Ты как дедушка) Без ассиметричной криптографии как ты исключишь возможность спуфить вообще любые ответы от днсов?

Опять меня в старперы записал

Опять меня в старперы записал

А не надо было про SPF))

Ну да у меня то на reg.ru и других площадках яж это использую, а еще DKIM, а что бы зрения лишать так еще и DoH

А не надо было про SPF))

то есть по твоему DNSSEC который так то ранее между серверами NS использовали юзать на зону.. ну ок, я отстал от современных правил жизни смузихлебов.

скажите а нафига DNSSEC в яндык-бравузире

а если кто то не настроил на домен, то юзверь получится на воротник? Да?

Ну да у меня то на reg.ru и других площадках яж это использую, а еще DKIM, а что бы зрения лишать так еще и DoH

Чо ты почту приплетаешь)

скажите а нафига DNSSEC в яндык-бравузире

Чтобы не заспуфили ответ с адресом онлайн банка какого-нибудь или интерент магазина. Чтобы исключить фишинг.

Чтобы не заспуфили ответ с адресом онлайн банка какого-нибудь или интерент магазина. Чтобы исключить фишинг.

остановите эту планету, я сойду. А антифрод зачем? А DV SSL?

остановите эту планету, я сойду. А антифрод зачем? А DV SSL?

Для того же. Просто еще один слой защиты)

где там в приложеньках то dnssec? Под ведроид/iOS?

Это же не для выёбистых инженеров всё делается, а чтобы у тети сраки деньги не умыкнули.

Для того же. Просто еще один слой защиты)

так в internal то делают dnssec, зачем мусор из избы то на external вешать

так в internal то делают dnssec, зачем мусор из избы то на external вешать

А внутри он зачем?

Это же не для выёбистых инженеров всё делается, а чтобы у тети сраки деньги не умыкнули.

у тиоти Моти итак при помощи соц инженерии вытащат деньги

у тиоти Моти итак при помощи соц инженерии вытащат деньги

Ну тогда можно и на HTTPS забить и на двухфакторку. Всё равно ж КОМУ НАДО УЗНАЕТ.

Ну тогда можно и на HTTPS забить и на двухфакторку. Всё равно ж КОМУ НАДО УЗНАЕТ.

я к тому что надо не строит stlitdns и не обмазывать его dnssec

Хз чо ты докопался. Любая технология хороша когда есть кому ей умело пользоваться. Даже тангстен фабрик) И то что у кого-то руки из жопы и он подписал зону не тем ключом не делает dnssec плохим или негодным и не нужным.

вот вот, все нормальные браузераписатели что бы условно говоря не отоварили(пользователя) юзают DoH, в тех же никротиках/кинектиках даже DoT ну что бы секьюрнее. Но в яндыке-браузер DNSCrypt..

Но ведь мир не ограничивается браузерами и HTTP\HTTPS)

Ты еще скажи что облако это не только фоточки и видяшечки хранить!

Но ведь мир не ограничивается браузерами и HTTP\HTTPS)

вы случаем не разработчик Designate?

Ты еще скажи что облако это не только фоточки и видяшечки хранить!

а как же крипта, эфир сам себя ненабиткойнит

там уже много вариций на эту тему =)

там уже много вариций на эту тему =)

вот раньше нормаль же жили с bind и не тужили..

а потом пришли эти инфобезята-подвертыши с дудылом в пердиле

На самокатах и с крушкой лавандового Рафа

надо всю эту инфобез секту сажать за диалап, и обмазать их там секукьюрити студио вместе с соболем.. шоп они не могли гадить

Если у меня две подсети /24 в одной публичной сети. опенстек сначала выдаст все с одной /24 і когда она будет полная перейдет к другой /24? сори за тупой вопрос

Если у меня две подсети /24 в одной публичной сети. опенстек сначала выдаст все с одной /24 і когда она будет полная перейдет к другой /24? сори за тупой вопрос

По дефолту- да. После добавления новой- будет сначала из новой аллоцировать, потом только из старых

Если у меня две подсети /24 в одной публичной сети. опенстек сначала выдаст все с одной /24 і когда она будет полная перейдет к другой /24? сори за тупой вопрос

случайно

случайно

а вот и нет

Попробовал на практике в одну сеть впихнул две /29 v4 и одну в6 вроде все работает как и хотелось

По дефолту- да. После добавления новой- будет сначала из новой аллоцировать, потом только из старых

Спасибо за ответ

там довольно странный механизм, когда количество неаллоцированных адресов сравнивается с другими, то может брать из других

мл2- сила

там довольно странный механизм, когда количество неаллоцированных адресов сравнивается с другими, то может брать из других

так изначальное условие было про одновременное добавление

Ну я просто переживал что он будет выдавать 2-3 сразу, тоесть инстанс получает по ип со всех подсетей

А не подскажите где можна почитать о механизме распределения адресов?

