​​Как настроить выход в интернет через Linux?

Такой вопрос задал один из читателей в комментариях под статьей про базовую установку ОС для сервера.

У нас есть статьи на эту тему, они хоть и довольно старые, но будут работать и сегодня, хотя в современных системах некоторые вещи можно сделать и более изящно.

Но есть одно но, большинство из них предусматривает также настройку кеширующего прокси-сервера SQUID.

На наш взгляд сегодня это абсолютно избыточно, во всяком случае для рядовых коммерческих организаций.

Большинству будет достаточно включить форвардинг пакетов в ядре и настроить SNAT или маскарадинг.

Для этого в /etc/sysctl.conf добавьте:

net.ipv4.ip_forward = 1

А в таблицу nat добавить правило:

iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -j MASQUERADE

Где ens33 - интерфейс выхода, а 192.168.100.0/24 - диапазон локальной сети.

Подробнее про все это можно прочитать в нашей статье: Основы iptables для начинающих. Часть 4. Таблица nat - типовые сценарии использования

А теперь о том, что же не так со SQUID и почему он сегодня вам, скорее всего, не нужен.

Когда-то давно, когда деревья были большими, а интернет дорогим и медленным SQUID позволят решать эту проблему средством кеширования. Т.е. если у вас один пользователь посетил условный сайт, то все следующие пользователи могут не скачивать с него заново статическое содержимое, а получить его из кеша-прокси сервера.

Это позволило значительно ускорить загрузку сайтов у пользователей и снизить нагрузку на канал.

Вторая задача, которую эффективно решал SQUID - это был контроль доступа: черные и белые списки, контентный фильтр, фильтр по MIME и т.д.

Третья - контроль и отчетность, анализируя логи можно всегда было сказать кто выкачал весь трафик или на какие сайты он ушел.

Но все течет, все меняется. На смену HTTP поголовно пришел HTTPS и выяснилось, что SQUID стал практически бесполезен.

Так как каждый пользователь теперь имеет индивидуальный зашифрованный уникальным одноразовым ключом канал браузер-сайт, то кешировать стало нечего.

Да и в эпоху широкополосного интернета бывает быстрее скачать статику заново, чем искать ее в кеше, особенно если он на тарахтящем HDD.

Фильтровать тоже стало нечего. Трафик закрыт. Да мы можем вскрыть его через SSL-Bump - но это фактическая атака человек посередине и резко снижает безопасность сети.

Если просто вскрывать заголовки и фильтровать по домену назначения, то это становится чудовищно неэффективно по вычислительным затратам. И зачем заниматься расшифровкой, если все тоже самое можно сделать на уровне DNS?

Есть даже специализированные решения, мы подробно рассматривали одно из них в статье: Создаем собственный фильтрующий DNS-сервер на базе Pi-hole

Статистика потребленного трафика? А кого она сейчас волнует, сегодня может стать вопрос - кто грузит канал, но не вопрос - кто скачал сколько гигабайт.

Ну а при желании понять кто-куда лазил всегда можно снять статистику с лога DNS.

Таким образом мы не видим сегодня причин использовать прокси, все прекрасно решается и без него.

Но просто так сдавать свои позиции SQUID пока не намерен, но это уже нишевые применения. А это уже совсем другая история.

Сегодня в Action Digital School можно оформить бесплатный доступ на 3 дня к полноценному практическому онлайн-курсу Из бухгалтера в 1С программиста

Уже за 3 дня вы вы успеете познакомиться с основами профессии и понять, подходит ли вам курс.

Программа, разработана с учетом сильных сторон специалиста с бухгалтерским опытом.

По итогу обучения вы получите опыт решения типовых задач 1С- разработчика и будете готовы к реальной работе в индустрии.

Оставьте заявку на доступ по ссылке. Пригодится. 😉

​​Сегодня, находясь за городом, во время приготовления шашлыка разговорились с коллегой, одна из актуальных тем - на что можно заменить Микротик.

И выяснили, что менять его особо и не на что. Почему? Попробуем кратко сформулировать наши тезисы:

🔹 Цена - даже сейчас, со всеми сложностями это одно из самых интересных предложений на рынке по соотношению цена/возможности.

🔹 Возможности - Микротик умеет все, что надо в небольших и средних сетях, и даже что не надо. Очень часто возможности устройства ограничены только вашей фантазией.

🔹 Простота - как не парадоксально это звучит, но Микротик прост, в руках специалиста, конечно. Многие сложные вещи делаются здесь в несколько кликов мыши и несколько команд в терминале.

🔹 Унификация - все устройства одинаковы в программной части, все имеют одинаковые возможности (в рамках одного уровня лицензии), есть версии для x86 и виртуалок. Легко можно переносить конфигурации с одного устройства на другое.

🔹 Надежность - это простое аппаратное устройство, которое может работать годами в самых разных условиях, зачастую в тяжелых. Ближайшая альтернатива в виде ПК с Linux или pfSense значительно уступает в этом плане.

🔹 Сообщество - у решений этого производителя есть большое русскоязычное сообщество, поэтому найти нужные материалы, задать вопросы или получить помощь не составит особого труда.

Есть и недостатки. А у кого их нет? На наш взгляд главные из них:

🔻 Слабая производительность - многие из представленных в продаже устройств серьезно устарели в аппаратной части, не имеют аппаратной поддержки шифрования и не тянут серьезные нагрузки, тот же 2011, который до сих пор в продаже.

🔻 Плохой Wi-Fi - нет, в плане настроек он хорош, но в аппаратном плане, исключая самые новые модели плох. Вы получаете устаревшие чипы без поддержки современных беспроводных технологий. И если у вас более-менее новые клиентские устройства, то просто TP-LINK за тысячу рублей в этом плане его просто укладывает на лопатки.

​​Публикация баз данных 1С:Предприятие на веб-сервере Apache в Windows c защитой SSL и аутентификацией по паролю

Для публикации информационных баз 1С:Предприятие на платформе Windows часто используют альтернативу штатному IIS - веб сервер Apache, который, несмотря на ряд ограничений, тоже неплохо подходит для небольших и средних установок.

Одним из очевидных преимуществ Apache является его кроссплатформенность, т.е. если вы умеете настраивать данный веб-сервер на одной платформе, то без особого труда сделаете это и на другой.

В данной публикации мы расскажем вам как установить и настроить Apache для публикации баз с SSL-защитой на базе сертификатов Let's Encrypt и дополнительной аутентификацией по паролю.

https://interface31.ru/tech_it/2023/05/publikaciya-baz-dannyh-1spredpriyatie-na-veb-servere-apache-v-windows-c-zashhitoy-ssl-i-autentifikac.html

​​Из разряда наблюдений и размышлений

Дни трезвости на день последнего звонка, 1 июня и т.д. и т.п. стали уже нормой жизни. Но наша область впереди планеты всей и тут уже второй год трезвеют три дня: день до, день последнего звонка и день после.

Сие мероприятие давно представлялось мне сомнительным. Ну давайте сами подумаем. Лицам до 18 лет алкашку не продают, лица старше 18 имеют полное законное право ее покупать и выпивать.

В этом году получилось так, что вместо 25 мая последний звонок перенесли на 23 мая.

А в это день у автора сиих строк запланировано плановое мероприятие. когда собравшиеся должны скушать что-нибудь вкусное, да выпить за здравие автора.

Ну вот сегодня и озадачился материальным обеспечением этого мероприятия, а в переводе на простонародный - покупкой алкашки.

В былые времена проблемы не было, собрались, посмотрели на погоду, высказали собственные предпочтения, закупились и выехали на природу.

А теперь приходится закупаться с запасом, мало ли там чего. Ну а закупленное не выливать же? Значит будет выпито!

И кому сделали лучше с этими днями трезвости?

Кстати, вместе со мной в местных алкомаркетах массовые закупки делали эти самые выпускники, причем вместе с родителями. И звучали те же самые вопросы: сколько брать? Бери с запасом!

Ну и толку от этих дней трезвости? Кому надо - те купят. Ну и зачем тогда это все?

Вы работаете в IT-сфере и ищете эффективный способ решать свои ежедневные задачи? ChatGPT (GPT-4) - уникальный Телеграм-бот, который предоставляет 70+ специальных режимов для решения разных проблем

Попробуйте бота бесплатно прямо сейчас:
🤖 ChatGPT Bot

Он улетел, но обещал вернуться! И вернулся, по тихому.

Не так давно, всего лишь с выходом платформы 8.3.20 был анонсирован единый дистрибутив 1С для Linux. Решение крайне неоднозначное, вызвавшее много споров в сообществе.

И вот, вместе с платформой 8.3.23 пакеты вернулись. Вполне официально. Но только в документации теперь просто даны их взаимозависимости и предложено обратиться к документации на пакетный менеджер.

Единая платформа также осталась и подается как приоритетный способ распространения платформы.

На наш взгляд, для клиентских установок в небольших внедрениях единый дистрибутив удобнее. Для серверов и крупных внедрений удобнее пакеты.

А вообще крайне неплохо было бы перейти для клиентских установок на Snap или Flatpak. Все равно уже практически все значимые библиотеки платформа носит с собой, а не использует из дистрибутива.

До чего техника дошла, хотел вставить из буфера в Фотошоп не самого лучшего качества картинку 5 евро.

​​Защита RDP от перебора паролей при помощи оборудования Mikrotik

Атака с полным перебором паролей (брутфорс) - одна из наиболее часто встречающихся угроз в современном интернете. Она базируется не на уязвимостях ПО, а на нарушении политики паролей, что иногда оказывается гораздо более продуктивным.

