Если существует предопределённая возможность отослать данные за пределы системы, они будут отосланы. В случае с Nextcloud после обновления и изменения настройки по-умолчанию. Поведение по-умолчанию это одна из тех самых сложностей, которые стоит всегда принимать в расчёт и переопределять в явном виде. И конечно, второй эшелон защиты тоже можно построить, а может и третий, если это действительно важно.
Doing stupid things (with packets and OpenBSD)
Everything is in the (Next)cloud Es ist alles in der (Next)cloud… eo… eo…
OpenBSD version: Why did this blog get less 'me doing stupid things' and more... Arch: Any NSFP: *sigh*
👍5👎1
nftables вот-вот доберётся до kube-proxy с версии Kubernetes 1.33. В Linux дистрибутивах
iptables заменили на nftables несколько лет назад, в Debian 10 и Red Hat 9, например.Kubernetes
NFTables mode for kube-proxy
A new nftables mode for kube-proxy was introduced as an alpha feature in Kubernetes 1.29. Currently in beta, it is expected to be GA as of 1.33. The new mode fixes long-standing performance problems with the iptables mode and all users running on systems…
👍4👎4
Tier 1 сети по количеству маршрутов их клиентов. Тройка лидеров для
Но это если клиентов считать, а по количеству префиксов из одной
single homed сетей, в этом больше всего смысла: Lumen(AS3356), Cogent(AS174) и Tata Comm(AS6453).Но это если клиентов считать, а по количеству префиксов из одной
AS в декабре расклад был такой. Сейчас на коллекторе RRC0 (@FullViewBGPbot) видно, что в IPv4 из одной AS максимально анонсируется почти 13000 префиксов, а в IPv6 близко к 6000.Personal blog of Anurag Bhatia
Analysing transit free networks
This post covers analysis of single homed Vs multihomed routes behind each known transit free tier 1 network
👍1
Даже уже в Сомали на IPv6 переходят. С другой стороны, государственная поддержка дело такое,
IPv4 сам всего добился. Так что лучше самим, пока государство по полной не вмешалось.👎7👍4
А не в Сомали можно получить LIR специальльно для
IPv6, номер автономной системы, /29 префикс и всё равно настраивать Wireguard на микротике и виртуалку, чтобы прокинуть себе домой /48. Но провайдера который не захотел пириться с таким энтузиастом тоже можно понять, выглядит немного чересчур.RIPE Labs
Routing IPv6 Through Wireguard With MikroTik and Debian
With a recently allocated /29 subnet, a new RIPE NCC member set himself the challenge of routing parts of this IPv6 space to his home. The result? An IPv6-only setup with pure plain routing!
Сетевики не нужны настолько, что их некем будет заменить в ближайшее время. И здесь перестарались, сделав сети повсеместными и незаметными, обыкновенными, а обыкновенное не может быть популярным.
The Register
Tech jobs are now white-collar trades that need apprentices, not a career crawl
With a generation of networking engineers set to retire, is this how to give their successors a faster start?
👍10
Анализ изменений с 2018 года точек присутствия для больших CDN, таких как Amazon, Cloudflare, Akamai, Google, Microsoft, Fastly и других, по данным PeeringDB. Все растут. В конце статьи есть ссылки на интерактивные карты в динамике и графики. В России, по этим данным, ничего из перечисленного нет (почти) и никогда не было.
Internet Society Pulse
Visualizing The Rise of Hypergiants
Studying changes in the deployment of content delivery networks and content providers helps uncover trends in how these…
👎1
IPv4 всё ещё нужны настолько, что под их залог можно брать кредит и не важно что они вам не принадлежат, а только за вами числятся. Ждём когда IPv6 перевернёт эту доску.The Register
Need cash? Your IPv4 stash can now be collateral for $100M loans
: Yeah, yeah ... if we were all exclusively on IPv6, this wouldn't be a thing. But here we are
👎1
Интересно что суть явления десятикратного инженера никуда не девается, некоторые действительно сильно продуктивнее других, как ни старайся этого не замечать. С другой стороны ориентироваться только на таких инженеров или надеяться, что они могут решать все проблемы не стоит, система устойчивее индивидуальности. О чём собственно и статья.
IEEE Spectrum
In Praise of “Normal” Engineers
Software engineer Charity Majors challenges the "10x engineer" myth, arguing that true productivity lies in team performance, not individual brilliance. She encourages building workplaces where "normal" engineers can thrive. Are we focusing too much on hiring…
👍5👎1
Патчкорд
Итак, приглашаю всех на сетевой митап Patchcord connect в Волгограде, Субботу 12 апреля в 14:00, место в самом центре - ЛОФТ1890, ул. 10-й Дивизии НКВД 5A, рассчитываем на 4 часа. Планируется четыре доклада, которые я предложил сделать своим друзьям, не сильно…
Пока доклады пишутся и презентации рисуются, напечатал ачивки участникам нашего сетевого митапа. Всех ждём 12 апреля в Волгограде в ЛОФТ1890 в 14:00, чтобы, я надеюсь, не скучно провести Субботу. Регистрация @PatchcordConnectBot.
