Забавно то, что по сути если запускать из под винды и docker desktop, то получается: Windows -> docker desktop (linux VM) -> linux (docker) -> Windows (QUEMU)
Спасибо Дмитрий, круто что есть люди которым не безразлчен linux и открытые технологии, приятно осознавать что я такой не один) Контент на уровне, продолжайте в том же духе
Я и сам не понял, но почему-то только одну, хотя файлы docker-compose разные. Не изучал этот вопрос, на самом деле, наверняка можно хоть сколько, только зачем?)
Мне кажется можно запустить несколько экземпляров эмуляторов. Надо только порты разные наружу прокидывать, ну и вольюмы свои. И все что касаемо внешних ресурсов. Как с обычным контейнером все должно работать. Ну типа три постгреса в докере поднять нет проблем. Думаю и здесь все заведется.
Ну VirtualBox ни кто не использует на постоянку или проще сказать в ПРОД. VMware крутая конечно и в ПРОД его много где используют, но он платный. QEMU очень распространён в ПРОД среде и он бесплатный. В Docker это только для попробовать что-то и всё, как собственно и VirtualBox, только в VirtualBox надо ещё и ОС устанавливать, а тут всё само ставится.
@@LinuxbyDmitry почему вы позитивно оценили VMware и холодно отозвались о VirtualBox? Я считал это идентичными виртуальными машинами просто от разных производителей. С VMware не работал, а на VirtualBox ещё 15 лет назал одновременно запускал 8 операционок, чтобы запустить на каждой сетевую игру, и выставив разные разрешения экранов в каждой операцтонке сервер принимал меня за разных 8 игроков. Работало стабильно, не вешалось и не тормозило. Чем же вы тогда в VirtualBox не довольны, почему её «никто не использует на постоянку»?
@@user-rd3lj4gn4s ))) VirtualBox ни кто в серьёз не воспринимает, только для опытов в домашних условиях. Но вот на QEMU и VMware, делают огромные инфраструктуры, как хостеры так и крупные компании. Нельзя назвать VirtualBox стабильным для большого количества серверов. Надеюсь вы не предлагаете использовать VirtualBox на винде, ещё и где нибудь в кластере с 80 или более физическими серверами?) VirtualBox только для дома, QEMU и VMware, это уже совсем другой уровень).
@@LinuxbyDmitry если честно, из вашего объяснения я не понял чем плох VirtualBox. Я с ним работал и был обаденно доволен. Ни одного сбоя за тот год когда играл - небыло (и как говорил - из под винды запускал 8 виртуальных виндоусов). Почему же вы говорите что с ней что-то не так? Или может какой-то обзор есть на преимущеста и различия всех этих трёх и proxmox ещё.
@@user-rd3lj4gn4s Я не видел обзоров и сравнения этих трёх технологий. Тут похоже мне самому надо сделать обзор, но не хочу возиться с VirtualBox). Взять к примеру Proxmox и у него под капотом QEMU + LXC, он очень крут). В двух словах не объяснить, просто если стремиться к профессиональному софту, то это не VirtualBox это точно).
Спасибо, а то энидески залипали как и тимвтювер, от которого лет 10 назад отказался, тк даже при подключении с домашних ИП, он порой орал, что вы зашли из коммерческой сети и обрывал соединение
Есть возможность компильнуть 1 ехе с заранее определенным конфигом для тупых виндузятников? А то не хочется костыли создавать, а объяснять куда конфиг засунуть - это пол часа надо тратить
Есть возможность указать сервер, в качестве параметра rustdesk.com/docs/en/client/#configuring-rustdesk Вроде раньше, может и сейчас, была возможность переименовать exe с нужным сервером. Компильнуть, тут не подскажу.
@@LinuxbyDmitry ага, но можно собрать папку программы + в батник скопировать по пути user\AppData\Roaming\RustDesk\config\RustDesk2.toml заранее сохраненный одноименный файл. А дальше можно хоть msi хоть автоинсталятор, хоть в архив затолкать с последующим запуском батника
У меня не получалось подключиться, если указан другой сервер, а ID я так понимаю, это устройство себе как-то выбирает. Возможно они с сервером вместе подбирают ID, не могу сказать, но он и правда не меняется). Там есть смена ID, можно поменять).
