12610
Обучающий канал по сетевому и системному администрированию. Сотрудничество: @dad_admin Биржа: https://telega.in/c/networkadm РКН: https://bit.ly/4ioc61C
Как организовать mesh-сеть на базе batman-adv и других Linux-протоколов
Mesh-сети — это децентрализованные сети, в которых узлы напрямую связаны друг с другом, создавая устойчивую и самовосстанавливающуюся структуру.
Они востребованы в IoT, удалённых офисах и местах с ограниченной инфраструктурой.
Что такое batman-adv?
batman-adv (Better Approach To Mobile Adhoc Networking — advanced) — это протокол маршрутизации на уровне канального слоя (L2), встроенный в ядро Linux.
ip link set wlan0 down
iw dev wlan0 set type adhoc
ip link set wlan0 up
iw dev wlan0 ibss join mesh-network 2412
modprobe batman-adv
ip link add bat0 type batadv
ip link set wlan0 master bat0
ip link set bat0 up
ip addr add 192.168.50.1/24 dev bat0
Летний лагерь по Ansible 📚
Мы научим вас работать с Ansible, чтобы вы смогли настроить автоматизацию, упростить командную работу, масштабировать в одно касание и экономить время.
Это не просто курс, а интерактивный летний лагерь. В нем вас ждет не только освоение Ansible, но и:
🔸 разбор реальных кейсов из вашей работы;
🔸 обмен опытом с единомышленниками в нетворкинг-чате;
🔸 сореванования с другими участниками;
🔸 истории спикеров курса об их рабочих факапах и о том, как они их решали.
Доп. бонус к программе: мощный технический воркшоп «Использование ИИ в работе» с экспертом 🎁
Запускаем только один поток обучения в подобном формате. Старт 21 июля.
Успевайте! Все подробности тут ⬅️
L3 Anycast на базе Linux: отказоустойчивость и load-balancing без оборудования
Anycast — это метод маршрутизации, при котором один и тот же IP-адрес назначается на несколько узлов, и запросы от клиентов приходят к ближайшему (по маршрутам) экземпляру.
Используется в:
• DNS-серверах (Cloudflare, Google DNS)
• CDN
• отказоустойчивых API и ingress точках
Всё это можно реализовать на обычных Linux-серверах, если есть доступ к BGP или OSPF.
Как это работает
1️⃣Несколько серверов имеют одинаковый IP на loopback-интерфейсе
2️⃣С этого интерфейса идёт ответ — как будто IP “реально” принадлежит узлу
3️⃣Соседнее оборудование (роутеры) определяет ближайший путь до IP
4️⃣При падении узла маршрут до него пропадает — запросы идут к другим
Настройка Anycast с BGP + Linux
Настраиваем loopback-интерфейс:
ip addr add 203.0.113.100/32 dev lo
ip link set dev lo up
sudo apt install frr
vtysh
# Пример:
conf t
router bgp 65001
bgp router-id 1.1.1.1
neighbor 10.0.0.1 remote-as 65000
!
address-family ipv4 unicast
network 203.0.113.100/32
exit-address-family
exit
VLAN через Wi-Fi: возможно ли и стоит ли
Использование VLAN поверх Wi-Fi кажется логичным — если на кабеле работает, почему бы не на радиоканале?
🚀 Станьте C++ разработчиком и откройте для себя новые возможности в IT.
Актуальное обучение от OTUS — это ваш старт в масштабную разработку на современном подмножестве C++!
👨💻 На курсе вы освоите все ключевые аспекты разработки на C++ — от основ синтаксиса до идиом и паттернов языка, продвинутой многопоточности и работы с базами данных Мы подготовим вас для работы с высоконагруженными приложениями, IoT-устройствами и сложными проектами.
⚡️ Изучите C++ с нуля и пройдите два этапа обучения: от Junior до Middle Developer. Реальные кейсы, лучшие практики и советы экспертов помогут вам освоить язык и уверенно претендовать на востребованные позиции.
❗️ Запись на курс закрывается! Оставьте заявку и получите скидку на обучение по промокоду CPPspec_6: https://otus.pw/aqGL/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
❓Стек сетевых протоколов кажется лабиринтом, а при первой проблеме вы теряетесь в утилитах?
