Пропал проводной интернет

php, apache, mysql, snort...


Ответить
rutgerg
Сообщения: 29
Зарегистрирован: 04.09.2022

#

Добрый день. Сегодня после перезагрузки нет проводного интернета (wifi работает нормально). При вводе команды systemctl start dhcpcd интернет появляется. Такое ощущение, что пропал автозапуск dhcpcd.
Команда systemctl enable dhcpcd тоже вводилась. Перезагрузка и инета опять нет, опять systemctl start dhcpcd и интернет есть. Чё за прикол? Может кто подскажет?
rutgerg
Сообщения: 29
Зарегистрирован: 04.09.2022

#

Дико извиняюсь, сам виноват. Откат обновлений на один день показал обновление пакета stubby, который использую для шифрования dns. Щас буду разбираться.
indeviral
Аватара пользователя
Сообщения: 176
Зарегистрирован: 15.08.2022

#

пальцем в небо.
# pacman -S openssl-1.1

Ошибки в тексте-неповторимый стиль автора©

vasek
Сообщения: 358
Зарегистрирован: 31.08.2022

#

rutgerg, интересно, как проверяшь, что DNS действительно включен через TLS ?

EDIT - а проще использовать вместо stubby имеющийся systemd-resolved ??? - изменив не много файл /etc/systemd/resolved.conf

Ошибки не исчезают с опытом - они просто умнеют

rutgerg
Сообщения: 29
Зарегистрирован: 04.09.2022

#

vasek:изменив не много файл /etc/systemd/resolved.conf
Если не трудно, то подскажите источник, или как этим пользоваться. Сейчас попробывал dnscrypt-proxy, вроде как работает пока.
Проверяю с помощью termshark.
rutgerg
Сообщения: 29
Зарегистрирован: 04.09.2022

#

Кстати, stubby почему то перестал работать. Правда я удалил dhcpcd ( иначе не мог отделаться от дополнительного ip адреса). Но вряд ли из-за этого.
vasek
Сообщения: 358
Зарегистрирован: 31.08.2022

#

rutgerg:подскажите источник, или как этим пользоваться
Для начала рекомендую Wiki и эту статью …. а далее можешь погуглить для уточнения - так как некоторые используют немного другие параметры в resolved.conf. Но прежде чем их использовать желательно понимать, что это за параметры (options) и лучше смотреть man resolved.conf.
Лично я, когда экспериментировал с этим, то остановился на следующем
DNS=1.1.1.1
Domains=~.
DNSOverTLS=opportunistic
Работало нормально.
Но сейчас это не использую - не вижу смысла, так как заметил, что даже без всего этого в firefox почти все идет через 443 порт … а вот в palemoon через 53 порт.
Так что сначала рекомендую проанализировать, как там с этим у тебя … и если смысл заниматься этим ...

PS - правда в /etc/resolv.conf у меня прописано nameserver 8.8.8.8 .... nameserver 8.8.4.4 ... так как на 8.8.8.8 заработал DNS over TLS

PSS - забыл отметить один нюанс - я использую USB 3G modem

Ошибки не исчезают с опытом - они просто умнеют

rutgerg
Сообщения: 29
Зарегистрирован: 04.09.2022

#

vasek: Лично я, когда экспериментировал с этим, то остановился на следующем
Спасибо. Попробую.
vasek
Сообщения: 358
Зарегистрирован: 31.08.2022

#

rutgerg:Попробую.
Рекомендую вообще ничего не ставить и не менять, а перейти на firefox, который сейчас является самым защищенным браузером в этом смысле.
Как уже писал выше
vasek:не вижу смысла, так как заметил, что даже без всего этого в firefox почти все идет через 443 порт
Немного пояснения - имеется 4 типа технологии
- Secure DNS - технология шифрования DNS-запросов, обеспечивает повышенную безопасность передачи данных посредством шифрования с использованием стандартов DNS-over-TLS или DNS-over-HTTPS.
- DNSSEC - выполняет проверку подлинности DNS-запросов, использует криптографию с открытым ключом, позволяет минимизировать атаки, связанные с подменой адресов DNS.
- TLS 1.3 - последняя на данный момент версия протокола защиты транспортного уровня, служащего для защиты данных, передаваемых между узлами в интернете. Для обеспечения повышенной безопасности протокол использует симметричное и асимметричное шифрование.
- Encrypted SNI - специальная технология шифрования, в задачи которой входят предотвращение получения сторонними наблюдателями информации о соединении.
На данный момент, как пишут, в firifox работают 2-е из 4-х технологий: DNSSEC и TLS 1.3 , другие 2-е (Secure DNS и Encrypted SNI) не подключены, находятся на стадии эксперимента.
Но не давно я проверил, активировалась и технология Secure DNS и этого вполне достаточно и не нужно ничего мудрить.
Можно проверить ngrep, но проще проверить online на этом сайте www.cloudflare.com/ssl/encrypted-sni - у меня показывает 3-и первых.
Конечно, нужно иметь ввиду, что 100% гарантии нет, имеются сайты на которых это не действуют, но это не будет действовать и во всех других случаях, которые рекомендуют.

PS - не забываем, результат проверки online (действующих в браузере технологий) зависит от запретов uMatrix .... не прав, причина в другом.

Ошибки не исчезают с опытом - они просто умнеют

vasek
Сообщения: 358
Зарегистрирован: 31.08.2022

#

Продолжение экспериментов.
Влез в это немного поглубже и выяснил
1. Mozilla отказалась от поддержки ESNI (Encrypted Server Name Indication) в пользу ECH (Encrypted Client Hello)
(и стало понятно почему в about:config исчез параметр network.security.esni.enabled, что делает не возможным активацию ESNI).
2. Технология ECH в firefox по дефолту не активирована. Для ее активации нужно значения следующих параметров изменить на true и перезапустить firefox
network.dns.echconfig.enabled 
network.dns.use_https_rr_as_altsvc

3. Но есть нюанс - Cloudflare, как провайдер данного сервиса, эту технологию еще не включил (firefox идет с опережением) и поэтому эта технология пока формальна … не смотря на то, что на сайте проверки Cloudflare все 4-е технологии показаны действущими.
Результаты вывода ngrep без активации ECH и с активацией ECH подробно не сравнивал ... но решил оставить технологию ECH включеной.

PS - забыл отметить, что имеется Frefox ESR, в котором оставили подержку ESNI (есть в AUR) ... но особого смысла в этом не вижу.

Ошибки не исчезают с опытом - они просто умнеют

Ответить