Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
0 просмотренных постов скрыто
2
Вопрос из ленты «Эксперты»

Постоянные падения домашней сети

Добрый день, гуру сетей! Столкнулся со следующей проблемой:

Неделю начала активно отваливаться сеть, скорее всего и раньше были падения, но не настолько часто, оборудование на крыше год как поменяли, но вот неделю назад ад начался, постоянные провалы идут, техник перетянул кабель до свитча, поменял порт дважды. Падения постоянные на коммутаторе, т.е. на первом хопе, который коммутатор(скорее всего) идет падение на 1-15 секунд и дальше поднимается как ни в чем не бывало. Т.е. пинг не проходит по сути первый хоп и дальше по цепочке все лежит. Самый большой промежуток без падений что-то в районе 25 минут. Падает на разное время и через разный промежуток, но ложится в ноль. Техник уверяет, что это коммутатор и скорее всего проблемы с софтом потому что ошибок в логе нет. Я пинговал пингплоттером и просто через cmd. Провайдер МТС. На ноутбуке техника пинговали, падения были. Может быть кто-то сталкивался с подобным? Что это может быть? Ибо комфортным такой интернет, в условиях выключенного мобильного интернета, не называть.

Заранее спасибо за любые советы, мне было предложено подождать неделю и подать заявку, если ничего не поменяется, техник обещал открыть запрос на ремонт коммутатора. Другой провайдер не протянуть, очереди на два месяца в виду отключения мобильного интернета. Очереди заявок порядка 6-9 тысяч и обрабатывается в месяца порядка 2-3к.

Постоянные падения домашней сети Компьютерная помощь, Интернет, Проблемы с сетью, Локальная сеть, Сисадмин, Компьютерные сети, Windows, Спроси Пикабу, Вопрос, Нужен совет

График с визуализацией из PingPlotter.

[моё] Компьютерная помощь Интернет Проблемы с сетью Локальная сеть Сисадмин Компьютерные сети Windows Спроси Пикабу Вопрос Нужен совет
56
6

СисАдмины запасайте вазелин (это пока не точно)

Звонил знакомый. Суть проблемы - в домашней сети не работает сеть у ПК на Windows 10. Мозговой штурм (описывать весь не буду) привёл к отключению IPv6, после чего проблема пропала.

Микрорасследование показало, что провайдер молча подключил IPv6 клиенту (клиент - пенсионер, вероятность сознательного подключения - 0), роутер автоматом выделил подсеть и все устройства в домашней сети оказались доступными из глобальной сети по прямому IPv6-адресу.

Что именно дало нагрузку не разбирались. Похоже на DDoS, но сомнительно. Возможно кто-то что-то пытался проверять.

Тестовое включение IPv6 после инцидента проблему не воспроизвело.

Суть проблемы в том, что если будет эпидемия аналогичная WannaCry 2017 года, то лягут не только сервера выставленные "голой жопой" в Интернет (через проброс портов), а все ПК с IPv6 т.к. они по-умолчанию доступны из сети напрямую.

Умные мысли в комментариях приветствуются.

UPD. Ложная тревога (конкретно этот случай). Дочка клиента вспомнила, что пару месяцев назад вызывала мастера по объявлению на остановке т.к. знакомый был недоступен. Провайдер - Дом.ру, когда постучались в роутер (Asus) пароль не подошел, роутер был сброшен (после инцидента и поста).

Спасибо всем откликнувшимся.

[моё] Информационная безопасность Ipv6 Windows Linux Компьютерные сети Интернет Текст
11
356

Онлайн-курс "Программирование компьютерных сетей на Python" (бесплатно)

Год назад я выложил свой первый бесплатный курс "Основы компьютерных сетей". За это время на него записалось примерно 13 000 обучающихся, а средний рейтинг составляет 4.9. Особую благодарность я выражаю всем тем, кто указывает на опечатки, неточности и предлагает интересные формулировки. Благодаря вам этот курс стал на много лучше! Я бы даже сказал, что это уже не только мой курс, а наш общий =)

Недавно я дописал и выложил свой второй курс "Программирование компьютерных сетей (Python)". Как и первый, он полностью бесплатный, без регистраций и СМС.

