Сегодня в статье расскажу о нескольких способах обжима витой пары
Подробно будут описаны и продемонстрированы следующие способы, схемы и процесс обжима витой пары: прямой (TIA/EIA-568A и TIA/EIA-568B), Перекрёстный (Crossover cable) и Консольный (Rollover cable).
Под обжимом витой пары подразумевают процедуру закрепления специальных разъемов, расположенных на конце кабеля. В качестве разъемов используются 8-контактные коннекторы 8P8C (зачастую ошибочно именуемые RJ45).
Для обжима потребуются:
1. Кабель UTP cat.5 (прим. или UTP cat.5e) он же — витая пара (Рис.1).
Рис.1
2. Коннектор 8P8C (прим. часто его ошибочно называют RJ45) (Рис.2).
Рис.2
3. Кримпер для обжима коннекторов 8P8C (Рис.3).
Рис.3
Способы и схемы обжима витой пары
Прямой обжим
1. Прямой кабель (straight through cable). Прямой обжим кабеля применяют при соединении оконечного оборудования Ethernet (такого как компьютер, сетевой принтер) с коммутационным оборудованием (хаб/коммутатор/маршрутизатор), а также для связи сетевого оборудования между собой.
Существует два стандарта прямого обжима TIA/EIA-568A и TIA/EIA-568B (Рис.4, Рис.5). Данный способ обжима – самый распространенный и часто используемый.
Вариант по стандарту TIA/EIA-568A:
Рис.4
Вариант по стандарту TIA/EIA-568B (используется чаще):
Рис.5
2. Обжим 4-х жильного (двух парного UTP2/FTP2) кабеля. В кабельных линиях для Интернета используется только две витые пары. Для обжима кабеля, в котором вместо четырех имеется только две витые пары используется стандарт 10Base-T/100Base-TX (Рис.6).
Стандарт 10Base-T/100Base-TX:
Рис.6
Перекрестный обжим
1. Перекрёстный кабель (crossover cable). Предназначен для соединения однотипного оборудования (например, компьютер-компьютер). Однако большинство современных сетевых устройств способно автоматически определить метод обжима кабеля и подстроиться под него (Auto MDI/MDI-X), и перекрёстный кабель сегодня потерял свою актуальность.
Если нужен кабель MDI-X с внутренним кроссированием для соединения, типа: «компьютер-компьютер» (со скоростью до 100 Мбит/с), то с одной стороны кабеля применяется схема EIA/TIA-568B, с другой EIA/TIA-568А (Рис.7).
Вариант для скорости 100 Мбит/с:
Рис.7
Для соединений на скоростях до 1000 Мбит/с, при изготовлении «crossover» кабеля, одну сторону надо обжать по стандарту EIA/TIA-568B, а вторую так: 1) Бело-зелёный, 2) Зелёный, 3) Бело-оранжевый, 4) Бело-коричневый, 5) Коричневый, 6) Оранжевый, 7) Синий, 8) Бело-синий (Рис.8).
Вариант для скорости 1000 Мбит/с:
Рис.8
Консольный обжим
1. Консольный кабель (rollover cable). Консольный кабель (также известный как консольный кабель Cisco или rollover-кабель) — это разновидность нуль-модемного кабеля, которая часто используется для соединения компьютера и маршрутизатора (роутера, модема, IP-телефона и т.п.) через консольный порт. Как правило, этот кабель плоский и имеет голубой цвет (чтобы отличить его от других типов сетевых кабелей). Один конец этого кабеля обжат по обратной схеме относительно другого, как если бы Вы перевернули его и посмотрели бы на него с другой стороны (Рис.9).
Рис.9
Обжим витой пары
1. Снимите оболочку кабеля (прим. ~2 см.), затем, в соответствии с выбранной Вами схемой распиновки, аккуратно расплетите все жилы друг от друга, чтобы они располагались по отдельности (прим. в данном примере будет показан прямой обжим кабеля по стандарту TIA/EIA-568B) (Рис.10).
