Pull to refresh
55
0
Andrey Sorokin @shadowalone

Пользователь

Send message
  1. Любая уважающая себя компания имеет NAC, для того чтобы к порту абы кто не подключился.

  2. В случае жлобства будет достаточно даже 802.1X на портах.

Нормальный админ позаботится об этом, хотя б для того чтоб исключить свою головную боль.

Никто сетевые розетки не держит "для всех".

ЗЫ: тут пишут про службу безопасности и алерты - так вот, это уже второй уровень, ибо устали уже от "умников", сейчас проще запретить. И в таком случае алерты действительно имеют значения, в противном случае, большое количество алертов вызывает "привыкание", и как результат - вас взломали.

Совершенно непонятно зачем такое городить то? Внутри между собой контейнеры в одной сети могут обращаться друг к другу по имени + на любой порт.

так же, только счета в нуль.

У меня получилось вернуться с платной подписки на бесплатную через саппорт только что.

Какой ужас - использовать при включенном vdom, домен root как рабочий…

Вам бы за это руки оторвать. В таком случае отключите vdom, или создайте отдельный рабочий домен, а root оставьте как management.

Да уж. обмельчали DevOps, аж так, что пишут на хабр исключительно на опыте dev.
Если бы ТС действительно работал с докером, он бы не опустился до той чуши, которую мы здесь прочли.

Я тоже этому поражаюсь.
Сейчас уже даже в китайских железках pjsip… А эти всё дрочат на chan_sip.
Статья отстой полный.
Зачем здесь вообще redsocks?
Можно же переадресовывать напрямую на 127.0.0.1 на 1080.
Автор сам читал что написал?
Если читал, но так ничего и не понял, какую несуразицу он написал, это плачевно, очень плачевно.
Мало того что это костыль, так еще и костыль с костылём внутри:
зачем 2 раза использовать
asterisk -rx 'core show channels concise'

если можно один раз, и результат держать в переменной.
ну так а я о чём «с утра» написал?
а вот когда речь пойдет о полноценном PBR, вот тогда без mangle не обойтись.
В данном случае не имеет значения куда и что пробрасывать, совершенно.
Мы просто меняем механизм маршрутизации с управления на файрволе в таблице mangle, на управление в помощью ip rule.
Так же как в линукс-е.

Конечно, в некоторых исключительных случаях не обойтись без mangle, но в данном случае он абсолютно не нужен.
я имею ввиду, что вместо того чтоб городить кучу правил в mangle, достаточно направить в отдельную таблицу маршрутизации.
Автор, я так понимаю, не совсем в теме.
Вместо того что-бы маркировать (routing-mark=) в данном случае запросто можно обойтись:
/ip route rules
раскидав по таблицам маршрутизации.

Так как описано в статье делалось на микротиках очень давно.

как пример, чтоб пакеты уходи с того интерфейса, на который пришли:
/ip route rule
add interface=vlan2 src-address=192.168.1.1 table=RES
add interface=vlan3 src-address=172.16.1.1 table=OFC

/ip route
add check-gateway=arp distance=8 gateway= 192.168.1.2 routing-mark=RES
add check-gateway=arp distance=9 gateway=172.16.1.2 routing-mark=OFC

Зачем это здесь?
С каких пор такие мануалы, темы для хабра?
Писатели намеренно вводят в заблуждение по ss и netstat чтоль?
по ss вывели только tcp (-ant), а по netstat всё (-an).
И да, на разных серверах сравнение ss и netstat не всегда дает преимущество ss, иногда совсем наоборот.
Какой-то детский сад прям, а не DevOps.
И еще, почему не упомянули про ansible-galaxy, ну хотя бы в аспекте создания проекта (папок), например:
# ansible-galaxy init common -p roles

Information

Rating
Does not participate
Date of birth
Registered
Activity