Интересная статистика после подключения в рейтинг сайта Намба.КЗ. Неудивительно, что Намба.КЗ опережает форум Дизель по количеству посетителей примерно в два раза, но по количеству хитов, т.е. количеству заходов на сайт, Дизель существенно, примерно в полтора раза, опережает Намбу.КЗ. Например, за вчерашние полные сутки, 9 августа, получилось:
— у Намба.КЗ 89111 посетителей, 824330 хитов и 78840 хостов;
— а у Дизеля 37418 посетителей, 1236960 хитов и 20698 хостов;
Получается, что пользователей Дизеля меньше в два раза, но заходят они в полтора раза чаще, причём с хостов в 4 раза меньшем количестве )

На третьем месте в рейтинге Намба.КГ — 31758 пользователей, 711978 хитов и 19827 хостов за 9 августа. Показатели близки к показателям Дизеля, более того, в нерабочее время Намба.КГ зачастую опережает Дизель в рейтинге, который, напомню, строится по количеству посетителей.

Общее же количество хитов, которые попадают в статистику рейтинговой системы WWW.NET.KG за сутки уже приближается к 4-м миллионам. А зарегистрированных ресурсов на данный момент — 381.

Мы получили настоящий, подписанный SSL-сертификат для управления нашим Микротиком через HTTPS.
Нам нужны три файла:
— сертификат, подписанным неким провайдером сертификатов — файл «my.crt»;
— приватный ключ — файл «my.key»;
— промежуточные сертификаты (корневой и этого провайдера) вместе в одном файле — файл «im.crt»;

Загружаем эти файлы на Микротик через меню Files.

По моему опыту лучше начать с импорта промежуточного сертификата, иначе может случиться, что система выдаст в логи сообщение о неправильной подписи сертификата. Впрочем, возможно, это не помешает и уладится после загрузки промежуточных сертификатов.
В разделе System — Certificates нажимаем кнопку Import и в выпадающем меню «Only File», выбираем файла «im.crt» и нажимаем кнопку «Import». В моём случае появилось два сертификата, т.к. у нас в файле их два. Вероятно, можно импортировать их и по-отдельности, но я не пробовал, просто взял тот файл, который я использовал для Апача.

Затем так же загружаем файл с подписанным сертификатом «my.crt». Он должен появиться в списке сертификатов и перед ним буквы L (crl) и T (trusted).

Теперь надо добавить наш приватный ключ — делаем это так же через Import, после чего возле уже появившегося после предыдущего шага сертификата появится буква K (private-key).

Теперь осталось указать веб-серверу Микротика использовать наш сертификат — в разделе IP — Services — www-ssl меню Certificate. Без этого HTTPS может не работать и выдавать ошибку «ERR_SSL_VERSION_OR_CIPHER_MISMATCH».

Убедитесь, что у вас есть другой вход, например, ssh или простой HTTP, т.к. ошибка с сертификатами может привести к тому, что вы не сможете зайти через HTTPS. Также можно подстраховаться и нажать кнопку «Safe Mode», главное потом, если всё нормально, не забыть отжать эту кнопку, иначе роутер перезагрузится и ваши изменения пропадут.
Включите, если она ещё не включена, службу www-ssl в разделе IP — Services и проверьте подключение через HTTPS. Если всё нормально, то можно отключить простой HTTP.

Дополнение про обновление сертификата

Обновить только подписанный сертификат у меня не получилось — импортировал новый и пропала связь по HTTPS. Далее пришлось всё делать через SSH, а файлы сертификатов загружать на Микротик через SFTP.

Проще удалить все сертификаты и добавить заново:

certificate remove 0
certificate remove 1
certificate remove 2
certificate import file-name=im.crt
certificate import file-name=my.crt
certificate import file-name=my.key

В результате в выводе команды «certificate pr detail» у меня получилось два промежуточных сертификата и один приватный, причём приватный должен иметь отметки «KL T» (K — private-key, L — crl, T — trusted). В этом же выводе смотрим имя сертификата 'name=«my.crt_0»'

Затем надо проверить привязан ли сертификат к службе www-ssl:

ip service print detail where name=www-ssl
 "номер_службы"   name="www-ssl" port=443 address="" certificate=*A

У меня не привязан, т.к. имя сертификата изменилось
Указываем новое имя:

ip service set "номер_службы" certificate=my.crt_0

Проверяем:

ip service pr detail where name=www-ssl
 0   name="www-ssl" port=443 address="" certificate=my.crt_0

Проверяем HTTPS — работает.

В спорте есть такое понятие как «Дисциплина побеждает КЛАСС» или «Порядок бьет КЛАСС», который описывает всю ситуацию того или иного спорта, будь это индивидуальный вид спорта, такие как бокс, борьба или смешанные единоборства и также командный Футбол, баскетбол итд.
Читать дальше →

Недавно ходил в кино с очень хорошими людьми, на сеанс «Притворись моей женой». Кино на самом деле замечательное и смешное и лучше на него пойти с товарищами. Но речь пойдет не о самом кино, а том, что произошло во время сеанса. Где то ближе к середине сеанса киношка пропала и встал просто черный экран где-то на 4 секунды, не больше. В мыслях у меня сразу возникло слова «САПОЖНИК». Те кто жил в СССР наверное помнят времена когда при обрыве киношки или его остановки люди тут же кричали САПОЖНИК, в тот момент я тоже хотел закричать… Придя на работу а задался мыслю почему именно САПОЖНИК?
Читать дальше →

Вот интересно возможно ли такое в лайвстрит что топик можно добавить сразу в несколько блогов?

