Продолжение флудилки
начало viewtopic.php?f=16&t=148323
В данной теме действуют правила аналогично остальным.
В т.ч. запрещено :
1. Обсуждение политики
2. Торговля во всех ее проявлениях
3. Пропаганда наркотиков, алкоголя!!! и т.п.
Ну понеслась....
Последние статьи и обзоры
Новости
Флудилка (часть 2)
-
Sanьka
Member
-
Феном Феномыч
Member
анти__бот
А мне интересно. Для развития, что бы не путать Бабеля с Бебелем
А мне интересно. Для развития, что бы не путать Бабеля с Бебелем
-
анти__бот
Member
- Откуда: Кропивницький
Да если будешь путать, то и это ничего странного.
-
SergN
Member
- Откуда: Kyiv
загалом-то вже є сучасна версія про Ахматову і АхмєтовуФеном Феномыч:Для развития, что бы не путать Бабеля с Бебелем
-
анти__бот
Member
- Откуда: Кропивницький
Если хочется немецкого сушняка, то Кант лучше подойдёт, если чего интересней то Шопенгауэр, я только общим сведения имею с пересказов отца про этих людей.
Отправлено спустя 1 минуту 13 секунд:
SergN
Во Ахметова очень уважительный человек, наверное родич
Отправлено спустя 1 минуту 13 секунд:
SergN
Во Ахметова очень уважительный человек, наверное родич
-
LostBoy
Member
- Откуда: Оккупированный Донецк - Киев
Что из себя представляет современный http-траффик
- спойлер
-
DarkJoney
Member
LostBoy
А чем мониторите?
А чем мониторите?
-
LostBoy
Member
- Откуда: Оккупированный Донецк - Киев
DarkJoney
Это не мониторинг, этой свой DNS-сервер с блоком "плохих" доменов. У меня дома он развернут на Raspberry Pi 4.
Вот сам проект, он бесплатен, фильтры раз в неделю обновляются - https://pi-hole.net/
Это не мониторинг, этой свой DNS-сервер с блоком "плохих" доменов. У меня дома он развернут на Raspberry Pi 4.
Вот сам проект, он бесплатен, фильтры раз в неделю обновляются - https://pi-hole.net/
-
_clawfinger_
Member
- Откуда: З берегів Дніпра
LostBoy й реклама блокується навіть на мобілках?
-
mgerchik
Member
LostBoy
штука интересная, а можно в двух словах для тех кто не сильно в теме таких манипуляций с сетью, но хотел бы защите по лучше чем никакая?
она в виде приложения? можно просто ставить на комп, или нужен отдельный сервер?
штука интересная, а можно в двух словах для тех кто не сильно в теме таких манипуляций с сетью, но хотел бы защите по лучше чем никакая?
она в виде приложения? можно просто ставить на комп, или нужен отдельный сервер?
-
LostBoy
Member
- Откуда: Оккупированный Донецк - Киев
_clawfinger_
Конечно.
mgerchik
Ну чего сразу для тупых?
Можно, конечно.
Через часик распишу мануал, сейчас демо начинается
Конечно.
mgerchik
Ну чего сразу для тупых?
Можно, конечно.Через часик распишу мануал, сейчас демо начинается
-
_clawfinger_
Member
- Откуда: З берегів Дніпра
Тоді класно.LostBoy:Конечно.
-
анти__бот
Member
- Откуда: Кропивницький
Ну да штука зачётная
Отправлено спустя 9 минут 32 секунды:
Евга фтв3 новая ну сам радиатор понравился, ну много спорных моментов в целом по карте, гайка понравилась
Отправлено спустя 9 минут 32 секунды:
Евга фтв3 новая ну сам радиатор понравился, ну много спорных моментов в целом по карте, гайка понравилась
-
LostBoy
Member
- Откуда: Оккупированный Донецк - Киев
В общем, pi-hole - это dns-форвардер с предопределенным набором черного списка. Все url/uri, находящиеся в блэклисте, будут дропаться в 0.0.0.0 при поступлении днс-запроса от клиента. Дальше условной хороший трафик полетит к вышестоящим DNS-серверам и клиенту вернутся корректные сопоставления имен-адресов. Само собой, в случае с черной дырой блэклист и состоит из ad/tracking сетей. Вроде бы даже ненавистная местными иксперадми телеметрия Виндоуз тоже там есть, но я не проверял, ибо она меня парит не больше, чем погода на Марсе. Но конспирологи должны принять это во внимание
Инсталлируется этот форвардер одним шелл скриптом:
если мы говорим о классическом развертывании на сервере с линуксом. Можно поднять и докером, это удобнее. Но в целом - дело вкуса.
