​​Ой, а почему у нас так тормозит 1С?

Этим вопросом задаются многие администраторы, но не все могут найти ответ. В результате отношения между администраторами и бухгалтерами и 1Сниками часто становятся напряженными.

Но не нужно конфликтовать, очень часто причины подобного поведения буквально лежат на поверхности.

Прежде всего, особенно если у вас файловая база, добавьте ее и все процессы 1С в исключения Microsoft Defender.

🔹 Почему тормозит 1С. Файловый режим и Microsoft Defender

Во-вторых, разберитесь с регламентными заданиями, отключите ненужные и настройте адекватное расписание для нужных, подробнее здесь:

🔹 Почему тормозит 1С. Регламентные задания

Для файловых баз не забывайте эпизодически выполнять Тестирование и исправление, вопреки неудачному наименованию, это не только инструмент ремонта, но и обслуживания.

🔹 Тестирование и исправление информационной базы - что делает и для чего нужно

А для сравнительной оценки оборудования и его настроек в мире 1С принято использовать тест Гилева, это своего рода отраслевой стандарт с которым трудно поспорить.

🔹 Как установить и использовать тест Гилева для 1С:Предприятие

​​Бег в колесе, как спрыгнуть? Часть 2

Продолжаем разговор на начатую нами в прошлой публикации злободневную тему.

Остановились мы на том, что первый шаг, который нужно предпринять – это перестать калымить за мелкий прайс.

Но просто так взять и увеличить цену страшно, заказчики разбегутся. И это действительно так, но и пес с ними, пусть бегут. Ибо работать с ними – это как свинью стричь. Визгу много – шерсти мало.

Как правило такой заказчик самый проблемный, он будет требовать от вас кратчайших сроков, гарантий, будет торговаться за каждую копейку и каждый раз упрекать вас, мол какой вы нехороший человек, взяли позавчера целую тысячу рублей, а сегодня снова что-то не работает.

Терпеть подобные выходки можно в возрасте поздней юности, когда вы еще никто и звать вас никак. Но когда подобное сносит взрослый дядька – это уже выглядит странно.

Поэтому разбежались – и пес с ними. Да, просядете на какое-то время в доходах, но для этого, как мы уже говорили, нужно создать финансовую подушку.

А вообще такие вещи, конечно, лучше планировать и начинать разгонять от себя халявщиков постепенно.

Ну ок, разогнали, а новых где брать? Да ровно там, где брали старых. Только сразу, на берегу определяете все условия сотрудничества и предупреждаете, что дешево не будет.

Но как тогда конкурировать со студентами? А опытом и надежностью. Вы уже не наделаете глупых ошибок, не сорвете сроки, всегда возьмете трубку в оговоренное время.

Да, не все заказчики примут ваше предложение, но вам такие и не нужны. Здесь, как говорил Владимир Ильич: лучше меньше, да лучше.

За счет повышения стоимости услуг вы с двух-трех заказчиков закроете прошлых пять шесть. Плюс появятся варианты получить более крупный и вкусный заказ. А с халявщиков вы можете получить только повышенный объем работы за мелкий прайс, да еще и скидок попросят.

Таким образом, оказавшись калымить за мелкий прайс и шагнув на ступеньку выше вы через некоторое время выровняете доходы плюс получите больше свободного времени.

А что делать дальше? А дальше нужно начать развиваться. Куда? А тут вариантов множество, выбирайте то, что более понятно, к чему лежит душа. Но развиваться нужно обязательно, потому что только так вы сможете стать чем-то большим, чем рыщущие рядом с вами студенты и эникеи.

Как было сказано в комментариях к прошлой заметке: дядька 50 лет, переустанавливающий Windows выглядит жалко.

Сегодня обязательно следует посмотреть в сторону таких вещей, как виртуализация и Linux. Если у вас среди заказчиков есть розница – логично будет двигаться в сторону POS-систем и оборудования.

Всегда будут востребованы хорошие сетевики, умеющие связать в единое целое несколько сетей и подключить туда удаленных пользователей.

Можно податься в программисты. В общем путей много и все они открыты.