Пользователи не любят сложных паролей и даже когда есть явные требования по сложности стремятся использовать более простые комбинации, либо словарные слова.

Многие также используют одну пару логин - пароль для всех учетных записей и при компрометации одной из них эти данные могут попасть в руки злоумышленников. Одним из наиболее часто атакуемых сервисов является RDP и сегодня мы посмотрим, как можно его защитить.

https://interface31.ru/tech_it/2021/05/zashhita-rdp-ot-perebora-paroley-pri-pomoshhi-obrudovaniya-mikrotik.html

​​Как исправить отображение кириллицы в Windows 10

Сегодня пришлось столкнуться с неправильным отображением кириллицы в предустановленной LTSC 1809.

Проявлялся сей дефект не везде, только в некоторых инсталляторах и вроде бы жить не мешал. Но к этому добавилось некорректное считывание кодов маркировки в 1С:Предприятие на русской раскладке.

В общем пришлось разбираться. На самом деле все несложно, но, как всегда, инструкции в сети не блещут полнотой.

В итоге пришлось сравнить ветки реестра двух систем и внести изменения по аналогии.

Итак, нам нужна ветка:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage

В ней меняем значения трех параметров:

ACP - 1251
MACCP - 10007
OEMCP - 866

Перезагружаемся и все начинает отображаться как надо, правда некоторое ПО, например, 1С или драйвера АТОЛ пришлось переустановить.

​​Используем Cockpit для администрирования Debian и Ubuntu

Веб-интерфейсы занимают сегодня заслуженное место среди инструментов системного администратора.

Часто, не претендуя на всеобъемлющую и тонкую настройку, они предоставляют простые и удобные инструменты для базовых задач администрирования, а также ряд сервисных функций, таких как доступ к логам, автозагрузке и т.п.

Сегодня мы рассмотрим легкий и простой веб-интерфейс для администрирования Linux серверов - Cockpit, а также расскажем о том, как установить его и использовать в среде операционных систем Debian и Ubuntu.

https://interface31.ru/tech_it/2023/05/ispol-zuem-cockpit-dlya-administrirovaniya-debian-i-ubuntu.html

​​Рекомендации от Сisofy для повышения безопасности SSH в конфигурации по умолчанию для Debian и Ubuntu

🔹 Запретить перенаправление TCP

AllowTcpForwarding (set YES to NO)

🔹 Уменьшить количество проверок доступности клиента, которые могут оставаться без ответа. Если предел достигнут, sshd завершит сеанс.

ClientAliveCountMax (set 3 to 2)

🔹 Отключить сжатие

Compression (set YES to NO)

🔹 Увеличить подробность лога

LogLevel (set INFO to VERBOSE)

🔹 Уменьшить количество попыток ввода пароля

MaxAuthTries (set 6 to 3)

🔹 Уменьшить максимальное количество открытых сессий

MaxSessions (set 10 to 2)

🔹 Изменить порт на нестандартный

Port (set 22 to )

🔹 Запретить поддержание соединения через TCP

TCPKeepAlive (set YES to NO)

🔹 Отключачем перенаправление X11

X11Forwarding (set YES to NO)

🔹 Запретить перенаправление SSH-агента (передача ключа)

AllowAgentForwarding (set YES to NO)

​​Длина имени файла и абсолютного пути

Вопрос, на первый взгляд простой, но с регулярной периодичностью возникают ситуации, когда неверное понимание этого вопроса приводит к разного рода недоразумениям. Особенно в мультиплатформенных средах.

☝️ Начнем с Windows. Классическая длина имени – 255 символов, максимальная длина пути – 260 символов.

Обратите внимание – символов, максимальная длина имени директории – 244 символа, так как система резервирует часть пути для файла в формате 8.3.

Однако начиная с Windows 10 1607 и Server 2016 эти ограничения можно отключить, в этом случае лимит имени файла или абсолютного пути будет определяться файловой системой, для NTFS это 32767 символов, для ReFS - 32000 символов.

👉 Теперь Linux. Имена файлов в Linux могут быть длиной до 255 байт. Полная длина пути не должна превышать 4096 байт. В отличие от Windows в ограничениях используются не символы, а байты. А кодировка UTF-8 для символов национальных алфавитов предусматривает до 4 байт на 1 символ.

Таким образом длина имени у нас может неожиданным образом оказаться ограниченной 63 символами, а максимальный путь стать 1024 символа.

Кириллица занимает 2 байта на символ, поэтому в Linux вы будете ограничены 127 символами в имени файла и 2048 символами в пути.

Смешивая различные символы, вы получите различные варианты лимитов между максимальными и минимальными.

Обычно это вызывает сложности при копировании или распаковке файлов из систем с кодировками CP-1251 или KOI-8.

Еще одна особенность связана с использованием криптографических файловых систем, таких как eCryptFS , в этом случае длина пути будет ограничена 143 байта или 71 символ на кириллице.