Есть предложение, поставить ADATA в комп, а TESLA на полку, так у ADATA будет питание. Так мы узнаем есть ли разница между лежать на полке и быть подключенным.
@klounader5 күн бұрын
спасибо за видео. можешь делать что хочешь, мне уже неинтересно стало, если честно.
@user-gg7bf5rt7m5 күн бұрын
После пары прочтений скорость должна восстановиться. В файлопомойке ещё поработает.
@LinuxbyDmitry5 күн бұрын
@@klounader Мне тоже надоело))
@bezhigov7 күн бұрын
Спасибо Вам за работу! Если будет желание и время, то хотелось бы увидеть видео из серии nftables "для самых маленьких" :) Начинаю изучать netfilter. Увидел информацию про iptables, начал знакомится и нарвался на информацию про nftables и понял, что нужно копать только туда :) Судя по количествам просмотров тема непопулярная, но важная для тех, кто хочет поднять свой уровень навыков, а значит и уровень дохода
@jp2en12 күн бұрын
наверно, просто надо не википедию читать, а сайт производителя софта, чтобы не офигевать от базового функционала
@hexqueller16 күн бұрын
Забавно то, что по сути если запускать из под винды и docker desktop, то получается: Windows -> docker desktop (linux VM) -> linux (docker) -> Windows (QUEMU)
@LinuxbyDmitry16 күн бұрын
Не пробовал, мне кажется не получится).
@user-zi5jt4py5s18 күн бұрын
Спасибо Дмитрий, круто что есть люди которым не безразлчен linux и открытые технологии, приятно осознавать что я такой не один) Контент на уровне, продолжайте в том же духе
@LinuxbyDmitry18 күн бұрын
Рад поделиться)
@shonrag928224 күн бұрын
ЧЕЛ ТЫ ЛЕГЕНДА ! СПАСИБО
@LinuxbyDmitry24 күн бұрын
Спасибо))
@Rinaldus26 күн бұрын
А хостер за использование VPS для торрентов не забанит?
@LinuxbyDmitry26 күн бұрын
Думаю это индивидуально для каждого хостера, кто-то может и на ругать).
@antoshabrain28 күн бұрын
"всё бесплатно, ну там в год получается я буду платить где то тысяча восемьсот я буду платить..."
@LinuxbyDmitry28 күн бұрын
Я же сказал, что с подвохом)
@karamba2077Ай бұрын
Подскажите вы не пробовали torr server интегрировать в jellyfin
@LinuxbyDmitryАй бұрын
Нет, Jellyfin сам умеет работать как DLNA сервер, а вот в качестве клиента по DLNA, вроде и плагинов таких у него нет.
@karamba2077Ай бұрын
@@LinuxbyDmitry дело не в dlna
@user-rd3lj4gn4sАй бұрын
А почему можно запускать только одну копию? Я думал как в любой виртуальной машине - хоть десяток запускай одновременно.
@LinuxbyDmitryАй бұрын
Я и сам не понял, но почему-то только одну, хотя файлы docker-compose разные. Не изучал этот вопрос, на самом деле, наверняка можно хоть сколько, только зачем?)
@coox454627 күн бұрын
Мне кажется можно запустить несколько экземпляров эмуляторов. Надо только порты разные наружу прокидывать, ну и вольюмы свои. И все что касаемо внешних ресурсов. Как с обычным контейнером все должно работать. Ну типа три постгреса в докере поднять нет проблем. Думаю и здесь все заведется.
@LinuxbyDmitry27 күн бұрын
@@coox4546 Я тоже так думал и попробовал, нет). Скорей всего в одном docker-compose.yml надо описывать сразу несколько машин, не пробовал).
@coox454627 күн бұрын
@@LinuxbyDmitry так да. Несколько. Иначе никак. Попробую - отпишусь. Самому интересно
@ixozaАй бұрын
SDS возможно StandartDataStorage то есть HDD? 🤔
@LinuxbyDmitryАй бұрын
Там всё вперемешку и по сети, всё не просто).
@user-bh2ot5ks8fАй бұрын
Докер под виндой тоже работает в эмуляторе
@LinuxbyDmitryАй бұрын
Там через прослойку, это не тоже самое что на Linux.
@user-bh2ot5ks8fАй бұрын
Очень интересно изучать подобные проекты
@MikeTolkachevАй бұрын
Есть другое решение, называется KubeVirt. Этот проект скорее всего закроется
@alexgordon4634Ай бұрын
чем это лучше классических вм на VirtualBox и VMware.Workstation ?
@LinuxbyDmitryАй бұрын
Ну VirtualBox ни кто не использует на постоянку или проще сказать в ПРОД. VMware крутая конечно и в ПРОД его много где используют, но он платный. QEMU очень распространён в ПРОД среде и он бесплатный. В Docker это только для попробовать что-то и всё, как собственно и VirtualBox, только в VirtualBox надо ещё и ОС устанавливать, а тут всё само ставится.
@user-rd3lj4gn4sАй бұрын
@@LinuxbyDmitry почему вы позитивно оценили VMware и холодно отозвались о VirtualBox? Я считал это идентичными виртуальными машинами просто от разных производителей. С VMware не работал, а на VirtualBox ещё 15 лет назал одновременно запускал 8 операционок, чтобы запустить на каждой сетевую игру, и выставив разные разрешения экранов в каждой операцтонке сервер принимал меня за разных 8 игроков. Работало стабильно, не вешалось и не тормозило. Чем же вы тогда в VirtualBox не довольны, почему её «никто не использует на постоянку»?
@LinuxbyDmitryАй бұрын
@@user-rd3lj4gn4s ))) VirtualBox ни кто в серьёз не воспринимает, только для опытов в домашних условиях. Но вот на QEMU и VMware, делают огромные инфраструктуры, как хостеры так и крупные компании. Нельзя назвать VirtualBox стабильным для большого количества серверов. Надеюсь вы не предлагаете использовать VirtualBox на винде, ещё и где нибудь в кластере с 80 или более физическими серверами?) VirtualBox только для дома, QEMU и VMware, это уже совсем другой уровень).
@user-rd3lj4gn4sАй бұрын
@@LinuxbyDmitry если честно, из вашего объяснения я не понял чем плох VirtualBox. Я с ним работал и был обаденно доволен. Ни одного сбоя за тот год когда играл - небыло (и как говорил - из под винды запускал 8 виртуальных виндоусов). Почему же вы говорите что с ней что-то не так? Или может какой-то обзор есть на преимущеста и различия всех этих трёх и proxmox ещё.
@LinuxbyDmitryАй бұрын
@@user-rd3lj4gn4s Я не видел обзоров и сравнения этих трёх технологий. Тут похоже мне самому надо сделать обзор, но не хочу возиться с VirtualBox). Взять к примеру Proxmox и у него под капотом QEMU + LXC, он очень крут). В двух словах не объяснить, просто если стремиться к профессиональному софту, то это не VirtualBox это точно).
@flibustierosАй бұрын
Спасибо, а то энидески залипали как и тимвтювер, от которого лет 10 назад отказался, тк даже при подключении с домашних ИП, он порой орал, что вы зашли из коммерческой сети и обрывал соединение
@flibustierosАй бұрын
Есть возможность компильнуть 1 ехе с заранее определенным конфигом для тупых виндузятников? А то не хочется костыли создавать, а объяснять куда конфиг засунуть - это пол часа надо тратить
@LinuxbyDmitryАй бұрын
Есть возможность указать сервер, в качестве параметра rustdesk.com/docs/en/client/#configuring-rustdesk Вроде раньше, может и сейчас, была возможность переименовать exe с нужным сервером. Компильнуть, тут не подскажу.
