iptables -t raw -A PREROUTING -p tcp --dport 22 -j NOTRACK
iptables -A INPUT -p tcp --dport 22 -j TARPIT
UPD: увидел, что вы уже написали про NOTRACK. Но всё равно пусть коммент висит, лишним не будет. Тратить conntrack на мусорные соединения действительно как-то не очень.
С одной стороны да, а с другой — тарпнутые (пойманные в ловушку) соединения висят в conntrack и не протухают, так как тарпит не дает. Например, если тарпить на слабых роутерах, то из-за того, что контрэк распух — у вас снизится (и реально снижается!) скорость коммутации пакетов (табличку долго просматривать приходится). Очень этим грешили роутеры типа DIR-100, когда запуск torrent и последующее выключение забивали контрэк так, что до провайдера пинг подскакивал до сотен. Просто потому что соединения плодились, а не полоса была занята. Сейчас с этим получше, но в любом случае проблема остается.
Опять же, можно написать (уже написано примерно во времена появления TARPIT в iptables, но гуглить лень) генератор пакетов, который навешает у вас TARPIT соединений, которые вы сами же будете поддерживать и забивать свой контрэк, а со стороны хакера это не будут соединения, а просто пара пакетов с железяки, которая даже не знает что такое TCP.
Решение есть: на все порты, которые -j TARPIT делать еще -t raw -j NOTRACK (ну или совсем отказаться от conntrack)
Но такие сложности уже напоминают ситуацию — обе стороны наелись гов.. мыла, и остались при своем
Но все же в целом с вами соглашусь: использовать -j TARPIT, если уж хочется именно потроллить ботнеты (ведь сканят именно ботнеты, вручную мало что сканят), куда практичнее, чем запускать демона на питоне или даже С, симулирующего ssh
Аргументировано.
На собственном опыте могу сказать, что "по опыту" как правило значит чуть более чем ничего. Кхе… кхе :)
На самом деле главный аргумент приспешников blacklistd ("не нужно парсить лог") "разбивается" единственным примером:
Демон sshd (при включенном UseBlacklist) отправит инфу (authentication success/failure) на blacklistd сокет, и… запишет это в лог. Ну а blacklistd прочитает её из сокета и распарсит.
Чем оно в принципе отличается от "распарсивания" fail2ban тех же строчек прочитанных из лога, никто так и не смог мне внятно объяснить.
Кроме того, fail2ban тоже это давно умеет, а в новых версиях уже официальным протоколом и для сообщения об отдельных неудачных попытках, т.е. достаточно отправить ему на сокет:
# отовсюду (симулируем простейший "маринад"):
f2b_attempt_msg="(lp0\nS'set'\np1\naS'%s'\np2\naS'attempt'\np3\naS'%s'\np4\na.<F2B_END_COMMAND><F2B_CLOSE_COMMAND>"
printf "$f2b_attempt_msg" sshd 192.0.2.1 | nc -q 0 -U '/run/fail2ban/fail2ban.sock'
# из питона:
s = socket.socket(socket.AF_UNIX, socket.SOCK_STREAM);
s.connect('/run/fail2ban/fail2ban.sock');
s.send(pickle.dumps(['set', 'sshd', 'attempt', '192.0.2.2', 'unknown user'], 0) + b"<F2B_END_COMMAND>"); s.close()
# ну и из шела:
fail2ban-client set <jail> attempt <IP> [<failure-message1> ... <failure-messageN>]
Это не сделает мир лучше прямо сразу, но при относительно массовом применении намного увеличит порог вхождения как для реальных жуликов, так и для бестолковых пионэров с кривыми ручками. И реально сократит мусорный трафик.
Надо смотреть характер боли. Если боль нейропатическая — у неврологов есть свои препараты (из группы антиконвульсантов). Если говорить про группу нестероидных противовоспалительных — более современными считаются из группы коксибов — Целекоксиб, Эторикоксиб (последний может при определенных дозировках поднимать давление).
Вообще терапия боли даже в рамках нестероидных противовоспалительных — вопрос подбора для конкретного пациента. Рекомендую обсудить с лечащим врачом возможность смены)
Ну и да. Риск желудочно-кишечных осложнений не зависит от пути введения, это надо помнить в плане сопутствующей терапии омепразолом или чем-то еще (то есть риск осложнений по желудку/кишечнику одинаков что при использовании в уколах, что в свечах, что в таблетках)
По поводу нейропатической боли — есть не самый плохой опросник DN4, который может помочь в дифференциации если ваш невролог самостоятельно не может определить (это не всегда очень просто)
Через wp-cli например. Никаких дампов с паролем администратора в гитхабе никаких взрывающихся курсоров и логотипов темплейт монстра (хотя возможно статья писалась как раз под то чтоб логотип прикрепить) просто запустил и работает, самое главное лень удовлетворена, прочел документацию и выполнил команды установки, вместо того чтоб бы бы код новичками писать.
