Cобственные цепочки в iptables и брандмауэре Mikrotik. Практика.
В прошлой заметке говорили от том, для чего нужны собственные цепочки в брандмауэре, а сегодня посмотрим, как с ними работать на практике. Начнем с iptables.
Мы все привыкли к правилам вида:
И не задумываемся что означает -j перед действием, а обозначает он -–jump – переход. Это стандартное действие брандмауэра и переход может быть выполнен как на встроенную цель – ACCEPT, DROP и т.д., так и на пользовательскую цепочку.
Однако далеко не все коллеги, особенно начинающие знают о такой тонкости и поэтому для переходов мы советуем использовать полный синтаксис и писать -–jump, а не -j.
А мы перейдем к практической цели, допустим мы хотим выборочно фильтровать ICMP трафик, поэтому делать это в основной цепочке нет никакого смысла, и мы создадим свою собственную.
Первичный критерий отбора прост – весь ICMP трафик заворачиваем в собственную цепочку:
Затем добавляем правила в нашу новую цепочку, размещать мы их можем где хотим, имеет значение только порядок следования правил в цепочке. Это позволяет выделять такие блоки отдельно и тем самым увеличивать читабельность правил.
И уже в цепочке мы фильтруем правила по собственному усмотрению, в нашем примере мы разрешили эхо-запрос (тип 8, код 0) и эхо-ответ (тип 0, код 0).
Для Mikrotik все будет тоже самое, только с учетом синтаксиса ROS. Сначала заворачиваем весь интересующий нас трафик командой в свою цепочку:
А затем фильтруем его:
Обратите внимание, что последнее действие DROP мы выполняем без всяких критериев, потому как никакого другого трафика в нашей цепочке быть не может.
В прошлой заметке говорили от том, для чего нужны собственные цепочки в брандмауэре, а сегодня посмотрим, как с ними работать на практике. Начнем с iptables.
Мы все привыкли к правилам вида:
iptables -A INPUT -i ens33 -s 192.168.0.0/24 -j ACCEPT
И не задумываемся что означает -j перед действием, а обозначает он -–jump – переход. Это стандартное действие брандмауэра и переход может быть выполнен как на встроенную цель – ACCEPT, DROP и т.д., так и на пользовательскую цепочку.
Однако далеко не все коллеги, особенно начинающие знают о такой тонкости и поэтому для переходов мы советуем использовать полный синтаксис и писать -–jump, а не -j.
А мы перейдем к практической цели, допустим мы хотим выборочно фильтровать ICMP трафик, поэтому делать это в основной цепочке нет никакого смысла, и мы создадим свою собственную.
Первичный критерий отбора прост – весь ICMP трафик заворачиваем в собственную цепочку:
iptables -A INPUT -p icmp -–jump ICMP
Затем добавляем правила в нашу новую цепочку, размещать мы их можем где хотим, имеет значение только порядок следования правил в цепочке. Это позволяет выделять такие блоки отдельно и тем самым увеличивать читабельность правил.
iptables -A ICMP -p icmp --icmp-type 0/0 -j ACCEPT
iptables -A ICMP -p icmp --icmp-type 8/0 -j ACCEPT
…
iptables -A ICMP -j DROP
И уже в цепочке мы фильтруем правила по собственному усмотрению, в нашем примере мы разрешили эхо-запрос (тип 8, код 0) и эхо-ответ (тип 0, код 0).
Для Mikrotik все будет тоже самое, только с учетом синтаксиса ROS. Сначала заворачиваем весь интересующий нас трафик командой в свою цепочку:
add action=jump chain=input jump-target=ICMP protocol=icmp
А затем фильтруем его:
add action=accept chain=ICMP icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP icmp-options=8:0 protocol=icmp
…
add action=drop chain=ICMP
Обратите внимание, что последнее действие DROP мы выполняем без всяких критериев, потому как никакого другого трафика в нашей цепочке быть не может.
👍22❤1😱1🤮1
Клиент-серверная 1С. Структура
Вопросы и отзывы показывают, что многие коллеги слабо представляют себе устройство клиент-серверной 1С и взаимодействие между ее компонентами.
Начнем с сервера, он так и называется Сервер 1С:Предприятие и может работать как под Windows, так и в Linux. Рабочая инсталляция сервера называется Кластер серверов 1С, даже если экземпляр сервера один.
Впоследствии, для увеличения производительности, мы можем добавлять в кластер дополнительные рабочие сервера, и менеджер кластера будет распределять между ними нагрузку.
Также мы можем выносить на отдельные рабочие сервера дополнительные функции, например, сервер лицензирования.
Вся информация, с которой работает пользователь, а также код конфигурации (прикладного решения) хранятся в СУБД, в качестве которых чаще всего используется MS SQL или PostgreSQL.
Сразу хочется обратить внимание на то, что с СУБД взаимодействует исключительно сервер, клиенты доступа к серверу СУБД не имеют и напрямую в БД не обращаются. Более того, это прямо запрещено лицензионным соглашением 1С.
Вся информация из одной информационной базы 1С, включая конфигурацию, загруженные в нее отчеты, обработки и расширения хранится в одной базе данных СУБД. Т.е. вы можете выполнять полноценное копирование средствами СУБД и затем восстанавливать ИБ подобным образом.
Однако если вы лицензируете СУБД по количеству пользователей, то вам потребуется количество лицензий по числу реальных клиентских подключений.
Теперь перейдем к клиентам. Толстый клиент является устаревшим и современными конфигурациями не используется.
Его неприятной особенностью является то, что он все данные обрабатывает самостоятельно и сервер в этом случае будет для него просто посредником, который извлекает данные из СУБД, передает их клиенту и получив назад снова помещает в БД.
Для работы в таком режиме требуются широкие каналы и мощная рабочая станция, на которой запущен толстый клиент.
Сейчас в режиме толстого клиента работает только конфигуратор, но в эксплуатации еще могут быть устаревшие конфигурации на обычных формах, которые не умеют работать в ином режиме.
Основной вариант работы для современных конфигураций – это тонкий клиент. В этом случае задачи по извлечению и обработке данных ложатся на сервер, а клиент принимает только ввод пользователя и показывает ему результаты вычислений.
В дополнение к этому тонкий клиент самостоятельно обрабатывает введенные данные и выполняет простейшие вычисления, ради которых нет смысла обращаться к серверу. Например, пользователь изменил колонку цена, после чего тонкий клиент сам пересчитает колонку сумма.
Но любые действия по получению данных из СУБД и помещению их туда выполняет сервер, равно как и все основные тяжелые вычисления.
Благодаря этому тонкий клиент отлично работает даже на медленных каналах, включая мобильный интернет.
Он может подключаться к кластеру серверов как непосредственно, так и через веб-сервер. В серверном режиме веб-сервер просто проксирует запросы от тонкого клиента к кластеру серверов и непосредственных вычислений не производит.
