12610
Обучающий канал по сетевому и системному администрированию. Сотрудничество: @dad_admin Биржа: https://telega.in/c/networkadm РКН: https://bit.ly/4ioc61C
VRF и network namespaces в Linux: два способа изолировать сетевой трафик
Современные Linux-хосты — это не просто сервера, а целые мини-датацентры. Контейнеры, агенты, сервисы, туннели — всё крутится внутри одного ядра.
И всё это нужно грамотно изолировать по сети: с разными маршрутами, правилами и DNS.
ip link add vrf-blue type vrf table 101
ip link set vrf-blue up
ip link set eth1 master vrf-blue
ip route add table 101 default via 192.0.2.1 dev eth1
ip netns add red
ip link add veth0 type veth peer name veth1
ip link set veth1 netns red
ip addr add 10.10.10.1/24 dev veth0
ip link set veth0 up
ip netns exec red ip addr add 10.10.10.2/24 dev veth1
ip netns exec red ip link set veth1 up
ip netns exec red ip route add default via 10.10.10.1
L2 over L3: когда нужен Ethernet там, где остался только IP
Иногда нужно передать L2-сегмент через L3-сеть — например, при миграции офиса, подключении старых систем без маршрутизации или восстановлении legacy-инфры.
Ниже — практичный обзор VXLAN, GRETAP и L2TPv3, с примерами и кейсами.
ip link add vxlan0 type vxlan id 42 dev eth0 remote 192.0.2.1 dstport 4789
bridge fdb add 00:11:22:33:44:55 dev vxlan0 dst 192.0.2.1
ip link add gretap0 type gretap local 10.0.0.1 remote 10.0.0.2
ip link set gretap0 up
brctl addif br0 gretap0
Обфускация трафика для админов: как маскировать VPN, SSH и другие сервисы под «мирный» трафик
В условиях современных фильтраций и DPI (глубокая проверка пакетов) важно не только шифровать трафик, но и сделать его неотличимым от обычного.
Администраторы часто сталкиваются с задачей маскировки VPN, SSH и других сервисов, чтобы обойти блокировки или обострение цензуры.
В этом посте рассмотрим, как можно спрятать трафик за обычным HTTP(S) или даже UDP, минимизируя шанс на его обнаружение.
sudo apt install obfs4proxy
port 443
proto tcp
dev tun
server 10.8.0.0 255.255.255.0
keepalive 10 120
cipher AES-256-CBC
auth SHA256
tls-auth ta.key 0
dh dh2048.pem
crl-verify crl.pem
# Добавляем obfs4 для маскировки
plugin /usr/lib/openvpn/plugins/obfs4proxy.so
obfs4proxy --obfs4 --listen 0.0.0.0:443
Конфиг клиента:
Установите obfs4proxy на клиенте:
sudo apt install obfs4proxy
Конфиг клиента (/etc/openvpn/client.conf):
client
dev tun
proto tcp
remote yourserver.com 443
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
cipher AES-256-CBC
auth SHA256
tls-client
remote-cert-tls server
auth-user-pass
# Добавляем obfs4 для маскировки
plugin /usr/lib/openvpn/plugins/obfs4proxy.so
obfs4proxy --obfs4 --listen 0.0.0.0:443
2️⃣
WireGuard с UDP2Raw
WireGuard можно обфусцировать через udp2raw, чтобы маскировать трафик под обычный UDP, минимизируя следы от VPN.
Конфиг для сервера (WireGuard):
Установите udp2raw:
sudo apt install udp2raw
[Interface]
Address = 10.8.0.1/24
PrivateKey = <private_key>
ListenPort = 51820
[Peer]
PublicKey = <client_public_key>
AllowedIPs = 10.8.0.2/32
udp2raw -s -l0.0.0.0:51820 -r yourserver.com:51820 -k your_password --raw-mode faketcp
[Interface]
Address = 10.8.0.2/24
PrivateKey = <private_key>
[Peer]
PublicKey = <server_public_key>
AllowedIPs = 0.0.0.0/0
Endpoint = yourserver.com:51820
PersistentKeepalive = 25
udp2raw -c -l0.0.0.0:51820 -r yourserver.com:51820 -k your_password --raw-mode faketcp
3️⃣
SSH с обфускацией через socat
Для SSH трафика, чтобы его было сложно отличить от HTTPS, можно использовать socat.
Конфиг для сервера (SSH + socat):
Установите socat:
sudo apt install socat
Запускаем SSH через socat на порту 443:
socat TCP-LISTEN:443,fork TCP:localhost:22
ssh -p 443 youruser@yourserver.com
Следы EDR/MDM на сервере: что остаётся после удаления агента
Иногда достаточно зайти на сервер и понять, что за ним кто-то уже наблюдал. Даже если агент EDR или MDM уже удалён, он мог оставить вполне читаемые следы. Это полезно, если:
⏺вы получили машину “в наследство”,
⏺поднимаете форензику после инцидента,
⏺хотите убедиться, что прод чист перед публикацией.
1️⃣Остатки EDR/MDM в автозагрузке
Агенты часто прописывают себя в:
Linux:
• /etc/rc.local
• systemd-юниты: systemctl list-units --type=service | grep -i crowdstrike
• crontab -e, /etc/cron.*/, atq
Windows:
• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• Task Scheduler — часто от имени SYSTEM
• services.msc — останки удалённых служб с пустыми бинарниками
2️⃣Директории, которые “забыли почистить”
Примеры часто встречающихся путей:
⏺ /opt/CrowdStrike/, /opt/sentinelone/, /opt/zscaler/, /var/lib/falcon/
⏺ C:\ProgramData\CrowdStrike\, C:\Program Files\SentinelOne\, C:\Windows\System32\drivers\<что-то>.sys
Некоторые агенты любят оставлять log-файлы, временные сокеты, логи ядра (/var/log/audit/audit.log), etc.
3️⃣Сетевые хвосты
Проверьте активные или недавно использовавшиеся подключения:
lsof -i -P | grep -i established
ss -tunap | grep 443
Проверка настройки
После добавления правила NAT необходимо убедиться, что проброс порта работает корректно.
1️⃣Проверяем доступность порта
Открываем командную строку (Windows) или терминал (Linux/macOS) и выполняем:
telnet 35.135.235.15 23535
http://35.135.235.15:23535 в адресной строке браузера. Должна открыться веб-страница FreePBX. Если нет:yourrouter.sn.mynetname.net.
Проблемы и решения транспортировки данных: как «разговаривают» протоколы
Когда транспортные протоколы обмениваются данными, они «мечтают» о приложениях — потому что именно приложениям нужны данные, перемещаемые от одного процесса (или устройства) к другому.
Но как вообще возможна передача информации по воздуху, проводу или оптическому кабелю?
В сетях тоже есть избыточность, контрольные суммы, повторная передача, — всё это способы гарантировать, что данные передаются без искажений.
Книгу можно читать в удобном темпе. Протоколы делают то же самое: контролируют скорость передачи, чтобы «медленный» получатель не утонул в потоке данных.
Как настроить split DNS для VPN: маскируем внутренние домены, а внешний — оставляем доступным
Split DNS — это метод, при котором разные DNS-серверы используются для разрешения одинаковых доменных имен в зависимости от того, откуда поступает запрос.
В случае с VPN это позволяет маршрутизировать запросы для внутренних доменов в корпоративной сети через защищенные DNS-серверы, а внешние домены разрешать через общедоступные DNS-сервисы.
server:
interface: 0.0.0.0
interface: ::0
access-control: 192.168.0.0/16 allow
local-zone: "example.local" static
local-data: "example.local. IN A 192.168.1.10"
push "dhcp-option DNS 192.168.1.1" # IP вашего внутреннего DNS-сервера
nameserver 8.8.8.8 # Google DNS
nameserver 1.1.1.1 # Cloudflare DNS
view "internal" {
match-clients { 192.168.0.0/16; };
zone "example.local" {
type master;
file "/etc/bind/zones/example.local";
};
};
view "external" {
match-clients { any; };
recursion yes;
zone "." { type hint; file "/etc/bind/db.root"; };
};dig @192.168.1.1 example.local
dig example.com
Многие отечественные компании по-прежнему используют зарубежные opensource-решения TACACS+ для управления доступом к сетевому оборудованию. При этом есть большой риск столкнуться с внезапным прекращением развития продуктов, отсутствием оперативной поддержки и исправлений уязвимостей.
Eltex предлагает современное ПО для контроля доступа к сети и сетевому оборудованию – систему NAICE с гарантированной технической поддержкой, мультивендорностью, развитием функциональности под требования заказчиков. В версии 0.8 была добавлена поддержка TACACS+, теперь NAICE может выступать как сервер управления доступом к сетевому оборудованию.
Присоединяйтесь к нашему техническому вебинару 29 апреля в 10:00 (МСК) и узнайте всё о новом функционале в системе.
Что будет:
• Демонстрация установки NAICE и настройки TACACS+
• Возможности TACACS+ в NAICE: политики доступа, авторизации команд, интеграции с AD и др.
• Примеры на реальном оборудовании
• Ответы на вопросы от экспертов Eltex
• Лицензирование NAICE и функционала TACACS+
Вебинар будет полезен техническим специалистам, отвечающим за сетевую инфраструктуру и безопасность.
Зарегистрируйтесь, чтобы не пропустить.
Реклама. ООО "ПРЕДПРИЯТИЕ "ЭЛТЕКС". ИНН 5410108110. erid: 2W5zFJYtkeC
Deckhouse — разработчик лидирующей платформы контейнеризации — проводит свой первый инженерный митап: Deckhouse User Community.
Когда: 20 мая, сбор гостей с 18:15, начало в 19:00 (мск)
Где: в Москве и онлайн.
Для кого: DevOps-инженеры, SRE, сисадмины и платформенные разработчики.
О чём: работа Cilium и распределённый инференс LLM с K8s в домашних условиях.
Сколько стоит: бесплатно, но регистрация обязательна — на такое событие рекомендуем поторопиться с бронью места.
Зарегистрироваться на DUC
SFTP как точка отказа: когда libssh зависает при логине из-за отсутствия энтропии
На слабых VPS, embedded-хостах и в dev-контейнерах можно столкнуться с неожиданной проблемой: sftp (через libssh) виснет при подключении.
Никаких логов, таймаутов, ошибок. Просто «залипло».
cat /proc/sys/kernel/random/entropy_avail
apt install haveged
systemctl enable --now haveged
LD_PRELOAD=./fake-random.so sftp user@host
Когда ICMP нужен: как его отсутствие ломает MSS и PMTU discovery
Во многих инфраструктурах ICMP считают «ненужным» и отрубaют его на периметре — мол, безопасность, чтобы никто не пинговал.
В результате получаем баги, которые тяжело отлаживать: от медленного SSH до обрыва TLS.
ip link | grep mtu
ip route get <dst>
ping -M do -s 1472 <dst> # для MTU 1500 с учетом IP+ICMP
tcpdump -i eth0 icmp or tcp port 443
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu
sysctl net.ipv4.ip_no_pmtu_disc
Когда conntrack не спасает: потерянные state’ы при NAT failover
Вы строите отказоустойчивую NAT-схему с двумя Linux-хостами. На обоих — iptables с маскарадингом, conntrack и failover через VRRP (например, с keepalived).
Всё выглядит нормально — пока один узел не уходит в оффлайн. После этого все существующие подключения падают, хотя fallback сработал, IP переехал, и сервис вроде доступен.
conntrack -L | grep 192.168.0.100
conntrack -E | grep [ip-источника]
tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0'
Sync {
Mode FTFW {
...
}
}conntrack -L > /var/lib/conntrack.backup
conntrack -I < /var/lib/conntrack.backup
ARP flux и виртуализация: когда Linux отвечает не с того интерфейса
Что это вообще за баг?
Виртуалки, бонды, VRRP, несколько интерфейсов на одном хосте — классическая среда для ловли ARP flux.
Это ситуация, когда ядро Linux отвечает на ARP-запрос не с того интерфейса, на который он пришёл.
Вроде мелочь, но внезапно: неправильный MAC, рушится failover, свитчи запоминают неправильные порты, и начинается магия.
# Запретить ядру отвечать на ARP-запросы с не того интерфейса
echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_filter
echo 1 > /proc/sys/net/ipv4/conf/eth1/arp_filter
tcpdump -i any arp and ether src host <mac вашего сервера>
MTU + TSO/GSO/UDP: когда пакеты разваливаются на границе VxLAN
VxLAN, jumbo frames и offload-механизмы вроде TSO/GSO — отличная штука, пока всё работает.
ip link show dev eth0
ethtool -k eth0 | grep -i 'tcp-segmentation-offload'
ethtool -k vxlan100
ethtool -K vxlan100 gso off
sysctl net.core.netdev_max_backlog
sysctl net.ipv4.udp_rmem_min
Как TCP slow start ломает API-gateway после простоя
Когда API-шлюз долго простаивает, первый клиент после “засыпания” получает неприятный бонус — повышенную задержку.
Особенно это видно на малых payload: TCP начинает с минимального окна, передаёт несколько MSS, ждёт ACK… и только потом разгоняется.
sysctl -w net.ipv4.tcp_notsent_lowat=4096
VRF и network namespaces: как изолировать сети внутри одного Linux
Всё больше инфраструктуры собирается внутри одного хоста: контейнеры, сервисы, изолированные агенты.
Но как сделать так, чтобы они не пересекались по сети? Чтобы у них были свои маршруты, DNS и iptables, без влияния на хост?
ip link add vrf-red type vrf table 1001
ip link set vrf-red up
ip link set eth1 master vrf-red
ip route add table 1001 default via 10.0.0.1 dev eth1
ip netns add red
ip link add veth0 type veth peer name veth1
ip link set veth1 netns red
ip netns exec red ip addr add 192.168.1.1/24 dev veth1
ip netns exec red ip link set veth1 up
ip netns exec red ip route add default via 192.168.1.254
Network namespaces дают полную изоляцию — особенно полезны для контейнеров, VPN, демонов и перехвата трафика.
Когда iptables -F — плохая идея
Многие админы по привычке делают iptables -F, чтобы быстро сбросить правила.
Но в некоторых ситуациях это может сломать прод, отключить удалённый доступ или уничтожить артефакты после атаки.
1️⃣Потеря контроля
Если сервер находится в облаке и вы подключены по SSH, iptables -F может сбросить правило, разрешающее ваш IP, и вы потеряете доступ. Особенно если default policy = DROP.
Как избежать:
Перед flush — сначала добавьте разрешающие правила.
iptables -I INPUT -s <ваш_IP> -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "DROP "
iptables -N MYRULES
iptables -A INPUT -j MYRULES
# и чистите только их: iptables -F MYRULES
Дорога до вуза, задания, встречи с друзьями...Где найти энергию на все? 🤯
Lamoda поможет не тратить силы на лишнее — работай удаленно или в гибридном формате на новой оплачиваемой стажировке! 😎
Подавай заявку до 16 мая, чтобы воспользоваться и другими комфортными условиями: 👇
— зарплатой 90 000 или 65 000 рублей в зависимости от направления
— гибким графиком: работай от 30 часов в неделю
— полезными бенефитами: ДМС для экстренных случаев, корпоративными скидками, обучением и другим
— карьерными перспективами: ты сможешь остаться в штате Lamoda
Переходи на сайт — там ты найдешь еще больше крутых преимуществ работы в Lamoda! https://vk.cc/cLCvWO?erid=2W5zFHoSv8p
⚙️ Используй майские праздники наилучшим образом!
