Разбираем настройку отказоустойчивого балансировщика 3proxy для n8n в Docker. Фиксим DNS-затупы на 26 секунд через внутренний резолвер 127.0.0.11 и решаем проблему Permission denied внутри контейнера через запуск от пользователя 0:0. Внутри — готовый docker-compose и конфиг для балансировки пула внешних прокси.
И снова здравствуйте. В прошлый раз мы подробно разбирали технологию частотной синхронизации SyncE, в позапрошлый пробежались по верхушкам профиля G.8275.2 ATR. Сегодня же с интересом будем препарировать никем неиспользуемый базовый протокол IEEE 1588v2 или PTPv2 Default Profile. Планируется много любопытного: поностальгируем о былых деньках, натянем STP на маршрутизаторы, всем миром извинимся перед афроамериканцами, заглянем в миллион дампов, устанем смотреть картинки, как следует изучим всю матчасть, поднаберемся нужных словечек, чтобы уже в следующем акте со всей необходимой теоретической базой че-нить куда-нить внедрить и даже по траблшутить.
Читая статьи про прокси, можно подумать, что VLESS с XHTTP — это чуть ли не единственный рабочий протокол проксирования в условиях блокировок. На самом деле существуют не менее современные альтернативы. Сегодня я расскажу о протоколе Naive, его особенностях, а также о настройке клиента и сервера с использованием sing-box и Caddy.
DNS — неотъемлемая и очень важная часть инфраструктуры, о которой иногда забывают. Порой её воспринимают как нечто само собой разумеющееся, что просто всегда есть и работает. Вспоминают о ней обычно при странных багах, которые сложно диагностировать, или авариях, которые рушат всю инфраструктуру на часы.
Некоторое время назад я добрался до задачи рефакторинга DNS инфраструктуры — чтобы сделать её проще, удобнее и надежнее. В этой статье я хочу поделиться своим опытом и расскажу, как у нас получилось сделать внутренний распределенный DNS и управлять им как кодом.
VPN в России формально не запрещён.
Но если вы попробуете сегодня поднять свой VPN на российском VPS — есть шанс, что завтра вам просто отключат сервер.
Без суда. Без объяснений. Просто потому что «так надо».
В пакет «Антифрод 2.0» тихо добавили правки, которые превращают хостинг-провайдеров из нейтральных посредников в контролёров. Теперь они должны проверять клиентов, сверяться с базами Роскомнадзора и, если что — разрывать договор.
Как хостер должен понять, что у вас внутри VPS — корпоративный VPN или «неправильный» туннель?
Как отличить разработчика, который подключается к серверу, от человека, который просто смотрит YouTube?
И главное — кто будет платить за весь этот контроль?
Параллельно происходит ещё кое-что:
- операторы замораживают расширение каналов в Европу
- крупные сервисы уже режут пользователей с VPN
- из App Store исчезают десятки "неугодных" VPN-сервисов
- бизнесу рассылают методички «как искать VPN»
Всё это начинает складываться в систему.
Не запретить напрямую — а сделать использование максимально неудобным, дорогим и рискованным.
Гайки закручиваются. И в этот раз — не только для «обходчиков блокировок».
Иногда случается такая задача: за непродолжительное время нужно проверить или продемонстрировать работу сетевого оборудования с авторизацией через tacacs. На стенде, с не очень большим количеством устройств (в пределах пары десятков). Но на вопрос про «подключение виртуалки с tacacs+» выясняется, что в текущих реалиях – никак. А вариант «оставить на пару недель свой ноут» (на котором есть VmWare WS с нужной виртуалкой) ну совсем не прельщает.
Эта статья описывает, как внедрить TACACS.NET на Windows в рамках стенда: от базовой настройки до проверки работоспособности и типовых моментов, которые всплывают при первом запуске. Ориентирована на системных инженеров и администраторов, которым нужно быстро перейти от «чистого Windows» к конфигурации для работы на стенде.
