Archiv pro rubriku: Nezařazené

Akce 1+3 pro kamerový systém pevný disk zdarma

Akce ! Kamery srpen 2019

Pro kamerový systém pevný disk zdarma !

#Akce 1 + 3 = 1000 000 000 000
1x NVR + 3 kamery = 1000 000 000 000B HDD zdarma (1TB).
Při koupi a montáži záznamového zařízení NVR a min. 3 ks IP kamer dostanete od nás zdarma pevný disk o celkové kapacitě 1TB.
Akce platí do 30.8.2019 nebo do vyprodání zásob.

Kontaktujte nás a sdílejte naši akci, děkujeme Vám.

Zaujalo Vás řešení ? Přemýšlíte o kamerovém systému ?
Chtějte funkční a spolehlivé řešení, chtějte jistotu !
Kontaktujte nás a sdílejte naši akci, děkujeme Vám za podporu.

EXIRTA s.r.o.
– Kontaktní e-mail: info@exirta.cz
– Kontaktní telefon: +420 371 140 939
– Zastavte se u nás: EXIRTA s.r.o., Plzeňská 442, Tachov 34701

EXIRTA.cz – Nejlepší podpora pro Vaše IT na západě.

#CCTV #HDDzdarma #kamerovysystem #kamery #NVR #Dahua #instalace #montaz #bezpecnost #řešení #podpora #servis #spolehlivost #zaruka #Tachov #Tachovsko #Plana #MarianskeLazne #Stribro #Stribrsko #Bor #Borsko #Primda #ZapadniCechy

EXIRTA-CCTV-akce-3plus1_SRPEN2019-res1721447

Tři měsíce se Zen To Done, Zen a hotovo!

Tři měsíce se Zen To Done.

Zen_Habits-logo

Na začátku podnikání jsem se rozhodl změnit přístup k osobnímu managementu, již dříve v minulosti (cca 4 roky zpět) jsem se pokoušel o GTD (Getting Things Done), metoda zajímavá, vše jsem měl zpracované do kontextů, tříděné a zprvu to vypadalo jako, že jsem produktivní, problém podle měl byl s efektivitou GTD, točil jsem se v bludném kruhu, ono totiž efektivita není o tom udělat vše, ale udělat jen to podstatné, co je důležité. GTD mě nutilo udělat vše, mít prázdný inbox, ale už mě nenutilo udělat nebo rozlišit to podstatné.

Kniha ZEN A HOTOVO, zcela jednoduchý systém osobní produktivity , http://www.melvil.cz/kniha-zen-a-hotovo/ , vše podstatné je uvnitř, prečteno pohodlně za víkend.

Vše by mělo být vymyšleno tak jednoduše, jak je to jen možné - ale ne jednodušeji. Albert Einstein

Co se mi líbí na ZTD (osobní pohled)

  • minimalismu (miluji minimalismu)
  • minimální verze ZTD, nemusíte osvojovat veškeré návyky
  • neosvojujete návyky najednout, ale postupně, u GTD to na mě padlo celé najednou (teď začneš každý den dělat tohle, tohle, tohle a tamto)
  • věci mají svoji důležitost (zasadní podle mě a pro mě)
  • nejdůležitější úkol(y) dne a týdne, překvapivě funkční věc
  • nutí člověka zjednodušovat, zjednodušení je klíčem k efektivitě
  • mluvením nic neuděláš
  • ZTD je o práci nikoliv o celém systému jako GTD
  • kniha je malá, hubená, minimalistická
"Věci, na kterých záleží nejvíce, by něměly být vydány na milost těm, na kterých nezáleží vůbec." Goethe

Předchozí text popisuje velmi zlehka osobní zkušenosti s praktikováním a spíše první pocity ze ZTD, nechytejte mě za slova, znova je to osobní. Cítím se lépe, mám pocit, že to podstatné zvládám, věci se posouvají dopředu, ano jsou věci co nestíhám, ale nic kritického se kvůli tomu neděje (zatím). Na ZTD není potřeba nic, stačí zápisník (používám obyčejný, ale vyhlédnul jsem si notes Moleskine) a výhodou je po ruce telefon s přístupem k emailu a kalendáři (Google Apps), nic více a k tomu minimalistické návyky.

Logovat → Sort → Plánování → Výkon → Odpočinek.