@LinuxbyDmitryАй бұрын
Эх, это вроде как только для Pro.
@flibustieros21 күн бұрын
@@LinuxbyDmitry ага, но можно собрать папку программы + в батник скопировать по пути user\AppData\Roaming\RustDesk\config\RustDesk2.toml заранее сохраненный одноименный файл. А дальше можно хоть msi хоть автоинсталятор, хоть в архив затолкать с последующим запуском батника
@flibustierosАй бұрын
А драйвер есть, что перехватывает координаты и передает только изменения?
@LinuxbyDmitryАй бұрын
Не могу сказать, не знаю).
@justic9682Ай бұрын
Дмитрий вопрос: А почему при указании своего сервера id не меняется с полученого публичного? получается, что коннект к их серверам всё же идёт?
@LinuxbyDmitryАй бұрын
У меня не получалось подключиться, если указан другой сервер, а ID я так понимаю, это устройство себе как-то выбирает. Возможно они с сервером вместе подбирают ID, не могу сказать, но он и правда не меняется). Там есть смена ID, можно поменять).
@LinuxbyDmitryАй бұрын
Правда чёт не получилось ID поменять).
@justic9682Ай бұрын
Дмитрий - есть предложение обозревать аналоги рф, т.к. после определенных событий в opensource нет ему доверия и они запрещены в организациях ГОС или которые около ГОС, т.е. выполняют заказы. Ну и в целом.
@LinuxbyDmitryАй бұрын
Я бы не против, но у них вроде нет бесплатных совсем. Покупать или рекомендовать за деньги не могу, людям будет проще пользоваться бесплатно AnyDesk пока работает). Но если честно, чёт я даже не интересовался, может и есть такой же бесплатный у нас.
@LinuxbyDmitryАй бұрын
У них же, только клиент бесплатный и до двух часов в сутки, на их серверах. Хотя, надо вникнуть, управление на сервере какое нибудь есть или нет.
@LinuxbyDmitryАй бұрын
Поставил клиентов, даже зарегистрировался. Рассказать конечно есть что по rudesktop, но всё же я не вижу широкого применения. Я понимаю, что бюджетникам можно будет использовать RuDesktop, вроде лицензия позволяет, но это не точно. Но всё же бесплатно только два часа и вроде было должно хватить многим, но если две сессии одновременно, то время будет складываться). Людям которым пофиг на лицензию, не будут заморачиваться, я так думаю, проще поставить RustDesk и пользоваться без ограничений. Однако у RuDesktop есть большой плюс, не нужно ставить сервер, хотя это как посмотреть, может это и минус.
@vladislavkaras491Ай бұрын
Интересный проект. Спасибо за обзор!
@antoniomax3163Ай бұрын
Готов предоставить и домен на кф и впс для тестов
@LinuxbyDmitryАй бұрын
Надо пробовать и скорей всего, делать надо с доменом, что бы домен внутри локалки, резолвился с локальным адресом, а снаружи по белому. Но это только догадки, надо пробовать. По поводу Cloudflare, не могу ни чего сказать, не знаком.
@flibustieros21 күн бұрын
@@LinuxbyDmitry я могу сказать. И он заипал. Каждый 1 идиот прикручивает, а потом доступа получить не можешь из-за дебилов на сером ip, но фларе то пох, она затрахает тебя каптчей до смерти. Админы - лентяи, от дудоса не могут рейт иптаблесом поставить. в 99% случаев этого достатоно, чтобы отбиться от китайцев.
@antoniomax3163Ай бұрын
Уточните, вы это делаете на впс с белым адресом, верно? А можно сделать раст внутри сети, на вирт машине, имея белый адрес пробросить порты, верно же? А как вам идея, может немного глупо звучит, но все же. Подключить виртуальную машину убунту сервер, на которой докер к клоудфларе туннелям, если у меня нет белого адреса, это возможно? Через CF использовать маршрутизацию
@LinuxbyDmitryАй бұрын
Да свой я поставил на VDS с белым адресом и клиенты которые в локалке, они настроены на него, но в локалке, трафик ходит именно в локалке, хотя это надо ещё уточнить). Как-то давно пробовали с одним человеком в другой локалке, разместили сервер в локалке и внутри сети он работал, но снаружи подключиться в локалку, не получилось, может что-то сделали не правильно. Порты при этом были проброшены, хотя по пробросу тоже вроде не всё гладко было, уже не помню). С Cloudflare не знаком, полистал сайт и с первого взгляда не всё понятно).
@freebeenergyАй бұрын
Добрый час! Если я из видео правильно понял, чтобы установить кальку на уже существующий подраздел бтрфс с помощью cl-install, мне нужно как у тебя в команду написать что то типо этого?... --disk /dev/sda1:/:btrfs-compress:on 1.0) Только вот непонятно где указывать subvol или лучше subvolid? У меня например примерно такие подразделы для кальки, subvol=/calc-root:subvolid=267, subvol=/calc-home:subvolid=268 итд. 1.1) как мне при установке указать 2й, 3й подраздел для монтирования? Благодарю!
@LinuxbyDmitryАй бұрын
Ох, давно это было)). Не ставил кальку уже года 3-4 наверно, не подскажу). Но могу порекомендовать их официальный чат, там есть кому ответить). t.me/joinchat/Qx7b2K-Y5IFvPeem
@freebeenergyАй бұрын
@@LinuxbyDmitry ну да. Я тоже уже долго непользовался. Ушёл с emerge на pacman)). Точнее на артикс. А терь думаю попробовать вновь как бы отечественные сборки.
@LinuxbyDmitryАй бұрын
@@freebeenergy Я то же часто менял ОС, что-то в последнее время к Fedora прилип, точнее к Gnome). Да и в целом меня всё устраивает в Fedora). Поглядываю правда ещё на Альт Gnome и Rosa Gnome). Тоже кстати активно юзаю volume на btrfs, даже написал скрипт который моментальные снимки делает, очень удобно если надо откатиться). kzread.info/head/PLOp6AT9LJS_NzEjtr4_snlHS-pibqUWdT
@freebeenergyАй бұрын
@@LinuxbyDmitry Надо будет осовить с откатом. Жаль на всё время не хватает. Щас надо бы таблицу доходов расходов селать бы. А то кучу уроков как сделать в экселе. Но к сожалению в LibreOffice Calc, не все функции есть что в экселе. например т.н. умная таблиуца мне очь нравится, но её нет в LibOffice-Calc А я кстати совсем недавно понял наконец то что нужно прописать в 40_custom дабы дистриб стартовал с подраздела бтрфс. И тоже думал установить альт. Потом гляжу, systemd. Я не спец но про эту инициализацию слышал недоброе. Лучше отсанусь при runit или openrc. От чего вновь кальку хочу установить)) Ну и чтоб понять распостранённый пакетный менеджер от дебиан, мож devuan. Хотя думаю что любимый pacman, emerge и xbps из void-linux, вполне себе хватает
@LinuxbyDmitryАй бұрын
@@freebeenergyНу systemd не так уж и плох на самом деле). Кто бы что не говорил, а в крупных компаниях его используют). Это скорее на любителя, кому-то и мясо курицы не нравится)).
@rosts-rpАй бұрын
Спасибо за видео. Сделай видео по установке сервера.
