Misak
вот и покупай саппорт
Misak
Resolved In 15.1R7 - вот это реально бесит. Уже почти полгода его нет
Sergey
Привет!
vitex
bgp lu и никаких ldp
зачем SR для этого?
Sergey
Представляюсь: Работаю в сфере торговли; на предприятии ENT сеть; из Москвы; про группу рассказал коллега, CCNP #whois
Misak
разгадал загадку?
vitex
сфинкстер
Misak
он и в нок-е есть
Vladimir
Но не выполнил план на сегодня
Misak
мог бы у Володина спросить кстати
Ilya
@mxssl http://docs.getnoc.com
Anonymous
Краснодар, не у кого проблем с сетью глобальных нет?
Anonymous
По man
Anonymous
cфинкс няшка.
Anonymous
когда он начинался, никто вообще не умел в поиск, кроме локального сервера от yandex.
Uncel
https://github.com/manticoresoftware/manticoresearch
Uncel
btw самый живучий форк
Uncel
ну кроме того что в авите
Ilya
Как выглядит дока (как ищет и т.п.) с использованием сфинкс
Anonymous
На ТЭЦ 3 энергоблок, отрубился. Пол города без питания
Anonymous
Вроде уже восстановливают
Ilya
окей
Uncel
странно, у меня было больше
Uncel
по io он там не выпадает ?
Anonymous
Всем доброго времени.
Помогите разобраться, пожалуйста.
Вчера весь день провел за чтением официальной доки по iptables и дока от RHEL. Плюс прочитал с десяток статей в интернете личного опыта каждого кто настраивал лично.
Сегодня решил так сказать провести экзамен самому себе. Развернул виртуалку. На своей машине DROP INPUT, OUTPUT, FORWARD. Связь с внешним миром отвалилась. Потом в INPUT и OUTPUT добавил правила для 80 и 443 порта, добавил правило поддерживать связь с уже установленными.
Связь в внешним миром так и не появилась. Ну и на виртуалке конечно же откуда ей взяться.
Anonymous
эх. а как мир после firewalld перевернётся.
Anonymous
а после ufw в ubuntu ещё сильнее.
Uncel
Anonymous
Всем доброго времени.
Помогите разобраться, пожалуйста.
Вчера весь день провел за чтением официальной доки по iptables и дока от RHEL. Плюс прочитал с десяток статей в интернете личного опыта каждого кто настраивал лично.
Сегодня решил так сказать провести экзамен самому себе. Развернул виртуалку. На своей машине DROP INPUT, OUTPUT, FORWARD. Связь с внешним миром отвалилась. Потом в INPUT и OUTPUT добавил правила для 80 и 443 порта, добавил правило поддерживать связь с уже установленными.
Связь в внешним миром так и не появилась. Ну и на виртуалке конечно же откуда ей взяться.
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls
Anonymous
тогда ufw.
Anonymous
http://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C/firewall
Anonymous
iptables - это не для людей.
Anonymous
или я не понимаю чего то
Uncel
Замыкания, или сама кложа?
Anonymous
это для машин, в общем случае.
Anonymous
я даже не помню с ходу ничего про iptables, потому что дизайн говно. @Unkledolan
Anton
достаточно один раз прочитать документацию, и всё становится понятно.
Anonymous
pf божественнен, firewalld - ну так себе, ufw - выключи его.
Uncel
Какие-то жс штучки
Anonymous
pf божественнен, firewalld - ну так себе, ufw - выключи его.
а может ли быть дело в том, что у меня перед моим пк стоит роутер?
Anonymous
а может ли быть дело в том, что у меня перед моим пк стоит роутер?
в мире дискретных систем может быть всё, что угодно, кроме магии.
Anonymous
если там ubuntu, то можно просто взять ufw, и потом попросить iptables-save показать правила, которые оно сгенерировало
Anton
а может ли быть дело в том, что у меня перед моим пк стоит роутер?
тебе нужно заглянуть к гадалке.
Anonymous
и уже после постепенно методом проб и документации пытаться повторить вручную на iptables
Anonymous
ещё очень важно посмотреть в flow обработки пакета в netfilter, чтобы не потеряться в таблицах.
Anonymous
++
Anton
https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg
Anton
в общем, в iptables важно знать три вещи: 1. packet-flow (включая понятия что такое таблица, цепочка, правило, политика по-умолчанию), 2. что такое conntrack, 3. чем match отличается от target.
Anton
на опеннете лежит даже перевод iptables tutorial. прочитать один раз внимательно. и всё будет ок.
Anton
ни разу не сложнее того же джуниперовского файерволла.
Anonymous
я не могу понять почему когда я дропаюин и аут, разрешаю потом 80 и 443 - ничего не работает. Что не так?
Anonymous
++
Anton
я не могу понять почему когда я дропаюин и аут, разрешаю потом 80 и 443 - ничего не работает. Что не так?
показывай вывод iptables-save
Anonymous
удобней pf ни разу не видел описания правил.
Anton
я не могу понять почему когда я дропаюин и аут, разрешаю потом 80 и 443 - ничего не работает. Что не так?
потому что тебе надо 1. ещё разрешить днс 2. разрешить пропускать ответные пакеты.
Anonymous
при чём здесь freebsd?
Anonymous
я вообще про pf в openbsd.
Anonymous
что там было портировано в freebsd - да и хрен с ним.
Anton
я не могу понять почему когда я дропаюин и аут, разрешаю потом 80 и 443 - ничего не работает. Что не так?
а ещё лучше запости на pastebin вывод
iptables-save -c
Anton
@ambossi самый минимальный набор правил для конечных хостов - http://dpaste.com/317C1P3 - разрешены исходящие коннекты и ответные входящие пакеты. загружается через iptables-restore.
Anton
если у тебя шлюз, то надо ещё добавить правил.
Anonymous
если у тебя шлюз, то надо ещё добавить правил.
у меня роутер, потом мой пк. Поднял виртуалку чтобы сделать свой пк шлюзом и на нем потренироваться
https://pastebin.com/Uj8yi3qy
DV
Бывший коллега в мордокниге кинул, мож надо кому.
DV
https://nn.hh.ru/vacancy/24560383
Anton
у меня роутер, потом мой пк. Поднял виртуалку чтобы сделать свой пк шлюзом и на нем потренироваться
https://pastebin.com/Uj8yi3qy
ну тогда начни с рисования схемы)
Anton
@ambossi ты форвардинг-то включил? по-умолчанию он отключен. включать через sysctl. потом запускай tcpdump и смотри, что и как.
Anonymous
@ambossi ты форвардинг-то включил? по-умолчанию он отключен. включать через sysctl. потом запускай tcpdump и смотри, что и как.
об этом речь?
A FORWARD -i enp0s3 -m state —state RELATED,ESTABLISHED -j ACCEP
Anonymous
я понял, сейчас проверю
Anton
об этом речь?
A FORWARD -i enp0s3 -m state —state RELATED,ESTABLISHED -j ACCEP
sudo sysctl net.ipv4.ip_forward
Anonymous
включен
Anton
@ambossi по счётчикам не видно, чтобы у тебя были транзитные пакеты вообще (у всех правил в FORWARD нулевые счётчики). Так что запускай tcpdump и смотри трафик.
Anton
чума!