Наконец то сбылась мечта любителей создавать внутренние локальные сети — настоящий, православный openvpn выпустил собственный docker контейнер с веб мордой, откуда любой желающий сможет установить в две команды его. Вероятно, что давать ссылки на такую новость здесь не следует. Ограничимся скрин-шотом.

Ничего не меняется в лучшую сторону. Особенно настройки сетей через netplan. Снова приходится возвращаться к настройкам дополнительных IP в OVH.

#
# Редактируем файл /etc/netplan/00-installer-config.yaml
#
network:
  ethernets:
    ens3:
      dhcp4: false
      addresses: [123.123.125.80/32]
      nameservers:
       addresses: [8.8.8.8, 9.9.9.9]
      routes:
      - to: default
        via: 123.123.125.254
      - to: 123.123.125.254/32
        scope: link
  version: 2

После этого проверяем синтаксис в netplan командой: netplan generate. Если прошло без ошибок, то крестимся и применяем конфигурацию командой netplan try

Напомню на всякий случай, что выделенный сервер в OVH и подсеть к нему вы можете заказать на сайте vps-server.ru

Если нужно быстро запустить виртуалку в уже установленном Virtuozzo 7, то действуем так:

# Создаем машину
# IP и MAC нужно указать свой
prlctl create $VM-name --distribution ubuntu  --vmtype vm
prlctl set $VM-name --description "Ubuntu 22.04 $VM-name"
prlctl set $VM-name --device-set net0 --network Bridged
prlctl set $VM-name --device-set net0 --ipadd $ip_add_set_here/24 --mac 02:00:00:85:6b:ff
prlctl set $VM-name --nameserver 8.8.8.8,1.1.1.1
prlctl set $VM-name --hostname $VM-name.vz.localhost
prlctl set $VM-name --memsize 2048
prlctl set $VM-name --cpus 2
prlctl set $VM-name --cpuunits 1000
prlctl set $VM-name --cpulimit 1024m
prlctl set $VM-name --cpumask 0-1
prlctl set $VM-name --ioprio 6
prlctl set $VM-name --iolimit 0
prlctl set $VM-name --iopslimit 0
prlctl set $VM-name --videosize 64
prlctl set $VM-name --autostart on

#
# CD - добавляем диск для установки. у меня это ubuntu 22.04
prlctl set $VM-name --device-connect cdrom0
prlctl set $VM-name --device-set cdrom --image "/vz/vmprivate/images/ubuntu-22.04.4-live-server-amd64.iso"
# VNC - включаем себе доступ к экрану виртуалки для установки ОС
prlctl set $VM-name --vnc-mode manual --vnc-port 5901 --vnc-passwd 256256Did

# Стартуем виртуалку..
prlctl start $VM-name

После приведенных манипуляций будет создана виртуалка, к экрану которой можно будет подключиться через VNC. Для этого нужно пробросить через SSH порт VNC 5901 себе на локальный компьютер

# Проброс порта через ssh
# 
ssh -L 5901:localhost:5901 root@Virtozzo_node_IP 

Установка ОС проходит как обычно, за исключением того, что потребуется назначить IP и маску сети на интерфейсе виртуалки, а также указать gateway вручную.

Все эти и многие другие манипуляции можно проверить на выделенных серверах компании vps-server.ru

Внезапно выяснилось, что самый хороший CentOS это 5ый. И клиенту нужен был именно он. Появилась дилемма — как его поставить из Linux Rescue mode, чтобы не тратить на это много времени? Конечно же существовала возможность сделать это через виртуальный KVM, чем мы мгновенно воспользовались, попутно размышляя о том, как упростить решение задачи..

Конечно же, решение нашлось не сразу. Следовало хорошенько все обмозговать. Как всегда, все решается с помощью пары команд.. Итак, находясь в режиме Rescue mode (Ubuntu 20.04 LiveCD) следует вначале установить пакет старого GRUB

# apt install grub-legacy-ec2

Далее — ставим все как обычно через скрипт hetz.sh , выбирая дистрибутив CentOS 5.8 minimal

После установки, загрузившись в рабочий режим свежеустановленной ОСи прописать работающие до сих пор репозитории CentOS 5.11 и обновить OS

rm -fr /etc/yum.repos.d/*
nano /etc/yum.repos.d/CentOS-Base.repo 

Вставляем код ниже, обновляемся и выдаем сервер клиенту

[base]
name=CentOS-$releasever - Base
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
baseurl=http://vault.centos.org/5.11/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#released updates 
[updates]
name=CentOS-$releasever - Updates
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
baseurl=http://vault.centos.org/5.11/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/
baseurl=http://vault.centos.org/5.11/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus
#baseurl=http://mirror.centos.org/centos/$releasever/centosplus/$basearch/
baseurl=http://vault.centos.org/5.11/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib
#baseurl=http://mirror.centos.org/centos/$releasever/contrib/$basearch/
baseurl=http://vault.centos.org/5.11/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

