Достался новый в коробке за пару банок коньяка. Взял от жадности и ради самообразования. Никогда Juniper`ов не щупал. Ищу последнюю прошивку (6.хх) и более менее понятный мануал по настройке для новичка. Щас стоит 5.хх.
Я понимаю что аппарат устарел, но спортивный интерес и желание пощупать есть. Спасибо за понимание
Салом! (привет на таджикском)
Занимательный (и чуточку возмутительный) факт обнаружил при скриптовании правил фаервола (который firewalld) в ОС вида "RHEL8" (AlmaLinux8, Rocky Linux 8, etc).
По какой-то неведомой причине добавление элементов ipset-а в сам ipset через файл работает "через раз" (в общем, как повезёт), если использовать "--add-entries-from-file" в рамках bash-скрипта.
Провёл не менее десятка попыток запуска скрипта. Корректно ряд подобных команд (для 4-х ipset-ов) отработал только единожды, хотя ввод вручную отрабатывает стабильно (не проверял более трёх раз).
При этом, если в рамках скрипта использовать в цикле команду на добавление единичного элемента в конкретный ipset ("--add-entry"), то проблем не возникает.
В общем, в скриптах лучше задействовать добавление элементов в ipset при помощи "--add-entry".
Максимальное время нахождения элемента ipset-а во временном наборе (элемента ipset-а в ipset-е, где при создании был указан параметр "timeout" > 0) - чуть менее 25 дней, а если точнее, то 24 дня, 20 часов, 31 минута и 23 секунды или 2147483 секунд.
Поэтому, если, например, требуется предоставить некий доступ через firewalld на довольно долгий срок, но всё-таки не на постоянной основе, то требуется решение, отличное от временных элементов ipset-ов.
Сделал на днях через госуслуги электронный апостиль на нужный мне документ. Сегодня получил его. Вроде всё хорошо, подписи, циферки. Для проверки есть ссылка с адресом проверки и qr код на неё. Все прекрасно. Но...
Вообще апостиль — это форма легализации документа за рубежом, он подтверждает полномочия выдавшего документ учереждения за рубежом. Так вся изюминка в том, что сайт Минюста режет иностранные ip адреса. Началось всё еще прошлой весной, когда оппоненты массово ддосили российские госучреждения. Не думаю что в этом был смысл, но с тех пор множество российских сайтов тупо режет доступ брандмауэром по гео ip.
То есть смысла в цифровом апостиле который и проверить нельзя приближается к нулю. Но посмотрим...
Linux
Windows
MacOS
Android
iOS
Hardware
Слизано: https://t.me/sysodmins/18780
В конторе имеется около 30 компов, на 20ти компах под виндовс 10-11 хотят запретить открытие любого потокового видеоконтента.
Раньше имел опыт работы с прокси сервером керио, но честно говоря лень поднимать новый сервер, потом мучиться с фильтрами и прочее.... хотя при необходимости все же сделаю отдельный сервер.
Вопрос в том что возможно есть какой нить софт для локального компьютера который рубит все видео кодеки во всех браузерах например или что то подобное?
Либо посоветуйте нормальный современный прокси который будет бани весь видео контент.
Спасибо за ранее!
Slan!
Довольно забавный момент связан с "механикой" добавления/удаления ipset-элементов в ipset-списки с ограниченным временем жизни (параметр "timeout") элементов. Для краткости будем называть такие списки "temporary_ipset".
1. Создадим temporary_ipset через firewall-cmd
"firewall-cmd --permanent --new-ipset=temporary_ipset --option=timeout=6000"
"firewall-cmd --reload".
2. Добавим в ipset пару элементов
"firewall-cmd --ipset=temporary_ipset --add-entry="11.12.13.14""
"firewall-cmd --ipset=temporary_ipset --add-entry="14.13.12.11"".
3. Попытаемся посмотреть список элементов через firewall-cmd
"firewall-cmd --permanent --info-ipset=temporary_ipset".
Список элементов мы не увидим, т.к. для просмотра элементов с ограниченным временем жизни необходимо использовать команду
"ipset list temporary_ipset". Так вот не очень удобно реализовано (RHEL8).
4. Удаление элемента из temporary_ipset тоже с подвохом.
Команда "firewall-cmd --permanent --ipset=temporary_ipset --remove-entry="11.12.13.14"" не даст нужного результата и выдаст ответ вида "Error: IPSET_WITH_TIMEOUT".
Для удаления из temporary_ipset необходимо воспользоваться утилитой ipset -
"ipset del temporary_ipset 11.12.13.14".
5. Добавление элемента в temporary_ipset с таймаутом, отличным от заданного, невозможно через firewall-cmd. В этом случае нам также поможет утилита ipset -
"ipset add temporary_ipset 11.12.13.144 timeout 500".
6. Чтобы переопределить таймаут уже добавленного элемента, необходимо через утилиту ipset сначала удалить элемента, а после добавить с иным таймаутом.
(Небольшой бонус)
7. Удаление temporary_ipset осуществляется уже стандартно -
"firewall-cmd --permanent --delete-ipset=temporary_ipset".
После необходимо выполнить "firewall-cmd --reload". Если этого не сделать, то ipset всё ещё будет доступен через одноимённую утилиту.
Если по каким-то причинам нежелательно проводить reload, то исполняем команду удаления ipset-а (выше), а после удаляем temporary_ipset посредством команды
"ipset destroy temporary_ipset".
