​​Как настроить выход в интернет через Linux?

Такой вопрос задал один из читателей в комментариях под статьей про базовую установку ОС для сервера.

У нас есть статьи на эту тему, они хоть и довольно старые, но будут работать и сегодня, хотя в современных системах некоторые вещи можно сделать и более изящно.

Но есть одно но, большинство из них предусматривает также настройку кеширующего прокси-сервера SQUID.

На наш взгляд сегодня это абсолютно избыточно, во всяком случае для рядовых коммерческих организаций.

Большинству будет достаточно включить форвардинг пакетов в ядре и настроить SNAT или маскарадинг.

Для этого в /etc/sysctl.conf добавьте:

net.ipv4.ip_forward = 1

А в таблицу nat добавить правило:

iptables -t nat -A POSTROUTING -o ens33 -s 192.168.100.0/24 -j MASQUERADE

Где ens33 - интерфейс выхода, а 192.168.100.0/24 - диапазон локальной сети.

Подробнее про все это можно прочитать в нашей статье: Основы iptables для начинающих. Часть 4. Таблица nat - типовые сценарии использования

А теперь о том, что же не так со SQUID и почему он сегодня вам, скорее всего, не нужен.

Когда-то давно, когда деревья были большими, а интернет дорогим и медленным SQUID позволят решать эту проблему средством кеширования. Т.е. если у вас один пользователь посетил условный сайт, то все следующие пользователи могут не скачивать с него заново статическое содержимое, а получить его из кеша-прокси сервера.

Это позволило значительно ускорить загрузку сайтов у пользователей и снизить нагрузку на канал.

Вторая задача, которую эффективно решал SQUID - это был контроль доступа: черные и белые списки, контентный фильтр, фильтр по MIME и т.д.

Третья - контроль и отчетность, анализируя логи можно всегда было сказать кто выкачал весь трафик или на какие сайты он ушел.

Но все течет, все меняется. На смену HTTP поголовно пришел HTTPS и выяснилось, что SQUID стал практически бесполезен.

Так как каждый пользователь теперь имеет индивидуальный зашифрованный уникальным одноразовым ключом канал браузер-сайт, то кешировать стало нечего.

Да и в эпоху широкополосного интернета бывает быстрее скачать статику заново, чем искать ее в кеше, особенно если он на тарахтящем HDD.

Фильтровать тоже стало нечего. Трафик закрыт. Да мы можем вскрыть его через SSL-Bump - но это фактическая атака человек посередине и резко снижает безопасность сети.

Если просто вскрывать заголовки и фильтровать по домену назначения, то это становится чудовищно неэффективно по вычислительным затратам. И зачем заниматься расшифровкой, если все тоже самое можно сделать на уровне DNS?

Есть даже специализированные решения, мы подробно рассматривали одно из них в статье: Создаем собственный фильтрующий DNS-сервер на базе Pi-hole

Статистика потребленного трафика? А кого она сейчас волнует, сегодня может стать вопрос - кто грузит канал, но не вопрос - кто скачал сколько гигабайт.

Ну а при желании понять кто-куда лазил всегда можно снять статистику с лога DNS.

Таким образом мы не видим сегодня причин использовать прокси, все прекрасно решается и без него.

Но просто так сдавать свои позиции SQUID пока не намерен, но это уже нишевые применения. А это уже совсем другая история.

Сегодня в Action Digital School можно оформить бесплатный доступ на 3 дня к полноценному практическому онлайн-курсу Из бухгалтера в 1С программиста

Уже за 3 дня вы вы успеете познакомиться с основами профессии и понять, подходит ли вам курс.

Программа, разработана с учетом сильных сторон специалиста с бухгалтерским опытом.

По итогу обучения вы получите опыт решения типовых задач 1С- разработчика и будете готовы к реальной работе в индустрии.

Оставьте заявку на доступ по ссылке. Пригодится. 😉

​​Сегодня, находясь за городом, во время приготовления шашлыка разговорились с коллегой, одна из актуальных тем - на что можно заменить Микротик.

И выяснили, что менять его особо и не на что. Почему? Попробуем кратко сформулировать наши тезисы:

🔹 Цена - даже сейчас, со всеми сложностями это одно из самых интересных предложений на рынке по соотношению цена/возможности.

