С текстом "оплата х2"(1.5? или сколько там по ТК) и только так.
Можно провести инверсию - если работодатель считает что во вне рабочее время, можно отвлекать рабочими задачами, значит и я в рабочее время могу пойти поспать, заняться личными делами
Хорошая логика, многое объясняет: - конские цены на жилье - это не проблема застройщиков, а проблема отсутствия денег у вас - импортозамещение - это не проблема экономики и стимуляции, а проблема его отсутствия - проблемы с персоналом в ОМС - это не проблемы ОМС, а проблема отсутствия людей - проблемы с поставками оборудования\закупками\оплаты за границей - это не проблема платежной системы, а проблема ее отсутствия (подразумевается отсутствия той которая работает и в РФ, и за границей)
Не дает, потому что ОпСоСы положили болт на IPv6, как итог - ну присвоен моему NASу IPv6 адрес, ну доступен он напрямую, подключаться то откуда? С работы нельзя (NDA), с мобилы нельзя, половина (а то и больше) провайдеров не поддерживают IPv6 (тот же дом.ру у родителей так и пишет - сорян, тебе не положено).
Единственный профит от IPv6 - торренты - больше сидов\пиров, прямые подключения, снижение нагрузки на оборудование, но это как бы проблемы провайдера и его профит.
Обычно систему сносишь, зайдя не из-под неё, потому что надо же сразу что-то накатывать
У нас заказчик хотел оборудование совместимое с Астрой, плюс набор тестов уровня "стресс тест на 20 минут", "распечатайте листик", "а покажите SMART", "а оно точно дружит с двумя мониторами". Но при этом сама Астра в наш договор не входила. Вот и пришлось сначала раскатать демо-лицензии, а потом все сносить и отгружать с пустыми хардами
У Астры есть портал Ready for Astra, на котором есть список поддерживаемого оборудования. Казалось бы, что может быть проще - вот список принтеров которые мы проверили\сертифицировали. Но оборудование туда попадает когда его уже не купить =(
По этому все что нужно сделать Астре, это периодически (раз в год?) отправлять одного закупщика и трех грузчиков в ближайший ДНС, скупать там с десяток принтеров и добавлять в свой список.
Страшно подумать, сколько там денег было потрачено на закупку этих астр.
Это открытые данные, прайсы можно найти хоть в софтлайне, в среднем 22 тыщи\лиц. (года два назад, базовая версия с ТП на 1 г.) нехитрой математикой получаем около 1.1 млн.
У них сейчас вывод каких-то команд переведен, каких-то нет. В домашнем каталоге одновременно находятся Загрузки и Desktop (или наоборот) в итоге каждый раз набирая cd\scp надо лихорадочно вспоминать, а что там... ну и ансиблом очень прикольно этим управлять.
Им в приоритет надо пакеты обновлять в своих репах с минимальным отставанием от релизов. А то ставишь "Максимальную" редакцию (это та которая может для гос.тайны использоваться, на минуточку) а там пакет NUT с багом, из-за которого шифрование не работает тарапам-пиу!
не очень понятно как это коррелирует с тем что на одном физ.адресе может быть несколько IP и это нормальная, штатная ситуация. Я могу поднять на одном интерфейсе несколько адресов тупо для того чтобы разнести два сервиса использующие один порт. Просто для того чтобы не поднимать какой-ндь реверс прокси (например, nginx под виндоус то еще веселье).
Далее, роутер на то и маршрутизатор чтобы иметь возможность объединять сети - никто не запрещает вам разбить все на VLAN'ы (условно 1 порт 1 VLAN, для wi-fi аналогично 1 клиент 1 VLAN), а для обмена данными между устройствами использовать роутер с IP-сетью для каждого VLAN. Т.е. у вас на уровне L2 везде будет ровно два устройства (клиент и роутер), но за счет маршрутизации на условном L3(TCP\IP) все будет доступно. Правда роутер должен быть мощным чтобы все это переваривать. подсказка-бонус, спуффинг в такой сети чуть менее чем полностью бесполезен
arp-spoofing
От этого сканера толку нольцелых-нольдесятых, еще и сеть засрет броадкастами. Проще снимать маки с таблицы коммутаторов\роутера, по SNMP(v3) - так хоть сразу будет понятно в какой порт ткнулся злоумышленник и автоматом его заблокировать.
