Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

Переезд плюс-минус завершен

2011-08-24 23:50:57 (читать в оригинале)

Общий результат:

1. Сэкономить не удалось. vps-ка в итоге обошлась примерно во столько же, сколько канал от провайдера.
В результате, общая сумма порядка 1000 рублей в месяц, вместо 815. Зато исходящий канал шире в 6 раз, а входящий - в два.

2. Никаких vpn-в не понаднадобилось. Почта туда прекрасно ходит по smtp со starttls и авторизацией по сертификату. Почта сюда сваливается на vps-ку а оттуда релеится через нестандартный порт.
скрипт с вызовом nsupdate сидит в dhclient-exit-hook.d и апдейтит зону. Немножко пришлось поразвлекаться чтобы заставить его апдейтить запись $ORIGIN A. Потому что разводить доменные имена пятого уровня мне не захотелось. Не заводить отдельную зону для динамики меня отговорили, а поддомен домена третьего уровня wagner.pp.ru - уже четвертого.

3. Вторичный NS уехал на freedns.afraid.org. Почему не secondary.net.ua? А потому что он не работает с доменами, поддерживаемыми руцентром. whois.ripn.net он знает, а whois.nic.ru - нет. Опять же, там понятие nic-handle нету.
Возможность самостоятельно поредактировать адрес мастера через web-интерфейс признана более предпочтительной, чем наличие знакомого админа.

4. Все ресурсы Кира Злобина, жившие у меня на машине, уехали на vps. Сделал там ему возможность редактирования куска конфига bind и куска конфига апача от своего имени и выдал через sudo право на релоад соответствущих сервисов.

5. Сохранить за моей машиной имя wagner.pp.ru не удалось. bind почему-то нервно отнестся к записи вида @ CNAME. Поэтому пришлось на vps-ке научить apache все запросы на http://wagner.pp.ru редиректить на http://www.wagner.pp.ru

6. В процессе узнал много нового и интересного про то, в какую сторону развивались isc dhcp (клиент и сервер) и postfix. Ну ладно, в особенности работы dhcp я не вникал уже лет десять, а постфикс-то с поддержкой русского TLS я пересобирал всего года три назад.. А оно с тех пор научилось permit_tls_all_clientcerts. В смысле релеить для всех клиентов, чьи сертификаты прошли цепочку верификации. Без всякого складывания хэшей сертификатов в базу.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/654616.html. Please comment there using OpenID. Now there are comments

---

Какие хакеры пошли

2011-08-24 10:48:32 (читать в оригинале)

Сегодня, в процессе переконфигурации при переезде к другому провайдеру, обнаружил что мою машину ломанули, причем ломанули очень изящно - chkrootkit ничего не находит, debsum - тоже, а в конфигурацию proxy добавили парочку малозаметных кавыек, в результате чего запрет на прокси-запросы по IP-адресам был отключен нафиг,

И через машину шел поток каких-то ботовых запросов.

Теперь надо еще внимательно разбираться, не оставили ли где еще какую дырочку. Или ломанули через какую дыру которую уже заткнули секьюрити-апдейтами и специально не оставили других следов.


Выглядело это так:

<VirtualHost *:3128>
ErrorDocument 403 http://www.wagner.pp.ru/proxy_error.html
ProxyRequests On
ProxyVia On

<Proxy *>
Order deny,allow
Deny from `all
allow from localhost
allow from 192.168.217
allow from 10.0.0
allow from  my.external.IP`
</Proxy>
</VirtualHost>

Работа явно ручная. Ни у одного бота на это интеллекта не хватит.
На всякий случай позапрещал логины всем пользователям, кроме членов семьи и slobin.

Upd И вообще, slobin, что делает в твоем $HOME TinyHTTPProxy.py?
Может это как раз твои ssh-ключики утекли?

This entry was originally posted at http://vitus-wagner.dreamwidth.org/654365.html. Please comment there using OpenID. Now there are comments

---

VPN or DynDNS.

2011-08-23 10:18:48 (читать в оригинале)

В предыдущем посте был рассмотрен вариант, когда точка присутсвия в web фактически является "вынесенным наружу сетевым интерфейсом", а все реальная работа передается по VPN на домашнюю машину.

Как выяснилось, вариант с физическим выносом публичного контента в VPS обойдется сильно дороже, чем я думал. Я как-то посчитал свой контент и отцовский, но не учел что у меня есть еще и сестра, которая, будучи профессиональным журналистом, снимает ни разу не мыльницей. И ее фотоархив (доступный через web) раза этак в 4 больше моего.

С другой стороны, выяснилось что onlime выдает динамические адреса, достижимые извне. Поэтому интересным вариантом становится использование dynamic DNS. Это с одной стороны снимает ограничения на объем web-контента, с другой - избавляет от излишней latency при доступе по ssh и прочим интерактивным протоколам, так как пакетам их однго конца Москвы в другой не надо ходить черед VDS-ку где-нибудь в Германии и лишний раз шифроваться по дороге. C третей - не надо наворачивать всякие прокси чтобы протащить коннект через VPN.

Зато если при следующей смене провайдера окажется что там дают только серые адреса, опять всю систему менять придется. Правда, до следующей смены провайдера, может быть, либо наступит светлая эпоха IPv6, либо VPS-ки с подешевеют до 10 баксов за терабайт.

Полагаю кое-кто из моих читателей пользоватлся динамическим DNS (beldmit точно пользовался).
Что вы можете сказать за и против этого решнеия?

(предполагается не использование dyndns.org а посылка апдейтов на свой собственный bind в VDS-ке).
Да, кстати, кто как считает - что лучше - поставить рефреш 10 минут и retry 5 минут у основной зоны wagner.pp.ru, или завести для динамических адресов специальную подзону, скажем home.wagner.pp.ru?

This entry was originally posted at http://vitus-wagner.dreamwidth.org/654250.html. Please comment there using OpenID. Now there are comments

---

А вот к кому бы со вторичным DNS вписаться?

2011-08-23 00:12:25 (читать в оригинале)

В связи с предстоящим переездом сервисов wagner.pp.ru с домашней машины куда-нибудь (пока еще не решил куда) в VPS, надо бы иметь работающий вторичный DNS-сервер. Сейчас у меня вторичный DNS на принадлежащей filin VPS-ке на хостинге у alexkuklin, которая почему-то нескоолько последних дней не работает. Впрочем, если основные сервисы тоже поедут к Алексу, то тогда оба DNS окажутся в одной сетке, что не устроит рипновский робот-проверялщик,

Поэтому нужен кто-то кто согласится подержать вторичные DNS-ы для доменов wagner.pp.ru и slobin.pp.ru
Взамен могу подержать ваши вторичники (но не прям сию секунду а через пару дней, когда определюсь с тем где будет мой первичный и подниму там bind).

P.S. Пока все сервисы wagner.pp.ru работают через старого провайдера в режиме "если заметили, что инет подвис и перезапустили модем - работаем, не заметили - висим".

Канал у нового провайдера уже подключен, но там все настолько плохо с внешними IP, что можно считать что у онлайма их не бывает. Неотключаемая фильтрация входящих на 25 порт - это не внешний IP. Вопросы с PTR можно даже не поднимать. Эти 150 рублей в месяц правильнее на VPS потратить. Благо у interserver.net есть VPS за $6/месяц.

Правда, ни разу не слышал об этом провайдере отзываов - ни хороших ни плохих. Найдено гуглем по запросу Debian VPS

This entry was originally posted at http://vitus-wagner.dreamwidth.org/654017.html. Please comment there using OpenID. Now there are comments

---

Про яндекс

2011-08-20 13:15:56 (читать в оригинале)

Когда яндекс, который мы используем чтобы находить маршруты по городу и дорогам теряет маршрутзацию в пятницу вечером, как раз когда надо в деревнб ехать, это неприятно.

Мне это обошлось в 40 минут пробки на 60-м км Новорижского, которую можно было спокойно объекать по Волоколамке, потеряв минут 15 от силы, если бы знать заранее.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/653736.html. Please comment there using OpenID. Now there are comments