Pull to refresh

Chrome заблокировал TCP-порты 69, 137, 161, 1719, 1720, 1723 и 6566

Reading time 1 min
Views 27K
Information Security *Antivirus protection *Browsers Software


Для защиты от уязвимости NAT Slipstreaming 2.0 браузер Chrome заблокировал доступ к сайтам ещё на семи портах: 69, 137, 161, 1719, 1720, 1723 и 6566.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Comments 33

С новым годом или как прошел 2022 год в облачном провайдере Serverspace

Reading time 6 min
Views 269
Serverspace corporate blog IT Infrastructure *IT-companies Microservices *

Привет, Хабр! Этот сумасшедший год подходит к концу, а новый – уже совсем близко. Поэтому поздравляем вас с наступающим новым годом. В этой статье подводим итоги, делимся статистикой популярности наших локаций и вспоминаем главные фичи и значимые события этого года. 

Мы расскажем, какие были победы и сложности при запуске новых фичей, зачем мы переходим к микросервисам, как отделяли фронт от монолита и как в целом этот год повлиял на нас. В общем, немного похвалим себя и поделимся тем, что ждет дальше. 

Если вы категорически против рекламной информации, вам эта статья не зайдет, здесь мы рассказываем только о себе и своих достижениях за год.

Читать далее
Total votes 7: ↑6 and ↓1 +5
Comments 0

Специалисты изучают, как Skype обманывает файрволы

Reading time 1 min
Views 915
Lumber room
Битва сисадминов и разработчиков Skype продолжается с переменным успехом. Компания Heise Security опубликовала подробную инструкцию для системных администраторов с разъяснением, каким образом P2P-программе Skype удается работать из-за файрвола, вопреки настройкам системы безопасности.

Для этого разработчики Skype используют ряд специальных техник. Во-первых, программа обманывает файрвол, сообщая ему об уже установленном соединении, после чего начинает передачу UDP-пакетов. В заголовках этих пакетов, в отличие от пакетов TCP, содержится информация только об IP-адресе и порте, ничего больше. Во-вторых, для передачи «секретной» информации между собеседниками используется сервер Skype, а потом два ПК устанавливают между собой прямое соединение между UDP-портами, так что файрвол не может его блокировать.

Подобную технику под названием “UDP hole punching” для обмана файрволов используют и другие P2P-программы.
Total votes 13: ↑13 and ↓0 +13
Comments 10

Установка и настройка VPN сервера с биллинговой системой AbillS на Ubuntu 7.10

Reading time 7 min
Views 17K
Configuring Linux *
Наверно всем известно, что ситуация с ценами на интернет в Москве и по России разительно отличается.
Для сравнения в Тольятти (Самарская область) безлимитный доступ на скорости 512кбит/с на месяц обходится в сумму 2300р.
В столице за эту же сумму можно наверно взять уже 20Мбит.

Так вот, как бы это дико не звучало, но я собираюсь, для уменьшения расходов, делиться этим каналом (512кбит/с) еще с несколькими людьми в локальной домовой сети =)

Провайдер дает доступ к интернету через свой VPN сервер.

Юзеры в локалке имеют доступ ко внутригородским ресурсам бесплатно и без контроля трафика.
Во внешку было решено выпускать их через VPN соединение с сервером в локальной сети.

Система была опробована и работает уже почти полгода, нареканий в работе никаких не поступило, все стабильно.

Конфигурация сервера: Pentium III 1000MHz, SDRAM 512Mb

Для уменьшения нагрузки на серве, было решено не использовать сжатие и шифрование, в связи с этим в клиентах требуется дополнительно снять галочку «требовать шифрование» в настройках VPN в Windows

В этой инструкции было решено собрать весь опыт по установке и настройке.
Изначально писал для себя, но думаю общественности тоже может быть полезно.

Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Comments 68

Минусы бюджетных маршрутизаторов на примере Zyxel P334 EE

Reading time 1 min
Views 6.1K
Computer hardware
Недавно я писал о переходе к интернет-провайдеру Онлайм. После полутора месяцев работы впечатления остаются положительными. Разрывов со стороны провайдера пока не наблюдал. Однако хочу поделиться немного негативным опытом установки маршрутизатора. Статья опубликована изначально в моем блоге, но, возможно, хабрасообщество поможет с более правильным решением нижеописанной проблемы, если такое решение вообще есть.

Вначале у меня был подключен лишь один домашний компьютер, и все работало как часы. Когда понадобилось подключить второй, решил купить недорогой простенький маршрутизатор без Wi-Fi и прочих излишеств. Однако поленился почитать обзоры и положился на доброе имя Zyxel — об их продукции слышал всегда только хорошие отзывы. Особенно в плане надежности. Забегая вперед, скажу, что как раз с точки зрения надежности нареканий никаких не возникло. Я купил недорогой маршрутизатор Zyxel P-334 EE.

