Ответы пользователя по тегу Системное администрирование
  • Ограничение трафика на открытые порты?

    @yaror
    10 лет в мобильном телекоме
    В принципе, если Ваш провайдер готов разделить Ваш канал на два VLAN и настроить в нём QoS таким образом, чтобы каждый VLAN имел некоторую гарантированную полосу, то почему нет?
    Сделать это со стороны провайдера обычно можно, но - лень )

    А ещё есть техническая возможность отсеять DDoS с вашей стороны, однако, для этого придётся либо воспользоваться услугой очистки трафика от провайдера либо специализированной конторы, либо - самый "лобовой" способ - поднять с вашим провайдером BGP + BGP Flowspec.
    Полагаю, коммерческие вопросы обсуждаются обычно отдельно )

    Итак, BGP Flowspec: RFC 5575/7674.
    Если кратко, то BGP Flowspec позволит Вам попросить вышестоящего провайдера даже в автоматическом - важно! - режиме заблокировать входящий трафик, удовлетворяющий некоторым критериям:
    - Source Prefix
    - Destination Prefix
    - IP Protocol
    - Source port/Destination port
    - Packet Length
    и т.д.

    То есть, с помощью стандартного расширения протокола BGP Вы можете попросить Вашего провайдера: "Пожалуйста, не пропускайте в мою сторону UDP-пакеты размерами от 100 до 150 байт с source port из диапазона 1000-2000 и имеющие Source ip address из диапазона 1.2.3.0/24"

    Таким образом - да, трафик, который Вы попросили к Вам не пропускать, умрёт ещё у Вашего провайдера (а может, и у провайдера Вашего провайдера), и Ваш канал перегружен не будет.
    Открытым, конечно, остаётся творческий вопрос "как понять, какой именно трафик следует блокировать" )

    Вероятно, BGP Flowspec есть смысл использовать _совместно_ с разделением канала на два VLAN с гарантированной минимальной полосой: один VLAN для управления и, если понадобится, ручной модификации правил Flowspec, а второй - продуктивный.
    Ответ написан
    Комментировать
  • Смогу ли я работать с juniper после Cisco?

    @yaror
    10 лет в мобильном телекоме
    Да.
    Логика работы та же, чего-то принципиально нового тут не придумать.
    Протоколы те же.
    Плюс, внезапно захочется придушить того, кто придумал синтаксис цисковых настроек.
    Ответ написан
    2 комментария
  • Посредством чего блокирует сайт мой провайдер?

    @yaror
    10 лет в мобильном телекоме
    Поскольку резолвинг DNS происходит корректно, промышленно готовых вариантов остаётся три:

    1. Провайдерский DPI: наверняка он уже есть у всех провайдеров в том или ином виде.
    Логически DPI обычно включается в разрыв линка между ядром и NAT.
    Физически зачастую тоже.
    Кроме обычных шейпинга и подсчёта трафика per-subscriber, там реализован набор ALG (Application Layer Gateway), которые представляют из себя, фактически, прозрачные прокси для типичных протоколов: HTTP, FTP, DNS и т.д.
    Как правило, ALG умеют не только реагировать на определённые значения полей, но и вмешиваться в процесс передачи данных.
    Количество ALG зависит от навороченности DPI; в Procera даже World of Warcraft есть )
    Ну а уж подмена HTTP-страницы - пожалуй, самая используемая функция HTTP ALG.

    2. Наколенное решение раз:
    Описано у none7
    Завести у себя в сети сервер с ip-адресами, совпадающими с Ip-адресами Вконтакта (ну, или NAT'ить все запросы к нему на сервер-заглушку, что примерно то же самое) - вполне себе решение, если надо заблокировать сервис целиком, а не отдельные страницы на нём.
    Но если вдруг ваши политики наберутся дурости у наших, и список блокируемых ресурсов начнёт расти, провайдеры взвоют этот вариант поддерживать )

    3. Наколенное решение два:
    На самом деле, в России есть свой список блокируемых ресурсов (т.н. список Роскомнадзора) с сотнями тысяч URL.

    Выяснилось, что таким количеством записей множество провайдерских DPI попросту давится, поэтому эта задача зачастую решается следующим образом: заводятся отдельные серверы, подключаемые непосредственно к провайдерским BR (Border router'ам).

