Новости

Использование DNSCrypt для защиты DNS-трафика

MooSE (2018-05-11)

Созданный ещё в восьмидесятые протокол DNS является одним из столпов современного интернета. К сожалению несмотря на фундаментальную значимость протокол имеет ряд недостатков: трафик между клиентом и сервером никак не шифруется и не подписывается, что позволяет организовывать MITM-атаки: подменять ответы от DNS-серверов и направлять трафик клиентов на поддельные сайты.

В качестве решения в 2011-м году был предложен протокол DNSCrypt: надстройка над стандартным DNS, шифрующая и подписывающая весь трафик между клиентом и сервером. В сети есть некоторое количество публичных серверов с поддержкой DNSCrypt, которые можно свободно использовать и далее будет показано это делать.

Читать полностью Комментарии (0)
SA Exim и белый список IP-адресов

MooSE (2018-05-08)

При организации простого почтового сервера достаточно популярным решением является MTA Exim, к которому для фильтрации спама подключают SpamAssassin. В качестве промежуточного звена, упрощающего подключение одного сервиса к другому часто используют плагин для exim под названием "sa-exim".

Автор этих строк так же использует связку exim+sa-exim+spamassassin и в какой-то момент появилась небольшая задача: завести "белый" список адресов и сетей, почта с которых должна приниматься без проверки. Задача была быстро и успешно решена, а описание решения приведено ниже.

Читать полностью Комментарии (0)
Точка доступа WiFi на FreeBSD

MooSE (2018-05-06)

Операционную систему FreeBSD отличает стабильность и простота конфигурации. Именно поэтому она является хорошим выбором для шлюза в интернет для небольшого офиса. Восемь лет назад мы уже рассматривали простую конфигурацию, которую можно развернуть буквально за полчаса.

За прошедшее время точка доступа WiFi перестала быть чем-то экзотическим и стала обязательным атрибутом любого офиса. Далее будет показано как можно дополнить описанную ранее конфигурацию точкой доступа WiFi.

Читать полностью Комментарии (0)
Доступ в IPv6 через Teredo во FreeBSD

MooSE (2018-05-03)


Teredo - сетевой протокол, предназначенный для передачи IPv6-пакетов через сети IPv4. Он позволяет получить доступ к IPv6-хостам даже машинам, находящимся за NAT, так как работает поверх UDP. Для Teredo зарезервирован отдельный префикс: 2001::/32.

Некоторые ограничения на использование Teredo накладывает тот факт что адреса клиентам выделяются динамически и не являются постоянными. Т.е. Teredo удобен для получения доступа в IPv6, но размещать IPv6-сервисы на машине с Teredo проблематично. Далее будет показано как можно настроить Teredo-клиент на FreeBSD.

Читать полностью Комментарии (0)
Шифрование SOCKS-трафика с помощью Stunnel

MooSE (2018-04-29)

Протокол SOCKS позволяет пересылать пакеты между сервером и клиентом через промежуточный (прокси) узел. Главным минусом SOCKS является отсутствие шифрования. Частично это можно скомпенсировать использованием поверх SOCKS протоколов со встроенным шифрованием. Однако и тут не всё идеально: если используется SOCKS5 с авторизацией по логину и паролю то логин и пароль от прокси передаются по сети без шифрования.

Stunnel это программное обеспечение позволяющее "пробросить" tcp-соединение поверх другого tcp-соединения с использованием шифрования. При использовании Stunnel можно обеспечить безопасное соедиение с сервисами, не поддерживающими шифрование. Платой за безопасность будет некоторое усложнение конфигурации как сервера, так и клиента.

Читать полностью Комментарии (7)
Организация GRE-туннеля на FreeBSD

MooSE (2018-04-24)

Операционная система FreeBSD продолжает пользоваться популярностью за простоту настройки и надёжность. Ровно за тоже самое пользуется популярностью протокол GRE. И даже отсутствие шифрования не является большой преградой: внутри GRE-туннеля можно использовать протоколы с шифрованием, а сам туннель использовать исключительно как транспорт.