@LinuxbyDmitryАй бұрын
Хорошо)
@shamanvalius2902Ай бұрын
А можно ссылочку до картинки на обоих вашего стола))
@LinuxbyDmitryАй бұрын
Выложу где нибудь))
@LinuxbyDmitryАй бұрын
Вот, буду добавлять ссылку в описании). disk.yandex.ru/d/woMKPA474xmDlQ
@shamanvalius2902Ай бұрын
@@LinuxbyDmitry спасибо.
@OLEGEK23Ай бұрын
Винда на эмуляторе внутри контейнера. Сон внутри сна блин ))
@Mike-cp5vyАй бұрын
Я тебе скажу что такое бывает. Сидишь во сне и думаешь это уж точно не во сне это точно на яву и просыпаешься.
@JohnDoe-kg7gnАй бұрын
Время запускать волчок? :)
@user-rd3lj4gn4sАй бұрын
@@JohnDoe-kg7gn стереотипное мышление, позор! :(
@JohnDoe-kg7gnАй бұрын
@@user-rd3lj4gn4s Ну хорошо, специально для вас альтернативные варианты, совершенно не избитые и свежие: ущипнуть себя, попытаться взлететь или сконцентрироваться на отсутствующем объекте для его материализации :)
@user-tu6iq3mt4jАй бұрын
Фильм "Начало". Там про сон внутри сна
@alexno442Ай бұрын
Я тоже не понял зачем всё это намутили с QEMU в контейнере. Когда можно и без контейнера всё это проделать в QEMU. Прикола ради, я думаю.
@user-rd3lj4gn4sАй бұрын
Ну а чего не сделал нам без контейнера? Мы бы поблагодарили. А так ты только языком можешь трепать...
@alexno442Ай бұрын
@@user-rd3lj4gn4s В смысле "сделал нам"? Я не видеоблогер. А так есть положительная практика. Конкретно: запускал 2 операционки на одном ПК одновременно, Windows и Linux. Обе в отдельных ВМ. В эти виртуальные машины пробрасывал железо (видеокарты и звуковые контроллеры) в каждую из ОС. Игры на Винде отлично работали, и одновременно на втором мониторе со второй видеокарты работала ALT Linux. Всё это я проделывал на Proxmox. Идеальное решение для виртуализации.
@dmsobАй бұрын
а 1с-ка будет работать в нём? :)
@OLEGEK23Ай бұрын
а куда она денется ? ))
@dmsobАй бұрын
@@OLEGEK23 1с-ка она такая - на ровном месте может не работать нормально )) как туда юсб-ключи пробрасывать? рутокены всякие?
@LinuxbyDmitryАй бұрын
@@dmsob Я краем глаза видел, что ключи от 1С, можно с сервера раздавать, а Рутокены только вытаскивать из из Рутокена в виде эмулированного A диска например. Можно сделать, хотел даже видео по этому поводу записывать).
@dmsobАй бұрын
@@LinuxbyDmitry это если есть сервер, то да, там он по сетке раздаёт лицензии(если ключ сетевой), а если просто локально базу открыть? ) Рутокены не все можно вытаскивать с физ. носителя, только с Lite, сам делал копии на обычную флешку, но в налоговой сейчас ключи выдают не только на рутокенах... есть ещё производители usb-токенов и их уже так просто не скопировать ((
@LinuxbyDmitryАй бұрын
@@dmsob Можно, есть речь про это) dzen.ru/a/YwR_0XOhqibmZBhH
@Archi.VariusАй бұрын
Имхо здесь докер просто это лишняя прокладака..сделали для прикола)
@LinuxbyDmitryАй бұрын
Думаю тут есть своя философия). Что бы не париться и не ставить QEMU и что бы была возможность быстро воспользоваться конкретно виндой).
@Archi.VariusАй бұрын
@@LinuxbyDmitry так и так качается образ... Не ставить qemu.. Зато ставить докер))) затраты времени..qemu быстрее установить)
@user-rd3lj4gn4sАй бұрын
@@Archi.Varius кто умеет qemu ставить? 95% спецов в компах дажемне знают что это такое. А докер на любом NAS’e стоит.
@user-yx8wi7tg4iАй бұрын
Тяжело Вам доносить до пользователей)
@user-hc7lr3de9uАй бұрын
Покажи, что есть документация по созданию ВМ, по созданию ключа, по подключению через ssh и vnc И так же что публичный ip платный, даже если его к тачке не привязали
@LinuxbyDmitryАй бұрын
Это большая инфраструктура и мне ни кто не платит за обзоры). Упомянуть документацию конечно могу, но я её и сам не читал). cloud.ru/ru/docs/virtual-machines/ug/topics/guides__create-vm.html
@fedor_adoАй бұрын
Почему такие цены дикие? Ужосс! ) 160гигов ссд, 8гигов оперы и 6 ядер - плачу меньше 11 долларов, айпи, трафик безлимит 100мб впридачу.
@LinuxbyDmitryАй бұрын
Не знаю)). Круто, а где можно купить такую за 11$?)
@fedor_adoАй бұрын
@@LinuxbyDmitry, не нашёл нигде - напиши почту свою какую-нибудь или телегу, туда скину. Здесь ссылки писать у меня нервов не хватает. )
а мне 4000 бонусов дали и ими можно оплатить IP, поэтому пару лет халява всё-таки
@LinuxbyDmitryАй бұрын
Я забыл сказать про бонусы). Нет, на пару лет не хватит, они сгорят через пару мес., я тоже сначала так подумал))
@dmsobАй бұрын
@@LinuxbyDmitry значит можно на пару месяцев помощнее сервак арендовать )) или несколько слабых и сеть из них замутить
@LinuxbyDmitryАй бұрын
@@dmsob Ну да, потестировать, поиграться, всё равно бонусы сгорят)
@talenizeАй бұрын
Я блокирую все направления трафика, не только INPUT nft add table ip6 FW6 nft add chain ip6 FW6 INPUT { type filter hook input priority 0 \; policy drop \; } nft add chain ip6 FW6 OUTPUT { type filter hook output priority 0 \; policy drop \; } nft add chain ip6 FW6 FORWARD { type filter hook forward priority 0 \; policy drop \; } И ещё отключаю IPv6 в sysctl.conf net.ipv6.conf.all.disable_ipv6 = 1
@LinuxbyDmitryАй бұрын
Я пользовался дома IPv6, хорошая сеть и инет через неё лучше работает. Сейчас уже год наверно, как отключил.
@qwertyrulitАй бұрын
сяоми выкатили роутер be7000, он с поддержкой docker. Эта прога норм на нём работает, кеш сразу на флеш надо, т.к. собственой ram у него 1гб
@LinuxbyDmitryАй бұрын
Прикольно)
@artemivanov2141Ай бұрын
Почему пакет, отправленный с сервера, выходит из Outgoing Packet и опять попадает в Incoming Packet ? тока Outgoing Packet это же выход из сетевой карты
@LinuxbyDmitryАй бұрын
Он же возвращается обратно, как ему ещё возвращаться?) Давно видео записывал, надо пересмотреть самому, может не правильно что-то сказал).
@LinuxbyDmitryАй бұрын
Запишу видео ответ, скорей всего ещё кому нибудь понадобится. Только показывать буду уже на nftables, но по сути разницы нет, просто так будет удобнее.
