Почти что всё не соответствует действительности. Начиная с утверждения что нужно генерировать публичный ключ. Остановился на утверждении, что нужно использовать 30 маску для p2p L3 подключения
Простите, а как вы с помощью iptables создали ipsec? Или хотя бы GRE? Или любой другой VPN? просто, кажется, тема не раскрыта. И где цепочка Security? И где пояснение для сего существуют разные таблицы и разные чайны? И куда поделились на ноль другие встроенные чайны? И про ограничение скорости немножко очень недосказанно...
Ни в чём нельзя быть уверенным на все 100%. Предположим, что при каждом обновлении есть шанс в N%, что появятся ошибки. Это нормально. Теперь следует посмотреть на пользовательскую активность по дням недели. Как правило, к выходным количество активных клиентов возрастает, а к понедельнику снижается. Это связанно не только с выходными разработчиков, но и, по случайному стечению обстоятельств, с выходными большой массы населения. Если простой в будни обернётся достаточно серьёзными потерями (как финансовыми, так и репутационными), то такой же инцидент в выходные становится просто катастрофой.
Дело не в том, что разработчики должны отдохнуть, хотя и это тоже. Дело в том, что риск того, что все сотрудники будут вне кондиции к моменту аврала очень неиллюзорный ибо пятница традиционно ассоциируется с алкоголем (но не у всех).
Умножаем гипотетические потери в час на шанс найти ответственного специалиста, готового оперативно и на трезвую голову починить всё. Выходит, лучше в пятницу с определённого времени (например, со второй половины дня) воздержаться от обновлений. Даже для тех, у кого смена.
Ответ на задачу "От 6 до 21". Найдём минимальное количество человек. Сказано, что две являются матерями, то есть считается, что роды успешные. Но одна из двух женщин в комнате могла родить девочку - вот и третья женщина в комнате. Итого: 2 роженицы, одна новорожденная девочка и один новорожденные мальчик - это 4. Плюс 2 папы. Итого - минимально 6 человек. Найдём максимальное количество человек. Согласно Википедии, (https://en.wikipedia.org/wiki/Nadya_Suleman) есть факт рождения восьмерняшек. Примем эту цифру за максимально возможное количество детей (мои овации матери-героине!). Пусть все 16 новорожденных - мальчики. Плюс 3 женщины. Плюс два папаши. Итого максимально 21 человека. Но это не точно =)
Это официальная рекомендация от RedHat. Может, пришло время начать отказываться от наследия initd и переходить на более современные сетевые рендереры: NetworkManager и systemd-networkd?
Хороший вопрос. Это чтобы разрешить с внутренней сети подключаться по ssh =))) добавляем в ipset нужную подсеть и нужный интерфейс и то же самое правило разрешает работать в локалке
Это не значит, что не было сброса всего VPN соединения. Представим, что на одном интерфейсе у вас висит, допустим, 100 соединений.. И для того, чтобы изменить или добавить одно, придётся рвать соединение со всеми? Утилита wg-quick именно что тушит интерфейс, а потом создаёт его заново. Убедиться можно, изучив логи.
В теории, всё именно так, как вы и сказали. На практике, если не выставлять этот параметр, даже без NAT соединение может рваться наглухо. Вплоть до необходимости переподнимать wg с обоих сторон
И почему же?
Почти что всё не соответствует действительности. Начиная с утверждения что нужно генерировать публичный ключ. Остановился на утверждении, что нужно использовать 30 маску для p2p L3 подключения
Для ситуации с майнингом:
Бельишко крутится - лавэшка мутится
Конечно же, говоря про "цепочку Security" я имел в виду таблицу Security
Использование Iptables для создания VPN
Простите, а как вы с помощью iptables создали ipsec? Или хотя бы GRE? Или любой другой VPN? просто, кажется, тема не раскрыта. И где цепочка Security? И где пояснение для сего существуют разные таблицы и разные чайны? И куда поделились на ноль другие встроенные чайны? И про ограничение скорости немножко очень недосказанно...
Ни в чём нельзя быть уверенным на все 100%. Предположим, что при каждом обновлении есть шанс в N%, что появятся ошибки. Это нормально. Теперь следует посмотреть на пользовательскую активность по дням недели. Как правило, к выходным количество активных клиентов возрастает, а к понедельнику снижается. Это связанно не только с выходными разработчиков, но и, по случайному стечению обстоятельств, с выходными большой массы населения. Если простой в будни обернётся достаточно серьёзными потерями (как финансовыми, так и репутационными), то такой же инцидент в выходные становится просто катастрофой.
Дело не в том, что разработчики должны отдохнуть, хотя и это тоже. Дело в том, что риск того, что все сотрудники будут вне кондиции к моменту аврала очень неиллюзорный ибо пятница традиционно ассоциируется с алкоголем (но не у всех).
Умножаем гипотетические потери в час на шанс найти ответственного специалиста, готового оперативно и на трезвую голову починить всё. Выходит, лучше в пятницу с определённого времени (например, со второй половины дня) воздержаться от обновлений. Даже для тех, у кого смена.
Ответ на задачу "От 6 до 21".
Найдём минимальное количество человек. Сказано, что две являются матерями, то есть считается, что роды успешные. Но одна из двух женщин в комнате могла родить девочку - вот и третья женщина в комнате. Итого: 2 роженицы, одна новорожденная девочка и один новорожденные мальчик - это 4. Плюс 2 папы. Итого - минимально 6 человек.
Найдём максимальное количество человек. Согласно Википедии, (https://en.wikipedia.org/wiki/Nadya_Suleman) есть факт рождения восьмерняшек. Примем эту цифру за максимально возможное количество детей (мои овации матери-героине!). Пусть все 16 новорожденных - мальчики. Плюс 3 женщины. Плюс два папаши. Итого максимально 21 человека. Но это не точно =)
Это официальная рекомендация от RedHat. Может, пришло время начать отказываться от наследия initd и переходить на более современные сетевые рендереры: NetworkManager и systemd-networkd?
https://www.redhat.com/sysadmin/configure-network-ansible-roles
Хороший вопрос. Это чтобы разрешить с внутренней сети подключаться по ssh =))) добавляем в ipset нужную подсеть и нужный интерфейс и то же самое правило разрешает работать в локалке
поделитесь, пожалуйста, какой это дистрибутив?
А вот и нашёл
https://github.com/WireGuard/wireguard-tools/blob/master/src/systemd/wg-quick%40.service
Вот только опять же не будут добавлены маршруты
Ни в system unit.service не нашёл описания reload, ни у wg-quick
Да, всё верно. но сама утилита wg не добавляет маршруты. Маршрутами занимается указанная вами утилита wg-quick
wg самостоятельно ничего не добавляет. Вы, скорее всего, имеете в виду утилиту wg-quick из набора wireguard-tools?
Это не значит, что не было сброса всего VPN соединения. Представим, что на одном интерфейсе у вас висит, допустим, 100 соединений.. И для того, чтобы изменить или добавить одно, придётся рвать соединение со всеми?
Утилита wg-quick именно что тушит интерфейс, а потом создаёт его заново. Убедиться можно, изучив логи.
В теории, всё именно так, как вы и сказали. На практике, если не выставлять этот параметр, даже без NAT соединение может рваться наглухо. Вплоть до необходимости переподнимать wg с обоих сторон
С нетерпением жду ваш вариант. Мне он уже по нраву =)))
Тогда если завтра выйдет пост про реализацию PortKnocking через NFQueue, то это буду либо я, либо наши сеньоры =))
Шутка.
Согласен. Впредь буду постараться яснее проецировать мысли на бумагу