👉 На открытом вебинаре «Стек сетевых протоколов и с чем его едят. На примере TCP/IP.» 2 июля в 20:00 МСК мы разберём:
- Рассмотрим основы стека сетевых протоколов.
- Узнаем, как реализуется стек сетевых протоколов.
- На практике поработаем с сетевыми утилитами на хосте.
В результате вебинара:
- Сможете разобраться, как именно работает стек сетевых протоколов
- Сможете на практике использовать сетевые утилиты на хосте для отладки сетей.
⭐️ Урок проходит в преддверии старта курса «Network engineer. Basic».
👉 Регистрируйтесь для участия: https://otus.pw/lUpHu/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Настройка DHCP Snooping и Dynamic ARP Inspection на Cisco
DHCP Snooping и Dynamic ARP Inspection (DAI) — это функции безопасности, которые защищают вашу сеть от атак, таких как подмена DHCP-сервера и Man-in-The-Middle атаки.
Кратко о том, что используем:
• DHCP Snooping защищает от подмены DHCP-сервера, разрешая только доверенным портам передавать DHCP-ответы.
• DAI предотвращает атаки, где злоумышленник подделывает ARP-запросы и может перенаправлять трафик через своё устройство.
Настройка DHCP Snooping и DAI:
1️⃣Настройка интерфейсов с ограничением скорости пакетов: Устанавливаем лимиты пакетов для недоверенных интерфейсов:
AccSwitch#conf t
AccSwitch(config)#int ra gi1/0/1-46
AccSwitch(config-if-range)#ip dhcp snooping limit rate 15
AccSwitch(config-if-range)#ip arp inspection limit rate 100
AccSwitch(config)#int ra gi1/0/47-48
AccSwitch(config-if-range)#ip dhcp snooping trust
AccSwitch(config-if-range)#ip arp inspection trust
AccSwitch(config)#ip dhcp snooping
AccSwitch(config)#ip dhcp snooping vlan 200
AccSwitch(config)#no ip dhcp snooping information option
AccSwitch(config)# arp access-list DAI
AccSwitch(config-arp-nacl)# permit ip host 192.168.200.25 mac host 0017.6111.a309
AccSwitch(config)#ip source binding 0017.6111.a309 vlan 200 192.168.200.14 interface Gi1/0/5
AccSwitch(config)#ip verify source
AccSwitch(config)#ip arp inspection vlan 200
Используем ipset для управления большими списками IP
В Linux iptables — стандарт для фильтрации трафика. Но когда нужно работать с очень большими списками IP (например, блокировать тысячи адресов), простое добавление правил в iptables становится неэффективным: таблицы растут, производительность падает, администрирование усложняется.
Решение — ipset: это специальный механизм ядра Linux для хранения наборов IP-адресов, сетей, портов и прочих объектов. iptables может ссылаться на ipset, и проверка происходит на уровне ядра очень быстро.
Создаём ipset для хранения IP-адресов
ipset create blacklist hash:ip hashsize 4096
ipset add blacklist 203.0.113.10
ipset add blacklist 198.51.100.0/24
iptables -I INPUT -m set --match-set blacklist src -j DROP
ipset list blacklist
Выведет все IP, которые в наборе.
5. Удаляем IP из набора
ipset del blacklist 203.0.113.10
Изменения происходят без необходимости трогать iptables.
6. Сохраняем и восстанавливаем наборы ipset
Для сохранения:
ipset save > /etc/ipset.conf
Для восстановления (например, при загрузке системы):
ipset restore < /etc/ipset.conf
Расширенные возможности
⏺
Типы наборов:
hash:net, hash:ip,port, bitmap:ip, list:set (вложенные наборы) и др.
⏺
Использование с nftables:
ipset можно использовать и там
⏺
Динамическое обновление списков:
можно писать скрипты, которые регулярно подтягивают списки IP из внешних источников и обновляют ipset.
⏺
Списки с TTL:
можно создавать наборы с временем жизни IP.
Пример: блокировка спам-ботов из внешнего списка
Получаем список IP из внешнего файла:
wget -O spamlist.txt https://example.com/spam-ips.txt
Очистим старый набор и создадим новый:
ipset destroy blacklist
ipset create blacklist hash:ip hashsize 4096
for ip in $(cat spamlist.txt); do
ipset add blacklist $ip
done
iptables -I INPUT -m set --match-set blacklist src -j DROP
Что происходит при ping 127.0.0.1: путь ICMP-пакета в loopback
ping 127.0.0.1 кажется банальной вещью, но под капотом — полноценный сетевой стек. Вот что происходит по шагам:
Сначала утилита ping создает RAW-сокет и формирует ICMP Echo Request. Пакет получает IP-адрес источника 127.0.0.1 и тот же адрес в качестве получателя.
Утилита ping ловит Echo Reply и выводит строку с временем RTT, даже если интерфейс lo отключен — это чисто внутренняя маршрутизация.
Сломана маршрутизация: удалена запись 127.0.0.0/8 dev lo — пакеты просто не найдут путь.
ip route get 127.0.0.1 — какая таблица маршрутов применяетсяiptables -L -v -n — проверка, не режется ли ICMPtcpdump -i lo icmp — убедиться, что пакеты доходятss -npi — посмотреть, что происходит с сокетом
ICMP redirects и безопасность: что они делают и почему их стоит отключить
ICMP Redirect — это механизм, при котором маршрутизатор может сообщить хосту, что есть более короткий маршрут до назначения через другой шлюз.
Казалось бы — удобно. Но на практике чаще всего это:
# Отключить приём и отправку redirect'ов:
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0
sysctl -w net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Прозрачный прокси без редиректов: как работает TPROXY и policy routing
Когда хочется завернуть весь трафик через локальный прокси — но без изменения приложений и без NAT’а, обычный iptables REDIRECT не подходит: он меняет адрес назначения, и приложение (например, mitmproxy, squid) теряет оригинальный IP и порт.
Для полноценной прозрачной проксизации с сохранением IP-адресов нужна связка:
• iptables mangle + TPROXY
• ip rule + policy routing
• SO_MARK и SO_BINDTODEVICE — чтобы приложение могло принимать такой трафик
Зачем вообще TPROXY
Классические REDIRECT’ы:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -t mangle -A PREROUTING -p tcp --dport 80 \
-j TPROXY --on-port 8080 --tproxy-mark 1
sysctl -w net.ipv4.ip_forward=1
echo "100 tproxy" >> /etc/iproute2/rt_tables
ip route add local 0.0.0.0/0 dev lo table tproxy
ip rule add fwmark 1 lookup tproxy
iptables -t mangle -N DIVERT
iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
iptables -t mangle -A DIVERT -j MARK --set-mark 1
iptables -t mangle -A DIVERT -j ACCEPT
iptables -t mangle -A PREROUTING -p tcp --dport 80 \
-j TPROXY --on-port 8080 --tproxy-mark 1
setcap cap_net_bind_service,cap_net_admin=eip $(which mitmproxy)
[Service]
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
SLAAC + RDNSS — автоматическая настройка IPv6 и DNS без DHCP
IPv6 позволяет полностью обойтись без DHCP-сервера — благодаря механизму SLAAC (Stateless Address Autoconfiguration).
Роутер рассылает объявления (Router Advertisement, RA) с сетевым префиксом, а устройства сами на его основе формируют свои IPv6-адреса.
Она позволяет в том же RA указать адреса DNS-серверов, которые клиенты будут использовать для разрешения имён.
Ethernet OAM: Инструменты управления сетью
Что такое Ethernet OAM?
Ethernet Operations, Administration, and Maintenance (OAM) — это набор механизмов, позволяющих отслеживать состояние сети, управлять соединениями и устранять неисправности. Ethernet OAM используется провайдерами и корпоративными сетями для обеспечения стабильности и высокого качества связи.
Типы OAM в Ethernet-сетях
1️⃣Link OAM (IEEE 802.3ah):
• Отслеживает состояние физического канала связи между двумя устройствами.
• Помогает обнаруживать разрывы, деградацию линка и другие аппаратные проблемы.
2️⃣ Service OAM (IEEE 802.1ag, ITU-T Y.1731):
• Управляет соединениями на уровне сервисов.
• Обеспечивает мониторинг целостности, производительности и диагностику проблем на уровне сети.
Функции Ethernet OAM
⏺Loopback: Удаленный узел отправляет ответ на тестовые пакеты, позволяя проверить доступность соединения.
⏺Continuity Check Messages (CCM): Периодические пакеты, проверяющие целостность связи между двумя точками.
