Задать вопрос
  • Как проводить коммуникации по фасаду здания?

    A_M
    @A_M
    Основная специализация - системы видеонаблюдения
    В деревянных домах проводка делается в металлорукаве без установки коммутационных коробок. Это вопрос пожаробезопасности, а не эстетики.
    Коаксиал с силовым кабелем не тянут в одной гофре. Это может стать причиной наводок. (плывущие полосы и рябь).
    Серая гофра - редкостная фигня. На улице тянут черную гофру. А в помещениях - оранжевую (low smoke).
    P.S. Гофру можно красить.
    Ответ написан
    Комментировать
  • Что запускается первым?

    в Debian iptables-persistent стартует раньше procps
    в нем не проскочат

    за CentOS не скажу (давно повывелась)
    Ответ написан
    1 комментарий
  • Что запускается первым?

    @mureevms
    В общем случае да. И дело не в другом интерфейсе, а во всем, что за ним, как правило это локальная сеть.
    Но счет идет на доли секунд-несколько секунд - от момента загрузки ядра до срабатывания правила iptables -P FORWARD DROP, если оно есть. И может проявиться только при перезапуске скрипта фаервола или рестарте сервера. К тому же, если скрипт перезапускается, то форвард в ядре уже разрешен предыдущим запуском скрипта, поэтому, такой "финт" отрабатывает только один раз при загрузке системы.
    Если же в дефолт полиси вместо DROP ACCEPT, то и нет особого смысла включать маршрутизацию в ядре после отработки правил фаера. Хотя, это зависит от количества правил и речь там идет о времени, которое необходимо на отработку самих этих правил.
    Ответ написан
    Комментировать
  • Что запускается первым?

    В теории действительно могут пробежать форвард-пакеты до включения iptables, это такой короткий промежуток времени, за который вряд ли можно успеть что-то сделать, т.е. некритично.

    Но можно усугубить: если вы используйте conntrack в FORWARD вместе с правилом

    iptables -I FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    то потенциально возможен случай, когда соединение установится до загрузки iptables, а позже, когда iptables загрузит правила, соединение пойдет по этому правилу. Но ведь это редкость, когда кто-то использует conntrack в FORWARD, да еще и с пропуском всех установленных/связанных соединений. Обычно такое актуально для INPUT у серверов, но уж точно никак для FORWARD.

    Так вот, если у вас все правильно, вы не используйте conntrack с этой конструкцией для FORWARD, по умолчанию политика для FORWARD является DROP, и вы там строго контролируете, что куда в какие стороны по сетям, то нет повода для паники. Все равно все неправомерные соединения дропнутся после инициализации iptables, а время до загрузки iptables вряд ли критично, хотя лучше грузить его пораньше, конечно. Причем это некритично для systemd, например, ибо он параллельный и асинхронный (или для многих других init-систем).

    Других случаев я не придумал.

    В качестве вывода: опуская паранойю и ESTABLISHED/RELATED ACCEPT в FORWARD, атака нереальна.
    Ответ написан
    Комментировать
  • Можете подобрать хорошую книжку по локальным сетям?

    @estoy
    Есть такой интерактивный курс "CCNA 200-120 Routing & Switching 2014", вот там есть все, что тебя интересует, с картинками и практическими занятиями, объясняется все на пальцах и на русском.
    Ответ написан
    Комментировать
  • Как на самом деле передаются биты по сетевому кабелю?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Если это троллинг - то я аплодирую стоя! =)

    ОТВЕТ ТАКОЙ: никто мать его не знает как это работает! Это магия! Реально! Все лишь делают вид, говорят про всякие там модели, среды передачи, но это всё фигня! МАГИЯ!!

    www.youtube.com/watch?v=Hu6MVnwPClA
    Ответ написан
    Комментировать
  • Как организовать доступ к корпоративной почте?

    @donbot Автор вопроса
    Добавил в конфиг exim после begin routers

    message_out_copy_user_domain_com:
    driver = redirect
    unseen
    senders = mail@domain.com
    data = mail2@domain.com


    Заставляет exim копировать все письма, в которых отправитель mail@domain.com, на адрес mail2@domain.com. Последний же автоматически копирует всю входящую почту на user1@domain.com user2 и т. д.
    Ответ написан
    Комментировать
  • Как Вы делаете бекап виртуальных машин в Microsoft Hyper-V Server?

    @technowizard
    В 2008 - с помощью diskshadow и robocopy
    В 2012 - через встроенную Hyper-V replica
    Ответ написан
    Комментировать