abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Vivaldi 7.6
    dnes 17:33 | Nová verze

    Byla vydána nová stabilní verze 7.6 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 140. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Rust 1.90.0
    dnes 16:22 | Nová verze

    Byla vydána verze 1.90.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    GNUnet 0.25.0
    dnes 16:11 | Nová verze

    GNUnet (Wikipedie) byl vydán v nové major verzi 0.25.0. Jedná se o framework pro decentralizované peer-to-peer síťování, na kterém je postavena řada aplikací.

    Ladislav Hagara | Komentářů: 0
    Tails 7.0
    dnes 12:11 | Nová verze

    Byla vydána nová major verze 7.0 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově je postavena je na Debianu 13 (Trixie) a GNOME 48 (Bengaluru). Další novinky v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    Meta Connect 2025
    dnes 04:44 | IT novinky

    Společnost Meta na dvoudenní konferenci Meta Connect 2025 představuje své novinky. První den byly představeny nové AI brýle: Ray-Ban Meta (Gen 2), sportovní Oakley Meta Vanguard a především Meta Ray-Ban Display s integrovaným displejem a EMG náramkem pro ovládání.

    Ladislav Hagara | Komentářů: 0
    GNOME 49
    dnes 01:11 | Nová verze

    Po půl roce vývoje od vydání verze 48 bylo vydáno GNOME 49 s kódovým názvem Brescia (Mastodon). S přehrávačem videí Showtime místo Totemu a prohlížečem dokumentů Papers místo Evince. Podrobný přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře.

    Ladislav Hagara | Komentářů: 10
    ROCm 7.0.0
    včera 16:22 | Nová verze

    Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

    Ladislav Hagara | Komentářů: 0
    systemd 258
    včera 15:22 | Nová verze

    Byla vydána nová verze 258 správce systému a služeb systemd (GitHub).

    Ladislav Hagara | Komentářů: 6
    Java 25 / JDK 25
    včera 15:11 | Nová verze

    Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

    Ladislav Hagara | Komentářů: 0
    Věra Pohlová před 26 lety: „Já bych všechny ty internety a počítače zakázala“
    včera 14:44 | Humor

    Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

    Ladislav Hagara | Komentářů: 9
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (45%)
     (59%)
     (0%)
     (10%)
     (14%)
     (3%)
     (14%)
     (3%)
     (10%)
    Celkem 29 hlasů
     Komentářů: 3, poslední dnes 14:58
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Systémová blokace doménových adres
    Štítky: blokace, hosts

    Dotaz: Systémová blokace doménových adres

    31.1.2016 21:34 zase já
    Systémová blokace doménových adres
    Přečteno: 1070×
    Jaký je rozdíl blokace hosts vs netfilter, co je více účinější?
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    31.1.2016 21:45 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Zápisy v souboru /etc/hosts nic neblokují.
    31.1.2016 22:03 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres

    Chceš říct že 

    127.0.0.1	ad.crwdcntrl.net	#ADDED:2016,WEB:unknown,FOUNDin:images.undertone.com/append/1x1.html,FOUNDover:ads.undertone.com/ajs.php?&zoneid=(2,3,15,19,20,21,23,24,26*,27)

    nefunguje a jen se mi to zdá?
    31.1.2016 22:28 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    A až ten web nebude přistupovat na doménové jméno, ale přímo na IP adresu, tak se to tímto způsobem zablokuje jak?

    Pokud jde o blokaci reklam a šmírovacích hostnamů, tak se asi vyplatí kombinace, přeci jen v dnešní době je za DNS jménem schováno několik, klidně i stovky IP adres a toto všechno blokovat v netfilteru je nereálné. Přeci jen přidávání do netfilteru na základě hostnamu funguje tak, že se při vložení záznamu do filtru resolvne DNS jméno na IP a pak se pracuje s tímto a nedochází k aktualizacím IP adres.
    31.1.2016 23:00 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    A až ten web nebude přistupovat na doménové jméno, ale přímo na IP adresu, tak se to tímto způsobem zablokuje jak?

    Netfilterem, proto se ptám na doménové adresy, které lze použít v hosts a jehož formát je více multiplatformní.

    Pokud chci blokovat doménu ip způsobem ležící na hostingu, kde bych tím pádem zablokoval i domény užitečné, netfilter asi nebude ideální.

    Třeba mi ale něco uniká, včetně zatěžování?

    Jendа avatar 1.2.2016 02:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Netfilterem
    Pokud nepoužívají round robin DNS, takže tam pokaždé bude úplně jiná adresa.

    Dále, hosts neumí wildcardy. Nejjednodušší by asi bylo spustit si vlastní resolver a zablokovat to na něm. A nebo to řešit o úroveň výš, např. adblockem v prohlížeči.
    Třeba mi ale něco uniká, včetně zatěžování?
    Když se to udělá tupě, opravdu to chain prochází po jednom. ipsets
    1.2.2016 03:12 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    az bude pristup na IP, nebude to souviset s dotazem na blokace doménových adres ;)
    1.2.2016 06:55 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres

    Что такое »doménová adresa«?

