How to become an author
Search
Write a publication
Pull to refresh
5
Karma
0
Rating
Фёдор @VFedorV

Пользователь

Send message
Profile Publications 5Comments 66Bookmarks 61
Пользовательское вознаграждение авторам Хабра
это вы круто придумали — хороший стимул перевести «черновики» в статьи :)
Total votes 2: ↑2 and ↓0+2
Look
Linux машина в домене Windows AD с помощью sssd и krb5
есть способ проще (использует, например, VMware для vSphere) — PowerBroker Identity Services (PBIS)
очень удобная утилита. GSSAPI — SMB все прикручивается практически нативно…
This comment wasn’t rated yet0
Look
Как мы перестали тратить неделю на выдачу dev-стенда
а как решаете вопрос с требованиями PCI DSS к ДДК? правильно ли я понимаю — разработчики в любой момент времени получают доступ к расшифрованным копиям всех таблиц, всей БД? не ловили случайных блокировок на боевой копии БД(у вас RAC?) при синхронизации\выгрузке из нее в Dev среду?
This comment wasn’t rated yet0
Look
И еще раз: не пользуйтесь публичным WiFi
на самом деле этим занимается не МосМетро (в лице Максима Телеком), а другая «дружественная» им компания ;) и вроде неплохие деньги с этого имеют
This comment wasn’t rated yet0
Look
Установка СУБД ORACLE 11gR2 на отдельно стоящий сервер под управлением ОС ORACLE Linux 6
если кому интересно — могу добавить к инструкции как запускать RAC на Oracle VM shared дисках ну и добавлять ASM диски при необходимости…
This comment wasn’t rated yet0
Look
PCI DSS: что это такое и как под него сертифицироваться + наш опыт
это у вас еще, наверное, баз данных нет, в которых cardholder data… аудит транзакций — анализаторы логов «пухнут» от нагрузки :(
аудит аудита…
3 раза PCI DSS — ну его к монахам
This comment wasn’t rated yet0
Look
Наш рецепт отказоустойчивого Linux-роутера
если какой либо из коммутаторов выходит из строя, теряем и одного из провайдеров…
а как быть с публикациями каких-либо сервисов (NAT)? публикуете на IP ISP1 & ISP2? или у вас PI есть?
This comment wasn’t rated yet0
Look
Python для сетевых инженеров: начало пути
а можно детальнее об этом:
python on Cisco это ISR 4000
? настраивал ISR 4331 и не заметил ничего :(
This comment wasn’t rated yet0
Look
Настройка Cisco AnyConnect VPN with 2FA (ActiveDirectory and Certificate) через ASDM
именно: один профиль = одна группа AD. выбор при подключении:
image
This comment wasn’t rated yet0
Look
Настройка Cisco AnyConnect VPN with 2FA (ActiveDirectory and Certificate) через ASDM
IP разные, простите мне легкую параною — «с боевой» железки скринил…
This comment wasn’t rated yet0
Look
Настройка Cisco AnyConnect VPN with 2FA (ActiveDirectory and Certificate) через ASDM
сорри — поправил. не думал что статью сразу на главную закинет :( а как же премодерация?
This comment wasn’t rated yet0
Look
Почтовый сервер на Linux
кто подскажет — если уже используется mailbox_command=/usr/libexec/dovecot/deliver, то как добавить:
mailbox_command = /usr/bin/procmail

P.S. postfix check выдает
postfix/postlog: warning: /etc/postfix/main.cf, line 741: overriding earlier entry: mailbox_command=/usr/libexec/dovecot/deliver
This comment wasn’t rated yet0
Look
Тест производительности проектов
Уже почти все готово к использованию, осталось только подготовить файл с конфигурацией теста, у нас он выглядит примерно так:

— простите, если туплю, но дальше то что? подготовили мы файл с конфигурацией — куда его сохранять и как, собственно, сам тест запустить?! :(
This comment wasn’t rated yet0
Look
Логирование VPN-подключений на Cisco ASA
у нас безопасник настроил OSSIM (парсит логи ASA, которые ему пересылаются syslog-ом) грамотно:
On 2017-01-23 05:18:10 (UTC time) user dmitriy.budylin connected to prd environment via AnyConnect VPN from 93.хх.20.х2 as a member of GroupPolicy_AnyConnect_ADMINS access group

User: dmitriy.хххlin
Src: 93.хх.20.х2 — #внешний IP клиента
Group: GroupPolicy_AnyConnect_ADMINS