Отвечая на вопрос
Вариант с виртуалкой на домашнем компе вряд ли подойдет, потому что когда хостовая машина выключится или перезагрузится, соответственно, ребутнутся и кернелы гостей, т.е. сервис будет недоступен, а недоступный днс - это неработающий интернет. Не откроется ни одна страничка. Да, вот такая вот печаль
Самым оптимальным мне видится установка на мини-ПК, в моем случае - Raspberry Pi 4. Компактность, низкое потребление энергии, портированный Debian - все в ней хорошо. Замечу, что вполне сгодятся и более старые платы, там вроде главное, чтобы было не меньше 512Мб ОЗУ (могу ошибаться), т.е. старички 3/3B+ тоже вполне прокатят, и даже 2-я прокатит. Цены на них находятся на уровне "выпить пива в пятницу на Подоле" - вот, нашел первую попавшуюся - https://www.olx.ua/uk/obyavlenie/raspbe ... c0b18fb8af (не реклама продавца)
После выполнения скрипта нужно будет выполнить первоначальную настройку девайса, указав прослушиваемые интерфейсы и вышестоящий апстрим. Это, собственно, сам днс-сервер, к которому будут отправляться "хорошие" запросы и от которого будут прилетать "хорошие" ответы В своем маршрутизаторе нужно сменить DNS (именно сменить, а не добавить вторым или третьим! Это обязательно, иначе ваши запросы будут каким-то загадочным образом балансироваться между прописанными днсами, т.е. блэклисты будут не всегда отрабатывать по понятным причинам!) с того, который выдал вам провайдер, на адрес инстанса pi-hole, соответственно, он должен быть застатичен. Статику можно забить как в ос в файле dhcpd.conf, так и в интерфейсе маршрутизатора, не суть важно.
Вот и все, вы великолепны все эти адблоки и гостери уже не очень-то и нужны
Что можно прикрутить еще? Пожалуй, вот:
1. DoH или DNS-over-HTTPS. Не то, чтобы прям очень-очень нужно, но параноики оценят. Если кто не знает, то DNS-запросы 53/UDP приходят к провайдеру в нешифрованном виде. Т.е. спокойно можно посмотреть, кто и куда ходит. Оно-то, в целом, пофиг, но из чувства прекрасного можно и выпендриться. Я в качестве секьюрного DNS выбрал cloudflare, для него в репах есть демон cloudflared, обеспечивающий эту функциональность. Вот тут инструкция, как все поднять - https://m.habr.com/ru/post/468621/ на заметку - если ваш провайдер блокирует какие-то ресурсы только по днс-записи, то таким образом вы обойдете эту блокировку. Мой Триолан отнесся к приказу тщательнее и забанил сети мэйлру и яндекса в т.ч. по пулам айпи, потому что их сервисы у меня не заработали. Мне они, в принципе, без надобности, просто проверка на вшивость провайдера, ответственно люди отнеслись.
2. log2ram или логи в память sd-карточка памяти - слабое место у RPi, а логов будет генериться огромное количество (все запросы логируются, естесна) и все они будут очень интенсивно писаться мелкими блоками, прожигая и без того скромный ресурс сд-шки. Есть проект https://github.com/azlux/log2ram в котором теперь /var/log/ маунтится в озу, сбрасывая дамп на диск только раз в сутки. Там кастомизируются параметры, так что можно подобрать все под себя.
3. Нужно обяз-но поднять мониторинг малины и обеспечить резервное питание с корректным выключением в случае power failure. Если сдохнет - останетесь без интернета, нужно перенастраивать все взад, а нафиг оно надо А в идеале - забалансировать вторым инстансом pi-hole, т.е. поставить еще одну такую же штуковину, но с другим IP-адресом.
Нужно по SNMP собирать метрики с температурой платы и состояние sd-карточки. Я использую прометеус с его экспортерами, может, можно и чем-то другим запилить.
Для графаны созданы неплохие дашборды для мониторинга параметров https://grafana.com/grafana/dashboards/10176 и https://grafana.com/grafana/dashboards/1860
Потенциальные проблемы и способы решения:
1. Ну, самое первое - зафакапленные черные списки. Мейнтейнеры перестарались и внесли чего-то, чего там не должно быть. В принципе диагностировать можно по браузеру с вылетом DNS_PROBE_FINISHED_NXDOMAIN. Нужно добавить нужные домены в вайтлист. Также это можно посмотреть в админке самого pi-hole.