Это практический курс для тех, кто хочет научиться писать свои собственные сетевые приложения на Python под Linux. На курсе вы научитесь:

  • Писать свой TCP/UDP сервер и клиент

  • Отправлять пакеты на сервер точного времени и читать ответ

  • Устанавливать безопасное (SSL) соединение

  • Писать многопоточный TCP/UDP сервер

  • Формировать свои произвольные пакеты (raw socket, scapy)

  • Писать свой сниффер (raw socket, scapy)

  • Управлять сетевыми настройками в ОС Linux прямо из Python (pyroute2)

  • Работать с tun/tap устройствами и писать собственные туннели (VPN)

Помимо лекционного материала с многочисленными примерами, курс содержит несколько практических заданий и теоретических вопросов, для закрепления материала.

[моё] Программирование Онлайн-курсы Образование IT Компьютерные сети Python Курсы Бесплатное обучение Linux Текст
41
34

С Днём системного администратора!

В последнюю пятницу июля праздник отмечают сисадмины. Обычно это всякого рода инженеры и программисты. В крупных компаниях там целая экосистема с множеством задач.

С Днём системного администратора! День сисадмина, Сисадмин, Праздники, Поздравление, Традиции, Компьютерные сети

У технарей утвержденный праздник и круто если корпоратив! Поздравляю всех причастных с Днём системного администратора!

МК

[моё] День сисадмина Сисадмин Праздники Поздравление Традиции Компьютерные сети
2
3

VipNet

Господа, если кто-то сталкивался с такой системой как Vipnet - подскажите что и где я делаю не так?
Есть у нас координатор, который даёт доступ к ресурсам разных контор, но у нас частенько такое бывает, что доступ к сети одной из контор резко обрезается. Доступ к остальным остаётся. Помогает лишь перезагрузка координатора. Потом снова работает сутки примерно и всё по новой. Раньше была проблема, что доступ прекращался во все конторы, но я снизил трафик поступаемый через координатор и глобальная проблема исчезла.
Заранее спасибо.

Компьютерная помощь Компьютерные сети Текст
14
0
Вопрос из ленты «Эксперты»

Видеонаблюдение

Здравствуйте. Предыстория: решила я воспользоваться достижениями китайской мысли и купила комплект видеонаблюдения Baseus с домашней станцией H1 и двумя камерами N1 в комплекте.

При покупке проверила дома - всё было хорошо.

Установила на даче. Интернет приходит через 4g роутер Tp-link MR100, домашняя станция подключена к роутеру кабелем.

Порядок действий по инструкции такой: включаем-втыкаем, ждём пока загорится синяя лампочка, нажимаем кнопку, добавляем станцию в фирменное приложение, добавляем камеры и всё работает.

Так происходит не всегда, очень редко всё гладко, обычно просто не добавляются устройства в приложение. Выдают ошибку с кодом -1 и предлагают отправить журнал разработчику, хотя сам журнал посмотреть не дают.

При отключении электричества, заново всё не восстанавливается - "станция и камеры не в сети", удаляю все устройства из приложения, начинаю заново добавлять, и опять лотерея, может часами/днями не добавляться, а потом всё получается. Но опять до следующего раза.

Когда работает, то всё нормально: трансляция есть, запись событий есть, оповещения есть, доступ к записям и трансляции что с мобильного интернета телефона, что с домашнего из квартиры.

Интернет не пропадает на роутере, покрытие и скорость интернета (25 мбит/с) хорошее (вышка сотовой связи в пределах 200м).

Пробовала из квартиры, где есть обычный проводной интернет (с "белым" ip) тоже такая же ситуация с добавлением в приложение.

Писала китайцам в поддержку, но там капец, хуже чем на Али описание товаров...

Плохо что система закрытая, из взаимодействия с пользователем только эта синяя лампочка.

