​​Разделяй и властвуй

И снова про нашу родную 1С, точнее про сервер 1С:Предприятие, который в наш век виртуализации и контейнеризации с завидным упорством продолжают устанавливать и настраивать монолитом, особенно на платформе Linux.

Вина в этом во многом связана с массой материалов в сети, где эта тема именно так и подается, без разбора на составляющие и пояснений. Мол выполни шпаргалку – получишь результат.

Надо ли говорить, что рано или поздно подобное творчество приходится разбирать и перенастраивать. Почему? Этих почему много и ниже мы их коснемся.

▫️ Начнем с самого сервера 1С:Предприятие, в платформе ПРОФ разработчики фактически забрали у пользователя практически все инструменты управления памятью и сервер будет работать с параметрами по умолчанию.

Поэтому это очень плохой сосед и первый кандидат на отселение, точнее главный. Сервер 1С:Предприятие всегда должен жить отдельно.

Часто в статьях про виртуализацию советуют выносить в отдельную виртуалку Сервис лицензирования. Но перед тем, как это сделать нужно хорошо подумать.

Локальная серверная лицензия позволяет запустить неограниченное количество экземпляров сервера на узле. При использовании Сервиса лицензирования: один экземпляр – одна лицензия.

А необходимость второго экземпляра возникает весьма часто, когда та же Бухгалтерия или ЗуП требует новой версии платформы, но вы не хотите обновлять ее в масштабе предприятия, потому что та же Торговля такого обновления не требует.

▫️ СУБД, а наших реалиях это будет все чаще Postgres, но практически все нижесказанное будет справедливо и для MS SQL.

Это второй кандидат на отселение, так как вы не подружите СУБД и сервер 1С:Предприяите по памяти на уровне лицензии ПРОФ.

Для Postgres вообще рекомендуется разносить сервера СУБД по принципу: 1 база – 1 инстанс. Это связано как с возможностью тонкого тюнинга СУБД под нагрузку, так и с особенностями резервного копирования и восстановления Postgres.

Но в любом случае, вне зависимости от СУБД, разделяйте инстансы для рабочих баз, тестовых и архивных. Архивные – это базы прошлых лет, которые бухгалтера любят держать для «зайти посмотреть».

▫️ Веб-сервер, самое интересное, потому что в каждой инструкции он есть и нигде не рассказывается зачем и почему, просто ставим м все тут. А потом удивляемся.

Начнем с того, что никакого преимущества веб-клиент перед тонким клиентом не имеет. В том числе и на медленных каналах. Поэтому если можете использовать тонкий клиент – используйте.

Веб-сервер удобен для подключения извне и использует только один порт, вместо набора портов для тонкого клиента. Дополнительного лицензирования он не требует и его также лучше выносить.

В клиент-серверном варианте веб-сервер обработкой запросов не занимается и просто проксирует их серверу 1С:Предприятие, поэтому ресурсов много не потребуется.

Веб-сервера тоже лучше разделять, как минимум по разным информационным базам или их наборам. Во-первых, это связано с версией платформы, которая должна совпадать между сервером 1С:Предприятия и веб-сервером.

Во-вторых, это более удобно в плане обслуживания и безопасности, так как можно разделить разных пользователей по разным веб-серверам.

Из этих же соображений веб-сервер работающий наружу лучше выделять в отдельную виртуальную машину и не публиковать там ничего лишнего.

Для популярных ныне веб и HTTP-сервисов также используйте отдельный веб-сервер, опять-таки исходя из соображений обслуживания и безопасности.

При этом помним, что никакой полезной информации веб-сервера на себе на хранят и поэтому мы их можем создавать и удалять в любом количестве в зависимости от текущих потребностей.
При этом совмещать веб-сервера для 1С с другими ролями и задачами не следует.

Но опять-таки, перед тем как настраивать веб-сервер подумайте, а для чего он вам нужен и нужен ли вообще. Потому что это еще один компонент системы, который требует обслуживания и во многих случаях он просто не нужен.

​​1С:РМК

На неделе запустили в тестовую эксплуатацию несколько торговых точек на новом продукте 1С:РМК и готовы поделиться первыми результатами.

Начнем с причин, побудивших нас на это решение. Несмотря на то, что фронт на базе 1С многими подвергается критике, причем вполне заслуженной, решение это пользуется популярностью.

Причина проста – 1С можно дорабатывать под свои нужды и хотелки, причем делать это относительно дешево. В свое время 1С:Розница стала отличным решением, закрывающим основные нужды торговой точки, как фронтовые, так и товароучетные.

Но с выходом Розница 2 пошел тренд на усложнение программы, фактически делая его полноценным продуктом для учета в рознице не только как в роли фронта, но и полноценного бек-офиса.

