2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Ещё один инструмент агрегатор - bgp.tools, в котором собрана информация по ASn и префиксам. Может whois, карту отношений upstreams/downstreams, статусы RPKI, членство в IX. Если данных хватит, то и скриншот с заглавной странички сайта владельца покажет.
Получил сегодня почтовую рассылку и даже не знаю как прокомментировать, но очень хочется поделиться с вами той заботой которую мне предлагает mail.ru. Рекомендацией я, конечно, не воспользуюсь.
Сторонние приложения это:
"Например, Microsoft Outlook, Spark, стандартная почта на iOS или Android и другие."
Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий:
"Главное — откройте настройки почтового приложения и отключите там аккаунт Mail.ru."
Мы недавно писали про настройку VyOS с нуля, может даже не один раз. Не могу скрыть своего интереса к данной системе, которая используется у меня в качестве домашнего роутера. Тем кто знаком с сетями и настройками каких-либо других сетевых устройств, разобраться труда не составит - всё должно быть знакомо и понятно. Но на всякий случай ещё одна серия статей про настройку.
Те кто делает резервные копии каждый день или раз в неделю - те молодцы. Те кто проверяет свои копии восстанавливая их - красавцы. Сегодня надо делать как всегда, потому что сегодня День резервного копирования.
Те кто про свои бэкапы вспоминает только в этот день - не надо так. Это всё ещё не просто, это всё ещё требует усилий, но это именно та возможность которую не стоит упускать.
Всегда полезно повторить про STP, потому что ошибок здесь не прощают. Подробно, на 12 страниц в PDF, только про PortFast, BPDU Filter и BPDU Guard. Чем надо обязательно пользоваться если STP включен.
Вот так выглядят живые сети, а если пытаться повторять кабель-порно, то можно что-то и вывихнуть ненароком :). С другой стороны - не стоит уж совсем расслабляться.
Читать полностью…
И выбирая путь автоматизации, точнее место программиста на этом пути не забывайте про основы, и те многие и многие шишки набитые поколениями до нас.
Читать полностью…
Пока многие из вас спят, а я нет. 23 марта 18:00 UTC опубликовано RFC8996, которое формально запрещает использование TLSv1.0 и 1.1. Не используйте, даже несмотря на то, что это всего лишь RFC.
Самое главное в процессе отладки - придерживаться выбранного метода, стратегии, тактики. Педантично и досконально, по другому не работает. Например, можно двигаться снизу вверх по уровням OSI ничего не пропуская.
Path MTU discovery сломан в Интернет и сломан основательно, просто потому что в большинстве случаев вы не дождётесь нужного ICMP и уже не важно является ли это намеренным действием, опечаткой, незнанием, особенность подхода который применяется. Это данность. И единственный выход сделать хорошо для многих, но не для всех - это экспериментируя с TCP MSS и MTU на своей стороне, пытаясь найти баланс.
Утилита, которая пытается справится с этой проблемой в конкретном архитектурном решении балансировки в дата центрах, основываясь на информационном черновике IETF. Почитайте его обязательно, там, как раз, есть и про костыли TCP MSS. Cloudflare делал подобную реализацию несколько лет назад для одного Ethernet сегмента, эта утилита чуть более универсальная. В любом случае, Cloudflare реалисты и тоже играют в игру угадай нужное MTU.
За ссылку огромное спасибо нашему подписчику, очень рад что не забываете про меня. Спасибо.
Список информационных команд для JunOS: интерфейсы, логи, время, маршрутная информация, утилизация - всё что может помочь собрать и сравнить со штатным рабочим состоянием.
Читать полностью…
Этот вечный вопрос курицы и яйца, на этот раз для современного подхода к сетям. Мы хотим избавиться от ручного конфигурирования устройств и вообще от устройств, а рассматривать сеть как единое целое, задавая высокоуровневые параметры (намерения), а всё остальное за нас сделает автоматика. Для этого надо написать спецификацию того чего мы хотим и формализовать свою сеть. А если у нас уже есть сеть? Тогда мы можем эту спецификацию построить по текущей сети, автоматически. Главное при этом не притащить с собой старые подходы и вовремя остановиться в этом цикле.