С помощью GRE-туннеля можно связать несколько локальных сетей между собой. Далее будет рассмотрена настройка GRE-туннеля и маршрутизации на сервере под управлением FreeBSD.

Читать полностью Комментарии (2)
Мониторинг ИБП с помощью Network UPS Tool и MRTG

MooSE (2018-04-19)


Несмотря на появление мощных и современных систем мониторинга, MRTG по прежнему остаётся популярным инструментом для мониторинга небольших сетей. Во многом это обусловлено простотой настройки и большими возможностями для расширения с помощью всевозможных скриптов.

Одновременно набирает популярность Network UPS Tool (NUT) - инструмент управления источниками бесперебойного питания, отличающийся широким спектром поддерживаемого оборудования и богатым функционалом. Ну и разумеется с помощью несложных скриптов можно строить графики в MRTG по данным из NUT. Далее будет рассмотрено конкретное решение этой задачи.

Читать полностью Комментарии (9)
SOCKS-прокси с авторизацией по логину и паролю

MooSE (2018-04-15)


Прокси-сервера являются посредниками между клиентами и серверами. Например они позволяют из локальной сети обращаться к ресурсам глобальной сети. Не самым распространённым но одним из самых продвинутых прокси-протоколов является SOCKS (SOCKet Secure). Для многих приложений это единственный поддерживаемый или наиболее предпочтительный прокси-протокол.

В Linux в качестве SOCKS-прокси обычно используется пакет dante-server, а доступ ограничивают по IP-адресам или включают поддержку PAM и используют системных пользователей. Первый вариант далеко не всегда удобен, а второй весьма спорен. Далее будет показано как настроить dante-сервер с авторизацией по логину и паролю, но без использования системных пользователей.

Читать полностью Комментарии (17)
Установка Ubuntu по сети через PXE

MooSE (2018-04-10)


PXE это среда загрузки компьютера с помощью сетевой карты без использования локальных носителей. Возможности применения достаточно широки: от просто начальной загрузки системы, до запуска полноценных рабочих систем без использования локального диска.

Некоторое время назад автору этих строк в руки попал старенький IBM ThinkCentre S51 8171 с неисправным CD-приводом. С загрузкой с флэшки, созданной с помощью UNetBootin, так же возникли проблемы и осталась последняя надежда: загрузка инсталлятора по PXE. Далее будет кратко описан полученный опыт.

Читать полностью Комментарии (4)
Yet another youtube-dl GUI

MooSE (2018-03-30)

Время от времени каждый пользователь интернета сталкивается с необходимостью скачать видео, встроенное в веб-страницу. Хорошим помощником в этом является утилита youtube-dl, которая (несмотря на название) поддерживает большое количество видеохостингов и даже некоторые аудио-сервисы (полный список можно увидеть выполнив команду "youtube-dl --extractor-descriptions").

Несмотря на обширный функционал у youtube-dl есть большой минус: для работы с ней пользователь должен иметь навык работы в консоли, так как youtube-dl имеет интерфейс командной строки. Для решения этой проблемы различные энтузиасты создают свои интерфейсы-надстройки и далее будет предложен ещё один.

Читать полностью Комментарии (2)
Автоматизация отправки СМС с модемов Huawei с прошивкой HiLink

MooSE (2018-03-15)

Очень часто для отправки СМС из различных скриптов используются недорогие мобильные USB-модемы. Раньше использовались модемы, при подключении которых в системе появлялся один или несколько последовательных портов и для отправки СМС было необходимо отправлять AT-команды на один из этих портов, для чего можно было использовать пакет smstools или gsm-utils.

В последнее время набирают популярность модемы, при подключении которых в системе создаётся виртуальная сетевая карта, а управление модемом осуществляется через web-интерфейс (например модемы Huawei с прошивкой HiLink). Использовать привычные решения для отправки SMS с этими модемами не получится, однако это не означает что их нельзя использовать для отправки SMS из скриптов. Далее будет рассмотрен пример скрипта на Perl, который позволит отправлять SMS используя модемы Huawei с прошивкой HiLink.

