Категорії
Misc, staff, other Routers, GW, Internet

ISC bind/named: включаем принудительно IPv4 для slave/resolving

Недавно столкнулся с ситуацией, когда идёт запрос на bind, а он должен forward’ить запросы определённой зоны дальше. И тут начинается интересное: приходит запрос на А-запись, а bind forward’ит её дальше уже как АААА-запись. Через tcpdump это выглядит так:


IP 192.168.1.137.61275 > 192.168.1.1.53: 8461+ A? srv2304.domain.local. (40)
IP 192.168.1.1.61034 > 192.168.1.50.53: 7530+ AAAA? srv2304.domain.local. (40)
IP 192.168.1.50.53 > 192.168.1.1.61034: 7530* 0/1/0 (98)

Категорії
Linux Routers, GW, Internet

[Linux] Разрешаем vpn pptp через nat для локальной сети

Как оказывается, просто включить NAT недостаточно. Более того, недостаточно даже подключить helper через sysctl:

net.netfilter.nf_conntrack_helper=1

В сети пишут, что нужно подгрузить модули (некоторые ещё уточняют, что это нужно было до версии 8.Х включитель, а с 9-ой достаточно просто подключить helper через sysctl, но как оказывается, недостаточно)

Категорії
Misc, staff, other Routers, GW, Internet

TRex – генератор трафика

Бесплатный stateful и stateless генератор клиентского и серверного трафика L4-L7, масштабируемый до цифр в 400 Гбит/сек на одном сервере. Данный инструмент может использоваться для тестирования и сравнения различных сетевых решений, включая и область кибербезопасности, — DPI, МСЭ, IPS, NAT, балансировщики нагрузки, кеширующие сервера.

Официальный сайт  https://trex-tgn.cisco.com

Категорії
Misc, staff, other Routers, GW, Internet

netutils-linux – утилита для мониторинга и тюнинга сетевого стека Linux

Представлен выпуск проекта netutils-linux 2.5.0, в рамках которого развивается набор утилит для мониторинга и тюнинга производительности сетевого стека Linux. Исходные тексты проекта написаны на Python (поддерживаются python 2.6+ и 3.4+) и поставляются под лицензией MIT.

Категорії
Misc, staff, other Routers, GW, Internet

[pf] Правильно настраиваем dup-to

Эта опция в pf позволяет дублировать трафик, минуя таблицу маршрутизации. Синтаксис прост:

pass in|out on $ext_if dup-to ($dup_if $dup_addr) ...

где, $ext_if – интерфейс с которого снимать трафик, dup_if – интерфейс, на который пересылать трафик (находится на том же роутере, что и ext_if), dup_addr – IP-адрес хоста, куда будет дублироваться трафик (находится в той же подсети, что и dup_if).

Категорії
Misc, staff, other Routers, GW, Internet

Балансировщик openvpn на haproxy

haproxy – достаточно известный прокси/балансировщик, который позволяет балансировать даже https/ssl. Ниже будет приведён только конфиг haproxy, так как от конфига openvpn’a это не зависит:

Категорії
Misc, staff, other Routers, GW, Internet

mikrotik в роли openvpn клиента.

И так, есть роутер на базе mikrotik’a и 4G модем Yota и нужно иметь возможность подключаться к роутеру из-вне (у роутера нет внешнего IP). Было принято решение поднять openvpn.

1) Серверная часть Openvpn

Openvpn сервер поднимается стандартно, но есть несколько нюансов:

Категорії
FreeBSD Misc, staff, other Routers, GW, Internet

USB-3G модем от Интертелекома через mpd на FreeBSD

Тестовый стенд: FreeBSD 8.4 i386 Release, модем Novatel U720, mpd-5.7

При этом данный канал используется как вторичный, поэтому строки для шлюза по дефолту, получение DNS от пиров – закоментированы.

И так, вносим такой код в /usr/local/etc/mpd5/mpd.conf (отступы обязательны!):

Категорії
FreeBSD Linux Routers, GW, Internet Solaris

Размеры очередей

FreeBSD

Переменная sysctl kern.ipc.somaxconn ограничивает размер очереди для приема новых TCP соединений. Значение по умолчанию 128 слишком мало для надежной обработки новых соединений для нагруженного web сервера. Для такого сервера рекомендуется увеличить это значение до 1024 или выше. Демон сервиса может сам ограничивать очередь приема новых соединений (например, sendmail(8), или Apache), но обычно в файле настройки демона есть директива для настройки длины очереди. Более длинная очередь также помогает избежать атак Denial of Service (DoS).

Категорії
FreeBSD Routers, GW, Internet

ipfw – default_to_accept

По умолчанию, ipfw что при сборке ядра, что при подгрузке модулем находится в режиме

deny all from any to any.

Иногда бывают ситуации, когда нужно иметь по дефолту последнее правило

allow all from any to any

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff