Путевые заметки

Нашел вот случайно блог руководителя творческого объединения ОАЗИС. Это объединение, возникшее в наукограде после развала местного движения КСП, на руинах. так сказать. Ребята молодцы, организуют и проводят концерты, приглашают различных авторов. Не так давно вот я с удовольствием посещал концерт Юрия Лореса, организованный ОАЗИСом.

А здесь, по всей видимости, что то типа сайта ОАЗИС

Меня часто достают вопросами про написание правил для Kerio Firewall. Ребята, все очень просто. Главное — понять принцип написания этих правил. Принцип очень простой:

1. откуда
2. куда
3. по какому протоколу или порту
4. разрешено или нет
5. использовать NAT или нет
6. в какое время верно

Откуда называется source. может принимать значения:

1. host — ip адрес конкретного компьютера внутри сети
2. ip range — диапазон ip адресов
3. ip address group — адресная группа или группы, определенные вами при конфигурации
4. network/mask — сеть и маска подсети, которой вы разрешаете проход в интернет
5. network connected to interface — сеть, подключенная к интерфейсу с указанным именем. имена задаются на вкладке interfaces
6. vpn — разрешает проход vpn-клиентам
7. users — имя пользователя, задается на вкладке users
8. firewall host — правило будет действительно только для компьютера, на котором установлен KWF

destination может принимать значение такие же, как source service — список сервисов, думаю там все просто и понятно action может принимать значения permit — разрешено, deny — запрещено, drop — сброшено NAT может принимать значения:

1. no translation — не транслировать
2. translate to ip address of outgoing interface — транслировать на исходящий интерфейс. По умолчанию — в интернет.
3. translate to ip address of interface — транслировать адреса в адресное пространство заданного интерфейса
4. translate to ip address — транслировать на заданный адрес

port mapping может иметь значения no translation — никак не транслировать, translate to — адрес или имя машины внутри сети, порт указывается, если нужно входящий запрос по определенному порту перебросить на порт машины с заданным адресом. временной интервал определяется на вкладке time intervals и является очень полезной функцией. Таким образом, если мы хотим разрешить, например, полный доступ из локальной сети к сети интернет всем юзерам по любому протоколу, то правило выглядит так:

Допустим, что мы хотим разрешить проход всем пользователям сети в интернет, но только по определенным протоколам, например http, icq, pop3, smtp тогда правило выглядит так:

Если вы хотите, чтобы у вас не было в статистике неопознанного трафика (unrecognized users) то в поле source следует указать users, тогда только юзеры, авторизованные на файрволле, смогут проходить в интернет. Бывает, что нужно получить доступ из интернет к серверу SQL или WEB, расположенных на компьютере внутри локальной сети. Для этого нужно будет написать соответствующее правило. Для начала следует понять, что все запросы, приходящие на ваш внешний IP приходят к компьютеру, на котором установлен KWF, так как только он имеет внешний адрес, на который зарегистрирован домен. Рассмотрим ситуацию на примере моей конфигурации. На постоянный внешний IP адрес зарегистрировано имя notes.blogsite.org. Сервер, поддерживающий сайт физически, расположен внутри локальной сети и имеет адрес, например 192.168.1.2 Порт, по которому отвечает web сервер 8080. Любой запрос по адресу http://notes.blogsite.org будет приходить на файрволл, то бишь на firewall host, а оттуда он должен перенаправляться на локальную машину с адресом 192.168.1.2 на порт 8080. Правило для такого случая будет выглядеть так:

Правило сие, в переложении на русский язык, звучит так: перенаправить любой запрос из интернет по протоколу HTTP на компьютер с адресом 192.168.1.2 на порт 8080. В данном случае при указании преобразования адресов вам нужно выбрать translate to ip address и указать порт 8080. Как только вы нажмете кнопку apply ваш внутренний сервер будет виден снаружи. Аналогичным способом можно открыть любую машину по любому протоколу, будь то почтовый сервер, сервер баз данных, веб-сервер и т.д. Еще один любопытный момент. Допустим, вы разрешили проход из интренет к вашему серваку. но при обращении к доменному имени notes.blogsite.org вдруг получаете ответ "сервер не найден". Все правильно, файрволл не допускает таких вольностей. Чтобы получать доступ по доменному имени к внутренним серверам потребуется написать еще одно правило. И выглядеть оно будет так:

То есть при создании правила трансляции вы используете translate to ip address of inteface: указываете имя интерфейса, к которому подключена локальная сеть и включаете портмаппинг на адрес вашего веб-сервера 192.168.1.2 и порт 8080. Жмите кнопку apply и наслаждайтесь, теперь ваш внутренний сервер доступен из локальной сети по доменному имени, в моем случае notes.blogsite.org Надеюсь, я доступно изложил порядок написания правил для KWF. Если у вас что то не получилось или что то не понятно — спрашивайте, отвечу.

