Сегодня я хочу описать в некотором роде специфическую схему — которая, впрочем, может оказаться полезной для владельцев собственных интернет-ресурсов, размещенных за маршрутизатором Mikrotik. Не секрет, что практически все сайты непрерывно подвергаются сканированию с самыми нехорошими намерениями. Если открыть лог обращений, то в глаза бросятся запросы на предмет получения доступа к файлам конфигураций веб-движков, админок, личных кабинетов и прочего. Конечно, можно просто оставить доступ к значимым страницам только для определенных адресов (хоть бы и посредством .htaccess), но я предлагаю предпринять несколько более серьёзные меры. Если для простых заблудившихся посетителей достаточно показать обычную 404-ю страницу, то для всяких проходимцев нужно показать страницу не столь обычную — а какую именно я сейчас объясню.
Работа Firewall на Mikrotik по расписанию
Небольшое дополнение к предыдущей заметке относительно порта 80 — предполагается, что на маршрутизаторе настроены пробросы портов 80 и 443 до веб-сервера. При этом, фактически, доступность интернет-ресурсов по HTTP не нужна — за исключением работы с ACME, а она происходит по определённому расписанию. Следовательно, для полноты картины можно тоже включать и отключать правило проброса порта 80 по расписанию. Открываем WinBox и переходим в раздел «System», там выбираем пункт «Scheduler» и создаём новую задачу. В теле задачи пишем следующее:
/ip firewall nat set [find comment="HTTP"] disabled=no
Как нетрудно догадаться, вместо обозначения конкретного номера правила раздела «NAT» в «Firewall» мы ищем правило с определенным комментарием, в нашем случае это слово «HTTP». Это сделано для удобства работы — при таком подходе можно «тасовать» правила как угодно, это не затронет работу задачи в планировщике. В качестве альтернативы можно оперировать правилами не «NAT», а «Filter Rules»:
/ip firewall filter set [find comment="HTTP"] disabled=no
По образу и подобию создаются задачи на отключение правил. Имейте только в виду, что лучше задавать время с запасом — даже если вы уверены, что ACME отработает быстро и без задержек, нужно учитывать возможный «люфт» времени на Mikrotik относительно веб-сервера. А вообще, конечно, за временем нужно следить, синхронизация должна отрабатывать правильно и своевременно.
Единый каталог ACME для всех сайтов на Apache
Достаточно часто в конфигурациях Apache я вижу схему, когда в httpd-vhosts.conf для одного и того же сайта делают 2 секции: одну для HTTP на порту 80 (с отдельной директивой Location для /.well-known/acme-challenge/ и редиректом на HTTPS версию сайта во всех остальных случаях) и другую для HTTPS на порту 443. Если веб-сервер обслуживает один-единственный сайт, то использование подобной схемы вполне оправдано, но если речь идёт об условной дюжине интернет ресурсов, то я предлагаю вариант получше.
Установка .NET Framework 4.8 на Win10 1507-1511
Несколько дней назад меня попросили помочь с достаточно нетривиальной задачей. Представьте — есть достаточно отдаленная от цивилизации деревня в которой требуется вести коммерческую (торговую) деятельность. Разумеется, есть ПК под управлением Windows 10 — именно на него требуется установить торговое ПО. Программа установки этого ПО требует наличия .NET Framework 4.8 — и проверяет его наличие достаточно дотошно, не опираясь только лишь на записи в реестре. Удаленный доступ к ПК через интернет есть, но канал не настолько жирный чтобы без проблем тягать гигабайты. Пока вроде ничего необычного, скачай да поставь нужный «фраймворк»? Не совсем.
Централизованное снятие резервных копий с парка маршрутизаторов Mikrotik по SSH
Один из заказчиков с достаточно обширным парком маршрутизаторов Mikrotik озаботился резервным копированием настроек. Я был приятно удивлен, учитывая, что мотивацией было «ну так будет правильно», а не инцидент, когда вдруг нужна резервная копия (и которой нет). Заказчик сам вычитал про возможность отправки резервной копии настроек на почту, но перед внедрением решил проконсультироваться о возможных альтернативах — ниже я расскажу о том, как централизованно собираю бэкапы со своего парка устройств.
Резервное копирование MySQL в Windows
Без долгих разговоров: это очередная вариация сценарного bat-файла для резервного копирования баз MySQL или MariaDB в среде Windows. Каждая база архивируется в 7-Zip, помимо этого старые копии удаляются автоматически (в самом bat-файле нужно указать сколько копий в штуках нужно хранить). Очень удобный вариант чтобы подвязать на периодическое выполнение через планировщик задач.
Нетипичный Wake-on-WAN на Mikrotik
Один из заказчиков обратился с вопросом о дистанционном включении рабочих станций в центральном офисе и нескольких филиалах. Сеть везде построена на Mikrotik’ах, в центральном офисе белый адрес, связь с филиалами через VPN. Сам заказчик — тёртый калач, знает о технологии Wake-on-LAN, вычитал про проброс UDP портов 7-9, порассуждал о целесообразности поднятия Ethernet-over-IP, но в решении задачи не преуспел. В принципе — можно дожать традиционный вариант (просто нужно учесть, что по умолчанию Mikrotik блокирует broadcast пакеты, поступающие в локальную сеть извне) и создать отдельный широковещательный адрес. Но ещё можно оставить всю эту широковещательную историю за скобками и сделать схему на TCP портах.
-
Свежие записи
Свежие комментарии
- Gabe Logan Newell к записи Редактор файла Hosts
Архивы
- Май 2026
- Апрель 2026
- Март 2026
- Февраль 2026
- Январь 2026
- Декабрь 2025
- Ноябрь 2025
- Октябрь 2025
- Сентябрь 2025
- Август 2025
- Июль 2025
- Июнь 2025
- Май 2025
- Апрель 2025
- Март 2025
- Февраль 2025
- Январь 2025
- Июль 2024
- Ноябрь 2023
- Сентябрь 2023
- Август 2023
- Июль 2023
- Март 2023
- Ноябрь 2022
- Октябрь 2022
- Сентябрь 2022
- Июль 2022
- Июнь 2022
- Май 2022
- Март 2022
- Декабрь 2021
- Октябрь 2021
- Сентябрь 2021
- Август 2021
- Июль 2021
- Февраль 2021
- Январь 2021
- Апрель 2020
- Январь 2019
- Декабрь 2018
- Июнь 2018
- Январь 2018
- Ноябрь 2017
- Октябрь 2017
- Сентябрь 2017
- Август 2017
- Июнь 2017
- Май 2017
Рубрики
Мета