ZTD není podle mě to týmu, je to o osobní produktivitě a vlastním zvládání času (života), toto je osobní názor a pocit.

Přemýšlím, že napíši aplikaci pro Android s orientací na ZTD, mám trochu představu jak by to mělo vypadat, hodil by se parťák.

A poslední věc, žádný systém nepovede k dlouhodobému úspěchu a štěstí pokud neděláte co Vás baví a nevěnujete tomuto 100%.

Máte zájem o zapůjčení knihy ? Ozvěte se. To je vše!

Děkuji za pozornost. František Havel. MOJEservery.cz

zen-to-done-ZTD-2

zen-to-done-ZTD-3

Proč používat příkazový řádek(CLI)

Proč používat příkazový řádek ?

Pozn.: Volně přeloženo a převzato ze serveru packetlife.net, je to přesné, děkujeme.

Jedním z důvodu proč profesionálové používají příkazový řádek (CLI, command line) je stručnost, efektivita, přesnost a popisnost, geekové miluji stručnost a efektivnost, navíc lenost je matkou pokroku.

Posuďte sami, máte nového junior kolegu a posíláte mu postup emailem pro konfiguraci NAT na pobočkovém routeru (Cisco), který email by jste psali raději?

GUI


Přihlaš se do SDM (Cisco Router and Security Device Manager, GUI managent, budeš si ho muset stáhnout prvně z routeru), jdi do konfigurační záložky, klikni na NAT, poté “Advanced NAT”, klikni na next, vyber rozhraní FastEthernet0 z rozbalovacího seznamu a klikni na next, přikládám obrázek.

cisco-sdm_step1

Dalším krokem v seznamu obou rozhraní vyber Vlan1 s ip adresou 192.168.1.0/24 a klikni na next, , přikládám obrázek.

cisco-sdm_step2

Poslední krokem je přidání statického NAT pravidla pro VPN server, klikni na “Add’ tlačítko a vyplň tyto hodnoty, přikládám obrázek.

cisco-sdm_step3

Potvrď kliknutím OK, a poté klikni na “Next”, zkontroluj v okne NAT pravidlo. Klikni na “Finish” v poslední kroku, vyskočí okno s hláškou ve smyslu “configuration saved”, poté klikni na OK a zavři SDM, hotovo.

CLI


Přihlaš se na router pomoci ssh nebo telnet a vlož tuto konfiguraci.

configure terminal
interface FastEthernet0
 ip nat outside
!
interface Vlan1
 ip nat inside
!
ip nat inside source static udp 192.168.1.204 1194 interface FastEthernet0 1194
ip nat inside source list 1 interface FastEthernet0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
exit
copy run start

Hotovo!


Máte vybráno? ;-).

Nesrážíme zde podstatu a smysl GUI nástrojů, jen až potkáte “profesionála”, který se bude štítit, bát a odmítat textové rozhraní, CLI a příkazový řádek, buďte opatrní!

František Havel, MOJEservery.cz

Linux: Nové DNS servery pro síť TaNET

Pro našeho zákazníka společnost TaNET West s.r.o. provozující rozsáhlou počítačovou síť a lokálního internetového poskytovatele jsem vytvořili dvojici nových DNS serverů pro jeho klienty.

DNS (Domain Name System) je hierarchický systém doménových jmen, který je realizován servery DNS a protokolem stejného jména. Jeho hlavním úkolem jsou vzájemné převody doménových jmen a IP adres uzlů sítě, laicky řečeno je to služba pro převod doménového jména (např. www.mojeservery.cz) na IP adresu (46.167.204.50) se kterou pracují počítače, ale pro lidi je obtížně zapamatovatelná.

Z předchozího textu vyplývá důležitost DNS serverů jako jedné z klíčových komponent celého internetu, proto je vhodné provozovat ve větších sítích vlastní DNS a nespoléhat se na cizí služby (pro poskytovatele internetu je v to podstatě nutnost).