Привет всем! Меня зовут Саша Иргер, я эксперт по разработке ПО в департаменте проектирования и разработки пакетного ядра сети в YADRO. Вчера мой коллега опубликовал на Хабре статью про Policy Control: как и зачем классифицировать трафик в сотовой сети. Сегодня продолжу тему и разберу, как конкретно работает User Plane. По сути, он организован так, чтобы удовлетворить требования от Policy Control. Давайте посмотрим, что здесь интересного.
Привет, Хабр! Меня зовут Алексей, и я продолжаю копаться в беспроводных технологиях. В прошлый раз мы настраивали Wi-Fi в OpenWrt для максимальной стабильности и покрытия. Сегодня я хочу поговорить о другой, не менее увлекательной теме - мониторинге беспроводного эфира с помощью легедарного роутера TP-Link MR3020.Многие скажут: «Зачем мне это? У меня и так всё работает». А я отвечу: возможности, которые открываются, могут удивить. Давайте сразу к делу.
В апреле 2026 года мы выпускаем обновление Ideco NGFW Novum. Это плановый релиз, в котором развиваются пять направлений: централизованное управление, защита DNS, управление удалённым доступом, SD-WAN и кластеризация. Ниже разбираем, что именно изменилось и какие задачи это решает.
В IETF появился draft, который обещает интернет без dual-stack, без CGNAT и без мучительного перехода. Спасение для всех, кто двадцать лет тащит IPv6 в гору, не станет будущим сети.
draft-thain-ipv8-00, опубликованный 14 апреля 2026 года на бумаге выглядит слишком хорошо: IPv4 становится подмножеством IPv8, dual-stack будто бы больше не нужен, каждому владельцу ASN достаётся по 2^32 адресов хостов, а сеть получает единую управляемую платформу вместо нынешнего зоопарка из разрозненных сервисов.
История с IPv8 интересна не как новость про новый IP-протокол. Она очень громко показывает, насколько индустрия устала от бесконечного, вязкого и дорогого перехода на IPv6.
Вы открываете YouTube, Twitch или просто обновляете приложение — и, возможно, уже скоро за это придётся платить как за «иностранный трафик».
По обсуждаемым инициативам, после 15 ГБ в месяц каждый дополнительный гигабайт может стоить около 150 рублей — формально для борьбы с VPN.
Звучит просто: VPN = зарубежный сервер = иностранный трафик.
Значит, нужно просто посчитать и ограничить.
Проблема в том, что интернет так не работает.
Тот же Twitch сегодня может отдавать вам видео из локального кэша в вашем городе, а завтра — из Франкфурта. API вашего приложения может находиться в Нидерландах, а сайт с российским доменом — работать через зарубежный CDN.
И в какой-то момент становится непонятно: где вообще проходит граница между «нашим» и «чужим» трафиком?
Я решил разобраться в этом с технической стороны:
- что на самом деле видит провайдер
- почему он не может «заглянуть внутрь» вашего трафика
- как устроены VPN и чем они отличаются (или не отличаются) от обычного HTTPS
- можно ли реально отличить VPN от обычного трафика
- и почему идея считать «иностранные гигабайты» выглядит куда более спорной, чем кажется
И главный вопрос, к которому всё это приводит: можно ли вообще технически корректно реализовать такие ограничения да так, чтобы не сломать половину интернета?
Если коротко — всё чуть сложнее, чем звучит в новостях.
Привет, Хабр! Меня зовут Влад Редров, я старший инженер-программист в отделе разработки компонентов опорной сети 5G в YADRO. Сегодня расскажу про Policy and Charging Control (PCC): будем ставить проблемы, а потом через способы их решения наращивать набор PCC-фич и осознавать логику их работы. Разберем, как ограничивать скорость сессии для каждого мобильного устройства через Session-AMBR и QoS-характеристики, применять QoS-характеристики к разным сервисам, тарифицировать каждый сервис отдельно и еще много всего интересного. Погнали!