Например, обзор айфон 4 в блог Apple и Мобильные Устройства связи.

Пять дней назад в листе рассылки Full Disclosure появился скрипт, по заявлению автора, убивающий Apache начиная от самых старых версий до самых новых.

И как удалось выяснить на собственной шкуре он реально работает Скрипт killapache.pl запускает в несколько десятков потоков простой запроc:

HEAD / HTTP/1.1
Host: www.example.com
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,<...>,5-1299,5-1300
Accept-Encoding: gzip
Connection: close

Читать дальше →

Господи, прости людей, которые вытворяют зло!!!
Господи, Ты один единственный спаситель наш!!!
Каждый поступок совершаем мы – людисвиньи…
И нет нам жалости за содеянное!
В рай или в ад покажет жизненный путь, который пройден человеком.

Читать дальше →

Итак. Повторный матч полуфинальной игры Лиги Чемпионов даст ответы на многие вопросы: один из них об арене, где хозяином является клуб, стремящийся завоевать “дорогущий” трофей во второй раз подряд.

Читать дальше →

Эми кезек админкадан статьяны кошууга келип жетти, ал учун атайын форма жасаш керек. Admin деген папканын ичинде index.php файлын тузобуз жана анын ичине томондогуну жазабыз. Action.php деген жерге конул бурабыз, бул файл баскыч басылгандан кийин журуучу скрипт.

Читать дальше →

Есть роутер Cisco, на соответствующем интерфейсе включен ipv6. Надо убедиться, что роутер не позволяет хостам из этой сети автоматически получать адрес ipv6 при помощи механизма SLAAC (Stateless Address Autoconfiguration).

Отключить выдачу адресов ipv6 по запросу на автоконфигурирование:

interface Vlan66
 ipv6 nd prefix default 300 300 no-autoconfig
!

Запретить отправку объявлений о том, что мы роутер (Router Advertisements — RA):

interface Vlan66
 ipv6 nd ra suppress all
!

Если на роутере запрещёна отправка RA, то хост не сможет получить префикс сети от роутера и, соответственно, назначить себе «реальный» адрес, т.е. хост шлёт запросы Router Solicitation, но не получает ответа от роутера, в котором и должен быть передан префикс сети и прочие данные.
Если отправка RA не запрещена, но запрещено автоконфигурирование, то протокол Neighbor Discovery работает, соседи видны, но только по локальным адресам (link-local), например:

cs#sh ipv6 neighbors
IPv6 Address                              Age Link-layer Addr State Interface
FE80::21D:FFF:FEBE:AF12                     1 001d.0fbe.af12  DELAY Vl66

Если хост получил от роутера префикс сети, то он назначает себе адрес на основе полученного префикса и своего MAC-адреса. И мы можем увидеть его на роутере:

cs#sh ipv6 neighbors
IPv6 Address                              Age Link-layer Addr State Interface
FE80::21D:FFF:FEBE:AF12                     0 001d.0fbe.af12  REACH Vl66
2001:db8::21D:FFF:FEBE:AF12                0 001d.0fbe.af12  REACH Vl66

Короче говоря, чтобы работало автоконфигурирование нужно чтобы на циске были разрешены и автоконфигурирование и RA.

Даже если отключить на роутере RA уже после получения хостом адреса, связь через некоторое время пропадает. По крайней мере у меня так происходит между циской и CentOS 6.5. Обнаружение соседей (Neighbor Discovery) при этом работает. CentOS при попытке пингануть роутер ругается «Network is unreachable».

Дополнение

Прочитал где-то, что RA отключать нельзя в любом случае, а отключать SLAAC нужно опциями на интерфейсе, которые указывают хостам получать адреса и прочие настройки по DHCP:

ipv6 nd managed-config-flag
 ipv6 nd other-config-flag

При просмотре информации о IPv6 для этого интерфейса видим:

cs#sh ipv6 int vl66
...
  Hosts use DHCP to obtain routable addresses.
  Hosts use DHCP to obtain other configuration.
...

Однако, у меня при этом хосты всё равно получали адреса по SLAAC.

Дополнение 2

Ещё одна опция в попытке отключить раздачу SLAAC роутером:

interface Vlan66
 ipv6 nd prefix default no-advertise

Роутер будет отправлять RA, но в них не будет указан префикс сети, т.е. хосты не смогут «создать» адрес.

Т.к. мне до сих непонятно можно ли полностью отключать RA, я попытался сохранить эти анонсы и включил три другие опции:

interface Vlan66
 ipv6 nd prefix default no-advertise
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag

Проверил с Windows 7 и CentOS — адрес не получаю, но при просмотре списка соседей на этом интерфейсе вижу, что появились SLAAC-адреса других хостов:

cs#sh ipv6 neighbors vl66
...
2001:db8:C:0:211:32FF:FE90:7C23          133 0011.3290.7c23  STALE Vl66
2001:db8:C:0:21D:FFF:FEBE:AF12           219 001d.0fbe.af12  STALE Vl66
...

Возможно, хосты просто сохранили полученные ранее через SLAAC адреса.

Кстати, можно удалить всех соседей на интерфейсе или конкретный адрес одного соседа:

cs#clear ipv6 neighbors vlan66
cs#clear ipv6 neighbors vlan66 2001:db8:C:0:211:32FF:FE90:7C23

При этом надо было осторожным, если вы подключились к роутеру по IPv6 и потом удалили свой адрес из списка соседей, то скорее всего вы потеряете доступ к роутеру.