Category: сисадминское

…заниматься интернетом.

На работе соединение с интернетом полнодуплексый гиг, торренты хорошо бегают. Да, торренты сами по себе не нелегальны, я всегда Линуксы так скачиваю. Это CDN для бедных.

Мне домой никак оптику не проведут; село-с!

Впрочем, конечно, мне и четырёхсот мегабит в принципе хватает. Но владельцы оптики бают, у них пинги почти везде менее пяти миллисекунд, а у меня ниже двадцати не опускается.

Эй-Ти-энд-Ти обещают, что через год у нас можно будет взять сервис аж в десять гигабит. Интересно, найдётся ли кто-то, кто это купит не по дурости. Лично я не собираюсь, это потребует серьёзного апгрейда домашней сети, при ничтожном дополнительном выхлопе. Закон убывающей прибыли, однако.

Я вот несогласен с распространённым тезисом о ненужности антивируса. “Я не буду ходить по плохим местам, мне всё это не надо”.

Надо. Потому что вирусы бывают и на легитимных сайтах. Почему? Потому что сайты продают место для контента третих фирм — рекламу. Которую могут купить кто угодно, в том числе и злоумышленники. И сунуть они туда могут что в голову взбредёт, в том числе и неизвестные (пока) исследователям нулевые (0-day) эксплойты браузеров.

И если вы думаете, что контент для рекламы проходит тщательный отбор — вы заблуждаетесь. Желающих купить рекламу настолько много, что этот процесс уже давно автоматизирован. Да, безусловно, там есть некие проверки, но любой автомат может давать сбой.

Прецедентов распространения злонамеренных программ через рекламу и поисковики — навалом. Да у меня у самого когда я в университете работал, пользователь заразился, читая новости на msn.com.

Пользуйтесь антивирусами. Я раньше использовал корпоративный Симантек, но их купили Бродком. Так как всё, что покупает Бродком, немедленно обращается в тыкву, нынче я использую румынский корпоративный Битдефендер. Пока доволен.

Встроенный в Винду антивирус в-общем, конечно, не так плох, но мне нравится панель управлением корпоративного Битдефендера. Очень удобно настраивать политики исключений, и т.д. Если компьютеров более одного, то процесс намного упрощён, чем руками лазить на каждом индивидуально.

Ну и да, пользуйтесь блокировщиками рекламы.

Вечно мёрзнущие дамы в бухгалтерии с напольными обогревателями по разрушительному действию на электрическую сеть сравнимы с одним торнадо или двумя с половиной грозами.

*Для тех, кто не понимает.

Нинтендо Свитч — это игровая консоль.
Жаргонное “свитч”, в русской технической литературе формально обычно называемый сетевым коммутатором — устройство для соединения нескольких компьютеров в сеть. Именно такое изображено на картинке.

Неплохо чувак вставил!

Только вот храповые кабельные стяжки я бы не использовал. Ни одна кабельная система не остаётся неизменной, поэтому значительно лучше собирать подобное на ленте-“липучке”. Её значительно проще разбирать и вносить изменения. Здесь же придётся всё срезать и стягивать заново.

Перешёл, наконец, дома на пфСенс вместо Нетгировсого маршрутизатора. Отличная вещь!

Донором для маршрутизатора стала старенькая малоформатная рабочая станция Dell. Для внутренней сети я приобрёл для неё беушную сетевую карточку аж на четыре гигабитных порта. В ней стоят правоверные сетевые чипы Intel PRO/1000, и она прекрасно работает с BSDшным (пфСенс под капотом это мой любимый FreeBSD) драйвером em. Это хорошо тем, что драйвер и чипсет поддерживают 802.1Q, так что если мне захочется заморочиться с VLAN (учитывая наличие китайских камер видеонаблюдения может быть невредно), это легко можно будет сделать.

Одной из первых вещей настроил OpenVPN, дабы моя матушка могла посылать в правильном направлении роскомгестапо и прочих придурков, и заходить в любые нужные ей вебсайты и читать любую информацию без ограничения доступа. А то все используемые ей до этого VPN перестали работать.

Тут меня ждала небольшая засада — по какой-то причине встроенный мастер настройки OpenVPN сервера не создаёт автоматически нужные правила NAT. Внутри дома я использую сеть 172.30.1.0/24, а VPN клиентам раздаю 10.11.12.0/24. Какого-то лешего, правило, позволяющее одним адресам транслироваться в другие, автоматически создано не было. Долго чесал репу, наконец-то, понял. Берите на вооружение, кому надо.

В-общем, изучаю пока, но открылась масса новых возможностей. Надо будет настроить pfBlockerNG, чтобы перехватывать всякую срань ещё до попадания трафика внутрь моей сети и можно будет делать ещё много всякого интересного — например, honeypots — ловить тупорылых хацкеров.

Рекомендую. Пожалуй что, именно этим мы и заменим на работе Cisco ASA. Только, конечно, не бесплатной версией, а за деньги, чтобы была поддержка.

Слушайте, вот Циска была же нормальной конторой. Но то, что они сотворили со своими фаерволлами следующего поколения FirePower — это же жуть. Они убили продукт. Мы два месяца с их тупой поддержкой не можем добавить простую, на мой взгляд, функциональность “не давать заходить из Китая”.

И я, к сожалению, не одинок в этой оценке. ASA же были отличным продуктом. А систему FirePower они купили на стороне, и попытались встроить в своё железо. Получилось просто буэ.

У кого есть мысли на тему “куда бечь”? На данный момент я всерьёз гляжу на pfSense. Потому что ПалоАльто это круто, но дико дорого. А Фортинет как-то не особо впечатляет.

А вот свитчи, наверное, будем всё же продолжать покупать у них.

Имеем сервер 2012R2 с двумя сетевыми карточками с адресами 192.168.253.20 и 10.20.0.26.

Вот так выглядит таблица маршрутизации:

Т.е. шлюз по умолчанию у нас 192.168.252.1, с метрикой 356, а сеть 10.20.0.0/24 — локальная, и обращение к ней идёт через интерфейс 10.20.0.26, метрика 257.

Теперь вопрос — что должен показывать traceroute до адреса 10.20.0.24?

Разумно предположить, что напрямую — через сетевой интерфейс с адресом 10.20.0.26, сеть-то прямо на линке, да?

АВОТХРЕН.

Трафик до местной сети идёт через шлюз по умолчанию. Мой сисадминский бубен уже лежит частями на полу, но победить это я не смог (а надо).