2. Следствие первого. Оказалось огромной проблемой для моей жены
Поскольку googleadservices забанен, то поисковая выдача с пометкой "Реклама" при клике страницу не откроет с вышеупомянутым отбоем DNS_PROBE_FINISHED_NXDOMAIN. Выглядит это так:
3. Закончилось бабло, а пополнять привыкли через кабинет на сайте прова. Обычно, кабинет работает вне биллинга провайдера и зайти туда можно даже будучи в отрицательном балансе. Так вот - не зайдете. Нужно иметь в виду
4. Траблы у вышестоящего DNS-провайдера. Клаудфлэр - крутейшая и огромная компания, факапят они очень редко, но это случается и у них. В прошлом году они уложили на 40 минут пол-интернета и потом извинились. Да, вот так и сказали, наши вам глубочайшие apologize, понять и простить
5. Бонус для параноиков. Это, по сути, классическая реализация MITM - декриптить ваши днс-запросы будет cloudflare, так что специально обученный человек будет сидеть в офисе и записывать, какие ресурсы вы посещаете! Фольга, шапочка, все дела
6. Рекламу в ютьюбе вроде бы не блокирует. У меня премиум давно уже, поэтому не могу проверить, но вроде бы не блокирует. Так что с этим придется жить.
Вот, вроде и все. Делов суммарно минут на 30-40 с запасом. После этого вы увидите совсем другой веб, особенно это касается мобильных устройств.
Из собственного опыта - у меня pi-hole трудится уже около месяца, пока без нареканий. Ресурсов на 4й модели RPi потребляется смешное количество:
Инсталлируется этот форвардер одним шелл скриптом:
Код: Выделить всё
curl -sSL https://install.pi-hole.net | bashОтвечая на вопрос
можно прийти к выводу, что лучше иметь отдельную инсталляцию на сервере. Да, сразу же уточню - нужна машинка с линуксом, винда не прокатит!она в виде приложения? можно просто ставить на комп, или нужен отдельный сервер?
Вариант с виртуалкой на домашнем компе вряд ли подойдет, потому что когда хостовая машина выключится или перезагрузится, соответственно, ребутнутся и кернелы гостей, т.е. сервис будет недоступен, а недоступный днс - это неработающий интернет. Не откроется ни одна страничка. Да, вот такая вот печаль
Самым оптимальным мне видится установка на мини-ПК, в моем случае - Raspberry Pi 4. Компактность, низкое потребление энергии, портированный Debian - все в ней хорошо. Замечу, что вполне сгодятся и более старые платы, там вроде главное, чтобы было не меньше 512Мб ОЗУ (могу ошибаться), т.е. старички 3/3B+ тоже вполне прокатят, и даже 2-я прокатит. Цены на них находятся на уровне "выпить пива в пятницу на Подоле" - вот, нашел первую попавшуюся - https://www.olx.ua/uk/obyavlenie/raspbe ... c0b18fb8af (не реклама продавца)
После выполнения скрипта нужно будет выполнить первоначальную настройку девайса, указав прослушиваемые интерфейсы и вышестоящий апстрим. Это, собственно, сам днс-сервер, к которому будут отправляться "хорошие" запросы и от которого будут прилетать "хорошие" ответы
В своем маршрутизаторе нужно сменить DNS (именно сменить, а не добавить вторым или третьим! Это обязательно, иначе ваши запросы будут каким-то загадочным образом балансироваться между прописанными днсами, т.е. блэклисты будут не всегда отрабатывать по понятным причинам!) с того, который выдал вам провайдер, на адрес инстанса pi-hole, соответственно, он должен быть застатичен. Статику можно забить как в ос в файле dhcpd.conf, так и в интерфейсе маршрутизатора, не суть важно.Вот и все, вы великолепны
все эти адблоки и гостери уже не очень-то и нужны Что можно прикрутить еще? Пожалуй, вот:
1. DoH или DNS-over-HTTPS. Не то, чтобы прям очень-очень нужно, но параноики оценят. Если кто не знает, то DNS-запросы 53/UDP приходят к провайдеру в нешифрованном виде. Т.е. спокойно можно посмотреть, кто и куда ходит. Оно-то, в целом, пофиг, но из чувства прекрасного можно и выпендриться. Я в качестве секьюрного DNS выбрал cloudflare, для него в репах есть демон cloudflared, обеспечивающий эту функциональность. Вот тут инструкция, как все поднять - https://m.habr.com/ru/post/468621/ на заметку - если ваш провайдер блокирует какие-то ресурсы только по днс-записи, то таким образом вы обойдете эту блокировку. Мой Триолан отнесся к приказу тщательнее и забанил сети мэйлру и яндекса в т.ч. по пулам айпи, потому что их сервисы у меня не заработали. Мне они, в принципе, без надобности, просто проверка на вшивость провайдера, ответственно люди отнеслись.