@LinuxbyDmitryАй бұрын
Ответ в последнем видео. kzread.info/dash/bejne/ZHeky7drgpq_iM4.html
@abbze8272Ай бұрын
У меня контейнер запускается, но статус unhealthy и в логах здоровья контейнера failed to connect to 127.0.0.1 port 8090 after 0ms: connection refused и так много раз. Есть ли какое-то решение этой проблемы? Запускаю на fedora 39
@LinuxbyDmitryАй бұрын
Странно, а порт 8090, на ПК ни чем не занят? Я как поднял себе, когда видео записывал, так он и работает, больше не касался его, только смотрю видео часто и всё.
@justic9682Ай бұрын
Я думаю, можно придумать лабораторный стенд ну допустим 3-5 виртуальных машин. Где допустим 1 убунту, 2 дебиан, rpm дистры. И в лабораторной проводить обучение с уклоном на макс приближено к базовым реальным задачам. Это даст возможность повторяемости ну и мб потом можно мини задачи ставить для стенда - самостоятельные работы такие. А так Большое вам спасибо и не расстраивайтесь, вы хорошо подаёте материал. Часть мне тоже не понятна, но стараюсь вникнуть
@LinuxbyDmitryАй бұрын
Спасибо). По поводу стенда, вероятно сделаю, потому что там будут задачи, которые потребуют несколько машин. Плюс в будущем, планирую делать видео по нескольким маршрутам, провайдерам проще говоря). Постепенно буду усложнять задачи, дойдём до всякого).
@justic9682Ай бұрын
@@LinuxbyDmitry Дмитрий - если возможно в следующих (любых) видео повторить момент один. В плане блокировка ipv6 для приложений допустим x11 vnc (и его аналоги), kesl, и т.д. Многие скажут, проще отключить вообще и будут правы, но некоторые приложения не могут почему то работать (а точнее установка и настройка) без вкл ipv6 - как пример FreeIPA: наткнулся на рассуждения об организации этого домена и нормально развернуть получилось только с использованием ipv6 (может я и не прав) И вот в данный момент я на UFW блокирую ipv6.
@LinuxbyDmitryАй бұрын
@@justic9682 Хорошо, это не сложно.
@pid6252 ай бұрын
Спасибо за столь подробную инструкцию) отличное решение вынести порты отдельно в переменные
@klounader2 ай бұрын
хороший звук, приятный. аж с нотками асмр ))
@LinuxbyDmitry2 ай бұрын
Стараюсь))
@user-oh4xv9vf1h2 ай бұрын
Расскажите как настроить грамотно File2ban на iptables и nft !
@LinuxbyDmitry2 ай бұрын
Для iptables и настраивать ни чего не нужно, надо просто поставить fail2ban и включить, там по умолчанию всё настроено. Под nftables надо пару строк поменять, но опять же вроде как и не обязательно. Под всё остальное, как-то я и не настраивал ни разу fail2ban, я про nginx, apache2 например, да и в последнее время перестал устанавливать fail2ban и просто меняю SSH порт на другой).
@cobaltdust222 ай бұрын
Добавлю еще пять копеек - если использовать дефолтный сейчас большинстве линуксов инструмент iptables(nft) -> xtables-nft-multi, можно брать лучшее из двух миров - продолжить использовать ipset, но обрабатывать трафик в nftables. Даже и комбинировать правила в одном конфиге, чтобы реализовывать недостающее. Исчезает, правда, возможность грузить правила из дампов, зато остаются все удобства ipset. Хотя это выглядит несколько коряво.
@LinuxbyDmitry2 ай бұрын
ipset силён согласен, долго им пользовался с удовольствием). Однако и nftables списки не хуже). Есть правда одно не приятное ограничение, nftables списки, вроде не работали в nat и не проверял в netdev, а так в целом можно и без ipset обойтись)
@cobaltdust222 ай бұрын
nft прекрасен, слов нет. И оптимизировано, и все классы (ipv4, ipv6, br) в одном инструменте, и хеш-таблицы встроены, а не внешние. Но у меня лично проблема как раз возникла с переходом с ipset на внутренние таблицы - ipset поддерживает инструкцию nomatch, что позовляет в блоклисте описать большой диапазон, и потом там же исключить изз него мелкие подсети add 192.168.0.0/16 add 192.168.1.0/24 nomatch А в nft такое не получилось, приходится выкручиваться двумя списками - белым и черным. Также есть минус, имхо, с загрузкой всего из одного файла - и списков и правил. Инклуды тоже не решают. Подгружать списки из внешний источников и делать из них set стало очень неудобно. Раньше просто скачивал список с ETOpen, парсил по регулярке на ip-адреса, циклом переиннициализировал сушествующий рабочий ipset (ipset flush; ipset add blocklist $ip) - и правила не приходилось перегружать, да и сохранение списка в стартап было простое. В nft все более громоздко выходит, и пока я для себя удобного варианта не нашел. Возможно, поэтому ideco, к примеру, даже в свежих релизах все еще используют классический iptables-legacy + ipset...
@LinuxbyDmitry2 ай бұрын
Как-то не приходилось использовать nomatch, вроде в nftables есть что-то похожее, точно сейчас не скажу). Я согласен по поводу более удобного ipset, но мне кажется, что это просто привычка)). Списки nftables так же можно создавать, удалять, добавлять и удалять элементы без необходимости редактировать файл конфиг, через утилиту nft. Редактировать напрямую файл конфиг с огромными списками, вот это жесть конечно-же, тут ipset на много удобнее). По поводу ideco, ну тут я бы сказал, что им просто надо очень долго переписывать софт, прежде чем они смогут предоставить тот же функционал на том же уровне, но это возможно). Однако, как по мне nftables ещё молод для ideco, да и у них и так всё отлично работает, зачем им сейчас что-то менять).
@LinuxbyDmitry2 ай бұрын
Почему-то, этот комментарий был на проверке, только сейчас его увидел).
@cobaltdust222 ай бұрын
@@LinuxbyDmitry да, я неправ - со списками отлично, выгрузки в отдельных файлах и инклуды в конфиг решают. Со своими скриптами наконец руки дошли разобраться и все, что надо было, работает. В netdev блокировки по set тоже, хотя какой-то разницы в производительности с raw я ее заметил. Осталось ещё всякие штуки типа recent и string из iptables оттранслировать, но это уже решаемо. Спасибо вам, Дмитрий, за отличный побудительный мотив! )
@LinuxbyDmitry2 ай бұрын
@@cobaltdust22 Я пробовал icmp DDOS и блокировал пакеты в raw и netdev, в netdev эффективнее). Попробуй на какой нибудь одноядерной машинке, разница не велика, но она есть). Сделаю наверно видео про raw и netdev, правда я не совсем разобрался с netdev). Чёт ни как не могу пятую версию Port knicking записать, уже два раза видео записал и запорол, не выложил).
@LinuxbyDmitry2 ай бұрын
@@cobaltdust22 Я бы ещё посоветовал, заполнять списки массивом, за один раз сразу можно добавлять элементы сколько угодно). Было дело очень давно ipset заполнял по одному элементу, это была жесть, 10000 элементов около 30-40 сек. надо было. Потом сообразил, что за один раз можно столько же добавить за несколько сек., тоже самое и со списками nftables).
@cobaltdust222 ай бұрын
С точки зрения экономии ресурсов, стоит дропать INVALID сразу после conntrack, в хуке prerouting, чтобы не тащить эти пакеты через роутинг в input.
@LinuxbyDmitry2 ай бұрын
Согласен, просто так удобнее, одним правилом).
@haruops2 ай бұрын
Дмитрий, в профессиональных целях корректно использовать команды утилиты nft или возможно напрямую редактировать файл /etc/nftables.conf?