    Ale především: ten řádek v /etc/hosts nic neblokuje. Je jen projevem toho, že lidé s oblibou opisují z návodů nesmysly, aniž by se jim pokusili porozumět.

    1.2.2016 21:55 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Ale to že hosts nic neblokuje jsem mu napsal hned v první odpovědi.
    1.2.2016 22:19 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Bohužel se to minulo účinkem. :-(
    1.2.2016 22:35 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    (nejen) z kontextu je jasne, ze "domenova adresa" je myslena adresa kterou representuje "domenove jmeno"...
    umistenim do hosts se v principu docili blokovani pristupu pomoci teto adresy na realny server kteremu toto jmeno patri, misto toho se spojeni provede na localhost, tedy v podstate do /dev/null, ze nejde o realne zablokovani je snad jasne, ale ze se zamezi pristupu k realnemu serveru, tedy blokuje se spojeni na realny server je preci take jasne, tak ocogo ;)
    1.2.2016 23:08 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Jenže problém je že tazatel vůbec nemá ponětí jak to funguje.

    A jenom taková drobnost nezáleží na souboru /etc/hosts ale i na nastavení v /etc/host.conf stačí aby tam měl order bind,hosts a už mu to fungovat nebude. :-)
    2.2.2016 01:41 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Mám tam 
    # The "order" line is only used by old versions of the C library.
order hosts,bind
multi on
    Pravděpodobně to je zkonfigurováno správně, a proto mi kterýkoliv browser oznámí, že se s uvedenou doménou (reprezentující servr) nespojí.
    2.2.2016 02:04 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    a už mu to fungovat nebude.
    Takže mi to funguje a poírá to tu prní odpověď?
    2.2.2016 06:57 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Záleží na tom, jak definujete "funguje". V každém případě není pravda, že to něco blokuje.
    2.2.2016 07:03 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    hosts: keď aplikácia chce komunikovať s www.google.com, tak najprv musí preložiť reťazec "www.google.com" na IP adresu. Tú IP adresu použije potom na vyrobenie sieťového spojenia. Preklad na IP adresu sa môže robiť viacerými spôsobmi. Jeden z nich je ten, že sa použije obsah súboru /etc/hosts. Ak sa tam dané meno nachádza, tak sa použije IP adresa, ktorá je tam k nemu napísaná. Ak tam je napísaná IP adresa, ktorá v skutočnosti nezodpovedá tomu stroju, na ktorý sa aplikácia pôvodne snažila dostať, tak sa aplikácia pokúsi komunikovať s touto IP adresou a to pravdepodobne zlyhá. Aplikácia však môže IP adresu získať inými spôsobmi. Môže sa použiť iný DNS server, môže mať IP adresu napísanú natvrdo, alebo ju získať z iného zdroja ... V konečnom dôsledku nejde o "blokovanie". Ide o pokus presvedčiť aplikáciu, aby komunikovala s iným serverom, ako bol pôvodný úmysel v nádeji, že to zlyhá.

    netfilter: IP adresa paketu prechádzajúceho sieťovým rozhraním (buď jedným alebo druhým smerom) sa porovná s pravidlami netfilteru-u a tie môžu rozhodnúť o ďalšom osude paketu. Napr. ho zahodiť. V tomto prípade ide o skutočné "blokovanie" pretože sa (pri správnych pravidlách) zamedzí ďalšiemu spracovaniu paketu.
    2.2.2016 17:44 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Tísicelé díky, za vysvětlení, už snad chápu. Netfilter: Než se paket zahodí nedojde ani k pingu mého stroje a odeslání ven (teď se neptám na ping ve webovém brouwru)?
    3.2.2016 08:06 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    To závisí na netfilter pravidlách. Sieťová komunikácia prebieha na viacerých vrstvách. Jedna z najspodnejších vrstiev je "IP". Nad ňou je vrstva, na ktorej môžu byť rôzne komunikačné protokoly - typicky ICMP, UDP a TCP. Ping patrí do ICMP. Resolvovanie mien (DNS) patrí (spravidla) do UDP. Prenos webovej stránky medzi serverom a browserom je postavený na TCP. Takže pravidlá môžu "pustiť ping" ale "zakázať stránky". Alebo aj naopak.

    Ak ti ide o zakázanie komunikácie s webovými servermi poskytujúcimi reklamu, tak na to nejdeš správne, pretože na úrovni komunikačných protokolov nie je možné rozlíšiť čo je reklama a čo nie. Server, ktorý dnes poskytuje obsah môže zajtra poskytovať reklamu.
    2.2.2016 07:02 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Technická poznámka: direktiva order v host.conf ovlivní pouze programy linkované proti libc4 nebo libc5. V mé distribuci je v tom souboru dokonce komentář, který na to upozorňuje. Cokoli, co je linkováno proti libc6/glibc2 (tj. dnes v podstatě všechno), se řídí podle nsswitch.conf.
    pavlix avatar 2.2.2016 10:08 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    A já jsem si říkal, že jsem tohle vždycky řídil přes nsswitch.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    2.2.2016 14:14 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    A mě to nějak vypadlo hold stará škola kdy nsswitch nebyl. Ale vím že existuje už jsem ho taky upravoval.
    2.2.2016 18:44 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres 
    # /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat
group:          compat
shadow:         compat

