• Какое решение лучше для доступа в интернет с местоположением США?

    @Yumashka
    Динозавр
    Искать хостера, который предлагает "Residential IP". То есть адреса из пулов, которые раздаются на жилые кварталы. У него брать VPS и поднимать там то, что считаете нужным.
    Сразу оговорюсь: ответ теоретический, я не знаю, насколько это легально вообще и в US в частности.
    Ответ написан
    3 комментария
  • Почему после применения правил IPTABLES в Debian 10 всё блокируется?

    @Yumashka
    Динозавр
    Единственный порт, который вы пытаетесь открыть: 22/tcp
    # Accept incoming SSH
    iptables -A INPUT -p tcp --dport 22 -j chain-incoming-ssh

    Но в цепочке chain-incoming-ssh нет ничего, что разрешало бы ssh, там сразу стоит заглушка DROP.
    Вариант 1: сразу открыть и не строить сложных конструкций
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    Вариант 2: в ветке chain-incoming-ssh
    iptables -N chain-incoming-ssh
    iptables -A chain-incoming-ssh -p tcp --dport 22 -j ACCEPT
    iptables -A chain-incoming-ssh -j DROP
    Ответ написан
    Комментировать
  • Почему в офисах обычно стоит windows 7?

    @Yumashka
    Динозавр
    1) одни люди: перевод существующей базы на 10 - это деньги
    2) другие люди: мы контролируем внутреннюю сеть, кто-попало в коммутатор не воткнется (чтобы устроить атаку через незакрытую уязвимость), мы внедрили все что нужно (антивирус, firewall, SRP, SMB signing в полный рост, остальное по вкусу)
    3) третьи люди: нафига?
    4) ну может еще какие варианты

    От себя: вчера поменяли компьютер одному сотруднику. Была 7, стала 10. Сотрудник адекватный, не вредный, с виндой общается спокойно на уровне продвинутого пользователя. Сегодня захожу к нему, спросить что и как, он отвечает, что тяжеловато и есть вопросы.
    Ответ написан
    Комментировать
  • Эффективность динамической оперативной памяти Hyper-V?

    @Yumashka
    Динозавр
    Тормозов не будет.

    PS.
    Во времена Hyper-V на базе WinServ2008R2 у меня иногда наблюдался глюк у ВМ с линуксом, если включена динамическая память: в какой-то момент kswapd0 сжирал 100% cpu.
    На просторах инета я видел только объяснение для memory ballooning в Xen. Но у себя я это наблюдал на Hyper-V и RHEL (либо 6, либо 5) в роли гостя.
    Про сейчас ничего не скажу, ибо уже 2012R2, и более новые ядра и только предвыделенный объем памяти.
    Ответ написан
  • Как подключать удаленных пользователей через VPN правильно?

    @Yumashka
    Динозавр
    Мысль 1: с OpenVPN все ок. Я сам сижу на удаленном компе в 1920x1080x16бит, дискомфорта не ощущаю, иногда наглею до 32 бит. Все ок.

    Мысль 2:
    У меня на удаленке через OpenVPN+RDP сидит всего более 50 человек, одновременно подключены 20-30. На разрешениях от 1366x768 до FullHD (они включают полный экран, поэтому все зависит от того, какой у них ноут или монитор). Дискомфорт только у тех, кто сидит через откровенно отвратный интернет и только на некоторых приложениях (Adobe Reader, например, когда присылают сканированные PDF).
    Настраивали все всё сами по розданным инструкциям + файл конфига. Даже разные обычные офисные работники, обычные секретарши и преподы-гуманитарии. Главное инструкцию написать и послать людям все нужные файлы. Файл конфига посылается в почту в зашифрованном архиве. Пароль на архив отправляется на телефон смской.

    Мысль 2б:
    Если бы у людей не было кучи хлама на дисках D: я бы всех посадил на терминальный сервер. Тем более, что он есть с нужным количеством лицензий. У всех пермещаемые профили и домашние папки на сервере замэплены на X: . Но народ не учится, даже на примере одной несчастной, у которой шифровальщик унес в небытие 10 гигов хлама на D: за 10 лет работы. Да, у меня работает KES с центральным управлением, но это был zero-day и опилки в голове у юзера, несмотря на регулярный инструктаж.

    Мысль 3:
    Так как юзеры сидят с домашних компов, где они боги и цари (в отличие от офисов, где у них все порезано), то теоретически возможна атака на всю сеть с любого удаленного компа. Поэтому схема VPN+RDP не слишком кузявая. В-общем, сплю я неспокойно.

    Мысль 3б:
    Чтобы затянуть гайки следующим этапом для каждого vpn-юзера на openvpn-сервере делается файл в папке staticclients (там для каждого и так есть файл, как контроль, кто может подключаться, а кто нет), куда прописывается заданный адрес. А в правилах фаейрволла прописывается, что доступ с определенного vpn адреса разрешен только на определенный IP внутри сети (на комп пользователя).
    И дополнительно на всех компьютерах удаленшиков включаем SRP.

    Мысль 3в:
    (пока думаем и взвешиваем) Следующим этапом раздаем всем удаленщикам пакет для установки на домашний комп KES+агент. Хотя бы некоторый контроль на их компами.
    Ответ написан
    Комментировать