По-дилетантски предположу, что вместо изобретения велосипеда можно было ежедневно создавать разностные резервные копии (differential backup). Что касается файлов электронных писем, содержащих вложения, для их упаковки можно было использовать бесплатный архиватор 7-Zip со сторонним плагином eDecoder.
Также плагин содержит специальный кодек eSplitter, добавляющий в 7-Zip возможность более эффективной упаковки в формат 7z текстовых файлов, содержащих в себе данные, упакованные методом base64 и некоторыми другими методами кодирования двоичных файлов в текстовые. Примерами таких текстовых файлов могут служить, например, сохраненные копии web страниц в формат MTHML, электронные письма в формате EML, почтовые базы в форматах MBOX и TBB, электронные книги с изображениями в формате FB2, и множество других.
<...>
Использование кодека eSplitter Принцип сжатия
При упаковке кодек eSplitter ищет в текстовом файле закодированные двоичные данные и разделяет файл на две части. В первую часть передаются текстовые данные, а во вторую декодированные двоичные данные. Это два совершенно разных типа данных, и весьма разумно для их сжатия применять два независимых метода сжатия.
Кодек знает о внутренней структуре некоторых форматов файлов (EML, MHTML, MBOX, TBB, WARC), благодаря чему сжатие этих форматов производится наиболее оптимально.
Если я в чем-то ошибаюсь, прошу поправить.
P.S. Кстати, есть еще бесплатный архиватор ZPAQ, который тоже может подойти для означенных целей.
У меня и сейчас есть приёмник как на первой картинке) Причём его выбросили, а я подобрал и дал ему вторую жизнь, слегка подшаманив. На самом краю диапазона ловит радиолюбителей.
А так — слишком сложно для FM-приёмника…
Я вот собрал уже около десятка таких конструкторов.
Берётся модуль типа такого (на али рублей 150 5-вольтовый без блютуза, рублей 250 за 12-вольтовый с блютузом). Там есть FM-радио, AUX-вход, USB и слот SD (или TF) для флешек и карт памяти с mp3, опционально блютуз.
К нему подпаивается усилитель D-класса типа такого (2*3 Вт) или типа такого, цена за первый рублей 60, за второй немного дороже. Хотя можно без проблем купить в районе 1000-1500 рублей мощный D-class усилок ватт на 100+100 и подключить к нему мощные автомобильные динамики, вот это будет знатная BT-колоночка!))))
Запитывается всё это от сети от 5-вольтового блока питания от смартфона (честных 2 А обычно достаточно для 6...10 Вт, а на небольшой громкости можно запитать и от старой нокиевской зарядки на 5В 300мА). Или от литиевых аккумуляторов 18650, для них ставим кроватку типа таких и плату-зарядник для лития (лень искать).
Если надо, добавляем DC-DC преобразователь с 12 на 5 В типа такого, но есть и модели помощнее и поинтереснее, скажем, сразу с USB-портами для зарядки телефона и честными 3А. Добавляем пару завалявшихся динамиков и делаем под всё это корпус, скажем, из большого кабель-канала. Или из дощечек ламината. Или сразу берём какой-нибудь старый магнитофон, который уже не годится ни на что, выкидываем изнутри всё кроме динамиков, и вживляем в него всё вышеперечисленное. Осталось добавить шнуры, предохранитель по питанию, антенну (в простейшем случае кусок провода в корпусе, в городе этого достаточно), один-два динамика и продумать, как всё это скомпоновать и закрепить. Может, упустил ещё какие-то мелочи.
Я так сделал парочку DIY магнитофонов для Уаз-Буханки, где обычный магнитофон нормально не поставить.
Я так переделал несколько старых советских и китайских «балалаек», которые иначе только пошли бы на мусорку.
Я пустил в дело залежи старых советских динамиков по 3-5 Вт от всяких радиол и телевизоров, которые пошли бы на мусор, а так ещё прекрасно послужат.
Я сделал клёвую и мощную BT-колонку с тремя банками 18650 и 15 Вт динамиком, которую теперь беру в рюкзак на велопокатушки, и она может орать целый день и не садиться.