Но всё ваше развитие не должно быть неким знанием в вакууме. Оно должно быть закреплено на практике. А для этого у вас как раз и есть ваши дополнительные заказчики. Посмотрите внимательно, где и как можно у них внедрить что-то новое. И какую выгоду они от этого получат.

А выгод много, начиная с отказа от нелицензионного ПО, до замены парка тарахтящих древних «серверов» на один современный гипервизор. Главное, как мы уже говорили выше, правильно все это подавать заказчику.

А это значит не грузить его всякими ненужными техническими подробностями, а рассказать на пальцах, на доступном языке.

Например. Вот у вас 4 старых сервера на базе обычных компьютеров, все они проблемные. Купить взамен 4 новых – дороговато, но не нужно. Давайте купим один мощный, он получится по цене как 1,5 обычных и все на него перенесем, технологии позволяют. А у нему купим еще один обычный и будет на него резервные копии делать.

При грамотном подходе любой вменяемый владелец бизнеса задумается и, скорее всего, согласится. Особенно если предлагает ему это не вчерашний студент, а опытный специалист.

Таким образом вы можете спокойно обкатать на своих =заказчиках основные навыки и уже претендовать на совершенно другие вакансии.

​​И снова о вреде самосбора

Как принято говорить: ничто не предвещало беды…

Во второй половине дня позвонил один мой коллега и попросил помочь. Чтобы было понятно, коллега – неплохой системный администратор, последние годы (лет 7-8) перековавшийся в сетевые инженеры.

И вот решили они с сыном сделать небольшой апгрейд, поменять процессор и SSD в домашнем ПК. Вместо Ryzen 3 2400G поставить Ryzen 5 5600G и достаточно быстрый и горячий SSD на 1 ТБ вместо имевшегося 256 ГБ.

Казалось бы, ну что может пойти не так? Как оказалось – многое. В бытность сисадмином товарищ занимался сборкой, но последний раз касался этого дела лет 10 назад.

В общем новый процессор на плате вроде бы завелся, но один раз, после сообщения о смене CPU появился черный экран и все. Старый процессор тоже начал показывать черный экран. А светодиод на плате стал указывать на неисправность CPU.

В общем приехали они со всем этим добром ко мне в гости.

Открыв корпус сразу отмечаю свежую царапину на текстолите платы. Что это? Потупившись, отвечают, сразу не смогли снять кулер, решили поддеть отверткой, отвертка соскользнула.

Посмотрел – вроде ничего не перебито, но плата однозначно больше не гарантия.

Сбрасываем BIOS путем снятия батарейки и отключением от сети, вставляем старый процессор – завелся. Смотрим BIOS, идем на сайт и в таблице совместимости процессоров выясняем, что новый с ним работать не будет.

Качаем, шьем. Вставляем новый – не заводится. Но теперь ругается на память. Снимаем одну планку – взлетает, по одной работает, с двумя – не хочет. Память тоже какая-то «игровая», снимаем одну планку, отключаем использование XMP-профилей – взлетает.

Лезем в спецификации, данной памяти в листе совместимости материнской платы нет. Т.е. на свой страх и риск. В общем руками подтянули частоты - работает.

Теперь SSD, модель горячая. Радиатор взяли неплохой, с тепловой трубкой, но он высокий и упирается в клипсу крепления кулера.

Решение тоже нашли, перевернули кулер, но теперь чтобы его снять – придется очень сильно постараться и пролезть пальцами между кулером и верхней крышкой корпуса.

На вопрос: а нафига вы сюда поставили такой кулер? А кулер действительно большой, явно не для Ryzen 3 2400G, сказали: а он выглядит прикольно, солидный такой.

Память, кстати, тоже выбиралась по тому же принципу. Потому что прикольная и с подсветкой. А кто на нее под столом смотреть будет – вопрос третий.

И да, собран компьютер тоже был методом самосбора, только тот раз им повезло.

Какая будет мораль? Да простая. Оставьте сборщикам их работу. Они же сделают вам и апгрейд. И все проблемы с не той версией BIOS, несовместимой памятью и т.д. будут их проблемами.