@LinuxbyDmitry2 ай бұрын
Если где нибудь в компании, где крутятся прод. серверы, то лучше утилита nft, тут скорее зависит от ситуации. А если это домашний сервере или личная VDS, то можно редактировать файл /etc/nftables.conf По утилите nft, я позже собираюсь сделать видео, это важно. Я начал показывать nftables в файле, по причине того, что так проще понять что к чему, потом можно уже переходить к утилите nft).
@cobaltdust222 ай бұрын
Файлом удобнее и безопаснее. Обновления набора в nft атомарные, т.е. либо все применятся, либо ничего. Поэтому файл со стартовым flush не сломает рабочий конфиг при ошибках.
@LinuxbyDmitry2 ай бұрын
@@cobaltdust22 В большинстве случаев да, но бывают редкие исключения, когда требуется сохранить счётчики например или если при ошибке в конфиге, могут возникнуть временные задержки и это не допустимо в прод средах.
@cobaltdust222 ай бұрын
@@LinuxbyDmitry Про счетчики - да, а про ошибки в конфиге - как раз атомарность загрузки спасет. Загрузка набора правил в nft - транзакция, и сначала все валидируется на корректность.
@LinuxbyDmitry2 ай бұрын
@@cobaltdust22 Ещё бывают большие списки адресов например, я про 10000 и более. Эти списки могут подгружаться несколько секунд, тут скорее от железа зависит. Пока готовятся/подгружаются такие списки, трафик ни как не контролируется и например SIP в это время может не работать. Потом клиенты будут жаловаться на обрывы связи).
@kamil249402 ай бұрын
все гениальное просто
@baikalit.online2 ай бұрын
Ну кросавчег что разобрался!
@user-mf1jj1bf2x2 ай бұрын
По мне, такие видео следует воспринимать как рецепт. Каждый, просмотрев и получив определенный опыт, уже сам решает где больше "посолить/поперчить(т.е. добавить какие-то программы или использовать базовые инструменты из ОС)". Алексей из "Диджитализируй!" снимает интересный контент, умничка! Благодаря ему теперь я знаю и о вашем канале.
@LinuxbyDmitry2 ай бұрын
Спасибо, Алексея тоже уважаю). Я ни сколько не хотел как-то негативно отреагировать на видео Алексея, он просто предложил то, чем пользуются наверно большинство). До массового распространения nftables, именно Алексея метод был самым доступным и простым).
@LinuxbyDmitry2 ай бұрын
Я выложил уже четыре варианта port knocking, сейчас готовлю ещё один вариант, только там больше косметики и улучшений чем сам port knokcking).
@yu.diachenko78892 ай бұрын
Еще вопрос, если я на вашем примере стучу в 7к, потом 7001.. и тд, после 8к, стук будет защитан если я вложусь в таймаут правила?
@LinuxbyDmitry2 ай бұрын
Да, надо уложиться в 5-10 сек. или сколько вы там укажите.
Пікірлер
Есть предложение, поставить ADATA в комп, а TESLA на полку, так у ADATA будет питание. Так мы узнаем есть ли разница между лежать на полке и быть подключенным.
спасибо за видео. можешь делать что хочешь, мне уже неинтересно стало, если честно.
После пары прочтений скорость должна восстановиться. В файлопомойке ещё поработает.
@@klounader Мне тоже надоело))
Спасибо Вам за работу! Если будет желание и время, то хотелось бы увидеть видео из серии nftables "для самых маленьких" :) Начинаю изучать netfilter. Увидел информацию про iptables, начал знакомится и нарвался на информацию про nftables и понял, что нужно копать только туда :) Судя по количествам просмотров тема непопулярная, но важная для тех, кто хочет поднять свой уровень навыков, а значит и уровень дохода
наверно, просто надо не википедию читать, а сайт производителя софта, чтобы не офигевать от базового функционала
Забавно то, что по сути если запускать из под винды и docker desktop, то получается: Windows -> docker desktop (linux VM) -> linux (docker) -> Windows (QUEMU)
Не пробовал, мне кажется не получится).
Спасибо Дмитрий, круто что есть люди которым не безразлчен linux и открытые технологии, приятно осознавать что я такой не один) Контент на уровне, продолжайте в том же духе
Рад поделиться)
ЧЕЛ ТЫ ЛЕГЕНДА ! СПАСИБО
Спасибо))
А хостер за использование VPS для торрентов не забанит?
Думаю это индивидуально для каждого хостера, кто-то может и на ругать).
"всё бесплатно, ну там в год получается я буду платить где то тысяча восемьсот я буду платить..."
Я же сказал, что с подвохом)
Подскажите вы не пробовали torr server интегрировать в jellyfin
Нет, Jellyfin сам умеет работать как DLNA сервер, а вот в качестве клиента по DLNA, вроде и плагинов таких у него нет.
@@LinuxbyDmitry дело не в dlna
А почему можно запускать только одну копию? Я думал как в любой виртуальной машине - хоть десяток запускай одновременно.
Я и сам не понял, но почему-то только одну, хотя файлы docker-compose разные. Не изучал этот вопрос, на самом деле, наверняка можно хоть сколько, только зачем?)
Мне кажется можно запустить несколько экземпляров эмуляторов. Надо только порты разные наружу прокидывать, ну и вольюмы свои. И все что касаемо внешних ресурсов. Как с обычным контейнером все должно работать. Ну типа три постгреса в докере поднять нет проблем. Думаю и здесь все заведется.
@@coox4546 Я тоже так думал и попробовал, нет). Скорей всего в одном docker-compose.yml надо описывать сразу несколько машин, не пробовал).
@@LinuxbyDmitry так да. Несколько. Иначе никак. Попробую - отпишусь. Самому интересно
SDS возможно StandartDataStorage то есть HDD? 🤔
Там всё вперемешку и по сети, всё не просто).
Докер под виндой тоже работает в эмуляторе
Там через прослойку, это не тоже самое что на Linux.
Очень интересно изучать подобные проекты
Есть другое решение, называется KubeVirt. Этот проект скорее всего закроется
чем это лучше классических вм на VirtualBox и VMware.Workstation ?
Ну VirtualBox ни кто не использует на постоянку или проще сказать в ПРОД. VMware крутая конечно и в ПРОД его много где используют, но он платный. QEMU очень распространён в ПРОД среде и он бесплатный. В Docker это только для попробовать что-то и всё, как собственно и VirtualBox, только в VirtualBox надо ещё и ОС устанавливать, а тут всё само ставится.
@@LinuxbyDmitry почему вы позитивно оценили VMware и холодно отозвались о VirtualBox? Я считал это идентичными виртуальными машинами просто от разных производителей. С VMware не работал, а на VirtualBox ещё 15 лет назал одновременно запускал 8 операционок, чтобы запустить на каждой сетевую игру, и выставив разные разрешения экранов в каждой операцтонке сервер принимал меня за разных 8 игроков. Работало стабильно, не вешалось и не тормозило. Чем же вы тогда в VirtualBox не довольны, почему её «никто не использует на постоянку»?
@@user-rd3lj4gn4s ))) VirtualBox ни кто в серьёз не воспринимает, только для опытов в домашних условиях. Но вот на QEMU и VMware, делают огромные инфраструктуры, как хостеры так и крупные компании. Нельзя назвать VirtualBox стабильным для большого количества серверов. Надеюсь вы не предлагаете использовать VirtualBox на винде, ещё и где нибудь в кластере с 80 или более физическими серверами?) VirtualBox только для дома, QEMU и VMware, это уже совсем другой уровень).
