📝 Разница прямого и обратного прокси

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Nephio

🟣Nephio — вообще это открытая платформа на Kubernetes, которая автоматизирует развертывание и управление сетевыми фичами. Зачем писать код с нуля, если можно сделать всё с помощью GitOps и intent-based подхода? Логично, да?

🟣Что нового в Release 4: В новой версии — O-RAN для лёгкой интеграции, крутые GitOps-пайплайны, улучшенная безопасность и шаблоны для молниеносной автоматизации.

🟣Какие фишки: Nephio даёт мощную автоматизацию с гибкой интеграцией через O-RAN, поддерживает Kubernetes без кастомных решений и ускоряет развертывание. Всё это работает с готовыми шаблонами и повышенной безопасностью.

🟣И ещё: теперь Nephio в составе LF Networking, что даёт проекту ещё больше возможностей для роста в открытой экосистеме.

Серверная Админа | #Инструмент

📝 Нашел схему, которая показывает разницу между моделями облачных вычислений

🟣On-Premise — тут всё на стороне заказчика: от сети и хранилища до приложений. Гибкость максимальная, но и ответственность тоже на вас.
🟣IaaS (Infrastructure as a Service) — провайдер управляет физическим оборудованием, виртуализацией и ОС, а вы настраиваете всё остальное: от ПО до приложений.
🟣PaaS (Platform as a Service) — разработчику остаётся писать код. Всё — от ОС до среды выполнения — берёт на себя платформа.
🟣FaaS (Function as a Service) — вы тут просто пишете функцию, которая срабатывает по событию. Классно для микросервисов и автоматизации без забот о инфраструктуре.
🟣SaaS (Software as a Service) — всё уже готово: просто пользуйтесь. Ни установки, ни обслуживания. Примеры: Gmail, Zoom, Notion.

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня разберём, как настроить отказоустойчивость WAN на роутерах Cisco.

🟣Какой у нас сценаний: Мы имеем два WAN канала и фэйловер. С использованием двух провайдеров можно обеспечить отказоустойчивость сети, переключаясь на резервный канал в случае проблем с основным. Вместо дорогих BGP-сетей можно юзать статические маршруты с фэйловером.

🟣Настройка интерфейсов: Первым делом настраиваем два WAN-интерфейса для подключения к провайдерам:

interface GigabitEthernet0
 description Internet_ISP1_Main
 ip address 10.10.10.10 255.255.255.0
 ip nat outside

interface FastEthernet8
 description Internet_ISP2_Back-up
 ip address 100.100.100.100 255.255.255.0
 ip nat outside

🟣ACL для NAT: Создаём ACL для фильтрации трафика и настройки NAT на каждом канале:

ip access-list extended NAT_LAN
 permit ip 192.168.1.0 0.0.0.255 any

🟣Роутинг и SLA: Задаём два статических маршрута с использованием SLA для отслеживания состояния канала:

ip sla 1
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0
 frequency 30
ip sla schedule 1 life forever start-time now
track 1 ip sla 1

ip route 0.0.0.0 0.0.0.0 10.10.10.1 track 1
ip route 0.0.0.0 0.0.0.0 100.100.100.1 30

🟣Включаем NAT: Для фэйловера на оба интерфейса:

ip nat inside source route-map NAT_ISP1_Main interface GigabitEthernet0 overload
ip nat inside source route-map NAT_ISP2_Back-up interface FastEthernet8 overload

И сейчас, если основной канал выйдет из строя, маршрутизатор переключится на резервный с минимальной задержкой.

Серверная Админа | #WAN

👋 Привет, сетевой друг!

Сегодня вспомним историю старичка - протокола SMB1, который уже ушел на покой.

🟣Как всё начиналось: SMB (Server Message Block) родился ещё в 1983 году в IBM. Позже его адаптировала Microsoft — так появился тот самый CIFS, ставший основой для «Сетевого окружения» в Windows 95.

🟣Это был универсальный способ делиться файлами и принтерами в локалке, когда FTP казался слишком сложным, а интернет был роскошью. В конце 90-х и начале 2000-х SMB1 был везде — рабочие группы, общие папки, принтеры, бэкапы, медиа-серверы.

