Ответы пользователя по тегу Сетевое администрирование
  • Как отправлять запросы https на сервер http?

    @rPman
    Что то вы не то делаете!

    mixed content это сообщение в браузере! это значит вы запрос к вашему секретному управлению телеграм ботом делаете из браузера пользователя, все запросы видны, их можно вызвать вручную, в т.ч. догадаться о формате запроса.
    Нельзя с браузера отправлять http запросы, так как пользователи, работающие в ненадежных сетях (например публичные wifi без пароля или с известным паролем), могут получить подмену этих запросов (особенно опасно стартовую страницу или скрипты так подгружать) или просто их подсмотреть. Бот телеграм обычно должен вызываться только с серверов телеграмма, но никак не пользователями напрямую http запросами.

    Ваш веб сервер должен отправлять запросы в бота телеграм со стороны бакэнда (перепроверив условия, права доступа пользователя и т.п.). Так вот со стороны бакэнда нет никаких ограничений типу запроса.
    Ответ написан
  • Какой сервер лучше выбрать?

    @rPman
    Дома можно собирать любое железо, все эти SLA для домашнего хостинга не применимы, а вот стоимость будет ниже.

    Есть неплохой вариант, сделать несколько машин на базе дешевых mitx+ssd со слабым процессором. Например энергии intel J серии процессоры едят мало а возможности высокие (кроме ограничения объема памяти в 16гб у новых и 8 старых моделей), благодаря маленьким ценам и размерам, из них можно собрать практически бесшумный ящик для нескольких сервисов без виртуализации... но корпус, основная беда, если руки куда надо прикручены, лучше сделать все самому, иначе можно за это заплатить трехкратную стоимость от начинки.
    Ответ написан
    Комментировать
  • Как стать провайдером через VDS/VPS?

    @rPman
    Подключитесь к соседям в доме (достаточно просто чтобы провод был между ним и вами) и вот у вас уже локалка... больше людей, больше возможностей.

    Вы можете собраться в несколько человек, скинуться и приобрести подключение к интернету (например через мобильную сеть), разделив затраты по какому то правилу, по которому договоритесь. Когда в ходу еще был http протокол и основной трафик был - текст, можно было за счет кеширования и прокси заметно уменьшить затраты на этот трафик, но теперь этой возможности нет в принципе (есть некоторые соглашения по типу retracker для torrent в локальных сетях, но не больше).

    Технические вопросы - на машине (или рядом), которая будет подключена к интернету, нужно будет настроить NAT (не обсуждаем варианты выдачи каждому клиенту ip адрес, это бессмысленно в вашем случае) и собственно все... обычно любой роутер это может.

    p.s. Учтите, что предоставлять услуги выхода в интернет без лицензии (точнее разрешения от госсударства) - запрещено и вы можете понести наказание (штрафы от 1т.р. до 300т.р. и даже наказание лишение свободы до 6 месяцев, уточните текущее состояние законодательства)

    p.p.s. Учтите, что тот, кто заключит договор подключения к интернету, будет нести ответственность за действия остальных (если использовать vps то определять правила и наказывать будут в той стране, где запущен этот vps).
    Ответ написан
    5 комментариев
  • Как заблокировать сайты на Linux?

    @rPman
    Судя по вопросам ты не чужд программированию, попробуй выбрать любую среду разработки, выбрать GUI фреймворк и написать этот примитивный функционал самостоятельно.
    spoiler
    Исключительно для смеха, недавно увидел что с ubuntu в репозитариях идет мощная среда разработки приложений с WYSIWYG редактором GUI, базами данных и кучей всего... но на похожем на basic языке - gambas3

    Блокировка - например это внести домены блокируемых сайтов в /etc/hosts (он текстовый), указав для них неверный ip адрес (например 127.0.0.1), соответственно разблокировка - это удаление этих записей.

    Правда браузеры с прокси это проигнорируют, да и при смене hosts скорее всего потребуется их перезапуск.
    Чтобы от этого 'защититься', нужно уже расширение к браузеру писать, но... от самого себя не убежишь, ведь можно запустить браузер с новым профилем...
    Ответ написан
  • Как настроить NAT на windows server с одним физическим сетевым адаптером?

    @rPman
    Попробуйте установите виртуальный драйвер сетевой карты microsoft loopback ethernet adapter (управление драйверами - установка старых устройств) как минимум получите сетевой адаптер, не подключенный никуда (я так глюки майкрософтовского сетевого моста решал, добавив такой адаптер, сетевой мост всегда онлайн, даже если кабель вынимать у добавленного в него реального ethernet)
    Ответ написан
    Комментировать
  • Почему не работает интернет через кабель на пк?

