Beiträge von whoami0501

Zitat

Bei Cloudflare muss die End-to-End-HTTPS-Verschlüsselung für den durch Cloudflare geschützten Website-Verkehr konfiguriert werden.

Wie kann man denn bitte bei einer Layer 7 WAF (bzw. Reverse Proxy), die das TLS terminiert und neu aufbaut, von End to End sprechen?

Dann wäre E-Mail Traffic mit 12 Relays zwischendrin (zwischen welchen allen TLS genutzt wird) ja auch automatisch E2E Encrypted...

Von E2E könnte man vielleicht noch bei Layer 4 ohne TLS Terminierung sprechen, aber auf Layer 4 kann man de facto keine WAF betreiben, weil man die Requests ja gar nicht analysieren kann.

Ich weiß warum ich diesen Verein nicht leiden kann... den Datenschutzhorror mit fachlichen Falschaussagen schön reden.

------

Anderes Thema - sollte eurer Meinung nach ein Webserver bei einer Antwort mit Statuscode 304 einen HSTS Header so wie die ganzen anderen Security Header mitsenden? Ich tendiere ja eher zu nein, weil nicht so wirklich sinnvoll, aber was sagt ihr dazu?

mainziman So ist es. Mein Ziel ist es, effizient komplette ASNs zu blockieren.

Und daher hilft mir vmk sein Ansatz leider nicht weiter (trotzdem danke!).

Ich denke, dass das mit dem NetzID Vergleich schon gut funktionieren wird, ich muss es bloß mal realisieren.

Zitat von mainziman

whoami0501 ohne rechnen wird es nicht gehen z.B. 88.17.77.0/24 ist im Subnet 88.16.0.0/15 enthalten

die beiden Subnetze in hexadezimaler Schreibweise 0x58.0x11.04d.0x00/24 und 0x58.0x10.0x00.0x00/15

in binär das größere oben und darunter das kleinere

Code

01011000 0001000|0 00000000 00000000  
01011000 0001000 1 01001101 00000000
11111111 1111111 0 00000000 00000000  <-- subnet mask vom großen Netz

das kleinere Subnetz ist im größeren Subnetz genau dann enthalten, wenn gilt:

( netId( kleines Netz ) & subnetmask( großes Netz ) ) == netId( großes Netz )

dies sieht man darüber, links vom Marker stimmen die Bits überein

bei IPv6 gilt analoges, sind nur mehr Bits;

Alles anzeigen

So in etwa war mein Gedanke. Das Problem ist, dass das ganze theoretisch mehrere Stufen haben kann. Also z.B. ein 24er, was in einerm 21er ist, was in einem 16er ist, welches am Ende in einem 12er ist. Da müsste ich ja dann anders herangehen.

Was gehen könnte, ist, dass ich die Liste der Netzgröße entsprechend absteigend sortiere (größte Netze oben) und dann Netz für Netz die Liste nach Netzen durchsuche, die mit meiner NetzID beginnen. Damit könnte es theoretisch gehen... oder habe ich da noch einen Denkfehler?

EDIT:

Zitat von Lukay

Das klingt wie eine Aufgabe aus der Berufsschule

Umso mehr ich darüber nachdenke... ich habe ab nächste Woche nen neuen Azubi im Team. Also ich meine der könnte ja... aber ich glaube bei Privatkram springt unser Product Owner im Dreieck.

Zitat von Lukay

Das klingt wie eine Aufgabe aus der Berufsschule

Nee, ist es tatsächlich nicht. Brauche das privat für zwei meiner Server.

Gegeben sei eine Liste mit sehr sehr sehr sehr vielen Subnetzen (entweder v4 oder v6, nicht gemischt). In der Liste gibt es mehrere große Subnetze, welche sehr viele kleinere Subnetze aus der Liste enthalten.

Ich möchte diese Liste optimieren, indem kleine Subnetze aussortiert werden, welche bereits durch größere Subnetze abgedeckt werden.

Nach meinem Brainstorming sollte man das machen können, indem man die Netzanteile in Binärschreibweise vergleicht. Aber so ganz bekomm ich das noch nicht so zu Ende gedacht...

Hat das schon mal jemand gemacht und da ein Script dafür liegen? Oder hat jemand ein paar Ideen/Pseudocodeschnipsel, mit denen man das möglichst elegant lösen könnte?

Zitat von alhazred

Wenn du die Windows VM komplett abschotten willst, würden sich 2 Server anbieten. Vorne eine pf/opensense und dahinter der Server one direkte IP. Je nach Anwendung könnte auch das freie VLAN ausreichen. Als VPN kannst du OpenVPN nehmen.

Vom Konzept schließe ich mich da an, jedoch würde ich aufgrund der Einfachheit eher Wireguard als VPN-Lösung empfehlen.

Hi,

das hier ist ein Kunden helfen Kunden Forum, wir können dir da vermutlich wenig helfen.

Wenn du etwas von Netcup brauchst, wende dich bitte an den Support.

Zitat von mainziman

whoami0501 welche Werte kann $is_bot annehmen?

probiers damit

Code

set $no_bot 1;
if ( $is_bot ) { set $no_bot 0; return 444; }

Geht nicht, das habe ich schon probiert. Der überschreibt die Variable nicht.

Mal so eine Frage an die nginx Liebhaber hier... würde euch für folgende Config etwas eleganteres einfallen?

