Citiraj:
Autor Nikky
Na žalost ni prvi ni zadnji uređaj sa njihovom (custom) fw verzijom,
taj na sreću još dobro radi kad usporediš šta su napravili sa Speedšrot biserom.
|
Sliedeći post koji sam pripravio, je pod predpostavko da je, kako je u mojem slikopisu:
http://www.croatiafidelis.hr/foss/ro..._Izvornik.webm
i kod drugih koristnika. Ako sam dobro razumio, a puno razboritih i korstnih postova ima od tebe, vjerujem da si vrlo naprjedan u računalstvu, ne radi se o osakaćenosti samo mog ZXDSL931VII routera...
Jedan od "hall of fame" auktora iz razdoblja nastanka iptables (IP-tabela), Oskar Andreasson, u dokumentu na kojeg se još uviek poziva i upućuje kao na koristno, ako ne i nužno čtivo svima koji žele izgraditi vlastiti Linux poslužitelj/router, Oskar Andreasson, piše (
podpun tekst nađite na izvornoj lokaciji:
https://www.frozentux.net/iptables-t...tml#NATCAVEATS
):
Citiraj:
|
Autor Oskar Andreasson
Caveats using NAT
As we have already explained to some extent, there are quite a lot of minor caveats with using NAT [...]
The main problem is certain protocols and applications which may not work at all [...]
The second and smaller problem is applications and protocols which will only work partially [...]
The third, and largest problem, in my point of view, is the fact that the user who sits behind a NAT server to get out on the internet will not be able to run his own server.
It could be done, of course, but it takes a lot more time and work to set this up.
In companies, this is probably preferred over having tons of servers run by different employees that are reachable from the Internet, without any supervision.
However, when it comes to home users, this should be avoided to the very last.
You should never as an Internet service provider NAT your customers from a private IP range to a public IP. It will cause you more trouble than it is worth having to deal with, and there will always be one or another client which will want this or that protocol to work flawlessly. When it doesn't, you will be called down upon.
|
Vjerujem da većini naprjednih čtioca PCEkspert foruma nije potrjeban prievod gornjeg. Ali zacielo mnogim namjernicima jest... Pa, ako ste naprjedni i ne treba vam, preskočite moj prievod kojeg ovdje za manje naprjedne pišem.
Citiraj:
|
Autor Oskar Andreasson
Neki caveat-i[*] kod uporabe NAT-a
Već smo donekle objasnili, prilično je manjih caveat-a kod uporabe NAT-a [...]
Glavni je problem što bi neki protocoli i aplikacije mogli uobće ne raditi [...] [**]
Drugi i manji problem je što neke aplikacije i protocoli rade samo djelomično [...] [**]
A treći, i najveći problem, prema mojem mišljenju, jest činjanica da koristnik koji sjedi iza NAT poslužitelja i želi dosegnuti van k svjetskom međumrežju ne će moći imati vlastiti poslužitelj.
Moglo bi se i to izvesti, naravno, ali je puno više vrjemena i truda potrebno za to.
U tvrdkama, to je vjerovatno poželjnije nego imati tone poslužitelja koje razni uposlenici imaju i koji su sa svjetskog međumrežja dosežni, a bez nadzora nad njima.
Međutim, kad govorimo o kućnim koristnicima, ovo treba izbjegavati koliko je ikako moguće.
Nikad ti, kao pružatelj mrežnih usluga, ne bi trebao NAT-irati svoje koristnike/kupce iz privatnog razpona IP adresa u javne IP adrese. To će ti prouzročiti više štete nego što vriedi truda to izvesti, i uviek će biti ovaj ili onaj klient koji će trebati da ovaj ili onaj protokol radi bezpriekorno. I kad ne bude radilo, tebe će se kriviti za to.
|
A sad "u glavu". Ovaj modem/router nalazite samo u postkomunističkim zemljama. Tu serija ZTE ZXDSLxxxyy, možete naći u Rusiji, u Poljskoj i nekim drugim (ali samo bivšim komunističkim) Europskim zemljama, izpravite me ako griešim, molim... (Ne schmoogle-am, nego rabim duckduckgo.com tražilicu, pa se naravno informiram nešto slabije, ali bar me malo teže i slabije bulk-collect-ira NSA, najbolji prijatel Sergeya, Larryja, i Erica Schmooglea, velikih moralnih nakaza prividno, vrlo prividno i lažno: liepih lica.)
Jer je to cviet Kinezkoga režimà cenzùre, koji ovi režimi rado uvoze (jer su i te kako veliki dionici vlasti u sjeni u Hrvatskoj bivši udbaši i ini...)!
S tim modemom/routerom nema načina, neprobojno je skriveno od koristnika, u vlastitom računalu, da saznate na kojoj ste IP adresi kad ste spojeni na međumrežje ("Internet").
Muku mučim već nekoliko tjedana da izgradim vlastiti Gentoo Linux router koji bi, spojen na ovaj router, preko sebe spajao bilo koje drugo računalo iz mog stana...
Dobro veli Oskar Andreasson!
Citiraj:
|
Autor Oskar Andreasson
[...] Koristnik koji sjedi iza NAT poslužitelja i želi dosegnuti van k svjetskom međumrežju ne će moći imati vlastiti poslužitelj.
|
Doista je tako! Ma nema tog tutoriala na mreži za SNAT ili MASQUERADE koji radi za moj ZTE komunistički-sviet-cenzure ZXDSL<931VII-kod-mene-i-mnogih-čtioca> slučaj! Opovrgnite me molim vas, dajte poveznicu na tutorial koji vriedi za ZXDSL! Jer:
Citiraj:
|
Autor Oskar Andreasson
Moglo bi se i to izvesti, naravno, ali je puno više vrjemena i truda potrebno za to.
|
Eh, sad, razumiem da mora biti tako u tvrdkama:
Citiraj:
|
Autor Oskar Andreasson
U tvrdkama, to je vjerovatno poželjnije
nego imati tone poslužitelja koje razni uposlenici imaju i koji su sa svjetskog međumrežja dosežni, a bez nadzora nad njima.
|
Ali, ali, ali!
Citiraj:
|
Autor Oskar Andreasson
Međutim, kad govorimo o kućnim koristnicima, ovo treba izbjegavati koliko je ikako moguće. Nikad ti, kao pružatelj mrežnih usluga, ne bi trebao NAT-irati svoje koristnike/kupce iz privatnog razpona IP adresa u javne IP adrese. To će ti prouzročiti više štete nego što vriedi truda to izvesti, i uviek će biti ovaj ili onaj klient koji će trebati da ovaj ili onaj protokol radi bezpriekorno. I kad ne bude radilo, od tebe će se kriviti za to.
|
Ma briga njih, dragi moji Hrvati (ili barem državljani, kao i drugi čtioci), briga njih za muke pri sprovođenju nekih inače normalnih naprjednih računalnih tehnika koj njihovih koristnika, kao što su vlastiti poslužitelj i vlastiti router!
Ono što oni moraju imati, pod svaku cienu, jest kontrola kakvu Kinezi imaju nad svojim građanima. Prdnut ne možeš u Kini a da to komunjare na vlasti ne saznaju, a ponekad moraš valjda i da bi pljunuo imati dopuštenje!
Kakva (tvoja, makar i privrjemeno) vlastita adresa. Pa nije ona tvoja, što ti je, vlastnik je T-konj! Ti ne smieš znati koja ti je!
Ne bez (relativno) velikoga truda! Velikog, jer to je nešto što je inače, kod većine modema/routera za male, obične, normalne koristnike u zapadnim demokracijama, pa i u većini zemalja cielog svieta, koristniku razpoloživo čim to zatraži, iz vlastitog računala, bez odlaženja na ikakve myip.com adrese...
Dosta UDBe, dosta UDBe! Ili ima čtioca koji ne razumiju da se ovdje radi o cenzuri?
On meni ne da da ja izradim svoja iptables pravila, nego mi nudi svoje, prihvaćam: state-of-the-art, sučelje ("interface"); najbolji državni Kinezki mozgovi ga radili!, prihvaćam!... (A zašto? Ma zato jer on to može snimiti, a ne bi nužno mogao u mom računalu: podpuno kontrola!)
Ali gledajte koliko su naši još dalje otišli: u slikopisu u kojem bez teksta prikazujem (
slobodno ga uporabite, dajem ga, evo ovim tekstom u javnu domenu, odričem se auktorskih prava nad istim, malo je to bilo truda...) koje usluge u diagnostici je T-konj oduzeo ovom modemu/routeru:
http://www.CroatiaFidelis.hr/foss/router/ZXDSL931VII/
http://www.CroatiaFidelis.hr/foss/ro..._Izvornik.webm
) u slikopisu u kojem bez teksta prikazujem za koliko toga, a sve u svrhu podpunije kontrole nad koristnicima, je T-konj osakatio i ono što Kinezi inače nude, jer su taj uređaj vjerovatno namjenili, ili pokušali namjeniti, izvozu na zapad; pa bi čak i bio isti prolazno-uporabljiv u tvrdkama...
[Ali gledajte koliko su naši još dalje otišli], pogledajte za koliko toga je T-konj osakatio ovaj modem/router, u tom slikopisu!
A ovo je najbitnije. To jako dobro znam, jer nikamo na mrežu ni ne idem bez snimanja trace-a, a i screencast-anja, čim se spojim online (a radi toga što su mi htjeli podmetnuti da sam slao spam:
http://www.croatiafidelis.hr/foss/ce...a0ce25.en.html
http://www.croatiafidelis.hr/foss/ce...5398a1.en.html
https://forums.gentoo.org/viewtopic-...6.html#7682770
Kako ja to radim svaki naprjedniji Linux koristnik može lahko vidjeti u skriptu na:
https://github.com/miroR/uncenz
)
[A ovo je najbitnije.] Funkcionalnost za koju sam ovdje:
http://forum.pcekspert.com/showthrea...37#post2960029
-- zapravo u poveznici odanle:
http://www.croatiafidelis.hr/foss/ro...II/README.html , sasvim na dnu --
rekao da bi mi mogla jako nedostajati jest:
( Da donje sliedite, morate, negdje sa prvih stranica, 3 ili 4-ta stranica ili tamo negdje, skinuti priručnik:
SJ-20110324090655-002-ZXDSL 931VII (V2.0) VDSL2 Modem Maintenance Management Manual_341202.pdf )
Citiraj:
8.5.3 Mirror Configuration
Short Description
Perform this procedure to execute the mirror configuration.
Context
If the mirror configuration is performed, the packets at the WAN side will be copied to the specified LAN interface, and it can be used for the network analysis and troubleshooting.
To execute the mirror configuration, perform the following steps:
Steps
1. On the navigation tree, choose Administration > Diagnosis > Mirror Configuration, as shown in Figure 8-10.
2. Configure the parameters and then click Submit.
– End of Steps –
Result
The mirror configuration is performed.
|
Prjevest ću samo najbitniji dio:
Ako se provede ogledalna konfiguracija, paketi sa WAN strane bit će preslikani na odabrano LAN sučelje, i to se može uporabiti za analiziranje mreže i ustanovljenje kvara.
Drugim rječima, ovaj uređaj izvorno ima mogućnost da koristniku pruži mogućnost da snimi trag ("trace"), ili da iztrese pakete ("packet dump") svega što se u tom uređaju zbiva, sav ples elektrona, precizno do u svaki pojedini bit, prilikom slaganja "razgovora" ("conversations") pa bilo to: lokacijama na mreži, DNS serverima, ftp, http, https, ssh, bilo kojim razgovorima, ama sve.
Pa nisu Kinezi blesavi, bez te funkcionalnosti ovaj modem je samo cenzorna sprava, i stoga zemljama na tragu (još uviek dominantne) Zapadne civilizacije, gdje se demokracija ipak ozbiljno shvaća, i nude tu (i te) funkcionalnosti, pa se one nalaze i u priručniku za uporabu.
Bez te funkcionalnosti, T-konj s mojom spravom, i UDBA (pardon SOA, u ovom slučaju; ovdje se ne radi o vlasničtvu nad Zaba-om ili Konzum-om ili ulagateljima u "Hrvatski" T-com, ovdje se radi o konkretnim nadzorima nad, primjerice NGO-ima poput mojeg, i obćenito o bulk-collection oliti mass surveillance, dakle nad bilo kime tko ima takav modem, u stilu NSA-a, sjetite se Edwarda Snowdenovih odkrivenja)...
Bez te funkcionalnosti, T-konj, i UDBA, rade s mojim ZXDSL-om što god hoće, i nadziru moju uporabu istog (ali podpuno! trace-ovi su njima dostupni, a ne meni!), umjesto da je ta sprava pod mojim nadzorom u podpunosti, budući da je software u njoj GNU (nije li tako?, jest, jer GNU/Linux je unutra!), kako je pravo u civiliziranim i istinski demokratskim zemljama.
Moja izprika ovdje poštenim djelatnicima T-com-a, ne svima, neki zaslužuju i veće pogrde, nego poštenim djelatnicima T-com-a se izpričavam na uporabi "T-konj" nadimka za njihovu tvrdku. Ovo osakaćenje uređaja za koji mi koristnici plaćamo me ipak čini biesnim i vrlo nezadovoljnim.
Svako dobro svim čtiocima. I iskreno se nadam da će nam Hrvatski hackeri (hackeri u najljepšem GNU/FOSS značenju te rieči), jednog dana, nadam se prije radije nego li kasnije, srediti da i u Hrvatskoj imamo firmware kojim se izpravljaju ove osakaćenosti ZXDSL serije modema, posebice ovog 931VII modela.
---[*] caveat (izgovor: kaveat), lat.: čuvaj se! (nečega, nekojih loših strana neke tehnike, postupka...)
[**] Ne bih rekao da više ima puno protokola i aplikacija koje NAT-irane ne rade, ali tako je bilo prije 10 i više godina kad je taj tekst pisan.
Napomena 2016/09/01 izpravak: s/Kakva privatna adresa./Kakva (tvoja, makar i privrjemeno) vlastita adresa./
---
Miroslav Rovis
Zagreb, Croatia
http://www.CroatiaFidelis.hr
Try refute:
rootkit hooks in kernel,
linux capabilities for intrusion? (Linus?)