Jump to content

IgaX

Forum Members
 View Profile  See their activity

  • Posts

    950

  • Joined

  • Last visited

  • Days Won

    3

 Content Type 

Posts posted by IgaX

    WPA2-Enterprise

    in Реализованные пожелания

    Posted

    6 часов назад, Андрей Щербаков сказал:

    Я уже и скрывал точку доступа, и пароль сложный делал, и названия меняю, в любом случае угоняют и в dhcp-leases появляются посторонние

    Таких наглых медвежатников, чтобы щелкали ptk как семечки, а потом еще вставали под фонарь dhcp еще поискать надо .. это юзеры кладут болт на политику безопасности или какой-нибудь клиент скомпрометирован по полной бортовым кейлоггером местного кулхацкера ради какой-то идеи или от нечего делать.

    Разметка страницы состояния IPsec

    in Реализованные пожелания

    Posted · Edited by IgaX

    11 час назад, KorDen сказал:

    В последних трех столбиках данных можно добавить перенос, уменьшить th_rekey до 110-120px, th_remote_gateway до 90-100px, увеличить th_encryption до ~80-85px, th_local_remote_nets до 120-130px.

    Если мы начнем набирать голоса за очевидное, то все, это дно :)

    А уже поднимали вопрос, чтобы ширину столбцов самим задавать мышой или тачем и все эти подстройки по visual (включая вид сортировки по столбцам) хранить в куках? У кого печенек нет могли бы наслаждаться текущим дефолтным видом. И не пришлось бы голосовать по каждому подобному вопросу.

    11 час назад, KorDen сказал:

    все сильно зависит от ОС+браузер+шрифты

    не так чтобы очень, почти все решаемо

    • Thanks 1

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted

    Немного пруфов.

    Скрытый текст

    When there is no positive feedback for an existing mapping after some time (see the /proc interfaces below), a neighbor cache entry is considered stale. Positive feedback can be gotten from a higher layer; for example from a successful TCP ACK.

    https://linux.die.net/man/7/arp

    Картинко.

    Скрытый текст

    proof_s1.thumb.png.af558a6120178135179e91be8f9e7d9e.png

    После успешного TCP ACK в сторону 192.168.2.39 спустя ~3 сек. идет ptp ARP к этому же клиенту, ответ и помчали дальше.

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted

    И есть подозрение, что эта часть:

    Цитата

    An entry's validity will be extended if it receives positive feedback from higher level protocols

    - не работает, по крайней мере, на wireless .. это было бы самым простым объяснением.

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted

    48 минут назад, Le ecureuil сказал:

    ничего не понял

    Ладно, не трогаем сканер :)

    Если выключить сканер, то я смогу добраться до нативных механизмов linux, например, с помощью: 

    set net.ipv4.neigh.default.base_reachable_time_ms

    - поставленного в начале конфига?

    Как я понимаю, для всех созданных после команды интерфейсов ttl arp-кэша пойдет как:

    Скрытый текст

    base_reachable_time (since Linux 2.2)
    Once a neighbor has been found, the entry is considered to be valid for at least a random value between base_reachable_time/2 and 3*base_reachable_time/2. An entry's validity will be extended if it receives positive feedback from higher level protocols. Defaults to 30 seconds. This file is now obsolete in favor of base_reachable_time_ms.

    base_reachable_time_ms (since Linux 2.6.12)
    As for base_reachable_time, but measures time in milliseconds. Defaults to 30000 milliseconds.

    - или есть подводные камни помимо сканера? .. какие-нибудь неучтенные нюансы, которые переписывают правила по ходу пьесы?

    И еще вопросик: set .. все могу касательно ядра 3.4 в пределах возможностей или что-то специально выпилено?

    Спасибо.

    SNMP мониторинг

    in Реализованные пожелания

    Posted

    11 минуту назад, ydzhus сказал:

    Реализацию можно сделать по аналогии как графики в интерфейсе по ADSL2+/VDSL2 modem

    Голосуем

    угу .. потратим еще полгода на достижение, а потом снова начнем укатывать тот же асфальт в том же месте .. вот радость.

    так-то вроде как новый дизигн ждем, вроде как надеемся, что графики будут отдаваться клиентам через а-ля Chart.js итд итп., возможностей то море, есть из чего выбрать.

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted · Edited by IgaX

    Или м.б. как-нибудь так для минимизации гулянья arp:

    1) 1 бридж - 1 сканер;
    2) на бридже, например: 192.168.1.1/26 (62 хоста - 1 (роутер)) -> 61 хост для сканирования (Ntot);
    3) ip hotspot auto-scan interval 0 - включает "новый" механизм (для обратной совместимости);
    4) можно установить ip hotspot auto-scan passive 0.1 hps -> скорость: 1 хост в 10 секунд -> общее время сканирования: 61*10=610 сек. или Ntot/hps -> 61/0.1=610 сек. + по совместительству - это интервал (Ttot) получения broadcast arp по кругу одним и тем же потенциальным сканируемым хостом (если нет записи в кэше роутера) или unicast arp (если запись есть) - т.е. сканер заодно и рефрешер;
    5) можно установить ttl записей кэша роутера как: Ttot+buf (где buf - время "пограничного ожидания" ролей на случай отсутствия запроса сканера (например, выключился) в течение которого могут использоваться нативные методы валидирования arp; предположим, buf=60 сек.), ожидается, что ttl записи кэша обновляется автоматически нативными механизмами до заданного значения Ttot+buf при получении соответствующего broadcast/unicast от клиентов;
    6) продолжая п.4 и учитывая дублирующую систему из п.5 - если по unicast arp ответа нет, то повторная попытка, например, по параметру ip hotspot auto-scan timeout 15 (если запись еще жива в кэше не смотря на п.5) и если ответа нет, то удаляем запись;
    7) если предполагается, что все клиенты с привязкой ip к mac от dhcp, то можно заодно привести все под общий знаменатель со стороны клиентов с помощью 35-й опции dhcp как: Ttot+buf... т.е. минимизируем нативную валидацию arp со стороны клиентов.

    В разных симуляциях вроде бы норм.

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted

    В 16.03.2017 в 17:11, Le ecureuil сказал:

    Еще какие-либо идеи есть?

    Так-то если комплексно .. нужно в т.ч. снизить трафик в сторону клиентов, в т.ч. служебный/управляющий.

    Т.е. даже если оставить сканер на wireless (если в т.ч. можно было бы подстраивать нужный интерфейс), но на минимуме напряга, скажем: 

    ip hotspot auto-scan interface AccessPoint passive 1 hps (int? т.е. меньше никак видимо)

    + м.б. таймаут записи кэша в зав-ти от скорости скана и размера подсети (но тут конечно от архитектуры) + 

    ip hotspot auto-scan interface AccessPoint interval 60 unicast (point-to-point ARP - особо погоды не сыграет в этом сценарии, но как вишенка на торте и внимание к деталям, некоторые это оценят)

    Дальше даже не знаю, если раскопать .. божоле-нуво подойдет? :)

    Предположим, все возможно, клиенты топовые, идем исключительно на скорости, физические препятствия минимальны/приемлемы итд., т.е. вполне вероятная ситуация для не особо подготовленного пользователя, но есть педальки (при мощности макс. на TxPower=100).

    Смотрим на резалт калькулятора при: 

    BasicRate=2048 (54 Mbps онли, да, уменьшит покрытие, но это всегда индивидуально)
BeaconPeriod=1024 (вроде макс. по манускрипту, т.е. ~1 маяк/сек)

(про крайне вероятную необходимость изменения других связанных параметров не говорю)
    Скрытый текст

    calc_s1.thumb.png.b2730c184dd409aa7fe1fc3ed92e73fc.png

    -> Служебный оверхед минимален (и разница очевидна).

    Потом уже можно крутить DtimPeriod.

    Больше особо тут не выжмешь в этом аспекте (вроде бы).

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted

    16 минут назад, Le ecureuil сказал:

    Увы, не годится. В таком случае мы не сможем достоверно определить в сети ли хост, или просто статически забит в кэш и при этом в оффлайне.

    поэтому и "опционально" :) .. чтобы опцией могли воспользоваться те, кто сознательно готов пожертвовать этой информацией.

    может, тогда возможность крутить таймаут записей кэша для разных интерфейсов (независимо от рефрешера ip hotspot auto-scan interval {time} и ip hotspot auto-scan timeout {time}) .. и проблему на public.

    Скрытый текст

    An implementation of the Address Resolution Protocol (ARP) [LINK:2] MUST provide a mechanism to flush out-of-date cache entries. If this mechanism involves a timeout, it SHOULD be possible to configure the timeout value.

    ...

    (1) Timeout -- Periodically time out cache entries, even if they are in use. Note that this timeout should be restarted when the cache entry is "refreshed" (by observing the source fields, regardless of target address, of an ARP broadcast from the system in question). For proxy ARP situations, the timeout needs to be on the order of a minute.

     

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted

    7 часов назад, IgaX сказал:

    В общем, если есть ip arp, то в отношении этих записей не делать валидацию кэша

    Если понадобится - например, пруф.

    Скрытый текст

    ...

    There are static ARP cache entries and dynamic ARP cache entries. Static entries are manually configured and kept in the cache table on a permanent basis. They are best for devices that have to communicate with other devices usually in the same network on a regular basis. Dynamic entries are added by the Cisco IOS software and kept for a period of time, then removed.

    Static and Dynamic Entries in the ARP Cache

    Static routing requires an administrator to manually enter IP addresses, subnet masks, gateways, and corresponding MAC addresses for each interface of each router into a table. Static routing enables more control but requires more work to maintain the table. The table must be updated each time routes are added or changed.

    Dynamic routing uses protocols that enable the routers in a network to exchange routing table information with each other. The table is built and changed automatically. No administrative tasks are needed unless a time limit is added, so dynamic routing is more efficient than static routing. The default time limit is 4 hours. If the network has a great many routes that are added and deleted from the cache, the time limit should be adjusted.