Такой режим удобен для публикации баз наружу, в этом случае достаточно одного порта, который можно защитить SSL сертификатом и дополнительной парольной защитой.
Ну и наконец веб-клиент, работает в браузере и, по сути, мало чем отличается от тонкого клиента. Но в этом случае клиентом кластера серверов становится модуль веб-сервера и вся клиентская нагрузка ложиться на него, но она как правило невелика и особых проблем не составляет.
Единственной проблемой может стать выделение оперативной памяти, потому что после отключения веб-клиента его сеанс, а следовательно, и выделенная ему память, сохраняются в течении 20 минут.
Также веб-клиенту присущ ряд ограничений, а также у него своя схема лицензирования, поэтому использовать веб-клиент следует только тогда, когда использовать тонкий клиент невозможно.
Поэтому, проектируя соверменные схемы работы с 1С всегда исходите из использования тонкого клиента.
Вопросы и отзывы показывают, что многие коллеги слабо представляют себе устройство клиент-серверной 1С и взаимодействие между ее компонентами.
Начнем с сервера, он так и называется Сервер 1С:Предприятие и может работать как под Windows, так и в Linux. Рабочая инсталляция сервера называется Кластер серверов 1С, даже если экземпляр сервера один.
Впоследствии, для увеличения производительности, мы можем добавлять в кластер дополнительные рабочие сервера, и менеджер кластера будет распределять между ними нагрузку.
Также мы можем выносить на отдельные рабочие сервера дополнительные функции, например, сервер лицензирования.
Вся информация, с которой работает пользователь, а также код конфигурации (прикладного решения) хранятся в СУБД, в качестве которых чаще всего используется MS SQL или PostgreSQL.
Сразу хочется обратить внимание на то, что с СУБД взаимодействует исключительно сервер, клиенты доступа к серверу СУБД не имеют и напрямую в БД не обращаются. Более того, это прямо запрещено лицензионным соглашением 1С.
Вся информация из одной информационной базы 1С, включая конфигурацию, загруженные в нее отчеты, обработки и расширения хранится в одной базе данных СУБД. Т.е. вы можете выполнять полноценное копирование средствами СУБД и затем восстанавливать ИБ подобным образом.
Однако если вы лицензируете СУБД по количеству пользователей, то вам потребуется количество лицензий по числу реальных клиентских подключений.
Теперь перейдем к клиентам. Толстый клиент является устаревшим и современными конфигурациями не используется.
Его неприятной особенностью является то, что он все данные обрабатывает самостоятельно и сервер в этом случае будет для него просто посредником, который извлекает данные из СУБД, передает их клиенту и получив назад снова помещает в БД.
Для работы в таком режиме требуются широкие каналы и мощная рабочая станция, на которой запущен толстый клиент.
Сейчас в режиме толстого клиента работает только конфигуратор, но в эксплуатации еще могут быть устаревшие конфигурации на обычных формах, которые не умеют работать в ином режиме.
Основной вариант работы для современных конфигураций – это тонкий клиент. В этом случае задачи по извлечению и обработке данных ложатся на сервер, а клиент принимает только ввод пользователя и показывает ему результаты вычислений.
В дополнение к этому тонкий клиент самостоятельно обрабатывает введенные данные и выполняет простейшие вычисления, ради которых нет смысла обращаться к серверу. Например, пользователь изменил колонку цена, после чего тонкий клиент сам пересчитает колонку сумма.
Но любые действия по получению данных из СУБД и помещению их туда выполняет сервер, равно как и все основные тяжелые вычисления.
Благодаря этому тонкий клиент отлично работает даже на медленных каналах, включая мобильный интернет.
Он может подключаться к кластеру серверов как непосредственно, так и через веб-сервер. В серверном режиме веб-сервер просто проксирует запросы от тонкого клиента к кластеру серверов и непосредственных вычислений не производит.
Такой режим удобен для публикации баз наружу, в этом случае достаточно одного порта, который можно защитить SSL сертификатом и дополнительной парольной защитой.
Ну и наконец веб-клиент, работает в браузере и, по сути, мало чем отличается от тонкого клиента. Но в этом случае клиентом кластера серверов становится модуль веб-сервера и вся клиентская нагрузка ложиться на него, но она как правило невелика и особых проблем не составляет.
Единственной проблемой может стать выделение оперативной памяти, потому что после отключения веб-клиента его сеанс, а следовательно, и выделенная ему память, сохраняются в течении 20 минут.
Также веб-клиенту присущ ряд ограничений, а также у него своя схема лицензирования, поэтому использовать веб-клиент следует только тогда, когда использовать тонкий клиент невозможно.
Поэтому, проектируя соверменные схемы работы с 1С всегда исходите из использования тонкого клиента.
👍32❤8🥱2🤝1
Первый взгляд на Ninkear Мини-ПК Mbox11
Системы на базе Intel N100/150 пользуются заслуженной популярностью у пользователей. Этот процессор, точнее SoC содержит 4 энергоэффективных ядра последних поколений и обеспечивает производительность на уровне Core i5 4-го поколения при тепловом пакете до 25 Вт.
Intel N150 лежащий в основе Mbox11 имеет базовую частоту 0,8 ГГц с бустом до 3,6 ГГц и поддерживает до 16 ГБ DDR4 3200 или DDR5 4800 в одноканальном режиме.
Данные системы отлично закрывают нишу тонких клиентов, офисных ПК класса «печатная машинка», домашних серверов и даже домашних лабораторий. На N100/150 вполне нормально чувствует себя Proxmox, а производительности процессора хватает для задач дома или малого офиса.
В данном классе мы обычно приобретали устройства от DEXP или iRU, Irbis. Все это доступно в наших сетевых магазинах, продается с гарантией и основано на одной и той же аппаратной платформе.
А сейчас вот для одного заказчика остановились на Ninkear Mbox11, причина простая – надо было еще вчера, а все сетевые магазины раньше, чем через неделю не доставляли. Поэтому покупку совершили в официальном магазине бренда на OZON и получили мини-ПК уже через день.
Поменяли ли мы шило на мыло? Нет, что тут, что там производство одно – Китай и комплектующие везде плюс-минус одинаковы. А что касается гарантии, но на OZON сейчас даже проще, вы можете просто сдать товар без объяснений в первые 14 дней.
Мини-ПК небольшой, 100*100*33 мм, в пластиковом серо-серебристом корпусе. На передней панели два разъема USB 3, разъем аудио и кнопка включения. На задней RJ-45, HDMI, Display Port и 2 USB 2.
Разъемом немного, но в целом достаточно. Плюс-минус у всех одноклассников подобный набор. И в целом в общем ряду Mbox11 ничем таким не выделяется.