Второе, почему вы думаете что на ваш активный скан злоумышленник будет отвечать? Ну типа нафига? очевидно что массовая рассылка /24 это не просто так - заблокировал ответы вашей ESPхе и все. Всем остальным отвечаешь, а еспхе нет.
Третье, что произойдет с таблицей mac-адресов если злоумышленник ответит через время Т > 1 c. (почему кстати выбрали 1с. Почему не 10 с.?)
Если уж очень хочется, то выглядит так как будто должно быть включено зеркалирование портов на роутере и "анализатор" должен смотреть на бродкаст траффик и уже там ловить дубликаты ответов.
когда один и тот же MAC-адрес «отзывается» на несколько адресов, являются тревожными звоночками
Ну да, ну да
Один из рабочих профилей
Именно эту особенность я и буду использовать: просто отправлять ARP-запросы со всеми адресами домашней сети. Девайсы, которые ответят — подключены к сети, которые промолчат — не подключены (либо не хотят об этом сообщать 😊).
Как там сканирование \8 маски на ESP, всех ресурсов хватит?
возможного arp-spoofing
Это настолько за уши притянуто, что аж комментировать не хочется.
Это еще ничего, я тут в документах и официальных гайдах(!) переодически натыкаюсь на "А сейчас рассмотрим протокол резервирования *STP". И ладно бы это писали всякие отусы, так нет производитель промышленного(!!!) телеком.оборудования
Ровно до тех пор пока прекрасные люди опять не включат вайтлисты для мобильного трафика.
В пределах региона оооочень редко когда включают фильтрацию VPN. У меня wireguard падал от силы раза 3-4 с начала СВО. Проще рубить трафф на магистрале, чем в локальной (городской) точке обмена траффиком
Все хорошо, только перехватывается и воспроизводится легко
Подключаться с рабочего компьютера по vpn в свою локальную сеть не очень хорошая идея, как для своей безопасности, так и для рабочей среды.
Подключаться с рабочей среды куда угодно не очень хорошая идея, что через VPN, что напрямую в 3389(мыслительный эксперимент). Вообще у вас есть мобила на которую можно и RDP\SSH\VNC-клиент поставить и почти все VPN-ы использовать. Маленький экран? Покупаешь модель с возможность подключаться к монитору (Samsung S-какой-то там, Pixel 8+ и пр.) и вуаля мобильное рабочее место готово (клава-мышь по вкусу).
Не работают VPN'ы, мобилу отбирают злые безопасники? окей, Apache Guacamole. Ставим на роутер\сервер, имеем доступ по http(s).
KVMки нужны не для того чтобы работать, а для того чтобы в биос зайти, ОС установить (на бсод посмотреть), да сеть настроить. Ну и резервный канал, чтобы посмотреть а шлюо там случилось что сервер не отвечает.
Для всего остального придумали VPN(чтобы голой попой в интернет не торчать), плюс
WoL - wake up on lan, возможность включать ПК через сеть
RDP/vnc/ssh - для доступа.
Так что настройте себе RemoteDesktop и радуйтесь жизни - в нем плюшек сильно больше чем в нянькеКвм
Отдельно хочу отметить, что если (ну мало ли) у вас ПК на intel, да еще с vPro, то скорее всего у вас есть AMT, внутри которого уже реализован весь kvm-функционал
то что все важные контролы приложения - меню, открыть\закрыть, вкладки и пр. находятся вверху. А вызов приложений, время\календарь, пуск - внизу. Вот и приходится елозить мышкой вверх-вниз непонятно зачем.
