andrewssrdop: так это их выбирать надо уже в установщике. Оно там спрашивает что-то вроде Installation type: erase disk/use entire partition.. и внизу есть пункт "Something else", выбираете его и уже там будет возможность выбирать, что и куда монтировать.
Gparted это менеджер разделов, а не установщик, ему вообще до лампочки, куда и монтируются ли потом созданные им разделы и фс.
V A: Вроде бы и не видно ничего кратичного, первое правило должно отрабатывать.
Ловите через через фаервол или torch кто там из локалки ломится на днс.
V A: Уверены? даю 99,9% - где-то перепутали с порядком правил или названием интерфейса и ваш микротик таки используют для ддоса снаружи.
Есть, конечно, еще вариант, что тот же зомби из ботнета обосновался и в локалке, тогда надо найти, какой из компов генерирует такую нагрузку, найти и пристре^W вылечить.
Найти можно, например, запустить tool->torch на локальном интерфейсе, отфильтровав 53 порт, кто будет в топ по запросам (если их действительно МНОГО) - тот и носитель заразы.
Gizmothron: Довод в том плане, что гарантированно нет оверселла ресурса хостером, и всегда доступны все гигагерцы и мегабайты, без ограничений вроде "LA не более 2,0 среднесуточно" или прочих лимитов, которыми балуются лоукостеры.
По железу - такое себе. Критичные проекты ставить не стоит. Но критичные проекты как бы и не требуют влезть в 20 евро.
К примеру, винт мне достался далеко не первой свежести, но без битых блоков и просадок. memtest, жаль, не погонять, но в целом неплохо. Особенно если нужна производительность, и не нужна надежность. Дешево и сердито, как говорится.
Gizmothron: Там три варианта загрузки - hard drive, netboot с их ядром и root=hard drive (можно указать раздел) (полезно для восстановления побитого загрузчика или криво ставшего ядра/initrd/...) и их образ вроде system rescue cd.
Для установки есть достаточно большой выбор ОС (включая гипервизорные оси типа proxmox и емнип виндовый). Своего образа не припоминю в вариантах, давно устанавливал, но и однозначно утверждать что его нет тоже не берусь.
Опять же, это полноценный дедик за 10-15 евров, с 100мбит анлим сетью и ipv4+ipv6 адресами. За такие деньги это уже очень круто. Учитывая, что за такую сумму из впс нереально найти честных 4 ядра и 16г рам
vvs-ts9: root всегда и везде 0. Собственно именно нулевой uid и дает игнор прав доступа и проч.
Если не 0 и работает, то это какие-то извращения с pam/acl/ядром и что там еще смотрит на euid. И вообще как-то не верится.
Тимур Громов: попробуйте -j REJECT --reject-with icmp-port-unreachable или -j REJECT --reject-with icmp-host-unreachable
не забыв предварительно удалить старое правило.
Ну и в OUTPUT не должно быть ничего что могло бы заблочить это.
Есть еще, как минимум, у juniper, есть и в линуксе (при чем и stateful, и stateless, и в ядре, и в юзерспейсе).
Проблема в том, что поднимать нужно на некотором хосте, который будет иметь и v6 адрес (на который будет маршрутизироваться нужный префикс), и v4 адреса, с которых и будет ломиться наружу все.
Конкретный префикс не обязательно должен быть именно указанным можно и обычный global unicast взять к примеру, лишь бы в него конвертировались записи в NAT64.
На самом деле, это может попортить, например, fail2ban.
"Счетчики", если уж добавляете, то лучше без действия:
sudo iptables -I INPUT 1 -p tcp --dport 8080
считаться пакетики будут, но действия никаких не будут выполняться в этом правиле, и пойдут как было ранее.
АртемЪ: Есть там фпс, как и в любом другом. И заточен он под передачу игровой картинки. Он гонит изображение в оригинальном качестве, и обеспечивает обратную связь (клаво/мыше/микрофон). При этом никто не мешает через него же серфить интернет в браузере или смотреть фильмы в плеере.
Он как раз заточен под вопрос автора - играть удаленно, получая уже отрендеренную картинку на слабом компе, с более мощного.
