Архив рубрики: Шлюз, инет

ISC bind/named: включаем принудительно IPv4 для slave/resolving

Недавно столкнулся с ситуацией, когда идёт запрос на bind, а он должен forward’ить запросы определённой зоны дальше. И тут начинается интересное: приходит запрос на А-запись, а bind forward’ит её дальше уже как АААА-запись. Через tcpdump это выглядит так:


IP 192.168.1.137.61275 > 192.168.1.1.53: 8461+ A? srv2304.domain.local. (40)
IP 192.168.1.1.61034 > 192.168.1.50.53: 7530+ AAAA? srv2304.domain.local. (40)
IP 192.168.1.50.53 > 192.168.1.1.61034: 7530* 0/1/0 (98)

Читать далее

[Linux] Разрешаем vpn pptp через nat для локальной сети

Как оказывается, просто включить NAT недостаточно. Более того, недостаточно даже подключить helper через sysctl:

net.netfilter.nf_conntrack_helper=1

В сети пишут, что нужно подгрузить модули (некоторые ещё уточняют, что это нужно было до версии 8.Х включитель, а с 9-ой достаточно просто подключить helper через sysctl, но как оказывается, недостаточно)

Читать далее

TRex — генератор трафика

Бесплатный stateful и stateless генератор клиентского и серверного трафика L4-L7, масштабируемый до цифр в 400 Гбит/сек на одном сервере. Данный инструмент может использоваться для тестирования и сравнения различных сетевых решений, включая и область кибербезопасности, — DPI, МСЭ, IPS, NAT, балансировщики нагрузки, кеширующие сервера.

Официальный сайт  https://trex-tgn.cisco.com

netutils-linux — утилита для мониторинга и тюнинга сетевого стека Linux

Представлен выпуск проекта netutils-linux 2.5.0, в рамках которого развивается набор утилит для мониторинга и тюнинга производительности сетевого стека Linux. Исходные тексты проекта написаны на Python (поддерживаются python 2.6+ и 3.4+) и поставляются под лицензией MIT.

Читать далее

[pf] Правильно настраиваем dup-to

Эта опция в pf позволяет дублировать трафик, минуя таблицу маршрутизации. Синтаксис прост:

pass in|out on $ext_if dup-to ($dup_if $dup_addr) ...

где, $ext_if — интерфейс с которого снимать трафик, dup_if — интерфейс, на который пересылать трафик (находится на том же роутере, что и ext_if), dup_addr — IP-адрес хоста, куда будет дублироваться трафик (находится в той же подсети, что и dup_if).

Читать далее

Балансировщик openvpn на haproxy

haproxy — достаточно известный прокси/балансировщик, который позволяет балансировать даже https/ssl. Ниже будет приведён только конфиг haproxy, так как от конфига openvpn’a это не зависит:

Читать далее

mikrotik в роли openvpn клиента.

И так, есть роутер на базе mikrotik’a и 4G модем Yota и нужно иметь возможность подключаться к роутеру из-вне (у роутера нет внешнего IP). Было принято решение поднять openvpn.

1) Серверная часть Openvpn

Openvpn сервер поднимается стандартно, но есть несколько нюансов:

Читать далее

USB-3G модем от Интертелекома через mpd на FreeBSD

Тестовый стенд: FreeBSD 8.4 i386 Release, модем Novatel U720, mpd-5.7

При этом данный канал используется как вторичный, поэтому строки для шлюза по дефолту, получение DNS от пиров — закоментированы.

И так, вносим такой код в /usr/local/etc/mpd5/mpd.conf (отступы обязательны!):

Читать далее

Размеры очередей

FreeBSD

Переменная sysctl kern.ipc.somaxconn ограничивает размер очереди для приема новых TCP соединений. Значение по умолчанию 128 слишком мало для надежной обработки новых соединений для нагруженного web сервера. Для такого сервера рекомендуется увеличить это значение до 1024 или выше. Демон сервиса может сам ограничивать очередь приема новых соединений (например, sendmail(8), или Apache), но обычно в файле настройки демона есть директива для настройки длины очереди. Более длинная очередь также помогает избежать атак Denial of Service (DoS).

Читать далее

ipfw — default_to_accept

По умолчанию, ipfw что при сборке ядра, что при подгрузке модулем находится в режиме

deny all from any to any.

Иногда бывают ситуации, когда нужно иметь по дефолту последнее правило

allow all from any to any

Читать далее