Ну и в целом котик перекрывает быстрый вызов приложений (ну и открытые тоже) аль-табаться не всегда удобно
Так и во вне рабочее время, без одобрения жены/кота/венеры в пятом доме я тоже не могу работать
С текстом "оплата х2"(1.5? или сколько там по ТК) и только так.
Можно провести инверсию - если работодатель считает что во вне рабочее время, можно отвлекать рабочими задачами, значит и я в рабочее время могу
пойти поспать,заняться личными деламиХорошая логика, многое объясняет:
- конские цены на жилье - это не проблема застройщиков, а проблема отсутствия денег
у вас- импортозамещение - это не проблема экономики и стимуляции, а проблема его отсутствия
- проблемы с персоналом в ОМС - это не проблемы ОМС, а проблема отсутствия людей
- проблемы с поставками оборудования\закупками\оплаты за границей - это не проблема платежной системы, а проблема ее отсутствия (подразумевается отсутствия той которая работает и в РФ, и за границей)
Не дает, потому что ОпСоСы положили болт на IPv6, как итог - ну присвоен моему NASу IPv6 адрес, ну доступен он напрямую, подключаться то откуда? С работы нельзя (NDA), с мобилы нельзя, половина (а то и больше) провайдеров не поддерживают IPv6 (тот же дом.ру у родителей так и пишет - сорян, тебе не положено).
Единственный профит от IPv6 - торренты - больше сидов\пиров, прямые подключения, снижение нагрузки на оборудование, но это как бы проблемы провайдера и его профит.
У нас заказчик хотел оборудование совместимое с Астрой, плюс набор тестов уровня "стресс тест на 20 минут", "распечатайте листик", "а покажите SMART", "а оно точно дружит с двумя мониторами". Но при этом сама Астра в наш договор не входила. Вот и пришлось сначала раскатать демо-лицензии, а потом все сносить и отгружать с пустыми хардами
То что для всех "давно", для Астры "о! надо бы добавить!"
Мы точно сносили 50+ Астр этим летом, единственное не помню через `rm -rf` или через `dd if=/dev/zero of=/dev/sda --bs...` суть то не меняется =)
У Астры есть портал Ready for Astra, на котором есть список поддерживаемого оборудования. Казалось бы, что может быть проще - вот список принтеров которые мы проверили\сертифицировали. Но оборудование туда попадает когда его уже не купить =(
По этому все что нужно сделать Астре, это периодически (раз в год?) отправлять одного закупщика и трех грузчиков в ближайший ДНС, скупать там с десяток принтеров и добавлять в свой список.
Это открытые данные, прайсы можно найти хоть в софтлайне, в среднем 22 тыщи\лиц. (года два назад, базовая версия с ТП на 1 г.) нехитрой математикой получаем около 1.1 млн.
Спасибо, но можно не надо?
У них сейчас вывод каких-то команд переведен, каких-то нет. В домашнем каталоге одновременно находятся
ЗагрузкииDesktop(или наоборот) в итоге каждый раз набирая cd\scp надо лихорадочно вспоминать, а что там... ну и ансиблом очень прикольно этим управлять.Им в приоритет надо пакеты обновлять в своих репах с минимальным отставанием от релизов. А то ставишь "Максимальную" редакцию (это та которая может для гос.тайны использоваться, на минуточку) а там пакет NUT с багом, из-за которого шифрование не работает тарапам-пиу!
не очень понятно как это коррелирует с тем что на одном физ.адресе может быть несколько IP и это нормальная, штатная ситуация. Я могу поднять на одном интерфейсе несколько адресов тупо для того чтобы разнести два сервиса использующие один порт. Просто для того чтобы не поднимать какой-ндь реверс прокси (например, nginx под виндоус то еще веселье).