⏺Performance Monitoring: Измеряет параметры качества сервиса (например, задержку, потерю пакетов, вариацию задержки).
⏺Fault Management: Выявляет и сигнализирует об ошибках в сети.
⏺Link Monitoring: Проверяет физическое состояние соединений (например, уровень сигнала или ошибки в кадрах).
Использование Service OAM
Допустим, клиент провайдера жалуется на низкую скорость соединения. С помощью OAM:
• Провайдер запускает тесты CCM, чтобы проверить доступность сети.
• Использует Delay Measurement для проверки задержки между узлами.
• Анализирует отчеты о потерях пакетов для выявления проблемных участков.
Результат: быстрое устранение проблемы с минимальным воздействием на других пользователей.
N.A. ℹ️ Help
Группы номеров портов
Разработка стандартов адресации, включая нумерацию портов, осуществляется Администрацией адресного пространства Интернета (IANA).
Порты идентифицируются 16-битными числами, что дает диапазон от 0 до 65535. IANA разделила эти порты на три группы:
1️⃣ Общеизвестные порты (0–1023):
Эти порты зарезервированы для популярных служб и приложений, таких как веб-браузеры и почтовые клиенты. Они позволяют клиентам легко идентифицировать требуемые сервисы.
2️⃣ Зарегистрированные порты (1024–49151):
Эти номера присваиваются IANA для конкретных приложений или процессов. Например, порт 1812 зарегистрирован за Cisco для использования с RADIUS-сервером.
3️⃣ Частные и динамические порты (49152–65535):
Также известные как временные порты, они назначаются клиентской ОС динамически при инициировании подключения к сервису. Эти порты используются для идентификации клиентского приложения во время обмена данными.
Общеизвестные порты и их приложения
• 20 TCP: Протокол передачи файлов (FTP) - Передача данных
• 21 TCP: Протокол передачи файлов (FTP) - Управление передачей
• 22 TCP: Secure Shell (SSH)
• 23 TCP: Telnet
• 25 TCP: Простой протокол передачи почты (SMTP)
• 53 UDP, TCP: Служба доменных имен (DNS)
• 67 UDP: Dynamic Host Configuration Protocol (DHCP) - Сервер
• 68 UDP: DHCP - Клиент
• 69 UDP: Простейший протокол передачи файлов (TFTP)
• 80 TCP: Протокол передачи гипертекста (HTTP)
• 110 TCP: Протокол почтового отделения (POP3)
• 143 TCP: Протокол доступа к сообщениям Интернета (IMAP)
• 161 UDP: Простой протокол управления сетью (SNMP)
• 443 TCP: Защищенный протокол передачи гипертекста (HTTPS)
⚡️Некоторые приложения используют как TCP, так и UDP, например, DNS. Для полного списка номеров портов и их приложений можно обратиться на веб-сайт IANA.
N.A. ℹ️ Help
Скрытая маршрутизация через lo: зачем отправлять трафик в себя
Интерфейс lo (loopback) — это не только 127.0.0.1 и localhost.
ip route add 10.10.10.10 dev lo
10.10.10.10 пойдёт в loopback. Если вы запустите сервер, слушающий этот IP, он будет получать такие пакеты:ip addr add 10.10.10.10/32 dev lo
nc -l 10.10.10.10 1234
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 \
-j DNAT --to-destination 10.10.10.10:1234
ip route add 198.51.100.0/24 dev lo
iptables -A INPUT -d 198.51.100.0/24 -j LOG --log-prefix "lo-drop: "
iptables -A INPUT -d 198.51.100.0/24 -j DROP
ip route add 172.16.99.99 dev lo
iptables -A INPUT -d 172.16.99.99 -j NFQUEUE --queue-num 0
Локальный DNS-кеш и зеркала пакетов: быстрая настройка и практика
Начнём с простого — настройка локального кеширующего DNS-сервера на базе dnsmasq. Он лёгкий и быстро настраивается.
