Блог экспериментатора
Неплохо чувак вставил!
Только вот храповые кабельные стяжки я бы не использовал. Ни одна кабельная система не остаётся неизменной, поэтому значительно лучше собирать подобное на ленте-“липучке”. Её значительно проще разбирать и вносить изменения. Здесь же придётся всё срезать и стягивать заново.
Перешёл, наконец, дома на пфСенс вместо Нетгировсого маршрутизатора. Отличная вещь!
Донором для маршрутизатора стала старенькая малоформатная рабочая станция Dell. Для внутренней сети я приобрёл для неё беушную сетевую карточку аж на четыре гигабитных порта. В ней стоят правоверные сетевые чипы Intel PRO/1000, и она прекрасно работает с BSDшным (пфСенс под капотом это мой любимый FreeBSD) драйвером em. Это хорошо тем, что драйвер и чипсет поддерживают 802.1Q, так что если мне захочется заморочиться с VLAN (учитывая наличие китайских камер видеонаблюдения может быть невредно), это легко можно будет сделать.
Одной из первых вещей настроил OpenVPN, дабы моя матушка могла посылать в правильном направлении роскомгестапо и прочих придурков, и заходить в любые нужные ей вебсайты и читать любую информацию без ограничения доступа. А то все используемые ей до этого VPN перестали работать.
Тут меня ждала небольшая засада — по какой-то причине встроенный мастер настройки OpenVPN сервера не создаёт автоматически нужные правила NAT. Внутри дома я использую сеть 172.30.1.0/24, а VPN клиентам раздаю 10.11.12.0/24. Какого-то лешего, правило, позволяющее одним адресам транслироваться в другие, автоматически создано не было. Долго чесал репу, наконец-то, понял. Берите на вооружение, кому надо.
В-общем, изучаю пока, но открылась масса новых возможностей. Надо будет настроить pfBlockerNG, чтобы перехватывать всякую срань ещё до попадания трафика внутрь моей сети и можно будет делать ещё много всякого интересного — например, honeypots — ловить тупорылых хацкеров.
Рекомендую. Пожалуй что, именно этим мы и заменим на работе Cisco ASA. Только, конечно, не бесплатной версией, а за деньги, чтобы была поддержка.
У кого-нибудь есть подтверждения данному событию, помимо поста русского сетевого инженера в Линкд-Ине?
“Профильный сетевой эксперт сообщил, что IT-компания Meraki, купленная в 2012 году Cisco, в одностороннем порядке отключила российских клиентов от облачных услуг, заблокировала проданные в стране, а также находящиеся у физлиц точки доступа, вычисленные по геолокации, и создала там SSID «12345-Sanctions». Представители Meraki, по утверждению эксперта, подтвердили, что это было сделано по решению компании.
Эксперты пояснили, что после удалённого перехвата управления со стороны Meraki на точках доступа была настроена открытая сеть с SSID («12345-Sanctions»), настройки которой позволяют любому пользователю присоединиться и получить доступ в сеть, где установлено устройство.
Причём Cisco/Meraki не только взяли под контроль личные устройства клиентов, а ещё удалили устройства из учётных записей клиентов в своих сервисах и потребовали вернуть их производителю без предварительного уведомления и возврата денег за покупку.”
https://habr.com/ru/news/t/696472/
Санкции санкциями, а в одностороннем порядке превращать уже проданные устройства в кирпичи, причём с созданием конкретной жопы с безопасностью — это серьёзный моветон. Я просто представил себя на месте какого-нибудь русского сисадмина, который не при делах вообще, а теперь бегает по конторе як намыленный.
Слушайте, вот Циска была же нормальной конторой. Но то, что они сотворили со своими фаерволлами следующего поколения FirePower — это же жуть. Они убили продукт. Мы два месяца с их тупой поддержкой не можем добавить простую, на мой взгляд, функциональность “не давать заходить из Китая”.
И я, к сожалению, не одинок в этой оценке. ASA же были отличным продуктом. А систему FirePower они купили на стороне, и попытались встроить в своё железо. Получилось просто буэ.
У кого есть мысли на тему “куда бечь”? На данный момент я всерьёз гляжу на pfSense. Потому что ПалоАльто это круто, но дико дорого. А Фортинет как-то не особо впечатляет.
А вот свитчи, наверное, будем всё же продолжать покупать у них.
Имеем сервер 2012R2 с двумя сетевыми карточками с адресами 192.168.253.20 и 10.20.0.26.
Вот так выглядит таблица маршрутизации:
Т.е. шлюз по умолчанию у нас 192.168.252.1, с метрикой 356, а сеть 10.20.0.0/24 — локальная, и обращение к ней идёт через интерфейс 10.20.0.26, метрика 257.
Теперь вопрос — что должен показывать traceroute до адреса 10.20.0.24?
Разумно предположить, что напрямую — через сетевой интерфейс с адресом 10.20.0.26, сеть-то прямо на линке, да?
АВОТХРЕН.
