- 1
- 2
- 3
Вы уронили продуктовое приложение и SSH-доступ изнутри виртуалки к нему,
все сессии потеряны. Доступ к виртуалке надо просить через заказчика, и это косяк.
Ваши действия?
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
0
Вы уронили продуктовое приложение и SSH-доступ изнутри виртуалки к нему,
все сессии потеряны. Доступ к виртуалке надо просить через заказчика, и это косяк.
Ваши действия?
guest # 0
Попроси доступ, и сделай вывод о том, что всегда обязательно нужно иметь доступ к консоли.
guest # 0
gost # 0
This.
А когда работаешь с «Iptables» на удалённой виртуалке — советую использовать вот такой шаблон:
Выполняешь скрипт, после «OK» нажимаешь «Ctrl+C». Если проебался и отрубил SSH — через пять секунд скрипт всё откатит к чистому листу. Не спасает от отрубания всех входящих соединений, но это уже экзотика.
Костыль, конечно, но если уж накатывать на прод нетестированные правила…
guest # 0 ⇈
В моей юности не было vps, и правила правили на реальных железных серверах. Вот это правда был экстрим, иногда нужно было куда-то ехать ногами:)
gost # 0 ⇈
В принципе да, так будет правильнее, но для немедленного отваливания сессии нужно ухитриться отправить TCP-reset от имени клиента, а это нетривиально. В большинстве случаев SSH-трафик просто будет DROPнут, и за пять секунд сессия отвалиться не успеет.
guest # 0 ⇈
Альсо, у тебя может самого в этот момент что-то отвалиться, а пока будешь чинить -- таймаут TCP придет
gost # 0 ⇈
guest # 0 ⇈
gost # 0 ⇈
Поэтому скрипт перед очисткой и спит всего несколько секунд. Когда сессия отвалится по таймауту — правила уже давно будут очищены.
guest # 0 ⇈
Кстати, в некоторых конторах программисты вообще не имеют доступа к продакшену: они собирают Dockerfile, и дальше админы сами его запускают, во многом по этой вот причине
Desktop # 0 ⇈
guest # 0 ⇈
Думаю, он всё таки правил правила файрвола по ssh, и вот
Desktop # 0 ⇈
Но мне кажется странным, что правила фаервола лежат там же, где боевое приложение. А как же балансировщики, роутинг и прочие непонятные мне слова?
guest # 0 ⇈
Desktop # 0 ⇈
и очень сложный заказчик
так и живём
guest # 0 ⇈
"Вот тебе ssh, выложи туда сайт, который ты нам сделал".
А доступа панели хостера не дает
Desktop # 0 ⇈
MAKAKA # 0 ⇈
В общем дали ему возможность зайти по ssh на сервер.
Но правду знает только Вистефан
Desktop # 0 ⇈
guest # 0 ⇈
Твой SSH клиент отваливается, и веб-приложение тоже больше недоступно.
Если политика по умолчанию "всё закрыто", то нужно явно добавлять правила для ssh. Если ты его случайно удалил этот правило -- то всё
Desktop # 0 ⇈
А из панели в таком случае доступ останется? Как морда подключается к серваку?
guest # 0 ⇈
Многие гипервизоры дают доступ к консоли (к тому месту, куда у реальной машины подключались бы клавиатура и дисплей).
Ты заходишь через веб-интерфейс, ждмешь кнопку, и у тебя открывается эта косноль или в виде веб-приложения с канвасом, или тебе дается адрес для подключения по VNC.
Попадаешь на консоль, там терминал, логинишься, и чинишь.
Если гипервизор не дает такого доступа, то у виртуалки можно сделать ком-порт. Гипервизор обычно позволяет замапить такой порт на TCP порт. На том порту можно запустить login, и зайти как-бы на ком-порт машины. В линуксе там обычный терминал будет.
gost # 0 ⇈
Распространённая ошибка, кстати. Боевой сервер за балансировщиками и проксями, у которого не настроен фаерволл — это как полный комплект брони с дыркой на заднице. Рано или поздно он утечёт (или перебором, или более экзотическими методами) — и всё, дальше всё зависит от степени безалаберности админа.
Именно поэтому я за
.
bormand # 0 ⇈
А дальше монга без пароля, угу. Она же за балансировщиком и фаерволом.
gost # 0 ⇈
guest # 0 ⇈
ну, привет.
На AWS продакшен сервер может вообще не иметь внешнего IP, и быть доступен только из VPC, в которую входит балансировщик.
Нахуй там файрвол?
gost # 0 ⇈
Ну так это фактически и есть фаерволл, запрещающий прямой доступ к серверу. Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
guest # 0 ⇈
Правила настраивются на балансировщике, а сервер приложений никаких правил своих не имеет, тем не менее он защищен
gost # 0 ⇈
>>> Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
guest # 0 ⇈
"Но мне кажется странным, что правила фаервола лежат там же, где боевое приложение."
Ты возразил, что это ошибка.
Так вот в примере с VPC на боевом сервере нету сущности, которая называется "правило файрвола".
gost # 0 ⇈
Или вот реальный пример статейки на «Хабре», написанной вчера: https://habr.com/post/512152/, там в разделе «Прямое подключение» просто-таки хрестоматийный пример такого рода ошибки.
guest # 0 ⇈
Просто если у тебя есть несколько продакшен серверов (для блю грин деплоя, сервер с базой итд), то нет никакого смысла их всех выставлять наружу и на каждом настраивать файрвол. Лучше бы им быть в приватной сети за SNATом, и в той же сети будет балансировщик с двумя интерфейсами -- внешним и внутренним (для связи с продакшен сервером).
Вообще чем меньше у тебя реальных IP -- тем безопаснее
bormand # 0 ⇈
guest # 0 ⇈
У тебя дома файрвол на ноуте настроен?
bormand # 0 ⇈
guest # 0 ⇈
ну, у меня нет)
> а завтра один из серваков слегка ломанут или во внешнем фаере админы накосячат.
Если речь идет о VPC, то там software defined network: если там и настраивают файрвол, то он там же описывается, где и факт приватности сети)
Можно конечно на каждом сервере еще явно подымать iptables, передавать туда как-то адрес балансера, давать доступ именно к нему, не забывать поменять всё, когда адрес балансера поменяется, но это боль
gost # 0 ⇈
Ситуация, когда всю сеть компании ломает чувак, взломавший рабочий ЭВМ уборщицы тёти Маши, довольно распространены.
Desktop # 0 ⇈
Какой энтерпрайз )))
bormand # 0 ⇈
В идеальном мире, конечно, всё правильно настроено и код без багов пишется. Но в реальном мире лучше перестраховаться и сделать защиту на всех уровнях, где это получается. Авось хакерам надоест и они пойдут искать что-то более лёгкое.
guest # 0 ⇈
Если ты случайно включил туда уборщицу, то это баг.
С таким же успехом ты случайно можешь налажать с файрволом
Desktop # 0 ⇈
У меня нет опыта в этом, потому спорить не буду.
Хотя выглядит немного, как оверкилл, который всё равно в итоге не поможет.
bormand # 0 ⇈
Дык ты по определению в проигрышном положении по отношению к хакеру. Всегда. Ему надо найти одну дыру в твоём коде или конфиге. Тебе надо закрыть все.
Поэтому все способы, которые уменьшают поверхность атаки хороши: поставить пароль на монгу, врубить фаер хотя бы на минималках, чтобы лишние сервисы случайно не засветились, настроить VPC как guest выше пишет.
Налажать можно на любом из этих этапов. Но есть шанс, что остальные тебя подстрахуют.
guest # 0 ⇈
Они должны быть разделены на разные сети, и общаться через маршрутизатор с файрволом.
В VPC нету уборщицы, там вообще реальных машин нету.
bormand # 0 ⇈
Зато там вполне может оказаться дырявое легаси на PHP.
guest # 0 ⇈
bormand # 0 ⇈
guest # 0 ⇈
Но обычно твое дырявое приложение ходит в базу под пользователем с правами на запись. Ты можешь сделать DROP DATABASE
bormand # 0 ⇈
Ну вот кстати не доверяю я таким решениям. В амазоне конечно далеко не макаки работают, но есть риск что после какого-нибудь неудачного апдейта инфраструктуры все тачки внезапно начнут видеть друг друга.
Поэтому прикрыть жопу фаервольчиком не помешает. Хотя бы минимальным, который экспозит только те порты, которые нужны для работы данного контейнера (да, я понимаю, что в контейнерах обычно ничего лишнего нет, но shit happens).
На бога надейся, а сам не плошай.
gost # 0 ⇈
bormand # 0 ⇈
И опытная крестоблядь заодно. Замечательное сочетание для развития паранойи.
gost # 0 ⇈
bormand # 0 ⇈
gost # 0 ⇈
bormand # 0 ⇈
guest # 0 ⇈
guest # 0 ⇈
Марьванне нужно скачать файлы у Серпетровича: откроем у него 445-й для адреса марьванны.
А еще лучше каждую станцию запустим в отдельный vlan, и откроем файр на маршрутизаторе между ними, а vlan привяжем к розетке, чтоб не спуфили адреса.
Ну и конечно не забудем про IEEE 802.1X, чтобы левые хуи в розетку не сувались
bormand # 0 ⇈
guest # 0 ⇈
так я же про локалку говорю, точнее даже про доменный профайл
bormand # 0 ⇈
Десктопные тачки не должны ничего хостить. Иначе это колхоз какой-то.
guest # 0 ⇈
>Десктопные тачки не должны ничего хостить.
ну как я музыку-то коллеге передам?
bormand # 0 ⇈
> ну как я музыку-то коллеге передам?
Во вконтакте скинешь ссылку лол, один хер все там слушают. Или я уже отстал от жизни и сейчас это делают как-то по-другому?
TEH3OPHblu_nemyx # 0 ⇈
bormand # 0 ⇈
guest # 0 ⇈
Так что с файром? Ты реально бы вот групповухой закрыл бы всем доступ по сети?
bormand # 0 ⇈
Только исходящие коннекты, только хардкор. Цепляться к шаре на серваке это, емнип, не мешает.
guest # 0 ⇈
Можно стопнуть службу server, правда тогда еще че-нить отвалица, и вероятно лучше так не делать.
Короче, ты более параноик, чем все виданные мною админы.
gost # 0 ⇈
Вопрос на миллион: нахуя на работе, за рабочим компом передавать кому-то музыку? На работе работать надо, ёба!
UPD: Ладно, ладно, я понимаю, зачем это надо работнику. А почему это должно волновать администратора?
guest # 0 ⇈
ой, да ладно. Кто на работе работает-то?
gost # 0 ⇈
guest # 0 ⇈
\\srv323\1C\Питуховский Е К.\базы
ну или на \\puthu.local\1C\.., если админ осилил DFS
bormand # 0 ⇈
guest # 0 ⇈
Ну у такого админа и на каждой машине был бы антивир, не
> Плюс в аудите останется запись откуда он туда попал.
Я, кстати, никогда не видел, как работает аудит доступа именно к сетевым папкам вместе с записью файлов.. ты видел?
>без участия юзеров даже.
только если его уже запустили
bormand # 0 ⇈
guest # 0 ⇈
bormand # 0 ⇈
guest # 0 ⇈
Список компов сети можно же получить у мастербраузера или широковещалкой по WSD в современных виндах, потом всех их просканировать, и найти наверняка
зарплата2020.xlsx у бухгалтера
пароли_соцсети.doc у SMMщика
маша_в_бане.jpg у директора...
bormand # 0 ⇈
Какое юзабилити ))))
Вот до чего доводит не залупание на сотрудников.
bormand # 0 ⇈
guest # 0 ⇈
guest # 0 ⇈
Потому что зачем залупаца с сотрудниками на пустом месте?
А вообще дело не только в музыяке.
Ты никогда не видел совконтор?
Там какие-нить фото с объекта или PDF с договором принесли на флешке или на почту получили, и надо их кому-то показать.
Ясен хуй, что в идеальном мире их надо в документооборот пихать, но это так не работает.
Да даже у нас на работе я иногда могу дамп в шару выложить
gost # 0 ⇈
Ну а почему бы тогда не поставить «Стим» на все компы, чтобы совсем заебись стало?
> Ясен хуй, что в идеальном мире их надо в документооборот пихать, но это так не работает.
По-умолчанию всё должно быть максимально закрыто и заблочено. Разумеется, если у конкретной конторы есть реальная рабочая необходимость в открытом SMB-сервере на всех машинах, то ничего не поделаешь. Но это, повторюсь, должна быть, во-первых, необходимость, а во-вторых — рабочая.
Ну и да, «SMB» — это настолько дырявое говно, что его просто страшно запускать. В нём чуть ли не каждый год очередную 10/10 CVE находят.
guest # 0 ⇈
Во многих конторах человек локальный админ у себя на компе, и пускай стим ставит.
>По-умолчанию всё должно быть максимально закрыто и заблочено.
Это правда. Но я такого никогда не видел в офисных сетях, потому и спросил "а как бы сделали"
>Ну и да, «SMB» — это настолько дырявое говно,
Даже SMB3?
gost # 0 ⇈
Пф-ф-ф.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
> An attacker who successfully exploited the vulnerability could gain the ability to execute code on the target server or client.
> To exploit the vulnerability against a server, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv3 server. To exploit the vulnerability against a client, an unauthenticated attacker would need to configure a malicious SMBv3 server and convince a user to connect to it.
> Published: 03/12/2020
Сколько решето не нумеруй — оно так решетом и останется.
guest # 0 ⇈
gost # 0 ⇈
Ну да, и на то, что кто-то не запустит удачную картинку.jpeg.exe. «EternalBlue» (привет, SMB), «WannaCry» (> Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров), «Petya» (> вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть), тысячи их.
guest # 0 ⇈
С другой стороны, 1С можно запускать на сервере приложений, и запускать на него питухов по RDP с тонких клиентов вообще без входа в домен. Правда, доступ в Интернет придется закрыть, иначе они Петю все равно скачают.
Пиздец.
Вы только что объяснили мне, что половина MS технологий нахуй не нужна, например)
gost # 0 ⇈
Ну да, есть такое. В случае с Бормандовской методой зашифрованы окажутся комп лоха нерадивого сотрудника и шара, а в случае с открытым везде «SMB» лежать будет вся маршрутка локалка, включая комп Большого Босса :-).
> Вы только что объяснили мне, что половина MS технологий нахуй не нужна, например)
Она была бы нужна, если бы «MS» выкинула нахуй весь код «SMB» и написала его с нуля, по современным и безопасным мето́дам (на пuтухе).
Ну потому что неавторизованное RCE одним пакетом в 2020-м году, в современном приложении — это ж пиздец хтонический.
guest # 0 ⇈
С ноля MS переписивать не будет: проще сделать вебговно в облаке с доступом по https. По https, вроде как, Петя не ходит.
>на пuтухе
На тайпскрипте, следуя модным тенденциям.
А как дела у юниксов с NFS? Оно ведь тоже для этого. Питухи там домашнюю папку хранят ради одинаковых настроек на всех серверах
gost # 0 ⇈
> С ноля MS переписивать не будет: проще сделать вебговно в облаке с доступом по https. По https, вроде как, Петя не ходит.
Ну тоже вореант, кстати. Всяческих облакоподобных решений сейчас как грязи развелось. Правда, насколько они enterprise-ready — хуй знает.
> На тайпскрипте, следуя модным тенденциям.
Подтверждаю. Какой багор )))
> А как дела у юниксов с NFS?
Совсем не в теме, извини.
guest # 0 ⇈
Пусть каждый комп при входе в домен получает подписанный контроллером сертификат.
Правда нужно как-то Kerberos поверх него пустить.
Я хз правда есть ли там возможность seekнуться в нужный кусок файла. Если есть, то звучит куда лучше SMB.
