Александр

> к кадру в полезную нагрузку добавляется IP-заголовок, чтобы пакет мог удачно отправиться и вернуться
нет, к IP-пакету добавляется в нагрузку ethernet-заголовок, чтобы пакет мог перемещаться в ethernet-сети.

Привет,
Инструкцию "все в одном" не видел, но в разных можно найти ответы. Обычно делают так:
1. Установка TheBrig (менеджер jails) в nas4free.
2. После установки и запуска jails подключаемся к nas4free по ssh и после этого, в консоли, уже лезем в jails (jexec 1 csh).
3. А дальше все, как во FreeBSD - разворачиваем и обновляем порты, идем в порт (cd /usr/ports/www/apache24/) и "make install clean". Ну и ставим все, что нужно - Apache, PHP, MySQl, PostgreSQL и так далее...

Что, в вашем представлении, "внешка"? И зачем на нее вешать что-то кроме адресов использующихся для БГП?
Вы сами себе сеть. Заанонсили свою сеть провайдерам - и все, что и как вы внутри распределяете -- никому дела нет.
Хотите - дробите на /30 и развешивайте на вланы, хотите - раздавайте по /32 через ppp.
Или навешивайте целиком /24 на любой из свободных интерфейсов и подключайте к нему сервера/юзеров/чтоугодно.

Вы определитесь, сеть какого именно провайдера хотите строить? ШПД, сотового, магистрального, спутникового, ПМ, OTT...

провайдерскую сеть без vlan

Если речь про провайдера интернет и VPN, то только чистый MPLS, но так никто не делает, так как дорого. Да и то на стыках с другими операторами всегда будет влан. В других типах операторов можно вообще обойтись без вланов, но зачем отказываться от понятной всем связистам технологии и костылить?

Плюсую предыдущих ораторов. Встряли вы конкретно, и своими силами не управиться, привлекайте серьёзных интеграторов для решения. И готовьте денег, конечно -- на оплату их услуг, на новое оборудование.

Сеть должна быть сегментирована. На как можно более мелкие сегменты, чтобы легче было резать всё к чёртовой матери, не дожидаясь перитонитов. Как конкретно резать -- пусть вам расскажет интегратор после анализа карты информационных потоков в вашей сети. Есть железо, которое строит такие карты на основании данных с сетевого оборудования -- кто, куда и по каким протоколам ходит, на основании этой карты будет понятно, как сегментировать сеть и как нарезать ACL между сетями.

Возможно, придётся внедрять некий анализатор трафика, который по определённым сигнатурам в пакетах будет блочить порты -- это, наверное, единственный способ сохранить ваши старые ОС и при этом иметь хоть какое-то подобие защиты от сетевых червей. Ну и все остальные комплексные меры тоже -- расстановка файрволов, жесточайший контроль за появлением новых устройств в сети и новых типов трафика (такого, например, как игровые сервера ;-) ).

Вот неплохие переводы двух CIS-овских регламентов, начинайте внедрять:

https://habrahabr.ru/company/pentestit/blog/338532/
https://habrahabr.ru/company/pentestit/blog/339206/

На компьютере с которого подключаетесь нужно сделать две вещи -
1)Запретить при подключении VPN менять шлюз по умолчанию - у вас он меняется на шлюз в удаленной сети, и весь трафик летит туда, и там дропается.
2)Прописать явный маршрут до сервера разработки.

В итоге - шлюз по умолчанию при подключении VPN у вас не будет меняться и все сервера в интернете будут доступны.
А доступ до конкретного сервера разработки будет обеспечивать персональный маршрут.

1. Сказать пользователю stepan, что ему можно запускать только два конкретных контейнера
   
2. Мониторить активность пользователя stepan
   
3. Дать по шее пользователю stepan, если увидите в логах, что он запускал какие-то еще контейнеры
   

Верно. Т.к. такого пользователя нет, вы увидите uid вместо имени пользователя, либо имя пользователя контейнера с которым совпал данный uid.

Вакансий "Сетевой инженер" и аналогичных не так много по сравнению с системными администраторами

Во многих организациях эту должность именуют как угодно, в том числе и системный администратор.
Вообще сисадмин это вроде менеджера - по названию никогда не поймешь чем занимается.

1. Меньше смотреть, больше думать.
Когда пишу код, мало смотрю на экран. Голова думает о том, что написать, либо занята попыткой понять то, что написано на экране.
Когда читаю книги, то: 1) частенько отрываю глаза от книги, чтобы переварить прочитанное (когда попался какой-то сложный момент); 2) нужно фильтровать текст — не читать все подряд, (это не художественная литература) — часть информации мне может быть уже известна (такое бывает часто, я ж не полный чайник, а специалист), часть бесполезна (некоторые писатели могут отвлеченной лирики развести на пару страниц), это все можно и нужно пропускать.

2. Полдня работаем, полдня — занимаемся спортом, домашним хозяйством и т.д. Режим 5/2 вреден для организма и непродуктивен. Свободный график намного полезнее во всех отношениях. Зимой, например, люблю до обеда покататься на лыжах, а после обеда — поработать за компьютером. Летом — велосипед.

3. Мышь — зло. При попытке кликнуть кнопку на экране мышью мы ведем курсор через пол-экрана и напрягая зрение, отслеживаем путь этого курсора — нам же нужно по кнопке попасть! А когда мы жмем сочетание клавиш, то зрение для этого вообще не используется, пальцы сами жмут то, что нужно, используя мышечную память. Так что, горячие клавиши — наше все, их нужно зазубрить, как минимум те, которыми приходится пользоваться часто. Полный список хоткеев в IDE люблю распечатать в таблице на нескольких листах и повесить на стену за монитором.

1. Отвлекаться на 15 минут каждый час.
2. Делать упражнения для глаз