Дмитрий - есть предложение обозревать аналоги рф, т.к. после определенных событий в opensource нет ему доверия и они запрещены в организациях ГОС или которые около ГОС, т.е. выполняют заказы. Ну и в целом.
Я бы не против, но у них вроде нет бесплатных совсем. Покупать или рекомендовать за деньги не могу, людям будет проще пользоваться бесплатно AnyDesk пока работает). Но если честно, чёт я даже не интересовался, может и есть такой же бесплатный у нас.
Поставил клиентов, даже зарегистрировался. Рассказать конечно есть что по rudesktop, но всё же я не вижу широкого применения. Я понимаю, что бюджетникам можно будет использовать RuDesktop, вроде лицензия позволяет, но это не точно. Но всё же бесплатно только два часа и вроде было должно хватить многим, но если две сессии одновременно, то время будет складываться). Людям которым пофиг на лицензию, не будут заморачиваться, я так думаю, проще поставить RustDesk и пользоваться без ограничений. Однако у RuDesktop есть большой плюс, не нужно ставить сервер, хотя это как посмотреть, может это и минус.
Надо пробовать и скорей всего, делать надо с доменом, что бы домен внутри локалки, резолвился с локальным адресом, а снаружи по белому. Но это только догадки, надо пробовать. По поводу Cloudflare, не могу ни чего сказать, не знаком.
@@LinuxbyDmitry я могу сказать. И он заипал. Каждый 1 идиот прикручивает, а потом доступа получить не можешь из-за дебилов на сером ip, но фларе то пох, она затрахает тебя каптчей до смерти. Админы - лентяи, от дудоса не могут рейт иптаблесом поставить. в 99% случаев этого достатоно, чтобы отбиться от китайцев.
Уточните, вы это делаете на впс с белым адресом, верно? А можно сделать раст внутри сети, на вирт машине, имея белый адрес пробросить порты, верно же? А как вам идея, может немного глупо звучит, но все же. Подключить виртуальную машину убунту сервер, на которой докер к клоудфларе туннелям, если у меня нет белого адреса, это возможно? Через CF использовать маршрутизацию
Да свой я поставил на VDS с белым адресом и клиенты которые в локалке, они настроены на него, но в локалке, трафик ходит именно в локалке, хотя это надо ещё уточнить). Как-то давно пробовали с одним человеком в другой локалке, разместили сервер в локалке и внутри сети он работал, но снаружи подключиться в локалку, не получилось, может что-то сделали не правильно. Порты при этом были проброшены, хотя по пробросу тоже вроде не всё гладко было, уже не помню). С Cloudflare не знаком, полистал сайт и с первого взгляда не всё понятно).
Добрый час! Если я из видео правильно понял, чтобы установить кальку на уже существующий подраздел бтрфс с помощью cl-install, мне нужно как у тебя в команду написать что то типо этого?... --disk /dev/sda1:/:btrfs-compress:on 1.0) Только вот непонятно где указывать subvol или лучше subvolid? У меня например примерно такие подразделы для кальки, subvol=/calc-root:subvolid=267, subvol=/calc-home:subvolid=268 итд. 1.1) как мне при установке указать 2й, 3й подраздел для монтирования? Благодарю!
Ох, давно это было)). Не ставил кальку уже года 3-4 наверно, не подскажу). Но могу порекомендовать их официальный чат, там есть кому ответить). t.me/joinchat/Qx7b2K-Y5IFvPeem
@@LinuxbyDmitry ну да. Я тоже уже долго непользовался. Ушёл с emerge на pacman)). Точнее на артикс. А терь думаю попробовать вновь как бы отечественные сборки.
@@freebeenergy Я то же часто менял ОС, что-то в последнее время к Fedora прилип, точнее к Gnome). Да и в целом меня всё устраивает в Fedora). Поглядываю правда ещё на Альт Gnome и Rosa Gnome). Тоже кстати активно юзаю volume на btrfs, даже написал скрипт который моментальные снимки делает, очень удобно если надо откатиться). ru-vid.com/group/PLOp6AT9LJS_NzEjtr4_snlHS-pibqUWdT
@@LinuxbyDmitry Надо будет осовить с откатом. Жаль на всё время не хватает. Щас надо бы таблицу доходов расходов селать бы. А то кучу уроков как сделать в экселе. Но к сожалению в LibreOffice Calc, не все функции есть что в экселе. например т.н. умная таблиуца мне очь нравится, но её нет в LibOffice-Calc А я кстати совсем недавно понял наконец то что нужно прописать в 40_custom дабы дистриб стартовал с подраздела бтрфс. И тоже думал установить альт. Потом гляжу, systemd. Я не спец но про эту инициализацию слышал недоброе. Лучше отсанусь при runit или openrc. От чего вновь кальку хочу установить)) Ну и чтоб понять распостранённый пакетный менеджер от дебиан, мож devuan. Хотя думаю что любимый pacman, emerge и xbps из void-linux, вполне себе хватает
@@freebeenergyНу systemd не так уж и плох на самом деле). Кто бы что не говорил, а в крупных компаниях его используют). Это скорее на любителя, кому-то и мясо курицы не нравится)).
@@user-rd3lj4gn4s Ну хорошо, специально для вас альтернативные варианты, совершенно не избитые и свежие: ущипнуть себя, попытаться взлететь или сконцентрироваться на отсутствующем объекте для его материализации :)
@@user-rd3lj4gn4s В смысле "сделал нам"? Я не видеоблогер. А так есть положительная практика. Конкретно: запускал 2 операционки на одном ПК одновременно, Windows и Linux. Обе в отдельных ВМ. В эти виртуальные машины пробрасывал железо (видеокарты и звуковые контроллеры) в каждую из ОС. Игры на Винде отлично работали, и одновременно на втором мониторе со второй видеокарты работала ALT Linux. Всё это я проделывал на Proxmox. Идеальное решение для виртуализации.
@@dmsob Я краем глаза видел, что ключи от 1С, можно с сервера раздавать, а Рутокены только вытаскивать из из Рутокена в виде эмулированного A диска например. Можно сделать, хотел даже видео по этому поводу записывать).
@@LinuxbyDmitry это если есть сервер, то да, там он по сетке раздаёт лицензии(если ключ сетевой), а если просто локально базу открыть? ) Рутокены не все можно вытаскивать с физ. носителя, только с Lite, сам делал копии на обычную флешку, но в налоговой сейчас ключи выдают не только на рутокенах... есть ещё производители usb-токенов и их уже так просто не скопировать ((
Покажи, что есть документация по созданию ВМ, по созданию ключа, по подключению через ssh и vnc И так же что публичный ip платный, даже если его к тачке не привязали
Это большая инфраструктура и мне ни кто не платит за обзоры). Упомянуть документацию конечно могу, но я её и сам не читал). cloud.ru/ru/docs/virtual-machines/ug/topics/guides__create-vm.html
Почему пакет, отправленный с сервера, выходит из Outgoing Packet и опять попадает в Incoming Packet ? тока Outgoing Packet это же выход из сетевой карты
Запишу видео ответ, скорей всего ещё кому нибудь понадобится. Только показывать буду уже на nftables, но по сути разницы нет, просто так будет удобнее.
У меня контейнер запускается, но статус unhealthy и в логах здоровья контейнера failed to connect to 127.0.0.1 port 8090 after 0ms: connection refused и так много раз. Есть ли какое-то решение этой проблемы? Запускаю на fedora 39
Странно, а порт 8090, на ПК ни чем не занят? Я как поднял себе, когда видео записывал, так он и работает, больше не касался его, только смотрю видео часто и всё.
Я думаю, можно придумать лабораторный стенд ну допустим 3-5 виртуальных машин. Где допустим 1 убунту, 2 дебиан, rpm дистры. И в лабораторной проводить обучение с уклоном на макс приближено к базовым реальным задачам. Это даст возможность повторяемости ну и мб потом можно мини задачи ставить для стенда - самостоятельные работы такие. А так Большое вам спасибо и не расстраивайтесь, вы хорошо подаёте материал. Часть мне тоже не понятна, но стараюсь вникнуть
Спасибо). По поводу стенда, вероятно сделаю, потому что там будут задачи, которые потребуют несколько машин. Плюс в будущем, планирую делать видео по нескольким маршрутам, провайдерам проще говоря). Постепенно буду усложнять задачи, дойдём до всякого).
@@LinuxbyDmitry Дмитрий - если возможно в следующих (любых) видео повторить момент один. В плане блокировка ipv6 для приложений допустим x11 vnc (и его аналоги), kesl, и т.д. Многие скажут, проще отключить вообще и будут правы, но некоторые приложения не могут почему то работать (а точнее установка и настройка) без вкл ipv6 - как пример FreeIPA: наткнулся на рассуждения об организации этого домена и нормально развернуть получилось только с использованием ipv6 (может я и не прав) И вот в данный момент я на UFW блокирую ipv6.
Для iptables и настраивать ни чего не нужно, надо просто поставить fail2ban и включить, там по умолчанию всё настроено. Под nftables надо пару строк поменять, но опять же вроде как и не обязательно. Под всё остальное, как-то я и не настраивал ни разу fail2ban, я про nginx, apache2 например, да и в последнее время перестал устанавливать fail2ban и просто меняю SSH порт на другой).
Добавлю еще пять копеек - если использовать дефолтный сейчас большинстве линуксов инструмент iptables(nft) -> xtables-nft-multi, можно брать лучшее из двух миров - продолжить использовать ipset, но обрабатывать трафик в nftables. Даже и комбинировать правила в одном конфиге, чтобы реализовывать недостающее. Исчезает, правда, возможность грузить правила из дампов, зато остаются все удобства ipset. Хотя это выглядит несколько коряво.
ipset силён согласен, долго им пользовался с удовольствием). Однако и nftables списки не хуже). Есть правда одно не приятное ограничение, nftables списки, вроде не работали в nat и не проверял в netdev, а так в целом можно и без ipset обойтись)
nft прекрасен, слов нет. И оптимизировано, и все классы (ipv4, ipv6, br) в одном инструменте, и хеш-таблицы встроены, а не внешние. Но у меня лично проблема как раз возникла с переходом с ipset на внутренние таблицы - ipset поддерживает инструкцию nomatch, что позовляет в блоклисте описать большой диапазон, и потом там же исключить изз него мелкие подсети add 192.168.0.0/16 add 192.168.1.0/24 nomatch А в nft такое не получилось, приходится выкручиваться двумя списками - белым и черным. Также есть минус, имхо, с загрузкой всего из одного файла - и списков и правил. Инклуды тоже не решают. Подгружать списки из внешний источников и делать из них set стало очень неудобно. Раньше просто скачивал список с ETOpen, парсил по регулярке на ip-адреса, циклом переиннициализировал сушествующий рабочий ipset (ipset flush; ipset add blocklist $ip) - и правила не приходилось перегружать, да и сохранение списка в стартап было простое. В nft все более громоздко выходит, и пока я для себя удобного варианта не нашел. Возможно, поэтому ideco, к примеру, даже в свежих релизах все еще используют классический iptables-legacy + ipset...
Как-то не приходилось использовать nomatch, вроде в nftables есть что-то похожее, точно сейчас не скажу). Я согласен по поводу более удобного ipset, но мне кажется, что это просто привычка)). Списки nftables так же можно создавать, удалять, добавлять и удалять элементы без необходимости редактировать файл конфиг, через утилиту nft. Редактировать напрямую файл конфиг с огромными списками, вот это жесть конечно-же, тут ipset на много удобнее). По поводу ideco, ну тут я бы сказал, что им просто надо очень долго переписывать софт, прежде чем они смогут предоставить тот же функционал на том же уровне, но это возможно). Однако, как по мне nftables ещё молод для ideco, да и у них и так всё отлично работает, зачем им сейчас что-то менять).
@@LinuxbyDmitry да, я неправ - со списками отлично, выгрузки в отдельных файлах и инклуды в конфиг решают. Со своими скриптами наконец руки дошли разобраться и все, что надо было, работает. В netdev блокировки по set тоже, хотя какой-то разницы в производительности с raw я ее заметил. Осталось ещё всякие штуки типа recent и string из iptables оттранслировать, но это уже решаемо. Спасибо вам, Дмитрий, за отличный побудительный мотив! )
@@cobaltdust22 Я пробовал icmp DDOS и блокировал пакеты в raw и netdev, в netdev эффективнее). Попробуй на какой нибудь одноядерной машинке, разница не велика, но она есть). Сделаю наверно видео про raw и netdev, правда я не совсем разобрался с netdev). Чёт ни как не могу пятую версию Port knicking записать, уже два раза видео записал и запорол, не выложил).
@@cobaltdust22 Я бы ещё посоветовал, заполнять списки массивом, за один раз сразу можно добавлять элементы сколько угодно). Было дело очень давно ipset заполнял по одному элементу, это была жесть, 10000 элементов около 30-40 сек. надо было. Потом сообразил, что за один раз можно столько же добавить за несколько сек., тоже самое и со списками nftables).
Если где нибудь в компании, где крутятся прод. серверы, то лучше утилита nft, тут скорее зависит от ситуации. А если это домашний сервере или личная VDS, то можно редактировать файл /etc/nftables.conf По утилите nft, я позже собираюсь сделать видео, это важно. Я начал показывать nftables в файле, по причине того, что так проще понять что к чему, потом можно уже переходить к утилите nft).
Файлом удобнее и безопаснее. Обновления набора в nft атомарные, т.е. либо все применятся, либо ничего. Поэтому файл со стартовым flush не сломает рабочий конфиг при ошибках.
@@cobaltdust22 В большинстве случаев да, но бывают редкие исключения, когда требуется сохранить счётчики например или если при ошибке в конфиге, могут возникнуть временные задержки и это не допустимо в прод средах.
@@LinuxbyDmitry Про счетчики - да, а про ошибки в конфиге - как раз атомарность загрузки спасет. Загрузка набора правил в nft - транзакция, и сначала все валидируется на корректность.
@@cobaltdust22 Ещё бывают большие списки адресов например, я про 10000 и более. Эти списки могут подгружаться несколько секунд, тут скорее от железа зависит. Пока готовятся/подгружаются такие списки, трафик ни как не контролируется и например SIP в это время может не работать. Потом клиенты будут жаловаться на обрывы связи).
По мне, такие видео следует воспринимать как рецепт. Каждый, просмотрев и получив определенный опыт, уже сам решает где больше "посолить/поперчить(т.е. добавить какие-то программы или использовать базовые инструменты из ОС)". Алексей из "Диджитализируй!" снимает интересный контент, умничка! Благодаря ему теперь я знаю и о вашем канале.
Спасибо, Алексея тоже уважаю). Я ни сколько не хотел как-то негативно отреагировать на видео Алексея, он просто предложил то, чем пользуются наверно большинство). До массового распространения nftables, именно Алексея метод был самым доступным и простым).
Вопрос, если я достучался к 22, при этом я не хочу указывать с какого адреса смотреть стуки или доступ, то получается, когда открывается 22, то он виден всем? И 10м по вашим настройкам это он еще будет всем доступен после мого отключения, или только тому кто стучал?
Когда вы достучитесь, ваш адрес добавится в список ssh.accept или как я его там назвал. После этого, порт SSH, будет доступен только вашему адресу и всё.
Отличное решение, спасибо, будем ждать статью на хабре)) А вообще наверное проще , да и безопаснее не заморачиваться с этими простукиваниями портов, а открывать порт только для машин из списка доверенных ip..
Да, но не всегда есть возможность указать доверенные и там есть правило, которое держит открытым порты для конкретных адресов). Статью на хабре, Хмм, можно подумать))
@@LinuxbyDmitry да я посмотрел часть 4 и нашел текстовый пример из каждого видео у вас на гитлабе, огромное спасибо 👍 буду ждать от вас больше контента, про nftables было для меня очень познавательно
Готовлю пятый вариант, но там сам port knoking будет как в четвёртом варианте и плюс расширенная возможность добавлять постоянные адреса IPv4, IPv6, MAC, IPv4+MAC, наверно IPv6+МАС нет смысла делать).