Ziel ist es, die erkannten Bot Anfragen in ein anderes Logfile zu leiten, als die "normalen" Anfragen.

if ( $is_bot ) {
    return 444;
    set $no_bot 0;
}
if ( $is_bot = 0 ) {
    set $no_bot 1;
}
access_log /var/log/nginx/access_bots.log vcombined if=$is_bot;
access_log /var/log/nginx/access.log vcombined if=$no_bot;

Zitat von geekmonkey

Auch nicht in der Mailkuh - zumal es dort eh nur einen User gibt mit einem 15 stelligen kryptischem Passwort, ...

Ein Schuss ins Blaue - lief die Kuh evtl. durch einen Fehler als offenes Relay? Das würde dann eigentlich (fast) alles erklären.

Zitat von Sysop

Support habe ich schon angeschrieben, aber noch keine Antwort erhalten (Arbeiten womöglich nicht am Sonntag?)

Doch, tut er. Aber logischerweise nur sehr begrenzt.

Wenn du dir zu 100% sicher bist, dass der Fehler nicht bei dir liegt, kannst du den Notfallsupport nutzen. Das ist nach meinem Wissensstand kostenfrei, solange das Problem bei Netcup liegt. Sollte der Fehler allerdings bei dir liegen, wird dir die Supportleistung zusätzlich in Rechnung gestellt.

Zitat von Proctrap

Es steht nicht mal dran dass SFTP geht..

What? Warum sollte das dran stehen? Es geht ja nicht.

Für dich zur Info: FTPS != SFTP

SFTP nutzt einen verschlüsselten SSH Tunnel zur Datenübertragung, währenddessen FTPS normales FTP mit SSL/TLS Verschlüsselung ist. Das ist nicht das selbe, da gibt es einen technischen Unterschied.

Zitat von Proctrap

Und wieso läuft der ISO upload eigentlich via ftp statt sftp ab..

"Historisch gewachsen", würde ich sagen...

Aber es ist ja FTPS möglich - das Zertifikat ist zwar nicht für die IP Adresse gültig, aber wenn man die Fehlermeldungen unterdrückt gehts schon. Und damit tut es eigentlich seinen Zweck, würde ich mal sagen... unsicher ist das jetzt nicht wirklich. Unelegant vielleicht, aber das spielt ja erstmal keine Rolle.

Zitat von vmk

Lustig: Vom 8.8 bis 11.08.2020 gab es für Frankfurt keinerlei Packet los.

Um es mit den Worten meines ISP zu sagen: Das war ein Fehler, dass das funktioniert hat.

Zitat von mainziman

was anderes kennt wer des Zorin OS?

https://zorinos.com

Ich habe vor ziemlich langer Zeit mal davon gelesen... die Website lässt mich zumindest mittlerweile staunen. Das kommt mal zum Testen auf die To Do List.

Zitat von vmk

Ich komme über die Schweiz. Frankfurt hat immer wieder sporadisch sehr hohen Packet Loss bzw. im Schnitt um die 1%.

Ahh, dann wird es definitiv ein anderes Netz sein. Alles klar, danke. Nuja... dann wirds wohl bald mal wieder ein neues Subnet werden müssen. Nervig... :x

Zitat von vmk

Schreib doch bitte die Vermutung gleich dazu. Denn per IPv6-Tunnel über HE ist der Shop aufrufbar.

Habe ich doch, immer mit der Ruhe.

Aus meinem /64er Netz kam aber zu 100% keine Randale, als dass es deswegen gesperrt sein könnte. Da wurde nur normal gesurft. Also eine Ebene höher - /48.

Aus welchem /48 Netz bei HE kommst du?

Da kann es wirklich nur noch sein, dass da ein /48er von HE gesperrt wurde, in dem ausgerechnet ich mit drin sitze. Ein anderer Grund fällt mir beim besten Willen nicht ein... außer ein Cache Fuckup, aber das kann ich mir nicht vorstellen.

Zitat von mainziman

wenn Du die Mindfactory Geschichte meinst, Fehlanzeige,

es gibt nur einen DNS-Namen, und was der Proxy hernimmt - ob IPv4 od. IPv6 - kann ich nicht beeinflußen;

mir wird der Laden präsentiert, ob jetzt IPv4 od. IPv6, keine Ahnung

das ist ja der Witz zu XP x64-Zeiten hatte ich die selbe Config, da konnte der PC gar kein IPv6

aber Dank Proxy gabs auch Webseiten mit IPv6only;

Alles anzeigen

Ahh, verdammt. Mein Gedanke war nämlich, dass das eine Alibi-Blockseite ist und mein Netz von HE da geblockt ist (bzw. eher komplett HE).

Sehr interessant. Danke.

Ich habe schon eine Vermutung, aber um die zu verfifizieren, müsste mainziman das Ganze bitte nochmal testen.

Zitat von whoami0501

Ich hätte da jetzt auch gerne einen Link reingepackt, aber den ihr Shop ist gerade im Wartungsfenster und da wird wohl was an der DB gemacht.

Interessant. Via IPv4 komme ich auf den Mindfactory Webshop, per IPv6 wird mir die Wartungsseite angezeigt.

Habt ihr das auch, wenn ihr auf https://www.mindfactory.de geht?

Zitat von mainziman

wo is jetzt des Problem?

Zitat

Of the 51% observed fewer than four times, all
but 2.86% of these have a first label between 7 and 15 characters in length
(inclusive). Furthermore, most of these match the pattern consisting of only a-z
characters (case insensitive), leaving us with 45.80% of total traffic on this
day that appear to be from Chromium probes

Fast 46% aller Anfragen und damit nach meinem Verständnis auch Last sind sinnlose Müllanfragen aus Chromium, für eine in meinen Augen irgendwie ziemlich fraghafte Funktion, die dem User scheinbar mal wieder das Denken abnehmen soll.