• Миграция, бекапы - сколько нужно дисков для схд?

    athacker
    @athacker
    1 диск вообще ни в коем случае нельзя делать. Минимум по 2, в RAID.
    Ответ написан
    Комментировать
  • Ка написать правило ipfw для rspamd?

    athacker
    @athacker
    Ну из это ошибкии вообще никак не следует, что файрвол тут при делах :-)
    Ответ написан
    Комментировать
  • Паника ядра, что делать?

    athacker
    @athacker
    Попробуйте сделать fsck для файловой системы, и затем заменить те бинарники, у которых размер 0, на аналогичные из дистрибутива.
    Ответ написан
    6 комментариев
  • Вывод esxi хостов в отдельный VLAN, нужно ли?

    athacker
    @athacker
    Во-первых, VLAN -- он по определнию не физический :-) Как вы понимаете, название "VIRTUAL LAN" нам как бы об этом намекает :-) Физический канал всё равно делится поровну между клиентами, независимо от того, есть у вас деление на вланы или нет.

    Во-вторых, Ваш коллега отчасти прав. Но только отчасти. Сегментация сети действительно даёт больше возможностей контроля, и да, стоит разделить сеть на вланы. Причём не только гипервизоры вынести в отдельный VLAN, а вообще сети разделить. Чтобы управление vSphere -- в одном влане, storage-трафик -- в другом, трафик виртуальных машин -- в отдельных VLAN'ах. у вас же виртуалки не одной задачей занимаются, а разными? Соответственно, их нужно сгруппировать и рассадить по вланам. Веб-сервера -- одна сеть, бухгалтерские сервера с 1С -- в другой сети, контроллеры домена -- в третьей. И контроль на на маршрутизатор, чтобы с веб-серверов, доступных через интернет, нельзя было зайти на сервер бухгалтерии, равно как и наоборот.

    Клиентов тоже поделить по группам/отделам, и каждый отдел -- в свой VLAN. С раздачей прав доступа, кому куда можно, а куда нельзя.

    В идеале, сеть должна быть как можно сильнее сегментирована, и должен быть запрещён любой доступ между хостами, кроме явным образом разрешённого. Есть даже такой термин -- микросегментация. Там хосты даже в рамках одного влана могут друг с другом общаться только по явным образом разрешённым протоколам и портам, а вся остальная коммуникация между ниим запрещена. Но микросегментация -- это не ваша история, это всё реализуется решениями типа VMware NSX или Cisco ACI, т. е. это уже для больших дядек.

    Да, и файрвол ESXi можно настроить, но лучше пользоваться более подходящими средствами для этого -- файрволами на маршрутизаторах. Т. е. делим сеть на подсети с помощью вланов и маршрутизации, и настраиваем правила хождения трафика между подсетями файрволом на маршрутизаторе.
    Ответ написан
    3 комментария
  • Что необходимо для поднятия сервера с виртуальными серверами?

    athacker
    @athacker
    Обратитесь к специалистам. Судя по вопросу, уровень владения сетевыми технологиями у вас недостаточен, чтобы делать подобные вещи. Очень сильно недостаточен.
    Ответ написан
    1 комментарий
  • Как убрать синий экран KERNEL_DATA_INPAGE_ERROR volmgrx.sys?

    athacker
    @athacker
    Всё может быть. В любом случае, проблема где-то с железом. А где конкретно -- вопрос тёмный. Тут только метод диагностических замен компонентов поможет. Если есть возможность взять БП помощнее на время -- попробуйте махнуть блок питания.
    Ответ написан
    Комментировать
  • Нужно ли ограничивать права на папку, куда заливаются фотографии, которые проверяются на допустимые расширения? И если да, то почему?

    athacker
    @athacker
    Разрешения выставлять надо обязательно. Расширение файла никакой роли не играет, исполняемым можно сделать любой файл, хоть .jpg, хоть .png, хоть .exe -- без разницы.

