Недавно столкнулся с ситуацией, когда идёт запрос на bind, а он должен forward’ить запросы определённой зоны дальше. И тут начинается интересное: приходит запрос на А-запись, а bind forward’ит её дальше уже как АААА-запись. Через tcpdump это выглядит так:
IP 192.168.1.137.61275 > 192.168.1.1.53: 8461+ A? srv2304.domain.local. (40)
IP 192.168.1.1.61034 > 192.168.1.50.53: 7530+ AAAA? srv2304.domain.local. (40)
IP 192.168.1.50.53 > 192.168.1.1.61034: 7530* 0/1/0 (98)
Как оказывается, просто включить NAT недостаточно. Более того, недостаточно даже подключить helper через sysctl:
net.netfilter.nf_conntrack_helper=1
В сети пишут, что нужно подгрузить модули (некоторые ещё уточняют, что это нужно было до версии 8.Х включитель, а с 9-ой достаточно просто подключить helper через sysctl, но как оказывается, недостаточно)
Бесплатный stateful и stateless генератор клиентского и серверного трафика L4-L7, масштабируемый до цифр в 400 Гбит/сек на одном сервере. Данный инструмент может использоваться для тестирования и сравнения различных сетевых решений, включая и область кибербезопасности, — DPI, МСЭ, IPS, NAT, балансировщики нагрузки, кеширующие сервера.
Официальный сайт https://trex-tgn.cisco.com
Представлен выпуск проекта netutils-linux 2.5.0, в рамках которого развивается набор утилит для мониторинга и тюнинга производительности сетевого стека Linux. Исходные тексты проекта написаны на Python (поддерживаются python 2.6+ и 3.4+) и поставляются под лицензией MIT.
Эта опция в pf позволяет дублировать трафик, минуя таблицу маршрутизации. Синтаксис прост:
pass in|out on $ext_if dup-to ($dup_if $dup_addr) ...
где, $ext_if — интерфейс с которого снимать трафик, dup_if — интерфейс, на который пересылать трафик (находится на том же роутере, что и ext_if), dup_addr — IP-адрес хоста, куда будет дублироваться трафик (находится в той же подсети, что и dup_if).
haproxy — достаточно известный прокси/балансировщик, который позволяет балансировать даже https/ssl. Ниже будет приведён только конфиг haproxy, так как от конфига openvpn’a это не зависит:
И так, есть роутер на базе mikrotik’a и 4G модем Yota и нужно иметь возможность подключаться к роутеру из-вне (у роутера нет внешнего IP). Было принято решение поднять openvpn.
1) Серверная часть Openvpn
Openvpn сервер поднимается стандартно, но есть несколько нюансов:
Тестовый стенд: FreeBSD 8.4 i386 Release, модем Novatel U720, mpd-5.7
При этом данный канал используется как вторичный, поэтому строки для шлюза по дефолту, получение DNS от пиров — закоментированы.
И так, вносим такой код в /usr/local/etc/mpd5/mpd.conf (отступы обязательны!):
Переменная sysctl kern.ipc.somaxconn ограничивает размер очереди для приема новых TCP соединений. Значение по умолчанию 128 слишком мало для надежной обработки новых соединений для нагруженного web сервера. Для такого сервера рекомендуется увеличить это значение до 1024 или выше. Демон сервиса может сам ограничивать очередь приема новых соединений (например, sendmail(8), или Apache), но обычно в файле настройки демона есть директива для настройки длины очереди. Более длинная очередь также помогает избежать атак Denial of Service (DoS).
По умолчанию, ipfw что при сборке ядра, что при подгрузке модулем находится в режиме
deny all from any to any.
Иногда бывают ситуации, когда нужно иметь по дефолту последнее правило
allow all from any to any
