Mikrotik: делает простой и понятный интерфейс

Юзеры:

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте xtate

🟣Xtate — это высокоскоростной, расширяемый сканер: умеет асинхронно слать пакеты на сотни тысяч в секунду, собирать баннеры в «статлесс» режиме (ZBanner).

🟣А при необходимости - заводить лёгкий user‑space TCP‑стек (HLTCP) для stateful‑сканов и TLS‑handshake’ей. Поддерживает IPv6, LAN‑режим и плагины (lua, regexp, recog и т. п.).

🟣Быстрые примеры команд (предполагается, что бинарь собран и доступен как xtate)

син‑скан порта 80 на /8 с 10kpps

xtate -p 80 -ip 10.0.0.0/8 -scan tcp-syn -rate 10000

stateless баннер‑граб с http‑probe (zbanner + http)

xtate -p 80 -ip 10.0.0.0/8 -scan zbanner -probe http -scan-arg "-banner"

UDP‑скан порта 80 с echo‑probe

xtate -p u:80 -ip 10.0.0.0/8 -scan udp -probe echo -show info

ARP LAN‑скан /24

xtate -ip 192.168.0.1/24 -scan arp-req -lan

IPv6 NDP с кастомным src‑ip

xtate -ip fe80::1/120 -scan ndp-ns -src-ip fe80::2 -fake-router-mac

интерактивный режим (автодополнение)

xtate --interact

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня расскажу про RS-485 - популярный стандарт для промышленных сетей и автоматики.

🟣Что это: RS-485 — дифференциальный интерфейс, который умеет передавать данные на большие расстояния и почти не боится помех. Полудуплексная линия: два провода, данные текут туда-сюда, но не одновременно.

🟣Физический уровень: Два провода A и B обычно скручены — это как антишумовые наушники для сигнала. На концах ставят терминаторы 120 Ω, чтобы сигнал не «отскакивал». Длина шины может достигать 1,2 км при 100 кбит/с, а короткая линия позволяет разогнаться до нескольких Мбит/с.

🟣Протокол передачи: Пакет содержит адрес устройства, полезные данные и CRC. Мастер опрашивает слейвов, а те отвечают только на свой адрес. Если два устройства «заговорят» одновременно — протокол аккуратно решает конфликт.

🟣Помехоустойчивость: Дифференциальная передача игнорирует внешние шумы — идеальный вариант для заводов, улиц и мест, где электромагнитный хаос обычное дело.

Серверная Админа | #RS485

👋 Привет, сетевой друг!

Расскажу еще о 3 способах прокачать защиту Mikrotik.

🟣Закрываем панель управления (Management plane hardening)
Не оставляй роутер с «всем открыто» — поменяй порты, отключи ненужные сервисы и пропускай админ‑доступ только с доверенных адресов.

# отключить ненужные сервисы
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes

# включить HTTPS с конкретным сертификатом (предварительно импортируйте cert)
# пример: /certificate import file-name=mycert.crt
/ip service set www-ssl certificate=mycert.crt port=8443

# сменить порт Winbox/SSH (уменьшает шум сканеров)
# например, winbox на 39229, ssh на 2222
/ip service set winbox port=39229
/ip service set ssh port=2222

# разрешаем админ‑доступ только с ACL (создаём список разрешённых адресов)
/ip firewall address-list add list=admin_allowed address=203.0.113.5
/ip firewall filter add chain=input src-address-list=admin_allowed dst-port=39229,2222 protocol=tcp action=accept
/ip firewall filter add chain=input dst-port=39229,2222 protocol=tcp action=drop

🟣Централизованный лог и оповещения
Логи на роутере быстро теряются, шлём их на внешний syslog и на почту при критических событиях. Так увидим попытки взлома в реальном времени.

# отправляем логи на внешний syslog (пример 192.0.2.10:514)
# сначала добавляем действие (action), затем правило логирования
/system logging action add name=to-remote target=remote remote=192.0.2.10 remote-port=514
/system logging add action=to-remote topics=warning,critical,auth

# настраиваем e-mail (пример для оповещений)
# /tool e-mail set server=smtp.example.com from=alerts@example.com user=alerts password=secret
/tool e-mail set server=smtp.example.com from=alerts@example.com user=alerts password=secret

# шлём тестовое письмо (в реальной схеме — триггерить из скрипта при подозрении)
#/tool e-mail send to=you@org.com subject="MikroTik alert" body="Test alert"

# (опция) добавить правило, которое логирует и/или шлёт e-mail при попадании в blacklist
/ip firewall filter add chain=input src-address-list=blacklist action=log log-prefix="BLACKLISTED: "

🟣RBAC и ключи SSH, убираем «admin / password»: Создай пользователей с нужными правами, запрети стандартного admin и используй SSH‑ключи вместо паролей для безопасного доступа.

# добавить оператора с правами только на чтение (read) и отдельного администратора
/user add name=ops group=read password=Str0ngRead!
/user add name=adminops group=full password=VeryStr0ngAdmin!

# отключаем встроенного admin, если он не нужен
/user set admin disabled=yes

# импорт публичного SSH‑ключа для пользователя adminops (файл public_key.pub должен быть доступен)
# /user ssh-keys import user=adminops public-key-file=public_key.pub

# запретить вход по паролю для SSH и разрешить только ключи (опция — если хотите жестко)
# (в RouterOS можно реализовать через policy и внешние сценарии; как минимум используйте ключи и сложные пароли)

Серверная Админа | #Mikrotik

📝 История Ethernet: как обычный кабель стал основой интернета

Сегодня вспомним, с чего начиналась проводная эпоха и почему Ethernet до сих пор вполне себе живет и эволюционирует.

🟣Когда сеть была «толстой антенной»: В начале 80-х Ethernet работал на коаксиале. Один кабель, десятки устройств и вечные коллизии. Если кто-то случайно выдернул штекер - падала вся сеть. Но тогда и 10 Мбит/с казались чудом. Интернет буквально шёл по одной жиле.

🟣Революция витой пары: Потом появился 10BASE-T - тот самый знакомый «интернет-кабель». Сеть стала прямо заметно надёжнее, проще чинить и масштабировать. Коммутаторы заменили хабы, коллизии ушли в прошлое, а Fast Ethernet (100 Мбит/с) сделал работу в сети наконец комфортной.

🟣Эра гигабитов и дата-центров: С ростом файлов и видео пришёл гигабит, потом 10G, 40G, 100G. Оптика вытеснила медь, а Ethernet стал базой дата-центров. Но при этом остался тем же по сути: простым, гибким и понятным инженерам.

🟣И всё ещё актуален: Сегодня Ethernet не только в офисах. Он питает камеры и точки доступа (PoE), управляет станками (EtherCAT) и даже едет в автомобилях (Automotive Ethernet).

🟣Почему он выжил: Потому что инженеры сделали ставку на простоту и совместимость. Всё новое сверху, но основа та же, что и сорок лет назад.

Серверная Админа | #network

Еще и нейронок не хватало…

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте netbox-nmap-scan

🟣netbox‑nmap‑scan пробегает по активным префиксам в вашем NetBox, выполняет nmap-проходы и автоматически добавляет/обновляет записи об активных IP (и помечает их тегом autoscan). Топ, если хочется, чтобы база в NetBox отражала реальное состояние сети без ручного ручейка CSV-файлов.

🟣А как он вообще работает: Скрипт читает префиксы из NetBox API → генерирует цели → запускает nmap для каждого префикса → парсит результаты → синхронизирует IP-адреса в NetBox (создаёт, обновляет, проставляет метку времени последнего скана при наличии поля).

🟣Быстрый старт (локально): Клонируете репо и ставите зависимости:

git clone https://github.com/LoH-lu/netbox-nmap-scan.git
cd netbox-nmap-scan
python -m pip install -r requirements.txt

🟣Потом настраиваете ENV / konfig (NetBox URL + API token) и запускаете скан одного префикса:

python main.py --prefix 10.0.0.0/24

Или полная синхронизация всех активных префиксов из NetBox:

python main.py

🟣Через Docker: В репозитории есть Dockerfile — удобно запускать в контейнере на CI или отдельном хосте:

docker build -t netbox-nmap-scan .
docker run --env NETBOX_URL=... --env NETBOX_TOKEN=... netbox-nmap-scan

🟣Полезные фичи и настройки:
• Тег autoscan — пометка адресов, добавленных скриптом.
• Тег Disable Automatic Scanning — если добавите его к префиксу, скрипт его пропустит.
• Опция DNS-резолва (включаемая/выключаемая) — экономит время при больших сетях.
• Поддержка кастомного поля «last_scan» для каждой IP записи — удобно для отчётности.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим о еще 5 лайфхаках, которые помогут сэкономить время при работе в командной строке Cisco IOS.

