Задать вопрос

chifth

Ответы

  • Как настроить работу dnsmasq в роли DHCP-сервера в сети с контроллером домена?

    @chifth
    Возможно, кому-то пригодится. Мой конфиг dnsmasq.conf для следующей архитектуры:
    Gateway - роутер на OpenWRT (DNS, DHCP)
    SE-DC - ПК на Windows Server 2019 (контролер домена БЕЗ служб DNS-сервер, DHCP-сервер)
    Домен - dc.domain.com (в даном примере).
    Подредактируйте имя ПК в конфиге под свой домен. Особенно там где его GUID используется.
    Конфиг писал с помощью гугла. Буду благодарен если кто-то знающий исправит\дополнит\объяснитю

    Конфиг /etc/dnsmasq.conf
    # Change the following lines if you want dnsmasq to serve SRV
# records.
# You may add multiple srv-host lines.
# The fields are <name>,<target>,<port>,<priority>,<weight>

#Domain
domain=dc.domain.com

#Time Update Server
#address=/time.windows.com/192.168.123.2

#For Win7 and later 
#dhcp-option-252,"\n"

#Banned Hosts
#addn-hosts=/etc/banned_hosts

# IF AD DNS be also Used (transfer requests from zone to ip)
#server=/dc.domain.com/192.168.123.2

#Locan domain name if WIN-disabled
local=/dc.domain.com/

#DNS Servers List
server=/123.168.192.in-addr.arpa/192.168.123.1
#server=/192.168.123.in-addr.arpa/192.168.123.2

#---------------------------------------------------------------
# REGISTER CNAME TXT
#---------------------------------------------------------------

#For this type of registration you need in 
# file /etc/hosts something like this:
# 192.168.123.15 troll.dc.domain.com troll 
# and then here write:
# cname=ALIAS,REAL_NAME

#cname=controller.dc.domain.com,SE-dc.dc.domain.com
#cname=rdp.dc.domain.com,SE-rdp.dc.domain.com
#cname=fileserver.dc.domain.com,SE-fs.dc.domain.com
#cname=mail.dc.domain.com,SE-mail.dc.domain.com
#cname=fs.dc.domain.com,SE-FS.dc.domain.com
cname=dc.dc.domain.com,SE-DC.dc.domain.com

#-------------------------------------
# MX RECORDS
#-------------------------------------

#Return MX mail.dc.hist to PC named SE-mail.dc.hist with priority 10
#mx-host=dc.domain.com,mail.dc.domain.com,10

#Default MX with localmx option
#mx-target=mail.dc.domain.com

#Return MX, which pointed to mx-destination for ALL local PCs
#localmx

#---------------------------------------
# TXT RECORDS
#---------------------------------------

#TXT records. Also we can write SPF here
txt-record=dc.domain.com,"v=spf1 a -all"
txt-record=dc.domain.com,"Wellcome to The Dark Side"

#=============================================================

#Range of IP Addresses for servers, etc,
#dhcp-range=192.168.123.10,192.168.123.30,24h

#MAXimum DHCP-Leases. Default 150
#dhcp-lease-max=222

#IPv6 Range
#dhcp-range=1234::, ra-only

#RANGE OPTIONS

#dhcp-option=1,255.255.255.0 #NETMASK
#dhcp-option=3,192.168.123.1 #GATEWAY
#dhcp-option=6,192.168.123.1 #DNS Servers
#dhcp-option=15,dc.domain.com #DNS Domain name
#dhcp-option=19,1 #option IP-forwarding ON
#dhcp-option=28,192.168.123.255 #BROADCAST
#dhcp-option=42,192.168.123.1 #NTP time server

#dhcp-option=40,DC #NIS Domain name
#dhco-option=41,192.168.123.2 #NIS Server
#dhcp-option=44,192.168.123.2 #WINS
#dhco-option=45,192.168.123.2 #NetBIOS Server
#dhcp-option=73,192.168.123.2 #Finger Server
#dhcp-option=46,8 #NetBIOS Node
#dhcp-authoritative #IF THIS DHCP IS ONLY ONE IN Network

#------------------------------------
# LOGGING   tail -f /var/log/syslog o journalctl -f
#------------------------------------

#log-queries

#-------------------------------------------------
# REGISTER A and SRV for Active Directory
#-------------------------------------------------

#-------------------------------------------------
# Windows AD | _msdcs.dc.domain.com | Zone
#-------------------------------------------------