    Ну и при заливке проверять лучше не только расшираение, но и формат файла. Чтобы это точно был графический файл, а не скрипт или бинарный исполняемый файл.
    Ответ написан
  • Подмена содержимого сайта. Куда копать?

    athacker
    @athacker
    Строчки в .htaccess -- это редирект с HTTP на HTTPS. Это легитимные строчки, короче, ко взлому не имеют отношения.
    Ответ написан
    1 комментарий
  • Как пробросить порты с vds через ovpn канал на домашний pfsense для получения статического ip для домашних серверов?

    athacker
    @athacker
    Какие конкретно сайты перестают работать? VPN у вас работать продолжает, т. к. иначе, заходя на IP VDS-ки, ваши сайты работать переставали бы.

    Вам default gateway реально в туннеле нужен? Т. е. есть клиенты, для которых вы планируете весь трафик заворачивать в туннель? Если нет, то push "redirect-gateway def1" стоит убрать, равно как и отдачу настроек DNS. И прописать только конкретные нужные маршруты.

    Также, исходя из правил следует, что вы зачем-то делаете DST NAT в IP pfSense, а не в IP домашнего сервера. Получается, у вас будет четверной NAT -- DNAT в 10.0.0.6, потом SNAT в 10.0.0.1, потом pfSense ещё раз будет делать DNAT и SNAT? Это лишнее. Пропишите в маршрутах OpenVPN, что за pfSense есть ещё одна сетка, и настройте DNAT-правило, чтобы проставлялся сразу IP сервера, а не pfSense.
    Ответ написан
    6 комментариев
  • Как сделать отдельный dns-ответ для хоста, на котором крутится dns-сервер?

    athacker
    @athacker
    Не очень понятно, зачем вообще роутеру пинговать чего-то для определения IP, если он и так прекрасно знает, какой адрес ему выдали :-) Проще прописать всё в HOSTS, а скриптом анализировать адрес на внешнем интерфейсе. Если там серый, то переподключаться до тех пор, пока не станет белым.

    Но если там реально начали серые адреса появляться, готовьтесь к тому, что скоро они все серыми станут. Вероятнее всего, провайдер решил монетизировать белые IP-шники, т. е. в скором времени они будут выдаваться только по прямым запросам и за деньги.
    Ответ написан
    Комментировать
  • Как организовать СХД для домашнего сервера?

    athacker
    @athacker
    Коллеги правильно говорят.

    СХД -- оборудование специфическое, и довольно дорогое. За 25 тысяч рублей её не купишь :-) Если брать БУ, то во-первых -- она уже будет снята с поддержки, а отсюда малейший чих оборудования, и вся система превращается в тыкву. Во-вторых, диски в СХД абы какие не воткнёшь. Только те, которые выпускались конкретно под эту СХД. Это дорого, и для БУ-шных систем скорее всего не найдёшь. Обычные произвольные диски, даже enterprise grade, в СХД работать не будут.

    Помимо всех прочих соображений, подумайте, куда её ставить и как подключать. Т. к. промышленные СХД -- железки довольно большие, шумные и электричества потребляют порядком.

    Так что если вас не устраивает система всё в одном, и непременно хочется вынести хранение на отдельную железку, то тут только самосбор и софтверные решение. FreeNAS, ESOS, руками собрать всё то же самое на Linux или FreeBSD -- в зависимости от вашей квалификации. Ну и плюс к этому -- тогда не имеет смысла брать 2U шасси с 8 отсеками под LFF диски, лучше взять 1U сервак. Дешевле обойдётся, меньше места занимает, меньше электричества съест. Хотя шумнее, конечно. Типа такого.

    Литература -- документация по соответствующим софтверным системам. Ещё можно Nexenta глянуть. Она тоже, как и FreeNAS, работает на фряхе. Раньше бесплатная community edition была, правда, с ограничением по объёму. Сейчас не знаю, как там дела обстоят, давно не интересовался.
    Ответ написан
    Комментировать
  • Как работать с Файрволом?

    athacker
    @athacker
    Виндовый файрвол как раз довольно примитивен, и запретить доступ для конкретной программы там достаточно просто. Другой вопрос -- что конкретно считать программой, и что конкретно -- "Сетью". Программа тянет за собой библиотеки, или может запускать дочерние процессы из соседних исполняемых файлов. И запретив доступ "программе" (т. е. конкретному исполняемому файлу) вы совсем не факт, что доступ реально оторвёте, т. к. для сетевых операций эта программа может запускать какую-то другую программу.