Рис.10
2. Расположите жилы в необходимом порядке, затем, используя лезвие кримпера (прим. изображено на Рис.11 слева), аккуратно обрежьте жилы до необходимой длинны (прим. ~1 см.) (Рис.11).
Рис.11
3. В соответствии с выбранной схемой, вставьте жилы (прим. до упора) в коннектор 8P8C. Внутри коннектора имеется 8 углублений-канавок (для каждой жилы кабеля), вверху которых имеются металлические контакты. Изоляционная оболочка должна обязательно оказаться внутри корпуса. Если это не так — вытащите жилы и укоротите их (Рис.12, Рис.13).
Рис.12
Рис.13
4. Коннектор 8P8C, с расположенными в нём жилами, вставьте в гнездо 8P кримпера, затем плотно сожмите основные ручки инструмента до щелчка (Рис.14).
Рис.14
5. Готово. Правильно обжатая витая пара представлена на Рис.15.
Рис.15
Используя данное руководство, Вы всегда сможете легко обжать витую пару в соответствии с выбранной схемой!
Если Ваш пароль содержит спец. символы, Вы должны заменить их на ASCII коды.
Например символ собаки @, должен быть заменен на «%40».
Настроить прокси на системном уровне можно и через конфигурационные файлы (True UNIX-way). Для этого нужно открыть на редактирования с правами root файл /etc/environment
Для применения настроек придется перезагрузит систему, изменения в файле /etc/environment вступили в силу при запуске процесса init – родителя всех процессов в системе и именно от него все дочерние процессы унаследуют настройки прокси в переменных окружения.
Тестирование работы
Используйте следующую команду для проверки текущих переменных прокси:
env | grep -i proxy
Можно проверить работу прокси, узнав ваш внешний IP адрес из командной строки:
curl icanhazip.com
Отключение
Используйте следующие команды для отключения прокси:
Если Вам приходится очень часто пользоваться прокси, Вы можете создать следующие bash функции (добавьте в Ваш ~/.bashrc) :
# Включить прокси
function setproxy() {
export {http,https,ftp}_proxy="http://proxy-server:port"
}
# Выключить прокси
function unsetproxy() { unset {http,https,ftp}_proxy }
Примените настройки, перезагрузив ~/.bashrc.
. ~/.bashrc
Теперь, для включения и отключения прокси можно использовать команды setproxy и unsetproxy.
Как правила глобальной настройки прокси достаточно для того что бы все остальные приложения работали через прокси без необходимости настраивать прокси внутри приложения. Однако некоторые приложения не умеют работать с глобальными настройками или им нужны особенные настройки.
Прокси для команды apt
В новых версиях умеет работать с глобальными настройками, но в более старых мог работать только с персональными настройками. Для внесения нашего прокси открываем файл:
sudo /etc/apt/apt.conf
В нем указываем наш прокси и выключаем данную настройку последней строчкой:
Если прокси без авторизации, то proxy-user и proxy-password нужно убрать
Настройка proxy в Ubuntu
Все настройки среды рабочего стола в Ubuntu хранятся в базе данных DConf, в том числе и настройки прокси сервера. Настройки записываются в виде пар ключ значение. Если изменить какой либо параметр из меню настроек системы все изменения сразу же запишутся в DConf. Из командной строки настройками DConf можно управлять с помощью команд gsettings и dconf. Дальше я покажу как настроить прокси в Ubuntu из терминала с помощью gsettings.
Базовое использование gsettings для работы с базой данных Dconf выглядит следующим образом. Для чтения данных используем:
gsettings set org.gnome.system.proxy.http host 'http://proxy-server'
gsettings set org.gnome.system.proxy.http port 8080
gsettings set org.gnome.system.proxy mode 'manual'
Если вы хотите использовать HTTPS прокси то вам нужно выполнить:
gsettings set org.gnome.system.proxy.https host 'http://proxy-server'
gsettings set org.gnome.system.proxy.https port 8080
gsettings set org.gnome.system.proxy mode 'manual'
Для других протоколов я думаю вы поняли что необходимо поменять в данных командах.