🟣Что сейчас с ним: SMB1 старел, и с ростом угроз (вроде WannaCry, использовавшей уязвимости в нём) Microsoft начала его отключение: с серверов — в 2017, с клиентов — в Windows 10 Pro в 2018. Теперь очередь дошла и до Windows 11 Home — в новых сборках SMB1 отключён по умолчанию.

🟣Его место давно заняли SMB2 и SMB3 — с поддержкой шифрования, сжатия, повышенной производительностью и безопасностью.

Серверная Админа | #SMB

👨‍💻Серверная Админа | #мем

👋 Всем привет, на связи Админ!

Хотим поделиться новостью — мы запустили свою игру HackerTap

⏺ Суть следующая. Вы - бедный программист, который учится писать код на старом аймаке в какой то коммуналке. Ваша цель — многомиллиардный стартап и собственный остров в Дубаях. Тап тап тап и доллары на вашем кошельке.

⏺ Мы не собираемся запускать очередную крипту или обещать вам золотые горы.
Вместо этого — честная игра и реальные призы: топ-3 игроков получат ценные награды (возможно это будет техника типо макбука, айфона и т.д), но и остальные не останутся без внимания!

Тапайте, выполняйте задания, приглашайте друзей и пробивайтесь в топ!

Играть

P.S. Игра совсем недавно запустилась, в будущем будет множество новых фич и улучшений. А ранним игрокам мы дадим бонусы 😉.
Так же будем благодарны за вашу обратную связь.

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте PF-RING

🟣Что это: PF_RING - сетевой сокет нового поколения, который просто мнгновенно захватывает и обрабатывает пакеты, передавая их прямо в пользовательское пространство без участия ядра.

🟣Из особенностей: Без копирования, нулевой латентности, поддержка популярных сетевых карт — PF_RING распределяет пакеты между потоками, чтобы вы могли работать быстрее и точнее. И, конечно, отличная фильтрация приложений с помощью nDPI, чтобы можно было отправлять только нужный трафик.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим, как найти и исправить проблемы с очередями TCP на сервере с помощью sysctl и netstat.

🟣Проблемы с очередями TCP? Это может быть связано с перегрузкой буферов или неправильными настройками очередей на сервере.

🟣Как диагностировать: Первым шагом используем команду netstat -s для анализа статистики TCP-соединений. Она покажет, сколько пакетов было потеряно из-за переполнения очереди или других проблем:

netstat -s | grep "TCP"

Ищем такие строки, как:
• TCP OutRsts — количество сброшенных соединений,
• TCP RetransSegs — количество повторных сегментов, что может указывать на проблемы с производительностью.

🟣Что еще проверим? Используем sysctl для анализа текущих параметров TCP. Выполняем команду:

sysctl -a | grep tcp

🟣Как исправить: Если видим проблемы, можно скорректировать настройки с помощью sysctl. Для увеличения размера очередей и буферов используем:

sysctl -w net.ipv4.tcp_rmem="4096 87380 16777216"
sysctl -w net.ipv4.tcp_wmem="4096 87380 16777216"

Эти параметры увеличивают размеры буферов для входящих и исходящих данных, что особенно полезно на серверах с высокоскоростными каналами. При этом:
• 4096 — минимальный размер буфера,
• 87380 — идеальный размер для большинства ситуаций,
• 16777216 — максимальный размер буфера.

🟣Что еще можно: Если сервер обрабатывает большое количество соединений, стоит обратить внимание на параметр net.core.somaxconn, который задает максимальное количество очередей для входящих соединений:

sysctl -w net.core.somaxconn=1024

🟣Что еще можно сделать: Чтобы увидеть, сколько очередей работает на сервере, используем:

netstat -anp | grep :80

Это покажет активные TCP-соединения на порту 80, если это веб-сервер. Смотрим на количество соединений и задержек.

Серверная Админа | #TCP #sysctl

👋 Привет, сетевой друг!

Сегодня расскажу про 5 полезных фильтров Wireshark, которые могут упростить твою диагностику сетевых проблем.

🟣ip.addr == 10.0.0.1: Покажет весь трафик, где 10.0.0.1 — это либо источник, либо получатель. Отлично для отслеживания активности на конкретном IP.

🟣ip.src == 10.0.0.1 && ip.dst == 10.0.0.2: Фильтрует трафик только между двумя конкретными адресами — идеальный фильтр для анализа связи между двумя устройствами.

🟣icmp.type == 3: Покажет все ICMP-пакеты с типом “destination unreachable”. Полезно, когда нужно диагностировать проблемы с маршрутизацией или доступностью.

🟣tcp.flags.syn == 1: Отфильтрует только TCP-пакеты с установленным флагом SYN, что поможет понять, кто пытается установить соединение, и где могут быть проблемы с подключением.

🟣http.response.code == 404: Покажет все HTTP-пакеты с кодом ошибки 404. Это поможет выявить страницы, которые не существуют на сервере, и исправить их.

Серверная Админа | #network

📝 Нашёл схему, которая показывает, как развивались сетевые технологии за последние 50 лет

🟣1969 — ARPANET
Начало всему — первый предок интернета, запущенный в рамках проекта Минобороны США.

🟣1983 — DNS
Появление системы доменных имён. До этого IP-адреса приходилось запоминать вручную.

🟣1989 — Протокол BGP
Позволил объединять автономные системы. Без него глобального интернета не было бы.

🟣1993 — Mosaic
Первые шаги в веб-сёрфинге. Именно этот браузер сделал интернет доступным обычным пользователям.

🟣1998 — IPv6
Ответ на нехватку IPv4. Несмотря на появление более 25 лет назад, до сих пор внедряется не везде.

🟣2006 — AWS и облака
Amazon запускает облачные сервисы — с этого момента IT-инфраструктура начинает активно уходить в «облако».

🟣2021 — Starlink
Низкоорбитальный спутниковый интернет от SpaceX — шаг к глобальному покрытию даже в самых глухих уголках планеты.

Серверная Админа | #network

Когда опять не пришел ACK…

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте pmacct

🟣Что это: pmacct может собирать NetFlow, sFlow, IPFIX, BGP, BMP, Telemetry и даже делать GeoIP. Он умеет очень и очень многое: от простого учёта трафика до глубокого анализа маршрутов и туннелей. Хочешь обогатить флоу данными BGP? Да без проблем. Надо писать в PostgreSQL, Kafka или даже в RabbitMQ? Не вопрос.

🟣Почему стоит потестить: Это не тупо парсер, а целая платформа: модульная архитектура, поддержка DPI через nDPI, встроенная поддержка RPKI и даже IS-IS. Работает стабильно на Linux и BSD, можно встраивать в большие сетевые пайплайны.

🟣Где пригодится: ISP, дата-центры, облака, SDN, CDNs, IXP — везде, где трафика много и нужен порядок. pmacct легко встраивается в мониторинг, биллинг, форензику и визуализацию.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим о 5 лайфхаках, которые помогут сэкономить время при работе в командной строке Cisco IOS.

🟣exec-timeout 0 0: Устранение таймаутов для сессий на консоли и VTY. Ставите на ноль, и больше не паритесь о потерянных соединениях. Только для лабораторий — в продакшн-среде это не самый лучший выбор…

🟣logging synchronous: вас когда-нибудь отвлекали сообщения Syslog, прерывая ввод команды? Вот эта команда решит проблему. Теперь вывод Syslog будет только после завершения ввода, а не во время его набора.

🟣no ip domain-lookup: Отключите ненужный DNS-lookup при ошибках в командах. IOS больше не будет пытаться интерпретировать опечатки как DNS-запросы.

🟣alias exec: Часто используете длинные команды? Создайте для них псевдонимы🤔 Например, alias exec src show run | s router — теперь вместо длинной команды вводите просто src.

🟣Сохраненная начальная конфигурация: Вместо того чтобы каждый раз вводить стандартные настройки после сброса, просто сохрани их в файл и вставляйте в консоль при старте устройства.

Вот например такой конфиг:

conf t
line con 0
exec-timeout 0 0
logging synchronous
exit
line vty 0 15
exec-timeout 0 0
logging synchronous
exit
no ip domain-lookup
alias exec src show run | s router
alias exec sib show ip interface brief
end

Серверная Админа | #Cisco

👋 Привет, сетевой друг!

Сегодня разберём, как с помощью BBR можно прокачать скорость твоих TCP-соединений.

🟣BBR — это современный алгоритм, который оптимизирует использование пропускной способности и прямо заметно уменьшает задержки, классно подходящий для серверов с нестабильными сетями.

🟣Включаем BBR на сервере Linux: Не теряем время и включаем BBR за пару команд:

sysctl -w net.ipv4.tcp_congestion_control=bbr

Как проверить, что BBR активен:

sysctl net.ipv4.tcp_congestion_control

🟣Что происходит в TCP: команда покажет, сколько пакетов отправлено, потеряно или повторно передано.

netstat -s | grep "TCP"

🟣Настройка буферов для макс. скорости. Делаем это так:

sysctl -w net.ipv4.tcp_rmem="4096 87380 16777216"
sysctl -w net.ipv4.tcp_wmem="4096 87380 16777216"

Увеличиваем максимальное количество подключений:

sysctl -w net.core.somaxconn=1024

🟣Делаем BBR главным: Иногда на сервере работают несколько алгоритмов, и нужно убедиться, что только BBR используется для управления трафиком:

sysctl -w net.ipv4.tcp_available_congestion_control="bbr"

Теперь все остальные алгоритмы, как Cubic или Reno, могут быть отключены, и твой сервер будет работать только с BBR.

🟣Мониторим работу BBR: Не забываем следить за тем, как работает BBR. Смотрим, сколько соединений используют BBR для обработки запросов.

ss -t -o state established '( sport = :http or sport = :https )'

Что делать, если нужно выключить BBR:

sysctl -w net.ipv4.tcp_congestion_control=cubic

Теперь сервер снова будет использовать Cubic, как по умолчанию.

Серверная Админа | #BBR

📝 Как работает WAF по шагам

1️⃣Юзер отправляет запрос: вы заходите на сайт, кликаете по кнопке, и браузер отправляет HTTP-запрос. Но он не сразу попадает на сервер. Сначала к WAF.

2️⃣WAF перехватывает трафик: Он разбирает запрос на части: заголовки, URL, куки, тело. Это как вскрыть посылку и проверить, что внутри — прежде чем вручить адресату.

3️⃣Проверка на атаки: Сравнивает запрос с базой опасных шаблонов: SQL-инъекции, XSS, обходы авторизации и прочее

4️⃣Анализ поведения: Смотрит, как ты себя ведёшь. Если слишком часто запрашиваешь страницы, кликаешь по API, притворяешься ботом — подозрительно.

5️⃣Изучение содержимого: Просматривает тело запроса. Даже если оно закодировано — WAF его расшифрует и проверит на вредоносный код.

6️⃣Обнаружение аномалий: Даже если атака новая и не из базы WAF может заметить странную активность: резкий всплеск трафика, неожиданные параметры.

7️⃣Решение: Безопасный запрос идёт дальше - на сервер. Вредный - блокируется, а пользователь видит ошибку или капчу. Всё логируется.

8️⃣Ответ снова через WAF: Сервер формирует ответ, но и он идёт через WAF. На случай, если снаружи что-то вмешалось. Только потом тебе в браузер.

9️⃣Логи и отчёты
WAF: сохраняет все действия. Это помогает администраторам понять, что происходит, и усилить защиту, если нужно.

1️⃣0️⃣Где работает WAF: Он может быть «в облаке», прямо на сервере или на границе сети. Главное встать между пользователем и приложением.

Серверная Админа | #WAF

Помни, админ: не смотри в оптическое волокно оставшимся глазом

👨‍💻Серверная Админа | #мем