Архив автора: admin

Как конвертировать видео файлы в MP3 на Linux

У вас может быть видеофайл на вашем ПК с Linux, который вы хотите превратить в прослушиваемый аудиофайл MP3. К счастью, на платформе Linux есть много различных инструментов, которые могут конвертировать видео в аудио файлы MP3. В этом руководстве мы рассмотрим два метода.

Первый метод, который мы рассмотрим, это инструмент LinuxConI SoundConverter, который идеально подходит для начинающих, желающих конвертировать файлы из видео в MP3-аудио. Второй метод, который мы рассмотрим, — это мощный инструмент на основе терминала, называемый FFMPeg, который отлично подходит для опытных пользователей, которым требуется больше контроля.

Метод 1 — Конвертировать видео файлы с помощью приложения SoundConverter

SoundConverter — отличный инструмент, который позволяет пользователям Linux легко транскодировать аудиофайлы между различными форматами. Однако знаете ли вы, что его также можно использовать для преобразования видеофайлов в аудио? В самом деле!

Чтобы начать процесс преобразования с SoundConverter, вы должны установить программу. Чтобы установить программу, запустите окно терминала, нажав клавиши Ctrl + Alt + T или Ctrl + Shift + T на клавиатуре. Оттуда введите инструкции командной строки ниже, которые соответствуют используемой вами операционной системе Linux.

Ubuntu

sudo apt install soundconverter

Debian

sudo apt-get install soundconverter

Arch Linux

sudo pacman -S soundconverter

Fedora

sudo dnf install soundconverter

OpenSUSE

sudo zypper install soundconverter

После установки программы SoundConverter в среду рабочего стола Linux следуйте пошаговым инструкциям ниже, чтобы преобразовать видеофайлы в аудиофайлы MP3.

Шаг 1. Откройте приложение SoundConverter на рабочем столе Linux, выполнив поиск в меню вашего приложения.

Шаг 2: В SoundConverter найдите «кнопку добавления файла» (она находится справа от кнопки «Преобразовать» в приложении) и щелкните по ней мышью. Когда вы нажмете кнопку «Добавить файл», появится всплывающее окно.

Шаг 3. Используя всплывающее окно, найдите видеофайл на вашем ПК с Linux, который вы хотите преобразовать в аудиофайл MP3.

Шаг 4. Найдите значок настроек в правом верхнем углу приложения SoundConverter и щелкните по нему мышью.

Внутри области настроек установите флажок «В папку». Затем найдите кнопку «Выбрать» и нажмите на нее, чтобы настроить выходную папку.

Шаг 5: Нажав кнопку «Выбрать», вы увидите всплывающее окно. Используйте это всплывающее окно, чтобы выбрать, куда следует сохранять конвертированные видеофайлы.

Шаг 6: После выбора выходной папки найдите «Тип результата?» Раздел и измените раскрывающееся меню рядом с «Формат» на «MP3».

Шаг 7: Закройте окно настроек. Затем, как только окно настроек закроется, найдите кнопку «Преобразовать» и нажмите на нее. Выбрав «Преобразовать», SoundConverter начнет транскодировать ваш видеофайл в аудиофайл MP3!

Способ 2 — Преобразование видеофайлов в командной строке с FFMPeg

Хотя инструмент SoundConverter очень хорош для новичков в Linux, он не для всех. Некоторые пользователи Linux предпочитают командную строку, и FFMpeg — лучший инструмент преобразования командной строки, который есть на платформе.

Однако прежде чем мы перейдем к тому, как конвертировать видеофайлы в аудиофайлы MP3, мы должны продемонстрировать, как установить FFMPeg. Откройте окно терминала и следуйте инструкциям ниже, чтобы начать работу.

Ubuntu

sudo apt install ffmpeg

Debian

sudo apt-get install ffmpeg

Arch Linux

sudo pacman -S ffmpeg

Fedora

sudo dnf install ffmpeg

OpenSUSE

sudo zypper install ffmpeg

Универсальный Linux

FFMpeg есть почти во всех операционных системах Linux, так как это инструмент для транскодера медиафайлов для этой платформы. Таким образом, даже если вы не используете популярную ОС Linux, у вас не должно возникнуть проблем с ее работой. Для установки откройте окно терминала, найдите «ffmpeg» и загрузите его так, как вы обычно устанавливаете программы.

С помощью инструмента FFMpeg, установленного на вашем ПК с Linux, следуйте пошаговым инструкциям ниже, чтобы узнать, как преобразовать любой видеофайл в аудиофайл MP3!

