Ай бұрын
Ай бұрын
Ай бұрын
Ай бұрын
Ай бұрын
Ай бұрын
Пікірлер
@LinuxbyDmitry Күн бұрын
Есть предложение, поставить ADATA в комп, а TESLA на полку, так у ADATA будет питание. Так мы узнаем есть ли разница между лежать на полке и быть подключенным.
@klounader Күн бұрын
спасибо за видео. можешь делать что хочешь, мне уже неинтересно стало, если честно.
@user-gg7bf5rt7m Күн бұрын
После пары прочтений скорость должна восстановиться. В файлопомойке ещё поработает.
@LinuxbyDmitry Күн бұрын
@@klounader Мне тоже надоело))
@bezhigov 4 күн бұрын
Спасибо Вам за работу! Если будет желание и время, то хотелось бы увидеть видео из серии nftables "для самых маленьких" :) Начинаю изучать netfilter. Увидел информацию про iptables, начал знакомится и нарвался на информацию про nftables и понял, что нужно копать только туда :) Судя по количествам просмотров тема непопулярная, но важная для тех, кто хочет поднять свой уровень навыков, а значит и уровень дохода
@jp2en 9 күн бұрын
наверно, просто надо не википедию читать, а сайт производителя софта, чтобы не офигевать от базового функционала
@hexqueller 13 күн бұрын
Забавно то, что по сути если запускать из под винды и docker desktop, то получается: Windows -> docker desktop (linux VM) -> linux (docker) -> Windows (QUEMU)
@LinuxbyDmitry 13 күн бұрын
Не пробовал, мне кажется не получится).
@user-zi5jt4py5s 15 күн бұрын
Спасибо Дмитрий, круто что есть люди которым не безразлчен linux и открытые технологии, приятно осознавать что я такой не один) Контент на уровне, продолжайте в том же духе
@LinuxbyDmitry 15 күн бұрын
Рад поделиться)
@shonrag9282 21 күн бұрын
ЧЕЛ ТЫ ЛЕГЕНДА ! СПАСИБО
@LinuxbyDmitry 21 күн бұрын
Спасибо))
@Rinaldus 22 күн бұрын
А хостер за использование VPS для торрентов не забанит?
@LinuxbyDmitry 22 күн бұрын
Думаю это индивидуально для каждого хостера, кто-то может и на ругать).
@antoshabrain 25 күн бұрын
"всё бесплатно, ну там в год получается я буду платить где то тысяча восемьсот я буду платить..."
@LinuxbyDmitry 25 күн бұрын
Я же сказал, что с подвохом)
@karamba2077 27 күн бұрын
Подскажите вы не пробовали torr server интегрировать в jellyfin
@LinuxbyDmitry 27 күн бұрын
Нет, Jellyfin сам умеет работать как DLNA сервер, а вот в качестве клиента по DLNA, вроде и плагинов таких у него нет.
@karamba2077 27 күн бұрын
@@LinuxbyDmitry дело не в dlna
@user-rd3lj4gn4s 28 күн бұрын
А почему можно запускать только одну копию? Я думал как в любой виртуальной машине - хоть десяток запускай одновременно.
@LinuxbyDmitry 28 күн бұрын
Я и сам не понял, но почему-то только одну, хотя файлы docker-compose разные. Не изучал этот вопрос, на самом деле, наверняка можно хоть сколько, только зачем?)
@coox4546 23 күн бұрын
Мне кажется можно запустить несколько экземпляров эмуляторов. Надо только порты разные наружу прокидывать, ну и вольюмы свои. И все что касаемо внешних ресурсов. Как с обычным контейнером все должно работать. Ну типа три постгреса в докере поднять нет проблем. Думаю и здесь все заведется.
@LinuxbyDmitry 23 күн бұрын
@@coox4546 Я тоже так думал и попробовал, нет). Скорей всего в одном docker-compose.yml надо описывать сразу несколько машин, не пробовал).
@coox4546 23 күн бұрын
@@LinuxbyDmitry так да. Несколько. Иначе никак. Попробую - отпишусь. Самому интересно
@ixoza 29 күн бұрын
SDS возможно StandartDataStorage то есть HDD? 🤔
@LinuxbyDmitry 29 күн бұрын
Там всё вперемешку и по сети, всё не просто).