А введение маркировки, ЕГАИС, Меркурия и прочего вовсе превратило программу в довольно тяжелый комбайн.

При этом технического решения разделить ее на полноценный бек и легкий фронт не существовало, между базами начинал курсировать все больший объем информации, который приводил к задержкам при синхронизации и стремительно увеличивал размер базы, что приводило к критическому снижению производительности, особенно на ПОС-терминалах в файловом режиме.

В магазине средней руки база фронта могла за год распухнуть за десяток гигабайт, а свернуть ее тоже не такая простая задача.

Поэтому взгляд упал на новый продукт 1С:РМК, который представляет отдельное рабочее место кассира и нечего больше. В основе лежит новый РМК 1С, который стандартизован с остальными конфигурациями 1С.

Здесь разработчики пошли от обратного и ударились в крайний минимализм. Первые версии вызывали только недоумение, там, как в магазинах позднего Союза, ничего не было, а то, что было поставлялось по принципу, жрите, что дают и без вариантов.

Но уже начиная с версии 1.0.15, выпущенной в конце июля этого года продукт достиг вполне съедобной фазы и перспективы применения в реальной торговле перешли из разряда желаемого в действительное.

Хотя многое все еще вызывало вопросы, например, количество плиток палитры товаров, которые захардкодили в размере 4 х 3, но вот буквально на днях вышла 1.0.16.75, где этот параметр стал настраиваться.

В целом решили рискнуть. Сопряжение с Розница 2.3, который будет в перспективе исключительно бек-офисом прошло без особых проблем. Синхронизация доступна через веб-сервисы, что удобнее и практичнее синхронизации через FTP или файлы.

Да, не все ровно и кое-что в каждом РМК надо править руками. Например, в палитре быстрых товаров не переносится номенклатура, названия позиций есть, номенклатуры нет. Но это терпимо.

Также есть неявные моменты с настройкой, скажем того же эквайринга. Но проблема там не в этом, а в отсутствии нормальной документации. Ее просто нет. Основной источник знаний – канал на Рутубе. Поэтому пришлось выделить полдня на его вдумчивый просмотр и сразу дело пошло веселее.

Что может вызвать сложности? Маркетинговые программы, в 1С:РМК все это работает через сервер лояльности в центральной системе, и мы еще до конца с ним не разобрались. Но, скорее всего, весь набор маркетинговых акций придется пересматривать.

С другой стороны, появляется возможность реализовать новые варианты взаимодействия с покупателем, например, через программы лояльности, бонусные программы. С одной стороны, ломается «старое доброе», но иногда его когда-то надо ломать и смотреть на мир свежим взором.

В остальном 1С:РМК показал себя неплохо, несмотря на ряд объективных сложностей кассиры с первого дня отметили, что новая программа проще и удобнее, особенно в плане работы с маркировкой или настройки интерфейса.

Стала лучше работа с маркировкой. Если с маркой что-то не так или требуются дополнительные действия кассир узнает об этом сразу, а не в момент пробития чека, особенно когда списался безнал, а на пробитии чека на ККТ вышла ошибка маркировки.

Но самым главным мы считаем то, что после первого дня кассиры нам сказали, что да, есть недоделки, но переходить на старый интерфейс не захотели. Поэтому проект будем расширять и продолжать.

Интересуетесь микроконтроллерами, но не знаете, с чего начать?

🧩Узнайте, как за 10 рублей создать настоящие микросхемные проекты!

Присоединяйтесь к открытому вебинару «Программирование микроконтроллеров Padauk» и откройте для себя возможности программируемых микроконтроллеров.

👉Вебинар подойдет начинающим электронщикам, инженерам, разработчикам и всем, кто хочет углубиться в электронику.

На занятии вы познакомитесь со средой разработки FPPA IDE и научитесь создавать прошивки для Padauk на miniC.

Зарегистрируйтесь и узнайте, как внедрить микроконтроллеры в свои проекты.

🔥 Участники вебинара получат скидку на полный курс «Электроника и электротехника»!

🔴 Не пропустите — встречаемся 20 ноября в 20:00 мск. Регистрация открыта: https://clck.ru/3EYx9z?erid=LjN8KFqyM 

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Имитация плохого канала в Mikrotik

Время от времени требуется проверить работу сетевых приложений и служб в условиях плохого канала.

Это легко сделать на оборудовании Mikrotik при помощи опции Random в правилах брандмауэра. Допустимые значения от 1 до 100, которые указывают вероятность срабатывания правила в процентах.

Затем создаем правило, которое будет блокировать пакеты, ставим ему нужную вероятность и поднимаем на самый верх цепочки, во всяком случае выше правила для ESTABLISHED и RELATED.

Самый простой пример:

add action=drop chain=forward in-interface=bridge1 out-interface=ether5 random=3

Но этим возможности не ограничиваются, вы можете составлять собственные правила с использованием всех доступных критериев. Т.е. имитировать сбои только по определенным протоколам и направлениям.

В общем инструмент есть, а как его применить – это уже каждый думает самостоятельно.

​​Пираты не берут донаты

Наткнулись мы тут третьего дня на один интересный проект. Который предлагает инструменты с открытым исходным кодом для обхода проверок лицензирования Windows. А проще говоря – скрипты для активации продуктов MS. Естественно, не совсем легальной, точнее – совсем нелегальной.

Но интересен проект не этим, а тем, что его авторы ведут целый отдельный сайт, не скрываясь и не скрывая своего вида деятельности. А сами скрипты хостят на GitHub и Azure DevOps. Причем везде честно и открыто пишут, что это и зачем.

Правда донатов не берут, мотивируя это высокими идеалами:

✔️ Where can I donate?
MAS project doesn't accept donations and it's free.
It's because it's a community project and involves many contributors, splitting donations is not practical, and also because profiting from piracy is not good.

Ну вы поняли, зарабатывать на пиратстве нехорошо. Но факт пиратства признается и не отрицается.

А дальше возникают вопросы: это что, Microsoft совсем мышей не ловит? Или…

В свое время президент бизнес-группы Microsoft Джефф Райкс откровенно сказал:

✔️ Если перед пользователем встанет выбор использования пиратского ПО, мы бы хотели, чтобы этот человек использовал наше ПО, чем чье-то другое. Мы понимаем, насколько важна база клиентов, использующих наше программное обеспечение. А с ходом времени многие из них решат перейти на лицензионное ПО

И это достаточно прагматичный ход. Человек, который привык работать с продуктами MS дома перенесет свои привычки и на работу, а там уже проще их монетизировать, благо рычаги влияния на юридических лиц имеются и часть из них даже записаны в Уголовном кодексе.

Поэтому гайки надо крутить с умом, не перетягивая, чтобы не сорвать резьбу. Если человек решительно настроен использовать ПО бесплатно и даже нашел активатор, то и пес с ним, пусть использует, ведь иначе он может поставить и что-нибудь другое.

👉 В общем, если воруют, то пусть воруют у нас.

А такой проект, который еще и Open Source, в целом всем сторонам удобен. Это не для домохозяек, поэтому прямого ущерба не наносит. А кто решительно не намерен расставаться со своими кровными, то пусть лучше используют активатор, чем ищут альтернативу.

Только вот подобную беспечность товарищей разработчиков я решительно не понимаю. Они прекрасно осознают, что занимаются противоправными вещами, со всеми вытекающими.

У нас это однозначно 273 УК РФ. Создание, использование и распространение вредоносных компьютерных программ, часть вторая - группой лиц по предварительному сговору или организованной группой.

А диспозиция там проста и ее подтверждает Пленум Верховного Суда:

✔️ Для квалификации действий лица по части 1 статьи 273 УК РФ как оконченного преступления достаточно установить создание части (фрагмента) кода вредоносной компьютерной программы

И прецеденты такие были, самый известный – это товарищ Соболь (в миру Сергей Давыдюк), со своей «саблей». Фирма 1С тоже долго закрывала глаза, мотивируя это тем же самым – пусть воруют у нас. Но потом открыла глаза и закрыла Соболя.

Правда он еще легко отделался, прошел по 273 ч.1 УК РФ и получил два года условно, но в нашем государстве сам факт наличия судимости уже серьезно отравляет жизнь.

Другой товарищ, Андрей Кирсанов и вовсе вроде бы не делал ничего плохого, просто писал ботов для игры в World of Tanks. Но такое действие было признано модификацией компьютерной информации и снова привет 273 УК РФ, два с половиной года ограничения свободы.

А там законодательство в этом плане не менее суровое чем здесь, а то и более. Там можно еще и на многозначную сумму ущерба прилипнуть.

Но видимо что-то все таки понимают и донатов принципиально не берут, потому что в подобных делах именно получение денежных средств всегда проходит отягчающим обстоятельством, а так можно хоть попытаться закосить под исследователей с академическими целями.

Электроника ВМ-12

Данный советский видеомагнитофон не пользовался большой популярностью по прямому назначению, особенно когда в начале 90-х в страну хлынула волна зарубежной техники.

Но, в конце 90-х и начале нулевых эти видеомагнитофоны пользовались ажиотажным спросом. Их искали по комиссионкам, по объявлениям в газетах, сами давали такие объявления.

Зачем? И почему? Какие секреты хранил советский видик?