На борту Windows 11 Pro, лицензия зашита в BIOS, активируется и работает нормально. При первом запуске приготовьтесь качать и устанавливать обновления, что займет примерно около часа.
Из беспроводных коммуникаций имеется Wi-Fi 5 ( 802.11ac) и Bluetooth 5.0, последний позволяет подключить клавиатуру, мышку, колонки/наушники и сэкономить USB разъемы.
Лично мы железку не разбирали, поэтому фото будут из сети. Внутри классика жанра – китайские память и SATA SSD. Память – планка от Kinsotin 16 ГБ DDR4 2700, диск – неизвестный SATA SSD 512 ГБ на базе бюджетного SM2259XT2.
Все приблизительно тоже самое вы найдете в любой аналогичной коробочке. Так что тут ни удивляться, ни расстраиваться не стоит. Память и диск вы можете заменить.
А теперь тесты. Что нам понравилось – это система охлаждения, достаточно массивный радиатор и крупный вентилятор, который практически неслышно. Шуметь он начинает где-то ближе к 70 градусам, но шум мягкий, ненапрягающий.
Следует отметить, что DEXP или iRU обычно имеют в составе системы охлаждения турбину и шумят под нагрузкой гораздо более сильнее.
Тепловой пакет процессора в BIOS ограничен на уровне 15Вт и частот выше 2,9 ГГц вы не увидите, но поэтому процессор даже под сильной нагрузкой не выходит за пределы 77 градусов и вполне комфортен по уровню нагрева и шума.
В состоянии покоя температура держится на уровне 40-45 градусов, что для данного чипа нормально.
Тепловой пакет нельзя изменить, но можно просто отключить в BIOS лимит мощности. Также можно заменить память на более быструю – 3200 или попробовать разогнать эту, по отзывам у многих неплохо получается.
Также есть поддержка NVMe, при наличии нужного диска можете поставить его вместо штатного, но по большому счету все это не приведет к какому-либо ощутимому невооруженным глазом эффекту.
В текущей конфигурации система достаточно сбалансирована, а хорошее охлаждение позволяет использовать его в качестве домашнего сервера даже в жилых помещениях, где уровень шума бывает критичным.
Поэтому данный китаец неплох, можно брать, не хуже, а в чем-то даже лучше своих собратьев от отечественных брендов.
Системы на базе Intel N100/150 пользуются заслуженной популярностью у пользователей. Этот процессор, точнее SoC содержит 4 энергоэффективных ядра последних поколений и обеспечивает производительность на уровне Core i5 4-го поколения при тепловом пакете до 25 Вт.
Intel N150 лежащий в основе Mbox11 имеет базовую частоту 0,8 ГГц с бустом до 3,6 ГГц и поддерживает до 16 ГБ DDR4 3200 или DDR5 4800 в одноканальном режиме.
Данные системы отлично закрывают нишу тонких клиентов, офисных ПК класса «печатная машинка», домашних серверов и даже домашних лабораторий. На N100/150 вполне нормально чувствует себя Proxmox, а производительности процессора хватает для задач дома или малого офиса.
В данном классе мы обычно приобретали устройства от DEXP или iRU, Irbis. Все это доступно в наших сетевых магазинах, продается с гарантией и основано на одной и той же аппаратной платформе.
А сейчас вот для одного заказчика остановились на Ninkear Mbox11, причина простая – надо было еще вчера, а все сетевые магазины раньше, чем через неделю не доставляли. Поэтому покупку совершили в официальном магазине бренда на OZON и получили мини-ПК уже через день.
Поменяли ли мы шило на мыло? Нет, что тут, что там производство одно – Китай и комплектующие везде плюс-минус одинаковы. А что касается гарантии, но на OZON сейчас даже проще, вы можете просто сдать товар без объяснений в первые 14 дней.
Мини-ПК небольшой, 100*100*33 мм, в пластиковом серо-серебристом корпусе. На передней панели два разъема USB 3, разъем аудио и кнопка включения. На задней RJ-45, HDMI, Display Port и 2 USB 2.
Разъемом немного, но в целом достаточно. Плюс-минус у всех одноклассников подобный набор. И в целом в общем ряду Mbox11 ничем таким не выделяется.
На борту Windows 11 Pro, лицензия зашита в BIOS, активируется и работает нормально. При первом запуске приготовьтесь качать и устанавливать обновления, что займет примерно около часа.
Из беспроводных коммуникаций имеется Wi-Fi 5 ( 802.11ac) и Bluetooth 5.0, последний позволяет подключить клавиатуру, мышку, колонки/наушники и сэкономить USB разъемы.
Лично мы железку не разбирали, поэтому фото будут из сети. Внутри классика жанра – китайские память и SATA SSD. Память – планка от Kinsotin 16 ГБ DDR4 2700, диск – неизвестный SATA SSD 512 ГБ на базе бюджетного SM2259XT2.
Все приблизительно тоже самое вы найдете в любой аналогичной коробочке. Так что тут ни удивляться, ни расстраиваться не стоит. Память и диск вы можете заменить.
А теперь тесты. Что нам понравилось – это система охлаждения, достаточно массивный радиатор и крупный вентилятор, который практически неслышно. Шуметь он начинает где-то ближе к 70 градусам, но шум мягкий, ненапрягающий.
Следует отметить, что DEXP или iRU обычно имеют в составе системы охлаждения турбину и шумят под нагрузкой гораздо более сильнее.
Тепловой пакет процессора в BIOS ограничен на уровне 15Вт и частот выше 2,9 ГГц вы не увидите, но поэтому процессор даже под сильной нагрузкой не выходит за пределы 77 градусов и вполне комфортен по уровню нагрева и шума.
В состоянии покоя температура держится на уровне 40-45 градусов, что для данного чипа нормально.
Тепловой пакет нельзя изменить, но можно просто отключить в BIOS лимит мощности. Также можно заменить память на более быструю – 3200 или попробовать разогнать эту, по отзывам у многих неплохо получается.
Также есть поддержка NVMe, при наличии нужного диска можете поставить его вместо штатного, но по большому счету все это не приведет к какому-либо ощутимому невооруженным глазом эффекту.
В текущей конфигурации система достаточно сбалансирована, а хорошее охлаждение позволяет использовать его в качестве домашнего сервера даже в жилых помещениях, где уровень шума бывает критичным.
Поэтому данный китаец неплох, можно брать, не хуже, а в чем-то даже лучше своих собратьев от отечественных брендов.
👍27❤4🤮2
This media is not supported in your browser
VIEW IN TELEGRAM
И еще, тоже из жизни...
Региональный сервис, суровый и беспощадный. И еще деньги за это берут. 🙈🙈🙈
Региональный сервис, суровый и беспощадный. И еще деньги за это берут. 🙈🙈🙈
👀5👍4
Про «барыг»
Всплывала на неделе эта тема, про «барыг» на компьютерном рынке, которые гнут непомерные цены и, наверное, сказочно обогащаются на бедных-несчастных покупателях.