Приступаем к монтажу

Итак, все куплено. Можно приступать к собственно монтажу ЛВС. О чем следует помнить при монтаже:

1. Кабели должны быть уложены в лотки. Нет лотков — укладывайте прямо по потолку, только скрепите их пластиковыми стяжками. Желательно жгут кабелей закрепить на стене за фальшь-потолком. Если нет фальшь-потолка — крепите к стенам короба и укладывайте жгут в коробе. Короб лучше крепить вверху стены. Можно и понизу, но выше уровня "тряпка уборщицы". Если производится монтаж кабеля в каналы под скрытую проводку, то кабели должны быть уложены в пластиковую трубу.
2. Кабели ЛВС должны проходить на расстоянии не менее 12 см. от силовых кабелей. Это могут быть кабели освещения, транзитные кабели, в общем любые параллельные, по которым проходит 220В.
3. Любые повреждения изоляции кабеля не допускаются.
4. Перекручивание, излом, узлы, следы на изоляции от ударов и грубых механических воздействий не допускаются. Лучше заменить кабель на этапе монтажа, чем потом искать его в жгуте.

Прежде, чем раскладывать кабели следует провести "черновую" работу. Заключается она в подготовке кабельной трассы. Нужно просверлить все необходимые отверстия, закрепить ящики под коммутаторы, подвести к ящикам коммутаторов линии питания. В отверстия в стенах нужно заложить вставки, чтобы при протяжке кабеля через эти отверстие не повредить изоляцию кабелей. Вставкой могут выступать куски пластиковой трубы нужного диаметра. Так же лучше сразу закрепить короба и розетки внутри помещений. На эту работу у вас уйдет как минимум один день на один этаж. И вам понадобится помощник, одному крайне неудобно лазать по стремянкам с перфоратором в руках, да и небезопасно.

После проведения работ по подготовке трассы установите коммутаторы в ящики. Перед установкой убедитесь в работоспособности каждого из них. Неплохо проверить работоспособность коммутатора и после монтажа в шкаф. Прецеденты бывали.

Далее приступайте к прокладке собственно кабелей. Делать это легко, просто и приятно, когда трасса подготовлена.

Еще одна замечательная новость. С 24 апреля по 19 июля в Лондоне, в Джеймс Хуман Галлери проводится выставка фоторабот Линды Маккартни. Выставка абсолютно бесплатна. Спешите посетить, очень рекомендую!

24 April to 19 July 2008
Monday to Friday 10 am to 6 pm
Saturday 10 am to 4 pm

James Hyman Gallery, 5 Savile Row, London, W1S 3PD,
Telephone 0207 494 3857, info@jameshymangallery.com, www.jameshymangallery.com

Обозрел очередной раз блог Майнаса. У Темочки все как всегда, кричал о качественном контенте, а пишет традиционно ни о чем. Ладно, я тоже пишу ни о чем. Но без претензии на гениальность, как этот самый Майнас. И от его "манимейкерского" блога начинает стабильно подташнивать. Насколько же должен быть человек ущербен, чтобы каждый свой пук рассматривать как уникальнейшее явление. Не, я согласен, что конкретный пук конкретного Майнаса сам по себе уникален. Но не настолько значим, чтобы придавать ему столько внимания. И уж тем более не так значим, чтобы платить ему по 3 wmz за то, что он пукнет что то про вас.

Вы когда-нибудь задумывались, сколько литров бензина в одной тонне?
Вот и я не задумывался, пока не столкнулся лично. Вот что гласит по этому поводу официальный источник в лице ФНС РФ:

В соответствии с разъяснением Департамента экономического регулирования Министерства энергетики Российской Федерации согласно информации Всероссийского научно-исследовательского института по переработке нефти (ОАО "ВНИИ НП") в зависимости от температурного режима и пределов испаряемости автомобильного бензина показатель плотности по маркам этого бензина может варьироваться в следующих пределах: для А-76 (АИ-80) — от 0,700 до 0,750 г/куб. см, для АИ-92 — от 0,715 до 0,760 г/куб. см, для АИ-95 — от 0,720 до 0,775 г/куб. см и для АИ-98 — от 0,730 до 0,780 г/куб. см.

В связи с указанными колебаниями плотности в случае если ее значение не определено и документально не зафиксировано в момент получения (оприходования) нефтепродуктов, то в целях пересчета количества нефтепродуктов из литров в тонны может использоваться среднее значение указанного показателя.

Так, согласно вышеуказанному разъяснению в зависимости от марки автомобильного бензина можно принимать следующие средние значения плотности: для А-76 (АИ-80) — 0,715 г/куб. см, для АИ-92 — 0,735 г/куб. см, для АИ-95 — 0,750 г/куб. см, для АИ-98 — 0,765 г/куб. см.