@user-bh2ot5ks8f Ай бұрын
Докер под виндой тоже работает в эмуляторе
@LinuxbyDmitry 29 күн бұрын
Там через прослойку, это не тоже самое что на Linux.
@user-bh2ot5ks8f Ай бұрын
Очень интересно изучать подобные проекты
@MikeTolkachev Ай бұрын
Есть другое решение, называется KubeVirt. Этот проект скорее всего закроется
@alexgordon4634 Ай бұрын
чем это лучше классических вм на VirtualBox и VMware.Workstation ?
@LinuxbyDmitry Ай бұрын
Ну VirtualBox ни кто не использует на постоянку или проще сказать в ПРОД. VMware крутая конечно и в ПРОД его много где используют, но он платный. QEMU очень распространён в ПРОД среде и он бесплатный. В Docker это только для попробовать что-то и всё, как собственно и VirtualBox, только в VirtualBox надо ещё и ОС устанавливать, а тут всё само ставится.
@user-rd3lj4gn4s 28 күн бұрын
@@LinuxbyDmitry почему вы позитивно оценили VMware и холодно отозвались о VirtualBox? Я считал это идентичными виртуальными машинами просто от разных производителей. С VMware не работал, а на VirtualBox ещё 15 лет назал одновременно запускал 8 операционок, чтобы запустить на каждой сетевую игру, и выставив разные разрешения экранов в каждой операцтонке сервер принимал меня за разных 8 игроков. Работало стабильно, не вешалось и не тормозило. Чем же вы тогда в VirtualBox не довольны, почему её «никто не использует на постоянку»?
@LinuxbyDmitry 28 күн бұрын
@@user-rd3lj4gn4s ))) VirtualBox ни кто в серьёз не воспринимает, только для опытов в домашних условиях. Но вот на QEMU и VMware, делают огромные инфраструктуры, как хостеры так и крупные компании. Нельзя назвать VirtualBox стабильным для большого количества серверов. Надеюсь вы не предлагаете использовать VirtualBox на винде, ещё и где нибудь в кластере с 80 или более физическими серверами?) VirtualBox только для дома, QEMU и VMware, это уже совсем другой уровень).
@user-rd3lj4gn4s 28 күн бұрын
@@LinuxbyDmitry если честно, из вашего объяснения я не понял чем плох VirtualBox. Я с ним работал и был обаденно доволен. Ни одного сбоя за тот год когда играл - небыло (и как говорил - из под винды запускал 8 виртуальных виндоусов). Почему же вы говорите что с ней что-то не так? Или может какой-то обзор есть на преимущеста и различия всех этих трёх и proxmox ещё.
@LinuxbyDmitry 28 күн бұрын
@@user-rd3lj4gn4s Я не видел обзоров и сравнения этих трёх технологий. Тут похоже мне самому надо сделать обзор, но не хочу возиться с VirtualBox). Взять к примеру Proxmox и у него под капотом QEMU + LXC, он очень крут). В двух словах не объяснить, просто если стремиться к профессиональному софту, то это не VirtualBox это точно).
@flibustieros Ай бұрын
Спасибо, а то энидески залипали как и тимвтювер, от которого лет 10 назад отказался, тк даже при подключении с домашних ИП, он порой орал, что вы зашли из коммерческой сети и обрывал соединение
@flibustieros Ай бұрын
Есть возможность компильнуть 1 ехе с заранее определенным конфигом для тупых виндузятников? А то не хочется костыли создавать, а объяснять куда конфиг засунуть - это пол часа надо тратить
@LinuxbyDmitry Ай бұрын
Есть возможность указать сервер, в качестве параметра rustdesk.com/docs/en/client/#configuring-rustdesk Вроде раньше, может и сейчас, была возможность переименовать exe с нужным сервером. Компильнуть, тут не подскажу.
@LinuxbyDmitry Ай бұрын
Эх, это вроде как только для Pro.
@flibustieros 18 күн бұрын
@@LinuxbyDmitry ага, но можно собрать папку программы + в батник скопировать по пути user\AppData\Roaming\RustDesk\config\RustDesk2.toml заранее сохраненный одноименный файл. А дальше можно хоть msi хоть автоинсталятор, хоть в архив затолкать с последующим запуском батника
@flibustieros Ай бұрын
А драйвер есть, что перехватывает координаты и передает только изменения?