2. log2ram или логи в память
sd-карточка памяти - слабое место у RPi, а логов будет генериться огромное количество (все запросы логируются, естесна) и все они будут очень интенсивно писаться мелкими блоками, прожигая и без того скромный ресурс сд-шки. Есть проект https://github.com/azlux/log2ram в котором теперь /var/log/ маунтится в озу, сбрасывая дамп на диск только раз в сутки. Там кастомизируются параметры, так что можно подобрать все под себя.3. Нужно обяз-но поднять мониторинг малины и обеспечить резервное питание с корректным выключением в случае power failure. Если сдохнет - останетесь без интернета, нужно перенастраивать все взад, а нафиг оно надо
А в идеале - забалансировать вторым инстансом pi-hole, т.е. поставить еще одну такую же штуковину, но с другим IP-адресом.Нужно по SNMP собирать метрики с температурой платы и состояние sd-карточки. Я использую прометеус с его экспортерами, может, можно и чем-то другим запилить.
Для графаны созданы неплохие дашборды для мониторинга параметров https://grafana.com/grafana/dashboards/10176 и https://grafana.com/grafana/dashboards/1860
Потенциальные проблемы и способы решения:
1. Ну, самое первое - зафакапленные черные списки. Мейнтейнеры перестарались и внесли чего-то, чего там не должно быть. В принципе диагностировать можно по браузеру с вылетом DNS_PROBE_FINISHED_NXDOMAIN. Нужно добавить нужные домены в вайтлист. Также это можно посмотреть в админке самого pi-hole.
2. Следствие первого. Оказалось огромной проблемой для моей жены
Поскольку googleadservices забанен, то поисковая выдача с пометкой "Реклама" при клике страницу не откроет с вышеупомянутым отбоем DNS_PROBE_FINISHED_NXDOMAIN. Выглядит это так:
- спойлер
3. Закончилось бабло, а пополнять привыкли через кабинет на сайте прова. Обычно, кабинет работает вне биллинга провайдера и зайти туда можно даже будучи в отрицательном балансе. Так вот - не зайдете. Нужно иметь в виду
4. Траблы у вышестоящего DNS-провайдера. Клаудфлэр - крутейшая и огромная компания, факапят они очень редко, но это случается и у них. В прошлом году они уложили на 40 минут пол-интернета и потом извинились. Да, вот так и сказали, наши вам глубочайшие apologize, понять и простить
5. Бонус для параноиков. Это, по сути, классическая реализация MITM - декриптить ваши днс-запросы будет cloudflare, так что специально обученный человек будет сидеть в офисе и записывать, какие ресурсы вы посещаете! Фольга, шапочка, все дела
6. Рекламу в ютьюбе вроде бы не блокирует. У меня премиум давно уже, поэтому не могу проверить, но вроде бы не блокирует. Так что с этим придется жить.
Вот, вроде и все. Делов суммарно минут на 30-40 с запасом. После этого вы увидите совсем другой веб, особенно это касается мобильных устройств.
Из собственного опыта - у меня pi-hole трудится уже около месяца, пока без нареканий. Ресурсов на 4й модели RPi потребляется смешное количество:
- спойлер
-
анти__бот
Member
- Откуда: Кропивницький
LostBoy
Ну красава
Ну красава
-
_clawfinger_
Member
- Откуда: З берегів Дніпра
LostBoy дякую, хороший матеріал, й за те що не полінувався накатати стільки. 
-
LostBoy
Member
- Откуда: Оккупированный Донецк - Киев
Первый день удаленки, а крыша едет уже похлеще, чем веснойза те що не полінувався накатати стільки
-
leif
Member
тут кожному своє)) я останній раз в офісі працював в 2015році в Києві і з того часу працюю вдома. і офісний ікспірієнс згадую з відразою, хоча це був досить комфортний офіс, без опен спейсів й іншого трешаку. а декому навпаки настільки ж тяжко вдома працювати. від людини залежить, всі ми різніLostBoy:Первый день удаленки
-
LostBoy
Member
- Откуда: Оккупированный Донецк - Киев
Все верно. Мне проще в офисе.leif:а декому навпаки настільки ж тяжко вдома працювати. від людини залежить, всі ми різні
Я еще кое-как работаю нормально, когда один дома, но тут и жена еще рядом сидит работает, и у ребенка каникулы с завтрашнего дня. Это дурдом.
-
_clawfinger_
Member
- Откуда: З берегів Дніпра
LostBoy я теж вдома працюю, причому з 2009 року, криза змусила, тепер в офіс мене не заженеш.
А я вже звик, хоча ночами краще працюються.LostBoy:Я еще кое-как работаю нормально, когда один дома, но тут и жена еще рядом сидит работает, и у ребенка каникулы с завтрашнего дня. Это дурдом.
-
анти__бот
Member
- Откуда: Кропивницький
А какую вы работу работаете?
Отправлено спустя 3 минуты 29 секунд:
Мне нужно прошарить что у вас за работа, у меня на смене времени много, вот только когда дома, то занят
Отправлено спустя 3 минуты 29 секунд:
Мне нужно прошарить что у вас за работа, у меня на смене времени много, вот только когда дома, то занят