Так как в Онлайм все настройки TCP-IP автоматические, подключение маршрутизатора должно было быть простейшим — включил и работает. В принципе все так и было.
Читать дальше →
Total votes 44: ↑35 and ↓9 +26
Comments 204

Идея стартапа — кто реализует?

Reading time 1 min
Views 576
Self Promo
Иногда очень хочется скрыть источник, из которого берется какой-либо контент — не обязательно для этого быть злостным пиратом или агентом Аль-Кайеды, достаточно простой конкурентной борьбы между двумя конторами.
как решить вопрос?
Total votes 8: ↑2 and ↓6 -4
Comments 16

Cisco: Порядок обработки пакетов «в сложных конфигурациях»

Reading time 1 min
Views 10K
Cisco *
Регулярно сталкиваюсь с проблемой вспомнить, в какой последовательности
идет обработка пакета в Cisco, соответственно также регулярно ищу сей документ.

Может быть будет полезен кому-то кроме меня:

Пакет Inside−to−Outside
  1. if IPSec then check input access list
  2. decryption − for CET (Cisco EncryptionTechnology) or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. policy routing
  7. routing
  8. redirect to web cache
  9. NAT inside to outside (local to global translation)
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect (Context−based Access Control (CBAC))
  13. TCP intercept
  14. encryption
  15. queueing


Пакет Outside−to−Inside
  1. if IPSec then check input access list
  2. decryption − for CET or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. NAT outside to inside (global to local translation)
  7. policy routing
  8. routing
  9. redirect to web cache
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect CBAC
  13. TCP intercept
  14. encryption
  15. queueing


Извлечено из Cisco Document ID: 6209
Total votes 4: ↑2 and ↓2 0
Comments 3

Windows XP NAT

Reading time 1 min
Views 1.1K
Lumber room
Здравствуйте, хабрааксакалы :) Пытаюсь настроить интернет для общежития, пока не очень. Зная, что на ресурсе полно грамотных людей, прошу помощи в этом нелегком деле. В благодарность обещаюсь написать детальный пост с картинками и HOWTO-шной феерией о проблеме.

Читать дальше →
Total votes 22: ↑11 and ↓11 0
Comments 27

Используем 2+ провайдера (вторая часть)

Reading time 5 min
Views 25K
Configuring Linux *
Продолжим настройку нашего шлюза, про который я говорил в предыдущей статье. Напомню, там мы настроили правила маршрутизации, теперь нам надо заняться iptables. Сейчас мы настроим сеть состоящую из шлюза и сервера. На шлюзе будет работать SSH и DNS, а сервер у нас будет виндовый на нем у нас RDP и SMTP. Сеть будет настроена таким образом, что через любой из внешних айпишников мы сможем подключаться к любому из серверов, а SMTP сервер будет выходить наружу через основного провайдера.
Читать дальше...
Total votes 34: ↑29 and ↓5 +24
Comments 10

VPN с возможностью прохождения через файрвол/NAT

Reading time 2 min
Views 4.7K
Lumber room
NAT (Network Address Translation) обладает массой достоинств, но и не лишен недостатков, например, необходимости конфигурировать проброс портов (port forwarding) в случае если мы хотим иметь доступ к серверу, который находится за NAT раутером. Существует несколько способов прохождения через NAT (NAT traversal). В данной статье я попробую рассмотреть один из них, который основан на UDP hole punching (буквально — пробитие дырки с помощью UDP, прошу прощения за кучу терминов на английском, но я просто не знаю как их благозвучно воспроизвести по-русски).
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Comments 9

Не совсем обычное VPN соединение обычными средствами

Reading time 8 min
Views 153K
Network technologies *
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.


Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:
  • В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
  • В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):
  • A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
  • B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.


Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Comments 16

Двусторонний NAT (PAT) на Cisco IOS или NAT NVI

Reading time 4 min
Views 62K
Cisco *
По просьбе коллеги (Fedia) я собрался с мыслями и решился написать статью про NAT NVI. Надо сказать, что вообще сама по себе трансляция адресов на роутере многократно рассматривалась, в т.ч. в статье «По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP». Тем не менее, описанный в ней механизм inside source и outside source NAT имеет некоторые ограничения.
Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Comments 37

Проходим сквозь стены NAT-ов

Reading time 2 min
Views 1.2K
Information Security *
image Повсеместное распространение NAT казалось препятствует свободному обмену трафиком между компьютерами, находящимися за одним из них, и практически делает это невозможным, если оба компьютера скрыты за разными NAT серверами, естественно если вы не администратор обоих NAT серверов. Однако Samy Kamkar легко и непринужденно не только преодолел это, но и сделал программу которая позволяет преодолевать подобные препятствия. В настоящее время данная программа доступна только пользователям *nix подобных систем.

