А вы знали, что для PF есть весьма функциональная веб-морда? Вот если не знали, загляните, возможно пригодится в работе:

https://github.com/sonertari/PFRE

#openbsd #pf #github

Иногда я пишу на Habr, обычно по вдохновению и если не ленюсь. Статья про то, что видно на заблокированном РКН ресурсе, немного статистики по адресам, IPv6 и про то как работают фильтры.

Ещё пару авторских абзацев, взгляд со стороны провайдера. Фильтр штука затратная если его вставлять inline для всего, затратная не только по деньгам, но и по результату, качеству получаемого трафика, надёжности. Для решения этой проблемы можно много чего применять, чтобы уменьшить трафик через фильтр:

1. Пропускать через фильтр только исходящий трафик
2. Пропускать через фильтр только трафик к запрещённым ресурсам
3. Поставить фильтр не в разрез, а сбоку - зеркалировать в него трафик
4. Или блокировать трафик только для средств проверки - Ревизоров. Конечно, применяются не только они, в любом момент из любого места сети может быть сделана проверка сотрудником контролирующей организации, но Ревизоры это делают постоянно.

Это не секрет, хотя и не говорится в полный голос, но часть провайдеров помещают Ревизоров в песочницу. Не то чтобы РКН про это не знает и даже штрафы есть за избыточную блокировку, поэтому и в песочнице надо блокировать правильно, но на это можно потратить куда меньше средств, что критично для небольших провайдеров.

На самом деле я не думал что это правило, кто-то, где-то, иногда, на первых этапах до внедрения основных средств. Но для того чтобы проверить полученные результаты для статьи я пробежался по известным мне в области провайдерам, некоторых я нашёл в запросах, некоторых нет и не сказать, чтобы они были мелкие, наоборот. Песочница эта или не выполняется условие что на каждый регион свой агент Ревизор, или фильтр по-настоящему хороший - я не знаю.

Средства нападения всегда чуть впереди средств защиты и контроля, не стоит думать что дальше контроль не усилится, например, тем способом который я описал в статье. Или он уже есть сейчас просто ещё не придумали как использовать его в качестве доказательной базы (это должно быть сложно). В любом случае повторю мысль - инструмент всего лишь инструмент оружие он или нет решает тот кто его использует, сеть Ревизоров и вообще система блокировок это термоядерный синтез, может бахнуть и уже бахал не один раз и совсем недавно. А может и нет, я даже благо какое-то постарался найти, хотя в последствие это может стать ещё более изощрённым способом контроля.

P.S. Всех настоящих связистов с праздником. Интернетчики это седьмая вода на киселе, но они обычно за компанию отмечают.

В какое удивительное время мы живем, вот например рекламное видео нового терминала Windows https://www.youtube.com/watch?v=8gw0rXPMMPE

Вкладки, рендеринг текста, эмоджи и кастомизация вашего терминальчика в 2к19 от Microsoft.

Летом обещают залить в магазин приложений, а официальный релиз состоится ближе к концу года. Код для "поиграться" доступен уже сейчас: https://github.com/microsoft/terminal

DNS потихонечку переползает на Query Name Minimization, без особой помпы поддержка добавляется в существующие решения. Как результат всё меньше кто-то будет знать об истинных намерениях каждого. Наверное, это хорошо. Время "Интернета для технарей" прошло, поэтому заменили спокойствие - можно всё посмотреть и понять, на спокойствие обратное - меньше знаешь, крепче спишь.

Хм... ЦРУ открыло своё представительство в TOR: ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion

​Ну теперь понятно, как защищаться от угроз сети.

У Kaspersky есть красивая карта с данными о вредоносной активности. То же что и здесь, но с большим количеством подробностей и статистики по всем странам. Россию больше всего атакуют, но тут возможно перекос из-за зоны наибольшего распространения Касперского у нас.

L2 дизайн против L3 на примере одной аварии. По моему опыту L2, в первую очередь, сложен своей отладкой у которой нет простых инструментов вроде traceroute, а последствия сбоя часто катастрофические, как в статье.

Когда какой-то коммутатор по своей прихоти начинает флудить в широковещательный домен, или подменять маки, начинают происходить странные, совсем не очевидные вещи. Заглянуть внутрь вилана сложно, а косвенные признаки можно интерпретировать по разному. В итоге, жалоба клиента: "У нас не работает DHCP (RIP, да что угодно) в вашем канале, хотя всё остальное вроде бы работает" - превращается в бесконечные часы тотального траблшутинга всего, пока в итоге не подключается сниффер и не находится флудящее устройство. И это реальный пример из практики нашего NOС, не самый разрушительный. Про кольца можно не говорить: STP по своей сути, протокол предотвращения аварии которая уже есть, а не созидательный (архитектурный) протокол, ERPS не многим лучше. Единственный способ работать с L2 - это регламентировать всё, задавая самые строгие из возможных режимов ничего не давая на откуп автоматике, но это добавляет сложностей в обслуживании.

У L2 есть красивые, быстрые решения для отказоустойчивости, например просто LAG или MLAG, vPC или любое другое специфичное название и этим хочется пользоваться. Но и это не всегда работает хорошо, даже LAG, особенно на стыке двух вендоров, или софтового и железного решения.

Ошибки могут быть у всех, но с выводами статьи я согласен - L2 можно пользоваться, но с бОльшим риском.

Свой speedtest как альтернатива speedtest.net, хотя к нему все и привыкли да и HTML5 он уже может. Но эти попугаи ничем не отличаются от тех попугаев. Выглядит красиво и можно под себя подстроить.

