Category: сисадминское

…зани­мать­ся интер­не­том.

На рабо­те соеди­не­ние с интер­не­том пол­но­дуп­лек­сый гиг, тор­рен­ты хоро­шо бега­ют. Да, тор­рен­ты сами по себе не неле­галь­ны, я все­гда Линук­сы так ска­чи­ваю. Это CDN для бед­ных.

Мне домой никак опти­ку не про­ве­дут; село‑с!

Впро­чем, конеч­но, мне и четы­рёх­сот мега­бит в прин­ци­пе хва­та­ет. Но вла­дель­цы опти­ки бают, у них пин­ги почти вез­де менее пяти мил­ли­се­кунд, а у меня ниже два­дца­ти не опус­ка­ет­ся.

Эй-Ти-энд-Ти обе­ща­ют, что через год у нас мож­но будет взять сер­вис аж в десять гига­бит. Инте­рес­но, най­дёт­ся ли кто-то, кто это купит не по дуро­сти. Лич­но я не соби­ра­юсь, это потре­бу­ет серьёз­но­го апгрей­да домаш­ней сети, при ничтож­ном допол­ни­тель­ном выхло­пе. Закон убы­ва­ю­щей при­бы­ли, одна­ко.

Я вот несо­гла­сен с рас­про­стра­нён­ным тези­сом о ненуж­но­сти анти­ви­ру­са. «Я не буду ходить по пло­хим местам, мне всё это не надо».

Надо. Пото­му что виру­сы быва­ют и на леги­тим­ных сай­тах. Поче­му? Пото­му что сай­ты про­да­ют место для кон­тен­та тре­тих фирм — рекла­му. Кото­рую могут купить кто угод­но, в том чис­ле и зло­умыш­лен­ни­ки. И сунуть они туда могут что в голо­ву взбре­дёт, в том чис­ле и неиз­вест­ные (пока) иссле­до­ва­те­лям нуле­вые (0‑day) экс­плой­ты бра­у­зе­ров.

И если вы дума­е­те, что кон­тент для рекла­мы про­хо­дит тща­тель­ный отбор — вы заблуж­да­е­тесь. Жела­ю­щих купить рекла­му настоль­ко мно­го, что этот про­цесс уже дав­но авто­ма­ти­зи­ро­ван. Да, без­услов­но, там есть некие про­вер­ки, но любой авто­мат может давать сбой.

Пре­це­ден­тов рас­про­стра­не­ния зло­на­ме­рен­ных про­грамм через рекла­му и поис­ко­ви­ки — нава­лом. Да у меня у само­го когда я в уни­вер­си­те­те рабо­тал, поль­зо­ва­тель зара­зил­ся, читая ново­сти на msn.com.

Поль­зуй­тесь анти­ви­ру­са­ми. Я рань­ше исполь­зо­вал кор­по­ра­тив­ный Симан­тек, но их купи­ли Брод­ком. Так как всё, что поку­па­ет Брод­ком, немед­лен­но обра­ща­ет­ся в тык­ву, нын­че я исполь­зую румын­ский кор­по­ра­тив­ный Бит­де­фен­дер. Пока дово­лен.

Встро­ен­ный в Вин­ду анти­ви­рус в‑общем, конеч­но, не так плох, но мне нра­вит­ся панель управ­ле­ни­ем кор­по­ра­тив­но­го Бит­де­фен­де­ра. Очень удоб­но настра­и­вать поли­ти­ки исклю­че­ний, и т.д. Если ком­пью­те­ров более одно­го, то про­цесс намно­го упро­щён, чем рука­ми лазить на каж­дом инди­ви­ду­аль­но.

Ну и да, поль­зуй­тесь бло­ки­ров­щи­ка­ми рекла­мы.

Веч­но мёрз­ну­щие дамы в бух­гал­те­рии с наполь­ны­ми обо­гре­ва­те­ля­ми по раз­ру­ши­тель­но­му дей­ствию на элек­три­че­скую сеть срав­ни­мы с одним тор­на­до или дву­мя с поло­ви­ной гро­за­ми.

*Для тех, кто не пони­ма­ет.

Нин­тен­до Свитч — это игро­вая кон­соль.
Жар­гон­ное «свитч», в рус­ской тех­ни­че­ской лите­ра­ту­ре фор­маль­но обыч­но назы­ва­е­мый сете­вым ком­му­та­то­ром — устрой­ство для соеди­не­ния несколь­ких ком­пью­те­ров в сеть. Имен­но такое изоб­ра­же­но на кар­тин­ке.

Непло­хо чувак вста­вил!

Толь­ко вот хра­по­вые кабель­ные стяж­ки я бы не исполь­зо­вал. Ни одна кабель­ная систе­ма не оста­ёт­ся неиз­мен­ной, поэто­му зна­чи­тель­но луч­ше соби­рать подоб­ное на ленте-«липучке». Её зна­чи­тель­но про­ще раз­би­рать и вно­сить изме­не­ния. Здесь же при­дёт­ся всё сре­зать и стя­ги­вать зано­во.