[endtxt]
RSS
Добавление RSS-ленты на главную страницу этого сайта не поддерживается, так как это может привести к зацикливанию, замедляющему работу вашего сайта. Попробуйте использовать другой блок, например блок Последние записи, для отображения записей сайта.
Для корректной работы беспроводного интерфейса вам потребуется установить утилиту WPA supplicant, которая позволяет подключиться к точкам доступа с WPA и WPA2:
sudo apt install wpasupplicant
Добавьте новый файл конфигурации в каталог /etc/netplan/:
sudo nano /etc/netplan/02-wifi.yaml
Отредактируйте файл конфигурации беспроводной сети с динамическим ip-адресом (DHCP):
Добавление RSS-ленты на главную страницу этого сайта не поддерживается, так как это может привести к зацикливанию, замедляющему работу вашего сайта. Попробуйте использовать другой блок, например блок Последние записи, для отображения записей сайта.
К каким результатам мы пришли: У нас встает вопрос безопасности нашей локальной сети, ведь китайские боты не спят и постоянно сканируют доступное сетевое пространство на наличие дыр и уязвимостей. Имея статический IP мы подвержены риску быть взломанными. Т.к. наш статический IP доступен в интернете, он может подвергаться различного рода «атакам из вне». Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети. В принципе жесткую защиту мы делать не будем. У нас ведь не корпоративная сеть, а домашняя. Данной статьей мы попробуем закрыть самые распространенные пробелы в защите нашего роутера и локальной сети в общем. Не будем допускать банальных ошибок.
Организацию удаленного подключения мы рассмотрим в Седьмой статье т.к. эта статья получилась достаточно большой по наполнению. Ну что, поехали…
За все операции обработки трафика в сетевых устройствах отвечает так называемый “Межсетевой экран” (Eng – Firewall) Именно он определяет куда отправлять тот или иной пакет, как обрабатывать соединения и многое, многое другое… Чтобы охватить весь спектр работы Firewall-а не хватит не только одной статьи, но и 10 или 20 статей точно. Настолько велики его возможности и вариации применения. Кстати это касается не только MikroTik RouterOS, а принципа фильтрации трафика в общем в операционных системах (даже на Windows)!
Давайте взглянем, где находится этот самый Межсетевой экран в наших устройствах(ведь RouterOS одинакова на всем оборудовании MikroTik): Он находится по пути IP -> Firewall
Путь до межсетевого экрана
Окно для ввода правил фильтрации
Кратко пробежимся по основным вкладкам Firewall: 1 – Filter Rules – тут основные разрешающие и блокирующие правила. 2 – NAT – тут формируются перенаправления трафика. 3 – Mangle – тут происходит маркировка соединений и пакетов, отлов определенного вида трафика для дальнейшей его обработки. Остальные вкладки пока рассматривать не будем, они нам не пригодятся. 4 – Raw – тут можно правилами отловить паразитный трафик и тем самым снизить нагрузку на CPU. Полезно для смягчения DOS атак. 5 – Service Ports – Для некоторых сетевых протоколов требуется прямое двустороннее соединение между конечными точками. Это не всегда возможно, поскольку трансляция сетевых адресов широко используется для подключения клиентов к сети. Это подменю позволяет настроить «помощники отслеживания соединений» для вышеупомянутых протоколов. Эти «помощники» используются для обеспечения правильного обхода NAT. 6 – Connections – тут отображаются все текущие соединения проходящие через маршрутизатор. 7 – Address List – тут списки адресов брандмауэра позволяют пользователю создавать списки IP-адресов, сгруппированных под общим именем. Затем фильтры брандмауэра, Mangle и NAT могут использовать эти списки адресов для сопоставления пакетов с ними. 8 – Layer7 Protocols – тут можно создавать шаблоны для поиска в потоках ICMP / TCP / UDP. L7 собирает первые 10 пакетов соединения или первые 2KB соединения и ищет шаблон в собранных данных.