Шаг 1: Откройте окно терминала и используйте команду CD, чтобы переместить сеанс командной строки в каталог, в котором находится видеофайл.

Обратите внимание, что вам нужно будет указать точное местоположение этого видеофайла, чтобы команда CD работала. В этом примере наш видеофайл находится в ~/Видео. Ваша будет отличаться, поэтому обязательно измените приведенный ниже пример команды, чтобы отразить это.

cd ~/Видео

Шаг 2: С помощью команды ls просмотрите каталог, содержащий видеофайл, который вы хотите преобразовать в MP3.

ls

Шаг 3: Запишите имя видеофайла и измените example.video в приведенной ниже команде, чтобы начать процесс конвертации.

Примечание: FFMpeg также может конвертировать видео файлы в другие форматы. Просто измените файл convert-audio.mp3 на нужный аудиоформат (Ogg, Wav, Flac и т. Д.)

ffmpeg -i example.video converted-audio.mp3

Когда процесс будет завершен, ваш видео файл будет преобразован в MP3. Чтобы получить доступ к преобразованному аудиофайлу, откройте диспетчер файлов Linux в том месте, где находится видеофайл.



2020-04-13T08:32:22
Вопросы читателей

Как записать видео с веб-камеры на Linux

У вас есть веб-камера? Вы пытаетесь понять, как записать видео с ним на свой ПК с Linux? Не знаете, как с ним сфотографироваться? Мы можем помочь! Следуйте этому руководству и покажем, как записать веб-камеру в Linux!

Примечание. Для работы этого руководства вам потребуется веб-камера, совместимая с платформой Linux. Убедитесь, что вы используете веб-камеру, которая работает с Linux, установив правильные драйверы для вашего дистрибутива Linux или купив камеру с открытыми драйверами, включенными в ядро ​​Linux.

Установка Cheese в Linux

Для записи видео с веб-камеры в Linux вам необходимо установить утилиту для веб-камеры. В Linux существует множество типов утилит для веб-камер. Однако в этом руководстве мы сосредоточимся на применении сыра.

Почему сыр? Это самое надежное приложение из всех других веб-камер в Linux. Кроме того, это самое современное и наиболее широко используемое из всех доступных приложений. Ни одно другое приложение для веб-камеры не является настолько популярным, как Cheese в Linux, или настолько простым в установке.

Чтобы начать установку приложения веб-камеры Cheese на ПК с Linux, начните с запуска окна терминала на рабочем столе Linux. Для запуска окна терминала нажмите Ctrl + Alt + T или Ctrl + Shift + T на клавиатуре. Также можно выполнить поиск «Терминал» в меню приложения.

После того, как окно терминала открыто и готово к использованию на рабочем столе Linux, следуйте инструкциям командной строки, приведенным ниже, которые соответствуют ОС Linux, вы используете, чтобы все заработало.

Примечание. Возможно, на вашем компьютере с Linux уже установлен Cheese. Чтобы проверить, установлено ли у вас приложение, откройте меню приложения и выполните поиск «Сыр». Если вы не можете найти его, вы должны следовать инструкциям по установке в этом руководстве, чтобы использовать приложение.

Ubuntu

В Ubuntu Linux можно быстро установить приложение веб-камеры Cheese с помощью следующей команды Apt ниже.

sudo apt install cheese

Debian

Вы используете Debian Linux? Нужно запустить последнее приложение Cheese? Используйте следующую команду Apt-get ниже в окне терминала.

sudo apt-get install cheese

Arch Linux

Те, кто работает в Arch Linux, могут быстро запустить и запустить утилиту веб-камеры Cheese, выполнив следующую команду установки Pacman в окне терминала.

sudo pacman -S cheese

Fedora

Пользователи Fedora Linux имеют доступ к приложению веб-камеры Cheese с помощью команды установки Dnf . Чтобы заставить его работать в вашей системе, введите команду ниже в окне терминала.

sudo dnf install cheese

OpenSUSE

Вы используете OpenSUSE Linux? Вам нужен доступ к программе веб-камеры Cheese на вашем ПК? Используйте команду Zypper ниже в окне терминала, чтобы заставить его работать.

sudo zypper install cheese

Запись видео с Cheese

Запись видеороликов с помощью Cheese проста благодаря простому пользовательскому интерфейсу. Чтобы начать процесс записи, запустите приложение на рабочем столе Linux. Вы можете запустить его, выполнив поиск «Сыр» в меню приложения.

После того, как приложение Cheese открыто, убедитесь, что ваша веб-камера захвачена. Вы будете знать, что ваша камера снимается, если вы видите себя на экране. Если ваша камера не снимается, отключите устройство от ПК и закройте программу Cheese. Затем подключите его снова и перезапустите приложение.