@LinuxbyDmitry Ай бұрын
Не могу сказать, не знаю).
@justic9682 Ай бұрын
Дмитрий вопрос: А почему при указании своего сервера id не меняется с полученого публичного? получается, что коннект к их серверам всё же идёт?
@LinuxbyDmitry Ай бұрын
У меня не получалось подключиться, если указан другой сервер, а ID я так понимаю, это устройство себе как-то выбирает. Возможно они с сервером вместе подбирают ID, не могу сказать, но он и правда не меняется). Там есть смена ID, можно поменять).
@LinuxbyDmitry Ай бұрын
Правда чёт не получилось ID поменять).
@justic9682 Ай бұрын
Дмитрий - есть предложение обозревать аналоги рф, т.к. после определенных событий в opensource нет ему доверия и они запрещены в организациях ГОС или которые около ГОС, т.е. выполняют заказы. Ну и в целом.
@LinuxbyDmitry Ай бұрын
Я бы не против, но у них вроде нет бесплатных совсем. Покупать или рекомендовать за деньги не могу, людям будет проще пользоваться бесплатно AnyDesk пока работает). Но если честно, чёт я даже не интересовался, может и есть такой же бесплатный у нас.
@LinuxbyDmitry Ай бұрын
У них же, только клиент бесплатный и до двух часов в сутки, на их серверах. Хотя, надо вникнуть, управление на сервере какое нибудь есть или нет.
@LinuxbyDmitry Ай бұрын
Поставил клиентов, даже зарегистрировался. Рассказать конечно есть что по rudesktop, но всё же я не вижу широкого применения. Я понимаю, что бюджетникам можно будет использовать RuDesktop, вроде лицензия позволяет, но это не точно. Но всё же бесплатно только два часа и вроде было должно хватить многим, но если две сессии одновременно, то время будет складываться). Людям которым пофиг на лицензию, не будут заморачиваться, я так думаю, проще поставить RustDesk и пользоваться без ограничений. Однако у RuDesktop есть большой плюс, не нужно ставить сервер, хотя это как посмотреть, может это и минус.
@vladislavkaras491 Ай бұрын
Интересный проект. Спасибо за обзор!
@antoniomax3163 Ай бұрын
Готов предоставить и домен на кф и впс для тестов
@LinuxbyDmitry Ай бұрын
Надо пробовать и скорей всего, делать надо с доменом, что бы домен внутри локалки, резолвился с локальным адресом, а снаружи по белому. Но это только догадки, надо пробовать. По поводу Cloudflare, не могу ни чего сказать, не знаком.
@flibustieros 18 күн бұрын
@@LinuxbyDmitry я могу сказать. И он заипал. Каждый 1 идиот прикручивает, а потом доступа получить не можешь из-за дебилов на сером ip, но фларе то пох, она затрахает тебя каптчей до смерти. Админы - лентяи, от дудоса не могут рейт иптаблесом поставить. в 99% случаев этого достатоно, чтобы отбиться от китайцев.
@antoniomax3163 Ай бұрын
Уточните, вы это делаете на впс с белым адресом, верно? А можно сделать раст внутри сети, на вирт машине, имея белый адрес пробросить порты, верно же? А как вам идея, может немного глупо звучит, но все же. Подключить виртуальную машину убунту сервер, на которой докер к клоудфларе туннелям, если у меня нет белого адреса, это возможно? Через CF использовать маршрутизацию
@LinuxbyDmitry Ай бұрын
Да свой я поставил на VDS с белым адресом и клиенты которые в локалке, они настроены на него, но в локалке, трафик ходит именно в локалке, хотя это надо ещё уточнить). Как-то давно пробовали с одним человеком в другой локалке, разместили сервер в локалке и внутри сети он работал, но снаружи подключиться в локалку, не получилось, может что-то сделали не правильно. Порты при этом были проброшены, хотя по пробросу тоже вроде не всё гладко было, уже не помню). С Cloudflare не знаком, полистал сайт и с первого взгляда не всё понятно).