Пример настройки NAT из IPv6 в IPv4 и обратно на JunOS. На кажущуюся странность подобный подход очень простой, позволяющий оттянуть полномасштабное внедрение IPv6 достаточно далеко.
Если начать использовать IPv6 адреса у своих клиентов непосредственно, то сразу возникают задачи биллинга (у провайдеров), задачи аутентификации и безопасности. Потому что многое из того что есть заточено под IPv4. А с NAT можно остаться на IPv4 внутри, используя IPv6 снаружи. Наверное и я бы так поступил по возможности, но это двойная работа в будущем.

Питон для сетевых инженеров.

​Виджет с количеством BGP префиксов на разных устройствах в сети RIPEStat. Мне проблема кажется надуманной, но если можно сделать почему бы и не сделать. Гораздо интереснее наблюдать какой BGP разный, даже по количеству префиксов в разных частях Интернета. Каждый видит свою картину мира и только свою.

По пути на работу последние две недели я читаю книжку про Docker. Достаточно лёгкое чтение про базовые принципы современного, я бы уже не назвал это передовым, подхода к проектированию и работу программного обеспечения. Есть про всё, собственно Docker и механизмы управления им, облачные провайдеры, CI/CD, тестирование, микросервисы. Всё с конкретными простыми примерами для существующих продуктов. То есть, это книжка как пользоваться, а не как всё устроено. Знаете можно читать использование Linux и там будет описание ядра, прерывания, системные вызовы, а можно читать книгу с практически таким же названием и там будет как мышкой переместить файл из одной папки в другую, вот моя книжка это второй вариант.

И чем дальше я читаю тем больше понимаю откуда взялось выражение "сисадмины не нужны" или "сетевики не нужны". Потому что действительно не нужны. Если следовать логике изложения всё решается или самими разработчиками продукта и всё что нужно уже есть в докер образе, или высокоуровневыми концепциями связи контейнера с контейнером и подобными, не заботясь о том что это вообще значит, полагаясь на реализацию конкретного продукта или облачного провайдера. Я даже стал верить в это.

Опасное это заблуждение или нет, не могу сказать. Может вообще не заблуждение. Книга про основы, даже скорее для начинающих. В начале пути всегда кажется что всё известно, в других работах наверняка раскрывается больше тонкостей. Но очевидно что сети меняются и меняется роль специалиста по сетям. Под всё большим вопросом символ админства и скрытой магии - CLI, в блоге CellStream хорошее рассуждение Andrew Walding по этому поводу. Вопрос не просто в командном режиме который можно было бы использовать и через систему управления не попадая в консоль напрямую, а в полном уходе к высокоуровневым методам API.

Бояться изменений - остаться не у дел, так что пропускать тренды точно не стоит, но и слепо отказываться от того что было неправильно. Выйдет ли из этого симбиоз, мы это точно увидим в ближайшем времени.

Про книжку забыл, исправляюсь. Я выбирал только по одному критерию, чтобы на русском. Эдриен Моуэт "Использование Docker" 2017 год (по ссылке дальше в канале есть сама книжка). Автор много ссылается на будущее и пишет о многих продуктах как о находящихся в тестировании, но тут надо сделать скидку на год, всё уже работает у всех.

Мне не с чем сравнивать, так что не могу дать оценку качеству материала, с чем я сталкивался всё приемлемо. Читается легко для меня, есть код на Python, YAML, shell который поясняется постольку поскольку, лучше с этим быть знакомым. Есть подозрение что нужно быть в принципе знакомым с концептом микросервисов и программированием, тестами, но в целом все эти понятия объясняются с нуля.

Шпаргалки по регулярным выражениям со спецификой Vim: поиск, замена, описание и примеры. Даже для тех, как я, кто редактирует не больше 5 строчек в Vim в неделю, полезно. Я вот сегодня воспользовался, забыл как адресуются строки в режиме поиска.

Интересно, что многие реализации очень похожи, но в чём-то всё же есть отличия. Разве что на заре Unix команда g/REGEXP/p в редакторе ed работала в точности как утилита grep, потому что это был один и тот же код.

Microsoft выпустила патч для CVE-2019-0708 - можно получить удалённый доступ к системе через RDP и делать что хочешь: An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Всё настолько серьёзно что и для XP есть патчи. С Windows 8 и 10 всё в порядке.
И у Cisco похожая история, можно управлять всем, вплоть до загрузчика.

На ближайшем RIPE78 Max Rottenkolber расскажет про Vita, это такой очень производительный VPN на Lua. Всё это в комплексе вместе со snabb - фреймворком для высокопроизводительной обработки трафика в userspace. В отличие от DPDK не привязан к Intel.
Цель всех подобных решений избавиться от посредника в виде ядра, которое своей универсальностью ломает производительность. Стоит упомянуть ещё packet_mmap, pf_ring, netmap, другие тоже есть. Ключевые слова для поиска Zero Copy и Userspace IO. Это позволяет выжимать гораздо больше чем может ядро зажатое рамками планировщика и прерываниями. Совсем прямой доступ к железу никто давать всё равно не хочет, хотя Intel с очередными багами в процессорах старается. Во времена DOS с этим было проще :-)

Прелесть многих старых протоколов прикладного уровня в том что они диалоговые: FTP, IMAP, в меньшей степени HTTP. Одна строчка вопрос, в удобочитаемом виде, одна или много в ответ, в более или менее читаемом виде. Модный сейчас JSON при всей его читаемости всё же машинный формат. Формировать запрос вручную почти не имеет смысла, это делает программа и программист, что и в случае бинарных протоколов.
Возможно имеет смысл унифицированный формат для всего, поэтому JSON везде, даже в почте и называется это JMAP. Cтатья в блоге IETF, потому что, видимо, процесс стандартизации к концу подходит. А за подробностями надо идти на сайт jmap.io

Про все утилиты знали? Для себя пару новеньких открыл. В начале есть пару ссылок на другие списки программ, не менее полезные.