Любая уважающая себя компания имеет NAC, для того чтобы к порту абы кто не подключился.
В случае жлобства будет достаточно даже 802.1X на портах.
Нормальный админ позаботится об этом, хотя б для того чтоб исключить свою головную боль.
Никто сетевые розетки не держит "для всех".
ЗЫ: тут пишут про службу безопасности и алерты - так вот, это уже второй уровень, ибо устали уже от "умников", сейчас проще запретить. И в таком случае алерты действительно имеют значения, в противном случае, большое количество алертов вызывает "привыкание", и как результат - вас взломали.
Да уж. обмельчали DevOps, аж так, что пишут на хабр исключительно на опыте dev.
Если бы ТС действительно работал с докером, он бы не опустился до той чуши, которую мы здесь прочли.
В данном случае не имеет значения куда и что пробрасывать, совершенно.
Мы просто меняем механизм маршрутизации с управления на файрволе в таблице mangle, на управление в помощью ip rule.
Так же как в линукс-е.
Конечно, в некоторых исключительных случаях не обойтись без mangle, но в данном случае он абсолютно не нужен.
Автор, я так понимаю, не совсем в теме.
Вместо того что-бы маркировать (routing-mark=) в данном случае запросто можно обойтись:
/ip route rules
раскидав по таблицам маршрутизации.
Так как описано в статье делалось на микротиках очень давно.
как пример, чтоб пакеты уходи с того интерфейса, на который пришли:
/ip route rule
add interface=vlan2 src-address=192.168.1.1 table=RES
add interface=vlan3 src-address=172.16.1.1 table=OFC
Писатели намеренно вводят в заблуждение по ss и netstat чтоль?
по ss вывели только tcp (-ant), а по netstat всё (-an).
И да, на разных серверах сравнение ss и netstat не всегда дает преимущество ss, иногда совсем наоборот.
Какой-то детский сад прям, а не DevOps.
И еще, почему не упомянули про ansible-galaxy, ну хотя бы в аспекте создания проекта (папок), например:
# ansible-galaxy init common -p roles
Любая уважающая себя компания имеет NAC, для того чтобы к порту абы кто не подключился.
В случае жлобства будет достаточно даже 802.1X на портах.
Нормальный админ позаботится об этом, хотя б для того чтоб исключить свою головную боль.
Никто сетевые розетки не держит "для всех".
ЗЫ: тут пишут про службу безопасности и алерты - так вот, это уже второй уровень, ибо устали уже от "умников", сейчас проще запретить. И в таком случае алерты действительно имеют значения, в противном случае, большое количество алертов вызывает "привыкание", и как результат - вас взломали.
Совершенно непонятно зачем такое городить то? Внутри между собой контейнеры в одной сети могут обращаться друг к другу по имени + на любой порт.
так же, только счета в нуль.
У меня получилось вернуться с платной подписки на бесплатную через саппорт только что.
Какой ужас - использовать при включенном vdom, домен root как рабочий…
Вам бы за это руки оторвать. В таком случае отключите vdom, или создайте отдельный рабочий домен, а root оставьте как management.
Да уж. обмельчали DevOps, аж так, что пишут на хабр исключительно на опыте dev.
Если бы ТС действительно работал с докером, он бы не опустился до той чуши, которую мы здесь прочли.
Сейчас уже даже в китайских железках pjsip… А эти всё дрочат на chan_sip.
Статья отстой полный.
Можно же переадресовывать напрямую на 127.0.0.1 на 1080.
Если читал, но так ничего и не понял, какую несуразицу он написал, это плачевно, очень плачевно.
зачем 2 раза использовать
если можно один раз, и результат держать в переменной.
а вот когда речь пойдет о полноценном PBR, вот тогда без mangle не обойтись.
Мы просто меняем механизм маршрутизации с управления на файрволе в таблице mangle, на управление в помощью ip rule.
Так же как в линукс-е.
Конечно, в некоторых исключительных случаях не обойтись без mangle, но в данном случае он абсолютно не нужен.
Вместо того что-бы маркировать (routing-mark=) в данном случае запросто можно обойтись:
/ip route rules
раскидав по таблицам маршрутизации.
Так как описано в статье делалось на микротиках очень давно.
как пример, чтоб пакеты уходи с того интерфейса, на который пришли:
/ip route rule
add interface=vlan2 src-address=192.168.1.1 table=RES
add interface=vlan3 src-address=172.16.1.1 table=OFC
/ip route
add check-gateway=arp distance=8 gateway= 192.168.1.2 routing-mark=RES
add check-gateway=arp distance=9 gateway=172.16.1.2 routing-mark=OFC
С каких пор такие мануалы, темы для хабра?
по ss вывели только tcp (-ant), а по netstat всё (-an).
И да, на разных серверах сравнение ss и netstat не всегда дает преимущество ss, иногда совсем наоборот.
И еще, почему не упомянули про ansible-galaxy, ну хотя бы в аспекте создания проекта (папок), например:
# ansible-galaxy init common -p roles