@freebeenergy Ай бұрын
Добрый час! Если я из видео правильно понял, чтобы установить кальку на уже существующий подраздел бтрфс с помощью cl-install, мне нужно как у тебя в команду написать что то типо этого?... --disk /dev/sda1:/:btrfs-compress:on 1.0) Только вот непонятно где указывать subvol или лучше subvolid? У меня например примерно такие подразделы для кальки, subvol=/calc-root:subvolid=267, subvol=/calc-home:subvolid=268 итд. 1.1) как мне при установке указать 2й, 3й подраздел для монтирования? Благодарю!
@LinuxbyDmitry Ай бұрын
Ох, давно это было)). Не ставил кальку уже года 3-4 наверно, не подскажу). Но могу порекомендовать их официальный чат, там есть кому ответить). t.me/joinchat/Qx7b2K-Y5IFvPeem
@freebeenergy Ай бұрын
@@LinuxbyDmitry ну да. Я тоже уже долго непользовался. Ушёл с emerge на pacman)). Точнее на артикс. А терь думаю попробовать вновь как бы отечественные сборки.
@LinuxbyDmitry Ай бұрын
@@freebeenergy Я то же часто менял ОС, что-то в последнее время к Fedora прилип, точнее к Gnome). Да и в целом меня всё устраивает в Fedora). Поглядываю правда ещё на Альт Gnome и Rosa Gnome). Тоже кстати активно юзаю volume на btrfs, даже написал скрипт который моментальные снимки делает, очень удобно если надо откатиться). kzbin.info/aero/PLOp6AT9LJS_NzEjtr4_snlHS-pibqUWdT
@freebeenergy Ай бұрын
@@LinuxbyDmitry Надо будет осовить с откатом. Жаль на всё время не хватает. Щас надо бы таблицу доходов расходов селать бы. А то кучу уроков как сделать в экселе. Но к сожалению в LibreOffice Calc, не все функции есть что в экселе. например т.н. умная таблиуца мне очь нравится, но её нет в LibOffice-Calc А я кстати совсем недавно понял наконец то что нужно прописать в 40_custom дабы дистриб стартовал с подраздела бтрфс. И тоже думал установить альт. Потом гляжу, systemd. Я не спец но про эту инициализацию слышал недоброе. Лучше отсанусь при runit или openrc. От чего вновь кальку хочу установить)) Ну и чтоб понять распостранённый пакетный менеджер от дебиан, мож devuan. Хотя думаю что любимый pacman, emerge и xbps из void-linux, вполне себе хватает
@LinuxbyDmitry Ай бұрын
@@freebeenergyНу systemd не так уж и плох на самом деле). Кто бы что не говорил, а в крупных компаниях его используют). Это скорее на любителя, кому-то и мясо курицы не нравится)).
@rosts-rp Ай бұрын
Спасибо за видео. Сделай видео по установке сервера.
@LinuxbyDmitry Ай бұрын
Хорошо)
@shamanvalius2902 Ай бұрын
А можно ссылочку до картинки на обоих вашего стола))
@LinuxbyDmitry Ай бұрын
Выложу где нибудь))
@LinuxbyDmitry Ай бұрын
Вот, буду добавлять ссылку в описании). disk.yandex.ru/d/woMKPA474xmDlQ
@shamanvalius2902 Ай бұрын
@@LinuxbyDmitry спасибо.
@OLEGEK23 Ай бұрын
Винда на эмуляторе внутри контейнера. Сон внутри сна блин ))
@Mike-cp5vy 29 күн бұрын
Я тебе скажу что такое бывает. Сидишь во сне и думаешь это уж точно не во сне это точно на яву и просыпаешься.
@JohnDoe-kg7gn 29 күн бұрын
Время запускать волчок? :)
@user-rd3lj4gn4s 28 күн бұрын
@@JohnDoe-kg7gn стереотипное мышление, позор! :(
@JohnDoe-kg7gn 28 күн бұрын
@@user-rd3lj4gn4s Ну хорошо, специально для вас альтернативные варианты, совершенно не избитые и свежие: ущипнуть себя, попытаться взлететь или сконцентрироваться на отсутствующем объекте для его материализации :)
@user-tu6iq3mt4j 27 күн бұрын
Фильм "Начало". Там про сон внутри сна
@alexno442 Ай бұрын
Я тоже не понял зачем всё это намутили с QEMU в контейнере. Когда можно и без контейнера всё это проделать в QEMU. Прикола ради, я думаю.