Хотим порекомендовать вам канал нашего знакомого Артура Керимова -ex PO SberDevices, MTS

У него вы можете найти множество советов по началу карьеры продактом:

1. Как улучшить резюме
2. Как стать продактом
3. День из жизни продакта

А также кейсы, полезные материалы, обзоры продуктовых решений и стартапов:

1. Где продакту искать будущие тренды?
2. Обзор приложения для AI креативов Zoomerang
3. Доминирование пиратства на рынке

А с недавнего времени также можно найти советы по работе и учебе за рубежом

​​Электроника ВМ-12 – как много в этом слове…

Конец 90-х и начало нулевых были не простыми в экономическом плане, только – только страна отошла от дефолта 98-го, и проблема добычи средств насущных стояла остро, особенно для студентов и молодых специалистов.

Ну а где студенту взять денег? Бегали по домам, переустанавливали Windows, что-то загружали-разгружали и вообще крутились как могли.

Отдельной статьей дохода была сдача лома радиодеталей, в частности конденсаторов КМ, которые содержали палладий и скупались тогда по цене 1$ за грамм.

Поиск КМ в те годы стал одним из «национальных видов спорта» для всех, кто был в теме, ну а нам, студентам-электронщикам мимо пройти было никак.

Сначала под дерибан пошли все свои радиолюбительские запасы, затем наличествовавшая в доме электроника. Выпаять нужный конденсатор и заменить аналогом труда не представляло.

Также в дело пошли барахолки, которые были на рынках каждого города и продавалось там все подряд, включая радиодетали россыпью, платы, старую электронику.

Отдельная статья – это вынос с производства, причем как новых деталей, так и выдранных из оборудования, но нас это не касались, мы работали преимущественно в правовом поле.

Постепенно сложилась некая «табель о рангах» советской электроники откуда можно было достать такие конденсаторы. На его вершине, с огромным отрывом от остальных стоял советский видеомагнитофон Электроника ВМ-12.

В те годы он как видеомагнитофон был не нужен абсолютно никому и купить его в хорошем состоянии можно было за 500 – 800 руб. Если пересчитать на доллары, то выходило 18-30$ или такой же эквивалент в конденсаторах.

А накусать из него можно было спокойно грамм сто, а то и более. В моей практике максимум был 135 грамм, но сотка всегда накусывалась спокойно, ну или очень близко к ней.

Что такое 100$ в те времена? Это 2700 руб. или месячная зарплата начинающего специалиста. Я очень скоро пошел на свою первую работу с окладом в 2500 руб., на руки выходило со всеми надбавками примерно 2800 руб.

А когда я через два года ушел в компьютерную фирму на 4000 руб. то все считали, что мне хорошо повезло и за такое место надо держаться.

А тут вы получали чистыми (за вычетом затрат на покупку магнитофона) 2000 руб., за полчаса несложной работы кусачками.

Перепаивать конденсаторы в ВМ-12 смысла не было, очень много работы, а выхлоп копеечный. Хотя и этим занимались, когда цены на магнитофоны стали расти.

Уже через некоторое время, когда эта информация широко разошлась в народ, цены на ВМ-12 резко выросли, до 1000 – 1500 руб. Но все равно это оставалось выгодным, так как на выхлопе получалось практически еще столько сверху. Да, условная 1000 руб. – это куда хуже 2000 руб., но и она на дороге не валялась, а тут просто легкие деньги.

Доходило до того, что тебя могли тормознуть местные пацаны на районе и спросить, мол ты в КМ-ках соображаешь? Оказывается, они откопали где-то ВМ-12, но понятия не имели что оттуда выкусывать и просили помочь за долю малую. Обычно за 10-15 грамм. Иногда побольше, но в этом случае еще просили сходить с ними на сдачу, чтобы барыга их не обул как лохов (а такие случаи были).

Поэтому очень скоро ВМ-12 стал настоящим дефицитом, а при покупке его обязательно надо было открыть и убедиться, что в нем действительно стоят искомые конденсаторы КМ, так как нарваться на перепаянный магнитофон стало проще простого. Иногда на ценниках в комиссионках так и писали – КМ нет!!!

Что касается самих денег, то покупательная способность рубля тоже была иной, по причине студенческого возраста хорошо помню я в те годы только цены на пиво. Так средний пивас стоил тогда 3 – 3,5 руб. за бутылку, сейчас такое пиво в среднем 60 руб., т.е. разница примерно в 18 раз.

Посему в нынешних ценах выхлоп с одного ВМ-12 составлял 18 – 36 тыс. руб. (1000 – 2000 руб. теми деньгами), что очень неплохо даже по сегодняшним меркам.

Сегодня КМ вроде тоже скупают, примерно по 150 руб. грамм, таким образом ВМ-12 спокойно тянет на 15 тыс. грязными. Сумма, конечно, поскромнее, но все еще привлекательная.

​​Правомерное использование ПО

Вчера в очередной раз подняли тему правомерного использования ПО и, как всегда, пришлось услышать самые разные мнения.

Поэтому сегодня будет краткий ликбез на эту тему. Для правомерного использования любого ПО вы должны соблюсти два условия: легальность приобретения и наличия права на использование.

И если с легальностью приобретения все ясно: кассовый чек или первичные документы полностью закрывают этот вопрос, то вот право на использование – вопрос сложный и выяснить его можно одним единственным способом – прочитать лицензионное соглашение.

Именно так, потому что единых законодательных норм нет и быть не может, стороны свободны в заключении договора. Излишне говорить, что у разного ПО лицензионные соглашения тоже будут разные. Кроме того, лицензионное соглашение может ограничивать способы легального приобретения.

При этом совершенно неверно применять к ПО нормы вещного права, так как программа – это неисключительная лицензия на использование чужой интеллектуальной собственности. И приобретая ее вы приобретаете не вещь, а право использования.

Самый простой тип лицензии – это коробочная (BOX), она же обычно самая дорогая. И как раз она более всего подпадает под нормы вещного права. Вы можете без ограничений продать или подарить коробку третьему лицу и это будет полностью легально.

Сейчас на смену коробкам пришли электронные лицензии подобного типа, но смысл один – вы можете продать или еще как-либо передать ее третьему лицу. После чего вы право использовать данный продукт теряете, а он приобретает.

В конце лета мы как раз обсуждали ситуацию с приобретением лицензий КРИПТО-ПРО на Яндексе, когда продавец прислал одинаковые номера. Так вот, КРИПТО-ПРО — это аналог коробки. Лицензия – это серийный номер и владелец имеет полное право делать с ним все что хочет. Так написано в лицензионном соглашении.

Поэтому купившему такой серийный номер ничего не грозит. Он его приобрел легально и права на использование не нарушил, максимум – пройдет потерпевшим.

А теперь другой пример. OEM лицензия MS, данный продукт содержит целых два лицензионных соглашения. Одно – соглашение со сборщиком систем, напечатано на внешней упаковке, которая дополнительно снабжена пломбой, на которой написано, что, вскрывая упаковку вы данную лицензию принимаете.

Лицензия сборщика прямо запрещает использовать данное ПО в собственных целях и допускает единственный вид законного использования – передать конечному пользователю в составе готового изделия.

Вторая лицензия – это соглашение с пользователем, которая ограничивает его привязкой лицензии к оборудованию. Вы не можете перенести ее на другой компьютер, но имеете право продать вместе с оборудованием.

Но чем дальше в лес, тем сложнее. Корпоративные лицензии как правило подразумевают прямое заключение договора с пользователем и тем самым сокращают способы легального приобретения.

Так корпоративные лицензии MS можно легально приобрести только у официальных партнеров, так как подразумевают соблюдение всей цепочки лицензирования, в этом случае вы заключаете с поставщиком сублицензионный договор, который подразумевает что он имеет все нужные права и полномочия.

В противном случае «ваша» лицензия будет являться тыквой, так как на самом деле она совсем не ваша. Это как раз относится к серому импорту.

То, что у вас есть все ключи, дистрибутивы и даже какие-то красивые бумажки, включая документы о приобретении «легальным» способом не будут значить ровно ничего, потому что нарушена цепочка лицензирования.

Грубо говоря, последний продавец не имел права передавать эти лицензии вам. Но подождите, документы ведь есть, чем это отличается от КРИПТО-ПРО?

А отличается именно лицензией. КРИПТО-ПРО позволяет законно использовать лицензию любому, у кого есть номер. Корпоративная лицензия MS – тому, у кого есть договор с компанией или ее законным представителем, который имеет право заключать такие договора.

Если такого договора нет или цепочка лицензирования нарушена – вы используете контрафакт со всеми вытекающими.

Мне кто-нибудь объяснит, что происходит? В статье про Zabbix меньше всего ожидаешь таких вопросов и тем более использование тестового имени из статьи при реальном развертывании.

Вопросы из разряда «мой первый веб-сервер» уровня детского сада. И полное непонимание того, что такое FQDN, куда его писать и как разрешать. И это не единичный такой вопрос. 🤦‍♀️🤦‍♀️🤦‍♀️

Если это квалификация современных администраторов, то становится как-то не по себе. И возникает закономерный вопрос: а для чего им Zabbix? Красивые картинки на монитор выводить?

Сразу поясним, мы не против начинающих, наоборот, большинство наших статей как раз для начинающих. Но определенные вещи требуют определенной базовой квалификации. И когда видишь полное ее отсутствие, но желание поднять Zabbix, ничего кроме недоумения не возникает. 🙈🙈🙈

​​Защита Mikrotik от брутфорса через SSH

Атаки на SSH – пожалуй самый распространенный тип атак, стоит только выставить 22 порт наружу как начнутся попытки подбора пароля.