Устанавливаем dnsmasq (пример для Debian/Ubuntu):
sudo apt update
sudo apt install dnsmasq
server=8.8.8.8
server=8.8.4.4
cache-size=1000
sudo systemctl restart dnsmasq
sudo systemctl status dnsmasq
sudo apt install apt-cacher-ng
Acquire::http::Proxy "http://<IP_сервера>:3142";
docker run -d -p 5000:5000 --restart=always --name registry-mirror \
-e REGISTRY_PROXY_REMOTEURL=https://registry-1.docker.io \
registry:2
{
"registry-mirrors": ["http://<IP_сервера>:5000"]
}
Быстрый DNS внутри сети: зачем нужен локальный кеш и как он помогает
В больших сетях корпоративные пользователи часто сталкиваются с задержками в резолвинге DNS, особенно если все запросы уходят на один внешний DNS-сервер или на удалённые DNS-провайдеры.
Это увеличивает время ожидания и нагрузку на сеть.
Для реализации можно использовать dnsmasq или unbound, которые легко конфигурируются и позволяют задавать правила кэширования, ограничивать время жизни записей (TTL) и фильтровать запросы.
Использование BPF/XDP для фильтрации и обработки пакетов на уровне ядра
eBPF (Extended Berkeley Packet Filter) — мощный механизм в Linux, позволяющий запускать пользовательский код прямо в ядре.
XDP (eXpress Data Path) — это технология на базе eBPF, которая даёт возможность перехватывать и обрабатывать сетевые пакеты максимально рано — ещё на этапе драйвера сетевой карты, обеспечивая минимальную задержку.
Что даёт eBPF/XDP?
⏺Фильтрация и блокировка пакетов с высокой производительностью, без перехода в пространство пользователя
⏺Возможность создавать сложные алгоритмы обработки пакетов (например, DDoS mitigation, load balancing)
⏺Сбор статистики и мониторинг сетевого трафика без значительной нагрузки
1️⃣ Проверяем поддержку ядром:
uname -r
grep CONFIG_BPF /boot/config-$(uname -r)
sudo apt install clang llvm libbpfcc-dev linux-headers-$(uname -r)
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>
SEC("xdp")
int xdp_prog_simple(struct xdp_md *ctx) {
// Логика фильтрации, например, блокируем пакеты с определённым IP
// Возвращаем XDP_DROP или XDP_PASS
return XDP_PASS;
}
char _license[] SEC("license") = "GPL";
sudo ip link set dev eth0 xdp obj xdp_prog_simple.o sec xdp
sudo bpftool net show
Диагностика нестабильного BGP: flap dampening, дебаг и симуляция через ExaBGP
BGP-сессия держится, но маршруты “прыгают” — то есть появляются, исчезают, снова появляются. Такое называют route flapping.
Причины:
– нестабильный апстрим
– неправильная redistrib
– ошибки конфигурации
– нестабильный маршрут через динамику IGP под BGP
1️⃣Проверяем статус соседства
vtysh -c "show ip bgp summary"
router bgp 65001
bgp dampening 15 750 2000 30
debug bgp updates
debug bgp neighbor-events
undebug all
ExaBGP:announce route 192.0.2.1/32 next-hop 10.0.0.1
withdraw route 192.0.2.1/32 next-hop 10.0.0.1
Split-horizon DNS: одна зона, разные ответы
Пример: api.example.com
• во внутренней сети → 10.0.0.10
• извне через интернет → 195.13.24.52
Применяется:
— в DMZ и корпоративных VPN
— в Kubernetes, когда нужен ingress снаружи и кластерный IP внутри
— в локальных тестовых сетях, чтобы не гонять трафик наружу
⏺Вариант 1: dnsmasq с разными адресами для одной зоны
# /etc/dnsmasq.conf
interface=eth0
local=/example.com/
address=/api.example.com/10.0.0.10
interface=eth1
address=/api.example.com/195.13.24.52
# /etc/bind/named.conf
acl "internal" {
10.0.0.0/8;
192.168.0.0/16;
};
view "internal" {
match-clients { internal; };
zone "example.com" {
type master;
file "/etc/bind/zones/internal.zone";
};
};
view "external" {
match-clients { any; };
zone "example.com" {
type master;
file "/etc/bind/zones/external.zone";
};
};
dig @127.0.0.1 api.example.com
Минимальное PXE-развёртывание Linux без Ansible и Kickstart
Когда нужно развернуть десятки машин в изолированной сети, но без тяжёлых систем — можно обойтись одним HTTP-сервером и iPXE.
