Правда 🫠

Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Net Commander

🟣Что умеет: здесь всё, что обычно ищем в отдельных тулзах — ping, traceroute с картой, Wi-Fi анализатор, калькулятор CIDR, SSH-профили, подсветка конфигов Cisco, быстрый поиск по IANA портам, PeeringDB и даже root cause analysis отчёты.

🟣Вместо прыжков между терминалами и браузером всё доступно прямо из VS Code. Например, можно прогнать пинг в отдельной панели, построить интерактивный traceroute-граф, проверить IP через ipinfo или поднять Wi-Fi сканер для мини-сайт-сервея.

🟣Как пользоваться:

Пинг панелью:

Ctrl+Shift+P → Net Commander: Ping Panel

Traceroute с картой:

Ctrl+Shift+P → Net Commander: Traceroute

Калькулятор CIDR:

Ctrl+Shift+P → Net Commander: CIDR Calculator

Прыжок по SSH профилю:

Ctrl+Shift+P → Net Commander: SSH Profile Jumper

Серверная Админа | #Инструмент

📝 Как раньше делили IPv4-адреса: классовая адресация

Раньше интернет-адреса распределяли жёстко по «коробочкам» — классам от A до E. Многим казалось удобным, но на деле это приводило к растрате огромного числа IP.

🟣Класс A — сети-гиганты. Тут всего один байт под сеть и целых три под устройства. Адресов для более чем 16 миллионов хостов. Диапазон: 0.0.0.0 – 127.255.255.255. Давали крупным организациям и правительствам.

🟣Класс B — золотая середина. 16 бит на сеть и 16 на хосты, что позволяло подключить до 65 тысяч устройств. Диапазон: 128.0.0.0 – 191.255.255.255. Подходил для университетов и больших компаний.

🟣Класс C — «сеточки для малого бизнеса». 24 бита под сеть, только 256 адресов для устройств. Диапазон: 192.0.0.0 – 223.255.255.255. Идеально для офисов или кампусов.

🟣Класс D — не для обычных сетей, а для мультикаста (рассылка сразу многим). Адреса 224.0.0.0 – 239.255.255.255.

🟣Класс E — экспериментальная зона. Диапазон 240.0.0.0 – 255.255.255.255. Почти не использовался, оставался «на будущее».

Серверная Админа | #network

👋 Привет, сетевой друг!

Однажды мы говорили про IP Source Guard, а теперь разберём ещё момент - проверку статических IP. Не все клиенты получают адреса по DHCP, кто-то может выставить IP вручную.

🟣Есть проблема: Source Guard по умолчанию ориентируется на DHCP Snooping. Если кто-то руками задаст IP и попадёт в «дырку», он обойдёт защиту.

🟣Как решить: для таких случаев добавляют IP Source Binding — статическую привязку IP–MAC–порта. Коммутатор будет знать, что, например, у MAC 00:1A:2B:3C:4D:5E всегда должен быть IP 192.168.10.50 на Gig0/3.

🟣Как настроить:

ip source binding 001a.2b3c.4d5e vlan 10 192.168.10.50 interface Gig0/3

И даже если клиент попытается «переодеться» и взять другой IP, его трафик будет отрезан.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня разберём, в чём разница между Private VLAN и VRF.

🟣PVLAN — это изоляция на уровне L2. У тебя вроде бы одна VLAN, но клиенты внутри не могут болтать друг с другом. Есть порты «для всех» (promiscuous), изолированные и «комьюнити». Идеально для дата-центров или гостиниц: все видят шлюз и интернет, но соседей - нет. Пример настройки:

vlan 100
 private-vlan primary
 private-vlan association 101,102

vlan 101
 private-vlan isolated
vlan 102
 private-vlan community

🟣VRF — это уже изоляция на уровне L3. Каждому VRF своя таблица маршрутизации и даже одни и те же IP можно юзать параллельно. Провайдеры так разводят клиентов, а компании - тест и прод.
Пример настройки:

ip vrf CUSTOMER_A
 rd 100:1

interface Gig0/1
 ip vrf forwarding CUSTOMER_A
 ip address 10.10.10.1 255.255.255.0



🟣В чем разница: PVLAN ограничивает связь внутри одной L2-сети, а VRF полностью разделяет маршрутизацию и IP-пространство. Грубо говоря, PVLAN — это «квартиры в одном доме с разными дверями», а VRF — это «разные дома на разных улицах».