    @rPman
    Свойства ethernet, выбери tcp ip/v4 и покажи что там настроено для ip адреса

    Если там стоит выбрать автоматически, то смотри настройки на роутере
    Ответ написан
    6 комментариев
  • Настроить wake on lan для AnyDesk?

    @rPman
    Могу дать совет немного вбок, но который поможет разрулить подобные ситуации.

    Если вместо выключения выбирать сон, то с точки зрения стороннего наблюдателя ничего не изменится, точно так же будет выключаться компьютер, включая все вентиляторы (очень редко когда блоки питания продолжают работать, значит это какой то ну очень древний), остаются гореть лампочки на usb устройствах и это настраивается (можно отключить подачу энергии выбранным usb портам).

    Потребление энергии в режиме сна понижено на порядок, ноутбуки в таком режиме могут находиться сутками, т.е. если устройство к примеру подключено через UPS то даже временное отключение энергии на часы не затронет компьютер (пока он не будет включен само собой).

    Затем в свойствах сетевого адаптера нужно включить - разрешить выводить устройства из режима сна.

    И любой сетевой пакет по его mac адресу будет включать компьютер. связь MAC адреса и его IP проводит любой роутер и свитч автоматически. Как минимум я долго не мог понять. почему при запуске keepass выходил из сна один из компьютеров в сети (оказалась какая то библиотека слала сетевой пакет всей локальной сети, зачем, хз).

    Чтобы не надеяться на upnp (его правила по таймауту могут сброситься, правда как долго, сутки недели я хз), можно вручную прописать перенаправление портов (ip адрес смотри в настройках anydesk или документации).

    p.s. недостатки, windows машины не принадлежат пользователю, и по желанию майкрософт выводит windows машину из сна (это происходит по ночам, не часто) чтобы установить какое-нибудь обновление или пошпионить.
    Ответ написан
    Комментировать
  • Почему у меня неправильно определяется IP пользователя?

    @rPman
    $_SERVER['REMOTE_ADDR'] устанавливает твой веб сервер, ему вы доверяете.
    Но, если пользователь заходит через прокси сервер - то тут будет выходной ip адрес этого прокси.

    Если прокси сервер не скрывает информацию о своих клиентах то
    $_SERVER['HTTP_X_FORWARDED_FOR'] и $_SERVER['HTTP_CLIENT_IP'] должны содержать ожидаемое, но это значит нужно доверять этому прокси серверу.

    Хочешь узнать реальный ip адрес, используй javascript в браузере пользователя (т.е. придется доверять уже пользователю в плане, а отреверсит ли он твой код и не подсунет что угодно).

    Cамый известный и достаточно надежный способ (его сразу отключают любые адекватные анонимизеры) - это WebRTC. Технология позволяет двум браузерам открывать прямое соединение (да еще и udp) друг с другом, а веб сервер только организует процесс. Т.е. подняв соответствующего клиента WebRTC (погугли, правда я для php с ходу готовой библиотеки не нашел) и организовав подключение клиента с этим твоим сервером, который представляется обычным веб клиентом), ты сможешь по тому, с какого ip адреса пришло соответствующее соединение, определить настоящий, даже если пользователь использует прокси.

    Это не защитит от vpn, тут никакими способами определить ip адрес пользователя не получится, потому что с точки зрения сетевых технологий, vpn - это как бы проводок пользовательского компьютера подключили к vpn-серверу, и никакие коммуникации не пойдут иначе, если пользователь не укажет иного (можно настроить маршрутизацию на выход через разные шлюзы в зависимости от геолокации, кстати этим можно воспользоваться, разместив кучу своих серверов в разных локациях и, обращаясь к ним из браузера клиента, сравнивать ip адреса)
    Ответ написан
    2 комментария
  • Как настроить или создать интернет прокси или шлюз на домашнем пк что бы с его ip заходить удаленно?

    @rPman
    Про vpn вам уже написали. Есть еще варианты, в каком то смысле проще.

