Forum
Jestli má klient Synology, tak je tam pěkný integrovaný DNS Server i s replikací zón, je to easy to set, dobře se to spravuje a protokol si můžeš exportovat. Tady jsem ti vytípl dotaz na seznam a co je potřeba nastavit v logování DNS serveru. Samozřejmě to můžeš nastavit někde na Linuxu, ale to asi není to, co bys chtěl 🙂 Transparentní proxy je taky možnost, kdysi jsem nastavoval na mikrotiku a bylo to dost pomalé, ale dnešní Hex3 routříky už mají dvoujádro a utáhnou lecos, nebo pak dospělý firewall ...
Na sledování navštívených stránek by asi šlo použít Pi-hole, je to DNS server a používá hlavně na blokování reklam na síťové úrovni. Jak název napovídám, tak to jde rozjet i na raspberry pi, popřípadě v dockeru.
Pokud by byl zákazník více náročný, tak by šel využít pfSense, jako router/firewall, kam lze doinstalovat Squid proxy server.
o Pi-hole vypada dobre... vyzkousim... jestli tam jde udelat logovani, tak to bude super. . na tom dns mi to vyhovuje ... to je idelani, i kdyz se to da snadno obejit.. to me ale zas tak moc netrapi. Jen s ezeptam, jak se to bude chovat, kdyz dam primar ip pi-hole a sekundar dns google ? Bude to tak, kdyz nahodou vypadne raspbery, tak to pojede pres google ?
Přiznávám, že to nasazené nemám, jenom teoreticky nastudované, takže to co teď napíšu, nemusí být 100% pravda.
Jen s ezeptam, jak se to bude chovat, kdyz dam primar ip pi-hole a sekundar dns google ?
Bohužel to takto nefunguje nastavení primárního a sekundárního DNS serveru, ale implementace v OS je taková, že to dělá loadbalancing mezi zadanými servery. Zatím jsem nepřišel na jednoduché záložní řešení.
na tom dns mi to vyhovuje ... to je idelani, i kdyz se to da snadno obejit
Pokud se na firewallu na WAN nastaví blokování odchozích požadavků na DNS kromě IP adresy vnitřního DNS serveru, tak by to nemělo být zas tak snadné.
Ale on chce mít záložní na google, takže do netu musí mít 53 otevřený. Btw u DNS je potřeba ještě počítat s lokální keší na kompech vs TTL u záznamů, stroj se nutně nemusí pokaždé doptat DNSka, ale pokud je dotazována stejná doména opakovaně v nějakém intervalu, vytáhne si IP z keše. Proxy je tutovka.
Ale on chce mít záložní na google, takže do netu musí mít 53 otevřený.
No to je potom problém, protože nejde jednoduše udělat záložní DNS server. Přes DHCP dostane klient přidělen seznam DNS serverů, které při dotazování točí. Není to tak, že se dotazuje primárního serveru a pokud neodpoví, tak zkusí sekundární.
Co jsem to zatím studoval, tak lidé nasazují dva Pi-hole servery, aby zabránily nedostupnosti internetu při selhání jednoho DNS serveru.
Proxy je tutovka.
U té proxy bude problém HTTPS. Aby to fungovalo i pro HTTPS, tak je potřeba HTTPS terminovat na té proxy a mezi klientem a proxy používat vlastní certifikáty (MITM útok). Aby klientovi nehlásil prohlížeč nebezpečné spojení, tak se musí importovat certifikát z té proxy. Toto jsem taky nikdy nedělal, takže terminologie není možná úplně přesná.
Tím se dostáváme k tomu, že by bylo nutné znát přesné důvody, proč potřebuje zákazník ukládat navštívené domény a kolik do toho chce investovat úsilí/času/peněz.
