Valentin Barbolin

https://github.com/mitchellkrogza/nginx-ultimate-b...

Вполне возможно, надо включить DNAT на сервере что бы все входящие подключения пересылались на роутер.

Но я б сделал по другому. Провайдера подключить в роутер, сервер поставить за роутером. На DHCP роутера в качестве GW указать сервер, если роутер так не умеет, то отключить на нем DHCP и настроить DHCP на сервере. В такой схеме на сервере достаточно одного сетевого интерфейса.

В таком варианте, все запросы от клиента приходят на сервер, маршрутизируются, что надо в VPN остальное на роутер.

Если есть домен, то EAP и Radius.

Если нет домен и не хочется поднимать радиус, то на микроте можна для каждого указать свой уникальный PSK для доступа к wifi.

/interface wireless access-list
add comment=Jayden mac-address=5C:1D:D9:C3:C6:15 private-pre-shared-key=supersecretpasswordexample vlan-mode=no-tag

https://apple.stackexchange.com/questions/180281/w.... Отсюда выходит, что личный VPN безопаснее?

Там же все написано.

iPhone поддерживает несколько протоколов VPN из коробки, эти подключения считаются как "VPN устройства".
Если ты устанавливаеш VPN из маркета, то он будет добавлен в личный VPN.
Это всего лиш особенность реализации на iOS.

А какой VPN безопаснее определяется способом шифрования.

есть в локалке некоторое количество айпишников

Если DHCP то добавить в резервацию что бы адреса не менялись.

Создаем address-list из потерпевших

/ip firewall address-list
add list=allowed_ips address=192.168.1.100
add list=allowed_ips address=192.168.1.101

Добавляем правила в firewall

# Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
/ip firewall filter
add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"

# Block all other internet access for addresses in the 'allowed_ips' list
add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"

## FreePBX
Go to Connectivity > Trunks, and create a new SIP (chan_sip) trunk.
General Settings
• Trunk Name: AsteriskSIPTrunk
Outgoing Settings
• Trunk Name: AsteriskSIPTrunk
• Peer Details:

host=<Asterisk_IP_ADDRESS>
port=<PORT>
type=peer
qualify=yes
disallow=all
allow=alaw
dtmfmode=rfc2833
insecure=port,invite
context=from-freepbx

Incoming Settings
Leave this section blank unless you need specific inbound configurations.

Registration
Leave this section empty because no registration is required when using IP-based authentication.

## Asterisk
Edit sip.conf

[freepbx_trunk]
type=peer
host=<FreePBX_IP_ADDRESS>
port=<PORT>
qualify=yes
disallow=all
allow=alaw
dtmfmode=rfc2833
insecure=port,invite
context=from-freepbx

поднимает туннель ipsec с cisco

Интересно какой IPSEC, т.к. не все туннели разрешают динамически менять IP.

По классике поднимают два туннеля одновременно, а для переключения используют OSPF.

В macOS можно штатно включить переключение между двумя раскладками (USA + 1) через CapsLock

В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
{$NET.IF.IFNAME.MATCHES} = ether1

если надо два интерфейсайса
{$NET.IF.IFNAME.MATCHES} = ether1|ether2

Настроить прокси на виртуальном сервере, завернуть трафик прокси в тунель, и настроить прокси в браузере и дискорде.

Кто-то даже уже придумал как сразу это скрестить)
https://github.com/pufferffish/wireproxy

https://forum.keenetic.com/topic/16257-ipset-dns-%...

посмотреть где есть python
where python3

получаеш пути по которым установлен python, у меня например так

/opt/homebrew/bin/python3
/opt/homebrew/bin/python3
/usr/bin/python3

Потом используеш полный путь
/opt/homebrew/bin/python3 file.py

установить модуль
/opt/homebrew/bin/python3 -m pip install requests

указать какой python использовать по умолчанию
sudo update-alternatives --config python3

https://docs.docker.com/desktop/install/windows-in...

If your administrator account is different to your user account, you must add the user to the docker-users group:

Run Computer Management as an administrator.
Navigate to Local Users and Groups > Groups > docker-users.
Right-click to add the user to the group.
Sign out and sign back in for the changes to take effect.

not from all - ни откого не принимать, по факту никогда не будет работать

не маркированый 1234
32765: from all not fwmark 0x1234 lookup 100500

вообще без меток
32765: from all fwmark 0x0/0xFFFFFFFF lookup 100500

Надеюсь ты в курсе что в wg0.conf можно указать таблицу маршрутизации (Table=100500) для интерфейса WG и не издеваться так над правилами?

Ставим nginx и настраиваем его как прокси.

http {
    upstream backend {
        server primary_server.example.com;  # Основной сервер
        server backup_server.example.com backup;  # Резервный сервер
    }

    server {
        listen 80;
        server_name example.com;

        location / {
            proxy_pass http://backend;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        proxy_read_timeout 10s; # Тайм-аут ожидания ответа от сервера
        proxy_send_timeout 10s; # Тайм-аут на отправку данных к серверу
        proxy_next_upstream error timeout http_502 http_503 http_504; # Условия перехода на резервный сервер
        }
    }
}

1. upstream backend - блокирует определение пула серверов для балансировки нагрузки.
2. server primary_server.example.com - это основной сервер, на который Nginx будет отправлять запросы.
3. server backup_server.example.com backup - это резервный сервер, на который запросы будут направляться только тогда, когда основной сервер недоступен.
4. proxy_pass - используется для передачи запросов к пулу серверов.

на что влияет параметр tsc

Если включить tsc=unstable:
- Игнорируется TSC как источник времени, если он обнаружен как нестабильный.
- Переключение на альтернативные таймеры, которые могут быть более стабильными, но немного медленнее в работе, например HPET или ACPI PMTIMER.

Насколько я вычитал из гугла, это не баг, а следствие кучи технологий сохранения энергии типа динамической частоты, снижения энерго потребления. Процессору, а особенно двум тяжело синхронизировать время и они переходят на другой способ синхронизации HPET, что в свою очередь незначительно понижает производительность. Кстати HPET надо включить в bios (High Precision Event Timer).

В большинстве задач использование HPET снизит продуктивность процессора на 1-3%, для виртуализации это может быть около 10%. Все зависит от систем которые будут использоваться, насколько эти системы критичны к времени, например база данных.

Можно попробовать поиграться с настройками BIOS выключив настройки энегро экономии, разные acpi sleep state, dynamic frequency, C-states або SpeedStep

Возможно есть свежий bios в котором пофиксили проблему. Более свежее ядро linux так же может помоч.