Читать полностью…
Генератор XDP программы из правил FlowSpec, если вам это действительно нужно или надо с чего-то начать. По сути это законченное решение, не забываем что нужен будет ещё C компилятор, предлагается использовать clang, со всеми нужными зависимостями. Поставщик flowspec - вывод birdc.
Yandex.Cloud сделали иконочки для своих сервисов. А почитать на какой сети это всё построено, можно в свежей статье на Habr, больше про путь, нежели технические детали.
Читать полностью…
И если мы уж недавно вспоминали про PMTU discovery, давайте погрузимся чуть глубже и посмотрим как это работает на хостах, для IPv6 это ещё более важно. Немного теории и что можно проверить на Windows/Linux и при необходимости подкрутить на Linux.
Если пропустили большую драму, а может трагикомедию на этой неделе CVE-2021-28918 - читайте на opennet или тут и по ссылочкам из статей пройтись можно.
А суть в неверном толковании представления IPv4 адресов. Ну никак сегодня не воспринимается, что '0177' это число в восмеричной системе счисления, потому что об этом говорит '0' в самом начале. Когда-то, это было очевидно всем (лет 20-30 назад), даже если не очевидно, то почти все пользовались как минимум одной и той же libc. Сейчас это искусственная вещь, настолько искусственная что приводит как раз к таким драмам. Классический пример водораздела "старого" и "нового".
Если пропустили для себя ERSPAN, то обязательно поищите такую возможность на своих устройствах, есть не везде. Идеально заменяет RSPAN без возни с виланами, позволяя отправлять трафик поверх IP сети упаковывая его в GRE. Можно прямо в нужный сервер отдавать или на снифер. Но можно поймать на удалённом поддерживаемом устройстве и перенаправить в нужный порт убрав лишние заголовки.
Только будьте внимательны при настройке destination session, где source address - это не адрес соседнего хоста источника, а ваш собственный локальный адрес на который приходит трафик с удалённого хоста, он должен совпадать с тем что настроен для source session.
Если вы настраиваете настоящий stateful firewall, что я например делал совсем не часто, сейчас чаще, то обязательно озаботьтесь параметрами жизни сессий и всеми граничными значениями. С NAT я в своё время набил достаточно шишек, чтобы времена жизни трансляций выкручивать в очень агрессивной манере, а с Juniper SRX попался на очень долгие заданные по умолчанию времена жизни сессий. Не пропускайте этот момент и добавьте также early-ageout, если место под сессии кончится, это позволит выжить.
OSPFv3 и IPv6 соответственно, в базовой настройке с объяснениями от маршрутизации до хостов. Затрагивается довольно много специфичных моментов дизайна, но в то же время не привязанных к вендору, несмотря на то что сеть строится на Aruba. Но в целом, ещё раз повторюсь, это пример с базовыми настройками.
Читать полностью…
Whois к РАНР (реестр адресно-номерных ресурсов сети Интернет) - https://w.ranr.noc.gov.ru, можно и из консоли whois -h. Теоретически должно находить все ресурсы Интернет в российской принадлежности.
Работавшим с Whois RIPEDB должно быть знакомо.
Что есть что в автоматизации сетей - перечисление, с тезисным описанием, технологий, инструментов, подходов. Я бы рекомендовал с этого начинать, чтобы охватить картину целиком.
Читать полностью…
А это уже про стратегию. Как быть уверенным в своей сети настолько, чтобы не растеряться и знать что ответить на вопрос: "Моё приложение не работает, может дело в сети?"
Читать полностью…
Своеобразная реализация a'la Port knocking - ShieldWall. Заходим на веб интерфейс, открываем себе доступ, попадаем на ресурс. Не знаю, может удобно, я себе делал просто на iptables/ipset, в текущем виде это точно не лучше.
Забираем на Github и обязательно поднимаем свой сервер для управления.
DoH в dig 9.17.11. Сервер был чуть раньше. DoT ещё раньше.
И ещё из блога APNIC: 50 летняя история развития архитектуры маршрутизаторов - выученные и ещё не выученные уроки.
Читать полностью…
DNS over TLS пока всё ещё не очень. Помимо этого в работе представлена интересная статистика и по обычным широко известным провайдерам публичных DNS, включая Yandex DNS - надёжности и задержкам. Делаем скидку на распространение RIPE Atlas по миру, не на каждом континенте их одинаково много.
Читать полностью…