Jmenuje se to SSL inspekce, ale myslím si že k monitorignu přistoupených domén do certu vůbec nepotřebuješ, stačí hlavička packetu. Teoreticky by se to dalo řešit ještě logem policy na 80 a 443 portu a domény dotlačit z uložené DNS keše ... ale jako jsme u toho, že když si koupí nějaký funky firewall, třeba Fortigate, tak to bude asi elegantnější řešení
Ja si nie som celkom isty, ci sa tu nahodou nepohybujeme na hrane zakona. Desifrovat cudziu komunikaciu (a este sa vydavat za niekoho kym niesme) je podla mna na TC.
Jde o komunikaci do a z firmy, je to běžná praxe - firma si musí chránit své know how a zabezpečit svá data, dokonce jí to GDPR přikazuje.
Pánové, chci se připravit na možnost zavedení optiky. Jelikož se tu psalo o tom, že trubička na zafukovaní optiky je tuhá a špatně se protahuje, tak bych ji protáhl teď, když mám ještě místo a půjde to o něco lépe. Problém je, že se v optice nevyznám. Co přesně mám koupit? https://www.alternetivo.cz/opticke-site-chranicky-trubky-mikrotrubicky_c1300.html Tady je toho tolik, že fakt netuším.
Ja bych se tim tolik netrapil. O0tiku sem vpohode protahnul dodatecne domu pres chrenicku 40,ve ktere mi uz vedli 2 utp kabely. Sice je trochu tuzsi, ale zase je slaba a ten radius neni tak hroznej. Doma sem ju pak protahoval pres husi krk 32 zahnutej skoro 90st a taky se podarilo.
Zrovna to řeším, jsem těsně před zaklopením stropů a ještě sem byl kolegou upozorněn, s ohledem na čím dál tím lepší dostupnost 10Gbit technologií, že by bylo dobrý natáhnout optiku, ať pak za pár let nebrečím, že mám 16K 6D videa pomalý 😀
Takže já skočím pro tuten kabel: https://www.alternetivo.cz/kabel-opticky-samonosny-drop-fttx-3mm-eca-04-vlakna-sm-9-125-g-657a2-pu-cerny-fr-d3mm-800n-prevesy-do-120m-ha_d50829.html
Zaplatím celou krabici a co nespotřebuji vrátím s dobropisem. Natáhnu do každé místnosti jeden z centrálního místa. Nechám to v krabičce za záslepkou pro strýčka příhodu. Bude to pár tisíc (jednotek), ale takových už do domu zahučelo a raději mít navíc, než pak brečet a nemít vůbec.
Jo, taky bych těď natáhl i optiku. Bohužel jsem to neudělal, mám nataháno jen CAT6A, tak už mi nezbývá než doufat, že zlevní i 10G switche pro metaliku.
To co řeším, je jen vstup do domu, aby nebylo problematické pozdější dostávání optiky do dovnitř. Rozvody po domě už jsou teď pasé 🙁
Optická vlákna se zafukují do trubek jakou jsou tyto:
Záleží na vzdálenosti, ale asi bych tam nachystal něco, do čeho ta chránička půjde později nasunout.
Co se týče vnitřních rozvodů metalika vs. optika, tak mezi tím nevidím moc rozdíly. Obě řešení jsou a budou přibližně stejně drahá. Výhoda metaliky je, že se s ní v domácích podmínkách dělá lépe - nemusím řešit svářečku, kabel vydrží víc. Ve finále těch zařízení doma, které využijí tu rychlost moc nebude. V rámci racku se to propojí jakkoli (nemusí se to chystat předem) a dál to bude +/- tolik, kolik je členů domácnosti.
@radek co presně jsi protahoval skrz tu chráničku? To na co dával odkaz wex má vnější průměr 40mm, tak si nedokážu představit, jak bys to protáhl 32 husím krkem 🙂 To jsi asi nedával tu trubičku na zafukování, ale jen nějaký optický patch kabel (nepamatuju se jak se tomu u optiky říká), ne?
Ta chránička má min rádius 400 mm, to u mě může být trochu problém. Umím si představit, že to teď ještě vyřeším, když něco vydlabu v podlahovém polystyrenu, ale až bude finální podlaha, tak už tam budu těžko něco vymýšlet.