#-->root
cname=430732cb-e159-4333-87d1-6cea750f5b25._msdcs.dc.domain.com,SE-DC.dc.domain.com
#-->root\dc
	#-->root\dc\sites
		#-->root\dc\sites\Default-First-Site-Name
			#-->root\dc\sites\Default-First-Site-Name\tcp
			srv-host=_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.dc.domain.com,SE-DC.dc.domain.com,88,0,100
			srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.dc.domain.com,SE-DC.dc.domain.com,389,0,100
	#-->root\dc\tcp
	srv-host=_kerberos._tcp.dc._msdcs.dc.domain.com,SE-DC.dc.domain.com,88,0,100
	srv-host=_ldap._tcp.dc._msdcs.dc.domain.com,SE-DC.dc.domain.com,389,0,100
#-->root\domains
	#-->root\domains\27b71e15-e809-4875-aa12-cd7575e3f3ab
		#-->root\domains\27b71e15-e809-4875-aa12-cd7575e3f3ab\tcp
		srv-host=_ldap._tcp.27b71e15-e809-4875-aa12-cd7575e3f3ab.domains._msdcs.dc.domain.com,SE-DC.dc.domain.com,389,0,100
#-->root\gc
address=/gc._msdcs.dc.domain.com/192.168.123.2
	#-->root\gc\sites
		#-->root\gc\sites\Default-First-Site-Name
			#-->root\gc\sites\Default-First-Site-Name\tcp
			srv-host=_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.dc.domain.com,SE-DC.dc.domain.com,3268,0,100
	#-->root\gc\tcp
	srv-host=_ldap._tcp.gc._msdcs.dc.domain.com,SE-DC.dc.domain.com,3268,0,100
#-->root\pdc
	#-->root\gc\tcp
	srv-host=_ldap._tcp.pdc._msdcs.dc.domain.com,SE-DC.dc.domain.com,389,0,100

#-------------------------------------------------
# Windows AD | dc.domain.com | Zone
#-------------------------------------------------

#-->root
	#-->root\sites
		#-->root\sites\Default-First-Site-Name
			#-->root\sites\Default-First-Site-Name\tcp
			srv-host=_gc._tcp.Default-First-Site-Name._sites.dc.domain.com,SE-DC.dc.domain.com,3268,0,100
			srv-host=_kerberos._tcp.Default-First-Site-Name._sites.dc.domain.com,SE-DC.dc.domain.com,88,0,100
			srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc.domain.com,SE-DC.dc.domain.com,389,0,100
	#-->root\tcp
	srv-host=_gc._tcp.dc.domain.com,SE-DC.dc.domain.com,3268,0,100
	srv-host=_kerberos._tcp.dc.domain.com,SE-DC.dc.domain.com,88,0,100
	srv-host=_kpasswd._tcp.dc.domain.com,SE-DC.dc.domain.com,464,0,100
	srv-host=_ldap._tcp.dc.domain.com,SE-DC.dc.domain.com,389,0,100
	#-->root\udp
	srv-host=_kerberos._udp.dc.domain.com,SE-DC.dc.domain.com,88,0,100
	srv-host=_kpasswd._udp.dc.domain.com,SE-DC.dc.domain.com,464,0,100
	#-->root\DomainDnsZones
	address=/DomainDnsZones.dc.domain.com/192.168.123.2
	#-->root\DomainDnsZones\sites
		#-->root\DomainDnsZones\sites\Default-First-Site-Name
			#-->root\DomainDnsZones\sites\Default-First-Site-Name\tcp
			srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.dc.domain.com,SE-DC.dc.domain.com,389,0,100
	#-->root\DomainDnsZones\tcp
	srv-host=_ldap._tcp.DomainDnsZones.dc.domain.com,SE-DC.dc.domain.com,389,0,100
	#-->root\ForestDnsZones
	address=/ForestDnsZones.dc.domain.com/192.168.123.2
	#-->root\ForestDnsZones\sites
		#-->root\ForestDnsZones\sites\Default-First-Site-Name
			#-->root\DomainDnsZones\sites\Default-First-Site-Name\tcp
			srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.dc.domain.com,SE-DC.dc.domain.com,389,0,100
	#-->root\ForestDnsZones\tcp
	srv-host=_ldap._tcp.ForestDnsZones.dc.domain.com,SE-DC.dc.domain.com,389,0,100
    Ответ написан
    Комментировать
    Комментировать

  • GPO. Как убрать значок поиска и оставшиеся плитки из меню "Пуск" Windows Server 2012R2?

