Перейти к содержимому
Калькуляторы

ixi

Активный участник
  • Публикации

    486
  • Зарегистрирован

  • Посещение

О ixi

  • Звание
    Студент
    Студент

Контакты

  • ICQ
    Array

Посетители профиля

2948 просмотров профиля
  1. Скажите, что вопросы о левых адресах возникают у сорма, который вы фильтровать не можете :) А если серьёзно, мы годы назад получали такой же ответ, и никак оно в итоге не решалось. Крупным операторам нет дела до приличий или неудобств, копеечка важнее
  2. отсутствует в conntrack? попробуйте зафильтровать ct state invalid
  3. В убунте было, за дебианом такого не припомню. Каталоги проще для автоматизации (там и ifup.d есть, кстати), если вручную -- один файл
  4. Подписываете файл один раз (где-нибудь в бухгалтерии криптопро точно есть) и до истечения срока действия сертификата отправляете этот файл и подпись
  5. /etc/network/interfaces интерфейс поднялся, добавили нужные маршруты/правила
  6. if [[ "$(echo "$curlres"jq ".ok")" != "true" ]] пайп пропущен? не усложняйте.. tgres=$(jq ".ok" <<< "$curlres") if [[ "$tgres" != "true" ]]
  7. можете потыкать пальцем, где эти разъяснения почитать? ну или хотя б ключевые слова (или номер/дату) какие-нибудь. Было в каких-то разъяснениях на сайте РКН: - АСР не обязательна, НО - если АСР у оператора есть, то она должна быть сертифицирована Так что если биллинг есть -- сертифицировать надо. Или делать вид, что биллинга нет.
  8. Облако -- это просто красивое слово, что там по факту и насколько оно поддерживается, никто не знает. Защищать -- это ведь тоже не(до)получать прибыль. Предпочту старый дырявый сервер, всё равно биллинг закрыт со всех сторон.
  9. Отчёты шлются с полностью контролируемых хостов. Если вы оператор -- не надо так делать. Лучше отслеживайте и уведомляйте своих клиентов об открытых портах или вирусах (и будьте готовы к игнорированию)
  10. Переход на дельту не рассматриваете? Логин/пароль вместо ЭЦП, плюс на форуме писали, что можно игнорировать дельта-выгрузку и использовать только обычную, формат совпадает.
  11. Будет, если совсем не отменят
  12. BIND в соответствии с RFC игнорирует днс-сервер, адрес которого резолвится как CNAME. Игнорируйте, это не ваша проблема.
  13. Да. Если вам проще математически, должно выполнять условие flags & mask == comp
  14. Я использую для разных случаев оба варианта. Использовать случайный для всех -- можно, конечно, но.. В unbound есть опция вроде outgoing-port-range, разрешаете их и всё. Два правила на 99.9% трафика tcp wrappres -- это userspace, менее безопасно по умолчанию. Не говоря о скорости.. Багами не зацепило, но один случай всё же был, юзеру надоело копировать пароль от бастиона и он сменил его себе на словарный. Так что с файрволом всё же безопаснее.
  15. А там tcp-reset или drop? Коннтрак в этом конфиге и не нужен, достаточно изменить порядок правил Ни в чём, конечно же. Можно спокойно жить и с открытым ssh и всё будет нормально. Но висящее на стене ружьё обязательно выстрелит.