Часть терминов может показаться непонятной, но в этом нет ничего страшного, мы будем работать только с первым пунктом Filter Rules. Хотя в нем тоже, очень много вариантов создания правил. Сразу нужно оговориться, что полной безопасности Вам никто не обеспечит и это важно понимать! Но боятся не стоит, мы ведь не популярная корпорация за которой ведется промышленный шпионаж, нам достаточно превентивных мер ))))
Вы можете использовать её или нет ) Я делаю несколько по своему, возможно что-то тут не идеально, и Вы обладая большим опытом подскажите мне в комментариях, как сделать лучше ))
1. Перейдем к созданию правил в Firewall Filter Rules
Отступление: А ты засейвился? (Кнопка Safe Mode)
Все правила добавленные в таблицу применяются последовательно, сверху вниз. Будьте осторожны не добавляйте сразу правило, блокирующее все что только можно. Вы можете потерять доступ к роутеру и тогда придется его сбрасывать и перенастраивать заново. Я рекомендую использовать магическую кнопку Safe Mode для таких целей. Если эта кнопка нажата и Вас отключит от роутера, настройки вернутся к моменту нажатия на эту кнопку. Очень полезная вещь, особенно если Вы работаете удаленно.
Правила добавляются по уже знакомой нам кнопке плюс…
1.1. Перво наперво нам нужно разрешить уже установленные(Established) и связанные(Related) соединения и сбросить некорректные(Invalid) соединения для проходящих (маршрутизируемых) пакетов в цепочке Forward и предназначенных локальной системе в цепочке Input. Так мы снизим нагрузку на маршрутизатор обработав эти данные сразу. Зачем повторно обрабатывать эти соединения если они уже и так установлены или неизвестны. Экономим ресурсы процессора. Т.е. эти правила будут в самом начале нашей таблицы.
Добавление правил 1.1. через WinBox (Изображения)
Правило 0
Правило 0
Правило 1
Правило 1
Правило 2
Правило 2
Правило 3
Правило 3
Консольно:
/ip firewall filter
add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
Дополнительно: Защита локальной сети от атак из публичного интернета Очень часто люди используют настройки по умолчанию на своих маршрутизаторах. Это также означает, что можно угадать, какой локальный адрес используется за маршрутизатором. Обычно это 192.168.88.0/24 для устройств, работающих на RouterOS. Это означает, что в общедоступной сети злоумышленник может создать простой маршрут, который говорит, что 192.168.88.0/24 находится за вашим общедоступным IP-адресом. Таким образом злоумышленник может атаковать ваши локальные сетевые устройства. Чтобы защитить вашу локальную подсеть от этих атак, можно использовать очень простое правило фильтра брандмауэра. Это правило отбрасывает все пакеты, которые предназначены для локальной сети, но не являются NAT
1.2. Далее необходимо обеспечить защиту. Продолжим мы с Лимита входящих соединений.
Это даст нам некоторую защиту от DDoS атак. Далее, большинство правил будут включать в себя параметр Списков интерфейсов In Interface List. Это замена для параметра In Interface. Позволяет группировать интерфейсы и применять правила Firewall обращаясь сразу к нескольким интерфейсам. Более подробно про данные списки можно почитать в отдельной статье: MikroTik RouterOS – Списки интерфейсов “Interface List” Чтобы дальнейшие правила отработали корректно Вы должны внести WAN интерфейс в список Internet, а все локальные интерфейсы в список Local. Сами списки также нужно создать. Имена списков Вы можете задавать свои не обязательно, как у меня. Вся информация по тому, как это делать по ссылке выше в статье MikroTik RouterOS – Списки интерфейсов “Interface List”
1.3. Следом идет защита от SYN флуда. Что это такое можно почитать тут: https://ru.wikipedia.org/wiki/SYN-флуд или в более профильных изданиях. Защищать мы будем, как проходящий трафик, так и входящий трафик. Путем создания отдельной цепочки SYN-Protect
1.4. Защита от сканеров портов (PSD – Port Scan Detection). На счет данного правила есть разные мнения, кто-то считает, что оно не нужно, кто-то, что нужно. Я же предпочитаю немного себя подстраховать. Тем более, что благодаря данному правилу Address Lists заполняется какими-то забугорными IP адресами )