Роутер станцию видит, показывает её проводное подключение, выдает ей IP. Через роутер подключены ещё WiFi датчики температуры, смарт-выключатели (Tuya), работают без проблем. С телефона через WiFi в интернет выходит.

Пробовала с разных сотовых операторов (Теле2, Йота, ГПБ, Мегафон) всё одинаково. Звонила в поддержку оператору связи, говорят что никаких блокировок и ограничений по моим симкам нет.

Перезагружала всё что перезагружается, делала сброс домашней станции, роутеру, меняла симки. Последний раз получилось с заводскими настройками роутера, просто тупо тыкала в добавление устройства и сработало в один момент.

Может какие-то настройки роутера мешают станции нормально работать? Что такого меняется, если ничего не меняла в роутере, а внезапно всё начинает работать? И работает до перезагрузки устройств.

Показать полностью
Вопрос Спроси Пикабу Видеонаблюдение Консультация Проблема Нужен совет Компьютерная помощь Baseus Компьютерные сети Текст
13
20

Продвинутая защита Nginx

Nginx — пока еще один из самых популярных веб-серверов, и ключевой компонент современной корпоративной архитектуры. В этой статье мы рассмотрим базовые параметры конфигурации (доступные "из коробки"), которые упрощают мониторинг, улучшают производительность и усиливают безопасность — в конечном итоге повышая устойчивость вашей инфраструктуры.

Логирование в формате JSON

JSON — лучший выбор формата для логов Nginx по двум основным причинам. Во-первых, он гораздо более читаем для человека. Во-вторых, передача логов в такие системы, как OpenSearch, для последующего мониторинга или в рамках SIEM-решений становится сильно проще.

Вот простой пример из nginx.conf:

log_format json-logger escape=json '{

"type": "access-log",

"time": "$time_iso8601",

"remote-ip": "$remote_addr",

"x-forward-for": "$proxy_add_x_forwarded_for",

"request-id": "$request_id",

"request-length": "$request_length",

"response-bytes": "$bytes_sent",

"response-body-size": "$body_bytes_sent",

"status": "$status",

"vhost": "$host",

"protocol": "$server_protocol",

"path": "$uri",

"query": "$args",

"duration": "$request_time",

"backend-duration": "$upstream_response_time",

"backend-status": "$upstream_status",

"method": "$request_method",

"referer": "$http_referer",

"user-agent": "$http_user_agent",

"active-connections": "$connections_active"

}';

access_log /var/log/nginx/access.log json-logger;

Это приведёт к следующему выводу в файле access.log:

{

"type": "access-log",

"time": "2025-02-25T16:02:54+00:00",

"remote-ip": "130.61.78.239",

"x-forward-for": "130.61.78.239",

"request-id": "38750f2a1a51b196fa0a76025b0d1be9",

"request-length": "258",

"response-bytes": "353",

"response-body-size": "167",

"status": "404",

"vhost": "3.69.78.187",

"protocol": "HTTP/1.1",

"path": "/lib/phpunit/Util/PHP/eval-stdin.php",

"query": "",

"duration": "0.016",

"backend-duration": "0.016",

"backend-status": "404",

"method": "GET",

"referer": "",

"user-agent": "Custom-AsyncHttpClient",

"active-connections": "1"

}

Параметризация запросов

Большие размеры тела запроса, длительные тайм-ауты и чрезмерно увеличенные настройки KeepAlive могут негативно повлиять на производительность. Чтобы повысить эффективность, лучше устанавливать эти параметры на минимально возможные значения — при этом, само собой, соблюдая требования вашего приложения.

Пример из nginx.conf:

client_max_body_size 10M;

client_body_timeout 10s;

client_header_timeout 10s;

keepalive_timeout 5s 5s;

Описание параметров:

  • client_max_body_size

Определяет максимальный размер тела HTTP-запроса, который клиент может отправить. Если лимит превышен, Nginx возвращает ошибку 413 Request Entity Too Large.

  • client_body_timeout

Задает максимальное время ожидания полного тела запроса. Если за это время тело не получено, соединение будет закрыто.