@@LinuxbyDmitry если честно, из вашего объяснения я не понял чем плох VirtualBox. Я с ним работал и был обаденно доволен. Ни одного сбоя за тот год когда играл - небыло (и как говорил - из под винды запускал 8 виртуальных виндоусов). Почему же вы говорите что с ней что-то не так? Или может какой-то обзор есть на преимущеста и различия всех этих трёх и proxmox ещё.
@@user-rd3lj4gn4s Я не видел обзоров и сравнения этих трёх технологий. Тут похоже мне самому надо сделать обзор, но не хочу возиться с VirtualBox). Взять к примеру Proxmox и у него под капотом QEMU + LXC, он очень крут). В двух словах не объяснить, просто если стремиться к профессиональному софту, то это не VirtualBox это точно).
Спасибо, а то энидески залипали как и тимвтювер, от которого лет 10 назад отказался, тк даже при подключении с домашних ИП, он порой орал, что вы зашли из коммерческой сети и обрывал соединение
Есть возможность компильнуть 1 ехе с заранее определенным конфигом для тупых виндузятников? А то не хочется костыли создавать, а объяснять куда конфиг засунуть - это пол часа надо тратить
Есть возможность указать сервер, в качестве параметра rustdesk.com/docs/en/client/#configuring-rustdesk Вроде раньше, может и сейчас, была возможность переименовать exe с нужным сервером. Компильнуть, тут не подскажу.
Эх, это вроде как только для Pro.
@@LinuxbyDmitry ага, но можно собрать папку программы + в батник скопировать по пути user\AppData\Roaming\RustDesk\config\RustDesk2.toml заранее сохраненный одноименный файл. А дальше можно хоть msi хоть автоинсталятор, хоть в архив затолкать с последующим запуском батника
А драйвер есть, что перехватывает координаты и передает только изменения?
Не могу сказать, не знаю).
Дмитрий вопрос: А почему при указании своего сервера id не меняется с полученого публичного? получается, что коннект к их серверам всё же идёт?
У меня не получалось подключиться, если указан другой сервер, а ID я так понимаю, это устройство себе как-то выбирает. Возможно они с сервером вместе подбирают ID, не могу сказать, но он и правда не меняется). Там есть смена ID, можно поменять).
Правда чёт не получилось ID поменять).
Дмитрий - есть предложение обозревать аналоги рф, т.к. после определенных событий в opensource нет ему доверия и они запрещены в организациях ГОС или которые около ГОС, т.е. выполняют заказы. Ну и в целом.
Я бы не против, но у них вроде нет бесплатных совсем. Покупать или рекомендовать за деньги не могу, людям будет проще пользоваться бесплатно AnyDesk пока работает). Но если честно, чёт я даже не интересовался, может и есть такой же бесплатный у нас.
У них же, только клиент бесплатный и до двух часов в сутки, на их серверах. Хотя, надо вникнуть, управление на сервере какое нибудь есть или нет.
Поставил клиентов, даже зарегистрировался. Рассказать конечно есть что по rudesktop, но всё же я не вижу широкого применения. Я понимаю, что бюджетникам можно будет использовать RuDesktop, вроде лицензия позволяет, но это не точно. Но всё же бесплатно только два часа и вроде было должно хватить многим, но если две сессии одновременно, то время будет складываться). Людям которым пофиг на лицензию, не будут заморачиваться, я так думаю, проще поставить RustDesk и пользоваться без ограничений. Однако у RuDesktop есть большой плюс, не нужно ставить сервер, хотя это как посмотреть, может это и минус.
Интересный проект. Спасибо за обзор!
Готов предоставить и домен на кф и впс для тестов
Надо пробовать и скорей всего, делать надо с доменом, что бы домен внутри локалки, резолвился с локальным адресом, а снаружи по белому. Но это только догадки, надо пробовать. По поводу Cloudflare, не могу ни чего сказать, не знаком.
@@LinuxbyDmitry я могу сказать. И он заипал. Каждый 1 идиот прикручивает, а потом доступа получить не можешь из-за дебилов на сером ip, но фларе то пох, она затрахает тебя каптчей до смерти. Админы - лентяи, от дудоса не могут рейт иптаблесом поставить. в 99% случаев этого достатоно, чтобы отбиться от китайцев.
Уточните, вы это делаете на впс с белым адресом, верно? А можно сделать раст внутри сети, на вирт машине, имея белый адрес пробросить порты, верно же? А как вам идея, может немного глупо звучит, но все же. Подключить виртуальную машину убунту сервер, на которой докер к клоудфларе туннелям, если у меня нет белого адреса, это возможно? Через CF использовать маршрутизацию
Да свой я поставил на VDS с белым адресом и клиенты которые в локалке, они настроены на него, но в локалке, трафик ходит именно в локалке, хотя это надо ещё уточнить). Как-то давно пробовали с одним человеком в другой локалке, разместили сервер в локалке и внутри сети он работал, но снаружи подключиться в локалку, не получилось, может что-то сделали не правильно. Порты при этом были проброшены, хотя по пробросу тоже вроде не всё гладко было, уже не помню). С Cloudflare не знаком, полистал сайт и с первого взгляда не всё понятно).
Добрый час! Если я из видео правильно понял, чтобы установить кальку на уже существующий подраздел бтрфс с помощью cl-install, мне нужно как у тебя в команду написать что то типо этого?... --disk /dev/sda1:/:btrfs-compress:on 1.0) Только вот непонятно где указывать subvol или лучше subvolid? У меня например примерно такие подразделы для кальки, subvol=/calc-root:subvolid=267, subvol=/calc-home:subvolid=268 итд. 1.1) как мне при установке указать 2й, 3й подраздел для монтирования? Благодарю!
Ох, давно это было)). Не ставил кальку уже года 3-4 наверно, не подскажу). Но могу порекомендовать их официальный чат, там есть кому ответить). t.me/joinchat/Qx7b2K-Y5IFvPeem
@@LinuxbyDmitry ну да. Я тоже уже долго непользовался. Ушёл с emerge на pacman)). Точнее на артикс. А терь думаю попробовать вновь как бы отечественные сборки.
@@freebeenergy Я то же часто менял ОС, что-то в последнее время к Fedora прилип, точнее к Gnome). Да и в целом меня всё устраивает в Fedora). Поглядываю правда ещё на Альт Gnome и Rosa Gnome). Тоже кстати активно юзаю volume на btrfs, даже написал скрипт который моментальные снимки делает, очень удобно если надо откатиться). kzread.info/head/PLOp6AT9LJS_NzEjtr4_snlHS-pibqUWdT
@@LinuxbyDmitry Надо будет осовить с откатом. Жаль на всё время не хватает. Щас надо бы таблицу доходов расходов селать бы. А то кучу уроков как сделать в экселе. Но к сожалению в LibreOffice Calc, не все функции есть что в экселе. например т.н. умная таблиуца мне очь нравится, но её нет в LibOffice-Calc А я кстати совсем недавно понял наконец то что нужно прописать в 40_custom дабы дистриб стартовал с подраздела бтрфс. И тоже думал установить альт. Потом гляжу, systemd. Я не спец но про эту инициализацию слышал недоброе. Лучше отсанусь при runit или openrc. От чего вновь кальку хочу установить)) Ну и чтоб понять распостранённый пакетный менеджер от дебиан, мож devuan. Хотя думаю что любимый pacman, emerge и xbps из void-linux, вполне себе хватает
@@freebeenergyНу systemd не так уж и плох на самом деле). Кто бы что не говорил, а в крупных компаниях его используют). Это скорее на любителя, кому-то и мясо курицы не нравится)).