Alert detail:
* userdata2: GroupPolicy_AnyConnect_ADMINS
* userdata3: 10.хх.12.хх # выданный внутр. IP
* userdata1: ASA-4-722051
* protocol: tcp
* rep_rel_dst: 0
* context_id: 8639cea8-58b0-11e6-ххх-a71c969e53c4
* actions: 3
* reliability: 2
* plugin_sid: 722051
* rep_prio_src: 0
* priority: 1
* src_port: 0
* event_id: e12b11e6-81de-0015-5d03-2b0f4ce08bac
* src_ip: 93.хх.20.х2
* backlog_id: 5d032b0f-e12b-11e6-a547-00154ce75ab8
* plugin_id: 1636
* sensor: 10.х.5х.8
* username: dmitriy.budylin
* risk: 0
* rep_prio_dst: 0
* date: 2017-01-23 08:18:10
* type: event
* rep_rel_src: 0
* dst_port: 0
* dst_ip: 0.0.0.0
* policy_id: dd932f97-da98-хххх-425c-32be769455bc
This comment wasn’t rated yet0
Look
Ограничение скорости передачи трафика. Policer или shaper, что использовать в сети?
хороший пример шейпера для ISR Вы привели, а есть у кого-нибудь для Cisco ASA? и желательно для туннеля IPSec (cryptomap based VPN)?
что-то типа такого:
access-list LIMIT-10Mbps extended permit tcp any 10.30.0.0 255.255.0.0

class-map LIMIT-10Mbps
match access-list LIMIT-10Mbps

policy-map LIMIT-10Mbps
  class LIMIT-10Mbps
    police output  10000000
     queue-limit 100 packets

Interface GigabitEthernet1/1
 service-policy LIMIT-10Mbps service-policy LIMIT-10Mbps interface office-users

будет работать?! где 10.30.0.0 255.255.0.0 — сети доступные через VPN Site-to-Site
This comment wasn’t rated yet0
Look
ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
По поводу ICMP появилась не плохая идея. Нет ли у вас ассиметричной маршрутизации? Может быть ICMP echo отправляются в сторону LAN через один интерфейс, а возвращаются через другой?
ну я тоже так думаю (для сети 10.xx.111.0\24 настроен PAT через интерфейс ISP1), для клиентов VPN AnyConnect шлюз не подменяется, а добавляется маршрут только к сети 10.xx.111.0\24 — то есть к туннель идет не весь трафик, а только выбранный (когда весь туда льешь таких проблем нет) — но может есть решение :(?

«Используется ли у вас выделенный Management-интерфейс на ASA?» — используется для модуля FirePower
This comment wasn’t rated yet0
Look
ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
вроде так и сделано:
image
This comment wasn’t rated yet0
Look
ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
было включено inspect icmp, включил inspect icmp error
на счет sysopt connection permit-vpn — стыдно признаться, — для чего это? без нее работал AnyConnect VPN как и IPSec Site-to-Site…
This comment wasn’t rated yet0
Look
ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
10.x.181.4 это виртуальный адрес HSRP, но такие же сообщения получаем и по виртуальным IP в кластерах VRRP (Keepalived) :(
по второму вот более показательный пример:
4 Jan 19 2017 10:20:58 Denied ICMP type=0, from laddr 10.xx.111.11 on interface prod-infra to 10.11.12.7: no matching session

в данном случае сеть 10.11.12.0\24 — клиенты AnyConnect VPN, у которых шлюз остается прежним и добавляется маршрут только к сети 10.xx.111.0\24 (соотв. для этой сети адреса из 10.11.12.0\24 стучаться с внешнего интерфейса)… не работает только ICMP :(
This comment wasn’t rated yet0
Look
ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
подскажите, пожалуйста, — сильный флуд на ASA из-за VRRP (Keepalived) & HSRP, вот такого плана сообщения:
4 Jan 18 2017 18:42:18 Received ARP response collision from 10.x.181.4/70ca.xxe5.dd4a on interface VLAN6 with existing ARP entry 10.x.181.4/70ca.xxe5.d16a

как исправить? оно конечно жить особо не мешает, просто лог забивает :(

а еще если подскажите — буду очень признателен! вот такие сообщения:
4 Jan 18 2017 18:37:25 No matching connection for ICMP error message: icmp src VLAN32:10.xx.32.52 dst VLAN111:10.xx.111.15 (type 3, code 3) on VLAN32 interface. Original IP payload: udp src 10.xx.111.15/53 dst 10.xx.32.52/54874.

и как мне кажется поэтому не работает пинг из удаленных сетей через Site-toSite VPN :( (там начинается сообщение No matching session… )
This comment wasn’t rated yet0
Look
1
2
34

Information

Rating
Does not participate
Date of birth
Registered
Activity

Your account

Sections

Information

Services

Support
© 2006–2024, Habr