    @chifth
    Редачить реестр через групповые политики пробовали?

    Я так настраивал панель задач
    Ответ написан
    1 комментарий
    1 комментарий

  • Если открыт весь 22 порт, безопастно ли запускать сервер в интернет?

    @chifth
    Открытые порты наружу это всегда опасно. Но если хорошо защитить - то можно обойтись и без ВПН.
    Поищите fail2ban - поможет от ботов-брутфорсеров.
    Ну или авторизация только по ssh-ключу. Тогда порт будут ломать, но не сломают никогда :)
    Ну или ещё можно port knocking сделать.
    Ответ написан
    Комментировать
    Комментировать

  • Что за программа в автозагрузке Windows 10?

    @chifth
    Ну возьмите например Auslogics boost speed или CCleaner и посмотрите автозагрузку. Может это вообще скрипт?
    Ответ написан
    Комментировать
    Комментировать

  • Как поставит Windows 7 на новые ноутбуки Asus?

    @chifth
    Попробуйте сборки от SmokieBlahBlah. Там есть фишка установки 7 винды на новые процессоры
    Ответ написан
    1 комментарий
    1 комментарий

  • Как создать репозиторий с софтом на флэшке или в папке (инсталляшки)?

    @chifth
    Если нужно 100% покрытие вашего вопроса - пишите скрипты которые будут проверять дату файла по ссылке. Пихайте в Cron, и пусть крутится каждые 12 часов.

    Вариант попроще - скрипт скачки запустить один раз вручную когда надо. Но в любом случае надо найти постоянные динамические ссылки. Или софт типа того же portable apps.

    Ну или выкачивайте WPI периодически :)

    Хотя лично моё мнение - если на компе нет инета - поставить что есть. Все равно никто обновлять не будет (или само обновится, например хром). Я ещё не видел простых людей, которые бы обновляли условный WinRar 4.20 до 5.10. работает - и ладно.

    Лично мой опыт:
    - сервер или облачный диск с копией флешки + разный доп.софт
    - сама флешка с самым важным софтом и виндой.

    // К Portable apps у меня личная неприязнь. Но для себя в связке с синхронизацией OneDrive и рабочего стола - вполне неплохой вариант
    Ответ написан
    Комментировать
    Комментировать

  • Как понять, что провайдер намеренно ограничивает скорость соединения, и как с этим бороться, если нет альтернативы?

    @chifth
    Написал целую простыню, но случайно закрыл вкладку, поэтому буду краток:

    Речь о 4G, тоесть мобильный интернет. А значит чувствителен к перегрузкам по числу абонентов и рельефу/помехам. Ну и коллечество вышек....

    Не факт что оператор завёл в посёлок 10гбит. Но Допустим сумма каналов составляет 10гбит. А колличество абонентов допустим половина от 50 000 населения посёлка. Пусть грубо будет 30 000. (Для удобства).
    Итого в сумме получается 10 000 Мбит на 30 000 абонентов. Или по 1мбит/3чел.
    Представим, что ночью утилизация канала около 10%. Тоесть 10мбит на 3 чел. И пусть в момент времени качает только один. Вот вам и ваша скорость.

    Днём же, или тем более вечером, когда все сидят на диване и листают Инстаграм. Утилизация 30% и одновременно юзают двое из трёх.
    Ваша средняя скорость будет в 6 раз ниже.

    Расчёты далеки от реальности, но смысл думаю понятен. Поверьте, на 4G ещё можно сидеть. А вот на 3G пару сотен абонентов дожать сеть полностью.

    Короче я бы на месте провайдера не заморачивался с обрезанием скорости по часам или типа того.
    Гораздо легче сделать Шейп после например 3ГБ трафика в день. А скорость оставить как есть.
    И именно так и делают почти все операторы. И именно из-за невозможности обеспечить всем абонентам хотя бы 1мбит стабильной скорости операторы и делают фиксированное колличество мегабайт в тарифах. Просто чтобы сеть не легла. А цена тарифов это уже их заработок.
    Но 99% операторов не дадут вам безлимитный
    4Г интернет. А безлимитный на полной скорости - точно никто не даст. Просто потому что это будет смерть для оператора.

    С ночными качальщиками борются шейпом после Х Гб траффика. С стадным трафиком - лимитом мегабайт. Поставьте себя на место оператора и вы делали бы точно так же.
    Ответ написан
    Комментировать
    Комментировать

  • Как сделать USB-сканер сетевым?

    @chifth
    Как уже советовали выше - Blind Scanner.
    На ПК с сканером ставите Server-часть (можно и как службу отметить), тогда даже логиниться не надо.
    На всех остальных ПК ставите Client-часть. В настройках указываете сетевое имя ПК или IP.
    Ниже будет поле выбора сканера. Ну и ещё пара настроек.

    Сервер активации не требует. Клиент - требует.

    Юзаем в офисе. Очень простое и лёгкое решение.
    Ответ написан
    3 комментария
    3 комментария

  • Веб и сайты адобе?

    @chifth
    Человек покупает у вас результат работы (т.е. сайт). Каким способом вы его делали это уже только вам известно. Откуда заказчику знать? Может вы попиксельно в paint рисовали?

    Даже если каким-то чудом к нему занесёт какого-то инспектора - он может только перенаправить его к вам. И вот тогда уже всё в ваших руках. Если проверка придёт к вам и станет проверять ПО и лицензии - можете получить штраф.
    Но шанс именно такого стечения обстоятельств настолько мал, что всем просто наплевать. Когда-то на Ютубе видел видео айтишника, которого уличили в установке питерского ПО на суму около 2000$ (типа заказчик-ловушка). Так вот, был назначен суд, но ни Майкрософт ни Adobe ни другие вендоры даже не отозвались на письмо-извещение).
    Я к тому, что крупным компаниям +- одна лицензия - капля в море и они даже дёргаться не станут. Даже в случае доказанного нарушения.

    Вот если сумма ущерба уже несколько миллионов - тогда другое дело. Тогда уже штраф должен окупить и судебные расходы, и адвокатов и работу инспекторов в том числе.
    Поэтому если т.н. "виновник" вообще не в состоянии платить за весь этот банкет - никто к нему никогда не придёт. Ну разве что по какой-то жалобе отдельного человека которого обидели. Да и то вряд ли :)

    По собственному опыту скажу что проверку видел только один раз. Пришли по наводке (на крупную фирму). Не досчитались только пару десятков лицензионных наклеек на системниках в главном офисе (из овер10000 ПК по всех филиалах). Выписали небольшой штраф и обязали купить лицензии. Всё. Даже компьютеры не включали.

    Так что если у вас пиратского софта менее, чем на 5к зелени - я бы не волновался.
    Ответ написан
    Комментировать
    Комментировать

  • Как правильно "обрезать" некоторые IP из глобальной маршрутизации VPN OpenWRT?

    @chifth Автор вопроса
    Решил проблему костылём: Отключил автостарт интерфейса и прописал его запуск через 120секунд после старта системы в rc.local

    sleep 120
ifup vpn
    Ответ написан
    Комментировать
    Комментировать

  • Какую материнскую плату выбрать(маленькая, с встроенным CPU, и поддержкой RAID) для домашнего NAS?

    @chifth
    Покупайте что-то из предложенного выше, ставьте например FreeBSD, настраиваете софтовый raid-z \ raid-z2 и всякие сервисы в контейнерах через cbsd.
    Погуглите. Занимательное дело.
    Я так себе из говна и палок сделал raid6 с 10-ти винчестеров. Была ситуация что отвалились сразу 2 винчестера. Но фильм мы досмотрели без проблем
    Ответ написан
    Комментировать
    Комментировать

  • RDP доступ конкретным пользователям только из локальной сети?

    @chifth
    Как строить сеть - это конечно ваш выбор, но сейчас у вас очень опасный сетап.

    Конкретно по вопросу:
    Я так понял что вам надо чтобы был доступ Всем из локалки, и Некоторым из интернета (при том чтобы из локалки они могли зайти).
    Штатно средствами RDP такое не сделать, там нет никаких настроек касательно доступа из конкретного места.
    Зато такое есть в Remote Desktop Gateway. То есть это такой себе сервер, который должен стоять на границе интернета и локалки, и пускать в локалку по логину/паролю юзера. Вот тут вы и сможете выбрать конкретную группу юзеров, которым разрешена авторизация. Остальные не смогут авторизоваться, а значит и в локалку к RDP серверу не попадут извне.
    Ответ написан
    Комментировать
    Комментировать

  • Есть ли смысл учить wordpress в 2020?