1.5. Защита WinBox порта от перебора. Логика обработки тут следующая. 1. Когда мы подключаемся к роутеру на порт 8291, то мы имеет состояние соединения new, правило добавляет наш IP в список уровня 1 2. Если мы не авторизовались и отключились, а после снова пытаемся подключиться, то мы опять будем иметь состояние соединения new. При этом наш IP адрес уже будет в Списке 1 Соответственно наш IP попадет в список уровня 2 и т.д до тех пор пока нас не заблокирует Правило 13, и уже после этого Правило 12 не будет нам давать возможность новых подключений к роутеру по порту 8291. 3. А если мы авторизовались, то наше соединение перейдет из состояния new в состояние established и обработка соединения уже будет вестись самым верхним правилом 2, которое нам все разрешает. По сути у злоумышленника может быть всего четыре возможности Авторизоваться у нас на роутере через порт WinBox
1.6. Защита OpenVPN порта от перебора. Данная защита делается абсолютно аналогично пункту 1.5. Единственным отличием будут названия OpenVPN вместо WinBox и входящий TCP порт 1194 Поэтому просто повторяем действия Консольно:
1.9. Запрещающее правило Нормально закрытый Firewall должен обязательно обладать таким правилом. Иначе все бессмысленно. Выше мы обрабатываем соединения и разрешаем только то, что нам необходимо. Все остальное блокируем. Это намного правильней, чем Разрешить все и блокировать только нужное Вам. А всего, что нужно заблокировать Вы наверняка не знаете.
Добавление правил 1.9. через WinBox (Изображения)
Правило 26
Правило 26
Консольно:
/ip firewall filter
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=Internet
2. Для ленивых Если Вы дочитали до конца, значит у Вас пытливый ум и Вы хорошо представляете с чем столкнулись. Вы молодец. Еще раз хотелось бы обозначить, что данная конфигурация не является идеальной. Я просто старался показать некоторые способы фильтрации трафика. Вам решать, использовать это у себя простым копипастом или подумать и сделать лучше! Но я уверен, что моё решение тоже не плохое =)
Бонус: Работая с Firewall на родительском hEx роутере, обнаружил большой объем заблокированного трафика. Решил посмотреть, в чем дело, включил логирование в правилах и обнаружил интересную ситуацию. Оказалось, что местный провайдер не закрыл широковещательный трафик службы имен NetBIOS Name Service – UDP порт 137 (Остальные порты и информация: https://ru.wikipedia.org/wiki/NetBIOS) И какой-то “Сосед” воткнул интернет кабель в простой ПК с Windows, тем самым создав тот самый паразитный трафик. Такие запросы с одного ПК могут занимать около 30 кбит/сек на вашем WAN порту. Думаю можно себе представить если таких ПК в сети будет 100-150. Написали провайдеру, а пока он латает свои дыры, добавил правило блокировки. Только не в Firewall Filter, а в Firewall Raw. Данная таблица полезна для уменьшения нагрузки на CPU и позволяет блокировать трафик на этапе Prerouting-а Вот это правило:
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=Internet protocol=udp
Бонус 2:
Правила для роутера за серым IP провайдера
Для роутера за серым IP провайдера я оставил только такие правила. Даже не смотря на то, что IP серый, доверять сети провайдера ни в коем случае не стоит.
Данная статья будет небольшой и она будет посвящена Спискам интерфейсов в MikroTik RouterOS. В ней я постараюсь рассказать, что такое “Списки интерфейсов” и для чего они нужны.
Все действия производились на прошивке 6.42.9 (Long-Term)
Описание на MikroTik WIki: Manual:Interface/List [ENG]
Сами списки интерфейсов в RouterOS V6 (на 10.10.2018) присутствуют довольно давно, тогда они еще были очень простыми. Читать →
При эксплуатации IPSEC и балансировке каналов выяснился интересный факт: при установке IPSEC не получается обменяться всеми ключами. IPSEC вроде бы как и поднимается, но работать не работает. Если посмотреть IP → IPsec → Installed SAs — можно увидеть что счетчик «Current Bytes» для одного из ключей равен 0, т.е. обмен ключами все-таки не прошел. Для правильной работы необходимо добавить еще два правила:
