ты хозяин firewall'а

в смысле ты можешь правилами там рулить как хочешь

тогда такой вопрос, я на AWS столкнулся с тем, что по дурости случайно iptables linux закрыл себе доступ по ssh, и оказалось что amazon не предоставляет никаких инструментов для подключения, только пересоздавать instance

у GCP с этим получше?

то бишь через cli с токеном на перевес могу залезть в свою ВМ?

Это очень просто, если у тебя Intellij IDEA - то ты разработчик, а если VS Code - то ты девопс, если vim - то ты одмин, а если emacs - то ты задрот

Годноты вам

тогда такой вопрос, я на AWS столкнулся с тем, что по дурости случайно iptables linux закрыл себе доступ по ssh, и оказалось что amazon не предоставляет никаких инструментов для подключения, только пересоздавать instance

ну ты можешь подключиться по serial console (кажется) к инстансу и восстановить, но без заданного пароля на рута это тоже то еще счастье

или можешь сделать снэпшот, подключить его к другой машине, поправить, потом создать новую машину

ну ты можешь подключиться по serial console (кажется) к инстансу и восстановить, но без заданного пароля на рута это тоже то еще счастье

ну вот без пароля от рута в AWS это сделать нереально

ну вот без пароля от рута в AWS это сделать нереально

https://cloud.google.com/compute/docs/instances/interacting-with-serial-console

Enabling interactive access on the serial console

а да, надо метаданные инстанса менять еще

https://cloud.google.com/compute/docs/instances/interacting-with-serial-console

вот это + большой по сравнению с AWS

@LychanginAV но если ты запорол загрузчик то тебе это уже не поможет

@LychanginAV но если ты запорол загрузчик то тебе это уже не поможет

grub ?

grub ?

ну чо там у тебя в образе, вдруг ты там на lilo сидеть будешь

незнаю зачем в облаке с загрузчиком какие то манипуляции делать

наркомания какая то

незнаю зачем в облаке с загрузчиком какие то манипуляции делать

ну может ты кастомный образ захочешь

сам собрать и на базе какого-нибудь lfs

кто ж тебя знает

сам собрать и на базе какого-нибудь lfs

за такое я б себя об стол бил

ну может ты кастомный образ захочешь

ну это разве через спапшот и create image from snapshot нельзя сделать?

ну это разве через спапшот и create image from snapshot нельзя сделать?

ну мало ли что ты хочешь

https://www.opennet.ru/opennews/art.shtml?num=49094

тогда такой вопрос, я на AWS столкнулся с тем, что по дурости случайно iptables linux закрыл себе доступ по ssh, и оказалось что amazon не предоставляет никаких инструментов для подключения, только пересоздавать instance

Плохая практика фаер на инстансе держать, вообще фаер на инстансе никуда не упал и не надо именно на инстансе настраивать

В случае AWS вообще ходить на инстанс через SSH и там ковыряться на живом - это плохая практика (с учётом, что это ru_devops, а не ru_odmin чат). Нужно использовать AWS SSM.

В случае AWS вообще ходить на инстанс через SSH и там ковыряться на живом - это плохая практика (с учётом, что это ru_devops, а не ru_odmin чат). Нужно использовать AWS SSM.

ну вот SSM не обязателен, уже управление по вкусу мне так кажется

Особенно если строишь гибридное решение

SSM так себе, однако это правильный подход. Речь о том, что экспериментировать непосредственно на важном (раз ставится вопрос о восстановлении доступа вплоть до сравнения по возможностям воскрешения умерших с GCP) инстансе - ещё более так себе.

Плохая практика фаер на инстансе держать, вообще фаер на инстансе никуда не упал и не надо именно на инстансе настраивать

Use iptables and routes to limit or filter egress traffic While the Cloud Platform firewall rules can control ingress traffic to your VM instances, network routes can control egress from VMs to IP address ranges. Examples include routing all external traffic through a NAT gateway, all traffic to corporate IP ranges through a VPN gateway, or denying access to IP ranges by routing to a non-existent IP. If you require control over the egress traffic from the VM instances to specific ports, such as filtering all traffic through port 80, configure iptables or another host-based filtering mechanism on the instance. https://cloud.google.com/docs/enterprise/best-practices-for-enterprise-organizations

Use iptables and routes to limit or filter egress traffic While the Cloud Platform firewall rules can control ingress traffic to your VM instances, network routes can control egress from VMs to IP address ranges. Examples include routing all external traffic through a NAT gateway, all traffic to corporate IP ranges through a VPN gateway, or denying access to IP ranges by routing to a non-existent IP. If you require control over the egress traffic from the VM instances to specific ports, such as filtering all traffic through port 80, configure iptables or another host-based filtering mechanism on the instance. https://cloud.google.com/docs/enterprise/best-practices-for-enterprise-organizations

И? Сами то прочитали что написано?

Use iptables and routes to limit or filter egress traffic While the Cloud Platform firewall rules can control ingress traffic to your VM instances, network routes can control egress from VMs to IP address ranges. Examples include routing all external traffic through a NAT gateway, all traffic to corporate IP ranges through a VPN gateway, or denying access to IP ranges by routing to a non-existent IP. If you require control over the egress traffic from the VM instances to specific ports, such as filtering all traffic through port 80, configure iptables or another host-based filtering mechanism on the instance. https://cloud.google.com/docs/enterprise/best-practices-for-enterprise-organizations

Egress - исходящий трафик

В общем от чего ты хочешь защититься?

Плохая практика фаер на инстансе держать, вообще фаер на инстансе никуда не упал и не надо именно на инстансе настраивать

Это почему?

Это почему?

вы в курсе как iptables по умолчанию обрабатывает правила? То есть какая нагрузка дается на цпу?

вы в курсе как iptables по умолчанию обрабатывает правила? То есть какая нагрузка дается на цпу?

В курсе. И?

Какая нагрузка на cpu? :)

В курсе. И?

то есть если у меня начинается дос атака все нормально будет? и фаер на загнется? правильно понял?

SSM так себе, однако это правильный подход. Речь о том, что экспериментировать непосредственно на важном (раз ставится вопрос о восстановлении доступа вплоть до сравнения по возможностям воскрешения умерших с GCP) инстансе - ещё более так себе.

Я с SSM шапочно знаком, но мне кажется выполнить 'iptables -P INPUT DROP; iptables -F' оно способно и тоже отрубит своему агенту выход к серверу конфигураций

то есть если у меня начинается дос атака все нормально будет? и фаер на загнется? правильно понял?

Давайте в цифрах. Сколько mpps и гигабит?

Я с SSM шапочно знаком, но мне кажется выполнить 'iptables -P INPUT DROP; iptables -F' оно способно и тоже отрубит своему агенту выход к серверу конфигураций

До ребута

Давайте в цифрах. Сколько mpps и гигабит?

rps ~ 10k тут даже без цифр, как обрабатывает netfilter? как у него с распределениями по ядрам?

Плохая практика фаер на инстансе держать, вообще фаер на инстансе никуда не упал и не надо именно на инстансе настраивать

Бывает нужно, NAT какой-нибудь хитрый поднять

До ребута

Ну так и в SSH руками до ребута, разницы нет :)

Бывает нужно, NAT какой-нибудь хитрый поднять

какой такой хитрый нат?

rps ~ 10k тут даже без цифр, как обрабатывает netfilter? как у него с распределениями по ядрам?

А вот интересно, как? Моя ставка, что оно все в каком-нибудь soft irq крутится и как настроишь так и будет

rps ~ 10k тут даже без цифр, как обрабатывает netfilter? как у него с распределениями по ядрам?

Все прекрасно у него с этим. Ну откройте доку https://www.kernel.org/doc/Documentation/networking/scaling.txt Прочитайте про rss/rps, используйте nftables/iptables+ipset и по возможности не используйте conntrack.

какой такой хитрый нат?

Прозрачную проксю с ssl bump скажем или полосу ужать на определенные направления или в openvpn завернуть надо

А вот интересно, как? Моя ставка, что оно все в каком-нибудь soft irq крутится и как настроишь так и будет

Собственно, softirqd/n и делают всю тяжёлую работу. Их аналогом в windows являются dpc и netisr(afaik) в freebsd.