    Воспользуйтесь штатным функционалом ssh сервера, который достаточно давно устанавливается из установщика windows - это socks прокси сервер, который запускается, когда клиент подключается к ssh-серверу (клиент это приложение ssh или любой другой типа того же популярного putty, он есть по до все, включая android) с опцией - динамический туннель (dynamic tunnel), в командной строке это опция -Dпорт, где порт - это порт socks прокси сервера на машине откуда запущен клиент. Так же вместе с портом, можно указать ip адрес локального сетевого интерфейса, чтобы к этой прокси можно было подключаться с других компьютеров локальной сети типа ssh user@server -D192.168.0.3:1080

    Т.е. в вашем примере ssh-сервер это компьютер вашей мамы, а ssh-клиент - ваш компьютер в другой стране, за которым вы работаете. Затем достаточно в настройках браузера включить прокси сервер и указать в качестве ip адреса ваш локальный (по умолчанию это localhost или 127.0.0.1) и порт. ssh клиент нужно будет держать включеным, пока пользуетесь интернетом. Никаких других настроек делать не придется (правда в этом случае для подключения ssh придется писать логин + пароль вручную, и чтобы это автоматизировать, нужно будет настраивать авторизацию по ключу)

    p.s. в тему крутости ssh, на самом деле он позволяет поднимать полноценный vpn но это не подходит для windows, точнее понадобится какая-либо linux машина, даже если она виртуальная.

    p.p.s. если у компьютера вашей мамы нет внешнего ip адреса, а точнее есть разные ситуации
    - серый ip
    в этом случае ip адрес периодически меняется, т.е. он есть! Тогда можно на роутере настроить dyndns (есть провайдеры в интернете, бесплатные либо копеечные, либо как опция, помню при покупке dlink-роутера, указав серийник можно было пользоваться dlink-овским сервером бесплатно ), когда вашему ip адресу выдается имя типа my_router_name.dyndns.com и вот по этому адресу нужно будет подключаться. Подключение такое будет обрываться когда провайдер сменит адрес (обычно раз в сутки) и переподключение будет доступно через минуты.

    - провайдерский nat (очень часто мобильные провайдеры)
    это видно, если ip адрес роутеру выдают из локальной сети. В этом случае ip адрес один на несколько клиентов провайдера, и даже upnp не настроить, тут мало что поможет, от таких конфигов лучше держаться подальше, ищите vpn сервисы, или хотя бы тот же hamachi (у них интересная система настройки прямого подключения между компьютерами и решения проблем с nat), они позволят объединить удаленные компьютеры в единую локальную сеть и уже с ее помощью выходить в интернет (тут нужны еще настройки, в зависимости от способа подключения, типа internet shareing и настройка маршрутизации, но socks прокси через ssh ничего дополнительного не потребует).

    Могу и тут предложить использовать ssh как универсальную палочку выручалочку. Если ваш компьютер в другой стране имеет ip адрес, вы можете дополнительно установить уже на этом компьютере ssh сервер (т.е. у вас будут 2 сервера один у мамы другой у вас), затем на машине мамы вы настраиваете bat-скрипт, который в бесконечном цикле будет пытаться подключиться к вашей машине не дома, для настройки туннеля перенаправления портов
    :loop
    ssh user@сервер_не_дома -R порт_на_машине_не_дома:localhost:22
    ping -n 2 localhost
    goto loop

    тут порт_на_машине_не_дома это порт, по которому с машины не дома можно будет подключиться к ssh серверу вашей мамы, подключаться будет через соединение ssh и соответственно ip адреса вашей маме не понадобится (но он понадобится уже на вашей машине не дома). Данный скрипт будет бесконечно пытаться подключить ssh с настройкой туннеля, делая между попытками паузу в пару секунд (это команда ping). Скрипт нужно прописать в автозапуск (лучше через task scheduler, его тогда не будет видно)

    само собой в этом случае авторизацию по ключу придется настраивать (речь идет о подключение с компьютера вашей мамы на ваш сервер не дома)

    Повторюсь, все это будет работать на windows, и максимум настроек - это перенаправление портов на роутере и беспарольную авторизацию по ключу
    Ответ написан
    Комментировать
  • Может ли роутер выступать в качестве ретранслятора внешнего трафика?

    @rPman
    так как роутеры это уже давно linux машина, почти полнофункциональная, из него можно сделать все что угодно.

    ищи статистику по трафику, сравнивай с такой же статистикой по машинам в сети, можешь даже специально время выделить для тестов и отключить все машины от роутера (или оставить одну с прогнозируемым трафиком)
    Ответ написан
    Комментировать
  • Возможно ли установить freeradius на android?

    @rPman
    ты пробовал псевдопесочницы типа debian_no_root?

    radius сервер работает по udp, по уму это не требует каких то особых умений от ядра
    Ответ написан
    Комментировать
  • Какой выбрать протокол для подключения сетевого диска вне локальной сети?