@user-rd3lj4gn4s 28 күн бұрын
Ну а чего не сделал нам без контейнера? Мы бы поблагодарили. А так ты только языком можешь трепать...
@alexno442 28 күн бұрын
@@user-rd3lj4gn4s В смысле "сделал нам"? Я не видеоблогер. А так есть положительная практика. Конкретно: запускал 2 операционки на одном ПК одновременно, Windows и Linux. Обе в отдельных ВМ. В эти виртуальные машины пробрасывал железо (видеокарты и звуковые контроллеры) в каждую из ОС. Игры на Винде отлично работали, и одновременно на втором мониторе со второй видеокарты работала ALT Linux. Всё это я проделывал на Proxmox. Идеальное решение для виртуализации.
@dmsob Ай бұрын
а 1с-ка будет работать в нём? :)
@OLEGEK23 Ай бұрын
а куда она денется ? ))
@dmsob Ай бұрын
@@OLEGEK23 1с-ка она такая - на ровном месте может не работать нормально )) как туда юсб-ключи пробрасывать? рутокены всякие?
@LinuxbyDmitry Ай бұрын
@@dmsob Я краем глаза видел, что ключи от 1С, можно с сервера раздавать, а Рутокены только вытаскивать из из Рутокена в виде эмулированного A диска например. Можно сделать, хотел даже видео по этому поводу записывать).
@dmsob Ай бұрын
@@LinuxbyDmitry это если есть сервер, то да, там он по сетке раздаёт лицензии(если ключ сетевой), а если просто локально базу открыть? ) Рутокены не все можно вытаскивать с физ. носителя, только с Lite, сам делал копии на обычную флешку, но в налоговой сейчас ключи выдают не только на рутокенах... есть ещё производители usb-токенов и их уже так просто не скопировать ((
@LinuxbyDmitry Ай бұрын
@@dmsob Можно, есть речь про это) dzen.ru/a/YwR_0XOhqibmZBhH
@Archi.Varius Ай бұрын
Имхо здесь докер просто это лишняя прокладака..сделали для прикола)
@LinuxbyDmitry Ай бұрын
Думаю тут есть своя философия). Что бы не париться и не ставить QEMU и что бы была возможность быстро воспользоваться конкретно виндой).
@Archi.Varius Ай бұрын
@@LinuxbyDmitry так и так качается образ... Не ставить qemu.. Зато ставить докер))) затраты времени..qemu быстрее установить)
@user-rd3lj4gn4s 28 күн бұрын
@@Archi.Varius кто умеет qemu ставить? 95% спецов в компах дажемне знают что это такое. А докер на любом NAS’e стоит.
@user-yx8wi7tg4i Ай бұрын
Тяжело Вам доносить до пользователей)
@user-hc7lr3de9u Ай бұрын
Покажи, что есть документация по созданию ВМ, по созданию ключа, по подключению через ssh и vnc И так же что публичный ip платный, даже если его к тачке не привязали
@LinuxbyDmitry Ай бұрын
Это большая инфраструктура и мне ни кто не платит за обзоры). Упомянуть документацию конечно могу, но я её и сам не читал). cloud.ru/ru/docs/virtual-machines/ug/topics/guides__create-vm.html
@fedor_ado Ай бұрын
Почему такие цены дикие? Ужосс! ) 160гигов ссд, 8гигов оперы и 6 ядер - плачу меньше 11 долларов, айпи, трафик безлимит 100мб впридачу.
@LinuxbyDmitry Ай бұрын
Не знаю)). Круто, а где можно купить такую за 11$?)
@fedor_ado Ай бұрын
@@LinuxbyDmitry, не нашёл нигде - напиши почту свою какую-нибудь или телегу, туда скину. Здесь ссылки писать у меня нервов не хватает. )
@LinuxbyDmitry Ай бұрын
@@fedor_ado)) [email protected]
@fedor_ado Ай бұрын
@@LinuxbyDmitry , написал.
