Jump to content

bike

Активный участник
  • Posts

    446
  • Joined

  • Last visited

About bike

  • Rank
    Студент
    Студент
  • Birthday 02/24/1986

Контакты

  • ICQ
    Array

Информация

  • Пол
    Array

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Почки монтажников? Кто первый вспомнит про камин и пачки денег?
  2. IPbase принципиально или cat4500e-entservicesk9 подойдёт?
  3. А как у нас всегда делается - "Наказать невиновных, наградить непричастных"!
  4. Сам спросил, сам отвечу. Логику iptables в лоб перенести в nft + FirewallD не удалось, на чистом iptables всё заработало как по маслу. В виду наличия некоторого скрипта, который работает с FirewallD вернулся к вопросу его настройки. Решение оказалось до банального простое, надо ppp интерфейсы положить в зону trusted. firewall-cmd --permanent --zone=trusted --change-interface=ppp+
  5. Добрый день. Переношу L2TP-IPSEC VPN сервер доступа к сети управления с FreeBSD на Rocky 8.6, но застрял в настройке firewalld. В xl2tp.d настроен proxyarp, если включить masquerade в зоне с локальным интерфейсом - всё колосится, но от ip самого сервера. При выключенном masquerade заставить ходить трафик не получается, если просто погасить firewalld, трафик, как того и хочется, начинает ходить от ip PPP интерфейса. Пробовал разные варианты настройки - [root@vpn ~]# firewall-cmd --direct --get-all-rules ipv4 filter FORWARD 0 -i ens192 -o ppp+ -j ACCEPT ipv4 filter FORWARD 1 -i ppp+ -o ens192 -j ACCEPT ipv4 filter FORWARD 2 -s 192.168.15.0/24 -d 192.168.15.0/24 -i ppp+ -o ppp+ -j ACCEPT [root@vpn ~]# firewall-cmd --direct --get-all-rules ipv4 filter FORWARD 1 -m conntrack --ctstate INVALID -j DROP ipv4 filter FORWARD 2 -i ens192 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ipv4 filter FORWARD 3 -i ppp+ -o ens192 -j ACCEPT ipv4 filter FORWARD 4 -i ppp+ -o ppp+ -s 192.168.15.0/24 -d 192.168.15.0/24 -j ACCEPT ipv4 filter FORWARD 5 -i ens192 -d 192.168.15.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ipv4 filter FORWARD 6 -s 192.168.15.0/24 -o 192.168.15.0/24 -j ACCEPT Forward глобально включен. [root@vpn ~]# sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 Не выходит каменный цветок, уже появилось желание dnf install iptables-services. Подскажите куда копать?
  6. Подскажите - а у них какая реализация BGP в коробке, свой проприетарный демон или какая-то открытая реализация? Вспоминаю весёлые времена на Эриксоне с полной таблицей и регулярно прилетавшим приветом из Польши, кажется.
  7. По поводу Скат - "Переход на версию VEOS 8.6 (VAS Experts OS) будет происходить поэтапно: январь 2021 - Переключение на репозиторий VAS Experts по окончании выпуска патчей для CentOS 8.5, не потребует переустановки текущих пакетов CentOS февраль 2021 - май 2029 - Получение обновлений ядра и компонент ОС на основе оригинальных пакетов RedHat 8.6, 8.7 и т.п. из нового репозитория VEOS до окончания поддержки RedHat8. Нумерация версий будет идентична пакетам RedHat8.x" Вот только в реальности пока тихо и ТП молчит, может на завтрашнем вебинаре, что то расскажут. Жалко на него не попаду. На Rocky есть пара машинок в проде, скоро буду пробовать мигрировать на него живые сервера с CentOS. П.С. dnf update - Error: Problem: cannot install the best update candidate for package remi-release-8.5-2.el8.remi.noarch - nothing provides redhat-release >= 8.6 needed by remi-release-8.6-1.el8.remi.noarch (try to add '--skip-broken' to skip uninstallable packages or '--nobest' to use not only best candidate packages)
  8. +1 К желанию посмотреть, почитать, про музей тов. Sol.
  9. Что то мне подсказывает, что universalk9.SPA и entservicesk9-mz - "не много" разный софт. "Cофт univerval IOS XE на 4500X vs традиционный IOS (base/entservices) на 4900M" (с) darkagent
  10. http://redirector.c.googlevideo.com/report_mapping
  11. "Стандарт QUIC от IETF вводит шифрование SNI, что усложняет детектирование хоста, к которому осуществляется подключение. С версии 11.2 стала доступна дешифровка SNI при установлении соединения по протоколу QUIC IETF. Эта возможность позволила разбить соединения по протоколу QUIC IETF на отдельные сигнатуры, у которых транспортом является QUIC."
  12. А зачем нам разбирать DNS? Если есть - "[dpi] Поддержка декодирования SNI в протоколе QUIC IETF (HTTP/3)"
  13. Либо блокировать только то, что надо, хоть по http, хоть по https, хоть по quic. Да здравствует DPI.
  14. Нам, на данный вопрос, ответили просто - "Мета является экстремистской организацией" ТЧК