Хороший вариант – настроить аутентификацию по ключу и запретить вход с логином и паролем, но у RouterOS нет такой возможности.

Поэтому будем выкручиваться другими методами, а именно считать пакеты со статусом NEW в течении некоторого небольшого времени, скажем 5 минут.

Здесь мы исходим из того, что легальный пользователь пришлет всего один такой пакет. Далее соединение будет установлено и пакеты пойдут со статусом ESTABLISHED. Ну максимум два, если пользователь неверно указал логин или не переключил раскладку (вход с паролем).

Поэтому оставим три легальных попытки, а каждый, кто будет превышать это количество отправится в бан.

Ловить пакеты мы будем в mangle – PREROUTING и отправлять их в отдельную цепочку FB-SSH, где и будем выполнять все проверки.

Адрес источника каждого нового пакета на 22 порт мы помещаем в список FB-SSH-1 на пять минут. Если пришел повторный новый пакет, то отправляем адрес уже в список FB-SSH-2 на 15 минут.

Третий новый пакет отправится в список FB-SSH-3 уже на час и теперь если в течении часа последует еще одна попытка подключения – адрес источник улетит в бан на сутки.

Такая схема с увеличением таймаутов позволяет бороться с умными ботами, которые не долбятся сразу, а выдерживают некие паузы, чтобы не попасть в блокировку.

Все это в терминале:

 firewall mangle
add action=jump chain=prerouting connection-state=new dst-port=22 in-interface=ether1 jump-target=FB-SSH protocol=tcp
add action=add-src-to-address-list address-list=FB-SSH-BAN address-list-timeout=1d chain=FB-SSH  connection-state=new dst-port=22 protocol=tcp src-address-list=FB-SSH-3
add action=add-src-to-address-list address-list=FB-SSH-3 address-list-timeout=1h chain=FB-SSH  connection-state=new dst-port=22 protocol=tcp src-address-list=FB-SSH-2
add action=add-src-to-address-list address-list=FB-SSH-2 address-list-timeout=15m chain=FB-SSH  connection-state=new dst-port=22 protocol=tcp src-address-list=FB-SSH-1
add action=add-src-to-address-list address-list=FB-SSH-1 address-list-timeout=5m chain=FB-SSH  connection-state=new dst-port=22 protocol=tcp

Банить будем в raw, на самом подлете:

 firewall raw
add action=drop chain=prerouting src-address-list=FB-SSH-BAN

Данный способ не обладает изяществом, но позволяет эффективно блокировать попытки подбора паролей к SSH, это сразу становится видно по сообщениям лога, точнее по их отсутствию.

Но будьте осторожны, чтобы самому не попасть под собственный фильтр и оставляйте запасные пути, например, через VPN.

🌟 Считаешь себя восходящей или даже состоявшейся звездой в управлении Kubernetes?

Докажи! Проверь свои знания Kubernetes. На кону крутые призы – электрогитара, эксклюзивный мерч от Orion soft и книга «Внедрять нельзя откладывать. Карта рынка ИТ-инфраструктуры».

Начать 🎸

И снова напомним - наш цикл по iptables, закрывает все основные вопросы начинающих.

🔹 Основы iptables для начинающих. Часть 1. Общие вопросы

🔹 Основы iptables для начинающих. Часть 2. Таблица filter

🔹 Основы iptables для начинающих. Часть 3. Таблица nat

🔹 Основы iptables для начинающих. Часть 4. Таблица nat - типовые сценарии использования

🔹 Основы iptables для начинающих. Как сохранить правила и восстановить их при загрузке

Установка MikroTik RouterOS на VDS/VPS

Cloud Hosted Router - специальный продукт компании Mikrotik позволяющий установить MikroTik RouterOS практически на любую виртуальную машину.

Однако не все хостеры позволяют загружать собственные образы, но это не страшно, RouterOS можно поставить на любой VPS с Linux, о чем мы и расскажем в данной статье.

Также уделим отдельное внимание UEFI-системам и предварительной настройке образа, позволяющей избежать потенциальных проблем с безопасностью и уменьшить количество ручной работы, а также сразу получить требуемую конфигурацию RouterOS.

https://interface31.ru/tech_it/2024/11/ustanovka-mikrotik-routeros-na-vdsvps.html

С 11 ноября 2024 года Workstation Pro и Fusion Pro стали бесплатными для использования в личных, коммерческих и образовательных целях, а коммерческие версии сняты с продажи.

Ранее, с мая 2024 года данные продукты были бесплатными для личного и некоммерческого использования.

При этом поддержка по данным продуктам более оказываться не будет. Для пользователей, купивших коммерческую версию, поддержка останется доступна до окончания срока контракта без возможности ее продления.