В итоге вы заплатите только за то, что реально поставите себе в компьютер, тогда как при самсоборе можете в довесок приобрести рабочее, но несовместимое железо, либо лишиться гарантии чего-нибудь погнув или поцарапав.

Самый весомый контраргумент – там как попало собирают. Да, там далеко не идеал, но по итогу вам обязаны отдать рабочий компьютер, а качество сборки вы можете оценить, не отходя от кассы, просто сняв крышку корпуса и предъявив обоснованные претензии.

Либо садитесь и внимательно читайте спецификации, проверяйте таблицы совместимости и версии BIOS, а также физические размеры элементов и их взаимную совместимость.

Для корпусов обращайте внимание на предельную высоту кулера, количество отсеков под накопители. А для блоков – наличие нужного количества коннекторов, например, питания SATA.

При этом следует понимать, что вы совсем не застрахованы от заводского брака или того, что BIOS материнки окажется несовместимым с вашим процессором и вам придется кататься в сервисный центр / гарантию и обратно, вместо того, чтобы просто забрать готовый ПК.

☝️ Бесплатный практический урок для начинающих сетевых инженеров

👉 Приглашаем на занятие «IP форвардинг в L2 и L3 сегментах» от OTUS. 

⏰ Встречаемся 13 февраля в 20:00 мск в рамках курса «Специализация Network Engineer». Доступна рассрочка на обучение!

👉 Регистрируйтесь прямо сейчас: https://otus.pw/g1lW/?erid=LjN8KQH85

💪 На вебинаре вы вместе с опытным экспертом:1. Разберетесь, как происходит процесс передачи IP пакетов в L2 сегментах2. Узнаете, как происходит процесс передачи IP пакетов в L3 сегментах3. Реализуете L2 и L3 сегменты сети на практике

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

​​Всплывающие предупреждения в Mikrotik

В работе администратора бывает множество мелочей, на первый взгляд незначительных, но существенно повышающих удобство работы или ее безопасность.

Очень часто настройки того или иного оборудования имеют свои особенности, о которых свойственно забывать, особенно если сталкиваешься с ними не каждый день.

Отдельный разговор – коллеги, которые могут быть не в курсе каких-либо особенностей и могут накосячить просто по незнанию.

В свое время на оборудование часто клеили бумажки с какими-то важными параметрами или пояснениями. Но в эпоху повальной удаленной работы все стало сложнее.

При этом мало кто знает об одном простом, но удобном инструменте Mikrotik – заметках. Найти их можно в System – Note. Вы можете написать туда все, что угодно и этот текст будет отображаться при каждом новом входе в систему.

Что там написать? А это уже каждый думает самостоятельно, поле большое, написать можно многое. Как ключевые особенности этого экземпляра, так и различные предупреждения себе или коллегам.

​​Работа с репозиториями в Debian

Как известно программное обеспечение в Linux устанавливается из централизованных хранилищ – репозиториев. Для работы с ними используется специальное ПО – пакетный менеджер.

В Debian и основанных на нем дистрибутивах это APT. Список репозиториев находится в /etc/apt/sources.list.

Но не всегда набор программ в официальном репозитории является достаточным. Какое-то ПО может отсутствовать, какое-то иметь слишком старые версии. В этом случае обычно подключаются дополнительные репозитории содержащие нужные версии программ.

Добавить их можно по-разному, можно внести записи прямо в /etc/apt/sources.list, но в приличном обществе принято создавать отдельные файлы с расширением .list в /etc/apt/sources.list.d. Это позволяет более гибко управлять репозиториями, чтобы отключить не нужные достаточно просто удалить файл или сменить его расширение.

Более подробно можно прочитать в нашей статье:

▫️ Linux - начинающим. Управление пакетами в Debian и Ubuntu

Но следует понимать, что добавление сторонних репозиториев – это потенциально опасная операция и один из самых доступных способов сломать систему.

Поэтому всегда смотрите что на самом деле будет установлено вместе с новым пакетом, проверив его зависимости и посмотрев их источники.

Также можете смоделировать процесс установки использовав ключ -s:

apt install имя_пакета -s

А вообще, если речь идет о небольших программах или пользовательском софте проверить нет ли нужного пакета в формате Snap или Flatpack. В этом случае все нужное пакет принесет с собой и риск сломать систему минимальный.