Пере­шёл, нако­нец, дома на пфСенс вме­сто Нет­ги­ров­со­го марш­ру­ти­за­то­ра. Отлич­ная вещь!

Доно­ром для марш­ру­ти­за­то­ра ста­ла ста­рень­кая мало­фор­мат­ная рабо­чая стан­ция Dell. Для внут­рен­ней сети я при­об­рёл для неё беуш­ную сете­вую кар­точ­ку аж на четы­ре гига­бит­ных пор­та. В ней сто­ят пра­во­вер­ные сете­вые чипы Intel PRO/1000, и она пре­крас­но рабо­та­ет с BSDш­ным (пфСенс под капо­том это мой люби­мый FreeBSD) драй­ве­ром em. Это хоро­шо тем, что драй­вер и чип­сет под­дер­жи­ва­ют 802.1Q, так что если мне захо­чет­ся замо­ро­чить­ся с VLAN (учи­ты­вая нали­чие китай­ских камер видео­на­блю­де­ния может быть невред­но), это лег­ко мож­но будет сде­лать.

Одной из пер­вых вещей настро­ил OpenVPN, дабы моя матуш­ка мог­ла посы­лать в пра­виль­ном направ­ле­нии рос­ком­ге­ста­по и про­чих при­дур­ков, и захо­дить в любые нуж­ные ей веб­сай­ты и читать любую инфор­ма­цию без огра­ни­че­ния досту­па. А то все исполь­зу­е­мые ей до это­го VPN пере­ста­ли рабо­тать.

Тут меня жда­ла неболь­шая заса­да — по какой-то при­чине встро­ен­ный мастер настрой­ки OpenVPN сер­ве­ра не созда­ёт авто­ма­ти­че­ски нуж­ные пра­ви­ла NAT. Внут­ри дома я исполь­зую сеть 172.30.1.0/24, а VPN кли­ен­там раз­даю 10.11.12.0/24. Како­го-то леше­го, пра­ви­ло, поз­во­ля­ю­щее одним адре­сам транс­ли­ро­вать­ся в дру­гие, авто­ма­ти­че­ски созда­но не было. Дол­го чесал репу, нако­нец-то, понял. Бери­те на воору­же­ние, кому надо.

В‑общем, изу­чаю пока, но откры­лась мас­са новых воз­мож­но­стей. Надо будет настро­ить pfBlockerNG, что­бы пере­хва­ты­вать вся­кую срань ещё до попа­да­ния тра­фи­ка внутрь моей сети и мож­но будет делать ещё мно­го вся­ко­го инте­рес­но­го — напри­мер, honeypots — ловить тупо­ры­лых хац­ке­ров.

Реко­мен­дую. Пожа­луй что, имен­но этим мы и заме­ним на рабо­те Cisco ASA. Толь­ко, конеч­но, не бес­плат­ной вер­си­ей, а за день­ги, что­бы была под­держ­ка.

Слу­шай­те, вот Цис­ка была же нор­маль­ной кон­то­рой. Но то, что они сотво­ри­ли со сво­и­ми фаер­вол­ла­ми сле­ду­ю­ще­го поко­ле­ния FirePower — это же жуть. Они уби­ли про­дукт. Мы два меся­ца с их тупой под­держ­кой не можем доба­вить про­стую, на мой взгляд, функ­ци­о­наль­ность «не давать захо­дить из Китая».

И я, к сожа­ле­нию, не оди­нок в этой оцен­ке. ASA же были отлич­ным про­дук­том. А систе­му FirePower они купи­ли на сто­роне, и попы­та­лись встро­ить в своё желе­зо. Полу­чи­лось про­сто буэ.

У кого есть мыс­ли на тему «куда бечь»? На дан­ный момент я все­рьёз гля­жу на pfSense. Пото­му что Пало­Аль­то это кру­то, но дико доро­го. А Фор­ти­нет как-то не осо­бо впе­чат­ля­ет.

А вот свит­чи, навер­ное, будем всё же про­дол­жать поку­пать у них.

Име­ем сер­вер 2012R2 с дву­мя сете­вы­ми кар­точ­ка­ми с адре­са­ми 192.168.253.20 и 10.20.0.26.

Вот так выгля­дит таб­ли­ца марш­ру­ти­за­ции:

Т.е. шлюз по умол­ча­нию у нас 192.168.252.1, с мет­ри­кой 356, а сеть 10.20.0.0/24 — локаль­ная, и обра­ще­ние к ней идёт через интер­фейс 10.20.0.26, мет­ри­ка 257.

Теперь вопрос — что дол­жен пока­зы­вать traceroute до адре­са 10.20.0.24?

Разум­но пред­по­ло­жить, что напря­мую — через сете­вой интер­фейс с адре­сом 10.20.0.26, сеть-то пря­мо на лин­ке, да?

АВОТХРЕН.

Тра­фик до мест­ной сети идёт через шлюз по умол­ча­нию. Мой сисад­мин­ский бубен уже лежит частя­ми на полу, но побе­дить это я не смог (а надо).