@dmsob Ай бұрын
а мне 4000 бонусов дали и ими можно оплатить IP, поэтому пару лет халява всё-таки
@LinuxbyDmitry Ай бұрын
Я забыл сказать про бонусы). Нет, на пару лет не хватит, они сгорят через пару мес., я тоже сначала так подумал))
@dmsob Ай бұрын
@@LinuxbyDmitry значит можно на пару месяцев помощнее сервак арендовать )) или несколько слабых и сеть из них замутить
@LinuxbyDmitry Ай бұрын
@@dmsob Ну да, потестировать, поиграться, всё равно бонусы сгорят)
@talenize Ай бұрын
Я блокирую все направления трафика, не только INPUT nft add table ip6 FW6 nft add chain ip6 FW6 INPUT { type filter hook input priority 0 \; policy drop \; } nft add chain ip6 FW6 OUTPUT { type filter hook output priority 0 \; policy drop \; } nft add chain ip6 FW6 FORWARD { type filter hook forward priority 0 \; policy drop \; } И ещё отключаю IPv6 в sysctl.conf net.ipv6.conf.all.disable_ipv6 = 1
@LinuxbyDmitry Ай бұрын
Я пользовался дома IPv6, хорошая сеть и инет через неё лучше работает. Сейчас уже год наверно, как отключил.
@qwertyrulit Ай бұрын
сяоми выкатили роутер be7000, он с поддержкой docker. Эта прога норм на нём работает, кеш сразу на флеш надо, т.к. собственой ram у него 1гб
@LinuxbyDmitry Ай бұрын
Прикольно)
@artemivanov2141 Ай бұрын
Почему пакет, отправленный с сервера, выходит из Outgoing Packet и опять попадает в Incoming Packet ? тока Outgoing Packet это же выход из сетевой карты
@LinuxbyDmitry Ай бұрын
Он же возвращается обратно, как ему ещё возвращаться?) Давно видео записывал, надо пересмотреть самому, может не правильно что-то сказал).
@LinuxbyDmitry Ай бұрын
Запишу видео ответ, скорей всего ещё кому нибудь понадобится. Только показывать буду уже на nftables, но по сути разницы нет, просто так будет удобнее.
@LinuxbyDmitry Ай бұрын
Ответ в последнем видео. kzbin.info/www/bejne/aHTTmohoh5yMjs0
@abbze8272 Ай бұрын
У меня контейнер запускается, но статус unhealthy и в логах здоровья контейнера failed to connect to 127.0.0.1 port 8090 after 0ms: connection refused и так много раз. Есть ли какое-то решение этой проблемы? Запускаю на fedora 39
@LinuxbyDmitry Ай бұрын
Странно, а порт 8090, на ПК ни чем не занят? Я как поднял себе, когда видео записывал, так он и работает, больше не касался его, только смотрю видео часто и всё.
@justic9682 Ай бұрын
Я думаю, можно придумать лабораторный стенд ну допустим 3-5 виртуальных машин. Где допустим 1 убунту, 2 дебиан, rpm дистры. И в лабораторной проводить обучение с уклоном на макс приближено к базовым реальным задачам. Это даст возможность повторяемости ну и мб потом можно мини задачи ставить для стенда - самостоятельные работы такие. А так Большое вам спасибо и не расстраивайтесь, вы хорошо подаёте материал. Часть мне тоже не понятна, но стараюсь вникнуть
@LinuxbyDmitry Ай бұрын
Спасибо). По поводу стенда, вероятно сделаю, потому что там будут задачи, которые потребуют несколько машин. Плюс в будущем, планирую делать видео по нескольким маршрутам, провайдерам проще говоря). Постепенно буду усложнять задачи, дойдём до всякого).
@justic9682 Ай бұрын
@@LinuxbyDmitry Дмитрий - если возможно в следующих (любых) видео повторить момент один. В плане блокировка ipv6 для приложений допустим x11 vnc (и его аналоги), kesl, и т.д. Многие скажут, проще отключить вообще и будут правы, но некоторые приложения не могут почему то работать (а точнее установка и настройка) без вкл ipv6 - как пример FreeIPA: наткнулся на рассуждения об организации этого домена и нормально развернуть получилось только с использованием ipv6 (может я и не прав) И вот в данный момент я на UFW блокирую ipv6.
@LinuxbyDmitry Ай бұрын
@@justic9682 Хорошо, это не сложно.