    @rPman
    * http (лучше https но тогда нужен на машину источник файлов а это значит + домен либо самоподписанные сертификаты) с авторизацией
    По этому протоколу можно работать откуда угодно, но с каталогами будет неудобно
    Промежуточный вариант webdav, это надстройка над http, но поддерживается майкрософт вплоть до монтирования в файловую систему и работа из проводника

    * scp (штатный механизм ssh) - самая простая настройка для сервера, наиболее надежный (встроенное шифрование и сжатие трафика), но нужны клиенты с поддержкой scp (все популярные файловые менеджеры умеют, типа far commander или total commander)
    Есть еще sftp, он немного отличается как более продвинутый (под linux есть fuse модуль для монтирования его в каталог), реализация идет штатно с ssh (ну или я привык что такие вещи в linux легко) так же поддерживается популярными клиентами работы с файлами

    * любые инструменты синхронизации, когда вместо доступа к файлам по какому либо протоколу, они копируются и синхронизируются автоматически таким образом что размещены на всех машинах где нужен доступ.
    Собственно все популярные централизованные системы типа dropbox/Google Drive/OneDrive и т.п. работают по этому принципу, но в довесок данные копируются еще и на сервера компании этого инструмента.
    Я рекомендую использовать открытый проект Syncthing - он не копирует файлы ни на какой сервер, и поддерживает любые ОС от windows до android (очень прикольно настраивать синхронизацию через промежуточное устройство типа смартфон, позволяющее синхронизировать файлы между закрытыми сетями)
    Ответ написан
    2 комментария
  • Можно ли раздать интернет на Access Point?

    @rPman
    подключение к интернету - это когда конечные устройства (компьютеры):
    * подключены физически (в т.ч. по wifi) к локальной сети, которую образуют твои eltex роутеры
    * настроен ip адрес в этой локальной сети (все участники должны быть в одной сети)
    * настроен шлюз по умолчанию (машина или роутер в сети, который умеет раздавать интернет - т.е. твой роутер с интернетом)
    * и dns серверы (обычно это тот же роутер но ничто не мешает указать dns сервер снаружи, например от провайдера-источника интернета либо глобальные типа 8.8.8.8 от гугла или 1.1.1.1 от cloudfire...)

    за настройки ip и т.п. отвечает DHCP сервер, который идет в поставке с любым роутером и он должен быть один в локальной сети (точнее рекомендуется, чтобы не было путаницы) либо эти настройки можно ввести вручную на каждой машине в сети (что неудобно но вполне рабочая схема если машин грубо говоря мало и используются какие то альтернативные скрипты автоматизации настройки, например у меня был случай, когда две домашние сети объединялись через windows машину, которая многого не умела как роутер, и это нельзя было изменить, проще было скрипты настроить)
    Ответ написан
    Комментировать
  • Почему Windows 10 не может получить доступ к шаре?

    @rPman
    ты подключаешься windows -> nas, убери то что ты там наковырял в настройках windows (зачем ты включил к нему доступ для гостя?)

    подключившись в домен, текущий пользователь на машине будет уже доменным (на самом деле можно авторизоваться локальным принудительно) и даже если имена совпадают, с точки зрения авторизации это разные пользователи

    мало того, при использовании домена перестает работать механизм общих имен и паролей в windows for workgroup (когда сеть без домена) позволяющий подключаться к шаре без ввода пароля.

    Правильное решение - добавить nas в домен (если nas это умеет, если нет то укажи рабочую группу с тем же именем что и домен и делай как ниже).
    Неправильное но простое решение - завести на windows и nas локальных пользователей с одинаковыми именем и паролями и делать подключение по ip адресу (ну в 10-ой версии wins сервер сломали, по уму можно включить и поковырять политики чтобы его вернуть, по уму рабочего dns сервера или правок в hosts должно хватить тоже), при подключении к nas указать этот логин и пароль и отметить сохранение их для последующих подключений (делать это придется вручную для каждого компьютера в сети и может даже для каждого пользователя, на сколько я помню это не переносится через сетевые профили)
    Ответ написан
  • Что более надежное VNC и RDP?

    @rPman
    VNC и RDP кардинально разные технологи, первая предназначена для трансляции консоли машины (буквально, то что подключено к монитору и клавиатуре с мышкой) а вторая - для множественных подключений к серверу, с симуляцией консоли (т.е. не настоящий монитор, клавиатура и мышка). В десктопных ревизиях windows rdp кастрирован и лимитирован только физической консолью.