Что потребуется:
– DHCP-сервер с опцией загрузки iPXE
– HTTP-сервер (nginx или простой python3 -m http.server)
– initrd, kernel и preseed.cfg
iPXE: запуск через BIOS/UEFI
DHCP-сервер (например, dnsmasq) должен выдавать клиентам undionly.kpxe или ipxe.efi в зависимости от режима загрузки.
# Пример для dnsmasq
dhcp-boot=undionly.kpxe
enable-tftp
tftp-root=/srv/tftp
#!ipxe
kernel http://192.168.0.1/boot/vmlinuz
initrd http://192.168.0.1/boot/initrd.gz
imgargs vmlinuz auto=true priority=critical preseed/url=http://192.168.0.1/preseed.cfg
boot
d-i debian-installer/locale string en_US
d-i netcfg/get_hostname string host-auto
d-i partman-auto/method string lvm
d-i passwd/root-password password toor
d-i passwd/root-password-again password toor
d-i pkgsel/include string openssh-server
/var/www/html/
├── boot/
│ ├── vmlinuz
│ └── initrd.gz
├── preseed.cfg
└── boot.ipxe
🖥 Станьте профессионалом в администрировании Windows с OTUS!
Хотите уверенно управлять инфраструктурой на базе Windows, автоматизировать рутинные задачи и повышать безопасность?
🔥Курс «Администратор Windows» поможет системным администраторам освоить на профессиональном уровне работу с Windows Server, Active Directory, PowerShell и многим другим.
Что вас ждёт:
▪️Глубокое понимание архитектуры Windows и Active Directory, включая настройку DNS, DHCP и групповых политик.
▪️Освоение PowerShell для автоматизации задач и управления инфраструктурой.
▪️Навыки настройки и управления средствами безопасности Windows, включая Windows Defender и брандмауэр.
Практические задания и проектная работа, позволяющие применить полученные знания в реальных условиях.
❗️Не пропустите:
В группу обучения набирается ограниченное количество мест. Оставьте заявку прямо сейчас и успейте занять место в группе по спеццене. Предварительно ознакомьтесь с программой курса.
👉Оставить заявку https://otus.pw/DHfb/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
🎥 Приглашаем на вебинар: Как учиться Linux: пошаговый план для будущего администратора
Вы узнаете:
— Как устроена типичная траектория освоения Linux для администратора
— Какие навыки нужно освоить в первую очередь, а что может подождать
— Где и как практиковаться, чтобы получить реальные навыки
— Какие инструменты, подходы и привычки помогают быстрее разобраться в системе
В результате вебинара вы:
— Сможете составить личный план изучения Linux
— Поймёте, на что обращать внимание в первую очередь и как не утонуть в деталях
— Научитесь выбирать подходящие инструменты и ресурсы для практики
— Получите советы, как сохранять мотивацию и отслеживать прогресс.
Этот урок проходит в преддверии старта курса «Administrator Linux. Basic». На курсе вас ждет: плавное погружение в Bash, настройка Nginx/Apache, Docker, MySQL, системы мониторинга Grafana и Prometheus.
👉 Успейте занять своё место: https://otus.pw/fErT/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
🔄 Обновления Windows: что должен знать администратор?
🔥 23 июня в 20:00 мск приглашаем на бесплатный вебинар «Обновления Windows: что должен знать администратор?»
Управление обновлениями — это не только про загрузку новых версий, но и про стабильность инфраструктуры.
Что вас ждёт:
– как устроен механизм обновлений в Windows 10/11 и Server,
– какие средства Windows можно использовать для настройки обновлений,
– как тестировать и откладывать обновления в корпоративной среде,
– какие риски возникают после обновлений и как их минимизировать.
📌 Убедитесь, что обновления работают на пользу инфраструктуре, а не наоборот.
👉 Регистрируйтесь по ссылке: https://otus.pw/uiyy/
Занятие приурочено к старту курса «Администратор Windows», где вы получите полные знания для управления инфраструктурой, настройкой обновлений и повышением безопасности рабочих станций и серверов.
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Микросервисы и VIP: как реализовать HA с использованием ipvs
Когда вам нужно распределение трафика, отказоустойчивость и стабильный VIP (Virtual IP) — не обязательно тянуть полноценный балансировщик вроде HAProxy или Keepalived.
Можно использовать встроенный в ядро Linux IPVS (IP Virtual Server) — мощный L4-балансировщик.
Работает в ядре, настраивается через ipvsadm или ipvsctl, и подходит для lightweight-сценариев с микросервисами или edge-нодами.
modprobe ip_vs_rr
sysctl -w net.ipv4.ip_forward=1
ip addr add 10.10.10.100/32 dev lo
ipvsadm -A -t 10.10.10.100:80 -s rr
ipvsadm -a -t 10.10.10.100:80 -r 127.0.0.1:8001 -m
ipvsadm -a -t 10.10.10.100:80 -r 127.0.0.1:8002 -m
ipvsadm -a -t 10.10.10.100:80 -r 127.0.0.1:8003 -m
ipvsadm -L -n
curl http://10.10.10.100
Настроим RDNSS в radvd для автоматической раздачи DNS по IPv6
Продолжаем тему SLAAC и RDNSS. Теперь — конкретный пример настройки на Linux-роутере с помощью демона radvd.
1. Установка radvd:
sudo apt install radvd
interface eth0 {
AdvSendAdvert on;
prefix 2001:db8:1::/64 {
AdvOnLink on;
AdvAutonomous on;
};
RDNSS 2001:4860:4860::8888 {
AdvRDNSSLifetime 600;
};
};sudo sysctl -w net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.forwarding=1
sudo systemctl restart radvd
resolvectl status
Нужно выкатить новую фичу, но нет уверенности, что всё пойдет как надо?
А еще…
🔻 Слабый мониторинг или его нет совсем.
🔻 Непонятно, почему система тормозит.
🔻 Клиенты жалуются на ошибки и долгое время ответа.
Знакомо? Приглашаем на онлайн-интенсив по Service mesh от Слёрм, на котором вы:
👉 решите реальные бизнес-кейсы;
👉 поймёте принцип работы и в будущем сможете применить знания на любом решении;
👉 научитесь искать причины проблем.
Даты проведения: 27-29 июня.
Спикеры:
– Александр Лукьянченко, руководитель юнита PaaS в Авито
– Виталий Лихачев, SRE в крупном голландском тревелтехе
– Георг Гаал, CTO AEnix
Специальные условия группам от 3-х человек.
👉 Программа и запись на интенсив по ссылке.
Как повысить сетевую безопасность облака?
18 июня | 12:00
Приходите на вебинар от Selectel для системных администраторов, сетевых и DevOps- инженеров.
На вебинаре расскажут:
- про решения и сервисы для организации сетевой безопасности,
- как настроить сетевую безопасность для веб-приложения и сегментировать сетевой контур.
Посмотреть программу и зарегистрироваться: https://slc.tl/dty7u
Чтобы не пропустить вебинар и узнавать о других мероприятиях, воркшопах и бесплатных курсах Selectel, подписывайтесь на @selectel_events
Реклама. АО «Селектел», ИНН 7810962785, ERID: 2VtzqvE9sjL
😒 ZeroDay — всё, что нужно хакеру
— Пентесты Wi-Fi, камер, сайтов
— OSINT и социальная инженерия
— Техники анонимности и обход слежки
— Сливы и разборы реальных утечек
— Инструменты: Metasploit, Nmap, Kali Linux
/channel/+HGYMHDvAef41YTAy
🔎 Ищете надёжное оборудование для мониторинга серверных комнат?
✔️ Обратите внимание на устройства NetPing
Компания с 2005 года разрабатывает и производит устройства для мониторинга и удаленного управления энергопитанием серверного оборудования.
🤝 Устройства NetPing будут полезны компаниям, которые используют IT-оборудование, инженерам и системным администраторам, сервисным компаниям и провайдерам, а также компаниям-интеграторам проектов IT-инфраструктуры.
Почему стоит обратить внимание на устройства NetPing?
✅ Собственная разработка и высокотехнологичное производство,
✅ Простота настройки и использования,
✅ Высокая надежность на протяжении многих лет,
✅ Непрерывный мониторинг ключевых параметров серверного оборудования и удаленное управление энергопитанием,
✅ Универсальные и легко интегрируются с существующей инфраструктурой.
⭐️ NetPing помогает IT-инфраструктуре работать стабильно и безопасно. 💪💻
#удаленноеуправление #серверныекомнаты #ITоборудование #системныеадминистраторы