Это невозможно. Будет разброд и шатание. Невозможность внутренней мобильности.
Стек внутренних технологий своеобразен, поэтому преимущество "внутренней мобильности" - отсутствие временных затрат на погружение/обучение. И кто сказал, что при миграции между подразделениями, не бывает не формальных собесов?
Часто даже писать не нужно, "изучи инструмент с которым работаешь", есть убер комбайн telegraf, который превращает что угодно в метрики, позволяя дополнительно манипулировать данными. Корреляции, гистерезис, аномалии — все мимо без хранилища. Это не вопрос религии, это вопрос проектирования, архитектуры и ресурсов
Если метрику сложно собрать имеющимися инструментами, а также дополнительно нужно обработать какой-то логикой — пишется свой Prometheus exporter который отдаст заветное 42. В подавляющем большинстве он примитивен. Аналогично решается задача кастомной метрикой в zabbix. IMHO прекрасный образовательный проект получился, практические применение выглядит не убедительно
А про knockd речи не было, перечитайте ветку, тут предлагали fail2ban как панацею, на очевидные недостатки которого я и указал. Честно говоря не очень понимаю в чем корявость решения? Оно может быть недостаточно гибким конкретно для Вас — а для моих задач более чем достаточное. Кстати ниже привожу 4(!) способа как блокировать подбор (на самом деле частые подключения с одного IP на порт) пароля для любого порта без использования стороннего ПО.
1
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --update --seconds 60 --rttl --hitcount 3 -j DROP
# iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
2
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -j DROP
# iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
3
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m connlimit ! --connlimit-above 1 -m limit --limit 2/m --limit-burst 2 -j ACCEPT
4
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --rcheck --seconds 600 -j DROP
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -m recent --name BLOCK --set -j DROP
А с чего вы, внезапно, решили что fail2ban может быть установлен везде? А вы в курсе, что оно на python? Это простое решение на базе нативного iptables. Что же касается школы — осталось 27 дней… Хохохо!
Это понятно.
Точнее это не понятно как может помочь моей теще за 4000км, которая решила посмотреть на внучку и внезапно почувствовала что колени начало жечь, а вторая половина ноутбука предлагает срочно купить Azure.
Последний раз я такое видел в официальном ICQ, посему, для меня, участь сабжа ожидаема и прогнозируема.
Выглядит ок, кмк, вероятно дело в роутах, а не в настройках firewall. Кто/что вешало роуты на интерфейс wg? bird? Если да - поправьте в нем интерфейс.
Стек внутренних технологий своеобразен, поэтому преимущество "внутренней мобильности" - отсутствие временных затрат на погружение/обучение. И кто сказал, что при миграции между подразделениями, не бывает не формальных собесов?
А для чего тут swarm?
Часто даже писать не нужно, "изучи инструмент с которым работаешь", есть убер комбайн telegraf, который превращает что угодно в метрики, позволяя дополнительно манипулировать данными. Корреляции, гистерезис, аномалии — все мимо без хранилища. Это не вопрос религии, это вопрос проектирования, архитектуры и ресурсов
Если метрику сложно собрать имеющимися инструментами, а также дополнительно нужно обработать какой-то логикой — пишется свой Prometheus exporter который отдаст заветное 42. В подавляющем большинстве он примитивен. Аналогично решается задача кастомной метрикой в zabbix. IMHO прекрасный образовательный проект получился, практические применение выглядит не убедительно
Точнее это не понятно как может помочь моей теще за 4000км, которая решила посмотреть на внучку и внезапно почувствовала что колени начало жечь, а вторая половина ноутбука предлагает срочно купить Azure.
Последний раз я такое видел в официальном ICQ, посему, для меня, участь сабжа ожидаема и прогнозируема.