Изучай новые технологии или закрой пробелы в знаниях по своему стеку.
🤩 Admin Books – техническая литература для сетевых и системных администраторов и ИБ специалистов.
Ссылка для своих: /channel/+oiJ6xSEDw30wNDE6
Почему Wi-Fi режет ICMP, но TCP работает
Wi-Fi часто становится причиной загадочных «отвалов» мониторинга, когда ping перестаёт отвечать, но веб-сервер, SSH и другие TCP-сервисы продолжают работать.
ICMP-пакеты (ping) — это не приоритетный трафик. Многие точки доступа, особенно SOHO и корпоративные, дропают ICMP, если канал перегружен.
# Отправляем пинги через Wi-Fi
ping -i 0.2 -s 1000 192.168.1.1
curl -m 5 http://192.168.1.1
tcpdump -i wlan0 icmp or tcp port 80
Split DNS на практике: от настройки к отладке
Часть 2
Split DNS часто выглядит просто на бумаге, но на практике вызывает сюрпризы: то внешние домены резолвятся через внутренний DNS, то наоборот — VPN-клиент затирает resolv.conf, а Windows всё делает по-своему. Вот как довести схему до рабочего состояния.
1️⃣Проверяем порядок DNS-резолвинга
На Linux используйте resolvectl или systemd-resolve --status, чтобы убедиться, какие DNS-сервера реально применяются для интерфейсов VPN и основного:
resolvectl status
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
dig @192.168.1.1 example.local
Как stateful firewall ломает VoIP NAT: conntrack, sip-helper и ALG под капотом
VoIP через NAT — это боль. Даже если вы пробросили нужные порты и открыли RTP, звонки могут не работать.
Причина — stateful firewall и особенности его работы с динамическими протоколами.
conntrack -L | grep sip
modprobe -r nf_conntrack_sip
Huawei VRP. Часть 2: передача файлов, удаление и установка ПО
Продолжаем работу с CLI на оборудовании Huawei. В этой части — как загрузить или скачать файлы по TFTP/FTP, удалить ненужное и установить новую прошивку.
Передача файлов через TFTP
Простейший способ передать файлы — через TFTP-сервер. На ПК можно использовать tftpd32 или встроенный сервер в Linux.
На Huawei VRP:
tftp 192.168.0.10 get vrpcfg.zip
tftp 192.168.0.10 put vrpcfg.zip
ftp 192.168.0.10
get vrpcfg.zip
put backup/vrpcfgbak.zip
delete vrpcfg.zip
rmdir backup
dir
vrp-basic.cc
startup system-software vrp-basic.cc
startup saved-configuration vrpcfg.zip
display startup
rebootЧитать полностью…
Huawei VRP. Часть 1: Telnet и файловая система вживую
В этом посте разбираемся, как удалённо зайти на оборудование Huawei по Telnet, проверить состояние устройства и поработать с его файловой системой. Всё — через CLI.
Подключение через Telnet
По умолчанию Telnet работает на порту 23. На Huawei VRP устройство может быть и сервером, и клиентом Telnet. В простом сценарии с ПК на Windows можно подключиться так:
telnet 10.137.217.177
<Huawei>
dir
mkdir backup
copy vrpcfg.zip backup/vrpcfgbak.zip
cd backup
dir
✅ Имба: в сети обнаружили мегашпаргалку с самыми полезными нейросетями на все случаи жизни.
Сохраняем самое крутое:
🤩Claude 3.7 Sonnet — мастхев для программистов
🤩Same New — быстрая копия интерфейса сайта
🤩Openrouter — доступ ко всем ИИ
🤩Suno AI — своя музыка с нейросетью
Подпишись и находи для себя крутые нейросети бесплатно: /channel/+pn8vPUiMNWw4MWJi
💰Вопрос безопасности в разработке становится всё более актуальным. Но как обосновать инвестиции в безопасность для бизнеса? Как оценить её финансовую сторону?
🗓Открытый вебинар 23 апреля в 20:00 мск даст ответы на самые важные вопросы. Мы расскажем, как сэкономить на долгосрочных потерях, внедряя эффективные меры безопасности с самого начала разработки.
🧑💻Спикер Максим Чащин — директор по информационной безопасности в ГК «Девелоника».
Вы узнаете, сколько стоит устранение уязвимостей, как принцип «shift left» влияет на итоговую производительность и как измерять эффективность мер безопасности. Это поможет вам убедить руководство инвестировать в безопасность на всех уровнях разработки.
👉Присоединяйтесь к открытому уроку и получите скидку на большое обучение «Внедрение и работа в DevSecOps»: https://otus.pw/L8gYc/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
🔍 Больше, чем Kafka — для тех, кто не хочет терять контроль
Чем сложнее инфраструктура, тем выше риски. Kafka запускается быстро, но требует постоянного внимания и ресурсов: кластеры, ZooKeeper, ручное масштабирование — всё это вы и так знаете.
YDB Topics — альтернатива, созданная для тех, кто привык держать всё под контролем. Это брокер сообщений, встроенный в базу данных, с транзакциями между топиками и таблицами, отказоустойчивостью по умолчанию и без лишнего зоопарка сервисов.
🕛 23 апреля в 12:00 - вебинар не просто про продукт, а про философию: надёжность — не "фича", а норма.
23 апреля встречаемся на хардкорном митапе «Метрокластер на отечественном»
Что в программе?
▪️Разбор архитектуры и нюансов технологии метрокластера, особенностей проектирования и реализации
▪️Live-demo работы решения на отечественном оборудовании и ПО
Вы увидите, как ведет себя прикладное ПО при выходе из строя отдельных компонентов кластера и продуктивной площадки целиком.
В составе стенда два набора оборудования:
▪️СХД Аэродиск
▪️Сервер виртуализации Aquarius под управлением zVirt
▪️Коммутатор Qtech
и один набор ПО:
▪️СУБД Postgres Pro под синтетической нагрузкой
▪️Платформа анализа данных Visiology с рабочим местом администратора и руководителя ИТ-инфраструктуры и панелью по анализу данных
Между двумя площадками эмулируется расстояние 60 км. Отслеживать состояние комплекса будет система мониторинга «Пульт».
🗓 Когда?
23 апреля, 16:00
✅ Регистрация
🔌 Нужно железо без лишних вопросов?
Когда хочется развернуть проект быстро и без лишней зависимости от соседей по хостингу — можно взять BareMetal от Yandex Cloud. Это физический сервер под вашу задачу: ставите нужную ОС, свою виртуализацию, подключаетесь через SSH, KVM или API.
Плюс готовая интеграция с облаком: можно распределять нагрузку между выделенными серверами и облачной инфраструктурой. Всё изолировано, размещено в дата-центрах в РФ, безопасность по стандартам. Поддержка — 24/7, если что, помогут.
Попробовать BareMetal и подобрать нужную конфигурацию можно тут. Всё быстро, понятно и без лишних движений.
Прокачай свои навыки Kubernetes
Kubernetes — это мощь. Но по-настоящему он раскрывается в руках тех, кто знает, как с ним обращаться.
Хотите уверенно управлять кластерами, настраивать сеть, разруливать инциденты и держать инфраструктуру под контролем? ➡️Тогда вам на курс «Kubernetes Мега» от Слёрма.
На обучении вы:
👉 Освоите перенос продукта на Kubernetes
👉 Научитесь разворачивать отказоустойчивые кластеры
👉 Ускорите траблшутинг и будете решать инциденты как профи
👉 Повысите стабильность и безопасность инфраструктуры
👉 Настроите автоматическую ротацию сертификатов, автодеплой и защищённое хранение секретов
Это не просто курс. Это путь к профессиональному уровню в K8s.
Старт — 21 апреля, вы как раз успеваете!
Посмотрите программу и забронируйте место ➡️ по ссылке
#реклама
О рекламодателе
erid: 2W5zFJJ5t3J