Серверная Админа | #PVLAN #VRF

Проброс портов через SSH - это путь ко многим сервисам, которые некоторые считают недоступными.

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте InterceptSuite

🟣Это MITM-прокси, который умеет перехватывать не только HTTP, но и любой TLS/SSL-трафик. В отличие от Burp/ZAP, InterceptSuite работает на уровне TCP/TLS. Это значит, что можно анализировать STARTTLS, PostgreSQL, IoT или даже трафик игр. Пакеты видны в расшифрованном виде, можно их менять на ходу, логировать и расширять всё через Python-плагины.

🟣Зачем нужен: Когда у вас толстый клиент, нестандартный протокол или шифрованная БД — обычные веб-прокси тут не помогают. InterceptSuite закрывает этот пробел и даёт универсальный способ MITM любого TLS-соединения.

🟣Как используем:

Запуск прокси (по умолчанию на 127.0.0.1:4444):

interceptsuite

Установка CA-серта в доверенные:

interceptsuite --install-ca

Работа через SOCKS5:

client_app --proxy socks5://127.0.0.1:4444

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберём подходы к балансировке нагрузки на L3: ECMP vs LAG vs VRRP.

🟣ECMP - распределяет трафик по нескольким равнозначным маршрутам. Трафик «разбивается» на потоки, что увеличивает пропускную способность и даёт запас на случай падения одного из маршрутов. Главное — правильно настроить хеширование, чтобы потоки не мешали друг другу.

🟣LAG - собирает несколько физических линков в один логический канал. Проще говоря, вместо одной трубы получаем несколько параллельных. Отлично подходит между коммутаторами или серверами, когда важна скорость и надёжность соединения.

🟣VRRP - протокол резервирования маршрутизаторов. Несколько роутеров делят один виртуальный IP, и если мастер падает, резервный сразу подхватывает трафик. Так пользователи почти не замечают, что что-то случилось.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня разберём, как на MikroTik сделать policy-based routing (PBR) - когда разные типы трафика идут через разные провайдеры.

🟣Когда пригодится: допустим, у вас два WAN - один быстрый, но с малым трафиком, а второй безлимитный, но медленный. PBR позволяет, например, отправлять VoIP и RDP через первый канал, а YouTube и торренты через второй.

🟣Отмечаем соединения по источнику или порту:

/ip firewall mangle
add chain=prerouting src-address=192.168.10.0/24 protocol=tcp dst-port=3389 action=mark-routing new-routing-mark=to_WAN1 passthrough=no
add chain=prerouting src-address=192.168.10.0/24 protocol=udp dst-port=5060 action=mark-routing new-routing-mark=to_WAN1 passthrough=no
add chain=prerouting src-address=192.168.20.0/24 action=mark-routing new-routing-mark=to_WAN2 passthrough=no

🟣Создаём маршруты для разных WAN:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 check-gateway=ping

🟣И не забываем про NAT для обоих интерфейсов:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade

Серверная Админа | #Mikrotik

📝 Какие бывают типы VLAN?

🟣Default VLAN
Это стартовая VLAN, куда попадают все порты коммутатора сразу после включения. Обычно это VLAN 1.

🟣Data VLAN
Основная VLAN для пользователей. Весь трафик от компьютеров, ноутбуков и других рабочих устройств идёт через неё.

🟣Voice VLAN
Создана специально для IP-телефонов. Помогает передавать голос без задержек и с хорошим качеством.