    А что такое "Сеть"? Интернет? На любом компе, где есть интернет, есть и локальная сеть (ну, кроме случаев, когда у вас модем напрямую в комп по USB воткнут). В локалку тоже хождение запрещать? А если у вас ещё какой-нибудь VPN поднимается? А если сетевых адаптеров более одного, как это часто бывает даже в домашних машинах (провод + WiFi)? Тогда как*

    Получается, дело в том, что это не такая уж простая и очевидная операция -- "разрешить или запретить программе доступ в Сеть", не так ли? Очень много параметров влияет.
    Ответ написан
    7 комментариев
  • Как соединить 2 mikrotik через L2TP over IPSEC?

    athacker
    @athacker
    Микротик указан как шлюз по умолчанию для своих клиентов? В IPsec анонс сетей со стороны Zyxel'ей прописан?
    Ответ написан
  • Может ли свич работать если по логам он отключен?

    athacker
    @athacker
    У вас микротик как клиент не цепляется к беспроводке, чисто случайно? А то если он цепляется к одной из точек как клиент (что малость необычно), и собран в мост с проводными портами (что обычно и настроено по дефолту), то петля может иметь место быть. Отсюда и такое поведение портов -- включение/отключение.
    Ответ написан
  • VPN между двумя офисами с помощью Strongswan, как реализовать?

    athacker
    @athacker
    Строго говоря, в IPsec маршрутов как таковых не видно. Всё описывается в SA. Т. е. вызвав ip route print на микроте или netstat -rn на opnSense, маршрутов вы не увидите.

    Для IPsec определение, чего заворачивать в туннель, а чего просто маршрутизировать (мимо туннеля) происходит на основании настроек leftsubnet/rightsubnet (это в терминах StrongSwan, в других пакетах это по-другому называется).

    Ну и в отрыве от вопроса -- не рекомендовал бы вам IPsec на микротах строить. Туннели часто виснут.
    Ответ написан
    Комментировать
  • Нужен хардкорный nas. Идеи есть?

    athacker
    @athacker
    Хочется консоли -- купите старый сервер, и на нём жгите, что хотите. Хоть линухи с mdadm, хоть фряху с ZFS. HP DL360 G5 или G6 -- ваще огонь техника. G5 можно тысяч за 15 найти.
    Ответ написан
    Комментировать
  • Как защитить сайт и сервер?

    athacker
    @athacker
    Acunetix --это, конечно, сканер безопасности, но к этой ситуации он никакого отношения не имеет. Просто враги пытаются маскировать свою зловредную деятельность. Пума Тайланд прав -- надо патчить уязвимости (ну или как минимум обновить друпал).
    Ответ написан
    Комментировать
  • Какое железо будет оптимально под сервер в автомобиль?

    athacker
    @athacker
    Если хочется "всерьёз и надолго", то есть Intel NUC, например. Это достаточно производительная железка, плюс внутре у неё неонка есть отсек под 2.5" диск, есть M2.

    Если NUC не по бюджету, то у кетайцев есть всякое вот такое в широчайшем ассортименте.
    Ответ написан
  • Какой протокол и сервер-софт для VPN выбрать?

    athacker
    @athacker
    На винде набор нативно поддерживаемых VPN протоколов невелик. PPTP, L2TP+IPsec, SSTP. Собственно, всё. В андроиде (8-ом, во всяком случае) поддерживаются из коробки протоколы PPTP, L2TP+IPsec, плюс несколько вариантов чистого IPsec.

    PPTP с шифрованием на андроиде у меня не взлетел. Там шифрование реализуется совместным модулем компрессии и шифрования MPPC+MPPE (хотя по структуре протокола это два разных уровня должны быть). В целом оно работает, но на связке mpd5 и андроидом у меня не завелось. Плюс PPTP -- его легко настроить. Минус -- он не считается по современным меркам защищённым протоколом.
    Ответ написан