Спасибо за видео. Сделай видео по установке сервера.
Хорошо)
А можно ссылочку до картинки на обоих вашего стола))
Выложу где нибудь))
Вот, буду добавлять ссылку в описании). disk.yandex.ru/d/woMKPA474xmDlQ
@@LinuxbyDmitry спасибо.
Винда на эмуляторе внутри контейнера. Сон внутри сна блин ))
Я тебе скажу что такое бывает. Сидишь во сне и думаешь это уж точно не во сне это точно на яву и просыпаешься.
Время запускать волчок? :)
@@JohnDoe-kg7gn стереотипное мышление, позор! :(
@@user-rd3lj4gn4s Ну хорошо, специально для вас альтернативные варианты, совершенно не избитые и свежие: ущипнуть себя, попытаться взлететь или сконцентрироваться на отсутствующем объекте для его материализации :)
Фильм "Начало". Там про сон внутри сна
Я тоже не понял зачем всё это намутили с QEMU в контейнере. Когда можно и без контейнера всё это проделать в QEMU. Прикола ради, я думаю.
Ну а чего не сделал нам без контейнера? Мы бы поблагодарили. А так ты только языком можешь трепать...
@@user-rd3lj4gn4s В смысле "сделал нам"? Я не видеоблогер. А так есть положительная практика. Конкретно: запускал 2 операционки на одном ПК одновременно, Windows и Linux. Обе в отдельных ВМ. В эти виртуальные машины пробрасывал железо (видеокарты и звуковые контроллеры) в каждую из ОС. Игры на Винде отлично работали, и одновременно на втором мониторе со второй видеокарты работала ALT Linux. Всё это я проделывал на Proxmox. Идеальное решение для виртуализации.
а 1с-ка будет работать в нём? :)
а куда она денется ? ))
@@OLEGEK23 1с-ка она такая - на ровном месте может не работать нормально )) как туда юсб-ключи пробрасывать? рутокены всякие?
@@dmsob Я краем глаза видел, что ключи от 1С, можно с сервера раздавать, а Рутокены только вытаскивать из из Рутокена в виде эмулированного A диска например. Можно сделать, хотел даже видео по этому поводу записывать).
@@LinuxbyDmitry это если есть сервер, то да, там он по сетке раздаёт лицензии(если ключ сетевой), а если просто локально базу открыть? ) Рутокены не все можно вытаскивать с физ. носителя, только с Lite, сам делал копии на обычную флешку, но в налоговой сейчас ключи выдают не только на рутокенах... есть ещё производители usb-токенов и их уже так просто не скопировать ((
@@dmsob Можно, есть речь про это) dzen.ru/a/YwR_0XOhqibmZBhH
Имхо здесь докер просто это лишняя прокладака..сделали для прикола)
Думаю тут есть своя философия). Что бы не париться и не ставить QEMU и что бы была возможность быстро воспользоваться конкретно виндой).
@@LinuxbyDmitry так и так качается образ... Не ставить qemu.. Зато ставить докер))) затраты времени..qemu быстрее установить)
@@Archi.Varius кто умеет qemu ставить? 95% спецов в компах дажемне знают что это такое. А докер на любом NAS’e стоит.
Тяжело Вам доносить до пользователей)
Покажи, что есть документация по созданию ВМ, по созданию ключа, по подключению через ssh и vnc И так же что публичный ip платный, даже если его к тачке не привязали
Это большая инфраструктура и мне ни кто не платит за обзоры). Упомянуть документацию конечно могу, но я её и сам не читал). cloud.ru/ru/docs/virtual-machines/ug/topics/guides__create-vm.html
Почему такие цены дикие? Ужосс! ) 160гигов ссд, 8гигов оперы и 6 ядер - плачу меньше 11 долларов, айпи, трафик безлимит 100мб впридачу.
Не знаю)). Круто, а где можно купить такую за 11$?)
@@LinuxbyDmitry, не нашёл нигде - напиши почту свою какую-нибудь или телегу, туда скину. Здесь ссылки писать у меня нервов не хватает. )
@@fedor_ado)) [email protected]
@@LinuxbyDmitry , написал.
а мне 4000 бонусов дали и ими можно оплатить IP, поэтому пару лет халява всё-таки
Я забыл сказать про бонусы). Нет, на пару лет не хватит, они сгорят через пару мес., я тоже сначала так подумал))
@@LinuxbyDmitry значит можно на пару месяцев помощнее сервак арендовать )) или несколько слабых и сеть из них замутить
@@dmsob Ну да, потестировать, поиграться, всё равно бонусы сгорят)
Я блокирую все направления трафика, не только INPUT nft add table ip6 FW6 nft add chain ip6 FW6 INPUT { type filter hook input priority 0 \; policy drop \; } nft add chain ip6 FW6 OUTPUT { type filter hook output priority 0 \; policy drop \; } nft add chain ip6 FW6 FORWARD { type filter hook forward priority 0 \; policy drop \; } И ещё отключаю IPv6 в sysctl.conf net.ipv6.conf.all.disable_ipv6 = 1
Я пользовался дома IPv6, хорошая сеть и инет через неё лучше работает. Сейчас уже год наверно, как отключил.
сяоми выкатили роутер be7000, он с поддержкой docker. Эта прога норм на нём работает, кеш сразу на флеш надо, т.к. собственой ram у него 1гб
Прикольно)
Почему пакет, отправленный с сервера, выходит из Outgoing Packet и опять попадает в Incoming Packet ? тока Outgoing Packet это же выход из сетевой карты
Он же возвращается обратно, как ему ещё возвращаться?) Давно видео записывал, надо пересмотреть самому, может не правильно что-то сказал).
Запишу видео ответ, скорей всего ещё кому нибудь понадобится. Только показывать буду уже на nftables, но по сути разницы нет, просто так будет удобнее.
Ответ в последнем видео. kzread.info/dash/bejne/ZHeky7drgpq_iM4.html
У меня контейнер запускается, но статус unhealthy и в логах здоровья контейнера failed to connect to 127.0.0.1 port 8090 after 0ms: connection refused и так много раз. Есть ли какое-то решение этой проблемы? Запускаю на fedora 39
Странно, а порт 8090, на ПК ни чем не занят? Я как поднял себе, когда видео записывал, так он и работает, больше не касался его, только смотрю видео часто и всё.
Я думаю, можно придумать лабораторный стенд ну допустим 3-5 виртуальных машин. Где допустим 1 убунту, 2 дебиан, rpm дистры. И в лабораторной проводить обучение с уклоном на макс приближено к базовым реальным задачам. Это даст возможность повторяемости ну и мб потом можно мини задачи ставить для стенда - самостоятельные работы такие. А так Большое вам спасибо и не расстраивайтесь, вы хорошо подаёте материал. Часть мне тоже не понятна, но стараюсь вникнуть
Спасибо). По поводу стенда, вероятно сделаю, потому что там будут задачи, которые потребуют несколько машин. Плюс в будущем, планирую делать видео по нескольким маршрутам, провайдерам проще говоря). Постепенно буду усложнять задачи, дойдём до всякого).
@@LinuxbyDmitry Дмитрий - если возможно в следующих (любых) видео повторить момент один. В плане блокировка ipv6 для приложений допустим x11 vnc (и его аналоги), kesl, и т.д. Многие скажут, проще отключить вообще и будут правы, но некоторые приложения не могут почему то работать (а точнее установка и настройка) без вкл ipv6 - как пример FreeIPA: наткнулся на рассуждения об организации этого домена и нормально развернуть получилось только с использованием ipv6 (может я и не прав) И вот в данный момент я на UFW блокирую ipv6.
