Да что вы говорите? А я вот хотел верить (сарказм). Самоподписные сертификаты это геморой с деплойментом root-сертификата на клиенты. Я вам сейчас открою секрет(наверное), но для получения LE сертификата, вообще не нужно чтоб он обращался к сайту, достаточно проверки по DNS. Еще раз - не всё так просто. Не всё поддерживает автообновление сертификатов. Делать костыли можно, но точно не нужно, если оплата 15-20$ в год. Поэтому я и написал, что при грядущем сокращении сроков, смысл в покупке отпадет. Но никто не будет менять оборудование за которое заплатили кучу $$$ и которое не поддерживает автообновление, а тупо придется ручками заливать или делать костыльные скрипты.
Всё так и есть, но всегда есть ньюанс. Например куча старого оборудования и софта никак не предназначена для автоматического обновления сертификатов, и не прикрутишь это никак нативно. Можно конечно вешать прокси перед системой, но это уже костыль. А что делать с не-веб системами с сертификатами? В итоге, все ещё приходится покупать что то на год, потому что делать это все мануально раз в 3 месяца напряжно. Благо, как заявили, все сертификаты к 27-му году будут выдавать не более чем на 40 дней. Вот именно это окончательно убьет индустрию продаж. Когда не будет выбора ,и все равно придется обновлять раз в месяц+, покупать уж точно никто не будет. Сейчас некоторые крупные финансовые компании до сих пор грешат тем, что заставляют чтоб при интерконнекте у контрагента были дорогие сертификаты с доп проверкой и т.д., думаю это скоро останется в прошлом.
Любая уважающая себя компания имеет NAC, для того чтобы к порту абы кто не подключился.
В случае жлобства будет достаточно даже 802.1X на портах.
Нормальный админ позаботится об этом, хотя б для того чтоб исключить свою головную боль.
Никто сетевые розетки не держит "для всех".
ЗЫ: тут пишут про службу безопасности и алерты - так вот, это уже второй уровень, ибо устали уже от "умников", сейчас проще запретить. И в таком случае алерты действительно имеют значения, в противном случае, большое количество алертов вызывает "привыкание", и как результат - вас взломали.
Да уж. обмельчали DevOps, аж так, что пишут на хабр исключительно на опыте dev.
Если бы ТС действительно работал с докером, он бы не опустился до той чуши, которую мы здесь прочли.
В данном случае не имеет значения куда и что пробрасывать, совершенно.
Мы просто меняем механизм маршрутизации с управления на файрволе в таблице mangle, на управление в помощью ip rule.
Так же как в линукс-е.
Конечно, в некоторых исключительных случаях не обойтись без mangle, но в данном случае он абсолютно не нужен.
Автор, я так понимаю, не совсем в теме.
Вместо того что-бы маркировать (routing-mark=) в данном случае запросто можно обойтись:
/ip route rules
раскидав по таблицам маршрутизации.
Так как описано в статье делалось на микротиках очень давно.
как пример, чтоб пакеты уходи с того интерфейса, на который пришли:
/ip route rule
add interface=vlan2 src-address=192.168.1.1 table=RES
add interface=vlan3 src-address=172.16.1.1 table=OFC
Писатели намеренно вводят в заблуждение по ss и netstat чтоль?
по ss вывели только tcp (-ant), а по netstat всё (-an).
И да, на разных серверах сравнение ss и netstat не всегда дает преимущество ss, иногда совсем наоборот.
Какой-то детский сад прям, а не DevOps.
И еще, почему не упомянули про ansible-galaxy, ну хотя бы в аспекте создания проекта (папок), например:
# ansible-galaxy init common -p roles
Да что вы говорите? А я вот хотел верить (сарказм). Самоподписные сертификаты это геморой с деплойментом root-сертификата на клиенты. Я вам сейчас открою секрет(наверное), но для получения LE сертификата, вообще не нужно чтоб он обращался к сайту, достаточно проверки по DNS. Еще раз - не всё так просто. Не всё поддерживает автообновление сертификатов. Делать костыли можно, но точно не нужно, если оплата 15-20$ в год. Поэтому я и написал, что при грядущем сокращении сроков, смысл в покупке отпадет. Но никто не будет менять оборудование за которое заплатили кучу $$$ и которое не поддерживает автообновление, а тупо придется ручками заливать или делать костыльные скрипты.
