Иногда бывают ситуации, когда в top’e вроде бы всё нормально, но сервер всё равно тормозит. Тогда нужно обратить внимание на нагрузки дисковой подсистемы. В статье мы рассмотрим варианты для Unix систем: FreBSD, OpenBSD, Linux, Solaris.
Категорія: OpenBSD
Обновлена 23.06.2016
Введение.
Пару слов о самом pf. Пакетный фильтр (далее PF) OpenBSD предназначен для фильтрации TCP/IP трафика и трансляции адресов (NAT). PF так же способен нормализовать и преобразовывать TCP/IP трафик, управлять приоритетами пакетов и пропускной способностью. PF был включен в ядро GENERIC OpenBSD, начиная с OpenBSD 3.0. Предшествующие версии OpenBSD использовали другой файрвол/NAT пакет, который более не поддерживается. Позже он портировался на FreBSD (начиная с 5.3) и Solaris (начиная с Oracle Solaris 11.3)
Расскажу ещё про один блокировщик подбора паролей. Теперь он будет работать в паре с pf. Сам sshit представляет собой скрипт на языке perl со всеми вытекающими отсюда последствиями. То есть, при наличии необходимых знаний языка perl вы можете нелету (а именно так он и работает) изменять сам скрипт. Это же (то есть налету) можно делать и с конфигурационным файлом.
Примечание: для OpenBSD его так же можно использоват, не смотря на то, что его нет в репозитариях. Учитывая что это скрипт на perl’e – просто скопируйте себе этот бинарник и конфиг и следуйте указанием в статье. Единственное отличие – это то, что в OpenBSD в syslogd нету флага ‘-c’.
Если вы работает с pf и во время загрузки правил получаете такое сообщение:
No ALTQ support in kernel
ALTQ related functions disabled
значит поддержка altq не включена. Включить можно только через пересборку ядра. Для этого добавляем такие опции в конфигурационный файл ядра:
У pf есть некоторые особенности использования ключевых слов при составлении правил. Ими пользоваться достаточно просто. Основное преимущество заключается в том, что мы не привязывается к IP адресу, а это очень удобно
– один и тот же конфиг можно использовать на многих машинах, без изменений
– при смене IP адреса нет надобности редактировать правила
При использовании роутеров с прошивками OpenWRT возникает проблема создания резервных копий при ограниченном дисковом пространстве. Иными словами нужно делать бэкап на лету по сети. Для этого очень подходит утилита nc (netcat), которая есть уже в базовой прошивке, а так же в большинстве *nix системах.
Вроде бы такие простые вещи должны знать, но иногда в порыве паники всё вылетает из головы :). Как бы там не было, опишу здесь команды, которые применяются для этого, в *nix, windows системах.
Обновлена 21.05.2014
Выдержка из документации:
“Операция состояния – путь для системы сетевой защиты, динамически создающей правила для определенных потоков при обнаружении пакетов соответствующих данному образцу. Поддержка операций состояния доступна через варианты правил check-state, keep-state и limit.
Обновил статью 4.10.2011
В этой статье расскажу, о правилах файерволов, которые позволяют бороться с паразитируещим траффиком (фрагментированные пакеты, неправильные бродкасты, …). Приведу примеры для таких файерволов: ipfw, pf, iptables. В некоторых из них будут специфические правила, которые отсутствуют в других.
Обновлена 13.09.2011
Задача такая: сделать максимально простым подключение к vpn пользователям на windows. Для этих целей я выбрал mpd, так как он больше всего совместим с windows клиентами.
ВАЖНО! Иногда при работе mpd (серверной части) наблюдаются подвисания процесса mpd, без возможности убить/перегрузить процесс. Если у вас появились такие симптомы, читайте в конце статьи ПРИМЕЧАНИЕ (для 8.1 и младше).
Тестовый стенд: сервер (FreeBSD 8.1, mpd 5.5), клиенты (WindowsXP/7, FreeBSD 8.1/8.0, Debian linux)