Ответы пользователя по тегу Компьютерные сети
  • Использование IP-адреса Dialer-а внутри сети. Возможно ли?

    merlin-vrn
    @merlin-vrn
    Запросите у провайдера, чтобы он маршрутизировал на вас блок адресов, хотя бы /30. В этом случае маршрутизатору назначится один из этих адресов, а компьютеру за ним вы назначите другой.
    Ответ написан
  • VLAN vs ФСТЭК

    merlin-vrn
    @merlin-vrn
    При построении сети тут у нас в одном учреждении для защищённого и внешнего сегментов используюется физически разное оборудование, хотя это оборудование вполне способно ворочать виланами; всё разделено криптошлюзами. Официально тендер выиграл КРОК, но они это частично спустили субподрядчику. Я полагаю, это «генеральная линия партии», что строить сети следует так.
    Ответ написан
    4 комментария
  • IPv6 и бан по IP-адресу?

    merlin-vrn
    @merlin-vrn
    Больше скажу, существует IPv6 privacy extensions, которые включены во всех системах по умолчанию. Система назначает интерфейсу временные корректные случайные IPv6-адреса, которые используются для установления соединений в течение часа, потом адрес объявляется устаревшим и назначается следующий случайный. Т.е. любой пользователь IPv6 выглядит как постоянно меняющий адрес в пределах своей сети.

    Так что если вам нужно кого-то таким образом забанить по адресу — вам придётся банить его по подсети, точно так же, как и сейчас в случае с IPv4 NAT, вся сеть окажется заблокирована из-за одного урода.
    Ответ написан
    Комментировать
  • Странный вопрос про виндовый протокол настройки сети, которого может не существовать?

    merlin-vrn
    @merlin-vrn
    Как это вы собираетесь обратиться на веб-сервер, не имея ip-адреса? Куда он вам будет отвечать?

    Из похожего, с вебсервером, я знаю WPAD (Web Proxy Auto Discovery). Автоматически определяются настройки прокси-сервера — с веб-сервера скачивается программа на джаваскрипте, которая для каждого доменного имени или ip-адреса определяет, какой прокси-сервер использовать для подключения, или же идти напрямую. Но сеть для этого уже должна быть настроена — статически или динамически (в последнем случае клиенту можно передать специальную опцию, указывающую адрес сервера автоконфигурации прокси).
    Ответ написан
    Комментировать
  • Роутер с «VPN внутри VPN»

    merlin-vrn
    @merlin-vrn
    У нас на TP-Link 1043 стоит DD-WRT и держит OpenVPN до головного офиса фантастически стабильно — никак не ожидал такой надёжности от такой схемы. На другой TP-Link, не помню модель, поставили OpenWRT, VPN пока не настраивали, хотя сама прошивка в целом нравится гораздо больше.
    Ответ написан
    Комментировать
  • Бывает ли такой прокси?

    merlin-vrn
    @merlin-vrn
    Проще поднять https reverse proxy. Сам прокси будет ходить к оченьважномусерверу по http, а вот вы к нему будете подключаться чрез ssl.

    nginx умеет.
    Ответ написан
  • Iptables и подмена ip?

    merlin-vrn
    @merlin-vrn
    Ну что, у меня получилось так сделать. Рассказываю.

    Пусть у нас есть локалка, которая получает в интернет доступ через роутер.
    на роутере два интерфейса:
    • eth0 — интернет, имеет адрес 192.0.2.55/24 (такой адрес выдал провайдер, у провайдера шлюз 192.0.2.1)
    • eth1 — локалка, имеет адрес 192.168.1.1/24 (так было по умолчанию. менять не стали.) — серый


    Роутер делает трансляцию адресов (белый адрес только у него). На нём есть маршруты:
    192.168.1.0/24 dev eth1 src 192.168.1.1
    192.0.2.0/24 dev eth0 src 192.0.2.55
    default via 192.0.2.1
    

    и одно правило трансляции (это всё, что нужно для того, чтобы интернет появился в локалке): либо так
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

    либо так
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 192.0.2.55


    В локалке есть компьютер, скажем, с адресом
    192.168.1.22/24

    и маршрутами
    192.168.1.0/24 dev eth0 src 192.168.1.22
    default via 192.168.1.1
    

    и на нём работает интернет.

    Мы хотим подключиться к компьютеру с адреса 192.0.2.66 (извне) так, чтобы компьютер думал, будто мы на самом деле подключаемся с 192.168.1.77.