Когда вы подтвердите, Cheese захватывает вашу веб-камеру, следуйте пошаговым инструкциям ниже, чтобы узнать, как записывать видео с вашей веб-камеры с помощью Cheese в Linux.

Шаг 1: Найдите раздел «Видео» приложения «Сыр» и щелкните по нему мышью. Выбор этой опции переведет Cheese в режим видео. В некоторых случаях вам может не понадобиться выбирать «Видео», так как он открывается там по умолчанию.

Шаг 2: В режиме видео ваша камера должна отображать прямую трансляцию в окне предварительного просмотра. Чтобы убедиться в качестве камеры, посмотрите на себя в Cheese и немного подвигайтесь, чтобы убедиться, что приложение правильно захватывает видео.

Шаг 3: Найдите значок веб-камеры и щелкните по нему мышью. Это немедленно начнет запись. Он будет записывать звук с микрофона по умолчанию на вашем ПК с Linux.

Шаг 4: Когда вы закончили запись своей веб-камеры и хотите закончить запись, нажмите кнопку остановки.

Вы сможете получить доступ ко всем записям веб-камеры в папке «Videos» в вашем домашнем каталоге.

Фотографировать с Cheese

Знаете ли вы, что можно делать снимки с помощью веб-камеры? Вот как это сделать.

Шаг 1: Найдите раздел «Фото» в разделе «Сыр» и щелкните по нему мышью.

Шаг 2: После выбора опции «Фото», Cheese перейдет в режим изображения. Отсюда выберите значок веб-камеры, чтобы сделать снимок.

Снимки, сделанные с помощью Cheese, сохраняются в папке «Photo» вашего домашнего каталога.



2020-04-13T08:19:36
Вопросы читателей

Настройка RSTP на PON шасси Huawei

Как правило, избыточные каналы используются в коммутируемой сети Ethernet для обеспечения резервирования каналов и повышения надежности сети. Однако использование избыточных каналов может создавать петли, вызывая широковещательные штормы и делая таблицу MAC-адресов неустойчивой. В результате качество связи ухудшается, и услуги связи могут быть прерваны. Протокол Spanning Tree Protocol (STP) используется для решения этих проблем. STP предотвращает петли. Устройства с активным STP, обнаруживают петли в сети, обмениваясь информацией друг с другом и блокируют некоторые порты для устранения петель.

STP – это STP, определенный в IEEE 802.1D, протокол Rapid Spanning Tree Protocol (RSTP), определенный в IEEE 802.1W, и протокол множественного связующего дерева (MSTP), определенном в IEEE 802.1S.

MSTP совместим с RSTP и STP, а RSTP совместим с STP. сравнивает STP, RSTP и MSTP.

Табл. 6-6  Сравнение STP, RSTP и MSTP







Протокол связующего дереваХарактеристикиСценарий применения
STP

  • Создает дерево без петель, чтобы предотвратить широковещательные штормы и реализовать избыточность.

  • Обеспечивает медленную конвергенцию.

Трафик пользователя или услуг не обязательно должен быть дифференцирован, и все VLAN имеют связующее дерево.
RSTP

  • Создает дерево без петель, чтобы предотвратить широковещательные штормы и реализовать избыточность.

  • Обеспечивает быструю конвергенцию.

MSTP

  • Создает несколько деревьев без петель, чтобы предотвратить широковещательные штормы и реализовать избыточность.

  • Обеспечивает быструю конвергенцию.

  • Осуществляет балансировку нагрузки между VLAN и перенаправляет трафик в разных VLAN по различным путям.

Трафик пользователей или услуг должен быть дифференцирован и сбалансирован по нагрузке. Трафик из разных VLAN перенаправляется через разные связующие деревья, которые независимы друг от друга.

Примечания по конфигурации

  • Этот пример применяется ко всем версиям S12700

  • Порты, подключенные к терминалам, не участвуют в расчете RSTP. Поэтому настройте порты как граничные порты или отключите STP на портах.

Требования к сети

Чтобы реализовать избыточность в сложной сети, разработчики сетей имеют тенденцию развертывать несколько физических каналов между двумя устройствами, один из которых является первичным каналом, а остальные – резервными. Могут возникать петли, вызывающие широковещательные штормы или неустойчивость таблицы MAC-адресов.