Dvojice nových rekurzivních DNS serverů TaNET:
  • 1x fyzický server
  • 1x virtuální server
  • operační systém Linux Debian 8 Stable 64bit
  • DNS server bind9
  • optimalizovaná konfigurace
  • podpora DNSSEC
  • cache
  • ACL (allow-query, allow-recursion, allow-transfer)
  • response-rate-limiting
  • možnost blokování konkrétních domén nebo celých stromů
  • reverzní záznamy (master-slave AXFR transfer)
  • fail2ban, firewall
  • NTP synchronizace času
  • SNMP pro monitoring stavu stroje
  • SMTP exim4 (relayhost, pouze notifikace)
  • WWW rozhraní pro snadnou editaci reverzních zón

Děkujeme za možnost realizace, bylo to fajn, přejeme vysoký uptime a hodně úspěšných resolvů (překladů).

František Havel

Linux: Firewall Iptables v příkladech

Zcela bez komentáře, linux firewall iptables v pár jednoduchých příkladech.

firewall status
# iptables -L -n -v
# iptables -n -L -v --line-numbers
# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers
Smazání všech pravidel (-F), chainu(-X), výchozí politika chainu(-P)
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEP

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
Insert a delete pravidel
# iptables -L INPUT -n --line-numbers
# iptables -I INPUT 10 -s 192.168.0.0/16 -j DROP
# iptables -L INPUT -n --line-numbers
# iptables -D INPUT 10
# iptables -D INPUT -s 192.168.0.0/16 -j DROP
Zahodit veškerý příchozí trafik i předávaní mezi rozhraním (forward), povolit pouze odchozí (ze stroje)
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Zahození privátních rozsahů na rozhraní do internetu (eth0)
# iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
# iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
# iptables -A INPUT -i eth0 -s 192.16.0.0/16 -j DROP
# iptables -A INPUT -i eth0 -s 224.0.0.0/4 -j DROP
# iptables -A INPUT -i eth0 -s 240.0.0.0/5 -j DROP
# iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP
  • 10.0.0.0/8 -j  (A
  • 172.16.0.0/12  (B)
  • 192.168.0.0/16 (C)
  • 224.0.0.0/4 (MULTICAST D)
  • 240.0.0.0/5 (E)
  • 127.0.0.0/8 (LOOPBACK)
Blokovaní příchozí, odchozí adresy, rozsahu, portu
# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
# iptables -A OUTPUT -d 1.2.3.4 -j DROP
# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
Logování, burst a drop
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
Zahození podle MAC
# iptables -A INPUT -m mac --mac-source d4:3d:7e:27:79:fc -j DROP
Blokování/povolení ICMP echo request/reply (ping)
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Otevření skupiny(rozsahu) portů
# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
Manipulace s rozsahem adres
# iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
Povolení služeb
## ssh tcp port 22 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
## CUPS (tisk pouze z LAN) ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
## NTP ##
iptables -A INPUT -m state --state NEW -p udp --dport 123 -j ACCEPT
## SMTP ##
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
# DNS ##
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
## http/https (Apache) ##
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
## POP3 ##
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
## IMAP ##
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
## Samba (pouze z LAN) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
## PROXY (pouze z LAN) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT
## mysql ##
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
Omezení počtu paralelních spojení (SSH 3 spojení z jedné IP adresy, HTTP 80 spojení z adres resp. seskupenou pod /24 IPv4 masku hosta)
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

 

František Havel

OPENWRT: Realizace levné VPN sítě TP-LINK WR1043ND, Nexx WT3020F

Ukázkové nasazení alternativního firmware OpenWrt v routerech TP-LINK a Nexx s cílem realizace levné firemní VPN (Virtuální privátní sítě) infrastuktury (propojení poboček s centrálou).

Za málo peněz hodně muziky, když potřebujete ze svého routeru vymáčknout něco navíc zkuste alternativní firmware OpenWrt a možná budete překvapeni.

Proč jsme použili OpenWrt? Narazili jsme na potřeby našeho nového klienta, malá firmička s centrální office (zde leží server a data, nějaky přechod do cloudu zatím nehrozí) a tři mikro-pobočky (pro představu mikro = 1-2 lidi = 1-2 stolní PC, 1 tiskárna, připojení přes místní wifi, bez veřejné statické IP, potřeba se připojit specializovaných programem na server do centrály).

Ilustrace dokresluje topologii budoucí VPN sítě.

blog-penwrt-vpn

Situace vcelku jasná, další požadavek byl velmi levně :-(. (nedáte si na wifi linku za 400Kč/měsíčně CISCO VPN za “majlant”, navíc jsme dostali informaci, že jednu z poboček už dvakrát vykradli, to je svět, že).