Источник:

ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПИСЬМО от 24 марта 2005 г. N 03-3-09/0412/23

О ПОРЯДКЕ ПЕРЕСЧЕТА КОЛИЧЕСТВА НЕФТЕПРОДУКТОВ

ИЗ ОБЪЕМНЫХ ЕДИНИЦ В ВЕСОВЫЕ

Пока я тут распространялся относительно ЛВС Тема Майнас написал любопытную статью, несмотря на то, что писал ее, по его собственному признанию, «после порции виски». Для тех, кому лениво пройти по ссылке и прочитать исходник, вкратце изложу суть. Артем задается мыслью кто финансирует такие проекты как «Однокласнники«, «ВКонтакте» и иже с ними и для чего это нужно. Кто финансирует — сказать не могу. А вот для чего это нужно — вполне. Для максимально эффективного поиска людей и для того, чтобы нашли вас, вам потребуется указать довольно много информации о себе. Итак, что нам расскажет о человеке любая анкета с тех же «Одноклассников»?

1. Пол
2. Возраст
3. Дату рождения
4. Образование
5. Место рождения, проживания, нахождения в данный момент
6. Место работы
7. Места проведения досуга
8. Фотография, причем не только собственная, часто публикуют фотки жен/мужей/детей
9. Исходя их п.8 можно предположить семейное положение и состав семьи.
10. Примерный круг интересов и род занятий
11. Круг общения, причем не только свой, но всех, кто у него в друзьях
12. Реальный адрес электронной почты, люди ведь хотят получать уведомления.
13. IP адреса, с которых пользователь посещает сервис.
14. Администратор сервиса может просматривать любую переписку.
15. Кроме того, можно определить наименование, расположение, номера различных объектов
16. Состав классов, групп, подразделений в разные моменты времени.

Те, кто знаком с понятием «личная безопасность», могут назвать эти данные исчерпывающими для однозначной идентификации личности клиента сервиса. Кому это может быть нужно?

1. Любая спецслужба
2. Управление статистики
3. Налоговая служба
4. Частные детективы
5. Рекламодатели

Список можно продолжить.

В связи с этим нетрудно предположить источники финансирования подобных социальных сетей.

Зачем это нужно именованным категориям? С государственными и спецслужбами все понятно, работа у них такая. Частные детективы — тоже ясно, хлеб с маслом никто не отменял. Остановимся на рекламодателях. А вот тут для них реальный рай. Можно сделать выборку целевой аудитории по огромному количеству параметров и с любыми целями. Можно исследовать рынки, прогнозировать множество параметров продаж и т.д.

Так что определенные источники запросто дадут большие средства на такие цели. С одной стороны, рекламщики больше заинтересованы в информации, с другой — факт отсутствия утечек информации прямо намекает на инвестора.

Возможен и другой вариант. Например, собственники сервиса, даже если проект прогорит, все равно останутся владельцами огромного куска нужной и полезной информации, которую они получили безвозмездно от клиентов сервиса по доброй воле этих же клиентов, и которую можно будет продать целиком или по частям разным категориям лиц, проявивших интерес купить эту информацию. А может быть уже продают, на что и существуют.

Чтобы соединить в сеть 2 компьютера напрямую, без хаба, вам потребуется сделать кроссоверный или «перевернутый» кабель. Делается это так:

«Cross-over» («нуль-хабный») кабель одна сторона цвет провода другая сторона 1 бело/оранж 3 2 оранжевый 6 3 бело/синий 1 6 синий 2

Для восьмипроводного кабеля (четыре пары):

«нуль-хабный» кабель одна сторона цвет провода другая сторона 1 бело/зеленый 3 2 зеленый 6 3 бело/оранж 1 4 синий 4 5 бело/синий 5 6 оранжевый 2 7 бело/коричн. 7 8 коричневый 8

Заделка кабелей

Наконец, кабели уложены, что дальше? А дальше начинается самое интересное. Нужно монтировать розетки и разъемы на кабели. Никаких сложностей в самой процедуре нет, надо лишь знать самое главное — как это производится. Начнем с монтажа разъемов RJ-45 на кабели. Стандарт определяет 2 способа монтажа. Выбор варианта заделки 568A или 568B зависит исключительно от принятого в вашей сети. Оба этих варианта эквивалентны, хотя в жизни чаще встречался мне лично второй вариант, 568B.