🔹 Возможности - Микротик умеет все, что надо в небольших и средних сетях, и даже что не надо. Очень часто возможности устройства ограничены только вашей фантазией.

🔹 Простота - как не парадоксально это звучит, но Микротик прост, в руках специалиста, конечно. Многие сложные вещи делаются здесь в несколько кликов мыши и несколько команд в терминале.

🔹 Унификация - все устройства одинаковы в программной части, все имеют одинаковые возможности (в рамках одного уровня лицензии), есть версии для x86 и виртуалок. Легко можно переносить конфигурации с одного устройства на другое.

🔹 Надежность - это простое аппаратное устройство, которое может работать годами в самых разных условиях, зачастую в тяжелых. Ближайшая альтернатива в виде ПК с Linux или pfSense значительно уступает в этом плане.

🔹 Сообщество - у решений этого производителя есть большое русскоязычное сообщество, поэтому найти нужные материалы, задать вопросы или получить помощь не составит особого труда.

Есть и недостатки. А у кого их нет? На наш взгляд главные из них:

🔻 Слабая производительность - многие из представленных в продаже устройств серьезно устарели в аппаратной части, не имеют аппаратной поддержки шифрования и не тянут серьезные нагрузки, тот же 2011, который до сих пор в продаже.

🔻 Плохой Wi-Fi - нет, в плане настроек он хорош, но в аппаратном плане, исключая самые новые модели плох. Вы получаете устаревшие чипы без поддержки современных беспроводных технологий. И если у вас более-менее новые клиентские устройства, то просто TP-LINK за тысячу рублей в этом плане его просто укладывает на лопатки.

​​Публикация баз данных 1С:Предприятие на веб-сервере Apache в Windows c защитой SSL и аутентификацией по паролю

Для публикации информационных баз 1С:Предприятие на платформе Windows часто используют альтернативу штатному IIS - веб сервер Apache, который, несмотря на ряд ограничений, тоже неплохо подходит для небольших и средних установок.

Одним из очевидных преимуществ Apache является его кроссплатформенность, т.е. если вы умеете настраивать данный веб-сервер на одной платформе, то без особого труда сделаете это и на другой.

В данной публикации мы расскажем вам как установить и настроить Apache для публикации баз с SSL-защитой на базе сертификатов Let's Encrypt и дополнительной аутентификацией по паролю.

https://interface31.ru/tech_it/2023/05/publikaciya-baz-dannyh-1spredpriyatie-na-veb-servere-apache-v-windows-c-zashhitoy-ssl-i-autentifikac.html

​​Из разряда наблюдений и размышлений

Дни трезвости на день последнего звонка, 1 июня и т.д. и т.п. стали уже нормой жизни. Но наша область впереди планеты всей и тут уже второй год трезвеют три дня: день до, день последнего звонка и день после.

Сие мероприятие давно представлялось мне сомнительным. Ну давайте сами подумаем. Лицам до 18 лет алкашку не продают, лица старше 18 имеют полное законное право ее покупать и выпивать.

В этом году получилось так, что вместо 25 мая последний звонок перенесли на 23 мая.

А в это день у автора сиих строк запланировано плановое мероприятие. когда собравшиеся должны скушать что-нибудь вкусное, да выпить за здравие автора.

Ну вот сегодня и озадачился материальным обеспечением этого мероприятия, а в переводе на простонародный - покупкой алкашки.

В былые времена проблемы не было, собрались, посмотрели на погоду, высказали собственные предпочтения, закупились и выехали на природу.

А теперь приходится закупаться с запасом, мало ли там чего. Ну а закупленное не выливать же? Значит будет выпито!

И кому сделали лучше с этими днями трезвости?

Кстати, вместе со мной в местных алкомаркетах массовые закупки делали эти самые выпускники, причем вместе с родителями. И звучали те же самые вопросы: сколько брать? Бери с запасом!

Ну и толку от этих дней трезвости? Кому надо - те купят. Ну и зачем тогда это все?

Вы работаете в IT-сфере и ищете эффективный способ решать свои ежедневные задачи? ChatGPT (GPT-4) - уникальный Телеграм-бот, который предоставляет 70+ специальных режимов для решения разных проблем

Попробуйте бота бесплатно прямо сейчас:
🤖 ChatGPT Bot

Он улетел, но обещал вернуться! И вернулся, по тихому.