🟣Management VLAN
Служит для управления сетевыми устройствами. Через неё подключаются по SSH, Telnet и т.д.

🟣Native VLAN
Принимает немаркированный трафик на trunk-портах. Обычно по умолчанию это тоже VLAN 1.

🟣Trunk VLAN
Не одна VLAN, а способ передавать сразу несколько VLAN по одному кабелю между коммутаторами.

🟣Private VLAN
Позволяет изолировать устройства внутри одной VLAN. Часто используется в дата-центрах, где нужна безопасность.

🟣Static VLAN
Всё вручную: админ сам указывает, какой порт в какой VLAN. Надёжно, но требует времени.

🟣Dynamic VLAN
Автоматически определяет, куда отправить устройство, основываясь на его MAC-адресе. Удобно в больших сетях.

Серверная Админа | #network

Mikrotik: делает простой и понятный интерфейс

Юзеры:

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте xtate

🟣Xtate — это высокоскоростной, расширяемый сканер: умеет асинхронно слать пакеты на сотни тысяч в секунду, собирать баннеры в «статлесс» режиме (ZBanner).

🟣А при необходимости - заводить лёгкий user‑space TCP‑стек (HLTCP) для stateful‑сканов и TLS‑handshake’ей. Поддерживает IPv6, LAN‑режим и плагины (lua, regexp, recog и т. п.).

🟣Быстрые примеры команд (предполагается, что бинарь собран и доступен как xtate)

син‑скан порта 80 на /8 с 10kpps

xtate -p 80 -ip 10.0.0.0/8 -scan tcp-syn -rate 10000

stateless баннер‑граб с http‑probe (zbanner + http)

xtate -p 80 -ip 10.0.0.0/8 -scan zbanner -probe http -scan-arg "-banner"

UDP‑скан порта 80 с echo‑probe

xtate -p u:80 -ip 10.0.0.0/8 -scan udp -probe echo -show info

ARP LAN‑скан /24

xtate -ip 192.168.0.1/24 -scan arp-req -lan

IPv6 NDP с кастомным src‑ip

xtate -ip fe80::1/120 -scan ndp-ns -src-ip fe80::2 -fake-router-mac

интерактивный режим (автодополнение)

xtate --interact

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня расскажу про RS-485 - популярный стандарт для промышленных сетей и автоматики.

🟣Что это: RS-485 — дифференциальный интерфейс, который умеет передавать данные на большие расстояния и почти не боится помех. Полудуплексная линия: два провода, данные текут туда-сюда, но не одновременно.

🟣Физический уровень: Два провода A и B обычно скручены — это как антишумовые наушники для сигнала. На концах ставят терминаторы 120 Ω, чтобы сигнал не «отскакивал». Длина шины может достигать 1,2 км при 100 кбит/с, а короткая линия позволяет разогнаться до нескольких Мбит/с.

🟣Протокол передачи: Пакет содержит адрес устройства, полезные данные и CRC. Мастер опрашивает слейвов, а те отвечают только на свой адрес. Если два устройства «заговорят» одновременно — протокол аккуратно решает конфликт.

🟣Помехоустойчивость: Дифференциальная передача игнорирует внешние шумы — идеальный вариант для заводов, улиц и мест, где электромагнитный хаос обычное дело.

Серверная Админа | #RS485

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Закрываем панель управления (Management plane hardening)
Не оставляй роутер с «всем открыто» — поменяй порты, отключи ненужные сервисы и пропускай админ‑доступ только с доверенных адресов.