Далее, роутер на то и маршрутизатор чтобы иметь возможность объединять сети - никто не запрещает вам разбить все на VLAN'ы (условно 1 порт 1 VLAN, для wi-fi аналогично 1 клиент 1 VLAN), а для обмена данными между устройствами использовать роутер с IP-сетью для каждого VLAN. Т.е. у вас на уровне L2 везде будет ровно два устройства (клиент и роутер), но за счет маршрутизации на условном L3(TCP\IP) все будет доступно. Правда роутер должен быть мощным чтобы все это переваривать. подсказка-бонус, спуффинг в такой сети чуть менее чем полностью бесполезен
От этого сканера толку нольцелых-нольдесятых, еще и сеть засрет броадкастами. Проще снимать маки с таблицы коммутаторов\роутера, по SNMP(v3) - так хоть сразу будет понятно в какой порт ткнулся злоумышленник и автоматом его заблокировать.
Второе, почему вы думаете что на ваш активный скан злоумышленник будет отвечать? Ну типа нафига? очевидно что массовая рассылка /24 это не просто так - заблокировал ответы вашей ESPхе и все. Всем остальным отвечаешь, а еспхе нет.
Третье, что произойдет с таблицей mac-адресов если злоумышленник ответит через время Т > 1 c. (почему кстати выбрали 1с. Почему не 10 с.?)
Если уж очень хочется, то выглядит так как будто должно быть включено зеркалирование портов на роутере и "анализатор" должен смотреть на бродкаст траффик и уже там ловить дубликаты ответов.
Ну да, ну да
Один из рабочих профилей
Как там сканирование \8 маски на ESP, всех ресурсов хватит?
Это настолько за уши притянуто, что аж комментировать не хочется.
Это еще ничего, я тут в документах и официальных гайдах(!) переодически натыкаюсь на "А сейчас рассмотрим протокол резервирования *STP". И ладно бы это писали всякие отусы, так нет производитель промышленного(!!!) телеком.оборудования
В пределах региона оооочень редко когда включают фильтрацию VPN. У меня wireguard падал от силы раза 3-4 с начала СВО. Проще рубить трафф на магистрале, чем в локальной (городской) точке обмена траффиком
Все хорошо, только перехватывается и воспроизводится легко
Подключаться с рабочей среды куда угодно не очень хорошая идея, что через VPN, что напрямую в 3389(мыслительный эксперимент). Вообще у вас есть мобила на которую можно и RDP\SSH\VNC-клиент поставить и почти все VPN-ы использовать. Маленький экран? Покупаешь модель с возможность подключаться к монитору (Samsung S-какой-то там, Pixel 8+ и пр.) и вуаля мобильное рабочее место готово (клава-мышь по вкусу).
Не работают VPN'ы, мобилу отбирают злые безопасники? окей, Apache Guacamole. Ставим на роутер\сервер, имеем доступ по http(s).
У всех KVM'ок инпут лаг будь здоров.
KVMки нужны не для того чтобы работать, а для того чтобы в биос зайти, ОС установить (на бсод посмотреть), да сеть настроить. Ну и резервный канал, чтобы посмотреть а шлюо там случилось что сервер не отвечает.
Для всего остального придумали VPN(чтобы голой попой в интернет не торчать), плюс
WoL - wake up on lan, возможность включать ПК через сеть
RDP/vnc/ssh - для доступа.
Так что настройте себе RemoteDesktop и радуйтесь жизни - в нем плюшек сильно больше чем в нянькеКвм
Отдельно хочу отметить, что если (ну мало ли) у вас ПК на intel, да еще с vPro, то скорее всего у вас есть AMT, внутри которого уже реализован весь kvm-функционал
Звучит безопасно и надежно :)
то что все важные контролы приложения - меню, открыть\закрыть, вкладки и пр. находятся вверху. А вызов приложений, время\календарь, пуск - внизу. Вот и приходится елозить мышкой вверх-вниз непонятно зачем.
Ну и в целом котик перекрывает быстрый вызов приложений (ну и открытые тоже) аль-табаться не всегда удобно
это не баг, а фича /s:
Видите как удобно, а представьте если бы ПУСК был прибит /s
Для меня лично, невозможность перенести кнопку пуск наверх - это, пожалуй, самое ужасное UI-нововведение.