    The routing protocols that dynamic routing uses to learn routes, such as distance-vector and link-state, is beyond the scope of this document. For more information, refer to Cisco IOS IP Routing Protocols Configuration Guide , Release 12.4.

    ...

    Defining Static ARP Entries

    Perform this task to define static mapping between IP addresses (32-bit address) and a MAC address (48-bit address) for hosts that do not support dynamic ARP. Because most hosts support dynamic address resolution, defining static ARP cache entries is usually not required. Performing this task installs a permanent entry in the ARP cache that never times out. The entries remain in the ARP table until they are removed using the no arp command or the clear arp interface command for each interface.

     

    ARP-флуд hotspot, батареи мобильников, таблица устройств.. На кой это все?!

    in Реализованные пожелания

    Posted

    24 минуты назад, Le ecureuil сказал:

    Unicast ARP хоть и стандартизован, но многими антивирусами и IDS воспринимается как "атака" или "подозрительная активность", потому сразу нет.

    М.б. все же сделать опционально. Т.к. тогда вопросы к многими антивирусами и IDS.

    http://serverfault.com/a/409891 (See RFC1122, section 2.3.2.1 - ARP Cache Validation)

    Цитата

    (2) Unicast Poll -- Actively poll the remote host by periodically sending a point-to-point ARP Request to it, and delete the entry if no ARP Reply is received from N successive polls. Again, the timeout should be on the order of a minute, and typically N is 2.

    Плюс, опять же - это нормальное поведение, даже я это вижу с отключенным сканером и никакой ругани:

    Скрытый текст

    br0-1.thumb.png.242ca42f604ccda4f7e9817b7bb08833.png

    И некоторые комментарии:
    https://supportforums.cisco.com/discussion/11416946/arp-cache-timeout-cisco-routers
    https://supportforums.cisco.com/discussion/10901751/router-arp-request-unicast

    32 минуты назад, Le ecureuil сказал:

    Еще какие-либо идеи есть?

    Если предложение выше не пройдет, то, по возможности, чтобы записи статики ip arp (если намертво прибиваются в кэш) не опрашивались сканером в private и не только .. в отношении public бы тоже не хотелось (м.б. опционально, если специально для чего-то еще используется), но там м.б. proxy arp жарит.

    В общем, если есть ip arp, то в отношении этих записей не делать валидацию кэша. Это нормальная практика, в т.ч. с позиции безопасности (чтобы не отсвечивать лишний раз), чтобы нормальные ids в т.ч. среагировали на появление arp-a, когда его быть не должно.

    Giga 3 WDS

    in Обмен опытом

    Posted

    24 минуты назад, m__a__l сказал:

    перешить гигу на Padavana

    Если ноги растут со стороны заказчика, то м.б. имеет смысл .. иначе как-то все странно получается.

    Giga 3 WDS

    in Обмен опытом

    Posted

    1 час назад, m__a__l сказал:

    как на Giga 3 (v2.08(AAUW.0)C1) включить WDS

    Немного про WDS и чем отличается от клиентского подключения у нас:

    https://www.dd-wrt.com/wiki/index.php/Repeating_Mode_Comparisons
    https://wiki.openwrt.org/doc/howto/clientmode

    Цитата

    If WDS is used, both the AP and the Station switch to the 4-address-mode which enables transparent bridging on the client side.

    https://mrncciew.com/2014/09/28/cwap-mac-headeraddresses/

    Зондирование показало, что цивилизация пока не готова. :)

    А так для начала надо бы истребовать доступ ко всем настройкам, например, в качестве компенсационного жеста доброй воли за антенну в области шума. ;)

    Перезапуск USB модема по штатному расписанию

    in Развитие

    Posted

    7 минут назад, Perevozchic сказал:

    что конкретно нужно сделать

    попробуйте на примере этой темы.

    только вместо: 

    48 15 * * * root ndmq -p 'system led shutdown front' -P message
49 15 * * * root ndmq -p 'no system led shutdown' -P message

    что-нибудь вроде этого (по логике) в зависимости от интерфейса модема: 

    48 15 * * * root ndmq -p 'interface UsbModem0 usb power-cycle 3000' -P message

     

    • Thanks 1

    Пропала папка "Browse folders" в DLNA. Верните, пожалуйста, обратно.

    in Развитие

    Posted

    50 минут назад, JIABP сказал:

    А что это такое?

    У меня со временем после пропажи "системной" папки (но я списал на то, что из папки ушли mkv и зашли avi, а разные индексы они ведь любят по доп.полям: жанры, актеры итп. (чего особо нет в avi), т.е. решил, что поведение "по дизайну") появилась в т.ч. ошибка SQL ERROR 19. Проявлялось в построении конечных целевых индексов. Для индексов помогало: 

    dlna rescan full

    Но сама ошибка не уходила пока "вроде бы" не перезапустил сервис dlna через web и не вырубил для тестов: 

    ip hotspot auto-scan no interface Home

    Точно выяснить что помогло не вышло, дальше багу насиловать не стал, т.к. сэлф по ней так и не был скачен, решил, что неинтересно.

×
×
  • Create New...