hosts:          files myhostname mdns4_minimal [NOTFOUND=return] dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
    Chápu tedy dobře, že u hosts je dǔležitý files na začátku seznamu? Takže hosts.conf je už jen nefunkční balast dodaný v mě distribuci z roku 2015?
    pavlix avatar 2.2.2016 10:06 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    A až ten web nebude přistupovat na doménové jméno, ale přímo na IP adresu, tak se to tímto způsobem zablokuje jak?
    Nebo si člověk stáhne netresolve a může se /etc/hosts úplně vyhnout. :)
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    2.2.2016 17:35 zase on
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Petr Špaček pointed me to SSSD developers.
    Nemělo tam být ČSSD?
    pavlix avatar 2.2.2016 19:20 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Jsme v poradně, tak to tu snad můžeme držet trochu na úrovni, ne?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    2.2.2016 19:37 zase on
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    jj trapná sranda;-)
    1.2.2016 07:13 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Z vašeho dotazu je zřejmé, a vaše komentáře to jen potvrzují, že v tom máte pěkný hokej. Pokud chcete opravdu poradit, napište, čeho chcete docílit.
    2.2.2016 01:57 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Chci aby uvedené se nespojilo s jakýmkoli daty na mém pc a tím mě neidentifikovalo, aby skripty které odkazují na uvedené adresy nevykonaly co chtěl pisatel toho skriptu, chci aby u uvedeného nedošlo k jakémukoliv pingu, a chci aby to fungovalo systémově.
    2.2.2016 06:51 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Co znamená to „uvedené“? Když spustíte nějaký skript,nezabráníte tomu, aby provedl, co autor chtěl – i kdybyste zablokoval nějaký druh komunikace, sofistikovaný skript to může obejít a komunikovat jiným způsobem. Pokud v /etc/hosts přesměrujete nějaké doménové jméno na localhost, může někdo použít svůj DNS resolver a /etc/hosts úplně obejít. Pokud byste chtěl komunikaci blokovat pomocí firewallu, může často měnit IP adresy. Zkrátka když pořád nevíme, o co se vlastně snažíte, těžko vám můžeme poradit účinný postup.
    2.2.2016 11:16 name
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Nechtel se ten clovek nahodou zeptat na TCP Wrapper a v dotazu "jen" pomichal hrusky s jabkama? Varim z vody.
    Jendа avatar 2.2.2016 16:16 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Když spustíte nějaký skript,nezabráníte tomu, aby provedl, co autor chtěl – i kdybyste zablokoval nějaký druh komunikace, sofistikovaný skript to může obejít a komunikovat jiným způsobem.
    Jistě. Zkušenost ale ukazuje, že to tak většina skriptů nedělá, a obrana před těmi zlomyslnými je nemožná. Proto lidé blokují alespoň ty nezlomyslné (kterých je většina).
    2.2.2016 17:56 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Já teda nevím, co dělají lidé, ale já především nespouštím v systému skripty, o kterých nevím, co dělají. Pak nemusím řešit, že by kromě mnoha jiných škod mohly také komunikovat přes internet. Ostatně, takový zlomyslný skript by se asi manipulací s DNS odpověďmi blokoval těžko, protože nebudu dopředu vědět, jaké doménové jméno bude chtít přeložit.
    Jendа avatar 3.2.2016 01:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    ale já především nespouštím v systému skripty, o kterých nevím, co dělají
    To bych také rád dělal, ale odhadem tak polovina webů by pak přestala fungovat.
    3.2.2016 07:01 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Skripty z webů nespouštím v systému ale ve webovém prohlížeči. A tam mají hodně omezené možnosti, rozhodně nemůžou číst libovolná data ze systému nebo nemůže navázat komunikaci s webovým prohlížečem server, jak psal tazatel.
    Jendа avatar 3.2.2016 15:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Slovo "server" jsem v tazatelově příspěvcích fulltextem nenašel.