Читать полностью Комментарии (10)
Решение проблем с карт-ридерами на чипах rts5129 и rts5139 в Linux

MooSE (2018-03-09)

Во многих моделях ноутбуков используются недорогие карт-ридеры на чипах от Realtek. Очень широко распространены чипы rts5129 и rts5139, которые используются например в недорогих моделях Dell Inspiron/Vostro и Lenovo Yoga. В Linux для старых ядер (3.13 и ранее) для этих чипов предлагался модуль "rts5139", для более новых ядер предлагается модуль "rtsx", который должен поддерживать все карт-ридеры от Realtek, включая семйство rts51XX.

Однако на самом деле всё не так радужно и у модуля "rtsx" есть некоторые проблемы из-за которых карт-ридеры на чипах rts5129 и rts5139 начинают работать нестабильно или вовсе переставать работать до перезагрузки системы. Проблема как минимум касается Ubuntu 16.04, а так же Ubuntu 14.04 с обвновлёнными ядрами. Далее будет показано как можно решить эту проблему в дистрибутивах Ubuntu.

Читать полностью Комментарии (4)
Инструменты выбора канала для WiFi-точки доступа

MooSE (2018-02-23)


Проблема взаимных помех в Wi-Fi сетях всё острее встаёт в районах с плотной многоэтажной застройкой. Пока основные проблемы наблюдаются в диапазоне 2.4GHz и в качестве решения проблемы можно рассматривать миграцию в диапазон 5GHz. Однако в случае если не все имеющиеся устройства поддерживают работу в WiFi-диапазоне 5GHz придётся так же как-то "выживать" и в 2.4GHz.

В данном случае единственным решением может быть поиск канала, наименее "задетого" соседними точками доступа. Для этого есть различные инструменты и ниже будет краткий обзор некоторых существующих инструментов для Linux.

Читать полностью Комментарии (4)
Двухдиапазонная (2.4GHz/5GHz) точка доступа WiFi на домашнем сервере

MooSE (2018-02-13)

При организации домашней WiFi-сети обычно начинают с самого простого оборудования и меняют его на более продвинутое и дорогое только при возникновении каких-либо проблем. В частности это касается бытовых роутеров, самые простые из которых поддерживают работу только в диапазоне 2.4 GHz.

Если в качестве точки доступа используется домашний медиа-сервер то либо в нём есть распаянный прямо на материнской плате WiFi-адаптер, либо в него устанавливается самый дешёвый адаптер с PCI-интерфейсом. Оба этих варианта обычно так же ограничены в работе только диапазоном 2.4GHz.

По мере того как ваши соседи обзаводятся своими WiFi точками доступа (как правило так же работающими в диапазоне 2.4GHz) взаимных помех становится всё больше и качество сигнала в разных точках помещения становится всё хуже.

Посмотреть на соседние точки доступа и оценить их взаимное влияние можно например с помощью приложения Wifi Analyzer для Android или Wifi Analyzer для Windows (несмотря на одинаковое названия это два совершенно разных приложения от разных разработчиков). Скорее всего картина будет выглядеть примерно так (или даже хуже):

Оценка использования WiFi-диапазона 2.4GHz с помощью Wifi Analyzer для Windows

Читать полностью Комментарии (2)
МТС 4G и IPv6 в Linux

MooSE (2018-02-06)

В 2017-м году оператор МТС в большинстве регионов присутствия запустил опциональную поддержу IPv6 в своей мобильной сети. По умолчанию опция «Доступ к IPv6» отключена и её необходимо подключить самостоятельно. Кроме того необходим USB-модем с поддержкой IPv6, например ZTE MF823D, который мы и будем использовать для наших тестов.

4G-модем ZTE MF823D

Читать полностью Комментарии (2)



© 2006-2024 Вадим Калинников aka MooSE
Политика конфиденциальности