NetworkAdmin.ru

GRE и IPIP: простые туннели без VPN Не всегда нужен полноценный VPN с TLS, сертификатами и клиентами. Иногда задача проще: соединить две сети, протянуть маршрут до подсети или завернуть трафик через удалённый узел. В таких случаях отлично подходят GRE и IPIP - легкие L3-туннели, встроенные прямо в ядро Linux. ▪️ IPIP - самый простой вариант IPIP (IP-in-IP) - это инкапсуляция IP-пакета внутрь другого IP-пакета. Работает только с IPv4 - IPv4. Минимальный пример: Сервер A (1.1.1.1):

    
        
ip tunnel add tun0 mode ipip local 1.1.1.1 remote 2.2.2.2
ip addr add 10.10.10.1/30 dev tun0
ip link set tun0 up{}
    

Сервер B (2.2.2.2):

    
        
ip tunnel add tun0 mode ipip local 2.2.2.2 remote 1.1.1.1
ip addr add 10.10.10.2/30 dev tun0
ip link set tun0 up{}
    

Добавляем маршруты - и сети начинают видеть друг друга.

🤩 Плюсы: минимальный overhead; простота; работает из коробки. 🤩 Минусы: только IPv4; нет multicast; нет шифрования; GRE - гибче и мощнее.

▪️ GRE (Generic Routing Encapsulation) инкапсулирует практически любой L3-протокол. Поддерживает: IPv4 и IPv6, multicast и динамическую маршрутизацию (OSPF, BGP поверх туннеля) Пример:

    
        
ip tunnel add gre1 mode gre local 1.1.1.1 remote 2.2.2.2 ttl 255
ip addr add 10.20.20.1/30 dev gre1
ip link set gre1 up{}
    

На второй стороне - зеркальная конфигурация.

🤩 GRE удобен, если: нужно поднять OSPF между площадками; протянуть несколько подсетей; использовать FRR/Quagga; строить overlay-сеть.

⚠️ Важный момент: это не VPN Ни IPIP, ни GRE не шифруют трафик. Это просто инкапсуляция. Если нужен encryption: поверх GRE можно поднять IPsec или использовать WireGuard вместо этого 🤩 Когда это удобно Связать два датацентра; Протянуть подсеть в облако; Обойти ограничения провайдера; Сделать статическую связку без сложной PKI. Если задача маршрутизация, а не безопасность, то GRE/IPIP часто проще любого VPN. #linux #networking 🧑‍💻 NetworkAdmin

На Stepik добавили курс «Linux с нуля» Этот курс закрывает всю обязательную Linux-базу для работы в IT. Подойдёт для:

- разработчиков - девопсов и админов - специалистов по данным и ML - специалистов поддержки и сопровождения - тестировщиков и безопасников

Внутри 20+ модулей: от установки Linux и работы с файлами до сетей, прав, дисков, процессов, автоматизации на Bash и многого другого. Всё сразу закрепляется на практике (200+ заданий с автопроверкой) Материал подаётся понятным языком, шаг за шагом, на реальных примерах и с наглядными схемами После прохождения вы получите сертификат, который можно добавить в резюме. В ближайшие 48ч курс доступен со скидкой 30% по промокоду «NETWORK30»: открыть курс на Stepik

🔒 trusted и encrypted keys: защита секретов с помощью TPM В linux есть малоизвестный, но крутой механизм хранения секретов прямо на уровне ядра - trusted и encrypted keys. Это специальные типы ключей из подсистемы linux keyrings, которые позволяют защищать данные без хранения их в открытом виде на диске. ▪️ Encrypted keys. Используются для хранения секретов (паролей, ключей, токенов), которые шифруются мастер-ключом ядра. Сам ключ может храниться на диске, но без загруженной системы он бесполезен. Пример создания:

    
        
keyctl add encrypted dbkey "new user:passphrase 32" @s{}
    

Ключ автоматически расшифровывается ядром при использовании, но в файловой системе его содержимое не светится. ▪️ Trusted keys. Более высокий уровень защиты. Такие ключи генерируются и хранятся внутри TPM (Trusted Platform Module) и никогда не покидают его в открытом виде. Ядро получает только дескриптор, а все криптооперации выполняет TPM. Пример:

    
        
keyctl add trusted tpmkey "new 32" @s{}
    

Даже root не сможет извлечь значение ключа, только использовать его. ▪️ Где это применяется защита LUKS (через systemd-cryptenroll); хранение ключей для dm-crypt; secrets для сервисов без plaintext-файлов; привязка данных к конкретному железу. #linux #security 🧑‍💻 NetworkAdmin

Админ отлично знает как устроена эта сеть #юмор 🧑‍💻 NetworkAdmin

🌐 Network Engineer - DevOps: один из самых быстрых карьерных переходов в IT. Сети, автоматизация, понимание инфраструктуры - всё уже есть. Но резюме нужно переупаковать. "Настройка OSPF и BGP" ничего не скажет рекрутеру, который ищет DevOps-инженера. А ATS-фильтр просто не найдёт нужных ключевых слов. 🎯 26 февраля команда GigaDevOps проводит практикум "Собираем DevOps-резюме с AI". Разберём: • как переупаковать сетевой опыт под DevOps-вакансии • как пройти ATS-фильтры • как использовать AI, чтобы собрать резюме за час 👉 РЕГИСТРАЦИЯ

💚 Как быстро прибить процесс, который слушает порт Иногда нужно срочно освободить порт: сервис завис, не перезапускается, новый экземпляр не стартует, а разбираться почему будем потом. Задача простая: найти процесс по порту и завершить его. ▪️ Классический способ. Смотрим, кто слушает порт, через ss, находим PID и убиваем процесс:

    
        
ss -tulnp | grep 8080
tcp LISTEN 0 5 0.0.0.0:8080 0.0.0.0:* users:(("python3",pid=5152,fd=3))

kill 5152{}
    

Рабочий вариант, но требует двух шагов. ▪️ Быстрее через lsof. Гораздо удобнее использовать lsof, который отлично работает не только с файлами, но и с сетевыми соединениями:

    
        
lsof -i:8080{}
    

Пример вывода:

    
        
COMMAND  PID  USER  FD  TYPE DEVICE SIZE/OFF NODE NAME
python3 5156 root  3u  IPv4  41738   0t0  TCP *:http-alt (LISTEN){}
    

И сразу завершаем процесс:

    
        
kill 5156{}
    

А если хочется вообще в одно действие:

    
        
lsof -i:8080 -t | xargs kill{}
    

▪️ Почему lsof? Со временем начинаешь использовать lsof всё чаще:

    
        
lsof -i
lsof -i TCP:25
lsof -i TCP@1.2.3.4{}
    

Очень наглядно показывает, кто, куда и по какому протоколу подключен. ▪️ Совсем ленивый вариант - killport. Есть утилита killport, которая делает все то же самое одной командой:

    
        
killport 8080{}
    

В стандартных репозиториях ее обычно нет, придется скачать готовый бинарник. На Linux без нее легко обойтись, а вот на Windows такая утилита особенно полезна. Можно сначала проверить, что именно будет завершено:

    
        
killport 445 --dry-run
Would kill process 'System' listening on port 445{}
    

Сначала смотрим, потом убиваем - все как надо. #linux #network 🧑‍💻 NetworkAdmin

Новые рекорды ирбиса PT NGFW 🐆❄️Наш ирбис — прирожденный спринтер-чемпион. Но чтобы сохранить титул быстрой кошки, нужно постоянно бить свои же рекорды. Новый вызов поступил от ЦОД: покорить высоты производительности и обработать сотни миллионов микроскопических 📈 В гонку вступил новый чемпион — модель 3050. В зачете «пропускная способность с включенным IPS» он установил новый рекорд 🥇🚀 Мы приглашаем вас за кулисы рекорда — на вебинар 5 марта в 11:00. Это будет не скучная презентация, а технический разбор победы 🔧🎥 Программа: 🏁 Конструкция чемпиона: как спроектирована платформа, чтобы сохранять устойчивость на «марафонских дистанциях» (elephant flows) и не сбивать дыхание на «скоростном спринте» (UDP 64b). 🏁Гонка за эффективностью: 100 Гбит/с — экстремальная нагрузка. Покажем «боевую машину» 3050 и расскажем, зачем нам понадобился 3D-принтер. 🏁Новая дисциплина: remote access VPN. 🏁Обновление экипировки: возможности релизов 1.10 и 1.11 — инструменты для будущих побед. 👉Зарегистрироваться

🤩 tcpdump: фильтры, которые реально нужны tcpdump знают все. Но часто его используют как tcpdump -i any и тонут в потоке пакетов. Ниже будут написаны фильтры, которые действительно спасают. ▪️ Фильтрация по хосту и сети. Трафик к конкретному IP:

    
        
tcpdump -i eth0 host 10.10.10.5{}
    

Только исходящий:

    
        
tcpdump -i eth0 src 10.10.10.5{}
    

Подсеть:

    
        
tcpdump net 192.168.1.0/24{}
    

▪️ Порты и сервисы. HTTP:

    
        
tcpdump tcp port 80{}
    

Несколько портов:

    
        
tcpdump 'tcp port 80 or tcp port 443'{}
    

Исключить SSH:

    
        
tcpdump 'not port 22'{}
    

▪️ Поиск конкретных TCP-флагов. Только SYN (поиск сканирования):

    
        
tcpdump 'tcp[tcpflags] & tcp-syn != 0'{}
    

RST-пакеты (поиск проблем с соединением):

    
        
tcpdump 'tcp[tcpflags] & tcp-rst != 0'{}
    

▪️ Поиск по содержимому. Найти строку в HTTP:

    
        
tcpdump -A -s 0 'tcp port 80' | grep "POST"{}
    

Фильтр по размеру пакета:

    
        
tcpdump 'greater 1000'{}
    

▪️ Анализ проблем с соединением. Только неустановленные соединения:

    
        
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-ack) == tcp-syn'{}
    

Повторные передачи:

    
        
tcpdump 'tcp[tcpflags] & tcp-ack != 0'{}
    

▪️ Захват в файл для анализа. Лучше всегда писать в pcap:

    
        
tcpdump -i eth0 -s 0 -w dump.pcap{}
    

Анализировать потом можно в Wireshark, так удобнее разбирать сложные кейсы. #linux #tcpdump 🧑‍💻 NetworkAdmin

IP-форвардинг в L2 и L3 сегментах IP-пакеты «почему-то» не доходят, хотя линк поднят, VLAN настроен и маршруты вроде есть. В 90% случаев проблема в том, что вы путаете, что именно происходит на L2 и что на L3, и где сеть реально принимает решение «форвардить или нет». 📅 На открытом уроке 24 февраля в 20:00: — Разберём, как передаются IP-пакеты внутри L2-сегмента и как меняется логика в L3-сегменте. — Соберём L2 и L3 сегменты на практике и посмотрим, где именно возникают типовые ошибки в коммутации и маршрутизации. Урок не для тех, кто ждёт «волшебные команды», не хочет разбираться в логике прохождения трафика и считает, что сети — это только «настроить VLAN и забыть». 👉 Записаться: https://otus.pw/H9Hp/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Ты не ты, когда голоден #юмор 🧑‍💻 NetworkAdmin