Сегодня днем было время, и я покопался в архивах, чтобы вспомнить как это было, потому как от продаж компьютерных комплектующих я сейчас достаточно далек.
Когда я пришел в эту отрасль в 2003 году, то на рынке нашего областного центра с разной степенью успешности работали пять крупных по городским меркам фирм и еще больше мелких.
Интернет в те годы был в зачаточном состоянии, как и интернет-торговля, про федеральные сети никто особо не слышал, но рынок уже тогда не блистал прибыльностью.
Средний процент наценки в те годы был всего 10%, для сравнения – средняя наценка в продуктовой рознице 35%. На какие-то позиции больше, на какие-то меньше, но в среднем было именно 10%, на это и ориентировались.
В те годы как раз был компьютерный бум, цены на комплектующие снизились до доступного уровня и компьютер перестал быть роскошью. Возили и собирали мы много, но преимущественно по нижней ценовой планке. Т.е. жили сугубо с оборота.
Потом я вырос и ушел в самостоятельное плавание по волнам предпринимательской деятельности. Кроме аутсорса, который уже тогда кормил, пробовал держать свой сервисный центр и параллельно приторговывать компьютерами.
И вот у меня в руках старые документы, прайс поставщика от 30 января 2008 года с курсом доллара в 25,6 рублей и финансовые результаты за 2007 год. Именно тогда от продаж железа мы отказались.
За счет чего жила тогда маленькая фирма по продаже комплектующих? За счет цены и сервиса. Цена немного ниже или такая же как у основных игроков на рынке, но индивидуальный подход и всякие подобные плюшки, вроде привоза ПК домой, установки и подключения с кратким ликбезом.
Оно уже само по себе затратное мероприятие, но по-другому было не выжить.
Местный поставщик отдавал нам товар с наценкой в 4%, поэтому чтобы держать привлекательный уровень цен мы не должны были сильно отличаться от рынка, т.е. средняя наценка у нас получалась 5,7%.
Для понимания проведем, как говорилось в те годы, небольшой финансовый стриптиз. За 4 квартал 2007 года оборот по железу составил 897 тыс. руб. Ну как-бы неплохо, почти миллион.
Но, при наценке в 5,7% выручка составила всего 51 тыс. руб. или 17 тыс. руб. в месяц, а после уплаты налогов осталось всего 14,5 тыс. руб. Это на уровне средней зарплаты по Черноземью в те годы, а за аренду я платил тогда 15 тыс. руб. + коммуналка.
И это без учета накладных расходов: аренды, зарплаты, рекламы и т.д. и т.п. Маржинальность уже на этом уровне составляла 4,85%, а реальная – еще ниже. При том, что маржинальность менее 10% считается крайне низкой.
Плюс любая нестандартная ситуация, брак или гарантия, выбивала этот бизнес из финансового седла. Ну что такое в те времена 14 тыс. руб.? Ниже некоторые закупочные цены:
▫️19" MONITOR BenQ E900T <Silver-Black> (LCD, 1280x1024, +DVI) - 6480.9
▫️CPU INTEL Core 2 Duo E8400 (3,0GHz) LGA775 OEM – 5300
▫️M/B ASUSTeK P5G-MX (RTL) Socket775 <i945GC>> - 3475.93
А цена недорогого компьютера в сборе стартовала от 20 тыс. руб. в закупке.
Если пересчитать суммы на современный лад, то получим оборот около 3,5 млн. и выручку около 150 тыс. Офигенный бизнес? И это не просто купи-продай, тут надо привезти, собрать, настроить. Обеспечить постпродажный сервис, гарантию и т.д. и т.п.
Ну и нафига все это нужно при таком смешном выхлопе? Да нафиг не нужно, сказали мы и это направление закрыли. А потом стало интересней, пришли федеральные сети в виде DNS, компьютеры начали продавать магазины бытовой техники типа Эльдорадо и М-Видео.
После чего уже крупные местные игроки были вынуждены снижать наценку до 5-7% чтобы хоть как-то оставаться на плаву, но это уже не бизнес, денег там нет.
Как итог – местных фирм теперь можно посчитать по пальцам, а те, которые есть сидят в основном на пригретых местах, типа госконтрактов и т.п. и в розничном покупателе сильно не заинтересованы.
Как и нет новых желающих войти в этот рынок.
Всплывала на неделе эта тема, про «барыг» на компьютерном рынке, которые гнут непомерные цены и, наверное, сказочно обогащаются на бедных-несчастных покупателях.
Сегодня днем было время, и я покопался в архивах, чтобы вспомнить как это было, потому как от продаж компьютерных комплектующих я сейчас достаточно далек.
Когда я пришел в эту отрасль в 2003 году, то на рынке нашего областного центра с разной степенью успешности работали пять крупных по городским меркам фирм и еще больше мелких.
Интернет в те годы был в зачаточном состоянии, как и интернет-торговля, про федеральные сети никто особо не слышал, но рынок уже тогда не блистал прибыльностью.
Средний процент наценки в те годы был всего 10%, для сравнения – средняя наценка в продуктовой рознице 35%. На какие-то позиции больше, на какие-то меньше, но в среднем было именно 10%, на это и ориентировались.
В те годы как раз был компьютерный бум, цены на комплектующие снизились до доступного уровня и компьютер перестал быть роскошью. Возили и собирали мы много, но преимущественно по нижней ценовой планке. Т.е. жили сугубо с оборота.
Потом я вырос и ушел в самостоятельное плавание по волнам предпринимательской деятельности. Кроме аутсорса, который уже тогда кормил, пробовал держать свой сервисный центр и параллельно приторговывать компьютерами.
И вот у меня в руках старые документы, прайс поставщика от 30 января 2008 года с курсом доллара в 25,6 рублей и финансовые результаты за 2007 год. Именно тогда от продаж железа мы отказались.
За счет чего жила тогда маленькая фирма по продаже комплектующих? За счет цены и сервиса. Цена немного ниже или такая же как у основных игроков на рынке, но индивидуальный подход и всякие подобные плюшки, вроде привоза ПК домой, установки и подключения с кратким ликбезом.
Оно уже само по себе затратное мероприятие, но по-другому было не выжить.
Местный поставщик отдавал нам товар с наценкой в 4%, поэтому чтобы держать привлекательный уровень цен мы не должны были сильно отличаться от рынка, т.е. средняя наценка у нас получалась 5,7%.
Для понимания проведем, как говорилось в те годы, небольшой финансовый стриптиз. За 4 квартал 2007 года оборот по железу составил 897 тыс. руб. Ну как-бы неплохо, почти миллион.
