Массив продолжал работать, просто zpool пометил что диск не готов. Через detach отключил диск. Пытался решить проблему программно. На определенной области на запись система висла и сыпала ошибками на сектора, SMART диска и его журнал о проблемах не сигнализировал. Так как программно не решил проблему, хотел уже нести его по гарантии. Когда снял и осмотрел диск обнаружил подтеки. Очистил и решил по быстрому проверить его на USB-NVMe адаптере. Он после процедуры очистки ожил. Как то так...
Логи не сохранились, так как изначально не было цели писать статью. После инцидента обслужил полностью ПК где были диски и пересобрал загрузочный zpool, на то были свои причины поменять конфигурацию (давно руки не доходили просто). В тот момент не думал что выльется во что то большее
Возможность гибкого изменения количества ВМ на которых происходит сборка образов, не оглядываясь на количество лицензий в наличии. Если потребуется, VirtualBox можно установить локально на своих машинах, для наладки процесса и тестирования и т.д.
Хочу поделиться способом блокировки трафика SMB за пределами локальной сети средствами брандмауэра Windows.
Ниже представлено содержимое пакетного файла bat вносящего изменения в правила брандмауэра Windows. Для запуска пакетного файла требуются права администратора. Работа пакетного файла проверялась на Windows 7.
Перед применением правил создается файл с текущими правилами брандмауэра Windows «c:\tmp\log_rule_org.txt», после применения правил создается файл с новыми правилами — «c:\tmp\log_rule_new.txt». Соответственно сравнив эти два файла можно проверить изменения в правилах брандмауэра.
В правила вносится блокировка SMB трафика для всех IP адресов IPv4 за исключением частных адресов: 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.
Windows7-Netsh_AdvFirewall_Firewall.bat
@chcp 1251
netsh advfirewall firewall show rule name=all > c:\tmp\log_rule_org.txt
Наработка растет, следовательно вероятность отказов тоже.
Массив продолжал работать, просто zpool пометил что диск не готов. Через detach отключил диск. Пытался решить проблему программно. На определенной области на запись система висла и сыпала ошибками на сектора, SMART диска и его журнал о проблемах не сигнализировал.
Так как программно не решил проблему, хотел уже нести его по гарантии. Когда снял и осмотрел диск обнаружил подтеки. Очистил и решил по быстрому проверить его на USB-NVMe адаптере. Он после процедуры очистки ожил. Как то так...
Логи не сохранились, так как изначально не было цели писать статью. После инцидента обслужил полностью ПК где были диски и пересобрал загрузочный zpool, на то были свои причины поменять конфигурацию (давно руки не доходили просто). В тот момент не думал что выльется во что то большее
Спасибо @Exosphere за помощь с публикацией!
Этап тестирования в статье не освещен. Тестирование образов будет требоваться и при использовании Workstation.
Возможность гибкого изменения количества ВМ на которых происходит сборка образов, не оглядываясь на количество лицензий в наличии. Если потребуется, VirtualBox можно установить локально на своих машинах, для наладки процесса и тестирования и т.д.
Ниже представлено содержимое пакетного файла bat вносящего изменения в правила брандмауэра Windows. Для запуска пакетного файла требуются права администратора. Работа пакетного файла проверялась на Windows 7.
Перед применением правил создается файл с текущими правилами брандмауэра Windows «c:\tmp\log_rule_org.txt», после применения правил создается файл с новыми правилами — «c:\tmp\log_rule_new.txt». Соответственно сравнив эти два файла можно проверить изменения в правилах брандмауэра.
В правила вносится блокировка SMB трафика для всех IP адресов IPv4 за исключением частных адресов: 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.
Windows7-Netsh_AdvFirewall_Firewall.bat
@chcp 1251
netsh advfirewall firewall show rule name=all > c:\tmp\log_rule_org.txt
:: SMB 137 (TCP, UDP)
netsh advfirewall firewall add rule name=«SMB_137(TCP-In)» dir=In action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=137 remoteport=any protocol=tcp
netsh advfirewall firewall add rule name=«SMB_137(UDP-In)» dir=In action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=137 remoteport=any protocol=udp
netsh advfirewall firewall add rule name=«SMB_137(TCP-Out)» dir=out action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=any remoteport=137 protocol=tcp
netsh advfirewall firewall add rule name=«SMB_137(UDP-Out)» dir=out action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=any remoteport=137 protocol=udp
:: SMB 138 (UDP)
netsh advfirewall firewall add rule name=«SMB_138(UDP-In)» dir=In action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=138 remoteport=any protocol=udp
netsh advfirewall firewall add rule name=«SMB_138(UDP-Out)» dir=out action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=any remoteport=138 protocol=udp
:: SMB 139 (TCP)
netsh advfirewall firewall add rule name=«SMB_139(TCP-In)» dir=In action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=139 remoteport=any protocol=tcp
netsh advfirewall firewall add rule name=«SMB_139(TCP-Out)» dir=out action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=any remoteport=139 protocol=tcp
:: SMB 445 (TCP, UDP)
netsh advfirewall firewall add rule name=«SMB_445(TCP-In)» dir=In action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=445 remoteport=any protocol=tcp
netsh advfirewall firewall add rule name=«SMB_445(UDP-In)» dir=In action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=445 remoteport=any protocol=udp
netsh advfirewall firewall add rule name=«SMB_445(TCP-Out)» dir=out action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=any remoteport=445 protocol=tcp
netsh advfirewall firewall add rule name=«SMB_445(UDP-Out)» dir=out action=block enable=yes profile=any localip=any remoteip=0.0.0.0-9.255.255.255,11.0.0.0-126.255.255.255,128.0.0.0-172.15.255.255,172.32.0.0-192.167.255.255,192.169.0.0-255.255.255.255 localport=any remoteport=445 protocol=udp
netsh advfirewall firewall show rule name=all > c:\tmp\log_rule_new.txt
@pause