    Задачи серверов:
    - заглотить список блокируемых ресурсов, выдрать оттуда имена доменов и разрезолвить их в ip-адреса; адресов получается несколько десятков тысяч
    - полученные адреса через OSPF или BGP сливаются в BR. BR - он большой, спокойно держит BGP Full View, поэтому 10-20-50k лишних префиксов для него - капля в море

    Получается, что весь трафик в сторону ip-адресов, на которых находится хотя бы одна заблокированная страница, теперь льётся на эти серверы.
    Казалось бы, фиг какой сервер всё это переварит, но их можно плодить десятками: срабатывает ECMP/Load Balancing на уровне маршрутизации, и трафик размазывается между серверами примерно поровну.

    На самих серверах Linux, а в Linux - squid в transparent mode и iptables )
    Соответственно:
    - tcp port 80 силами iptables отправляется в сквид, где каждый запрошенный абонентом URL ищется в списке блокированных ресурсов
    - в tcp port 443 проверяется SNI чтобы понять, пропускать трафик дальше, или резать к такой-то матери
    - весь остальной трафик (и пинги, угу) пропускается насквозь без изменения
    Ответ написан
    1 комментарий
  • Как отрезать устройство от доступа ко внутренней сети?

    @yaror
    10 лет в мобильном телекоме
    В дополнение к варианту Eugene Khrustalev:
    Предполагаю, что малина сидит не голым задом в интернете, а за каким-то маршрутизатором.

    В таком случае, разумнее всего было бы выселить её в так называемую демилитаризованную зону (DMZ):
    1. Поселить её в отдельный Ethernet-сегмент/VLAN
    2. В этом сегменте:
    2.1. Использовать отдельную серую ip-адресацию
    2.2. Настроить NAT: Destination NAT для входящих и Source NAT для исходящих соединений с малины
    2.3. Запретить любой доступ на сам маршрутизатор, разрешив только транзит трафика
    3. На маршрутизаторе явно разрешить только разрешённые типы трафика:
    3.1. Из внутренней сети в DMZ
    3.2. Из DMZ во внутреннюю сеть (не стоит, но вдруг зачем-то очень надо)
    3.3. Из DMZ в интернет
    3.4. Из интернета в DMZ

    Таким образом, даже при взломе сервера, получении рута и отключения iptables на малине злодей не сможет вылезти оттуда куда попало, поскольку трафик режется на условно неуязвимом для него маршрутизаторе.
    Ответ написан
    6 комментариев
  • PHP: mkdir, почему permission denied при 0777?

    @yaror
    10 лет в мобильном телекоме
    А опечатки нет?
    Права 777 или 0777?
    Должны быть с нулём, в восьмеричной системе )

    Еще, как вариант, может быть, на родительской папке висят какие-то ACL? Что говорит такая команда:
    getfacl <имя-папки-в-которой-Вы-создаёте-подпапку>?
    Ответ написан
    Комментировать
  • "Большой Брат" в офисе, за интернет-трафиком следят. Как можно обойти эту систему?

    @yaror
    10 лет в мобильном телекоме
    Ребята, а давайте зайдём с другой стороны!

    Автор вопроса интересуется, как бы втихаря подсосать интернета у работодателя - у него же не убудет, правда?

    Со всей ответственностью заявляю: не надо так делать.
    И дело не в том, что у конторы интернета убудет.
    Да не убудет, конечно!

    Это вопрос личной гигиены.
    Втыкаться личным ноутбуком непойми в какую сеть - то же самое, что и спать непойми с кем без презерватива. Для обоих участников, кстати.

    Админ сети тоже хорош, конечно: то ли ленив, то ли недалёк, ибо включенный без санкции левый ноутбук в сеть войти не должен был бы. Кстати, средства для контроля трафика сотрудников у него-то есть, но он ими, судя по всему, не пользуется.

    Мои рекомендации автору вопроса:
    - купить 3G/LTE-свисток для торрентов
    - купить планшет/смартфон для соцсетей, и на работе (все ж свои, всё понимаем ) ) держать его в ящике стола
    - на рабочем месте дождаться выдачи _рабочего_ компьютера, и с него заниматься только работой
    Ответ написан
    33 комментария
  • Как полностью подготовить систему к использованию?

    @yaror
    10 лет в мобильном телекоме
    Может быть, глянуть в сторону PXE?
    Вот, например, пошаговая инструкция для Windows 7:
    https://3dnews.ru/626279

    Получается вполне красиво: при первом запуске ПК грузится из сети и подтягивает оттуда же все системные настройки.
    Ответ написан
    Комментировать