И с браузера и с iPhone проще ходить
bormand # 0 ⇈
Насколько помню, там виндовый клиент тупо весь файл выкачивает себе в кеш и потом ты с ним работаешь.
А вообще - они же вандрайв сейчас продвигают. Видимо хотят шары закопать и тупо хранить все данные у себя.
guest # 0 ⇈
то-есть RANGE не осилилил? Тогда багор, конечно
А кажется, что могли бы, не?
bormand # 0 ⇈
Может быть и можно нормальную реализацию запилить, но они теперь в вандрайв вложились. Смысла уже никакого вебдав допиливать.
guest # 0 ⇈
Может и слава богу, иначе пришлось бы делать редиректор и поддерживать это в kernel space же.
Хочешь HTTP/WebDAV клиент в kernel space?
Кажется, юзерспейс FS а-ля фьюз давеча завезли, то раньше вроде не было
bormand # 0 ⇈
guest # 0 ⇈
А как там? MS-SQL? Шары не нужны?
Тогда зачем вообще шары в 2020?
Документы хранить?
gost # 0 ⇈
Музыку передавать.
guest # 0 ⇈
bormand # 0 ⇈
> зачем вообще шары
А х.з. Ну одну на серваке то удобно держать. И права настроить можно и интеграция с доменом хорошая.
А зачем они на клиентских тачках - хер бы знал, для домашней локалки где нет хорошего роутера или наса, наверное.
guest # 0 ⇈
bormand # 0 ⇈
Ответ от мс, как в далёкие годы: всё ок, просто не скачивайте petya.exe
guest # 0 ⇈
В политике можно запретить скачку .exe, и антивирь все поставить
**особенно, если у горя-админа один контроллер -- так бывает внезапно
bormand # 0 ⇈
guest # 0 ⇈
Они же на контроллее в шаре
SYSVOL. Знаешь таку хунйю?
bormand # 0 ⇈
Какая архитектура )))
guest # 0 ⇈
Без нее керберос может и заведется, но груповухи и скрипты загрузочные это же тоже важно.
Написино
The default location is %SYSTEMROOT%\SYSVOL\sysvol for the shared folder, although you can change that during the DC promotion process or anytime thereafter. SYSVOL is made up of Folders. The folders are used to store:
Group Policy templates (GPTs), which are replicated via SYSVOL replication. The Group Policy container (GPC) is replicated via Active Directory replication. (то-есть может только на другите контроллеры так репилкация идет)_
Scripts, such as startup scripts that are referenced in a GPO.
guest # 0 ⇈
bormand # 0 ⇈
А эту хрень я так и не научился настраивать. Оно или гигабайты тянет и тупит на входе или нихуя не тянет и пользы вообще никакой.
guest # 0 ⇈
Во-втором случае скачка гигабайта приятно растянута во времени
gost # 0 ⇈
Я за «SRP» и «AppLocker». Запретить и не пущщать!
…Правда, для грамотной настройки этого ебаться придётся столько, что легче будет пойти и утопиться. Там целая IT-рота админов нужна будет.
bormand # 0 ⇈
gost # 0 ⇈
guest # 0 ⇈
Людям дают локальных админов на компах ровно за тем, чтобы очередную аську питух сам себе мог поставить, не трогая аникея.**
И ваша идея закрыть SMB тоже может повысить кол-во ебли (как минимум нужно групповой настраивать файр).
Вопрос в том, сколько ебли вы готовы заплатить.
**умные проги правда умеют в домашнюю папку LOCALAPPDATA уже
gost # 0 ⇈
Подтверждаю.
> **умные проги правда умеют в домашнюю папку LOCALAPPDATA уже
А некоторое слишком умное говно туда ставится, лол.
guest # 0 ⇈
gost # 0 ⇈
>>> полноценно настроенный «SRP» — это когда запуск экзешников/скриптов и загрузка DLL разрешена только из анально огороженных read-only (для текущего юзера) папок
guest # 0 ⇈
Но если сравнивать просто две программы, одна которая умеет только с c:\program files, а другая в LOCALAPPDATA, то я за вторую.
Тогда можно хотя-бы админа локального питуху не давать
gost # 0 ⇈
guest # 0 ⇈
gost # 0 ⇈
И в таскбар насрать.
И пункт «Не отметьте галочку, если вы не согласны с неустановкой инновационного антивируса McAffee (1 мес. беслпатно!)».
guest # 0 ⇈
gost # 0 ⇈
>>>
guest # 0 ⇈
Desktop # 0 ⇈
В виндовых политиках можно так анально огородить пользователя, что он сможет поставить себе ровно те три приложения, которые ему разрешит админ Валера.
Только спрашивается, а нахуя тогда целая винда?
guest # 0 ⇈
Может и правда проще поставить линукс с хромимумом.
Вебприложения везде одинаково работают
Desktop # 0 ⇈
Выдали нам всё равно по виндовому ноуту, потому что только с винды можно было без ебли подключаться к почте, SfB и прочей хуете. Но больше я этот ноут ни для чего не юзал в принципе. То есть у меня была полноценная машина чисто почту проверить, ёпт.
Ещё там был очень ограниченный список софта, который можно было поставить. Но зато девелоперам разрешалось иметь папку типа C:\Work, в которой можно было невозбранно запускать любые бинари.
Хромимум в любом случае вряд ли бы взлетел, но планшета с какой-нибудь WinRT хватило бы за глаза. Впрочем, хороший виндовый планшет стоит примерно столько же, наверное, сколько и ноут.
bormand # 0 ⇈
Desktop # 0 ⇈
bormand # 0 ⇈
Desktop # 0 ⇈
Ну да, планшет конечно
guest # 0 ⇈
Какой секурити:)))
Да, я тоже видел такие сети, где на шару можно только если ты домен вошел по керберусу, почта только на exchange через проприетраный прот (MAPI или как там он) и тогда конечно макам сасат.
В домен какими-то хаками еще можно ввести самбу, а к эксчнджжу может разве что какой-нить "антураж" покупать (и то хз если работает)
Desktop # 0 ⇈
Только там сессия жила где-то час, а потом надо было заново переподключаться с бубном.
guest # 0 ⇈
Desktop # 0 ⇈
gost # 0 ⇈
Подтверждаю. На каждую скомпилированную версию бинаря писать заявление на включение исполняемого файла в белый список, SHA-256, дата, подпись.
guest # 0 ⇈
Жмешь в студии CTRL+F5, и ждешь, пока твой .exeшник отсканят
На пятый раз где-то я отключил конечно
Desktop # 0 ⇈
gost # 0 ⇈
guest # 0 ⇈
gost # 0 ⇈
guest # 0 ⇈
Разрешено должно быть только то, что необходимо. Все остальное -- запрещено.
Именно потому я против
gost # 0 ⇈
> Разрешено должно быть только то, что необходимо. Все остальное -- запрещено.
Подтверждаю.
guest # 0 ⇈
VPNы, само собой, настраиваются на подключение с конкретного IP, и аутентифициуются по ключу
gost # 0 ⇈
bormand # 0 ⇈
IPsec?
guest # 0 ⇈
bormand # 0 ⇈
В openvpn с его отдельным туннелем как-то спокойней было.
guest # 0 ⇈
Однако если запустить tunnel mode, то вроде бы будет честный тоннель.
bormand # 0 ⇈
Ну да. И это даёт замечательный опыт, мне одного такого факапа хватило. С виртуалками скучно, можно тупо зайти в консоль на сайте хостера да пофиксить.
guest # 0 ⇈
Desktop # 0 ⇈
bormand # 0 ⇈
З.Ы. Признайся, тебе ведь тоже было лень делать и тестить бекапы пока ты первый раз всё не проебал.
Desktop # 0 ⇈
guest # 0 ⇈
TEH3OPHblu_nemyx # 0 ⇈
Сходу:
1. Не надо делать бекапы, потому что если ты делаешь бекапы, то ты админ, а не программист.
2. Не надо знать ма-те-ма-ти-ку, потому что иначе ты ма-те-ма-тик, а не программист.