Не так давно, всего лишь с выходом платформы 8.3.20 был анонсирован единый дистрибутив 1С для Linux. Решение крайне неоднозначное, вызвавшее много споров в сообществе.

И вот, вместе с платформой 8.3.23 пакеты вернулись. Вполне официально. Но только в документации теперь просто даны их взаимозависимости и предложено обратиться к документации на пакетный менеджер.

Единая платформа также осталась и подается как приоритетный способ распространения платформы.

На наш взгляд, для клиентских установок в небольших внедрениях единый дистрибутив удобнее. Для серверов и крупных внедрений удобнее пакеты.

А вообще крайне неплохо было бы перейти для клиентских установок на Snap или Flatpak. Все равно уже практически все значимые библиотеки платформа носит с собой, а не использует из дистрибутива.

До чего техника дошла, хотел вставить из буфера в Фотошоп не самого лучшего качества картинку 5 евро.

​​Защита RDP от перебора паролей при помощи оборудования Mikrotik

Атака с полным перебором паролей (брутфорс) - одна из наиболее часто встречающихся угроз в современном интернете. Она базируется не на уязвимостях ПО, а на нарушении политики паролей, что иногда оказывается гораздо более продуктивным.

Пользователи не любят сложных паролей и даже когда есть явные требования по сложности стремятся использовать более простые комбинации, либо словарные слова.

Многие также используют одну пару логин - пароль для всех учетных записей и при компрометации одной из них эти данные могут попасть в руки злоумышленников. Одним из наиболее часто атакуемых сервисов является RDP и сегодня мы посмотрим, как можно его защитить.

https://interface31.ru/tech_it/2021/05/zashhita-rdp-ot-perebora-paroley-pri-pomoshhi-obrudovaniya-mikrotik.html

​​Как исправить отображение кириллицы в Windows 10

Сегодня пришлось столкнуться с неправильным отображением кириллицы в предустановленной LTSC 1809.

Проявлялся сей дефект не везде, только в некоторых инсталляторах и вроде бы жить не мешал. Но к этому добавилось некорректное считывание кодов маркировки в 1С:Предприятие на русской раскладке.

В общем пришлось разбираться. На самом деле все несложно, но, как всегда, инструкции в сети не блещут полнотой.

В итоге пришлось сравнить ветки реестра двух систем и внести изменения по аналогии.

Итак, нам нужна ветка:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage

В ней меняем значения трех параметров:

ACP - 1251
MACCP - 10007
OEMCP - 866

Перезагружаемся и все начинает отображаться как надо, правда некоторое ПО, например, 1С или драйвера АТОЛ пришлось переустановить.

​​Используем Cockpit для администрирования Debian и Ubuntu

Веб-интерфейсы занимают сегодня заслуженное место среди инструментов системного администратора.

Часто, не претендуя на всеобъемлющую и тонкую настройку, они предоставляют простые и удобные инструменты для базовых задач администрирования, а также ряд сервисных функций, таких как доступ к логам, автозагрузке и т.п.

Сегодня мы рассмотрим легкий и простой веб-интерфейс для администрирования Linux серверов - Cockpit, а также расскажем о том, как установить его и использовать в среде операционных систем Debian и Ubuntu.

https://interface31.ru/tech_it/2023/05/ispol-zuem-cockpit-dlya-administrirovaniya-debian-i-ubuntu.html

​​Рекомендации от Сisofy для повышения безопасности SSH в конфигурации по умолчанию для Debian и Ubuntu

🔹 Запретить перенаправление TCP

AllowTcpForwarding (set YES to NO)

🔹 Уменьшить количество проверок доступности клиента, которые могут оставаться без ответа. Если предел достигнут, sshd завершит сеанс.