    Podle mě mu celou dobu šlo o různé webové trackery, ale ať to teda radši napíše.
    3.2.2016 15:47 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Chci aby uvedené se nespojilo s jakýmkoli daty na mém pc a tím mě neidentifikovalo
    Uvedené, je doména uvedená v hosts.
    Tedy „doména se nemá spojit s jakýmikoli daty na mém PC“. Těžko říct, co to znamená – vzhledem k tomu, že je to spojení od domény k PC, chápal jsem to jako komunikaci navázanou serverem.
    Slovo "server" jsem v tazatelově příspěvcích fulltextem nenašel. Podle mě mu celou dobu šlo o různé webové trackery, ale ať to teda radši napíše.
    Ptal jsem se několikrát, o co se tazatel vlastně snaží, zatím marně.
    3.2.2016 17:21 zase on
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Přesně tak, skripty ve webovém prohlížeči, ale chtěl bych to řešit systémově aby to fungovalo (blokovalo prostě aby se skript na adrese kterou budu mít v nějakém pravidle neprovedl a je jedno jestli se bude blokovat nebo se přesměruje do nikam) i v jiných browsrech ne, že bych si stahoval nějaký skripty na disk a zkoušel je spouštět i když bych nevěděl co vlastně dělají. Ano, zajímají mě jen reklamní servry a trackery (sledovače) což se nevylučuje protože ten kdo poskytuje reklamu má zájem i sledovat cestu své reklamy, také mě zajímají přesměrovávače (huraia.org, zerodirect) naopak mě nezajímají servry z phisingem (to jsou ty konečné (jak vyhrát iphone) typycky s doménou info, ty které blokuje google).
    3.2.2016 19:40 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Kdybyste tohle napsal hned na začátku, ta diskuse by vypadal úplně jinak… Nejlepší je použít proxy server, některé jsou přímo k vašemu účelu dělané – např. Privoxy. Proxy server vidí celou požadovanou adresu (u HTTP) nebo alespoň doménové jméno (u HTTPS), takže z nějaké domény můžete přes HTTP blokovat jenom některé soubory, nebo můžete blokovat domény pomocí hvězdičkové masky (třeba *.example.com – to s /etc/hosts nedokážete, tam byste musel všechny domény vyjmenovat). Podobně může fungovat rozšíření AdBlock (nebo podobná) v prohlížeči, ale to závisí na tom, zda pro daný prohlížeč existuje takové rozšíření.
    Jendа avatar 4.2.2016 02:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Osobně jsem na blokátory reklam nikdy moc nebyl, použil bych spíš Ghostery, které je zaměřeno primárně na trackery, ne na reklamu.
    4.2.2016 19:40 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Ghostery nevěřím, protože ta firma se živý sama reklamou, jediné o co jí asi jde je ničení konkurence. Adblockp je sice dobrý manager pravidel ale má problémy s jejich větším množstvím. Problém těchto rozšíření ale je, že nedokáží zachytit ty přesměrovávače, pokud nechcete zcela odstavit skript který má uvnitř adresu (popup) na přesměrovávač nebo i několik přesměrovávačů (řětězících) před konečnou adresou (livechat, casino apod.), bohužel ani ten chytrý noscript na to nestačí. Reklamu nepotřebuju, když něco chci najdu si to sám. Jsem přesvědčený, že kdyby bylo méně webů s obsahem, které jsou živy jen kvůli té reklamě (jinak by jejich webmasteři ani obsah nevytvářeli), zbylo by na internetu více obsahu od webmasterů které to baví i bez těch výdělků a ještě by nemuselo vznikat ani ipv6, protože by ubylo nenažranců.
    Jendа avatar 4.2.2016 20:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    zbylo by na internetu více obsahu od webmasterů které to baví i bez těch výdělků a ještě by nemuselo vznikat ani ipv6, protože by ubylo nenažranců
    Jako že by se k Internetu nikdy nepřipojilo víc než tři miliardy zařízení? Na světě, který má 7 miliard lidí, z nichž půlka žije v dostatečně rozvinutém světě, aby pomýšleli na Internet, a horní miliarda žije v tak rozvinutém světě, že mají notebook, smartphone, televizi, ledničku, tiskárnu, APčko a já nevím do ještě?
    4.2.2016 20:32 zase on
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Není to v tom, že domény jsou tak levné, že jedinec nebo nenažraná reklamka má víc ip adres než by jí stačilo? Jako, že by každý důchodce nebo dítě potřebovalo svou ip?
    4.2.2016 20:52 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Myslím že nejen každý důchodce nebo dítě, ale každý termostat, webkamera, auto, lednička, robotický vysavač, pračka, myčka, ať již v bytě, na chalupě nebo u přátel by mohl mít svou IP. Což samozřejmě neznamená, že ty zařízení jsou dostupné odkudkoliv. Ale prostě mají jedinečný identifikátor, pod který jsou stabilně. A přístupnost vytvářejí pravidla na firewallu. A to co se děje teď je v zásadě hrůza, flikování toho, abych uměl zapnout dopředu elektrická kamna na chalupě, když se na ni blížím a když je chalupa za 3 NATem, nebo její monitoring, nebo kamarádům VPNky na domácí server, je zcela nesmyslné.
    4.2.2016 21:03 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Není to v tom, že domény jsou tak levné, že jedinec nebo nenažraná reklamka má víc ip adres než by jí stačilo?

    Mohl byste tu úvahu trochu rozvést? Uniká mi souvislost mezi cenou domén a počtem IP adres.

    Jako, že by každý důchodce nebo dítě potřebovalo svou ip?

    Proč by důchodce nebo dítě (od určitého věku) neměli mít právo na svůj počítač?