Про работу Snap читайте:

▫️ Linux - начинающим. Учимся работать со Snap

Еще один распространенный сценарий – это использование репозиториев предыдущего выпуска для получения пакетов, которые требуются некоторому софту, чаще коммерческому, по зависимостям, но отсутствуют в текущей версии.

Чаще всего это безопасно, то есть свои особенности, в частности с возможным обновлением пакета. Можно, конечно, поставить ему HOLD, но это не всегда правильно, особенно если пакет продолжает получать обновления в рамках предыдущего выпуска.

Более правильно в таких случаях использовать технологию APT Pinning, подробнее здесь:

▫️ Используем APT Pinning для закрепления пакетов в Debian и Ubuntu

Ну и наконец, если вы все-таки не вняли первоначальному совету и превратили /etc/apt/sources.list непонятно во что и все сломали, либо наоборот решили навести порядок, то может стать вопрос: а где взять исходное содержимое этого файла.

Можно спросить у Гугла, можно подсмотреть на другой аналогичной системе, но зачем, если можно восстановить его содержимое одной командой:

cat /usr/share/doc/apt/examples/sources.list > /etc/apt/sources.list

Кстати, в той же директории есть оригиналы и других важных файлов из директории /etc/apt, рекомендуем ознакомиться.

Это абсолютно нормально и естественно: проводить регламентные работы на системе, от которой критически зависят все участники рынка в рабочий день, в рабочее время. Ну а что? Куда они денутся, посидят, чай попьют…

И таки да, ЕГАИС с утра действительно не работает.

Музыкальная пауза и это не шутка.

https://rutracker.org/forum/viewtopic.php?t=6457761

Треки в комментариях

​​Microsoft PC Manager: не можешь победить – возглавь

Мы крайне скептически и негативно относимся ко всяким «клинерам» и «твикерам», считая, что вреда от них, пожалуй, больше, чем пользы. Но пользователи трепетно любят данный вид ПО, и многие не мыслят без него существования.

Все эти утилиты можно разделить на условно полезные, которые действительно чистят временные файлы и немного оптимизируют систему. И условно вредные, которые вырезают компоненты, останавливают службы, вносят изменения в реестр.

Есть еще третья категория, откровенно вредоносные, которые не делают ничего из заявленного, но навязчиво предлагают скачать некие PRO версии, либо вообще без спроса натягивающие в систему различного бесполезного ПО.

Видимо посмотрев на весь этот балаган, Microsoft представила пользователям утилитку PC Manager, по сути, тот же «клинер» и «твикер», только теперь официальный.

Главная страничка выглядит типично для такого типа ПО, показаны основные параметры «здоровья» компьютера и тут же предлагается сделать «буст», ускориться прямо здесь и сейчас.

Никаких чудес, конечно же, здесь не будет, просто утилита попытается высвободить немного оперативной памяти, ну может еще временные файлы почистит.

На закладке Protection мы можем выполнить антивирусную проверку или установить обновления, восстановить параметры по умолчанию и, что на наш взгляд самое нужное – навести порядок со всплывающими уведомлениями, которые могут сильно портить кровь простым пользователям.

В разделе Storage можно выполнить очистку временных файлов и разобраться с тем, что занимает место на диске.

А на закладке Toolbox можно настроить верхнюю всплывающую панель, она позволяет быстро выполнить оптимизацию и запускать некоторые приложения, такие как скриншоты, калькулятор, блокнот, браузер.

В целом мысль здравая, все эти утилиты нужны постоянно, но занимать ими место на панели задач совершенно не хочется. В Windows 10 их можно было спокойно расположить на плитках в Пуске, но в Windows 11 меню сильно упростили и теперь эта панель в тему.

Если же присмотреться внимательно, то все эти инструменты в системе давно есть и равномерно разбросаны по новой панели управления. Но простой пользователь или домохозяйка туда не полезут: сложно и страшно. А вот понажимать кнопки в привычного вида «твикере» - это совсем другое дело.