🟣terminal length 0: Отключение постраничного вывода. Команды типа show run больше не будут прерываться надписями --More--.

🟣do show ip interface brief: Позволяет выполнять команды из режима конфигурации без выхода обратно в привилегированный режим.

🟣show run | include / section / begin: Быстрый поиск по конфигурации. Например, show run | include ospf покажет только строки с OSPF.

🟣logging buffered 64000: Настройка буфера логов и возможность просмотра последних записей через show logging | last 50.

🟣configure replace flash:backup.cfg: Быстрый откат конфигурации из сохранённого файла.

Вот пример конфига с этими фишками:

conf t
terminal length 0
do show ip interface brief
exit
show run | include ospf
logging buffered 64000
show logging | last 50
configure replace flash:backup.cfg
end

Серверная Админа | #Cisco

👋 Привет, сетевой друг!

Расскажу, как на MikroTik настроить лимит скорости для разных клиентов с помощью Queue Tree.

🟣Вообще не всегда все юзеры должны использовать одинаковый объём канала - кому-то нужен быстрый интернет, а кто-то может спокойно «тормозить». Queue Tree может задать общий лимит и раздать его по клиентам, и при этом контролируя приоритеты и короткие пики трафика (burst).

🟣Создаём глобальную очередь для всего канала:

/queue tree
add name="global-limit" parent=global max-limit=100M

🟣Добавляем очереди для отдельных клиентов:

/queue tree
add name="client-A" parent=global-limit packet-mark=to_clientA max-limit=20M
add name="client-B" parent=global-limit packet-mark=to_clientB max-limit=30M
add name="client-C" parent=global-limit packet-mark=to_clientC max-limit=50M

🟣Помечаем трафик через Mangle по IP-адресам клиентов:

/ip firewall mangle
add chain=forward src-address=192.168.10.10 action=mark-packet new-packet-mark=to_clientA
add chain=forward src-address=192.168.10.20 action=mark-packet new-packet-mark=to_clientB
add chain=forward src-address=192.168.10.30 action=mark-packet new-packet-mark=to_clientC

🟣И вот каждый клиент получает свою часть канала, общий лимит не превышается, а если надо, то можно добавлять burst и приоритеты для «коротких скачков» скорости.

Серверная Админа | #Mikrotik

👋 Привет, сетевой друг!

Расскажу, что такое PoE (Power over Ethernet) - технология, позволяющая передавать питание и данные по одному кабелю.

🟣Что это: PoE подаёт электричество прямо по витой паре, благодаря чему можно запитать IP-камеры, точки доступа или VoIP-телефоны без отдельного блока питания.

🟣Как работает: По стандарту 802.3af/at питание подаётся по двум парам, а устройство само «запрашивает» нужное напряжение (обычно 48 В). Коммутатор или инжектор определяет, поддерживает ли клиент PoE, и подаёт ток только после «рукопожатия», так защищается от случайного замыкания.

🟣Типы PoE:
• 802.3af (PoE) — до 15,4 Вт на порт
• 802.3at (PoE+) — до 30 Вт
• 802.3bt (PoE++) — до 60–90 Вт, хватает даже на камеры с подогревом и мощные точки Wi-Fi 6

🟣Где нужен: IP-камеры на столбах, точки доступа на потолках, коммутаторы в стойках. Главное считать суммарное потребление и убедиться, что блок питания коммутатора выдержит нагрузку.

Серверная Админа | #PoE

Интересный адрес…

👨‍💻Серверная Админа | #мем

📝 Какие бывают типы IPv6-адресов?

IPv6 заменил старый IPv4 не только количеством адресов, но и логикой их распределения.

Каждый тип адреса в IPv6 выполняет свою роль в сети 👇

🟣Global Unicast (2000::/3): Это публичные адреса, которые маршрутизируются через интернет. Аналог “белых” IPv4, с ними устройство видно глобально.

🟣Link-Local (fe80::/10): Адреса для связи внутри одной локальной сети. У каждого устройства есть такой по умолчанию, например, для соседей в одной VLAN.

🟣Loopback (::1/128): Аналог 127.0.0.1 в IPv4. Обращение к самому себе, используется для тестов и локальных сервисов.