После того как разработчик сетей развернет сеть, RSTP может быть развернут в сети для предотвращения петель. Когда в сети существуют петли, RSTP блокирует порт для исключения петель. На Рис. 6-22, SwitchA, SwitchB, SwitchC и SwitchD с активным RSTP обмениваются RSTP BPDU для обнаружения петель в сети и блокировки портов для отсечения ветвей до образования сети без петель. RSTP предотвращает бесконечный цикл пакетов для обеспечения возможности пакетной обработки коммутаторов.

Рис. 6-22  Организация сети RSTP

Схема настройки

Схема настройки выглядит следующим образом:

  1. Настройте основные функции RSTP на коммутационных устройствах кольцевой сети.

    1. Настройте коммутационные устройства в кольцевой сети для работы в режиме RSTP.

    2. Настройте корневой мост и вторичный корневой мост.

    3. Настройте стоимость пути для порта, чтобы порт мог быть заблокирован.

    4. Включите RSTP для исключения петель.

  2. Включите функции защиты для защиты устройств или каналов. Например, включите защиту корня на назначенном порту корневого моста.

Процедура

  1. Настройте основные функции RSTP.

    1. Настройте коммутационные устройства в кольцевой сети для работы в режиме RSTP.

    2. # Настроить SwitchA для работы в режиме RSTP. 
      <HUAWEI> system-view

[HUAWEI] sysname SwitchA

[SwitchA] stp mode rstp

      # Настроить SwitchB для работы в режиме RSTP.

      <HUAWEI> system-view

[HUAWEI] sysname SwitchB

[SwitchB] stp mode rstp

      # Настроить SwitchC для работы в режиме RSTP.

      <HUAWEI> system-view

[HUAWEI] sysname SwitchC

[SwitchC] stp mode rstp

      # Настроить SwitchD для работы в режиме RSTP.

      <HUAWEI> system-view

[HUAWEI] sysname SwitchD

[SwitchD] stp mode rstp

    3. Настройте корневой мост и вторичный корневой мост.

    4. # Настроить SwitchA как корневой мост. 
      [SwitchA] stp root primary

      # НастроитьSwitchD как вторичный корневой мост.

      [SwitchD] stp root secondary

    5. Настройте стоимость пути для порта, чтобы порт мог быть заблокирован.

      ПРИМЕЧАНИЕ:

      • Диапазон стоимости пути зависит от алгоритма. В качестве примера используется запатентованный алгоритм Huawei. Установите 20000 в качестве стоимости пути для портов, которые должны быть заблокированы.

      • Коммутационные устройства в одной сети должны использовать один и тот же алгоритм для расчета стоимости пути портов.

      # Настроить SwitchA для использования запатентованного алгоритма Huawei для расчета стоимости пути.

      [SwitchA] stp pathcost-standard legacy

      # Настроить SwitchB для использования запатентованного алгоритма Huawei для расчета стоимости пути.

      [SwitchB] stp pathcost-standard legacy

      # Настроить SwitchC для использования запатентованного алгоритма Huawei для расчета стоимости пути.

      [SwitchC] stp pathcost-standard legacy

      # Установить значение 20000 в качестве стоимости пути GigabitEthernet1/0/1 на SwitchC.

      [SwitchC] interface gigabitethernet 1/0/1

[SwitchC-GigabitEthernet1/0/1] stp cost 20000

[SwitchC-GigabitEthernet1/0/1] quit

      # Настроить SwitchD для использования запатентованного алгоритма Huawei для расчета стоимости пути.

      [SwitchD] stp pathcost-standard legacy

    6. Включите RSTP для исключения петель.

      • Настройте порты, подключенные к ПК, как граничные порты.

      • # Настроить GigabitEthernet1/0/2 на SwitchB в качестве граничного порта. 
        [SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] stp edged-port enable

[SwitchB-GigabitEthernet1/0/2] quit

        (Необязательно) Настройте защиту BPDU на коммутаторе.

        [SwitchB] stp bpdu-protection

        # Настроить GigabitEthernet1/0/2 на SwitchC в качестве граничного порта.

        [SwitchC] interface gigabitethernet 1/0/2

[SwitchC-GigabitEthernet1/0/2] stp edged-port enable

[SwitchC-GigabitEthernet1/0/2] quit

        (Необязательно) Настройте защиту BPDU на SwitchC.

        [SwitchC] stp bpdu-protection

        ПРИМЕЧАНИЕ:

        Если граничные порты подключены к сетевым устройствам с включенными STP и защитой BPDU, граничные порты будут отключены, а их атрибуты остаются неизменными после того, как они получат BPDU.

