DoH в dig 9.17.11. Сервер был чуть раньше. DoT ещё раньше.

Path MTU discovery сломан в Интернет и сломан основательно, просто потому что в большинстве случаев вы не дождётесь нужного ICMP и уже не важно является ли это намеренным действием, опечаткой, незнанием, особенность подхода который применяется. Это данность. И единственный выход сделать хорошо для многих, но не для всех - это экспериментируя с TCP MSS и MTU на своей стороне, пытаясь найти баланс.

Утилита, которая пытается справится с этой проблемой в конкретном архитектурном решении балансировки в дата центрах, основываясь на информационном черновике IETF. Почитайте его обязательно, там, как раз, есть и про костыли TCP MSS. Cloudflare делал подобную реализацию несколько лет назад для одного Ethernet сегмента, эта утилита чуть более универсальная. В любом случае, Cloudflare реалисты и тоже играют в игру угадай нужное MTU.

За ссылку огромное спасибо нашему подписчику, очень рад что не забываете про меня. Спасибо.

Своеобразная реализация a'la Port knocking - ShieldWall. Заходим на веб интерфейс, открываем себе доступ, попадаем на ресурс. Не знаю, может удобно, я себе делал просто на iptables/ipset, в текущем виде это точно не лучше.
Забираем на Github и обязательно поднимаем свой сервер для управления.

Самое главное в процессе отладки - придерживаться выбранного метода, стратегии, тактики. Педантично и досконально, по другому не работает. Например, можно двигаться снизу вверх по уровням OSI ничего не пропуская.

А это уже про стратегию. Как быть уверенным в своей сети настолько, чтобы не растеряться и знать что ответить на вопрос: "Моё приложение не работает, может дело в сети?"

Пока многие из вас спят, а я нет. 23 марта 18:00 UTC опубликовано RFC8996, которое формально запрещает использование TLSv1.0 и 1.1. Не используйте, даже несмотря на то, что это всего лишь RFC.

Что есть что в автоматизации сетей - перечисление, с тезисным описанием, технологий, инструментов, подходов. Я бы рекомендовал с этого начинать, чтобы охватить картину целиком.

И выбирая путь автоматизации, точнее место программиста на этом пути не забывайте про основы, и те многие и многие шишки набитые поколениями до нас.

Whois к РАНР (реестр адресно-номерных ресурсов сети Интернет) - https://w.ranr.noc.gov.ru, можно и из консоли whois -h. Теоретически должно находить все ресурсы Интернет в российской принадлежности.
Работавшим с Whois RIPEDB должно быть знакомо.

Вот так выглядят живые сети, а если пытаться повторять кабель-порно, то можно что-то и вывихнуть ненароком :). С другой стороны - не стоит уж совсем расслабляться.

Всегда полезно повторить про STP, потому что ошибок здесь не прощают. Подробно, на 12 страниц в PDF, только про PortFast, BPDU Filter и BPDU Guard. Чем надо обязательно пользоваться если STP включен.

OSPFv3 и IPv6 соответственно, в базовой настройке с объяснениями от маршрутизации до хостов. Затрагивается довольно много специфичных моментов дизайна, но в то же время не привязанных к вендору, несмотря на то что сеть строится на Aruba. Но в целом, ещё раз повторюсь, это пример с базовыми настройками.

Те кто делает резервные копии каждый день или раз в неделю - те молодцы. Те кто проверяет свои копии восстанавливая их - красавцы. Сегодня надо делать как всегда, потому что сегодня День резервного копирования.
Те кто про свои бэкапы вспоминает только в этот день - не надо так. Это всё ещё не просто, это всё ещё требует усилий, но это именно та возможность которую не стоит упускать.

Если вы настраиваете настоящий stateful firewall, что я например делал совсем не часто, сейчас чаще, то обязательно озаботьтесь параметрами жизни сессий и всеми граничными значениями. С NAT я в своё время набил достаточно шишек, чтобы времена жизни трансляций выкручивать в очень агрессивной манере, а с Juniper SRX попался на очень долгие заданные по умолчанию времена жизни сессий. Не пропускайте этот момент и добавьте также early-ageout, если место под сессии кончится, это позволит выжить.

Мы недавно писали про настройку VyOS с нуля, может даже не один раз. Не могу скрыть своего интереса к данной системе, которая используется у меня в качестве домашнего роутера. Тем кто знаком с сетями и настройками каких-либо других сетевых устройств, разобраться труда не составит - всё должно быть знакомо и понятно. Но на всякий случай ещё одна серия статей про настройку.

Если пропустили для себя ERSPAN, то обязательно поищите такую возможность на своих устройствах, есть не везде. Идеально заменяет RSPAN без возни с виланами, позволяя отправлять трафик поверх IP сети упаковывая его в GRE. Можно прямо в нужный сервер отдавать или на снифер. Но можно поймать на удалённом поддерживаемом устройстве и перенаправить в нужный порт убрав лишние заголовки.
Только будьте внимательны при настройке destination session, где source address - это не адрес соседнего хоста источника, а ваш собственный локальный адрес на который приходит трафик с удалённого хоста, он должен совпадать с тем что настроен для source session.