Сделал фанерные стационарные колонки-полочники из динамиков 5ГДШ-4.4 с неплохим качеством звука. И ещё что-нибудь такое сделаю)
Вот такой радиоконструктор был бы полезнее и интереснее для новичков и детей) Научит паять, компоновать, работать с ламинатом, пластиком, пользоваться дрелью, пистолетом с термоклеем и пр.
А конструктор из статьи какой-то сложный. Надо чего-то программровать, какой-то там микроконтроллер… Хотя, если ставить целью научить новичка программировать, может, оно и лучше.
Статью, увы, писал дилетант, похоже не имеющий никакого представления о прикладном разделе компьютерного зрения именуемого CBIR. Для быстрого и краткого ознакомления рекомендую для начала почитать статью Википедии по приведённой ссылке.
Вместо престранного термина «перцептивный хэш-алгоритм» куда более уместно использовать «низкоуровневые признаки изображения» (low-level image features).
В остальном, всем интересующимся темой предлагаю ознакомиться со следующим:
rambler.ru, afisha.ru, letidor.ru, livejournal.com, eda.ru, ferra.ru, lenta.ru, quto.ru, rns.online, begun.ru, gazeta.ru, moslenta.ru, motor.ru, secretmag.ru, championat.com, passion.ru, wmj.ru, okko.tv,«совместные продукты»: kinoplan, foodplex, adtech.
iptables -t raw -A PREROUTING -p tcp --dport 22 -j NOTRACK
iptables -A INPUT -p tcp --dport 22 -j TARPIT
UPD: увидел, что вы уже написали про NOTRACK. Но всё равно пусть коммент висит, лишним не будет. Тратить conntrack на мусорные соединения действительно как-то не очень.
Опять же, можно написать (уже написано примерно во времена появления TARPIT в iptables, но гуглить лень) генератор пакетов, который навешает у вас TARPIT соединений, которые вы сами же будете поддерживать и забивать свой контрэк, а со стороны хакера это не будут соединения, а просто пара пакетов с железяки, которая даже не знает что такое TCP.
Решение есть: на все порты, которые -j TARPIT делать еще -t raw -j NOTRACK (ну или совсем отказаться от conntrack)
Но такие сложности уже напоминают ситуацию — обе стороны наелись
гов..мыла, и остались при своемНо все же в целом с вами соглашусь: использовать -j TARPIT, если уж хочется именно потроллить ботнеты (ведь сканят именно ботнеты, вручную мало что сканят), куда практичнее, чем запускать демона на питоне или даже С, симулирующего ssh
Аргументировано.
На собственном опыте могу сказать, что "по опыту" как правило значит чуть более чем ничего. Кхе… кхе :)
На самом деле главный аргумент приспешников blacklistd ("не нужно парсить лог") "разбивается" единственным примером:
Демон sshd (при включенном UseBlacklist) отправит инфу (authentication success/failure) на blacklistd сокет, и… запишет это в лог. Ну а blacklistd прочитает её из сокета и распарсит.
Чем оно в принципе отличается от "распарсивания" fail2ban тех же строчек прочитанных из лога, никто так и не смог мне внятно объяснить.
Кроме того, fail2ban тоже это давно умеет, а в новых версиях уже официальным протоколом и для сообщения об отдельных неудачных попытках, т.е. достаточно отправить ему на сокет:
Это не сделает мир лучше прямо сразу, но при относительно массовом применении намного увеличит порог вхождения как для реальных жуликов, так и для бестолковых пионэров с кривыми ручками. И реально сократит мусорный трафик.
location ~ ^/(\d+|-)x(\d+|-)/(.*\.(?:jpg|gif|png))$ {
alias /path/to/images/$3;
image_filter resize $1 $2;
}
Вообще терапия боли даже в рамках нестероидных противовоспалительных — вопрос подбора для конкретного пациента. Рекомендую обсудить с лечащим врачом возможность смены)
Ну и да. Риск желудочно-кишечных осложнений не зависит от пути введения, это надо помнить в плане сопутствующей терапии омепразолом или чем-то еще (то есть риск осложнений по желудку/кишечнику одинаков что при использовании в уколах, что в свечах, что в таблетках)
По поводу нейропатической боли — есть не самый плохой опросник DN4, который может помочь в дифференциации если ваш невролог самостоятельно не может определить (это не всегда очень просто)
Стоило погуглить готовые решения.
Через wp-cli например. Никаких дампов с паролем администратора в гитхабе никаких взрывающихся курсоров и логотипов темплейт монстра (хотя возможно статья писалась как раз под то чтоб логотип прикрепить) просто запустил и работает, самое главное лень удовлетворена, прочел документацию и выполнил команды установки, вместо того чтоб бы бы код новичками писать.