      • Включите RSTP глобально на устройствах.# Включить RSTP на SwitchA. 
        [SwitchA] stp enable

        # Включить RSTP глобально на SwitchB.

        [SwitchB] stp enable

        # Включить RSTP глобально на SwitchC.

        [SwitchC] stp enable

        # Включить RSTP глобально на SwitchD.

        [SwitchD] stp enable

  2. Включите функции защиты. В качестве примера используется защита корня на назначенном порту корневого моста.

  3. # Настроить защиту корня на GigabitEthernet1/0/1 SwitchA. 
    [SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] stp root-protection

[SwitchA-GigabitEthernet1/0/1] quit

    # Настроить защиту корня на GigabitEthernet1/0/2 SwitchA.

    [SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] stp root-protection

[SwitchA-GigabitEthernet1/0/2] quit

  4. Проверьте конфигурацию.После того как конфигурация завершена и сетевая топология станет стабильной, выполните следующие операции для проверки конфигурации.

  5. # Запустить команду display stp brief на SwitchA, чтобы просмотреть статус и тип защиты на портах. Отображаемая информация выглядит следующим образом: 
    [SwitchA] display stp brief

 MSTID  Port                        Role  STP State     Protection

   0    GigabitEthernet1/0/1        DESI  FORWARDING      ROOT

   0    GigabitEthernet1/0/2        DESI  FORWARDING      ROOT

    После настройки SwitchA в качестве корневого моста GigabitEthernet1/0/2 и GigabitEthernet1/0/1, подключенные к SwitchB и SwitchD, становятся назначенными портами с защитой корня.

    # Выполнить команду display stp interface gigabitethernet1/0/1 brief на SwitchB, чтобы проверить статус GigabitEthernet1/0/1. На экран выводится следующая информация:

    [SwitchB] display stp interface gigabitethernet 1/0/1 brief

 MSTID  Port                        Role  STP State     Protection

   0    GigabitEthernet1/0/1        DESI  FORWARDING      NONE

    GigabitEthernet1/0/1 становится назначенным портом и находится в состоянии FORWARDING.

    # Запустить команду display stp brief на SwitchC, чтобы проверить статус порта.

    [SwitchC] display stp brief

 MSTID  Port                        Role  STP State     Protection

   0    GigabitEthernet1/0/1        ALTE  DISCARDING      NONE     

   0    GigabitEthernet1/0/2        DESI  FORWARDING      NONE     

   0    GigabitEthernet1/0/3        ROOT  FORWARDING      NONE

    GE1/0/1 становится альтернативным портом и находится в состоянии DISCARDING.

    GE1/0/3 становится корневым портом и находится в состоянии FORWARDING.

Файлы конфигурации



2020-04-12T16:00:59

Настройка Mikrotik на 2 WAN Load Balancing

Балансировка нагрузки на WAN-линках встает довольно часто и у многих, и в отличие от других вещей, которые можно настроить на оборудовании MikroTik быстро и безболезненно – в случае настройки Load Balancing придется постараться. Тема относительно сложная, наличие нескольких WAN-линков и задача по настройке балансировки нагрузки включает в себя настройку нескольких шлюзов и маршрутов по умолчанию, множество правил трансляции NAT и так далее.

НАСТРОЙКА МАРШРУТИЗАТОРА

Итак, в наличие у нас имеется один маршрутизатор MikroTik 951Ui-2HnD, который подключен к двум провайдерам через антенны, на портах ether1 и ether2 соответственно, и локальной сетью. Трафик из локальной сети будет NATиться из обоих WAN портов и будет сбалансирован по нагрузке.

Настраиваем локальные IP-адреса:

/ip address

add address=192.0.2.2/24 interface=ether1-isp-1

add address=198.51.100.2/24 interface=ether2-isp-2

add address=192.168.20.1/24 interface=bridge-local

Настраиваем шлюзы по умолчанию:

/ip route

add dst-address=0.0.0.0/0 check-gateway=ping gateway=192.0.2.1,198.51.100.1

Настраиваем NAT на WAN портах для исходящего направления:

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

add action=masquerade chain=srcnat out-interface=ether2

Если оставить только этот пример настройки, то если один из линков “отвалится”, то вместо него будет использоваться второй. Однако, никакой балансировки нагрузки здесь нет.

ИСХОДЯЩАЯ И ВХОДЯЩАЯ MANGLE МАРКИРОВКА

Одной из типичных проблем при использовании более одного WAN-соединения является то, что пакеты принятые на одном WAN интерфейсе, могут тут же быть отправлены через другой WAN-интерфейс, что может, к примеру, сломать VPN-based сеть. Нам нужно чтобы пакеты “принадлежащие” одному и тому же соединению принимались и отправлялись через один и тот же WAN порт. В случае аварии у одного из провайдеров, все подключения на порту “умрут” и затем будут переподключены на другом WAN порту. Для этого необходимо промаркировать соединения:

/ip firewall mangle

add action=mark-connection chain=input in-interface=ether1 new-connection-mark="CON-IN-ISP-1"

add action=mark-connection chain=input in-interface=ether2 new-connection-mark="CON-IN-ISP-2"

Это поможет маршрутизатору отслеживать порт для каждого входящего подключения.