🟣Unspecified (::/128): Особый адрес “пустоты”. Обозначает, что у узла нет никакого IP. Часто используется при инициализации интерфейса.

🟣Unique Local (fc00::/7): Приватные адреса IPv6 — как 192.168.x.x в IPv4. Работают внутри организации, но не маршрутизируются в интернет.

🟣Embedded IPv4 (::ffff:0:0/96): Позволяет встроить старый IPv4-адрес в IPv6-формат. Нужен для плавной миграции и совместимости.

🟣Multicast (ff00::/8): Используется для рассылки данных сразу нескольким получателям. Например, для стримов или автообнаружения устройств.

🟣Solicited-Node (ff02::1:ff00:0/104): Специальный тип multicast-адресов, применяемый для Neighbor Discovery. когда устройство “ищет” соседей в сети.

Серверная Админа | #network

👋 Привет, сетевой друг!

Сегодня поговорим про RS-232 - классический последовательный интерфейс, с которого началась эра подключения модемов, принтеров и промышленных контроллеров.

🟣Что это: RS-232 - асинхронный интерфейс «точка-точка», где данные идут по отдельным проводам для передачи (TX), приёма (RX) и сигнальных линий управления (RTS, CTS и др.).

🟣Физический уровень: Рабочее напряжение ±12 В делает его устойчивым к шумам на коротких дистанциях, но ограничивает длину кабеля примерно 15 м. Кабель экранируют, а разъёмы DB9 и DB25 - те самые «олдскульные» порты, что раньше были на каждом ПК.

🟣Формат кадра: Передача идёт побитно - стартовый бит, 7–8 бит данных, опциональный бит чётности и стоп-бит. Нет тактового сигнала - стороны просто договариваются о скорости (baud rate), например 9600 бит/с.

🟣Где применяют: Несмотря на возраст, RS-232 до сих пор жив, его юзают в сетевом и промышленном оборудовании, кассовых системах и даже для отладки микроконтроллеров.

Серверная Админа | #RS232

👋 Привет, сетевой друг!

Сегодня расскажу, как с VLAN сегментировать сеть.

🟣VLAN (Virtual LAN) позволяет логически разделять сеть на сегменты, даже если все устройства физически подключены к одному коммутатору. Это удобно для изоляции отделов, улучшения безопасности и уменьшения широковещательного трафика.

🟣Создаём VLAN на коммутаторе:

/interface vlan
add name=VLAN10 vlan-id=10 interface=ether1
add name=VLAN20 vlan-id=20 interface=ether1

🟣Назначаем IP на интерфейсы VLAN:

/ip address
add address=192.168.10.1/24 interface=VLAN10
add address=192.168.20.1/24 interface=VLAN20

🟣Настраиваем DHCP для VLAN:

/ip dhcp-server
add name=dhcp-VLAN10 interface=VLAN10 address-pool=pool10
add name=dhcp-VLAN20 interface=VLAN20 address-pool=pool20

🟣Маршрутизация между VLAN: Если нужно, чтобы сегменты общались, добавляем маршруты и firewall правила.

/ip firewall filter
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=accept

Серверная Админа | #VLAN

👋 Привет, сетевой друг!

Сегодня покажу, как на Cisco настроить приоритетный трафик с помощью MQC.

🟣В больших сетях не весь трафик одинаково важный. VoIP, видеоконференции и RDP чувствительны к задержкам, а торренты или загрузки файлов - нет. С MQC можно создать классы трафика, задать лимиты и приоритеты, чтобы канал использовался эффективно.

🟣Создаём классы трафика:

class-map match-any HIGH-PRIORITY
 match protocol rtp
 match protocol sip

class-map match-any LOW-PRIORITY
 match access-group 20

🟣Создаём политику QoS с приоритетами и лимитами:

policy-map TRAFFIC-POLICY
 class HIGH-PRIORITY
  priority 5000
 class LOW-PRIORITY
  police 10000000 2000000 conform-action transmit exceed-action drop

🟣Применяем политику к интерфейсу:

interface GigabitEthernet0/1
 service-policy input TRAFFIC-POLICY

🟣Access-list для трафика клиентов:

access-list 20 permit ip 192.168.10.0 0.0.0.255 any

Серверная Админа | #Cisco

Когда выбираешь, какой протокол сегодня уронит пол-интернета…

👨‍💻Серверная Админа | #мем