@lwjef 不是单臂，路由器依然是 WAN LAN 双口连接，只是 LAN 口是 TRUNK 而已，既然已经考虑软路由方案了，支撑万兆也只是 CPU 性能问题，加钱即可

我这边建议，主路由可以考虑用 ikuai ，然后交换机当纯二层使用，不要处理跨 vlan 通信，跨 vlan 的事情交给 ikuai
给主路由的 lan 口连接到交换机是，设置为 trunk
ikuai 上加 vlan ，开启 IPv6
其他机器按需求在交换机上设置 VLAN ID
整个 V4 V6 都是 ikuai 在处理
我这里实测是家里任意一个 vlan 的机器都可以拿到 IPv6

网线跑不满 2.5 不是啥大问题，我自己这里一台服务器 12 盘坐 RAID6 后直通给一个 linux(2C4G)开 samba ，常年使用没有任何负载和掉速上的问题，对于机械掉速我能想到的几个点，
1. vmdk 会有性能损失
2. 按你的描述扩大内存配额掉速有所缓解，个人感觉像是黑裙的问题
建议可以把盘拆下来，单独接到 PC 上做读写测速来确定是否是盘的问题
建议更换另一块已经经过速度测试的盘到黑裙来测试掉速是否是黑裙的问题

陕西电信，直接打电话说是私网 IP 转公网，然后该怎么玩怎么玩，甚至可以 4 拨拿到 4 个公网 IP ，已经这么玩了好几年了

有意尝试一下，已加 V

没看明白一个物理接口在没有 vlan trunk 的情况下是如何做到通两个子网的
不过题主这个是有办法实现的。很简单
整个结构可以看作是一个双 WAN 单 LAN 的网络。那实际上。最简单的。搞个支持多 wan 的路由器。墙上的线用傻瓜交换分成两根。分别接到 wan1 wan2.并分别配置 0.1/24 1.1/24 的 ip 。你自己的设备挂在这个路由下面应该就可以了。不过还是建议和 it 说一下尽可能处理内网延迟才是正途。我猜测这种网络结构布局可能存在环路情况导致交换 /路由负载过高从而使得内网延迟较高

@Aixiaoa
@gebishushu
抱歉之前留的可能加密方式有问题
wechat=base85_decode('H$;8)3&(');
qq=base64_decode(rot13('Zwt1AwR3AQVk'));
建议使用 cyberchef : )

@zeze0556
想请教下你 iPXE 这个是怎么部署的，我之前搞无盘的时候用的锐起 RDV ，但感觉不是很清爽
我自己需求是，经常做漏洞研究需要搭建各种环境。希望能在有需要的时候开一个用于测试的环境，测试环境中的数据能够持久化，目前的方案是用 vSphere 的虚拟机模版功能，每次的环境都是克隆模版之后部署对应的环境使用

@Aixiaoa
@gebishushu

wechat=base85_decode('H$;8)3&(');
qq=rot13(base64_decode('Zwt1AwR3AQVk'));

@aitaii 目前所有常开的机器 500W 左右功耗吧，一天 12 度电，一个月差不多 200 块，这破机器能效比太差了，换新平台以后还是这个功耗，但是能提供 5 倍以上的算力