  • client_header_timeout

Устанавливает максимальное время ожидания полного заголовка HTTP-запроса от клиента. Если лимит превышен — соединение также закрывается.

  • keepalive_timeout

Определяет, как долго будет оставаться открытым соединение Keep-Alive после последнего запроса.

Первый параметр (например, 5s) задаёт тайм-аут на стороне сервера. Второй (опциональный) параметр передаётся клиенту как предложение о том, как долго он может держать соединение открытым.

Ограничение количества запросов

На случай если клиент пытается перегрузить веб-сервер частыми запросами, Nginx предоставляет возможность настроить "зоны ограничения запросов" (limit request zones) — для контроля трафика по различным параметрам.

Пример настройки (реверс-прокси с зоной ограничения запросов):

limit_req_zone $binary_remote_addr zone=limitreqsbyaddr:20m rate=15r/s;

limit_req_status 429;

upstream app.localhost {

server localhost:8080;

}

server {

listen 443 ssl;

server_name app.devlab.intern;

location / {

limit_req zone=limitreqsbyaddr burst=10;

proxy_pass http://app.localhost;

}

}

Пояснение параметров:

  • $binary_remote_addr

Используется для настройки зоны ограничения по IP-адресу клиента. Адрес сохраняется в бинарной форме (это снижает потребление памяти).

  • zone=limitreqsbyaddr:20m

Создаёт общую (shared) область памяти объёмом 20 МБ с именем limitreqsbyaddr. В этой зоне хранятся данные о лимитах для разных IP-адресов.

  • rate=15r/s

Ограничивает количество запросов до 15 запросов в секунду на IP. Превышение лимита приводит к отклонению избыточных запросов.

  • limit_req_status 429;

При превышении лимита Nginx возвращает статус 429 Too Many Requests, что означает: "Слишком много запросов за короткое время".

Эта конфигурация помогает защитить сервисы от перегрузки и злоупотреблений.

Ограничение только на необходимые HTTP-методы

На мой взгляд, ограничение допустимых HTTP-методов только теми, которые действительно необходимы или поддерживаются приложением (например, REST API), — это чистый и логичный способ синхронизации настроек веб-сервера с логикой приложения. Это помогает не только предотвратить неправильное использование API или вызов нежелательных методов, но и блокирует потенциально опасные запросы вроде TRACE. Кроме того, это снижает ненужную нагрузку на сервер, устраняя неподдерживаемые или неуместные запросы.

Пример: разрешён только метод GET (HEAD разрешается по умолчанию):

# HEAD is implicit

limit_except GET {

deny all;

}

Пример: разрешить все методы, кроме TRACE и PATCH:

if ($request_method ~ ^(PATCH|TRACE)$) {

return 405;

}

Простая защита от ботов

Если на сервер поступают запросы от ботов или плохо сконфигурированных сканеров (часто с «говорящими» user-agent'ами), можно внести путаницу и затруднить их работу, возвращая нестандартный статус HTTP от самого Nginx.

Для этого создаём файл bot.protection.conf в директории /etc/nginx/snippets со следующим содержимым:

map $http_user_agent $blacklist_user_agents {

~*wpscan 1;

~*dirbuster 1;

~*gobuster 1;

}

Вы можете дополнять список по мере необходимости.

Внутри конфигурации виртуального хоста (VHost) подключите файл следующим образом:

include /etc/nginx/snippets/bot.protection.conf;

if ($blacklist_user_agents) {

return 444;

}

HTTP 444 также можно «весело» использовать для предотвращения угадывания служебных файлов, таких как .env:

# <your-domain>/.bash_history for example ends with HTTP 444.

location ~ /\. {

return 444;

}

Что означает HTTP 444?

HTTP 444 — это нестандартизированный статус-код, используемый в NGINX, который заставляет сервер мгновенно закрыть соединение без отправки заголовков ответа клиенту. Чаще всего используется для отклонения вредоносных или некорректно оформленных запросов. Интересный побочный эффект: некоторые сканеры не умеют корректно обрабатывать такие ответы, что добавляет дополнительный уровень защиты.