@@justic9682 Хорошо, это не сложно.
Спасибо за столь подробную инструкцию) отличное решение вынести порты отдельно в переменные
хороший звук, приятный. аж с нотками асмр ))
Стараюсь))
Расскажите как настроить грамотно File2ban на iptables и nft !
Для iptables и настраивать ни чего не нужно, надо просто поставить fail2ban и включить, там по умолчанию всё настроено. Под nftables надо пару строк поменять, но опять же вроде как и не обязательно. Под всё остальное, как-то я и не настраивал ни разу fail2ban, я про nginx, apache2 например, да и в последнее время перестал устанавливать fail2ban и просто меняю SSH порт на другой).
Добавлю еще пять копеек - если использовать дефолтный сейчас большинстве линуксов инструмент iptables(nft) -> xtables-nft-multi, можно брать лучшее из двух миров - продолжить использовать ipset, но обрабатывать трафик в nftables. Даже и комбинировать правила в одном конфиге, чтобы реализовывать недостающее. Исчезает, правда, возможность грузить правила из дампов, зато остаются все удобства ipset. Хотя это выглядит несколько коряво.
ipset силён согласен, долго им пользовался с удовольствием). Однако и nftables списки не хуже). Есть правда одно не приятное ограничение, nftables списки, вроде не работали в nat и не проверял в netdev, а так в целом можно и без ipset обойтись)
nft прекрасен, слов нет. И оптимизировано, и все классы (ipv4, ipv6, br) в одном инструменте, и хеш-таблицы встроены, а не внешние. Но у меня лично проблема как раз возникла с переходом с ipset на внутренние таблицы - ipset поддерживает инструкцию nomatch, что позовляет в блоклисте описать большой диапазон, и потом там же исключить изз него мелкие подсети add 192.168.0.0/16 add 192.168.1.0/24 nomatch А в nft такое не получилось, приходится выкручиваться двумя списками - белым и черным. Также есть минус, имхо, с загрузкой всего из одного файла - и списков и правил. Инклуды тоже не решают. Подгружать списки из внешний источников и делать из них set стало очень неудобно. Раньше просто скачивал список с ETOpen, парсил по регулярке на ip-адреса, циклом переиннициализировал сушествующий рабочий ipset (ipset flush; ipset add blocklist $ip) - и правила не приходилось перегружать, да и сохранение списка в стартап было простое. В nft все более громоздко выходит, и пока я для себя удобного варианта не нашел. Возможно, поэтому ideco, к примеру, даже в свежих релизах все еще используют классический iptables-legacy + ipset...
Как-то не приходилось использовать nomatch, вроде в nftables есть что-то похожее, точно сейчас не скажу). Я согласен по поводу более удобного ipset, но мне кажется, что это просто привычка)). Списки nftables так же можно создавать, удалять, добавлять и удалять элементы без необходимости редактировать файл конфиг, через утилиту nft. Редактировать напрямую файл конфиг с огромными списками, вот это жесть конечно-же, тут ipset на много удобнее). По поводу ideco, ну тут я бы сказал, что им просто надо очень долго переписывать софт, прежде чем они смогут предоставить тот же функционал на том же уровне, но это возможно). Однако, как по мне nftables ещё молод для ideco, да и у них и так всё отлично работает, зачем им сейчас что-то менять).
Почему-то, этот комментарий был на проверке, только сейчас его увидел).
@@LinuxbyDmitry да, я неправ - со списками отлично, выгрузки в отдельных файлах и инклуды в конфиг решают. Со своими скриптами наконец руки дошли разобраться и все, что надо было, работает. В netdev блокировки по set тоже, хотя какой-то разницы в производительности с raw я ее заметил. Осталось ещё всякие штуки типа recent и string из iptables оттранслировать, но это уже решаемо. Спасибо вам, Дмитрий, за отличный побудительный мотив! )
@@cobaltdust22 Я пробовал icmp DDOS и блокировал пакеты в raw и netdev, в netdev эффективнее). Попробуй на какой нибудь одноядерной машинке, разница не велика, но она есть). Сделаю наверно видео про raw и netdev, правда я не совсем разобрался с netdev). Чёт ни как не могу пятую версию Port knicking записать, уже два раза видео записал и запорол, не выложил).
@@cobaltdust22 Я бы ещё посоветовал, заполнять списки массивом, за один раз сразу можно добавлять элементы сколько угодно). Было дело очень давно ipset заполнял по одному элементу, это была жесть, 10000 элементов около 30-40 сек. надо было. Потом сообразил, что за один раз можно столько же добавить за несколько сек., тоже самое и со списками nftables).
С точки зрения экономии ресурсов, стоит дропать INVALID сразу после conntrack, в хуке prerouting, чтобы не тащить эти пакеты через роутинг в input.
Согласен, просто так удобнее, одним правилом).
Дмитрий, в профессиональных целях корректно использовать команды утилиты nft или возможно напрямую редактировать файл /etc/nftables.conf?
Если где нибудь в компании, где крутятся прод. серверы, то лучше утилита nft, тут скорее зависит от ситуации. А если это домашний сервере или личная VDS, то можно редактировать файл /etc/nftables.conf По утилите nft, я позже собираюсь сделать видео, это важно. Я начал показывать nftables в файле, по причине того, что так проще понять что к чему, потом можно уже переходить к утилите nft).
Файлом удобнее и безопаснее. Обновления набора в nft атомарные, т.е. либо все применятся, либо ничего. Поэтому файл со стартовым flush не сломает рабочий конфиг при ошибках.
@@cobaltdust22 В большинстве случаев да, но бывают редкие исключения, когда требуется сохранить счётчики например или если при ошибке в конфиге, могут возникнуть временные задержки и это не допустимо в прод средах.
@@LinuxbyDmitry Про счетчики - да, а про ошибки в конфиге - как раз атомарность загрузки спасет. Загрузка набора правил в nft - транзакция, и сначала все валидируется на корректность.
@@cobaltdust22 Ещё бывают большие списки адресов например, я про 10000 и более. Эти списки могут подгружаться несколько секунд, тут скорее от железа зависит. Пока готовятся/подгружаются такие списки, трафик ни как не контролируется и например SIP в это время может не работать. Потом клиенты будут жаловаться на обрывы связи).
все гениальное просто
Ну кросавчег что разобрался!
По мне, такие видео следует воспринимать как рецепт. Каждый, просмотрев и получив определенный опыт, уже сам решает где больше "посолить/поперчить(т.е. добавить какие-то программы или использовать базовые инструменты из ОС)". Алексей из "Диджитализируй!" снимает интересный контент, умничка! Благодаря ему теперь я знаю и о вашем канале.
Спасибо, Алексея тоже уважаю). Я ни сколько не хотел как-то негативно отреагировать на видео Алексея, он просто предложил то, чем пользуются наверно большинство). До массового распространения nftables, именно Алексея метод был самым доступным и простым).
Я выложил уже четыре варианта port knocking, сейчас готовлю ещё один вариант, только там больше косметики и улучшений чем сам port knokcking).
Еще вопрос, если я на вашем примере стучу в 7к, потом 7001.. и тд, после 8к, стук будет защитан если я вложусь в таймаут правила?
Да, надо уложиться в 5-10 сек. или сколько вы там укажите.