Прозрачную проксю с ssl bump скажем или полосу ужать на определенные направления или в openvpn завернуть надо

Для полосы netfilter не нужен

вы в курсе как iptables по умолчанию обрабатывает правила? То есть какая нагрузка дается на цпу?

Поржал с этого вопроса прагусу)))

Для полосы netfilter не нужен

Да там столько модулей, кому-нибудь да нужен

Поржал с этого вопроса прагусу)))

?

Поржал с этого вопроса прагусу)))

Кернел хакер?

И? Сами то прочитали что написано?

Вы сами читали? Написано для исходящего трафика используйте iptables и иное

Egress - исходящий трафик

Ну да

Ну да

Ну так от чего ты защищаешься?

Но говорят вообще дурной тон использовать такое, а я скинул документацию человеку

Ну так от чего ты защищаешься?

Я это использовать не буду

А, ок

Короче говоря всегда есть нюансы) вот человеку показал

Все прекрасно у него с этим. Ну откройте доку https://www.kernel.org/doc/Documentation/networking/scaling.txt Прочитайте про rss/rps, используйте nftables/iptables+ipset и по возможности не используйте conntrack.

фаер на инстансах это бред есть пограничные фаерволы которые помогут отцу русской демократии

ERROR: S client not available

фаер на инстансах это бред есть пограничные фаерволы которые помогут отцу русской демократии

Отличная аргументация. Только что вы будете делать если в вас прилетает ддос?

Блекхолить ? )

Вы сами читали? Написано для исходящего трафика используйте iptables и иное

я читал и egress настраивал на стороне gcp и в амазоне так же

Отличная аргументация. Только что вы будете делать если в вас прилетает ддос?

Воткнуть патч-корд в сервер соседа)

Отличная аргументация. Только что вы будете делать если в вас прилетает ддос?

пограничные фаерволы переваривают прекрасно и waf отрабатывает)) и не появится злой буратино кто решит портики позакрывать просто так

Waf на ддосе ?

Блекхолить ? )

Это если на полосу :) а если коктейль и там больно приложению?

Waf на ддосе ?

waf дополнительная защита

пограничные фаерволы переваривают прекрасно и waf отрабатывает)) и не появится злой буратино кто решит портики позакрывать просто так

Waf на ddos? Srsly?

Waf на ddos? Srsly?

написал выше что не понятного?

waf дополнительная защита

Waf где у тебя будет? И tls шлёт приветики

Waf где у тебя будет? И tls шлёт приветики

Shield вкурсе про такое?

если вкратце комплексная защита

если вкратце комплексная защита

И? Вот у тебя ddos на приложение по https. Чтобы понять что это, тебе надо терминировать tls.

если вкратце комплексная защита

Допустим, и?

Waf где у тебя будет? И tls шлёт приветики

С раскрытием, без раскрытия есть варианты, вопрос политический. Но тут скорее стоимость Вафа на широкой гибридной атаке

А если делать дёшево то там как то все сложно и куча неудобных точек

https://www.opennet.ru/opennews/art.shtml?num=49094

С хорошо

И? Вот у тебя ddos на приложение по https. Чтобы понять что это, тебе надо терминировать tls.

с этим проблем так же нет так как эко система амазона

с этим проблем так же нет так как эко система амазона

К вам хоть раз прилетало хотя бы 5-6mpps?

К вам хоть раз прилетало хотя бы 5-6mpps?

К нам прилетает в разы больше

Если считать внутренний стаф это 120к, если внешние юзверы это около 1миллиона активных

Последняя атака была несколько месяцев назад

Меряться дидосами - это тоже так себе занятие.

К нам прилетает в разы больше

Сколько?

Сорри за оффтоп, а где можно посмотреть 3 символьные обозначения городов РФ? Ну, вроде как MSK SPB и в таком же духе?

Сколько?

8,2m rps выжили и амазон переварил

Справедливости ради, тот же Cloudflare тоже waf юзает, как один из элементов

8,2m rps выжили и амазон переварил

Это может машина с одним ядром отфильтровать

Это может машина с одним ядром отфильтровать

да ну а пруф можно?