    4.2.2016 22:19 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Pomíchal jsem to, myslel jsem domény druhé úrovně (aliasy na 1IP), ani nevím kolik domén me viset na 1IP. Ale nenažrancům jedna nestačí. Pravděpodobně to tak ale je, o právu jsem nic nepsal, většinu drží spekulanti (prodejci domén, reklamky).
    Jendа avatar 4.2.2016 22:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Pomíchal jsem to, myslel jsem domény druhé úrovně (aliasy na 1IP)
    ??? 
    ~> dig +short hrach.eu
46.167.245.64
~> dig +short donesu.cz
46.167.245.64
    5.2.2016 08:15 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Pomíchal jste to úplně. Mezi doménami a IP adresami není žádná souvislost. Na jednu IP adresu může odkazovat klidně milion domén, a jedno doménové jméno může odkazovat na desítky IP adres. A pod jednou doménou si můžete vytvořit spoustu poddomén, a ty mohou každá odkazovat na jiné IP adresy a mít pod sebou další poddomény.
    6.2.2016 09:00 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Takže problém s nedostatkem ip má souvislost jen s hardwarem?
    Jendа avatar 6.2.2016 10:33 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Ne, proč by měl?
    6.2.2016 10:37 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Problém s nedostatkem IP adres je způsobený jenom tím, že už je k internetu připojeno víc zařízení, která je potřeba jednoznačně identifikovat, než je prostor všech IPv4 adres. Přičemž to „zařízení, které je potřeba identifikovat“ nemusí být nutně celý počítač, ale zejména v případě serverů to mohou být třeba jednotlivé procesy na serveru (třeba web servery pro jednotlivé domény). Nedostatek IP adres umíme obejít na obou stranách, ale jsou to berličky, které nás omezují – na straně „klientů“ schováme celou síť za jednu IP adresu a tvrdíme jim, že přístup z venku na jejich počítač k ničemu nepotřebují. Na straně serveru schováme web servery pro více domén za jednu IP adresu, jenže pak musíme navíc přenášet informaci o tom, kterou doménu klient vlastně požadoval.

    Druhý problém je v tom, že pro to, aby mohlo směrování v internetu fungovat efektivně, je potřeba mít mezi těmi přidělenými IP adresami velké rezervy – nevíte dopředu, kdo bude kolik potřebovat v budoucnosti, ale efektivní je, když má přidělený jeden velký blok, ne když mu postupně přidělíte spoustu malých. Což ještě zmenšuje množství skutečně použitelných IP adres.
    7.2.2016 13:12 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Zkusím to doplnit, jak to vidím já. Což je rozvedení druhého odstavce. InterNet je o propojování sítí ne počítačů. Ty sítě jsou definovány adresou a maskou a je jedno kolik adres bude v síti fakticky reálně obsazené. Obvykle jich nemusí být obsazených moc, protože necháváš si rezervy na budoucí rozvoj, protože když se ti prostor zaplní máš problém s přeadresací. Navíc zaplňování přináší další komplikace v tom, že na globální úrovni BGP protokolem se směruje čím dál větší množství, čím dále menších sítí. Není možná agregace v tom směru, že do této geografické oblasti se bude směrovat tímto jedním pravidlem, ale díky tomu, že není adresní prostor a vše se využívá do mrtě, jsou čím dál menší sítě na globální úrovní. Někdy před asi rokem jsem se díval na BGP, což je informace, kterou používají hraniční routery na globální úrovni, kam co směrovat a v té době už více než polovina sítí byla menší než /24. Před časem byl s částí hraničních routerů problém, protože počet položek BGP tabulce přesáhl 500 000 a to pro starší routery bylo moc. V případě většího prostoru může být tak agregace mnohem účinnější, tím pádem tabulka menší a router může být efektivnější, přece jen pro každý paket vybírat z 500 000 možností platí v mnoha gigabitových rychlostech není asi sranda.
    7.2.2016 14:44 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    a opravdu tvoje zachodova mista potrebuje public ip? ;)
    Jendа avatar 7.2.2016 14:52 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Ano. Třeba aby jí fungoval ipsec.
    7.2.2016 15:08 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    a opravdu nestaci public ip pro domacnost kde komunikujes z venku se serverem, kterej si komunikuje se zachodovou misu jen v ramci lokalni site? :)
    Jendа avatar 7.2.2016 15:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Ne, třeba stahuje ze serveru výrobce updaty.
    7.2.2016 15:14 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    to by si ale v ramci bezpecnosti mel stahovat tim vlastnim serverem, nejdriv to otestujes s virtualnim zahodem a pak az nechas teprve aktualizovat zachodovou misu, preci jen nechces aby ti misa diky nejakemu bugu ustrihla neco jineho nez toaletni papir :)
    Jendа avatar 7.2.2016 23:40 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    A ten domácí server bude ve dvou sítích, mezi kterými se nedá routovat? To vypadá jako nějaký workaround na nedostatek adres.
    Jendа avatar 7.2.2016 15:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Nebo ještě lépe, prostě se na ni chci připojit z práce.
    7.2.2016 15:17 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    ale to muzes prostrednictvim homeserveru, ktery by veskere informace o mise mel, samozrejme v realnem case :)
    7.2.2016 17:09 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Vždycky mne popadne smutek, když vidím, jak si na nějaké nešťastný nouzový workaround lidé zvyknou natolik, že ochotně ostatním vysvětlují, že "takhle se to dělá" a zuby nehty se brání každému, kdo by měl drzost chtít problém vyřešit pořádně.
    pavlix avatar 7.2.2016 17:33 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Třeba jako v případě AI_ADDRCONFIG?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    7.2.2016 20:34 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Resolverem nijak moc nežiju, takže musel vypomoci Google, abych zjistil, na co to má být narážka. Vzhledem k tomu, že v úterý ráno (spíš v noci) odjíždím na konferenci, nemám čas ani chuť účinkovat v remake přes tři roky starého flamu, takže jen stručně, než mi doběhnou benchmarky. Vzhledem k tomu, že jsem tam v podstatě tvrdil, že
    • jak definice toho flagu ve standardu, tak jeho implementace v glibc silně limitují jeho použitelnost (velmi mírně řečeno)
    • oboje je jen nepříliš dobrou aproximací něčeho úplně jiného, co uživatele opravdu zajímá
    • některé navrhované změny (ty, které nejsou v rozporu se současnou specifikací) by situaci jen mírně vylepšily, ale na tvrzení z předchozího bodu by nic podstatného nezměnily
    • jiné navrhované změny by ji sice vylepšily o něco více, ale pořád by šlo jen o jakousi aproximaci, takže nesouhlasím s tím, že změna zdokumentovaného chování by byla přijatelnou cenou
    • a některé návrhy by jen nahradily jednu nejasně definovanou podmínku jinou nejasně definovanou podmínku