Но, при наценке в 5,7% выручка составила всего 51 тыс. руб. или 17 тыс. руб. в месяц, а после уплаты налогов осталось всего 14,5 тыс. руб. Это на уровне средней зарплаты по Черноземью в те годы, а за аренду я платил тогда 15 тыс. руб. + коммуналка.
И это без учета накладных расходов: аренды, зарплаты, рекламы и т.д. и т.п. Маржинальность уже на этом уровне составляла 4,85%, а реальная – еще ниже. При том, что маржинальность менее 10% считается крайне низкой.
Плюс любая нестандартная ситуация, брак или гарантия, выбивала этот бизнес из финансового седла. Ну что такое в те времена 14 тыс. руб.? Ниже некоторые закупочные цены:
▫️19" MONITOR BenQ E900T <Silver-Black> (LCD, 1280x1024, +DVI) - 6480.9
▫️CPU INTEL Core 2 Duo E8400 (3,0GHz) LGA775 OEM – 5300
▫️M/B ASUSTeK P5G-MX (RTL) Socket775 <i945GC>> - 3475.93
А цена недорогого компьютера в сборе стартовала от 20 тыс. руб. в закупке.
Если пересчитать суммы на современный лад, то получим оборот около 3,5 млн. и выручку около 150 тыс. Офигенный бизнес? И это не просто купи-продай, тут надо привезти, собрать, настроить. Обеспечить постпродажный сервис, гарантию и т.д. и т.п.
Ну и нафига все это нужно при таком смешном выхлопе? Да нафиг не нужно, сказали мы и это направление закрыли. А потом стало интересней, пришли федеральные сети в виде DNS, компьютеры начали продавать магазины бытовой техники типа Эльдорадо и М-Видео.
После чего уже крупные местные игроки были вынуждены снижать наценку до 5-7% чтобы хоть как-то оставаться на плаву, но это уже не бизнес, денег там нет.
Как итог – местных фирм теперь можно посчитать по пальцам, а те, которые есть сидят в основном на пригретых местах, типа госконтрактов и т.п. и в розничном покупателе сильно не заинтересованы.
Как и нет новых желающих войти в этот рынок.
👍32💯10❤3👀3🤮1
Случай редкий, а сегодня снова вот понадобилось, хорошо что не поленись и оформили случай как статью.
Админу на заметку - 23. Перед первым входом в систему необходимо сменить пароль. Как это сделать через RDP?
Иногда, казалось бы, простые ситуации ставят в тупик и заставляют искать нестандартные решения. Ну что такого в истекшем пароле? Попросит поменять при следующем входе...
Но не все так просто, если у вас есть только удаленный доступ, то ситуация обещает стать интересной.
В этой короткой заметке мы не будем делать теоретических отступлений, да и отступать тут некуда, сама по себе проблема проста и понятна, только вот необычное сочетание условий заставило искать обходное решение, которое оказалось не менее простым.
https://interface31.ru/tech_it/2018/12/adminu-na-zametku-23-pered-pervym-vhodom-v-sistemu-neobhodimo-smenit-parol.html
Админу на заметку - 23. Перед первым входом в систему необходимо сменить пароль. Как это сделать через RDP?
Иногда, казалось бы, простые ситуации ставят в тупик и заставляют искать нестандартные решения. Ну что такого в истекшем пароле? Попросит поменять при следующем входе...
Но не все так просто, если у вас есть только удаленный доступ, то ситуация обещает стать интересной.
В этой короткой заметке мы не будем делать теоретических отступлений, да и отступать тут некуда, сама по себе проблема проста и понятна, только вот необычное сочетание условий заставило искать обходное решение, которое оказалось не менее простым.
https://interface31.ru/tech_it/2018/12/adminu-na-zametku-23-pered-pervym-vhodom-v-sistemu-neobhodimo-smenit-parol.html
50👍47🔥3🥱2❤1😁1
Балансировка и высокая доступность OpenVPN
Несмотря на все сложности последнего времени OpenVPN продолжает оставаться крайне популярным средством для организации удаленного доступа сотрудников, во многом благодаря тому, что позволяет передавать настройки клиенту при подключении.
Однако сегодня все чаще можно столкнуться с блокировкой этого протокола, причем не глобальной, а выборочной, когда один или несколько клиентов внезапно перестают подключаться или подключаются, но трафик по туннелю не передается.
Эту ситуацию можно попробовать решить «малой кровью» спешно не перекраивая всю инфраструктуру и не перенастраивая клиентов.
Для этого вам понадобится второй канал с выделенным IP-адресом от другого провайдера или еще одна точка входа, например, в филиале. Даже вы можете либо настроить маршруты к единственному серверу, либо поднять дополнительные сервера.
Либо можете сочетать и то, и другое. А точек входа может быть более двух, причем, если есть такая возможность, то постарайтесь сделать их в разных физических локациях.
А затем в конфигурационном файле просто указываем:
Теперь клиент будет последовательно подключаться к указанным серверам начиная с первого в списке. Если вы хотите, чтобы сервер выбирался случайным образом (таким образом достигается балансировка), то добавьте опцию:
Время переключения задается опцией:
По умолчанию установлено 60 секунд, можете изменить по собственному усмотрению.
Все сервера, если вы их используете несколько, должны иметь идентичную конфигурацию и отличаться только сертификатом сервера, а также иметь разное адресное пространства пула адресов, выдаваемых пользователям.
Несмотря на все сложности последнего времени OpenVPN продолжает оставаться крайне популярным средством для организации удаленного доступа сотрудников, во многом благодаря тому, что позволяет передавать настройки клиенту при подключении.
Однако сегодня все чаще можно столкнуться с блокировкой этого протокола, причем не глобальной, а выборочной, когда один или несколько клиентов внезапно перестают подключаться или подключаются, но трафик по туннелю не передается.
Эту ситуацию можно попробовать решить «малой кровью» спешно не перекраивая всю инфраструктуру и не перенастраивая клиентов.
Для этого вам понадобится второй канал с выделенным IP-адресом от другого провайдера или еще одна точка входа, например, в филиале. Даже вы можете либо настроить маршруты к единственному серверу, либо поднять дополнительные сервера.
Либо можете сочетать и то, и другое. А точек входа может быть более двух, причем, если есть такая возможность, то постарайтесь сделать их в разных физических локациях.
А затем в конфигурационном файле просто указываем:
remote ovpn1.example.com
remote ovpn2.example.com
remote ovpn3.example.com
Теперь клиент будет последовательно подключаться к указанным серверам начиная с первого в списке. Если вы хотите, чтобы сервер выбирался случайным образом (таким образом достигается балансировка), то добавьте опцию:
remote-random
Время переключения задается опцией:
resolv-retry 60
По умолчанию установлено 60 секунд, можете изменить по собственному усмотрению.