Трафик до местной сети идёт через шлюз по умолчанию. Мой сисадминский бубен уже лежит частями на полу, но победить это я не смог (а надо).
Ну что, дорогие друзья, во имя Ома, Ампера и Закона Кирхгофа, приступим к обещанному.
Более знающие товарищи попросили кое-что уточнить. В частности, проверить, в каком режиме прицеплена проба осциллографа, и поглядеть на выход инвертера под нагрузкой, желательно 100% активной.
Пробу я подключил в режиме постоянного тока, чтобы ничего не отсекать. В качестве активной нагрузки выступила лампочка накаливания мощностью 25 ватт, которую я с трудом нашёл в своих закромах.
Вот такая вот уютненькая лаборатория до начала измерений. Это пока идёт питание от сети.
Вот вам точно такой же трезубец с активной нагрузкой 25 ватт.
Лаборатория всё такая же уютненькая. Яркость лампочки особо не поменялась.
А теперь сменим подопытного.
Берём ИБП American Power Conversion ES 750.
Подключаем к нему ту же лампочку накаливания на 25 ватт, и вытаскиваем штепсель из розетки:
Вот это другое дело. Оно, конечно, далеко от идеала, но нравится мне гораздо больше, чем эти трезубцы и прочие тайны океана.
Надо ли объяснять, чьи ИБП я буду отныне покупать, а какие — считать полным говном, причём вполне объективно, с приборами.
Вот так выглядит “симулированная синусоида” в исполнении ИБП CyberPower ST900U.
Давненько я такой качественной поросятины не видел. Бедный осциллограф вообще считает, что тут нихрена не 120 среднеквадратичных вольт, как положено, а только 68. Даже удивительно, что от этого как-то может работать техника.
Я не удивлён, если честно. Когда я его разбирал, я увидел, что трансформатор этого инвертора — крошечный, ну, не крупнее, чем моих два больших пальца. Вот, я его красненьким обвёл. То, что сзади — это не часть трансформатора, это радиаторы транзисторных ключей. Этот ИБП без батарейки ОЧЕНЬ подозрительно лёгкий, вот как раз потому, что основной вес инвертору даёт транс. Который тут какой-то совсем детский, блин.
Пила передаёт привет.
Замеряю синусоиду у своих APC. Поглядим-сравним.
Братцы-виртуализаторщики, куды бечь с VMWare ESXI? Как известно, ВМВарь перекупили Бродком, а уж чем Бродком известны, так это тем, что всё, чего они касаются, незамедлительно превращается в говно. Вот они перекупили Симантек Антивирус. Был нормальный, стал говно. Сбежали на Битдефендер.
А теперь, значит, ВМВарь пошла под этот нож. Маленьких клиентов, чувствуется, они пустят под откос.
У нас примерно 100 виртуальных машин в кластере. Не весть какой парк, но всё же.
Я вот сижу думаю про:
ProxmoxVE
Xen
Citrix Hypervisor, но Цитрикс, по моему предыдущему опыту, усрёсся ставить и настраивать.
Нет, HyperV не имеет многих нужных фич.
Ни у кого не было опыта?
Из Лаборатории Касперского сообщают об открытии опасного китайского вируса КосмикСтренд, по всей видимости, китайского, который записан прямо в EUFI на материнской плате. Т.е., по всей видимости, вирус устанавливают прямо на заводе.
С вирусом засветились материнские платы Asus и Gigabyte на чипсете H81. Жертвы наблюдаются преимущественно в Китае, Иране, России, и Вьетнаме.
Учитывая сложность вируса, его тип (это руткит) и способ заражения, не исключу, что этот вирус — государственный китайский, и предназначен для слежки за гражданами Китая китайскими спецслужбами.
Отказала тут у меня флешка, причём в самый ответственный момент, когда я собрался наживлять pfSense. Установочный образ отказался записываться на неё наотруб. Поковырял, поформатировал, попробовал записать файлы. Примерно на второй минуте простой записи файлов флешка сказала, “звиняй хозяин, я всё”, после чего окончательно прекратила монтироваться.
Выкинуть её? А как предварительно стереть с неё всё информацию, если я на неё даже записать ничего не могу? Остаются физические методы. Старый добрый инженерный кувалдометр? Показалось неспортивно.
Закрепил её в пулеуловителе:
После чего расстрелял из мелкана.
Хорошо мелкан работает на флешках!
PS: это у меня первая флешка, которая отказала столь наглым образом. Фирма — Кингстон. Записать-запишу, но обобщений делать не буду. Раньше я любил Лексар, которые потом перекупил Микрон (тоже достойная фирма). А теперь ими владеют китайцы.
Остальные флешки у меня СанДиск, которым вообще-то нынче владеет Вестерн. Но в приципе к ним у меня нареканий никаких, может быть, это у меня только с Вестерновскими магнитными дисками отношения не складываются.
PPS: сочетание тегов “сисадминское” и “огнестрельное оружие” особенно доставляет!!!!