Важное замечание. В некоторых случаях возникает ошибка при подключении к установленной ОСи CentOS 5:

Unable to negotiate with 217.172.XXX.XX port 22: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1

В этом случае подключаемся к серверу по ssh с ключом

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 root@217.172.XXX.XX

Если таких серверов много, то следует добавить в конфиг локального клиента следующие команды:

#Legacy
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

При попытке установить FreeBSD через mfsbsd получаем ошибку: «Error while fetching file:///usr/freebsd-dist/MANIFEST» — no such file or directory.

Для решения проблемы выходим из установщика и даем в консоли следующие команды

mkdir -p /usr/freebsd-dist
fetch https://download.freebsd.org/ftp/releases/amd64/`uname -r`/MANIFEST -o /usr/freebsd-dist/MANIFEST
bsdinstall

Использование FreeBSD в качестве хостовой ОСи имеет многочисленные преимущества.. Во первых это мощный и гибкий файервол ipfw. Во-вторых специально созданная для снапшотов файловая система ZFS. В третьих — малая прожорливость и легендарная надежность фряхи существенно повышет аптайм ноды..
Во FreeBSD есть виртуализация KVM, а не только jail. И работает вполне бодро, на момент написания доступна только 5-ая версия. В общем, если нужно быстро поднять виртуалку на Фре, действую так, как написано ниже

Устанавливаем нужное программное обеспечение:

pkg install qemu-devel

Создаем тестовую виртуальную машину:

# создаем диск для виртуальной машины
qemu-img create -f qcow2 hdd100.img 10G
# скачиваем образ ОСи для виртуальной машины
fetch https://download.grml.org/grml64-small_2021.07.iso -O grml.iso
# стартуем машину, устанавливаем через VNC на IP хостовой тачки, порт 5900
qemu-system-x86_64 -machine q35 -m size=4096 -cdrom grml.iso -hda hdd100.img -boot d -net nic,model=e1000,macaddr=00:e0:e1:12:13:fe -vnc :0

На этом уже всё! Виртуальная машина работает! Можно далее настраивать сеть, пробрасывать внутрь виртуалки интернет..

Внезапно выяснилось, что вакцинация это сговор фармацевтических компаний, возглавляют которые товарищи Александр Гинцбург, бизнесмен Лейф Юханссон (AstraZeneca, ранее работал в Volvo Group и Ericsson), ветеринар Альберт Бурла (Pfizer), инженер Стефан Бансель (Moderna) …

В числе прочего оказалось, что:

• ПЦР тест законодательно не зарегистрирован, экспертизы не было.
• Перепрофилирование отделений больниц незаконно, был нарушен федеральный закон от 21.11.2011 N 323-ФЗ, ст.37
• Лечение вне инструкций, использование плазмы, гормонов являются медицинскими экспериментами и уголовно наказуемыми деяниями.
• При общении с больными covid-19 заражения не происходит.

Видео плохого качества, это стрим, судя по всему. Но тем не менее — рассказанное весьма убедительно звучит. Видео от 9 августа, широко обсуждается. Доктор Наталья Викторовна Ионова из города Оренбург имеет своё мнение, что сейчас большая редкость.

Не пора ли пройти развакцинацию, друзья? И начать уже поиск тех, кому выгодна всемирная истерия .

При небольших атаках зачастую достаточно добавить ограничение по количеству подключений с одного ip адреса. Школьники попыхтят еще пару часов и их интерес к ресурсу пропадает. Конечно, такое случается нечасто, но тем не менее. Решил записать способ ограничений, прекрасно описанный коллегами, ссылку на статью с картинками добавлю в конце заметки.

Итак, чтобы не разводить пустую болтовню — решение от коллег

# Добавляем следующие правила в iptables
iptables --flush
iptables --new-chain RATE-LIMIT
iptables --append RATE-LIMIT \
    --match hashlimit \
    --hashlimit-mode srcip \
    --hashlimit-upto 50/sec \
    --hashlimit-burst 20 \
    --hashlimit-name conn_rate_limit \
    --jump ACCEPT
iptables --append RATE-LIMIT --jump DROP

И теперь можно посмотреть результат:

netstat -plan | grep -oE ":443|:80" | wc -l                                     
24                                                                       

Количество запросов на web порты сервера упало с тысячи с небольшим до двухзначной величины. Похоже на правду. Всем огромных успехов и удачи в борьбе с ddos атаками.

На всякий случай напомню — выделенные серверы в России, ЕС и США по скромным ценам можно взять в аренду здесь