Несмотря на простоту мы считаем Microsoft PC Manager полезной программой и можем рекомендовать ее к установке простым пользователям, единственное, что сегодня является препятствием – это отсутствие русского языка.

Для опытного пользователя данная программа практически бесполезна, а вот новичков и людей далеких от компьютеров убережет от установки разных сомнительных программ подобного назначения.

Мысли вслух вечером понедельника

Что такого в этом молотке, что может оправдать его цену? Кроме бренда и сомнительного дизайна?

​​Папка, каталог или директория?

Данный вопрос давно занимает умы коллег и является предметом частых споров на счет того, какой из этих терминов является единственно правильным.

Сегодня в очередной раз пришлось столкнуться с измышлениями на данную тему, что и послужило поводом для написания данной заметки.

Начнем с языковых трудностей. В английском языке есть два слова: directory и catalog, которые переводятся на русский как каталог.

Но имеют различный смысл, directory, по сути, ближе к справочнику, это список однотипных данных, предназначенный для поиска по нему. Например: телефонный или адресный справочник.

Но встречаются и варианты со словом каталог, скажем, каталог запчастей. Хотя на английском все это будет directory (Parts Directory).

Слово catalog применяется для коллекций однотипных элементов предполагающий их более широкий выбор и обработку. Например, каталог марок, монет, книг. Каталог интернет-магазина и т.д. и т.п. Т.е. каталог не предназначен только для поиска, а содержит исчерпывающие данные о каждом элементе, позволяя подробно ознакомиться с ним.

Но вернемся к файловым системам, первоначально файловые системы были плоские, т.е. все файлы находились в единственном корневом каталоге. Потом возникла иерархия на основе тех самых каталогов.

Каталог представлял и представляет специальный файл с набором записей о принадлежащих ему файлах и подкаталогах, которые содержат имя объекта и ссылку на место файловой системы (кластер, inode) где он хранится.

В английском языке данная структура однозначно попадает под понятие directory и на русский переводится как каталог. И литературно правильно использовать именно этот термин.

Слово директория возникло в любительских переводах 90-х, когда этим занимались различные энтузиасты и представляет обычную транслитерацию слова directory. По подобному принципу возникли флоппи и хард диски вместо гибких и жестких.

Но данный термин плотно вошел сначала в компьютерный сленг, а после и в русский язык и также обрел массовое употребление.

В настоящий момент слово директория употребляется в том числе и серьезной компьютерной литературе в качестве синонима слова каталог и их можно считать полностью равнозначными.

За рубежом же никакого разночтения не было и повсеместно использовался термин directory, что нашло отражение в командах: cd, dir, mkdir и т.д.

Иногда встречается ошибочное мнение, что директории – это в UNIX/Linux, а каталоги в DOS/Windows, однако это не так. Достаточно взять англоязычные версии и убедиться, что кроме directory никаких иных терминов не используется.

Шло время, компьютеры становились все более распространенными и все чаще работать с ними начинали обычные пользователи, далекие от всех этих технических терминов.

Чтобы облегчить им работу была придумана концепция рабочего стола, который логически повторял обычный рабочий стол. Файлы представлялись как документы, а каталоги как папки (folder) с этими документами.

С тех пор повелось файлы изображать преимущественно в виде близком бумажным документам, а каталоги в виде канцелярских папок. Такой подход впервые был внедрен в Apple в Mac System Software, предшественнице Mac OS.

Начиная с Windows 95 папки стали использоваться в ОС Microsoft, а также перекочевали в графические оболочки Linux, первоначально в KDE и GNOME.

Со временем термин стал общеупотребительным и стал употребляться наравне с directory (каталогом). В русском языке появилось сразу три термина обозначающие одно и то же: каталог, папка и директория.

Существует еще одно заблуждение, что термин папка можно применять только в графической среде. Однако это не так. Каталог – это объект файловой системы и его свойства не меняются в зависимости от наличия или отсутствия графической оболочки. И поэтому мы можем называть его любым из этих трех терминов.

❓ С чего начать работу с компьютерными сетями?

👉 С бесплатного практического урока «Статическая и динамическая маршрутизация» от OTUS.