С одной стороны – новость хорошая, с другой – создается впечатление что дальнейшего развития продукта ждать не следует, особенно на фоне предыдущих новостей, согласно которым Linux-версию Workstation Pro собираются переводить на движок виртуализации KVM.

​​Какие проездные действуют на пригородных электричках

Вопрос проезда на пригородных электричках – насущный вопрос для каждого современного городского жителя. Как и стремление сделать такое передвижение удобным.

Раньше было проще, можно было купить в киосках Спортлото студенческий проездной темного красного цвета со стильным, модным и молодежным драконом или проездной для участников Куликовской битвы с оранжевым кружком и какой-то синей фигнюшкой внутри, на замочную скважину похожую.

Но с некоторых пор обладателям данных проездных бесплатный проезд на пригородном направлении закрыли. Ну да дело это ответственное, а тут повадились ездить всякие, все стены вагонов похабщиной исписали, в тамбурах намусорили.

В общем сказали – нефиг пускать студентов, да и ветераны Куликовской битвы путь тоже за свои кровные катаются, да и куда им кататься, пусть по домам сидят, мемуары пишут.

Сплошное расстройство от этого приключилось, говорят можно еще на маршрутке туда поехать, купив билетики со странными иностранными буквами VMESS, VLESS и чего-то там еще.

Но маршрутки мелкие, неудобные, нельзя погрузить сразу всех чад, домочадцев с домашними животными и прочими прихлебателями. Сажать их надо в разные маршрутки, пойди потом, собери их всех пока.

Нет, электричкой куда удобнее, там и в тамбур выйти покурить можно и бутерброды с копченой колбасой пожевать. В общем надо что-то решать.

Говорят, можно по старому проездному сесть на городскую электричку, доехать до конечной, а там попробовать пересесть на пригородный, но тут как повезет, а если вдруг не пустят? Как дурачку стоять на конечной?

Пошел я снова в киоск Спортлото, мало-ли, чего нового завезли. А продавец с какой-то коробки пыль стряхивает, вот говорит, возьми.

- Так это же проездные времен Царя Гороха, - удивился я, кому они сейчас нужны.

- Так дореволюционное качество, до сих пор работают. Революции – революциями, а на электричке ездить надо. А тут пройти можно, даже если свет выключат. Фото приклеишь, мы тут печать поставим и будешь ездить.

Как-то оно сложно все, но деваться некуда, пошел сделал фото, приклеили, печать поставили, только предупредили, прикинуться приличным человеком, ну там вместо драных джинс и кроссовок туфли с пинжаком обуть.

Нашел туфли, погладил шнурки, пошел на вокзал, подхожу на вход, протягиваю билетеру книжечку, простая такая, бумажная. И простые такие буковки с дореволюционными закорючками: ЫП ЫП. Была еще другая книжечка, там буквы ГРЪ были, но мне эта больше понравилась.

Думал проверять будут, а билетер даже не взглянул, мол проходите гражданин, не задерживайте. А чада с домочадцами и животные домашние? Что, тоже пусть проходят? Ну да, конечно, мы люди приличные, старой закалки.

И снова сел в родную электричку, да поехали всей толпой в пригород, а там природа, раздолье, разнообразие. Хочешь рыбу лови, хочешь грибы собирай.

А не перестанут завтра пускать? Да пес его знает, но мы же, сударь, люди приличные, с печатью и фотокарточкой, чего таких не пускать?

​​Размышления о будущем формате работы

Последнее время показывает, что появляются темы, которые нельзя открыто освещать на общедоступных ресурсах и уже были прецеденты, когда РКН прямо просила убрать с сайта материал.

Писать эзоповым языком про ночной кинотеатр и проездные на пригородные электрички – это конечно весело, но непродуктивно, потому что мы обсуждаем, все же, серьезные технические вещи.

Делать разделение по принципу геопривязки, когда кому-то показываем, кому-то не показываем – это лишние заморочки, которые проблему не решают. Большинство читателей ходит с российских адресов и, следовательно, материалов не увидят.

В тоже время это оставляет ресурс под потенциальной блокировкой со стороны контролирующих органов и если сейчас все происходит в достаточно мягкой форме, то неизвестно что будет завтра и рисковать всем массивом информации нет никакого желания.

Телеграмм – тоже не вариант. Во-первых, серьезные ограничения на формат и оформление поста, во-вторых, он тоже вполне себе регулируется, с нового года все каналы от 10 000 должны быть или зарегистрированы или получают черную метку, после чего от них все начнут шарахаться.

Поэтому в планах третий вариант – закрытый ресурс с клубным типом членства. Когда доступ к контенту получают не только лишь все, а ограниченный круг лиц и наружу ничего не индексируется.

Естественно, это не бесплатно, но речь будет идти о трехзначных суммах в месяц, что доступно даже школьнику.