@pid625 Ай бұрын
Спасибо за столь подробную инструкцию) отличное решение вынести порты отдельно в переменные
@klounader 2 ай бұрын
хороший звук, приятный. аж с нотками асмр ))
@LinuxbyDmitry 2 ай бұрын
Стараюсь))
@user-oh4xv9vf1h 2 ай бұрын
Расскажите как настроить грамотно File2ban на iptables и nft !
@LinuxbyDmitry 2 ай бұрын
Для iptables и настраивать ни чего не нужно, надо просто поставить fail2ban и включить, там по умолчанию всё настроено. Под nftables надо пару строк поменять, но опять же вроде как и не обязательно. Под всё остальное, как-то я и не настраивал ни разу fail2ban, я про nginx, apache2 например, да и в последнее время перестал устанавливать fail2ban и просто меняю SSH порт на другой).
@cobaltdust22 2 ай бұрын
Добавлю еще пять копеек - если использовать дефолтный сейчас большинстве линуксов инструмент iptables(nft) -> xtables-nft-multi, можно брать лучшее из двух миров - продолжить использовать ipset, но обрабатывать трафик в nftables. Даже и комбинировать правила в одном конфиге, чтобы реализовывать недостающее. Исчезает, правда, возможность грузить правила из дампов, зато остаются все удобства ipset. Хотя это выглядит несколько коряво.
@LinuxbyDmitry 2 ай бұрын
ipset силён согласен, долго им пользовался с удовольствием). Однако и nftables списки не хуже). Есть правда одно не приятное ограничение, nftables списки, вроде не работали в nat и не проверял в netdev, а так в целом можно и без ipset обойтись)
@cobaltdust22 2 ай бұрын
nft прекрасен, слов нет. И оптимизировано, и все классы (ipv4, ipv6, br) в одном инструменте, и хеш-таблицы встроены, а не внешние. Но у меня лично проблема как раз возникла с переходом с ipset на внутренние таблицы - ipset поддерживает инструкцию nomatch, что позовляет в блоклисте описать большой диапазон, и потом там же исключить изз него мелкие подсети add 192.168.0.0/16 add 192.168.1.0/24 nomatch А в nft такое не получилось, приходится выкручиваться двумя списками - белым и черным. Также есть минус, имхо, с загрузкой всего из одного файла - и списков и правил. Инклуды тоже не решают. Подгружать списки из внешний источников и делать из них set стало очень неудобно. Раньше просто скачивал список с ETOpen, парсил по регулярке на ip-адреса, циклом переиннициализировал сушествующий рабочий ipset (ipset flush; ipset add blocklist $ip) - и правила не приходилось перегружать, да и сохранение списка в стартап было простое. В nft все более громоздко выходит, и пока я для себя удобного варианта не нашел. Возможно, поэтому ideco, к примеру, даже в свежих релизах все еще используют классический iptables-legacy + ipset...
@LinuxbyDmitry 2 ай бұрын
Как-то не приходилось использовать nomatch, вроде в nftables есть что-то похожее, точно сейчас не скажу). Я согласен по поводу более удобного ipset, но мне кажется, что это просто привычка)). Списки nftables так же можно создавать, удалять, добавлять и удалять элементы без необходимости редактировать файл конфиг, через утилиту nft. Редактировать напрямую файл конфиг с огромными списками, вот это жесть конечно-же, тут ipset на много удобнее). По поводу ideco, ну тут я бы сказал, что им просто надо очень долго переписывать софт, прежде чем они смогут предоставить тот же функционал на том же уровне, но это возможно). Однако, как по мне nftables ещё молод для ideco, да и у них и так всё отлично работает, зачем им сейчас что-то менять).
@LinuxbyDmitry 2 ай бұрын
Почему-то, этот комментарий был на проверке, только сейчас его увидел).
@cobaltdust22 2 ай бұрын
@@LinuxbyDmitry да, я неправ - со списками отлично, выгрузки в отдельных файлах и инклуды в конфиг решают. Со своими скриптами наконец руки дошли разобраться и все, что надо было, работает. В netdev блокировки по set тоже, хотя какой-то разницы в производительности с raw я ее заметил. Осталось ещё всякие штуки типа recent и string из iptables оттранслировать, но это уже решаемо. Спасибо вам, Дмитрий, за отличный побудительный мотив! )
@LinuxbyDmitry 2 ай бұрын
@@cobaltdust22 Я пробовал icmp DDOS и блокировал пакеты в raw и netdev, в netdev эффективнее). Попробуй на какой нибудь одноядерной машинке, разница не велика, но она есть). Сделаю наверно видео про raw и netdev, правда я не совсем разобрался с netdev). Чёт ни как не могу пятую версию Port knicking записать, уже два раза видео записал и запорол, не выложил).
@LinuxbyDmitry 2 ай бұрын
@@cobaltdust22 Я бы ещё посоветовал, заполнять списки массивом, за один раз сразу можно добавлять элементы сколько угодно). Было дело очень давно ipset заполнял по одному элементу, это была жесть, 10000 элементов около 30-40 сек. надо было. Потом сообразил, что за один раз можно столько же добавить за несколько сек., тоже самое и со списками nftables).
@cobaltdust22 2 ай бұрын
С точки зрения экономии ресурсов, стоит дропать INVALID сразу после conntrack, в хуке prerouting, чтобы не тащить эти пакеты через роутинг в input.
@LinuxbyDmitry 2 ай бұрын
Согласен, просто так удобнее, одним правилом).
@haruops 2 ай бұрын
Дмитрий, в профессиональных целях корректно использовать команды утилиты nft или возможно напрямую редактировать файл /etc/nftables.conf?
@LinuxbyDmitry 2 ай бұрын
Если где нибудь в компании, где крутятся прод. серверы, то лучше утилита nft, тут скорее зависит от ситуации. А если это домашний сервере или личная VDS, то можно редактировать файл /etc/nftables.conf По утилите nft, я позже собираюсь сделать видео, это важно. Я начал показывать nftables в файле, по причине того, что так проще понять что к чему, потом можно уже переходить к утилите nft).
@cobaltdust22 2 ай бұрын
Файлом удобнее и безопаснее. Обновления набора в nft атомарные, т.е. либо все применятся, либо ничего. Поэтому файл со стартовым flush не сломает рабочий конфиг при ошибках.
@LinuxbyDmitry 2 ай бұрын
@@cobaltdust22 В большинстве случаев да, но бывают редкие исключения, когда требуется сохранить счётчики например или если при ошибке в конфиге, могут возникнуть временные задержки и это не допустимо в прод средах.
@cobaltdust22 2 ай бұрын
@@LinuxbyDmitry Про счетчики - да, а про ошибки в конфиге - как раз атомарность загрузки спасет. Загрузка набора правил в nft - транзакция, и сначала все валидируется на корректность.
@LinuxbyDmitry 2 ай бұрын
@@cobaltdust22 Ещё бывают большие списки адресов например, я про 10000 и более. Эти списки могут подгружаться несколько секунд, тут скорее от железа зависит. Пока готовятся/подгружаются такие списки, трафик ни как не контролируется и например SIP в это время может не работать. Потом клиенты будут жаловаться на обрывы связи).
@kamil24940 2 ай бұрын
все гениальное просто
@baikalit.online 2 ай бұрын
Ну кросавчег что разобрался!
@user-mf1jj1bf2x 2 ай бұрын
По мне, такие видео следует воспринимать как рецепт. Каждый, просмотрев и получив определенный опыт, уже сам решает где больше "посолить/поперчить(т.е. добавить какие-то программы или использовать базовые инструменты из ОС)". Алексей из "Диджитализируй!" снимает интересный контент, умничка! Благодаря ему теперь я знаю и о вашем канале.
@LinuxbyDmitry 2 ай бұрын
Спасибо, Алексея тоже уважаю). Я ни сколько не хотел как-то негативно отреагировать на видео Алексея, он просто предложил то, чем пользуются наверно большинство). До массового распространения nftables, именно Алексея метод был самым доступным и простым).
@LinuxbyDmitry 2 ай бұрын
Я выложил уже четыре варианта port knocking, сейчас готовлю ещё один вариант, только там больше косметики и улучшений чем сам port knokcking).
@yu.diachenko7889 2 ай бұрын
Еще вопрос, если я на вашем примере стучу в 7к, потом 7001.. и тд, после 8к, стук будет защитан если я вложусь в таймаут правила?
@LinuxbyDmitry 2 ай бұрын
Да, надо уложиться в 5-10 сек. или сколько вы там укажите.