Desktop # 0 ⇈
https://www.youtube.com/watch?v=t7aJT4gRz0E
guest # 0 ⇈
guest # 0 ⇈
TEH3OPHblu_nemyx # 0 ⇈
guest # 0 ⇈
j123123 # 0 ⇈
Можно просто по крону запускать раз в 5 минут некую поебень, которая пингует хуйню, если хуйня не пингуется то тогда вся хуйня с иптаблес сбрасывается.
MAKAKA # 0 ⇈
хотя если дефалт разумный, то ок
bormand # 0 ⇈
DROP
guest # 0 ⇈
Вообще надо так:
* играешь с файреом. Он сбрасывается через 5 мин на дефолт
* наигрался -- закоммитил в дефолт
bormand # 0 ⇈
copy ru st
guest # 0 ⇈
чтоб наверняка
Desktop # 0 ⇈
guest # 0 ⇈
guest # 0 ⇈
gost # 0 ⇈
Ну, если уж совсем как надо, то надо сначала отладить правила на тестовом сервере (причём не локальном), а потом уже коммитить их на прод.
guest # 0 ⇈
gost # 0 ⇈
gost # 0 ⇈
guest # 0 ⇈
gost # 0 ⇈
Очень удивился, когда увидел такой вопрос на ГК.
guest # 0 ⇈
Очевидно именно этим ты и руководствовался, когда завершал свою таблицу посылкой REJECT или молчаливым DROP соответственно
admin # 0 ⇈
На всякий случай в «инкогнито» загуглил.
guest # 0 ⇈
guest # 0 ⇈
guest # 0
Драки между этническими армянами и азербайджанцами в эти дни проходят не только в Москве, но и в Лондоне, Лос-Анджелесе и Кишинёве
bormand # 0 ⇈
guest # 0 ⇈
Так-то у них праздник уже век примерно, а с начала девяностых так и с новой силой
defecatinho # 0 ⇈
guest # 0 ⇈
Desktop # 0 ⇈
defecatinho # 0 ⇈
gost # 0 ⇈
TEH3OPHblu_nemyx # 0 ⇈
Desktop # 0 ⇈
guest # 0 ⇈
Desktop # 0 ⇈
guest # 0 ⇈
Desktop # 0 ⇈
guest # 0 ⇈
https://wiki.osdev.org/Exceptions#Double_Fault
Просто каждая ОС обзывает его по-своему.
Кстати, я не знаю, как эта хуйня называется на армах в iPhone. Борманд знает, скорее всего
bormand # 0 ⇈
Hard Fault. По крайней мере на cortex'ах.
A hard fault is an exception that occurs because of an error during exception processing.
Desktop # 0 ⇈
TEH3OPHblu_nemyx # 0 ⇈
MAKAKA # 0 ⇈
https://i.ytimg.com/vi/DUVd3jLim0A/maxresdefault.jpg
Вообще Макака популярная фамилия в Кении
Или нет?
TEH3OPHblu_nemyx # 0 ⇈
Musoni married comedian and film director Anopa Makaka, and lives in London with their two children.
Magovo and his associate Mapouto were in charge of foreign affairs, Makaka was the minister of war and commander of the army, Mfouka was the minister of commerce, and Makimba was the "grand master of waters and forests" as well as a number of others.
Watford's academy in 2015–16 consists of 17 scholars: In the second year: Jacob Cook, Andrew Eleftheriou, Michael Folivi, Nathan Gartside, Max Makaka, Brandon Mason, Ogo Obi, Charlie Rowan and Connor Stevens.
MAKAKA # 0 ⇈
Approximately 8,737 people bear this surname
MOST PREVALENT IN:
Malawi
HIGHEST DENSITY IN:
Botswana
The meaning of this surname is not listed.
(((
TEH3OPHblu_nemyx # 0 ⇈
Реальный пример: в суахили «mtu» означает взрослого человека, а «mtoto» — ребёнка.
guest # 0 ⇈
TEH3OPHblu_nemyx # 0 ⇈
Кстати, крикетчик Бонга Макака — вообще круто звучит.
https://youtu.be/QnDg55h2-uc