Теперь мы будем использовать отметку подключения для входящих пакетов для вызова отметки маршрутизации. Это отметка маршрутизации будет использована позднее на маршруте, который будет сообщать подключению через какой WAN-порт необходимо слать пакеты наружу.

add action=mark-routing chain=output connection-mark="CON-IN-ISP-1" new-routing-mark="ROUTE-ISP-1"

add action=mark-routing chain=output connection-mark="CON-IN-ISP-2" new-routing-mark="ROUTE-ISP-2"

Помеченные подключения затем получают метку маршрута, так что роутер сможет маршрутизировать пакеты так, как нам необходимо. В следующем шаге мы настроим роутер таким образом, чтобы помеченные пакеты отправлялись наружу из корректного WAN-подключения.

МАРКИРОВКА LAN МАРШРУТА

Понадобится также настроить несколько Mangle правил – они необходимы, чтобы сообщить роутеру о необходимости балансировки пакетов, которые отправляются из локальной сети. Сам механизм балансировки в этой статье не описывается, можно только сказать что происходить много операций хеширования – если же интересно копнуть глубже, то вы можете обратиться к официальной документации MikroTik. В соответствии с этими правилами маршрутизатор будет балансировать трафик приходящий на bridge-local, который направлен на любой нелокальный адрес в Интернете. Мы захватываем трафик в цепочке предварительной маршрутизации для перенаправления его на необходимый нам WAN-порт в соответствии с меткой маршрутизации.

Следующие команды балансируют трафик на LAN-интерфейсе через две группы:

add action=mark-routing chain=prerouting 

    dst-address-type=!local in-interface=bridge-local new-routing-mark=

    "ISP-1-OUT" passthrough=yes per-connection-classifier=

    both-addresses-and-ports:2/0

add action=mark-routing chain=prerouting 

    dst-address-type=!local in-interface=bridge-local new-routing-mark=

    "ISP-2-OUT" passthrough=yes per-connection-classifier=

    both-addresses-and-ports:2/1

Настройка меток маршрутизации выше была выполнена точно такие же как и в предыдущем шаге и соответствуют тем маршрутам, которые будут созданы в следующем шаге.

ОСОБЫЕ МАРШРУТЫ ПО УМОЛЧАНИЮ.

В данный момент у нас должны быть помечены соединения поступающие на WAN-порты и эти метки были использованы для создания меток маршрутизации. Балансировка нагрузки в LAN, описанная в предыдущем шаге, также создает метки маршрутизации в соответствии со следующим шагом, в котором будут созданы маршруты по умолчанию, которые будут захватывать трафик с данными метками маршрутизации.

/ip route

add distance=1 gateway=192.0.2.1 routing-mark="ISP-1-OUT"

add distance=1 gateway=198.51.100.1 routing-mark="ISP-2-OUT"

Данные маршруты используются только при наличии необходимой метки маршрутизации. Непомеченные пакеты используют обычный маршрут по умолчанию.

Маршруты, относящиеся к Тарс Телеком получают метку подключения, которая вызывает метку маршрутизации. Эта метка маршрутизации совпадает с меткой в маршруте выше и обратный пакет выходит из того же интерфейса, на котором был получен изначальный пакет.

 

Итого, теперь у нас настроена балансировка трафика для двух WAN-соединений.



2020-04-12T13:34:25
MikroTik

Атака грубой силы. Описание и исследование

Ваш бизнес-сайт столкнулся с какой-либо атакой в последнее время?

Вы пережили какой-то серьезный фон в течение некоторого времени?

В мире, полном хакеров, киберпреступников, которые всегда ищут новые уловки, которые могут потревожить ваши бизнес-сайты в Интернете. Но здесь, в этой статье, мы узнаем о нападении грубой силы.

 

Что такое атака грубой силы?

Атака методом перебора — это метод проб и ошибок, используемый для получения такой информации, как пароль пользователя/PIN-код пользователя. Автоматизированное программное обеспечение используется для генерации большого количества последовательных предположений о значении желаемых данных.

 

Цель атакующего грубой силы

Как только хакер сделает успешную попытку входа в систему, что дальше? Изучите, вот несколько основных задач:

  • Кража или раскрытие личной информации пользователя, найденной в онлайн-аккаунтах.

  • Сбор комплектов учетных данных для продажи третьим лицам.

  • Выдает себя за аккаунт для распространения фальшивого контента или фишинговых ссылок.

  • Кража системных ресурсов для использования в других видах деятельности

  • Распространение вредоносного или спам-контента или перенаправление доменов на вредоносный контент

 

Методы предотвращения атаки методом грубой силы

Есть много методов, чтобы предотвратить атаки грубой силы.

Наиболее используемый метод — это политика надежных паролей. Каждый сервер должен обеспечивать использование надежных паролей и требовать частой смены паролей.

Политика надежного пароля должна включать:

  1. Достигните минимальной длины пароля (7 символов).

  2. Следует использовать как прописные, так и строчные буквы.

  3. Убедитесь, что включены числовые символы.

  4. Включите некоторые специальные символы, такие как @, #, $, &,% и т. д.

 

Способы предотвращения атаки грубой силой:

  1. Используйте капчу: единственное требование ввести слово или количество кошек на сгенерированном изображении очень эффективно против ботов, даже если хакеры начали использовать инструменты оптического распознавания символов, чтобы обойти этот механизм безопасности.

  2. Двухфакторная аутентификация. Многие считают ее первой линией защиты от атак методом перебора. Реализация такого решения значительно снижает риск потенциального нарушения данных.
    ПРИМЕЧАНИЕ
    Двухфакторная аутентификация очень эффективна против многих типов атак, включая атаки с использованием кейлоггеров.

  3. Уникальные URL-адреса для входа. Создайте уникальный URL-адрес для входа в различные группы пользователей. Эта практика не может остановить атаку грубой силой, но введение этой дополнительной переменной сделает вещи немного более сложными для атакующего.

  4. Сделайте пользователя root недоступным через SSH: SSH Попытки грубой силы часто выполняются для пользователя root на сервере. Убедитесь, что root недоступен через SSH, отредактировав файл sshd_config.

  5. Мониторинг журналов сервера: обязательно тщательно анализируйте файлы журналов. Администраторам известно, что файлы журналов необходимы для поддержки системы.

 

Другие практики:

  • Меняйте часто свои пароли.

  • Убедитесь, что вы создаете уникальные пароли для каждой учетной записи.

  • Не передавайте свои учетные данные через небезопасные каналы.

  • Добавьте несколько правил в файл .htaccess, чтобы укрепить безопасность вашего сайта.

 

Вывод

Атаки с использованием грубой силы довольно легки и просты для понимания, но их сложно защитить от них, поскольку такие кибератаки обычно основаны на слабых паролях и небрежном сетевом администрировании. Выполнение контрмер может помочь наименее замедлить атакующих.



2020-04-12T13:15:56
Безопасность

Получаем WildCard от Let’s Encrypt для домена.

let-encrypt-wildcard-ssl




Сегодня в статье научимся получать сертификат WildCard от Let’s Encrypt для доменов третьего уровня.




Получать сертификат я буду для своего сайта работающего на Nginx + PHP-FPM.






Для начала нам необходимо установить утилиту CertBot. Для этого в терминале набираем следующее.




sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-nginx




Данными командами мы добавили репозиторий для certbot, обновили все репозитории и установили certbot для Nginx.




Если у вас еще не установлен WEB-сервер Nginx, то читаем статью как это сделать.




Получаем WildCard от Let’s Encrypt




Давайте наконец-то получим наш сертификат для поддоменов. но для начала в тестовом режиме. В терминале набираем:




sudo certbot --dry-run --manual --agree-tos --preferred-challenges dns certonly --server https://acme-v02.api.letsencrypt.org/directory -d *.obu4alka.ru -d obu4alka.ru




На что certbot выдаст вот такую запись:




Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel):




Ну тут все просто, необходимо ввести наш email для получения уведомлений о безопасности и оповещения о продлении. Двигаемся далее




- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o:




Тут нам сообщают чтобы мы поделились нашим адресом с разработчиками и всякими некоммерческими организациями. Я конечно отвечаю нет “N




Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for obu4alka.ru

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o:




В данном сообщении нас предупреждают о том, что наш IP адрес на котором расположен наш сайт будет записан у разработчиков. Нажимаем “Y




Please deploy a DNS TXT record under the name
_acme-challenge.obu4alka.ru with the following value:

3yTQ7zcagxbrWLdLI4Jp8wA_VarDKkAt7RqCOwjugaE

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue




Certbot выдал нам запись, которую необходимо внести в txt запись DNS сервера. Как это сделать …. ну у каждого по разному. Вот пару фотографий как это происходило у меня.




Захожу в панель хостера — выбираю мой домен — управление доменом — Управление зоной ДНС








Добавляю информацию о TXT записи (это что выдал мне certbot).








За одно добавляю информацию о поддомене третьего уровня:




domen-3-level





После внесения всех изменений в ваш домен необходимо будет немного подождать. Чтобы записи обновились у регистратора.




Если все прошло удачно, то вводим следующие команды для получения wildcard сертификата:




sudo certbot --manual --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns certonly --server https://acme-v02.api.letsencrypt.org/directory -d *.obu4alka.ru -d obu4alka.ru




Проходим все этапы заново и получаем наш сертификат.




Также давайте проверим что запись действительно обновилась. Для этого в терминале набираем следующую команду:




dig -t txt _acme-challenge.obu4alka.ru




или можно проверить например google DNS-ом:




dig @8.8.8.8 -t txt _acme-challenge.obu4alka.ru




Если запись обновилась, то двигаемся дальше. Так, как бот запрашивал нажатия “ENTER” после всех манипуляций, то жмем.




Waiting for verification...
Cleaning up challenges
Obtaining a new certificate
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/obu4alka.ru-0001/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/obu4alka.ru-0001/privkey.pem
   Your cert will expire on 2020-07-10. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le




Ну вот WildCard сертификат был получен.




Теперь необходимо внести изменения в конфигурационный файл nginx. Для этого открываем его (у вас название и пути могут отличаться):




sudo nano /etc/nginx/site-available/obu4alka-ssl.conf




Меняем директории для записей с ssl сертификатами, а также опцию server_name.




server_name obu4alka.ru *.obu4alka.ru;

...

ssl_certificate /etc/letsencrypt/live/obu4alka.ru-0001/fullchain.pem;                                                                             
ssl_trusted_certificate /etc/letsencrypt/live/obu4alka.ru-0001/fullchain.pem;                                                                     
ssl_certificate_key /etc/letsencrypt/live/obu4alka.ru-0001/privkey.pem;




Проверяем все ли в порядке с настройкой nginx:




nginx -t




Если все в порядке, то перезагружаем nginx:




sudo /etc/init.d/nginx restart




Теперь Nginx настроен на обработку поддоменов третьего уровня с WildCard сертификатом.




Ошибка при обновлении сертификата wildcard от Let`s Encrypt




При обновлении wildcard сертификата certbot категарически не хотел обновлять данные сертификаты. Терминал выдал мне следующее:




All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/obu4alka.ru-0001/fullchain.pem (failure)
  /etc/letsencrypt/live/obu4alka.ru-0002/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2 renew failure(s), 0 parse failure(s)




Решение было найдено после 4 часов изучение интернета. Опишу все процедуры к которым я прибегал. Может кому помогут.




  • Первое: В директории /etc/letsencrypt/renewal находим наш домен и меняем строчку authenticator.




sudo nano /etc/letsencrypt/renewal/obu4alka.ru-0001.conf




#authenticator = manual # было
authenticator = nginx # стало




  • Второе: В директории /etc/nginx/site-available находим наш конфигурационный файл от домена и смотрим чтобы был прописан IP-адрес перед портами 80 и 443
  • Третье: После долгих мучений (первые два варианта не помогли) я решил удалить конфиги и директории на сертификаты от certbot. И так переходим в директорию /etc/letsencrypt/live и удаляем все каталоги нашего домена. Также поступаем с директорией /etc/letsencrypt/archive и /etc/letsencrypt/renewal. А далее переходим к созданию сертификата заново.




Настройка автопродления сертификатов




Тут всё просто, точнее даже очень просто.




Создаем исполняемый bash скрипт и открываем на редактирование:




sudo touch /etc/cron.weekly/cert-nginx && sudo chmod +x /etc/cron.weekly/cert-nginx && sudo nano /etc/cron.weekly/cert-nginx




Следующего содержания:




#!/bin/bash
/usr/bin/certbot renew --post-hook "service nginx reload"




В результате каждую неделю скрипт будет запускаться и проверять необходимость обновления сертификатов. В случае такой необходимости сертификаты автоматически будут обновлены и будет запущен хук обновляющий конфигурацию сервера nginx (в моём случае)



[endtxt]




RSS



Добавление RSS-ленты на главную страницу этого сайта не поддерживается, так как это может привести к зацикливанию, замедляющему работу вашего сайта. Попробуйте использовать другой блок, например блок Последние записи, для отображения записей сайта.


2020-04-11T09:27:55
Nginx