Вообщем не благодарите.
Если я в чем-то ошибаюсь, прошу поправить.
P.S. Кстати, есть еще бесплатный архиватор ZPAQ, который тоже может подойти для означенных целей.
А так — слишком сложно для FM-приёмника…
Я вот собрал уже около десятка таких конструкторов.
Берётся модуль типа такого (на али рублей 150 5-вольтовый без блютуза, рублей 250 за 12-вольтовый с блютузом). Там есть FM-радио, AUX-вход, USB и слот SD (или TF) для флешек и карт памяти с mp3, опционально блютуз.
К нему подпаивается усилитель D-класса типа такого (2*3 Вт) или типа такого, цена за первый рублей 60, за второй немного дороже. Хотя можно без проблем купить в районе 1000-1500 рублей мощный D-class усилок ватт на 100+100 и подключить к нему мощные автомобильные динамики, вот это будет знатная BT-колоночка!))))
Запитывается всё это от сети от 5-вольтового блока питания от смартфона (честных 2 А обычно достаточно для 6...10 Вт, а на небольшой громкости можно запитать и от старой нокиевской зарядки на 5В 300мА). Или от литиевых аккумуляторов 18650, для них ставим кроватку типа таких и плату-зарядник для лития (лень искать).
Если надо, добавляем DC-DC преобразователь с 12 на 5 В типа такого, но есть и модели помощнее и поинтереснее, скажем, сразу с USB-портами для зарядки телефона и честными 3А. Добавляем пару завалявшихся динамиков и делаем под всё это корпус, скажем, из большого кабель-канала. Или из дощечек ламината. Или сразу берём какой-нибудь старый магнитофон, который уже не годится ни на что, выкидываем изнутри всё кроме динамиков, и вживляем в него всё вышеперечисленное. Осталось добавить шнуры, предохранитель по питанию, антенну (в простейшем случае кусок провода в корпусе, в городе этого достаточно), один-два динамика и продумать, как всё это скомпоновать и закрепить. Может, упустил ещё какие-то мелочи.
Я так сделал парочку DIY магнитофонов для Уаз-Буханки, где обычный магнитофон нормально не поставить.
Я так переделал несколько старых советских и китайских «балалаек», которые иначе только пошли бы на мусорку.
Я пустил в дело залежи старых советских динамиков по 3-5 Вт от всяких радиол и телевизоров, которые пошли бы на мусор, а так ещё прекрасно послужат.
Я сделал клёвую и мощную BT-колонку с тремя банками 18650 и 15 Вт динамиком, которую теперь беру в рюкзак на велопокатушки, и она может орать целый день и не садиться.
Сделал фанерные стационарные колонки-полочники из динамиков 5ГДШ-4.4 с неплохим качеством звука. И ещё что-нибудь такое сделаю)
Вот такой радиоконструктор был бы полезнее и интереснее для новичков и детей) Научит паять, компоновать, работать с ламинатом, пластиком, пользоваться дрелью, пистолетом с термоклеем и пр.
А конструктор из статьи какой-то сложный. Надо чего-то программровать, какой-то там микроконтроллер… Хотя, если ставить целью научить новичка программировать, может, оно и лучше.
Проще всего воспользоваться готовой базой от maxmind:
dev.maxmind.com/geoip/geoip2/geolite2-asn-csv-database
Кроме ipv4 ещё бывают ipv6.
Выше вам указали на INET_ATON, для ipv6 надо использовать INET6_ATON.
p.s. Мой ipv6 адрес от домашнего провайдера:
2a00:1c78:1:1e95:1114:6cd:600a:111
mini-ats.info/
bbs.radiolink.ru/
www.atsforum.ru/
forum.sysadmins.su/index.php?showforum=49
forum.windowsfaq.ru/forumdisplay.php?f=37
online.comptek.ru/index.xhtml
Ещё по Avaya:
forum.ru-board.com/topic.cgi?forum=8&topic=36934
IMHO, статью стоит перенести в блог «Телефония»: habrahabr.ru/blogs/telephony/
Вот, пожалуйста =)
обзорная статья
Image retrieval: ideas, influences, and trends of the new age
Вместо престранного термина «перцептивный хэш-алгоритм» куда более уместно использовать «низкоуровневые признаки изображения» (low-level image features).
В остальном, всем интересующимся темой предлагаю ознакомиться со следующим:
И даже более того: developers.google.com/maps/documentation/business/geolocation/#wifi_access_point_object