Архіви категорій: Routers, GW, Internet

[NAT] Log sessions

Залишити відповідь

В данній статті розглянемо, як можна логувати сесії NAT в різних файерволах.

iptables

Тут є декілька варіантів, почнемо з найнадійнішого:

conntrack -E --event-mask NEW --any-nat >> /var/log/nat_log

Є ще класичний варіант

iptables -t nat -I PREROUTING 1 -j LOG
iptables -t nat -I POSTROUTING 1 -j LOG
iptables -t nat -I OUTPUT 1 -j LOG

але, як пишуть у мережі, частина пакетів може не попадати в лог, якщо використовувати маркування або додаткову обробку.

pf

Є застарілий проект , який працює виключно на BSD-системах (на Solaris – ні)

ipfw

Тут мені не вдалося нічого знайти.

[squid] TCP_MISS_ABORTED/000, TCP_MISS/503

Залишити відповідь

Що можуть означати ці коди в логах squid’a? Якщо вони у вас почали зʼявлятися після того, як все працювало, то в 99% ваш proxy сервер втратив вихід в інтернет. Перевірте просто через curl, чи відкриваються сайти, чи ні.

Причини можуть бути різні: від заблоковано у файерволі до втрат в мережі.

PS. Завжди перевіряйте, чи збігається у вас локальний час на proxy з вашим сервером авторизації (AD, Kerberos,…)

[Linux] Tracing: bcc-tools, bpftrace

Залишити відповідь

BCC is a toolkit for creating efficient kernel tracing and manipulation programs, and includes several useful tools and examples. It makes use of extended BPF (Berkeley Packet Filters), formally known as eBPF, a new feature that was first added to Linux 3.15. Much of what BCC uses requires Linux 4.1 and above.

bpftrace is a high-level tracing language for Linux enhanced Berkeley Packet Filter (eBPF) available in recent Linux kernels (4.x)

[FreeBSD] Альтернативний TCP-стек на прикладі RACK

Залишити відповідь

Дана стаття є вільним перекладом цієї .

Якщо вас якимось чином не влаштовує стандартний стек TCP, то, починаючи з 13.0, можна використовувати свій власний. В даній статті ми розглянемо RACK-TLP TCP стек. Основна суть якого, в передачі timestamps, і при втраті пакету за рахунок цього швидше відновлюється передача даних. Тобто, даний стек буде біль ефективним в мережах з частими обривами звʼязку. У стабільних мережах, його немає сенсу застосовувати.

Читати далі

Завернуть часть трафика в OpenVPN туннель.

Залишити відповідь

Вводные данные: 2 сервера Linux связаны между собой через OpenVPN туннель. Нужно для части клиентов за одним из концов VPN’a завернуть весь трафик в туннель, то есть, что бы они выходили в интернет не через свой GW, а через удалённый GW, пройдя через VPN.

UPD. В данной схеме есть нюанс: она будет работать, если клиентские машины находятся за хостом, который является OpenVPN-клиентом. В обратном случае, пакеты просто не будут покидать хост, хотя через tcpdump вы их будете видеть. Связано это с особенностями самого OpenVPN’a. Пока не нашёл как это можно решить. Как workaround, можно либо изменить роли клиент-сервер, либо использовать простой туннель или другой тип VPN’a.

Читати далі

OpenVPN: iroute not working

Залишити відповідь

iroute в OpenVPN нужен для того, что бы добавлять маршруты в подсеть клиентов, когда они подключаются. Данный параметр прописывается исключительно в CCD (client-config-dir). Но есть нюанс: обязательно с iroute нужно прописывать route в конфиге server.conf. Да, про это упомянуто в документации, но не все ёё внимательно читают

Remember that you must also add the route to the system routing table as well (such as by using the –route directive). The reason why two routes are needed is that the –route directive routes the packet from the kernel to OpenVPN. Once in OpenVPN, the –iroute directive routes to the specific client.

То есть, если нужно добавить клиентскую подсеть 192.168.10.0/24, то правильно сделать так:

ccd/client:

iroute 192.168.10.0 255.255.255.0

server.conf:

route 192.168.10.0 255.255.255.0

Анализатора трафика sniffglue

Залишити відповідь

Сетевого анализатор sniffglue 0.14.0 , выполняющий анализ трафика в пассивном режиме и использующий многопоточность для распределения работы по разбору пакетов по всем ядрам процессора. Проект нацелен на безопасную и надёжную работу при перехвате пакетов в сетях не заслуживающих доверия, а также на вывод наиболее полезной информации в конфигурации по умолчанию. Код продукта написан на языке программирования Rust и распространяется под лицензией GPLv3+. Поддерживается работа на системах Linux и macOS.

Читати далі

tunnelblick and custom scripts

Залишити відповідь

Недавно появилась задача использовать собственные маршруты при подключении через OpenVPN на MacOSX. Если это сделать по аналогии с OpenVPN – просто добавить в конфиг параметр up/route-up, то в логе вы увидите, что не удалось выполнить из-за дубликата параметра. Что за ересь? Идём на сайт tunnelblick’a в раздел документации и видим, что нужно использовать специфические имена скриптов. Но куда их ложить?

Нашёл в интернете заметку, где сказано, что ложить их нужно по такому пути /Library/Application Support/Tunnelblick/Users/<user_name>/<config_name>.tlbk/Contents/Resources/, если у вас личный когфиг, или по такому /Library/Application Support/Tunnelblick/Shared/<config_name>.tblk/Contents/Resources, если общий.

Примечание. Если tunnelblick после изменений спросит “обезопасить ли конфигурацию” – отвечайте нет, иначе он удаляет папку с конфигом (а значит и все скрипты) и создаёт заново.

Запускаем Huawei modem

Залишити відповідь

Здесь буду приводить лишь некоторые нюансы, которые являются нестандартными. После вставки модема смотрим его VID:PID:

$ lsusb 
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 001 Device 005: ID 12d1:14db Huawei Technologies Co., Ltd. E353/E3131
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Читати далі