    musím konstatovat, že nevidím rozpor s tím, co jsem tu napsal.

    7.2.2016 20:42 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    opravdu povazujes za nestastnej nouzovej workaround ze mas domaci server kterej komunikuje s domacima zarizenima a z domova i z venku komunikujes se serverem naprosto totozne ? :-D nebo te vazne trapi ze nemuzes dat ipv6 adresu sve toalety svemu lekari?
    pavlix avatar 7.2.2016 22:56 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    opravdu povazujes za nestastnej nouzovej workaround ze mas domaci server kterej komunikuje s domacima zarizenima
    Samozřejmě. Jestliže musím přidávat speciální server na zajištění základní funkcionality, která žádný takový server nevyžaduje, je to hodně nešťastný workaround.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    7.2.2016 23:10 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    centralni home server povazuju za zakladni funkcionalitu, potrebu/nutnost pripojovat se odkudkoliv a separatne k destikam nezavislejch home miniserveru bezicich v kazdym zarizeni mi prijde naprosto smesna :)
    8.2.2016 00:12 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Ale ten server nepotřebuji. k serverum se mohu připojit nějakým konkrétním klientem, který třeba výrobce té věci naprogramuje do mobilu. Což neznamená, že někomu nemusí připadat účelné věci integrovat do serveru. Ale v případě, že veřejné adresy nemáš tak obezličky udělat musíš. Většinu svého procesního času trávím v institucích, které mají adresu /16 a každý oprávněný mobil, notebook, o desktopech nemluvě, dostane veřejnou IP. A je s tím daleko méně práce než u jiných institucí, kde mají zoufalý nedostatek adres, pak to flikují to jak mohou, zoufale tunelují co potřebují a hlavně udržet tohle stabilní, jak se průběžně požadavky zvyšují (nyní potřebujeme tuhle službu a tamtu službu).
    8.2.2016 06:19 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Prostě nechápu proč se úpěnlivě každý drží IPv4 když adresy nejsou?

    Prostě IPv4 už se měla zrušit a bylo by po problému. Takhle udržovat dvě sítě je opruz.

    A teď mě vysvětli jak se mám dostat na své zařízení, mám dvě připojení jedno dostává IPv6 adresy a druhé má jednu veřejnou IPv4 na routeru.

    Naštěstí nemám doma moc zařízení na které potřebuji přistupovat takže u té IPv4 mi stačí přesměrovat porty, ale jak to mám udělat když jsem na té IPv4 adrese a připojit se na IPv6?

    ISP tvrdí doma IPv6 na nic nepotřebuješ zavádět to nebudem a stejně tvoje zařízení IPv6 neumí!

    Naštěstí se dá ještě použít tunel 6to4, ale co kdybych neměl veřejnou IPv4 tak se můžu klouzat.
    Jendа avatar 8.2.2016 06:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Hurricane má i tunely, kde veřejnou IPv4 nepotřebuješ. Nebo třeba běžně dostaneš /64 nebo i víc k VPSce, tak si můžeš prorazit OpenVPN.
    8.2.2016 07:06 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Jasně ale proč to dělat jednoduše když to jde složitě že?
    8.2.2016 11:28 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Souhlasím s tebou. Mě také zaráží, jak lidi mají dojem, že veřejná IP je něco jako "hodnota", když je to prostě "identifikátor". Teď když je IPv4 nedostatek tak se adresy jako "hodnota" projevují čím dál více a je prostě blbost. A ještě více mne zaráží, jak tento šílený koncept s x NATy za sebou pořád někdo obhajuje. Většinou mladí kluci, kteří nepoznali, jaká je to v podstatě svoboda pohybovat se v prostoru bez NATů s veřejnými adresami.
    pavlix avatar 8.2.2016 08:20 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Nebudu ti to brát. :)
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    4.2.2016 20:39 zase on
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    bohužel ani ten chytrý noscript na to nestačí.
    Vlastně stačí (ABE) ale systémově je to lepší.
    3.2.2016 20:05 nobody
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    pro jistotu, blokovani per browser(dostupne pro chromebased a firefox) PrivacyBadger znas?
    3.2.2016 21:22 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Znám a přestal jsem ho používat, protože má ve výchozím svá pravidla, já pak složitě hledal proč mi nějaký web nefungoval (blokované cookies). Ve foxu mám uorigin, adblockp (jen vlastní pravidla), noscript (dočasně povoleno pro první stranu) ale plánoval jsem používat jen uorigin (zatím používám jen jeho vynikající logger), až bych odfiltroval systémově ty pro mě zlé třetí strany.
    2.2.2016 17:15 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres

    Uvedené, je doména uvedená v hosts. Rozumím, že skript se provede ale skript který odkazuje na jiný na jiném servru (doméně) který je jak tedy říkáte přesměrován na 127.0.0.1 (někdo to přirovnal k /dev/null) už uvedený servr nenajde a skript na vzdáleném servru se nemůže provést, a o to mě jde. Pokud mě to zase nevyvrátíte.

    může někdo použít svůj DNS resolver a /etc/hosts úplně obejít.

    Teď to myslíte tak, že já jako správce něco napíšu do hosts a kdokoliv kdo bude mít přístup na moje pc to může obejít, nebo ten někdo nemusí mýt ani fyzický přístup? Realita je taková, sprácem a uživatelem svého pc jsem jen já, nikdo tedy do mého pc nemá fyzický přístup, proto takové situace řešit nepotřebuju.

    PS: IT se neživým, nestudoval jsem ho, jen mě baví ale vím, že toho stále dost nevím.

    2.2.2016 17:53 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Uvedené, je doména uvedená v hosts.
    Chci aby uvedené se nespojilo s jakýmkoli daty na mém pc
    Doména se určitě s vašimi daty žádným způsobem nespojí. Doména je jenom název uvedený v nějaké databázi.
    Rozumím, že skript se provede ale skript který odkazuje na jiný na jiném servru (doméně) který je jak tedy říkáte přesměrován na 127.0.0.1 (někdo to přirovnal k /dev/null) už uvedený servr nenajde
    Pokud ten skript bude používat /etc/host. Pokud pro překlad doménového jména na IP adresu použije něco jiného, nebo bude mít v sobě zadrátovanou přímo IP adresu, spojí se ten skript se správným serverem bez problémů.
    Teď to myslíte tak, že já jako správce něco napíšu do hosts a kdokoliv kdo bude mít přístup na moje pc to může obejít, nebo ten někdo nemusí mýt ani fyzický přístup?
    Nemusí mít fyzický přístup. Obvyklý, ale ne jediný, způsob překladu doménových jmen vypadá tak, že se knihovní funkce nejprve podívá do /etc/host, a když tam jméno nenajde, dotáže se některého z DNS serverů, které jsou definované v /etc/resolv.conf. Existují i veřejně známé DNS servery, např. dvojice s IP adresami 8.8.8.8 s 8.8.4.4 od Googlu. V /etc/host můžete mít cokoli, ale když se ten skript protokolem DNS přes UDP nebo TCP zeptá na danou adresu serveru 8.8.8.8, adresa se mu přeloží a skript se spojí se svým serverem.

    Skriptem teď myslím kód napsaný třeba v Pythonu, Perlu nebo třeba v shellu s nějakými doplňky. JavaScript spuštěný ve webovém prohlížeče přímo dotazy DNS protokolem není schopen poslat – ale vy jste psal obecně o blokaci přístupu, programech a skriptech, nepsal jste nic o tom, že byste chtěl řešit specificky přístup z webového prohlížeče.
    2.2.2016 21:10 zase on
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Doména se určitě s vašimi daty žádným způsobem nespojí. Doména je jenom název uvedený v nějaké databázi.
    Dobře, tak se tedy nepřeloží na to ip a neproběhne ani ping. Jenom taková poznámka, i když mám v hosts www.maxmind.com doména s geololokací kterou využívá mnoho servrů, mě i tak dokáže lokalizovat i když jen dle ip provajdra.
    Existují i veřejně známé DNS servery, např. dvojice s IP adresami 8.8.8.8 s 8.8.4.4 od Googlu. V /etc/host můžete mít cokoli, ale když se ten skript protokolem DNS přes UDP nebo TCP zeptá na danou adresu serveru 8.8.8.8, adresa se mu přeloží a skript se spojí se svým serverem.
    Ty DNS znám, ano psal jsem obecně a myslel jsem v prvé webových (open source) prohlížečích ale i programech (open source).
    2.2.2016 22:12 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    MYslím že odpovědí, proč to nejde tak jednoduše, jak jsi myslíš, jsi už dostal dost. Prostě proto, že se tak, jak myslíš, skript nezeptá. Navíc ten skript ani nemusí jít na DNS servery googlu, ale pokud je autor paranoidní (což utočných skripty celkem autor může být) tak si provede DNS rekurzi celou sám (což není nic těžkého, zeptá se kořenových serverů->analyzuje odpověď->zeptá se první úrovně z těch, které dostal od kořene atd). Asi jedinou cestu jak bych si dokázal představit blokaci by bylo rozjet na stanici rekurzivní nameserver, v něm nadefinovat blokační pravidla, a na úrovni systému zablokovat pro všechny ostatní procesy možnost komunikavat po portech 53. Což teď nevím jestli omezení blokace na proces nějak dostanu do iptables. Pak by DNS šlo buď přes recursor nebo nijak.
    Jendа avatar 3.2.2016 01:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    ale pokud je autor paranoidní tak si provede DNS rekurzi celou sám
    A já myslel, že celou dobu mluvíme o javascriptech v browseru.
    3.2.2016 08:07 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Když skriptu zabráníte překládat dotazy na určitou doménu, pořád se snadno může přesunout na jinou, nebo si v internetu vystavit službu dostupnou přes HTTP, přes kterou ty názvy bude překládat.