👍19
Про ECMP изнутри и до чего можно дойти. Снаружи
ECMP вроде как прост если про него знать, но дело, как всегда, в нюансах. В Juniper, например, per-packet - это per-flow - (the term per-packet load balancing in Junos is equivalent to what other vendors may call per-flow load balancing) и настраивается это по Juniper'овски многословно. По умолчанию, когда я делал это раньше, было per-prefix, что часто вообще не подходило, особенно при больших агрегированных префиксах где-то в центре сети. А у Cisco на нечётном количестве линков, размазывалось лучше чем на чётном.Medium
ECMP and Source Routing and Multipath Tables — Oh my!
We talk about Equal Cost Multipath and how that facilitates various forms of host source routing. We introduce Multipath Tables as well.
👍8👎1
Каждый хочет сломать Великий Китайский Файрвол - кто-то в том смысле, чтобы пройти сквозь него (меры и контрмеры в
pdf), кто-то в смысле, чтобы заглянуть внутрь. Для обычного российского туриста на курортном острове, приехавшем на море, вопрос о сломе, в любом смысле, вообще не стоит. Просто с телефона, конечно, ничего внешнего не работает, но за разумную плату в отеле вам дадут коробочку с Wi-Fi, которая позволит получить привычное. Спрос опять родил предложение, а мы продолжаем наблюдать за борьбой меча и щита.👍5👎1
Данные по распространению Starlink в мире, есть интерактивная карта, динамика изменения адресов, история адресов. Из заметных расширений Марта - Киев и Киншаса.
GitHub
GitHub - clarkzjw/starlink-geoip-data: Unofficial Starlink GeoIP Dataset
Unofficial Starlink GeoIP Dataset. Contribute to clarkzjw/starlink-geoip-data development by creating an account on GitHub.
👍8👎2
Про основу DNS - корневые серверы, от которых многое, если не всё сейчас зависит. Нагрузка на них растёт и с этим надо что-то будет делать в ближайшее время, потому что одно только кеширование не спасает. И один из выходов, хранить данные корневой зоны поближе к конечным потребителям. Собственно это можно делать и сейчас, при желании, вопрос в доверии и в том чтобы так делало большинство.
👍6
Патчкорд
Внимательные читатели, конечно, заметили и написали мне чтобы я не пропустил, за что им большое спасибо, что там ещё один сервис рекламируется и он более полезный в повседневной работе - это Looking Glass https://portal.noc.gov.ru/ru/lg/ с очень большим набором…
А заметили же что https://portal.noc.gov.ru/ дизайн сменил, вроде ничего не пропало, но надо понаживать клавиши чтобы или спуститься на экран вниз или в меню справа в нужный раздел попасть.
👎5
Настройка NAT64 на Juniper SRX, если под рукой нет Juniper, да и вообще ничего нет, но есть
IPv6 сеть, то можно использовать nat64.net который который сделает DNS64 и NAT64 за вас, я туда Twitter заворачиваю.community.juniper.net
DNS64 and NAT64 on SRX Series
In this short post, we’ll look at configuring the SRX for 6-to-4 NAT (NAT64) when using IPv6-only clients with an external DNS64 server. We’ll also quickly examine how the mechanism to dynamically perform this translation works.
👍2👎2
Последние несколько недель вожусь с Huawei и каждая моя итерация взаимодействия с ним, примерно, раз в 5-7 лет заставляет обращать внимание на другие вещи, что естественно в новом окружении. В этой итерации это
Ничего такого, в основном очевидные, базовые понятия из инструкций про безопасную настройку, в том числе и из стандартной инструкции самого Huawei. По умолчанию, ничего из этого не включено, хотя могло бы, но это не значит что стало бы удобнее и безопаснее. А так, напоминалочка, что где-то можно подкрутить, на радость службе ИБ.
В остальном же, единственное неудобство когда у тебя не только Huawei, это сломанная привычка ввода команды
display security risk: Risk Level : high
Feature Name : INFO
Risk Type : insecure-configuration
Risk Information : The log host configuration does not use SSL-encrypted transport mode.
Repair Action : Use the SSL-encrypted transport mode.
Risk Level : high
Feature Name : NTP
Risk Type : insecure-configuration
Risk Information : There is no or MD5 authentication configured
Repair Action : Configure NTP HMAC-SHA256 or AES-CMAC authentication
Risk Level : high
Feature Name : SNMP
Risk Type : insecure-configuration
Risk Information : SNMP V3 group with noauthNopriv/authNopriv exists
Repair Action : Remove the group with noauthNopriv/authNopriv and configure group with authpriv
Ничего такого, в основном очевидные, базовые понятия из инструкций про безопасную настройку, в том числе и из стандартной инструкции самого Huawei. По умолчанию, ничего из этого не включено, хотя могло бы, но это не значит что стало бы удобнее и безопаснее. А так, напоминалочка, что где-то можно подкрутить, на радость службе ИБ.
В остальном же, единственное неудобство когда у тебя не только Huawei, это сломанная привычка ввода команды
display вместо show.👍23👎1
👍2👎2