Administracja systemami
Linux (Debian, Arch), systemd, bash scripting, zarządzanie usługami i monitorowanie infrastruktury.
Cześć, jestem
Marcel Maślanka
Student informatyki · Pasjonat sieci i cyberbezpieczeństwa · Homelab engineer
Buduję, konfiguruję i zabezpieczam — od domowej sieci po serwery w chmurze. Fascynuje mnie to, co dzieje się „pod maską" każdego systemu.
Technologie & Narzędzia
Obszary, w których się specjalizuję
Sieci komputerowe
Projektowanie i konfiguracja sieci domowych i małych biur. MikroTik RouterOS, VLAN-y, routing, firewall.
Cyberbezpieczeństwo
Analiza ruchu sieciowego, hardening systemów, konfiguracja firewalli, CTF, security by design.
Homelab
Własne środowisko laboratoryjne: Raspberry Pi, switch zarządzalny, serwery VPS, VPN site-to-site, samodzielne usługi.
Programowanie
Skrypty automatyzujące, narzędzia sieciowe, frontend webowy. Skupiam się na prostocie i bezpieczeństwie kodu.
DNS & CDN
Zarządzanie domenami i strefami DNS, Cloudflare proxy, certyfikaty TLS, konfiguracja rekordów SPF/DKIM/DMARC.
Blog
Notatki z labów, przemyślenia i tutoriale
Jak zbudowałem domowe laboratorium sieciowe za rozsądne pieniądze
Wszystko zaczęło się od starego laptopa i jednego kabla Ethernet. Dziś mój homelab to MikroTik, zarządzalny switch, Raspberry Pi 4 i serwer VPS — połączone tunelem WireGuard w jedną sieć.
Kiedy zaczynałem przygodę z sieciami, mój budżet był mocno ograniczony. Zamiast kupować drogie urządzenia klasy enterprise, zdecydowałem się na MikroTik hEX — mały, ale potężny router za kilkadziesiąt złotych. RouterOS oferuje pełnoprawny routing, OSPF, VLAN-y i szczegółowy firewall. Raspberry Pi 4 służy jako serwer DNS (Pi-hole + Unbound), serwer plików i platforma do testów. Switch zarządzalny Tp-Link T1600G pozwolił mi wydzielić oddzielne sieci VLAN dla IoT, gości i sprzętu laboratoryjnego. Całość spinam tunelem WireGuard z serwerem VPS na mikr.us, dzięki czemu mam dostęp do każdej usługi bez otwierania portów na świat.
Hardening serwera Linux — co zrobić zaraz po instalacji
Świeżo zainstalowany serwer to otwarte drzwi dla skanerów i botów. Zebrałem listę kroków, które stosuję od razu — od SSH po nftables — aby zamknąć najprostsze wektory ataku.
Pierwszy krok: wyłącz logowanie rootem przez SSH i przełącz się na klucze RSA/ED25519. Drugi: zmień domyślny port SSH (choć to tylko security through obscurity) i skonfiguruj fail2ban. Trzeci: ustaw nftables z domyślną polityką DROP dla ruchu przychodzącego — przepuszczaj tylko to, co niezbędne. Czwarty: regularny unattended-upgrades dla poprawek bezpieczeństwa. Piąty: ogranicz uprawnienia użytkowników do minimum (zasada least privilege). Pamiętaj też o logowaniu — journald plus logrotate to minimum. Auditd pozwoli śledzić podejrzane operacje na plikach systemowych.
IPv6 w domu — dlaczego warto i jak zacząć
IPv6 to już nie przyszłość — to teraźniejszość. Wytłumaczę, jak skonfigurować adresy statyczne na MikroTiku, jak delegować prefiksy i dlaczego Cloudflare pomaga ukryć „prawdziwy" adres.
Serwer na mikr.us działa wyłącznie na IPv6. To świetna motywacja, by w końcu zrozumieć, jak ta protokół działa. Na MikroTiku: /ipv6 address — dodaj prefiks dostawcy, ustaw RouterAdvertisement dla klientów. Cloudflare jako proxy sprawia, że prawdziwy adres IPv6 serwera jest ukryty — odwiedzający widzą tylko adresy Cloudflare. Warto skonfigurować AAAA record dla domeny i upewnić się, że nginx nasłuchuje na [::] zamiast 0.0.0.0. Wskazówka: zawsze testuj łączność IPv6 narzędziem ping6 i traceroute6 przed uruchomieniem produkcyjnym.
Kontakt
Napisz do mnie — odpiszę najszybciej jak to możliwe
Klucz publiczny PGP
Odcisk klucza:
Soon ;)
Pokaż klucz publiczny
-----BEGIN PGP PUBLIC KEY BLOCK-----
Soon ;)
-----END PGP PUBLIC KEY BLOCK-----