Pwnat — этот инструмент позволяет любому количеству клиентов, находящихся за одним NAT-сервером, соединяться с сервером стоящим за другим NAT, при этом никакой проброски портов на серверах не требуется и никаких прочих инструментов не используется. Серверу не надо ничего знать о клиенте который с ним соединяется. Проще говоря это такой прокси сервер, который стоит за одним NAT и работает с клиентами, стоящими за другим NAT, между ними нет никакого дополнительного посредника, никаких DNS-фокусов и никакого пива админам. Скажу честно — я тоже в это сначала не поверил.

Клиент может подключаться через такой сервер к любым ресурсам, либо только тем что ограничены сервером pwnat. Данный инструмент основан на построении UDP-тоннеля. Принцип работы весьма оригинальный и прекрасно описан автором, рекомендую ознакомиться, ибо решение данного вопроса оказалось весьма интересным и неожиданным. Давно не встречал ничего подобного.

Подводя итог скажу, следующее — данный продукт имеет весьма полезное значение как для решения отдельных задач, так и для того, чтобы знать о том, что способ сей существует. Если ваша работа связна с сетями, обязательно ознакомьтесь, поверьте — есть, что почерпнуть у автора программы из документации, английский там достаточно простой.
Total votes 77: ↑70 and ↓7 +63
Comments 134

Краткий обзор ядерного NAT-а в FreeBSD

Reading time 5 min
Views 34K
*nix *
Распространенных вариантов NAT-а под FreeBSD есть довольно много. Это и natd, ipnat, pfnat, ng_nat либо как вариант «купи ASA 5550 и не выделывайся».


К сожалению, в последнее время мне попадалось очень мало хороших и главное доступных статей о ipfw nat который появился, если мне не изменяет память еще в 7.0.
Засим рассматривать под лупой сегодня будем мы именно его.

Истинным адептам pf под кат рекомендуется не заглядывать, чтобы не травмировать себя излишними знаниями.

Читать дальше →
Total votes 48: ↑41 and ↓7 +34
Comments 43

Linux на службе у провайдера

Reading time 4 min
Views 12K
System administration *


Просмотрев большинство тематических постов на хабре был безмерно удивлён тому факту, что крайне скудно освещена тема использования ОС Unix/Linux на службе интернет провайдеров (Internet service provider). Данной статьёй я частично попытаюсь восполнить данный пробел.
Читать дальше →
Total votes 125: ↑116 and ↓9 +107
Comments 119

Большие потоки трафика и Linux: прерывания, маршрутизатор и NAT-сервер

Reading time 6 min
Views 57K
System administration *
Sandbox
Написано по следам публикации Большие потоки трафика и управление прерываниями в Linux

В нашей городской сети более 30 тысяч абонентов. Суммарный объем внешних каналов — более 3 гигабит. А советы, данные в упомянутой статье, мы проходили еще несколько лет назад. Таким образом, я хочу шире раскрыть тему и поделиться с читателями своими наработками в рамках затрагиваемого вопроса.

В заметке описываются нюансы настройки/тюнинга маршрутизатора и NAT-сервера под управлением Linux, а также приведены некоторые уточнения по поводу распределения прерываний.

Читать дальше →
Total votes 58: ↑56 and ↓2 +54
Comments 54

NAT на Cisco. Часть 1

Reading time 8 min
Views 270K
Cisco *
Добрый день, коллеги!

судя по многочисленным вопросам на форуме (ссылка в конце поста), от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall'ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.
Читать дальше →
Total votes 42: ↑39 and ↓3 +36
Comments 67

NAT на Cisco. Часть 2

Reading time 4 min
Views 41K
Cisco *
И снова добрый день, коллеги!

Продолжаю серию статей про NAT на Cisco, т.к. предыдущая статья все нашла некоторое количество положительных отзывов.

В этой статье мы рассмотрим, как и было обещано, inside destination NAT. Кому интересно — велкам под кат.

Читать дальше →
Total votes 29: ↑24 and ↓5 +19
Comments 44

Настройка PPPoE с шейпингом трафика для небольшой сети

Reading time 19 min
Views 38K
Configuring Linux *
Sandbox
Однажды возникла задача настроить раздачу интернета на пару десятков компьютеров (офисные и домашние). Коробочные решения оказались либо платными, либо достаточно сложно настраиваемыми, поэтому было принято решение использовать собственное на базе Debian Linux. Опытом его поднятия я хочу поделиться с вами в этом посте, но приведенные здесь версии могли немного устареть с момента написания мануала «для себя», так что нужно проявить некоторую внимательность. Также, нужно учитывать, что приведенное решение далеко от идеального и профессионального. Оно поможет скорее тем, кому нужно быстро поднять у себя сервер, раздающий интернет. В конце у нас будет раздача интернета через PPPoE с назначением внутренних IP клиентам, шейпинг трафика, DNS сервер и простой мониторинг текущих сессий из консоли.
Читать дальше →
Total votes 56: ↑44 and ↓12 +32
Comments 27