    На роутере добавляем трансляцию назначения:
    iptables -t nat -A PREROUTING -s 192.0.2.66 -i eth0 -j DNAT --to-destination 192.168.1.22

    чтобы все пакеты с нужного адреса завернуть на компьютер (а были они направлены роутеру, которому не нужны)

    iptables -t filter -A FORWARD -s 192.0.2.66 -d 192.168.1.22 -j ACCEPT

    чтобы разрешить прохождение всех таких пакетов

    iptables -t nat -A POSTROUTING -s 192.0.2.66 -j SNAT --to-source 192.168.1.77

    чтобы адрес источника в пакетах заменять на поддельный.

    С точки зрения компьютера, 192.168.1.77 находится в локалке, ему не нужен роутер, чтобы послать туда пакет. Поэтому ответов мы не увидим — всё закончится тем, что компьютер получит приветственный пакет извне с нужными нам адресами и начнёт искать (arp who-has) на какой физический адрес отправлять ответы. Поскольку такого физического адреса нет, то ему никто и не ответит.

    Решить эту проблему можно двумя способами. Либо можно назначить этот адрес роутеру: (на роутере)
    ip addr add 192.168.1.77/24 dev eth1

    теперь у роутера два адреса. Когда компьютер будет искать, кому бы отправить ответ, отзовётся роутер. Пакет подхватится conntrackом, будут сделаны обратные преобразования адресов и ответ пойдёт куда надо.

    Либо можно сказать компьютеру, чтобы он конкретно до этого адреса ходил через роутер: (на компьютере)
    ip route add 192.168.1.77 via 192.168.1.1

    Есть и кардинальное решение. Пусть поддельный адрес будет в другой сети, не в локалке: 192.168.2.77/24; тогда никаких дополнительных проблем решать не придётся, а на роутере просто изменится аргумент в последнем --to-source.
    Ответ написан
    5 комментариев
  • Объединение Samba и Active Directory (с установкой прав из Windows)

    merlin-vrn
    @merlin-vrn
    Для этого нужно делать всё по инструкции, но шары должны быть на ФС с поддержкой опции user_xattr. Вообще, по-хорошему, эта опция сегодня уже везде должна быть включена — acl и user_xattr упрощают жизнь.

    Всё.
    Ответ написан
    Комментировать
  • Запрос наружу, с использованием внутреннего адреса

    merlin-vrn
    @merlin-vrn
    Собственно, а серверу-то какое дело? Если у него есть (обратный) маршрут, он смело отправит адрес по этому обратному маршруту и всё. Пакеты с «серыми» адресами — совершенно такие же, как и с «белыми» и работают точно так же. Вся разница происходит оттого, что в глобальных таблицах маршрутизации до них нет (не должно быть) маршрутов.
    Ответ написан
    Комментировать
  • Что за кодировка в imap?

    merlin-vrn
    @merlin-vrn
    Во-первых, не в IMAP, а в почтовом заголовке. Так устроены все не-ASCII почтовые заголовки — внутри допустимы только символы со старшим битом 0, т.е. UTF-8 напрямую недопустим; его кодируют в BASE64 и таким образом помещают в заголовки.

    Во-вторых, даже не зная ответ, логично было бы предположить, что =?UTF-8?B? — это «преамбула», описывающая формат последующих данных, от? до? (который не является символом кодировки base64).

    В третьих, если у вас заголовок выглядит как
    Subject: =?UTF-8?B?bla-bla-bla?=
    (пробелы) =?UTF-8?B?bla-bla-bla?=
    то все эти строки нужно распаковать независимо и потом сделать конкатенацию.

    В общем, читайте RFC5321 и 5322. Конкретный модуль перла подсказали выше.
    Ответ написан
    1 комментарий
  • Почему ubuntu игнорирует /etc/hosts?

    merlin-vrn
    @merlin-vrn
    Посмотрите, что у вас в /etc/nsswitch.conf — именно он задаёт порядок опроса сервисов имён (не только доменных имён — там же порядок опроса сервисов по разрешению имён пользователей, сервисов и т. д. — всего, что имеет имя).

    Если там hosts: files dns, то сперва будет анализироваться hosts, потом делаться dns-запрос. Если там другой порядок или есть какие-то ещё параметры — сами понимаете, будет по-другому. И тут man nsswitch.conf никто не отменял.

    А программа host (как и nslookup) никогда не смотрит в hosts. Она именно делает запрос к dns-серверу, т. к. вообще-то и предназначена именно для отладки dns-сервера, а не тестирования разрешения имён в системе.
    Ответ написан
    1 комментарий
  • Как запретить доступ к сайту, эмулировав его недоступность/неработоспособность/... etc?

    merlin-vrn
    @merlin-vrn
    С шейпером предлагали, а ещё есть statistics match — настройте, чтобы до/с определённых адресов с вероятностью 5% пакет терялся. Работать будут они… так себе.
    Ответ написан
    Комментировать