Включение TCP Fast Open

TCP Fast Open — это важное улучшение в Nginx, которое позволяет более эффективно устанавливать TCP-соединения. Эта функция даёт возможность начать передачу данных уже во время начального рукопожатия, что заметно ускоряет процесс установления соединения. Особенно полезна она в условиях высокой сетевой задержки, так как помогает сократить латентность и повысить производительность.

Проверка поддержки TCP Fast Open в ядре Linux

Выполните следующую команду:

cat /proc/sys/net/ipv4/tcp_fastopen

Если в ответе вернётся 1, функция уже включена. Если нет — включите её командой:

echo 1 > /proc/sys/net/ipv4/tcp_fastopen

Использование в конфигурации Nginx

Добавьте параметр fastopen в директивы listen:

listen [::]:443 ssl http2 fastopen=500;

listen 443 ssl http2 fastopen=500;

Число 500 — это количество подключений, которые могут использовать TCP Fast Open одновременно (значение можно адаптировать под вашу нагрузку).

Сжатие с помощью GZip

GZip — это метод сжатия данных, позволяющий уменьшить размер файлов. При этом исходные данные можно полностью восстановить путём распаковки («разархивирования») сжатого файла.

Для веб-приложений и сайтов GZip особенно важен, поскольку HTTP-протокол поддерживает передачу данных в сжатом виде до того, как они попадут в сеть.

Почему GZip важен:

  • Снижение трафика: при включённом GZip размер передаваемых файлов уменьшается, что приводит к меньшему потреблению пропускной способности.

  • Экономия на хостинге: меньше трафика — ниже затраты на обслуживание.

  • Ускорение загрузки для пользователей: посетители получают более лёгкие файлы, что сокращает время загрузки страниц.

Пример конфигурации:

gzip on;

gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

Эта настройка включает GZip и указывает типы содержимого, которые следует сжимать (текст, CSS, JavaScript, XML, JSON и др.).

Показать полностью
IT Linux Гайд Системное администрирование Nginx Компьютерные сети Текст Длиннопост
9
5

Нужен совет по выбору/настройке VPN

Добрый день!

Требуется: обеспечить доступ к машинам в локальной сети через VPN для WIndows- и Android-клиентов, часть траффика (Netflix жене, тов. майор) с машин и/или клиентов пускать через удалённый хост.

Имеется:

  • физическая локальная сеть (статический белый IP, OpenVPN-сервер)

  • удалённый хост (статический белый IP, цепляется клиентом к OpenVPN-серверу)

Сервер в идеале должен быть в физической сети - потому как приоритетно подключение (через него) к прочим машинам в его физической сети, плюс лучше, наверное, лишний раз не долбиться в басурманские IP.

Всё это, можно сказать, прекрасно работает через OpenVPN: клиенты соединяются с сервером, все друг друга видят, Netflix смотрится через удалённый хост, но .. соединение несмотря на гигабитные каналы медленное, задержки бывают будь здоров, Еблайн вообще отсекает Open-VPN (как и, к слову, Outline).

Нужна альтернатива OpenVPN, которую по случайному чиху не перекроют.

Хорошо всё и красиво написано во множестве постов про Xray + VLESS/XTLS - включая вариант с обратным прокси (удалённый хост стучится на сервер, а затем через удалённый хост направляется часть траффика), Traffic-Splitting тоже удобно выглядит, всякие Nekoray, v2RayN и прочие клиенты.

Но вот чего я не пойму: как пропускать часть траффика с машин из локальной сети через удалённый хост и как при подключении клиента (условно ноутбук через интернет с телефона) сделать доступной всю локальную сеть? - Не ставить же на каждую машину клиент в виде того Nekoray.

PS AmneziaWG - возможный вариант, но, насколько я догоняю, в случае чего это первый кандидат на расстрел из-за того, что траффик подозрительно выглядит как мусор.

Показать полностью
VPN Windows Linux Компьютерные сети IT Текст Openvpn Нужен совет
62
Посты не найдены