    Pořád jde o to, čeho chce vlastně tazatel docílit. Pokud toho, aby skripty ve webovém prohlížeči nemohli použít zařízení počítače k geolokaci (GPS, WiFi sítě, mobilní sítě), je nejspolehlivější metodou nekliknout na „povolit“ v okamžiku, kdy se prohlížeč zeptá, zda má skriptu geolokoační údaje zpřístupnit. Shodou okolností je to zároveň metoda nejjednodušší.

    Někteří lidé mají možná ze čtení internetových diskusí pocit, jak je na internetu nebezpečno a jak se používáním webového prohlížeče svlékají do naha, a aby se tomu bránili, musí blokovat všechno možné už na úrovni hardware. Jenže to není pravda, a ochrany před šmírováním na webu a před nebezpečnými webovými stránkami uživatel nejlépe zajistí tak, že bude mít aktualizovaný prohlížeč a bude číst, na co se ho prohlížeč ptá.
    pavlix avatar 3.2.2016 09:53 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Když skriptu zabráníte překládat dotazy na určitou doménu, pořád se snadno může přesunout na jinou, nebo si v internetu vystavit službu dostupnou přes HTTP, přes kterou ty názvy bude překládat.
    Nebo využije jednu z mnoha existujících služeb.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    3.2.2016 17:46 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Pořád jde o to, čeho chce vlastně tazatel docílit. Pokud toho, aby skripty ve webovém prohlížeči nemohli použít zařízení počítače k geolokaci (GPS, WiFi sítě, mobilní sítě), je nejspolehlivější metodou nekliknout na „povolit“ v okamžiku, kdy se prohlížeč zeptá, zda má skriptu geolokoační údaje zpřístupnit. Shodou okolností je to zároveň metoda nejjednodušší.
    ǔplný debil opravdu nejsem, abych klikal na co ve skutečnosti nechci, firefox mám nastavený podobně jako "jenda" tedy to s čím se sestavuje tzv. thorbrowsr.
    pavlix avatar 2.2.2016 11:26 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Jak se dělá blokace doménových adres přes netfilter? Odhlédnu od toho, že zápisy v /etc/hosts jen přesměrovávají na alternativní adresu a lidé se pak kolikrát hodně diví, co to se svým systémem vlastně udělali.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    Jendа avatar 2.2.2016 16:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Jak se dělá blokace doménových adres přes netfilter?
    Můžeš matchovat string v paketech směřujících na port 53 :-)
    pavlix avatar 2.2.2016 16:44 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    To je mi jasné, ale tebe jsem se úplně neptal, šlo mi o to, jak si to představuje tazatel, abych věděl, na co to vlastně odpovídáme.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    2.2.2016 18:17 zase já
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Takto?
    2.2.2016 19:53 Filip Jirsák
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    To ale doménové jméno přeloží na IP adresu v okamžiku spuštění toho příkazu – nevím, zda se přeloží jen na jednu, nebo zda je to dokonce tak „inteligentní“, že to použije všechny IP adresy, na které se dané jméno v danou chvíli přeloží. Jenže ta DNS jména se vzápětí mohou přeložit na jiné IP adresy. Buď to někdo záměrně změní, a nebo se to udělá prostě automaticky v rámci rozvažování zátěže – DNS server může mít třeba pro dané názvy 20 IP adres, ale když posílá odpověď klientovi, pošle jich vždy jenom 5 náhodně vybraných.
    2.2.2016 22:30 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    A stejně tak i opačně. Na jednu adresu může být mnoho doménových jmen. Na jeden z mých mailových učtů teď chodí spam, který je vždy z nějaké domény. doména je funkční včetně MX a PTR záznamů zpět. Ale doména je jen tak cca týden stará podle whois. Dokonce mailer posílá po 15 minutách znovu maily/spamy, které byly odmítnuté odpovědí s 400 (greylist). Nicméně ta doména obsazuje prostor tak cca /29. A po 4 až 7 dnech je na stejných IP úplně jiná doména opět včetně MX a PTR záznamu a předchozí doména neexistuje a nebo existuje bez PTR odkazů. (to že jsou funkční MX záznam se pozná díky tomu, že mail má funkční reply odkazy, a PTR záznamy resolvuje přijímací mailer do Received položek hlavičky a jsou správně (což samozřejmě trochu pomáhá v anitispamových filtrech). Tedy správně v den příchodu mailu a tak určite 2-3 dny poté pak asi jak je úspěšný. Ještě ten mail typicky obsahuje odkaz na webové stránky opět ve stejné doméně.
    pavlix avatar 2.2.2016 20:37 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Systémová blokace doménových adres
    Další nepříliš povedený vtip?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.