    Второе различие качестве реализации, vnc (и всякие anydesk/teamviewer/steam remote/.., основанные фактически на том же) транслируют содержимое экрана без привязки к его обновлениям (с оговорками), когда как rdp в основе своей работает с фактическими обновлениями win32 gdi (правда там наплодили версий и последние серверные могут гораздо больше чем просто их трансляция), в результате на слабых линиях связи и не графических приложений (перерисовывающих весь экран постоянно) rdp может оказаться отзывчивее чем vnc... с другой стороны какой-нибудь steam remote при хорошей ширине канала и низким пингом даст будет эффективнее и менее лагучий для сложных приложений.

    Теперь по поводу надежности - очень важно, настраивать инфраструктуру максимально защищенной и отделенной от интернета какой-нибудь специализированной прослойкой, типа VPN или ssh (например в linux x2go из коробки работает с ssh), любой сервис, открытый в интернет без защиты - это +1 к уязвимости, еще одна вероятность появиться багу и дополнительное время на ожидание его закрытия.

    p.s. rdp в windows очень лакомный кусочек для хакеров, а зная как майкрософт лажает из года в год, ставить на то что это будет надежно я бы не рекомендовал.
    С другой стороны у vnc тьма реализаций (приложений клиент и сервер), и скорость исправления багов (и ответственность за это) в них значительно ниже чем у майкрософта.

    поэтому поставь vpn по надежнее
    Ответ написан
    1 комментарий
  • Xen. Как задать права доступа пользователей к виртуальным машинам в ubuntu для xen?

    @rPman
    через sudo, либо пропиши все используемые пользователями команды либо заверни все в скрипт и его разреши запускать только определенным пользователячм
    Ответ написан
  • Как правильно организовать защиту одной сети от другой?

    @rPman
    Два фаервола - устройства (роутеры например) с каждой стороны провайдеров, определяющие правила доступа к ресурсам и объединенные в одну сеть меду собой
    Ответ написан
    Комментировать
  • Как сделать из комптютера прокси для планшета?

    @rPman
    проблема в том что настройки прокси в android подключении - это рекомендация, т.е. если приложение не желает/не умеет работать с прокси сервером, оно не будет его использовать

    для гарантий что подключение идет через твою машину, используй vpn (настрой vpn сервер на своем ПК)

    p.s. если речь только о браузере, то советую установить firefox, и вручную в about:config настроить прокси
    Ответ написан
    Комментировать
  • Почему файфокс отваливается по поиску днс, если к сайту обращаешься по ip?

    @rPman
    Проверь что у тебя браузер не использует какую-нибудь прокси (автоконфигурация по умолчанию или .pac файл), а так же не установлен какой-нибудь антизапрет впн или аналоги, в общем запусти браузер в новом чистом профиле (с ключом --ProfileManager )

    если у тебя не установлена поддержка https на твоем сайте, указывай конкретный протокол http:// перед ip адресом, так как скорее всего он пытается подключиться сразу по https и не может
    Ответ написан
  • Как адресуются пакеты адресату с серым ip?

    @rPman
    Да что же за отвечающие такие, все кто говорит никак - не правы, может хоть немного думать будете прежде чем в заблуждение народ вводить.

    Серый ip, это значит машина выделенный ip адрес в сети Интернет не имеет, а для выхода в интернет использует одну из доступных технологий, обычно либо NAT либо proxy (http/socks/web)

    При использовании прокси вариантов тупо нет, но вот при использовании NAT, если на роутере, его предоставляющем включена нужная технология либо настроено вручную перенаправление, можно! Называется эта технология UPnP.

    Выглядит это так - сервер, запущенный в локальной сети, отсылает запрос (готовых библиотек полно) роутеру на открытие порта, роутер автоматически настраивает перенаправление, поддерживаются tcp/udp протоколы.

    При правильной настройке роутера, нормальная работа сервисов внутри локальной сети с доступом из Интернета, возможна, даже если ip адрес в догонку к проблеме nat, еще и динамический (технология называется dyndns)

    p.s. есть еще ipv6 (в частности 6to4), в отличии от nat или прокси (или vpn, которая превращает ситуацию в ту же локальную сеть), при наличии поддержки провайдером (точнее не блокировании этой технологии) и роутера, позволяет выделить машинам внутри локальной сети прямые ipv6 адреса, доступные из сети Интернет, но только по этому протоколу.
    Ответ написан
    2 комментария