Все сервера, если вы их используете несколько, должны иметь идентичную конфигурацию и отличаться только сертификатом сервера, а также иметь разное адресное пространства пула адресов, выдаваемых пользователям.
👍26🥱5❤1
Как исправить утечку памяти службы Windows Push Notifications в Windows 10/11
Пользователи Windows 10/11 могут заметить, что вся доступная системе память куда-то исчезла. Виновником такой утечки может являться служба WpnUserService_xxxxx, где xxxxx – уникальный идентификатор службы.
Подобные идентификаторы в виде шестнадцатеричного числа Windows присваивает службам, работающим в пространстве пользователя и которые создаются при его входе в систему.
WpnUserService – это служба Windows Push Notifications User Service отвечающая за обработку локальных push-уведомлений. Вы можете ее завершить или отключить, но это сработает только в текущем сеансе, при следующем входе в систему экземпляр службы будет создан заново.
Да и это не выход, потому что мы должны найти и устранить причину, а не маскировать симптомы. Причиной утечки памяти в данном случае является повреждение базы уведомлений.
Чтобы устранить проблему перезагрузите систему в безопасном режиме и перейдите в расположение:
Где переименуйте или удалите папку Notifications. При следующем входе в систему база уведомлений будет создана заново.
Пользователи Windows 10/11 могут заметить, что вся доступная системе память куда-то исчезла. Виновником такой утечки может являться служба WpnUserService_xxxxx, где xxxxx – уникальный идентификатор службы.
Подобные идентификаторы в виде шестнадцатеричного числа Windows присваивает службам, работающим в пространстве пользователя и которые создаются при его входе в систему.
WpnUserService – это служба Windows Push Notifications User Service отвечающая за обработку локальных push-уведомлений. Вы можете ее завершить или отключить, но это сработает только в текущем сеансе, при следующем входе в систему экземпляр службы будет создан заново.
Да и это не выход, потому что мы должны найти и устранить причину, а не маскировать симптомы. Причиной утечки памяти в данном случае является повреждение базы уведомлений.
Чтобы устранить проблему перезагрузите систему в безопасном режиме и перейдите в расположение:
%LOCALAPPDATA%\Microsoft\Windows
Где переименуйте или удалите папку Notifications. При следующем входе в систему база уведомлений будет создана заново.
👍15🤔6❤2🤝2🥱1
Одна из причин, по которой не следует совмещать роль контроллера домена с другими ролями.
☝️ Контроллер домена всегда выключает кеширование записи на тот физический диск где находится база AD.
При совмещении роли контроллера с ролями требующими дисковой производительности: сервер СУБД, сервер 1С, Exchange и т.д. вы получите на выходе жесткие тормоза. Ну или придется городить костыли.
Поэтому всегда выносите контроллер на отдельный ПК или виртуалку!
☝️ Контроллер домена всегда выключает кеширование записи на тот физический диск где находится база AD.
При совмещении роли контроллера с ролями требующими дисковой производительности: сервер СУБД, сервер 1С, Exchange и т.д. вы получите на выходе жесткие тормоза. Ну или придется городить костыли.
Поэтому всегда выносите контроллер на отдельный ПК или виртуалку!
1👍43🤡4🤝3🤷♂2🍌1
VPN-протоколы, степени риска
Не так давно, в связи с потребностями наших заказчиков мы провели достаточно объемное исследование на тему рисков использования VPN-протоколов для использования их в корпоративных целях и хотим поделиться некоторыми результатами.
Исследование основано на изучении публикаций в сети, доступных документов регулятора, доступной статистики и не претендует на всеобъемлющее или истину в последней инстанции.
Начнем с общих причин и следствий. VPN широко используются как средство пойти туда, не надо куда и чем более популярен в этих целях протокол, тем выше вероятность его блокировки.
При этом мы не можем знать принципов и направлений блокировок, а, следовательно, проблемы могут возникнуть и у корпоративных клиентов, использующих протокол сугубо для внутренней связи внутри страны.
Исходя из этого, а также из сложившейся практики блокировок мы подготовили краткий анализ протоколов удаленного доступа:
🔴 L2TP/IPsec – риски крайне высокие, сигнатуры выгружены для блокировки, кроме того, протокол обладает крайне низкой устойчивостью, есть проблемы в сетях мобильных операторов, проблемы нескольких клиентов из-за одного NAT и т.д.
🟠 IKEv2/IPsec – риски высокие, UDP-сигнатуры прекрасно видны, сам протокол также широко использовался в известных целях. Устойчивость высокая, стабильно работает в сетях различных операторов, но также имеет высокую сложность настройки и отладки.
🔴 OpenVPN – классика жанра, риски высокие, устойчивость средняя, без дополнительной настройки может иметь низкую производительность на плохих каналах, самые высокие накладные расходы. Из плюсов – передача настроек с сервера на клиент.
🔴 WireGuard – риски очень высокие, легко детектируется и активно блокируется. Устойчивость высокая, но при этом имеет повышенные накладные расходы на администрирование в корпоративной среде.
🟢 SSTP – риски ниже среднего, это объясняется тем, что протокол проприетарный и в основном применение ограничено экосистемой Windows, ну и, пожалуй, Mikrotik. Для указанных целей практически не используется. Устойчивость высокая, практически не отличим от HTTPS, но при необходимости легко детектируется. Работает даже там, где заблокирован практически весь интернет.
🟢 OpenConnect – риски низкие, устойчивость высокая, внешне представляет реалистичный HTTPS-трафик, для обозначенных целей практически не используется. Привлекателен в корпоративной среде благодаря возможностям передачи настроек с сервера на клиент.
🟠 GRE/IPIP – риски низкие, устойчивость также низкая, имеют проблему прохождения NAT, не работают в сетях мобильных операторов, небезопасны. IPIP архитектурно ограничен только IP-трафиком.
🟢 IPsec – риски низкие, в основном используется для корпоративных и магистральных коммуникаций. Устойчивость выше средней, но также присутствуют требования к сторонам соединения (белые адреса и т.д.). Сложность настройки и отладки – крайне высокая, требует специальных знаний и навыков.
🟢 GRE/IPIP over IPsec – риски низкие, устойчивость выше средней. Внешне это тот же IPsec со всеми плюсами и минусами. Внутри привычные GRE/IPIP туннели. Сложность эксплуатации выше средней из-за присутствия IPsec, но значительно ниже, чем у чистого IPsec.
👉 Исходя из вышесказанного для целей удаленного доступа (Road-Warrior) рекомендуются SSL-VPN решения, такие как SSTP или OpenConnect, последний очень хорошо впишется в корпоративную сеть как полноценная замена OpenVPN с возможностью централизованного управления настройками клиентов.
Для соединения площадок (Site-to-Site) следует предпочитать решения на базе IPsec, наилучшим вариантом здесь будет GRE over IPsec, который сочетает сильные стороны IPsec с понятной сетевой моделью туннелей GRE, основанной на классической маршрутизации, а не на политиках.
‼️ Решений с высоким риском следует во всех сценариях избегать, даже если они еще работают, потому что в любой момент все может неожиданно измениться.
Не так давно, в связи с потребностями наших заказчиков мы провели достаточно объемное исследование на тему рисков использования VPN-протоколов для использования их в корпоративных целях и хотим поделиться некоторыми результатами.
Исследование основано на изучении публикаций в сети, доступных документов регулятора, доступной статистики и не претендует на всеобъемлющее или истину в последней инстанции.
Начнем с общих причин и следствий. VPN широко используются как средство пойти туда, не надо куда и чем более популярен в этих целях протокол, тем выше вероятность его блокировки.
При этом мы не можем знать принципов и направлений блокировок, а, следовательно, проблемы могут возникнуть и у корпоративных клиентов, использующих протокол сугубо для внутренней связи внутри страны.
Исходя из этого, а также из сложившейся практики блокировок мы подготовили краткий анализ протоколов удаленного доступа:
🔴 L2TP/IPsec – риски крайне высокие, сигнатуры выгружены для блокировки, кроме того, протокол обладает крайне низкой устойчивостью, есть проблемы в сетях мобильных операторов, проблемы нескольких клиентов из-за одного NAT и т.д.
🟠 IKEv2/IPsec – риски высокие, UDP-сигнатуры прекрасно видны, сам протокол также широко использовался в известных целях. Устойчивость высокая, стабильно работает в сетях различных операторов, но также имеет высокую сложность настройки и отладки.
🔴 OpenVPN – классика жанра, риски высокие, устойчивость средняя, без дополнительной настройки может иметь низкую производительность на плохих каналах, самые высокие накладные расходы. Из плюсов – передача настроек с сервера на клиент.
🔴 WireGuard – риски очень высокие, легко детектируется и активно блокируется. Устойчивость высокая, но при этом имеет повышенные накладные расходы на администрирование в корпоративной среде.
🟢 SSTP – риски ниже среднего, это объясняется тем, что протокол проприетарный и в основном применение ограничено экосистемой Windows, ну и, пожалуй, Mikrotik. Для указанных целей практически не используется. Устойчивость высокая, практически не отличим от HTTPS, но при необходимости легко детектируется. Работает даже там, где заблокирован практически весь интернет.
🟢 OpenConnect – риски низкие, устойчивость высокая, внешне представляет реалистичный HTTPS-трафик, для обозначенных целей практически не используется. Привлекателен в корпоративной среде благодаря возможностям передачи настроек с сервера на клиент.
🟠 GRE/IPIP – риски низкие, устойчивость также низкая, имеют проблему прохождения NAT, не работают в сетях мобильных операторов, небезопасны. IPIP архитектурно ограничен только IP-трафиком.
🟢 IPsec – риски низкие, в основном используется для корпоративных и магистральных коммуникаций. Устойчивость выше средней, но также присутствуют требования к сторонам соединения (белые адреса и т.д.). Сложность настройки и отладки – крайне высокая, требует специальных знаний и навыков.
🟢 GRE/IPIP over IPsec – риски низкие, устойчивость выше средней. Внешне это тот же IPsec со всеми плюсами и минусами. Внутри привычные GRE/IPIP туннели. Сложность эксплуатации выше средней из-за присутствия IPsec, но значительно ниже, чем у чистого IPsec.
👉 Исходя из вышесказанного для целей удаленного доступа (Road-Warrior) рекомендуются SSL-VPN решения, такие как SSTP или OpenConnect, последний очень хорошо впишется в корпоративную сеть как полноценная замена OpenVPN с возможностью централизованного управления настройками клиентов.
Для соединения площадок (Site-to-Site) следует предпочитать решения на базе IPsec, наилучшим вариантом здесь будет GRE over IPsec, который сочетает сильные стороны IPsec с понятной сетевой моделью туннелей GRE, основанной на классической маршрутизации, а не на политиках.
‼️ Решений с высоким риском следует во всех сценариях избегать, даже если они еще работают, потому что в любой момент все может неожиданно измениться.
🤝32❤8🫡6🤡5🤣3
Используем grep для поиска в файлах и потоках
Любой Linux администратор сталкивался с командой grep, которая используется для поиска строк по шаблону в стандартных потоках и текстовых файлах.
Изначально grep был написан одним из основателей UNIX Кеном Томпсоном, когда его начальник Дуглас Макилрой попросил его написать инструмент «для поиска чего-нибудь в файлах». Название утилиты происходит от global regular expression print (глобальный вывод регулярных выражений)
Самый частый сценарий использования grep, когда нам нужно отфильтровать поток ввода-вывода, например:
Также он может работать и с файлами, хотя многие используют совершенно излишнее:
В то время, когда можно просто использовать:
Но бывает недостаточно просто найти искомое значение, часто бывает нужно получить также его контекст, это, например, важно при разборе логов, для этого используйте специальные ключи:
▫️A (after) – выводит указанное число сток после вхождения
▫️B (before) – выводит указанное число строк до вхождения
▫️С (context) – выводит указанное число строк до и после вхождения.
Например, если нам нужно вывести следующие пять строк после найденного вхождения используйте:
Если вам наоборот нужно сократить вывод и найти только вхождения, то используйте ключ -o, его удобно сочетать с ключом -n, который выводит номера строк.
Например:
Выдаст:
Также grep умеет искать по нескольким файлам сразу, в этом случае перед выводом искомой строки будет указано имя файла, если вам нужно вывести только имена файлов, в которых найдены вхождения используйте ключ -l:
И наоборот, ключ
Для того, чтобы игнорировать регистр символов предназначен ключ -i, а ключ -v инвертирует шаблон запроса, так команда:
Выведет те строки, где нет вхождения указанного шаблона, часто применяется для того, чтобы вывести содержимое конфигурационного файла без комментариев.
И, наконец, grep может использовать регулярные выражения, для этого укажите ключ -E, например, поиск российских телефонных номеров в файле:
Несмотря на то, что grep понимает многие подстановочные символы при использовании поиска по регулярным выражениям рекомендуется всегда использовать ключ -E, что позволит избежать неожиданных результатов.
В этом месте читатели могут вспомнить утилиту egrep, но в настоящий момент она, как и fgrep, объявлена устаревшей и лучше отвыкать от ее использования.
Несмотря на то, что указанные утилиты сохраняются практически во всех дистрибутивах для обеспечения обратной совместимости лучше сразу переходить на актуальные grep -E и grep -F.
Кстати, grep -F – это полная противоположность grep -E, данный ключ предписывает игнорировать метасимволы и подстановочные данные и будет искать строку как есть:
Например:
Будет искать строго то, что написано, это может понадобится при поиске специфической информации, скажем, математических выражений, как в этом примере.
Любой Linux администратор сталкивался с командой grep, которая используется для поиска строк по шаблону в стандартных потоках и текстовых файлах.
Изначально grep был написан одним из основателей UNIX Кеном Томпсоном, когда его начальник Дуглас Макилрой попросил его написать инструмент «для поиска чего-нибудь в файлах». Название утилиты происходит от global regular expression print (глобальный вывод регулярных выражений)
Самый частый сценарий использования grep, когда нам нужно отфильтровать поток ввода-вывода, например:
dpkg -l | grep gimp
Также он может работать и с файлами, хотя многие используют совершенно излишнее:
cat file.txt | grep mystring
В то время, когда можно просто использовать:
grep mystring file.txt
Но бывает недостаточно просто найти искомое значение, часто бывает нужно получить также его контекст, это, например, важно при разборе логов, для этого используйте специальные ключи:
▫️A (after) – выводит указанное число сток после вхождения
▫️B (before) – выводит указанное число строк до вхождения
▫️С (context) – выводит указанное число строк до и после вхождения.
Например, если нам нужно вывести следующие пять строк после найденного вхождения используйте:
grep -A5 mystring file.txt
Если вам наоборот нужно сократить вывод и найти только вхождения, то используйте ключ -o, его удобно сочетать с ключом -n, который выводит номера строк.
Например:
grep -no mystring file.txt
Выдаст:
5:mystring
9:mystring
25:mystring
Также grep умеет искать по нескольким файлам сразу, в этом случае перед выводом искомой строки будет указано имя файла, если вам нужно вывести только имена файлов, в которых найдены вхождения используйте ключ -l:
grep -l mystring file.txt file1.txt file2.txt file3.txt
И наоборот, ключ
-L позволяет вывести имена файлов в которых вхождение не найдено.Для того, чтобы игнорировать регистр символов предназначен ключ -i, а ключ -v инвертирует шаблон запроса, так команда:
grep -v mystring file.txt
Выведет те строки, где нет вхождения указанного шаблона, часто применяется для того, чтобы вывести содержимое конфигурационного файла без комментариев.
И, наконец, grep может использовать регулярные выражения, для этого укажите ключ -E, например, поиск российских телефонных номеров в файле:
grep -E ^((8|\+7)[\- ]?)?(\(?\d{3}\)?[\- ]?)?[\d\- ]{7,10}$ file.txtНесмотря на то, что grep понимает многие подстановочные символы при использовании поиска по регулярным выражениям рекомендуется всегда использовать ключ -E, что позволит избежать неожиданных результатов.
В этом месте читатели могут вспомнить утилиту egrep, но в настоящий момент она, как и fgrep, объявлена устаревшей и лучше отвыкать от ее использования.
Несмотря на то, что указанные утилиты сохраняются практически во всех дистрибутивах для обеспечения обратной совместимости лучше сразу переходить на актуальные grep -E и grep -F.
Кстати, grep -F – это полная противоположность grep -E, данный ключ предписывает игнорировать метасимволы и подстановочные данные и будет искать строку как есть:
Например:
grep -F 2*(x+y)^2 file.txt
Будет искать строго то, что написано, это может понадобится при поиске специфической информации, скажем, математических выражений, как в этом примере.
👍22❤14🤮1
Какой протокол вы предпочитаете для удаленного доступа сотрудников?
Anonymous Poll
19%
L2TP/IPsec
6%
IKEv2/IPsec
25%
OpenVPN
20%
WireGuard
9%
SSTP
4%
OpenConnect
2%
PPTP
3%
Иное, расскажу в комментариях
12%
Ничего не понятно, но очень интересно
👍1
RDP-сервер в GNOME
Мало кто знает, но начиная с версии GNOME 46 в составе этой графической оболочки появился свой RDP-сервер. Теперь вы можете полноценно подключаться к своим Linux-системам привычным и удобным инструментом.
Данная возможность включается в разделе Система – Удаленный рабочий стол и предусматривает два режима работы.
🔹 Общий доступ к рабочему столу – позволяет подключиться к уже существующему сеансу пользователя, сеанс не блокируется, и пользователь видит все, что вы делаете, также вы видите все, что делает он. Разрешение экрана определяется разрешением сеанса пользователя. Это удобно для технической поддержки, контроля и обучения.
🔹 Удаленный вход – предусматривает создание отдельного удаленного сеанса, если был открыт локальный сеанс, то он будет не заблокирован, а завершен, все запущенные программы закрыты. Разрешение экрана устанавливается в настройках RDP-подключения.
👉 При совместной активации обоих режимов общий доступ к рабочему столу будет переключен на порт 3390, а удаленный вход будет работать на 3389. Таким образом мы можем выбирать способ взаимодействия в зависимости от задач.
По качеству работы данную реализацию можно назвать одной из лучших реализаций RDP для Linux. Плавность и качество картинки практически неотличимо от Windows RDP, работает буфер обмена, а вот с пробросом локальных ресурсов есть проблемы. Но в любом случае это на голову превосходит тот же XRDP и аналоги.
Будем надеяться, что проект продолжит развиваться и догонит по основным возможностям RDP для Windows, обеспечивая однотипную рабочую среду для обоих систем.
Мало кто знает, но начиная с версии GNOME 46 в составе этой графической оболочки появился свой RDP-сервер. Теперь вы можете полноценно подключаться к своим Linux-системам привычным и удобным инструментом.
Данная возможность включается в разделе Система – Удаленный рабочий стол и предусматривает два режима работы.
🔹 Общий доступ к рабочему столу – позволяет подключиться к уже существующему сеансу пользователя, сеанс не блокируется, и пользователь видит все, что вы делаете, также вы видите все, что делает он. Разрешение экрана определяется разрешением сеанса пользователя. Это удобно для технической поддержки, контроля и обучения.
🔹 Удаленный вход – предусматривает создание отдельного удаленного сеанса, если был открыт локальный сеанс, то он будет не заблокирован, а завершен, все запущенные программы закрыты. Разрешение экрана устанавливается в настройках RDP-подключения.
👉 При совместной активации обоих режимов общий доступ к рабочему столу будет переключен на порт 3390, а удаленный вход будет работать на 3389. Таким образом мы можем выбирать способ взаимодействия в зависимости от задач.
По качеству работы данную реализацию можно назвать одной из лучших реализаций RDP для Linux. Плавность и качество картинки практически неотличимо от Windows RDP, работает буфер обмена, а вот с пробросом локальных ресурсов есть проблемы. Но в любом случае это на голову превосходит тот же XRDP и аналоги.
Будем надеяться, что проект продолжит развиваться и догонит по основным возможностям RDP для Windows, обеспечивая однотипную рабочую среду для обоих систем.
🔥50👍20👀6⚡4🤡3