⏰ Встречаемся 21 февраля в 20:00 мск в рамках курса «Специализация Network Engineer». Доступна рассрочка на обучение!

👉 Регистрируйтесь прямо сейчас: https://otus.pw/WzRHc/?erid=LjN8KMq7x

💪 На вебинаре вы вместе с опытным экспертом:1. Разберетесь, зачем нужна маршрутизация и какая она бывает2. Рассмотрите статическую и динамическую маршрутизацию3. Реализуете статическую и динамическую маршрутизацию в сети на практике

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

​​Broadcom прекращает выпуск бесплатного гипервизора ESXi от VMware

Компания Broadcom не так давно (в ноябре 2023) поглотившая компанию VMware начало год с кардинального пересмотра лицензионной политики. Были отменены бессрочные лицензии, а остальная продуктовая линейка подверглась существенным изменениям.

Отдельно указано, что продукты ESXi 7.x и 8.x переходят в состояние EOGA (End of General Availability), т.е. окончание публичной доступности.

В самой компании никак не поясняют этот шаг, но с большой долей вероятности можно сказать, что основной причиной является использование бесплатных версий гипервизора в производственных средах.

Изначально VMware позиционировала бесплатные ESXi 7.x и 8.x как версии для тестирования, персональных и экспериментальных внедрений, для чего в продукт были введены ограничения по количеству ядер, оперативной памяти и отсутствовали расширенные инструменты управления.

Тем не мнее эти версии гипервизора широко применялись в небольших производственных средах.

Теперь никакой альтернативы бесплатным версиям ESXi нет, также как отсутствует и бесплатная пробная версия.

Во многом на такой шаг Broadcom сподвигло прекращение компанией Microsoft выпуска бесплатной версии Hyper-V Server, как основного возможного конкурента VMware.

Фактически на рынке виртуализации не осталось свободных и бесплатных продуктов кроме базирующихся на KVM, например, oVirt или Proxmox и если вы сегодня задумываетесь о внедрении виртуализации, то смотреть надо сугубо в их сторону.

​​Обзор бесплатных гипервизоров

🛑 Hyper-V Server – один из самых популярных гипервизоров от Microsoft, имеет низкий порог вхождения, особенно если вы до этого администрировали только Windows-сервера. Бесплатная версия базировалась на Server Core и предоставляла все те же самые функции, что и роль Windows Server.

Последний бесплатный выпуск - Hyper-V Server 2019, после чего Microsoft официально заявила об отказе от бесплатного Hyper-V. Срок поддержки Hyper-V Server 2019 истекает в 2029 году. В настоящий момент Hyper-V доступен исключительно как роль Windows Server.

Hyper-V поддерживает высокодоступные конфигурации (НА кластер), однако для их настройки обязательно требуется Active Directory.

В настоящий момент разворачивать новые инсталляции на Hyper-V Server большого смысла не имеет, либо вы должны четко представлять куда будете мигрировать через пять лет.

🛑 VMWare ESXi – бесплатная версия от лидера рынка виртуализации, несмотря на серьезные ограничения по ресурсам и инструментам управления, пользовалась заслуженной популярностью и широко применялась в небольших продуктивных средах.

12 февраля 2024 года компания Broadcom прекратила распространение бесплатных версий ESXi. Таким образом рассматривать данный продукт для новых инсталляций не имеет смысла, а пользователям текущих версий следует задуматься о миграции.

✴️ XCP-ng – форк Citrix XenServer, представляет собой бесплатное решение на базе гипервизора Xen и довольно близок к возможностям Citrix XenServer, но многие возможности и компоненты написаны самостоятельно, так как Citrix их не предоставляет или они выпускаются с закрытым исходным кодом.

У нас Xen не имеет широкого распространения и к внедрению данного гипервизора нужно подходить осторожно и взвешенно, в частности остро стоит вопрос поддержки, получить которую в русскоязычном сегменте будет затруднительно, плюс общее количество материалов по Xen в разы меньше, чем по KVM.