Всё так и есть, но всегда есть ньюанс. Например куча старого оборудования и софта никак не предназначена для автоматического обновления сертификатов, и не прикрутишь это никак нативно. Можно конечно вешать прокси перед системой, но это уже костыль. А что делать с не-веб системами с сертификатами? В итоге, все ещё приходится покупать что то на год, потому что делать это все мануально раз в 3 месяца напряжно. Благо, как заявили, все сертификаты к 27-му году будут выдавать не более чем на 40 дней. Вот именно это окончательно убьет индустрию продаж. Когда не будет выбора ,и все равно придется обновлять раз в месяц+, покупать уж точно никто не будет. Сейчас некоторые крупные финансовые компании до сих пор грешат тем, что заставляют чтоб при интерконнекте у контрагента были дорогие сертификаты с доп проверкой и т.д., думаю это скоро останется в прошлом.
Любая уважающая себя компания имеет NAC, для того чтобы к порту абы кто не подключился.
В случае жлобства будет достаточно даже 802.1X на портах.
Нормальный админ позаботится об этом, хотя б для того чтоб исключить свою головную боль.
Никто сетевые розетки не держит "для всех".
ЗЫ: тут пишут про службу безопасности и алерты - так вот, это уже второй уровень, ибо устали уже от "умников", сейчас проще запретить. И в таком случае алерты действительно имеют значения, в противном случае, большое количество алертов вызывает "привыкание", и как результат - вас взломали.
Совершенно непонятно зачем такое городить то? Внутри между собой контейнеры в одной сети могут обращаться друг к другу по имени + на любой порт.
так же, только счета в нуль.
У меня получилось вернуться с платной подписки на бесплатную через саппорт только что.
Какой ужас - использовать при включенном vdom, домен root как рабочий…
Вам бы за это руки оторвать. В таком случае отключите vdom, или создайте отдельный рабочий домен, а root оставьте как management.
Да уж. обмельчали DevOps, аж так, что пишут на хабр исключительно на опыте dev.
Если бы ТС действительно работал с докером, он бы не опустился до той чуши, которую мы здесь прочли.
Сейчас уже даже в китайских железках pjsip… А эти всё дрочат на chan_sip.
Статья отстой полный.
Можно же переадресовывать напрямую на 127.0.0.1 на 1080.
Если читал, но так ничего и не понял, какую несуразицу он написал, это плачевно, очень плачевно.
зачем 2 раза использовать
если можно один раз, и результат держать в переменной.
а вот когда речь пойдет о полноценном PBR, вот тогда без mangle не обойтись.
Мы просто меняем механизм маршрутизации с управления на файрволе в таблице mangle, на управление в помощью ip rule.
Так же как в линукс-е.
Конечно, в некоторых исключительных случаях не обойтись без mangle, но в данном случае он абсолютно не нужен.
Вместо того что-бы маркировать (routing-mark=) в данном случае запросто можно обойтись:
/ip route rules
раскидав по таблицам маршрутизации.
Так как описано в статье делалось на микротиках очень давно.
как пример, чтоб пакеты уходи с того интерфейса, на который пришли:
/ip route rule
add interface=vlan2 src-address=192.168.1.1 table=RES
add interface=vlan3 src-address=172.16.1.1 table=OFC
/ip route
add check-gateway=arp distance=8 gateway= 192.168.1.2 routing-mark=RES
add check-gateway=arp distance=9 gateway=172.16.1.2 routing-mark=OFC
С каких пор такие мануалы, темы для хабра?
по ss вывели только tcp (-ant), а по netstat всё (-an).
И да, на разных серверах сравнение ss и netstat не всегда дает преимущество ss, иногда совсем наоборот.
И еще, почему не упомянули про ansible-galaxy, ну хотя бы в аспекте создания проекта (папок), например:
# ansible-galaxy init common -p roles