忽略上一楼
我应该是家庭数据中心级的方案了，在家里搞了个标准 2U 服务器，整了大硬盘大内存，跑了成吨东西
目前是 All In Boom 方案，一个服务器装 EXSi 7.0.3 ，EXSi 上装了 vSphere ，然后统一用 vSphere 管理 VM ，不喜欢群辉那种仅仅是 NAS 的方案，而且市面上 NAS 硬件贵的离谱，不如自己搞二手洋垃圾
物理配置如下
E5-2690V2*2(2.8GHz 20C40T)/D3 ECC 1866 512G/12 * 2T HDD/4T SATA SSD/4T EDSFF SSD/128G SSD
HDD RAID6 之后剩下大约 19T
SATA SSD 用于部分临时需要 IO 的数据存储
EDSFF SSD 用户 VM 运行
128G SSD 装系统
--------------
网络层
找电信要了公网 IP ，同时配置了 IPv6 ，等于有了双栈的公网 IP ，用 dnspod+自写脚本实现了双栈的 DDNS
搞了个小主机(J1800/8G/24G)装 iKuai ，作为家庭路由中心，对外开放 OpenVPN 服务方便回家，如没有特殊必要不对外映射端口，回家服务全部走 VPN ，VLAN 间通信策略在 iKuai 上做
在 iKuai 上运行了一个 VM ，主要用于下面几件事情
1. 内网的 DNS
2. 内网梯子 socks5 代理服务端
3. DDNS 更新，1m 检查一次
4. 用 socat 将 ikuai 的 openvpn 服务端口转发到 v6 上，防止某天 v4 没了失联
其他设备的网络
1. 用一台 H3C 二层交换机做 vlan 隔离，接到服务器和小主机的都是 trunk ，所有接口都是 premit vlan all
2. 用了一台支持 WiFi6 的路由器，关掉 DHCP ，接在交换机上纯当 AP 使用
--------------
VM 层应用
1. Drone CI 给 git 提供 CI/CD
2. Harbor 私有镜像仓库，CI 出来的镜像直接丢进去，同时给 k8s 做镜像提供
3. KodExplorer web 形式的一个资源管理器，用于做一些基于树形目录文件夹的文件归档，用 nfs 吧特定目录挂上去开放出来
4. Windows 2022 装各种毒瘤下载器，下载专用机器，用 smb 吧大盘挂进去，下好的东西直接在共享盘中，供内网其他地方使用
5. qinglong 面板，处理定时任务
6. 个人用于开发的机器 N 台，用 vscode 的 remote 到不同机器完成自己的开发需求
7. 用于逆向工程及二进制调试的专用机器 2 台（ Win+Linux ）
8. 用于工业控制安全研究的专用机器 1 台 (Win)
9. 各种私有部署的游戏服务端，方便和朋友一起愉快玩耍
10. 用于各个方向的安全研究的临时环境，很多很乱
11. 常用的各种虚拟机模版，WinXP-WIn11, WinSrv03-WinSrv22, Debian8-11, Ubuntu1204-2204,CentOS 5-8
-----------------
在虚拟化层之上跑了一套 k8s ，方便部署一些不怎么需要资源，但又希望时刻在运行的服务，一个泛解析域名指到 K8S master ，然后 ingress 层做七层转发
容器层应用如下
1. Gitea 用于 git 仓库
2. Prometheus 全家监控
3. Grafana 监控指标可视化
4. CyberChef 各种数据编解码
5. ExcaliDraw 流程图绘制，类似在线 visio
6. Sage Jupyter Notebook 有时候 CTF 比赛需要做一些数学上的计算使用

数据库类如下，主要是希望任何时候都有想用的 db 来使用，而无须自己去每次装环境之类
1. Mariadb 集群
2. Redis 集群
3. MongoDB 集群
4. PostgreSQL 集群
5. SQL Server 集群

2023 年计划
1. 把服务器从 Intel X79 换成多台 AMD EPYC 7D12 ，专用于运行虚拟机，功耗小性能好同时还实现存储和计算分离
2. 搞一个存储专用机器，把现在已经有的 300T HDD 和约 40T U.2 SSD 做存储池
3. 给 vsphere 搞上 VXLAN 做 VPC ，方便某些需要搭建内部网络的情况

关于 Home DataCenter 有什么疑问如果我知道一定解答

在家里搞了个标准 2U 服务器，整了大硬盘大内存，跑了成吨东西
物理层，exsi 7.0.3

@krixaar 汉化的 cyberchef 有开源么。发出想嫖的声音😅

老哥内存啥参数。来张照片。有意想收

@gtchan13579 你要做单臂也不是不行。两个 vlan 。聚合到一个 trunk 也可以。逻辑上这是两条线路。你可以搜一下 ikuai 怎么做单臂路由

你需要在交换机上把某个端口设为 tagged 端口(即 Trunk 端口)。然后给这个端口分配多个 vlan 。最后把这个端口接到 ikuai 的某个 lan 。比如 lan2 。然后在 ikuai 的 vlan 设置里。基于 lan2 创建 vlan 。就可以了

个人觉得这是一个安全配置问题。并不算是有漏洞。安全缺陷和漏洞是两码事。不过还是建议你们内部自查一下弱口令这些。还有相应的权限管控。

看了下应该大概能给你复原出来攻击场景，首先你的 gitlab 应该是开放了注册或者有人有弱口令。之后攻击者创建或是修改了某个仓库，并在其中加入了.gitlab-ci.yml 。然后触发了 ci 操作。因为你 gitlab 和 gitlab runner 都在一个机器上部署。所以 runmer 是可以访问到本机的 pgsql 的。攻击者在 runner 的 ci 脚本里写了那句 sh -c xxxx 。在 4 楼的解码后也可以看到攻击者创建了一个名为 dexbcx 的管理员用户。后续的攻击动作因为没提供更多信息就不得而知了。
也有可能整个事情是个误报。你只是想创建一个名为 dexbcx 的管理员用户。结果 gitlab 对创建用户的底层实现是通过 sh -c 的形式运行命令(这条感觉不太可能)