    @chifth
    PHP умирает. Ага. А то как же ...
    Вместе с "Виндекапец" и IPv4.
    Соглашусь с предыдущими ораторами: учите то что нужно сейчас вам. Хотите брать заказы на ВордПресс - учите. Хотите java - учите.
    На РНР очень много систем написано. Без работы не останетесь точно. Те же магазины или плагины к CMS.
    Ответ написан
    Комментировать
    Комментировать

  • Как работает WAN порт?

    @chifth
    Прошить OpenWRT на этот туполинк и будет норм :)
    Там вам и консоль, и iptables, и логи
    Ответ написан
    7 комментариев
    7 комментариев

  • Как отправить интернет другу по локальной сети провайдера?

    @chifth
    Если у вас на роутере OpenWRT и соседский ПК вы можете достать на любом порту - поднимите Wireguard туннель на ваших роутерах. Он быстрее чем Open VPN. Да и конфигурация не слишком сложная.
    У соседа настройте чтоб весь трафик шёл в туннель. У себя настройте правило фаервола чтобы трафик из туннеля шёл в порт провайдера.
    Ну или поднимайте прокси у себя, а соседу - proxifier на все соединения (на ПК). Но это топорный и грубый вариант.
    Пробросить туннель - более изящное решение.
    Ответ написан
    Комментировать
    Комментировать

  • Нужен ли VPN обычному пользователю?

    @chifth
    В вашем случае - трата не обоснованная.
    Если бы была обоснованная, то вы бы точно знали зачем оно вам и точно умели ты настраивать хотя бы базовый OpenVPN.
    Со сбором персональных данных успешно может бороться и плагин для браузера/браузер/фаервол на маршрутизаторе.
    Впн же, нужен только тогда когда вы 100% знаете что без него вам никак не сделать задуманное (торрент, запрещённые сайты, хакерство, обход блокировок, связать дом и дачу, и т.д... ).
    Покупать VPS (а тем более VPN) только чтобы защитить персональные данные - это нонсенс. Никто не даст гарантии что впн сервис не собирает информацию о вас тайком...
    Ответ написан
    1 комментарий
    1 комментарий

  • Минимальный linux дистрибутив для использования office и skype?

    @chifth
    Win XP by Zab :)
    Да, браузеры новые уже не поддерживают, но зато система летает.
    Чистый жрёт после запуска всего <50МБ ОЗУ.
    С драйверами видео возможно чуток больше.
    Ответ написан
    Комментировать
    Комментировать

  • Как получить доступ к разным устройствам в локальной сети из внешней по 1 ip адресу?

    @chifth
    Если простенько и со вкусом:
    - Ставим OpenWRT на маршрутизатор
    - Настраиваем проброс портов к камерам
    - Настраиваем фаервол по типу (не больше 5 новых подключений в сутки на порт камеры)
    - Вех кто ломится на стандартные порты - вообще бан на сутки по первому же поводу.
    - Ставим нормальные пароли на камеры

    Главное не выстрелить себе в ногу
    Ответ написан
    4 комментария
    4 комментария

  • Какое оборудование Mikrotik выбрать?

    @chifth
    Если есть возможность сделать с нуля - всё просто:
    - Там где можно проложить кабель вместо WiFi - так и делайте.
    - Где провели один кабель - проведите два!
    - Серверная подальше от спальни
    - На вход подойдёт что угодно, куда можно прошить OpenWRT. (Там вам и защита, и балансировка и свистоперделки на любой вкус). А дальше гигабитный свитч (или даже 10, если кабель cat6).
    Ответ написан
    2 комментария
    2 комментария

  • Почему nginx на Windows имеет задержку в 1 секунду?

    @chifth Автор вопроса
    Вот так всегда. Только сформулировал вопрос - нашлось объяснение. 
    http://qaru.site/questions/259806/php-to-easyphp-mysql-server-1-second-connection-delay

    Короче задержка из-за того, что MySQL сначала ищет IPv6 адрес localhost, а потом (тайм-аут 1 сек.) - ищет IPv4.

    Помог комментарий "в скрипте указывать сервер MySQL не localhost, a 127.0.0.1".

    Вроде бы так делать опасно (судя по статье), но мне помогло. Response сократился до 60-100 мс.
    Может у кого будет такая же проблема - вот вам решение.
    Правда маршрутизации NAT на Windows Server этот совет не поможет. но чувствую что проблема аналогичная.
    Поэтому вопрос все еще открытый: Как правильно вырубить IPv6 на Windows Server, так чтобы он не увеличивал задержку?
    Ответ написан
    Комментировать
    Комментировать