Если вы когда-нибудь пытались поднять прокси для Telegram на сервере, то знаете, что такое «мессенджер не грузит».
В этой инструкции я предлагаю рассмотреть подробную, пошаговую установку MTproto, при помощи MTProto Panel и MTProto Node и для VLESS+REALITY используем 3x-ui.
Недавно выяснилось, что довольно легко на смартфоне (Android) передать IP VPS в РКН с учеом следующих вещей:
1. Многие российские сервисы превращаются в филиалы РКН.
2. Приложение на Android может получить список сетевых интерфейсов на устройстве через NetworkInterface/ConnectivityManager. После чего обнаружить IP-адрес путем выполнения сетевого запроса через найденный интерфейс: curl -shttps://ifconfig.me/ip --interface $interface либо найдя запущенный socks5 прокси без авторизации. И от этой проблемы страдают большинство клиентов
Но как обстоят дела на desktop?
Всем привет, расскажу про свою конфигурацию для доступа к своему любимому Youtube и нужным мне сервисам.
Буду излагать максимально лаконично и без всяких ИИ.
Данная конфигурация решает на корню проблемы следящих приложений, кроме одного комичного. О нём я немного опишу чуть ниже.
Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту.
С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.
Всем привет!
Если вы хоть раз пытались свести список установленного ПО из разных источников, вы знаете, как это выглядит. Один и тот же продукт может приезжать как MS Office 2019, Microsoft Office Pro, Office 19 x64 или вообще без версии (как вам, например, MS Comp Ivanov?).
С такими данными дальше приходится жить: нормализовать, сопоставлять, пытаться понять, что у вас вообще установлено и что с этим делать.
Мы в Инферит ИТМен как раз занимаемся этими задачами — развиваем систему учета и контроля ИТ-инфраструктуры. Недавно усилили ее в этой части: добавили библиотеку ПО «Призма данных».
— Дед, Gmail опять всё перекрутил. Письма теряются, половина — реклама, интерфейс другой, ничего не понятно. Ты же у нас главный по всяким проводам, придумай что‑нибудь.
Я посмотрел на него, потом на старый систем ник в углу комнаты, на наш деревенский интернет, который любит падать в самый неподходящий момент, и вдруг поймал себя на мысли: а действительно, почему бы не попробовать завести почту «по‑стариковски» — на своём домене, на своём сервере, со своими правилами. Не потому что я лучше Google, а потому что интересно понять, сколько сегодня стоит «своя почта» для обычного человека из глуши и можно ли на ней жить в реальном, а не лабораторном деревенском быту.
Начал я, как ни странно, не с железа, а с имени.
Объяснил внуку, что домен — это человеческое имя вместо голых цифр. Ящик vnyuk@ded-v-derevne.ru звучит всё‑таки повеселее, чем vanya2008_mega@какой‑нибудь‑бесплатный‑сервис. Домен зарегистрировали, я зашёл в панель и занялся тем, что обычно никого не волнует, пока всё работает, — настройкой записей, которые говорят остальному миру, куда нести письма.
Рассказывал внуку на пальцах: вот у нас есть «адрес дома» — запись, где написано, на какой IP смотреть, когда кто‑то ищет ded-v-derevne.ru. Есть особая запись для почты — мол, «письма складывать вот сюда, в этот ящик на сервере». Есть ещё строка с перечислением тех, кому вообще можно доверять отправку писем от нашего имени — чтобы спамеры не прикидывались нами. Для него это звучало как какая‑то бюрократия, для меня — как привычная настройка, которой просто давно не занимался.
Мы покажем что конкретно остаётся на iOS и Android после удаления Telegram и Signal, через какие инструменты это находится и сколько времени проходит, прежде чем артефакты начинают исчезать.
Я никогда не понимал, как именно traceroute обнаруживает каждый сетевой переход. Оказывается, всё дело в хитром трюке с TTL и примерно в 80 строках на Rust.