А не подскажите где можна почитать о механизме распределения адресов?

https://docs.openstack.org/neutron/latest/contributor/internals/address_scopes.html#allocation

а, это про allocation pools

суть всё равно похожая

Большое спасибо пойду еще с в6 по смотрю как оно будет работать

в6- рандом

когда там десятки тысяч адресов логика не особо будет прослеживаться, код бы глянуть который за аллоцирование отвечает

Лол с Ipv6 сети openstack выдает сразу же два IP

Лол с Ipv6 сети openstack выдает сразу же два IP

он тебе выдавать должен по идеи /64 сети

или каждый роутер говорит свою сеть, а ты на основание своего мака получаешь /128

он тебе выдавать должен по идеи /64 сети

неа

я использую dhcp-stateful он з 64 сети выдает мне один адрес

то что ты имеешь ввиду это про prefix delegation, тогда оно должно выделять через маршрут до бордера /64 с некстхопом ::1

чтобы получить /64 нужно делать префикс делегейт

Версия штаки Виктория. Раскатал на дебанах 11. Вот конфиги : L3 agent ovs_use_veth = False interface_driver = linuxbridge agent_mode = dvr_snat enable_metadata_proxy = true Dhcp agent interface_driver = linuxbridge dhcp_driver = neutron.agent.linux.dhcp.Dnsmasq enable_isolated_metadata = True Linuxbridge agent physical_interface_mappings = physnet1:eth1 firewall_driver = iptables enable_security_group = true enable_vxlan = True local_ip = 20.20.0.1 l2_population = True Ml2 conf Type_drivers = vlan,vxlan tenant_network_types = vxlan mechanism_drivers = linuxbridge,l2population network_vlan_ranges = physnet1:1000:2000 vni_ranges = 1:1000 enable_security_group = True

Внутри проекта чтобы сети создавать

Vlan'ы как я понял,только могут администраторы создавать для проектов

Планируется много на самом деле, и лезть в каждый проект не хочется

Планируется много на самом деле, и лезть в каждый проект не хочется

Транк на второй порт и подавай вланы

Транк на второй порт и подавай вланы

чет схема пипец перекручена

а когда vlanов будет более 4096 что тогда?

чет схема пипец перекручена

Стандартный линбридж

а когда vlanов будет более 4096 что тогда?

Да, придетмя им ещё один стек поднимать 😂

а когда vlanов будет более 4096 что тогда?

клиентские сети на vxlan, провайдерские на влан и жить спокойно

Понятно,что где-то должен быть транк

клиентские сети на vxlan, провайдерские на влан и жить спокойно

на линукс бридж? Не ну можно конечно.

А вот где

Понятно,что где-то должен быть транк

💯, есть такая инсталляция на 100 гипоп...

Понятно,что где-то должен быть транк

вы можете подавать несколько вланов на br-ex

на линукс бридж? Не ну можно конечно.

А что не так с lb?

А что не так с lb?

депрекейт

А что не так с lb?

Тяжко потом вланы все учитывать на всех портах, когда разрастается стек

Тогда лучше на овс?

Или овн

овс и вперёд

на минимальной инсталляции овс живёт хорошо

Только сеть придется тюнить во всю

А что не так с lb?

ну считается что оно типа депрекейтед, на самом деле все норм с ним, просто секта овса и ovn считает что лучше они, чем классический линукс бридж

По документации все вроде понятно,но наделе постоянно шляпа какая-то

Только сеть придется тюнить во всю

под водочку, потому что в трезвом состоянии ослепнуть можно

ну считается что оно типа депрекейтед, на самом деле все норм с ним, просто секта овса и ovn считает что лучше они, чем классический линукс бридж

там Михаил в процессе теста моего патча под тф для новых релизов стака, будет мясо :)