S OpenWrt a OpenVPN s tím lze něco dělat, železo “zdarma” a placená bude práce, tedy konfigurace, jelikož VPN routery se navíc mají na pobočky pouze zaslat pošlou poštou s připravenou konfigurací a vzdáleně dokonfigurovat.

TP-LINK WR1043ND – centrála ~ cena 1000Kč starší model

  • Atheros AR9132@400MHz
  • 32MB RAM
  • 8MB FLASH
  • 4x LAN, 1x WAN

Otestována rychlost OpenVPN, s AES se lze dostat na ~ 8Mbit, při použití “horšího” šifrování (3DES) lze dostat ~ 12Mbit při cca 40% zátěži CPU. (v přípádě problému dle dohody lze tento prvek vyměnit za rychlejší, ale vzhledem k rychlostem přípojek poboček zatím asi netřeba).

blog-openwrt-1   blog-openwrt-4  blog-openwrt-6 blog-openwrt-7 blog-openwrt-8  blog-openwrt-10

Jako OS použit zmiňovaný OpenWRT, poslední stable verze Barrier Braker, konfigurace služby OpenVPN, routing a firewall.

Nexx WT3020F – pobočky, malý zázrak za 15$

  • model WT3020F
  • MIPS MT7620n, 580MHz
  • 64MB RAM
  • 8MB FLASH
  • 2 x Ethernet 100 Mbps
  • 1x WIFI 2.4 GHz 802.11n
  • 1x USB host (podpora pro 3G GSM moduly)
  • 1x Serial

nexx.wt3020a.top nexx.wt3020a.bottom nexx.wt3020a.top.board

WT3020 je opravdu takový malý zázrak, hned jsme objednali i kousky na sklad, pro případ potřeby, nainstalováno OpenWrt, vytvořen OpenVPN tunel v režimu klienta, na LAN portu připraven DHCP server, dopředu před celou akcí rozmyšlen adresní plán pro rozsahy jednotlivých poboček a centrály.

Lokální přístup k internetu není směrován do VPN tunelu, směruje se aktuálně pouze rozsah pro server a do budoucna je plánováno osazení VoIP telefonů na pobočky a připojení do centrály opět stejným VPN tunelem s možností implementace QoS pro VoIP provoz.

A to je vše, zde je pěkně vidět, že i za málo peněz lze udělat hodně muziky a postavit VPN pobočkou síť nemusí nutně stát velké peníze a drahý hardware, vše záleží na možnostech a potřebách klienta, z toho je potřeba zvolit vhodné rešení.

VPN pro všechny! Máte dotazy k technologii VPN či OpenWrt, chcete pomoci s nasazením podobného řešení pro mále pobočky, pokladny, krámky (realizujeme VPN i přes GSM síť) nebo se jen chcete poradit, napište na kontaky.

Díky za Váš čas. František Havel

Linux: Debian Hyper-v Live(online) Backup (VSS, KVP démon)

Testováno Debian Wheezy/Jessie, podpora pro online backup (live machine backup) do System Center (Data Protection).

http://docs.homelinux.org/downloads/hv_kvp_daemon-master.zip ||

https://github.com/v10networks/hv_kvp_daemon

# apt-get install unzip gcc automake make
# cd /usr/src
# wget http://docs.homelinux.org/downloads/hv_kvp_daemon-master.zip
# unzip hv_kvp_daemon-master.zip
# cd hv_kvp_daemon-master
./bootstrap.sh
./configure
# make
# make install
# cp init/deb/hv_* /etc/init.d/
# update-rc.d -f hv_kvp_daemon defaults
# update-rc.d -f hv_vss_daemon defaults
# /etc/init.d/hv_kvp_daemon start
# /etc/init.d/hv_vss_daemon start

# dmesg | grep hv_utils
hv_utils: VSS daemon registered
hv_utils: KVP: user-mode registering done.

# ps afx | grep hv_
/usr/sbin/hv_vss_daemon
/usr/sbin/hv_kvp_daemon
debian-hyperv-live-backup-datacenter
Data protection manager (system center)

Pokud se VM bude tvářit stále pouze jako offline backup, označne hosta a dejte refresh, online nabídka by se měla zobrazit.

František Havel