Suchergebnisse

Oder man nimmt eine allgemeine Lösung und muss sich mit nichts abfinden. Einfach auf Buchstaben und Zahlen beschränken (da ja Sonderzeichen eh nichts bringen und man stattdessen lieber noch 2 weitere Stellen nimmt) und y und z nicht verwenden. Irgendwelche Ausdrucke bei sich haben, halte ich...

Wenns um Merken geht, geht sowieso nichts über https://theworld.com/~reinhold/diceware.html

Groß/klein und Zahlen reicht immer, und die Länge spielt eine wesentlich größere Rolle als die möglichen Zeichen. Ergo: [0-9a-xA-X] nutzen und fertig. Edit: https://www.wolframalpha.com/input?i=62%5E17+%2F+62%5E15 d.h. 17 Zeichen mit 62 Möglichkeiten sind 3844 mal mehr Möglichkeiten als 15...

OK, ich nahm an. Hier deshalb die 1:1 Übersetzung mit Credits an pp ;) und dem Disclaimer, dass die Regeln so wenig Sinn ergeben: ext_if=ix0 # oder was auch immer dein "eth0" ist pass in quick on $ext_if proto tcp from 192.168.0.1 port 80 no state pass out quick on $ext_if proto tcp to...

Und wo steht hier im Thread eine Regel mit "from 192.168.0.1 port 80"? Können wir nicht einfach bei realen Szenarien bleiben und nicht wie die Autisten auf Unsinn rumhacken? Welcher reale Traffic kommt von Port 80, der keine Antwort auf initialen Traffic ist? Einfach mit etwas Empathie sehen...

Falsch. Lies doch einfach, was da steht: iptables -A INPUT -i eth0 -s 192.168.0.1 -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT Auf eth0 rein: alles VON 192.168.0.1 QUELLPORT 80 Auf eth0 raus: alles NACH 192.168.0.1 ZIELPORT 80 Und das deckt...

Lies "Die Regel erlaubt einfach nur die Antworten vom Webserver", nicht "Die Regel erlaubt einfach nur die Antworten vom Webserver". Ich habe nicht behauptet, dass kein anderer Traffic durchgeht, sondern nur gesagt, wozu diese Regel wohl dient, weil das niemand erkannt hat und alle irgendwelche...

Ihr überseht die Regel iptables -A INPUT -i eth0 -s 192.168.0.1 -p tcp --sport 80 -j ACCEPT iptables ist per default stateless. Die Regel erlaubt einfach nur die Antworten vom Webserver und ist bei pf gar nicht nötig.

Richtig wäre an der Stelle natürlich, die interne Domain auch nur von intern auflösbar zu machen. Dass die interne Domain eine Subdomain einer "echten" Domain ist, heißt ja nicht automatisch, dass man sie für die Welt connecten muss. Es geht ja nur darum, dass der Namespace kein falscher ist.

Der Blackbox-Ansatz, den man hier für sich fahren sollte, ist zu schauen, welche Binaries sind suid root und brauch ich die. Ohne das suid-Bit passiert mit dem kaputten Code schließlich gar nichts.

Wenn du unbedingt Schrauben mit dem Hammer einschlagen willst, kannst du das ja machen. Dann darfst dich nur nicht wundern, wenn du Kommentare von Leuten kriegst, die es definitiv besser wissen. Teste das, was das Problem verursacht und nicht zehn Stellen weiter irgendeine Auswirkung davon...

Ping ist ein Tool, um eine ganz spezielle Funktion zu testen, um die es hier überhaupt nicht geht. Ich bin fast sicher, dass Ping weiterhin funktioniert, wenn du ihm eine IP-Adresse gibst. Nimm ein DNS-Tool, um zu testen, ob die Nameserver im Internet antworten. Dann konfiguriere deinen...

Was genau damit zu tun ist, kann ich leider auch nicht aus dem Ärmel schütteln, aber als Stichwort: man xauth

# cat /usr/local/sbin/identd.sh #!/bin/sh -r set -e set -f IFS=' ' read line line=$(echo $line | tr -d '\r') printf "%s : USERID : UNIX : tcm\r\n" "${line}" exit 0 # cat /etc/inetd.conf ::1:auth stream tcp6 nowait nobody /usr/local/sbin/identd.sh identd.sh 127.0.0.1:auth...

Äh, hallo? inetd? ;)

Hinter dem externen Router kommt erstmal ein Transfer-Netz, wo noch ein paar andere Router stehen und OSPF machen, um u.a. den IPv6-Tunnel anzubinden. Ebenfalls da drin sind dann die internen Firewalls, die einfach statisch Netze auf einzelnen VLANs haben, die sie dann per OSPF announcen. Das...

Du willst auch jede Schweinerei genau wissen. ;) Dafür läuft ein dhcp6c im Debug-Modus, der nichts weiter tut, als DHCPv6-Requests zu schicken und die Antwort zu loggen. An der Interface-Konfig ändert der nichts. Das Log wird dann von einem Script geparst. Das sucht nach update_prefix: create a...

Ich habe in meiner pf.conf: anchor "binat6_int" quick on $int_if inet6 anchor "binat6_ext" quick on $ext_if inet6 und dann ein Script, was bei Präfixwechseln mit dem /56 aufgerufen wird (zB 2003:d7:123:a00::/56): PROG=$(basename ${0}) binatnet=${1} siteid=fd00:0:0 sitenet=${siteid}::/48...

Mein öffentliches, dynamisches /56 mappe ich per binat auf ein /56 in fd00:: Verbindungen auf mein eigenes öffentliches /56 gehen dann halt einmal bis nach außen zum Router und werden so umgemappt, dass die Verbindung wieder von meinem öffentlichen /56 reinkommt, NAT-Reflection eben. Den...

Dann darfst du strenggenommen kein Dict nehmen, denn das sind per Definition nicht-deterministische Datenstrukturen. Die mögen per Zufall immer gleich rauskommen, sobald du damit aber was machst oder das Playbook von zwei verschiedenen Rechnern aus anwendest, kann es sein, dass das Ergebnis...

.items() ist nicht deterministisch. | dictsort ist besser. Statt replace nimm | ternary('YES', 'NO'). Ansonsten ist gutes Naming auch nie verkehrt. "key" und "value" für Dinge, die keine Keys und Values sind, um dann x und y zu nehmen, naja... Spontan hätte ich hier section/sdict und var/value...

Port 1: OpenBSD, Trunk: VLAN 10 und 7 Port 2: Modem, Trunk: VLAN 7 Es sei denn, dein Switch kann Q-in-Q, dann kannst du natürlich versuchen, VLANs zu schachteln. Keep it simple wäre aber zu bevorzugen.

Man könnte einen Mietserver haben und den Zugriff darauf einschränken wollen z.B.

"dasz" ist kein Wort.

Was sich eher anbieten würde, ist die Jails als Clones von einem Snapshot zu erstellen. Dann ist der Hauptteil nur einmal auf der Platte und ab da wachsen die Datasets individuell.