Пока выбор пал на платформу boosty.to, куда планируется перенести все то, что уже убрано с сайта, а также дополнять статями про то, как настроить ночной кинотеатр или оформить себе проездной.

А там, поживем – увидим. Приживется – будем развивать направление. Нет – так нет, дело хозяйское.

​​Спрашивают – отвечаем

Добрый день, хочу собрать домашний сервер с установкой Proxmox, а в нем NAS, Samba, Nextcloud, Adguard и т.д. ,в наличие есть мат.плата Gygabyte и процессор Ryzen 5 1600x.

Что "лучше", докупить 64 Gb оперативки DDR (около 15 т.р.) к имеющимся железкам или взять с Ali комплект Xeon E5 2673 V3 и 256 Gb оперативки DDR3 (около 20 т.р.) ?

Вопрос очень интересный. Начнем со второго пункта – китайских Xeon. Здесь мы сразу порекомендуем прочитать нашу статью:

🔹 Имеет ли смысл покупка Intel Xeon LGA2011-3 из Китая в 2021 году

Несмотря на то, что статья написана осенью 2021 года (3 года назад) информация актуальности не потеряла, все эти процессоры до сих пор присутствуют в продаже, разве что цены изменились, да конкуренты в текущем ценовом диапазоне поменялись.

Но общие выводы по линейкам Xeon остаются справедливыми.

Линейка Xeon E5-1600 v3/v4 представлена процессорами с ядрами Haswell-EP (v3) и Broadwell (v4), что соответствует четвертому и пятому поколению процессоров Intel Core. Тактовые частоты, кроме самой младшей модели, начинаются от 3 ГГц, а в режиме Turbo Boost могут достигать 4 ГГц, количество ядер от 4 до 8. Тепловой пакет всех процессоров составляет 140 Вт.

В целом эта линейка сегодня уже не интересна, 4-8 ядер с тактовой частотой от 3 ГГц предоставляют сегодня модели среднего уровня с куда лучшей энергоэффективностью и производительностью на ядро.

Линейка Xeon E5-2600 v3/v4. Здесь мы все также имеем дело с четвертым и пятым поколением Intel Core, но сам подход к построению данной линейки иной. Если в E5-1600 мы имели дело с небольшим количеством быстрых (по меркам своего поколения) ядер, то E5-2600 предлагает нам гораздо более медленные ядра, но много.

Судите сами, если линейка E5-1600 заканчивалась 8 ядрами, то Е5-2600, по сути, с восьми ядер только начинается, но тактовые частоты гораздо ниже, всего 2 - 2,5 ГГц. Turbo Boost, конечно, умеет вытягивать частоты до 3,5 ГГц, но еще раз напомним, максимальная частота у Intel достигается только при нагрузке на одно ядро.

Вообще данную линейку многие должны хорошо помнить и далеко не у всех эти воспоминания будут приятные. Злую шутку тут сыграла система наименований процессоров, по настольным линейкам пользователи привыкли, что чем выше индекс процессора - тем он производительнее.

В общем и целом - так оно и есть. Но серверные процессоры имеют ряд своих особенностей, с которыми мало кто разбирался. Если смотреть на общие результаты тестов, то E5-2600 оказывался мощнее, но для достижения такого результата на практике нужно было найти чем загрузить всё доступное количество ядер и потоков.

И вот этот момент важен, в том числе и в нашем случае. Если сравнить оба процессора (https://www.cpubenchmark.net/compare/3000vs2061/AMD-Ryzen-5-1600X-vs-Intel-Xeon-E5-2680-v2), то мы увидим, что по общей производительности у нас полный паритет.

Но Ryzen предлагает 6 ядер / 12 потоков по 3,6 ГГц, а Xeon 10 ядер / 20 потоков по 2,8 ГГц, в итоге производительность в один поток у него на 18% хуже. А это уже достаточно серьезное отставание.

Далее, в Ryzen мы можем установить 64 ГБ быстрой памяти DDR4, в Xeon целых 256 ГБ, но более медленной DDR3.

А дальше надо думать и смотреть предполагаемую нагрузку. Если бы речь шла о домашней лаборатории, то я бы не колеблясь рекомендовал бы купить Xeon и 256 ГБ DDR3.

В этом сценарии не так важна производительность на поток, как возможность запускать множество виртуальных машин одновременно, нагрузка на каждую из которых будет довольно незначительна.

Домашний сервер – это уже несколько иное. Там может возникнуть потребность в перекодировании медиа или иной обработке контента, которая требует вычислительных ресурсов.

Причем активных клиентов может быть немного, но каждый из них будет запускать требовательные задачи, так что в этом случае выгоднее взять более быстрый процессор, хоть и с меньшим количеством памяти, так как в этом случае вы сможете использовать вычислительные ресурсы более полно и обеспечить более высокую производительность.