EIA/TIA-568A одна сторона цвет провода другая сторона 1 белый зеленого 1 2 зеленый 2 3 белый оранжевого 3 4 синий 4 5 белый синего 5 6 оранжевый 6 7 белый коричневого 7 8 коричневый 8

EIA/TIA-568B, AT&T 258A одна сторона цвет провода другая сторона 1 белый оранжевого 1 2 оранжевый 2 3 белый зеленого 3 4 синий 4 5 белый синего 5 6 зеленый 6 7 белый коричневого 7 8 коричневый 8

1. Удалите внешнюю оболочку кабеля, на длину 12,5 мм (1/2 дюйма). В обжимном инструменте имеется специальный нож и ограничитель для этой операции.

Провода зачищать не надо

Расплетите кабель и расположите провода в соответствии с выбранной вами схемой заделки, причем длина расплетения не должна превышать 12,5 мм.

Поверните вилку контактами к себе, как на рисунке, и аккуратно надвиньте на кабель до упора , чтобы провода прошли под контактами.

Вилка, с кабелем внутри.

Обожмите вилку. На обжимном инструменте имеется специальное гнездо, в которое вставляется вилка с проводами. И нажатием на ручки инструмента, обжимается.

При этом контакты будут утоплены внутрь корпуса и прорежут изоляцию проводов. Фиксатор провода также должен быть утоплен в корпус.

Как так красиво заделать кабель? Берем обжимное устройство, видим на нем 2 ножа. Нижний нож предназначен для отрезания кабеля, верхний — для снятия изоляции. Верхний нож имеет ограничитель. Вставляем конец кабеля между лезвиями до ограничителя, сжимаем и поворачиваем кабель между ножами. Получится ровный кольцевой разрез. Затем просто вытаскиваем кабель, не разжимая лезвий. Конец кабеля будет очищен от внешней изоляции. Аккуратно расплетаем жилы, раскладываем их в нужном порядке, вставляем в разъем. Разъем помещаем в соотвествующий паз обжимного и нажимаем. Вот и все, собственно, разъем смонтирован. Обратите внимание, что очищать каждую жилу не нужно. При снятии общей изоляции следите за тем, чтобы не перерезать изоляцию жил. В общем, будьте разумны в поступках. Испортите несколько разъемов и научитесь.

При расплетении жилы кабеля часто не желают раскладываться в нужном порядке ровно, без перехлестов. В этом случае просто отрежьте кабель на пару сантиметров. Плетение имеет определенный шаг, и с приобретением опыта вы сможете достаточно точно сразу отрезать в нужном месте.

Монтаж розетки

С монтажом розеток все просто. Самое главное в любой розетке — это открыть крышку. Уж каких только ухищрений не делается производителями этих розеток. Всякий раз какие то новые защелки. В общем лучше купить сразу розеток из одной партии и одного типа. После того, как вы попали внутрь розетки вы увидите контакты. Все они обычно промаркированы цветом. Вам останется только вставить жилу в зажим такого же цвета, как она сама. Существует специальный инструмент для монтажа жил в зажимы розетки, я лично его никогда не видел и не использовал. Мне всегда хватало тупого ножа.

После того, как вы обжали и прозвонили все кабели, установили все розетки и закрыли короба — монтаж сети можно считать законченным. Включаем разъемы в коммутатор и сеть в принципе готова к использованию.

Эта серия статей будет посвящена организации
локальной сети малого предприятия что называется "с нуля".

В один прекрасный день ко мне поступило замечательное предложение. Меня пригласили работать по моей специальности. Надо сказать, что специальность я получал еще при СССР и называлась она "Электромеханик по ремонту и обслуживанию ЭВМ". Суть ее заключалась в техническом обслуживании больших ЭВМ класса БЭСМ-6, сменившей ее системы Armstat, военных комплексов Эльбрус (не спрашивайте что это, все равно не скажу, а кто знает — тот поймет), а так же и периферийных устройств к ним таких, как НЖМД, НМЛ, АЦПУ ну и все такое. Конечно, реалии менялись, СССР канул в Лету, появились IBM PC класса ХТ с принципиально иной архитектурой и ОС, а я был вынужден трудиться все это отстойное время на поприще КИП и систем автоматики. Что, впрочем, весьма пошло на пользу, как выяснилось в последствии.

Ну так вот, пригласили меня работать по специальности. Обслуживать компьютеры и периферию. С радостью согласился. Выяснилось, что в мои обязанности входит не столько обслуживание железа, сколько обслуживание локальной сети препритяия. А обслуживать было что. Оказалось, что ребятки сэкономили на сетке и забабахали самый дешевый вариант, на коаксиальном кабеле, сооствественно топология — общая шина, со всеми вытекающими из этого последствиями. Я думаю, не стоит расписывать здесь болячки коаксиальной сети. Вызвал меня однажды мой директор и сообщил известие. Мы переезжаем в новое здание. В связи с этим там должна быть локальная сеть. В общем проблем то никаких, если бы разговор не происходил в четверг, а заехать в новое здание все службы были должны в понедельник. Задача поставлена — выполняйте