# отключить ненужные сервисы
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes

# включить HTTPS с конкретным сертификатом (предварительно импортируйте cert)
# пример: /certificate import file-name=mycert.crt
/ip service set www-ssl certificate=mycert.crt port=8443

# сменить порт Winbox/SSH (уменьшает шум сканеров)
# например, winbox на 39229, ssh на 2222
/ip service set winbox port=39229
/ip service set ssh port=2222

# разрешаем админ‑доступ только с ACL (создаём список разрешённых адресов)
/ip firewall address-list add list=admin_allowed address=203.0.113.5
/ip firewall filter add chain=input src-address-list=admin_allowed dst-port=39229,2222 protocol=tcp action=accept
/ip firewall filter add chain=input dst-port=39229,2222 protocol=tcp action=drop

🟣Централизованный лог и оповещения
Логи на роутере быстро теряются, шлём их на внешний syslog и на почту при критических событиях. Так увидим попытки взлома в реальном времени.

# отправляем логи на внешний syslog (пример 192.0.2.10:514)
# сначала добавляем действие (action), затем правило логирования
/system logging action add name=to-remote target=remote remote=192.0.2.10 remote-port=514
/system logging add action=to-remote topics=warning,critical,auth

# настраиваем e-mail (пример для оповещений)
# /tool e-mail set server=smtp.example.com from=alerts@example.com user=alerts password=secret
/tool e-mail set server=smtp.example.com from=alerts@example.com user=alerts password=secret

# шлём тестовое письмо (в реальной схеме — триггерить из скрипта при подозрении)
#/tool e-mail send to=you@org.com subject="MikroTik alert" body="Test alert"

# (опция) добавить правило, которое логирует и/или шлёт e-mail при попадании в blacklist
/ip firewall filter add chain=input src-address-list=blacklist action=log log-prefix="BLACKLISTED: "

🟣RBAC и ключи SSH, убираем «admin / password»: Создай пользователей с нужными правами, запрети стандартного admin и используй SSH‑ключи вместо паролей для безопасного доступа.

# добавить оператора с правами только на чтение (read) и отдельного администратора
/user add name=ops group=read password=Str0ngRead!
/user add name=adminops group=full password=VeryStr0ngAdmin!

# отключаем встроенного admin, если он не нужен
/user set admin disabled=yes

# импорт публичного SSH‑ключа для пользователя adminops (файл public_key.pub должен быть доступен)
# /user ssh-keys import user=adminops public-key-file=public_key.pub

# запретить вход по паролю для SSH и разрешить только ключи (опция — если хотите жестко)
# (в RouterOS можно реализовать через policy и внешние сценарии; как минимум используйте ключи и сложные пароли)

Серверная Админа | #Mikrotik

📝 История Ethernet: как обычный кабель стал основой интернета

Сегодня вспомним, с чего начиналась проводная эпоха и почему Ethernet до сих пор вполне себе живет и эволюционирует.

🟣Когда сеть была «толстой антенной»: В начале 80-х Ethernet работал на коаксиале. Один кабель, десятки устройств и вечные коллизии. Если кто-то случайно выдернул штекер - падала вся сеть. Но тогда и 10 Мбит/с казались чудом. Интернет буквально шёл по одной жиле.

🟣Революция витой пары: Потом появился 10BASE-T - тот самый знакомый «интернет-кабель». Сеть стала прямо заметно надёжнее, проще чинить и масштабировать. Коммутаторы заменили хабы, коллизии ушли в прошлое, а Fast Ethernet (100 Мбит/с) сделал работу в сети наконец комфортной.

🟣Эра гигабитов и дата-центров: С ростом файлов и видео пришёл гигабит, потом 10G, 40G, 100G. Оптика вытеснила медь, а Ethernet стал базой дата-центров. Но при этом остался тем же по сути: простым, гибким и понятным инженерам.

🟣И всё ещё актуален: Сегодня Ethernet не только в офисах. Он питает камеры и точки доступа (PoE), управляет станками (EtherCAT) и даже едет в автомобилях (Automotive Ethernet).

🟣Почему он выжил: Потому что инженеры сделали ставку на простоту и совместимость. Всё новое сверху, но основа та же, что и сорок лет назад.

Серверная Админа | #network

Еще и нейронок не хватало…

👨‍💻Серверная Админа | #мем