. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres X.
    3. Ze sítě 192.168.11.0/24 povol provoz na rozsah adres Y.
    4. Ze sítě 192.168.11.0/24 zakaž všecko ostatní.
    A o přehazování klientů mezi VLANy se postará AP/switch podle toho, jak dopadne autentizace přes 802.1x, tam nepotřebuješ hrabat do firewallu.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 00:50 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A bude to imunní pokud si uživatel nastaví IP napevno?
    Jendа avatar 1.9.2012 01:19 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Captive portal
    Ne, stejně, jako když si nastaví MAC napevno. To je prostě vlastnost captive portálů a tak to by-design funguje.
    1.9.2012 01:25 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Tak pak v tom nevidim výhodu oproti mému návrhu
    mess avatar 1.9.2012 11:06 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Mějme tři předpoklady:
    1. WiFi AP, zabezpečení pomocí WPA2.
    2. Autentizace pomocí 802.1x (na 2. vrstvě modelu ISO/OSI).
    3. Řešení se dvěma VLAN (viz výše).
    Dohromady se tomu někdy říká "WPA2 Enterprise".

    Toto má následující důsledky:
    • Uživatel, jehož síťový adaptér (potažmo MAC adresa) není autentizovaná, bude zařazen do VLAN1. Pokud si takový uživatel nastaví jinou MAC (např. si nějak zjistí některou z autentizovaných), pořád nezná přihlašovací údaje, aby prošel přes 802.1x. A pokud nezná tyto údaje, spadne zase do VLAN1.
    • Pokud si uživatel nastaví IP adresu z VLAN2, tak se nepřipojí vůbec nikam, protože bude pořád součástí VLAN1, takže pokud si nastaví adresu z jiné sítě, tak to nebude fungovat. VLANy jsou oddělené někde mezi 1. a 2. síťovou vrstvou (ne až podle IP na 3. vrstvě). O oddělení VLAN se stará switch/AP a funguje to tak, že každý port switche (nebo klient na AP) je přiřazen do určité VLAN, takže to nezáleží na jejich adresaci, ať už na 2. nebo na 3. vrstvě. Přiřazení portů do jednotlivých VLAN může switch dynamicky měnit, ale klient to nemá šanci nijak ovlivnit.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 15:20 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    Už se v tom trochu orientuju, jen mi není jasné to oddělení, lze použít obyčejné AP, které umožňuje WPA2 - radius, nebo je potřeba nějaké speciální?
    mess avatar 1.9.2012 15:38 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na tom AP budeš potřebovat podporu WPA2, Radius, 802.1x (to celé se někdy označuje jako WPA2 Enterprise) a VLAN. Jak konkrétně se to které AP nastaví, aby uživatele přehazovalo mezi těma VLAN, to záleží už na něm. A potom samozřejmě budeš potřebovat nějaký Radius server.
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    mess avatar 1.9.2012 16:16 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Ještě dodatek - ne všechna zařízení podporují takovéhle šachování s přiřazením uživatelů do VLAN, tak na to taky bacha, až budeš nějaké vybírat :-)
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.
    1.9.2012 16:49 Pavel | skóre: 17
    Rozbalit Rozbalit vše Re: Captive portal
    A nějakej tip nemáš? RB?
    mess avatar 1.9.2012 17:27 mess | skóre: 43 | blog: bordel | Háj ve Slezsku - Smolkov
    Rozbalit Rozbalit vše Re: Captive portal
    Na fóru MikroTiku se píše něco v tom smyslu, že by to mělo jít. Tebe by zajímal poslední příspěvek. Ve stručnosti píše se tam zhruba toto:
    1. Na RB si vytvoříš pro každou VLAN interface.
    2. Na RB vytvoříš pro každou VLAN pravidla ve Firewallu, které budou posílat její provoz na její virtuální interface (který jsi vytvořil v předchozím kroku) a budou z daného rozhraní pakety číst. Pro každou VLAN dáš ty pravidla do jiného chainu (název chainu doporučuju volit podle označení VLAN).
    3. Na Radiusu použiješ u uživatele vlastnost Filter-Id, do které napíšeš název chainu pro VLAN (z předchozího kroku), do které má ten uživatel patřit.
    4. Ostatní pravidla firewallu nastavíš tak, aby byl ostatní provoz směřován do výchozí VLAN (nebo kam budeš chtít). (Hu, routování pomocí firewallu? :-D).
    S trochou štěstí by to mohlo takhle nějak fungovat. Ještě přidám odkazy (které jsou i na tom odkazovaném fóru).
    http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
    http://wiki.mikrotik.com/wiki/Manual:PPP_AAA#User_Profiles
    Cez párne mesiace zošíváš vaginy, cez neparne montuješ hajzle.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.