ClientAliveCountMax (set 3 to 2)

🔹 Отключить сжатие

Compression (set YES to NO)

🔹 Увеличить подробность лога

LogLevel (set INFO to VERBOSE)

🔹 Уменьшить количество попыток ввода пароля

MaxAuthTries (set 6 to 3)

🔹 Уменьшить максимальное количество открытых сессий

MaxSessions (set 10 to 2)

🔹 Изменить порт на нестандартный

Port (set 22 to )

🔹 Запретить поддержание соединения через TCP

TCPKeepAlive (set YES to NO)

🔹 Отключачем перенаправление X11

X11Forwarding (set YES to NO)

🔹 Запретить перенаправление SSH-агента (передача ключа)

AllowAgentForwarding (set YES to NO)

​​Длина имени файла и абсолютного пути

Вопрос, на первый взгляд простой, но с регулярной периодичностью возникают ситуации, когда неверное понимание этого вопроса приводит к разного рода недоразумениям. Особенно в мультиплатформенных средах.

☝️ Начнем с Windows. Классическая длина имени – 255 символов, максимальная длина пути – 260 символов.

Обратите внимание – символов, максимальная длина имени директории – 244 символа, так как система резервирует часть пути для файла в формате 8.3.

Однако начиная с Windows 10 1607 и Server 2016 эти ограничения можно отключить, в этом случае лимит имени файла или абсолютного пути будет определяться файловой системой, для NTFS это 32767 символов, для ReFS - 32000 символов.

👉 Теперь Linux. Имена файлов в Linux могут быть длиной до 255 байт. Полная длина пути не должна превышать 4096 байт. В отличие от Windows в ограничениях используются не символы, а байты. А кодировка UTF-8 для символов национальных алфавитов предусматривает до 4 байт на 1 символ.

Таким образом длина имени у нас может неожиданным образом оказаться ограниченной 63 символами, а максимальный путь стать 1024 символа.

Кириллица занимает 2 байта на символ, поэтому в Linux вы будете ограничены 127 символами в имени файла и 2048 символами в пути.

Смешивая различные символы, вы получите различные варианты лимитов между максимальными и минимальными.

Обычно это вызывает сложности при копировании или распаковке файлов из систем с кодировками CP-1251 или KOI-8.

Еще одна особенность связана с использованием криптографических файловых систем, таких как eCryptFS , в этом случае длина пути будет ограничена 143 байта или 71 символ на кириллице.

​​На днях затронули тему SSH и выяснилось, что про SSH-туннели знают далеко не все. Поэтому никогда не поздно наверстать упущенное:

SSH-туннели на службе системного администратора

Любому системному администратору приходится постоянно работать удаленно, но случаются ситуации, когда нужно срочно подключиться к узлам внутренней сети, доступ к которым снаружи закрыт.

Хорошо если есть доступ на другие узлы данной сети, но бывает, что доступа из глобальной сети нет вообще, в этих случаях обычно используют TeamViewer или аналогичное ПО, но если к такой сети есть возможность подключиться через SSH или установить соединение с промежуточным SSH-сервером, то можно быстро и просто организовать доступ без привлечения стороннего ПО.

https://interface31.ru/tech_it/2017/04/ssh-tunneli-na-sluzhbe-sistemnogo-administratora.html

​​Сегодня еще немного об SSH, точнее о выполнении команд на удалённом сервере.

Чтобы это сделать - необязательно заходить на него, достаточно выполнить:

ssh user@remotehost cat ~/myfile

И вы получите в локальном терминале вывод указанной команды. Это удобно, если нужно обработать результат локально или быстро узнать статус службы или перезапустить ее.

При этом важно понимать, что на удаленном узле выполняется только первая команда, все перенаправления или конвейеры будут работать уже локально.

Например:

ssh user@remotehost mysqldump -uroot-p database > database.sql

Выгрузит дамп MySQL базы на удаленном сервере, но сохранит его локально. Это работает даже на платформе Windows, где уже давно есть встроенный OpenSSH.

А вот такая конструкция отлично сработает в Linux, но даст вам ошибку в Windows, так как в ней нет команды grep:

ssh user@remotehost dpkg -l | grep 1c-ent

Это как раз то, о чем мы говорили, при такой записи dpkg выполниться удаленно, а grep - локально.

Чтобы выполнить команду полностью на удаленном узле ее нужно взять в одинарные кавычки.

ssh user@remotehost 'dpkg -l | grep 1c-ent'

С другой стороны никто нам не мешает решать часть задач другими инструментами:

ssh user@remotehost dpkg -l | Select-String -SimpleMatch "1c-ent"

Здесь мы получили нужную информацию с удаленного узла и обработали ее при помощи PowerShell