✅ oVirt – система виртуализации на базе KVM разработанный компанией Red Hat и лежащая в основе коммерческой Red Hat Virtualization. Изначально ориентирована на кластеризацию и масштабирование и построена по модульной схеме.

oVirt Engine предоставляет единый интерфейс управления виртуальными машинами, которые выполняются на узлах oVirt Hosts. В небольших инсталляциях эти роли можно совместить на одном сервере.

Данная система заслуживает внимания если вы привыкли работать в среде RHEL-based дистрибутивов и хорошо знакомы с используемыми в нее технологиями.

✅ Proxmox Virtual Environment – система виртуализации с открытым исходным кодом на базе Debian и технологий виртуализации KVM и контейнеризации LXC.

Одна из самых популярных и распространенных бесплатных систем виртуализации. Имеет живое сообщество и поддержку от разработчиков на форуме. Также с сети имеется много русскоязычных материалов.

Поддерживает кластеризацию и масштабирование, но в отличие от oVirt каждая нода самодостаточна и может работать как самостоятельно, так и в составе кластера. Управление производится через веб-интерфейс.

В настоящий момент именно Proxmox следует рассматривать как оптимальный вариант для новых внедрений, особенно если вы до этого еще не работали с виртуализацией.

«Гигабайт» уже 20 лет занимается автоматизацией бизнеса с помощью программ 1С. За это время мы набрались опыта работы с разнообразными отраслями бизнеса, находя решения для самых порой неожиданных задач.
На нашем канале мы делимся новостями из мира 1С, инструкциями по работе с программами от экспертов, а также кейсами выполненных проектов и советами от наших специалистов.
Присоединяйтесь к каналу «1С для бизнеса» для обмена знаниями и идеями!

Реклама. ООО "ГИГАБАЙТ". ИНН 5406988775. erid: LjN8K4giv

​​Дефолтная конфигурация брандмауэра Mikrotik для IPv6

Некоторые коллеги уже неоднократно спрашивали нас, а не сохранилось ли у нас дефолтного набора правил брандмауэра для IPv6.

Причина проста – сначала сбросили устройство, а потом подумали. Хотя всегда полезно сохранять исходную конфигурацию, хотя бы для посмотреть.

Поэтому сегодня мы решили выложить свежий набор правил от hAP AX2. Он состоит из двух частей. Первый – список IPv6 адресов, которые не должны подлежать маршрутизации:

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

И собственно правила брандмауэра:

/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

В целом их можно упростить, так как они, кроме базового набора правил, содержат еще разрешающие правила для IPsec, если они не нужны – можете смело убрать.

​​Повышаем безопасность небольших сетей при помощи Mikrotik

Сегодня в комментариях читатель столкнулся с типовой проблемой – после того как он настроил ограничения хитрые пользователи поменяли MAC-адрес сетевой карты, получили новый IP и обошли фильтры.

Здесь можно принять умный вид, и долго и напутственно рассказывать, что у пользователей не должно быть прав администратора и т.д., и т.п. Но по факту мы часто имеем то, что имеем и надо с этим как-то жить.

Начнем с того, что если вы вводите какие-то запреты и ограничения, то они должны применяться самым широким образом, даже если затрагивают узкую группу лиц.

Т.е. неправильно запретить вот этим десяти адресам и разрешить всем остальным, это легко обходится именно сменой адреса.

Правильно разрешить тем, кому нужно, а всем остальным запретить. В этом случае смена адреса не сильно и поможет.

Но остается ненулевая вероятность подобрать адрес из разрешенного диапазона и выйти под ним в тот момент, когда устройство с таким адресом выключено или отсутствует в сети.

Поэтому, располагая роутером Mikrotik, лучше уделить немного больше времени настройкам и существенно повысить безопасность сети.

Данный метод описан нами в статье: Используем режим ARP reply-only для повышения безопасности сети на оборудовании Mikrotik.

В этом случае роутер будет взаимодействовать на канальном уровне (L2) только с теми устройствами, которые явно укажет администратор. Остальные не смогут получить сетевой адрес по DHCP и не поможет даже ручное указание сетевых настроек.

Данный способ не является панацеей, но способен серьезным образом усложнить жизнь различным сетевым умельцам (которым для начала еще придется понять что именно происходит).