Перейти к содержимому
Калькуляторы

boco

Активный участник
  • Публикации

    439
  • Зарегистрирован

  • Посещение

Все публикации пользователя boco


  1. по опыту =) ну потому что либо коннтрак, либо ограничить рекурсер каким-то диапазоном исходящих портов. выше же обсудили... попахивает, не к ночи будь помянут, протоколом ftp =)
  2. мой пойнт в том, что затраты на переключение контекста даже несколько раз в секунду (тем более, что контекст все равно переключается для валидных пакетов, коих, очевидно, значительно больше) - ничто по сравнению с пробеганием каждого пакета по коннтраку. если же вас сознательно дрочат, то тут и фаер не спасет - банально засрут пакетами бандвис, это для атакующих стоит примерно ничего. гораздо эффективнее в таком случае дропать пакеты до рекурсера, например на границе сети. лучше предложите топикстартеру правила без коннтрака, все полезнее чем стращать переключениями контекста для исчезающе малой доли невалидных пакетиков =) ps. для прикола посчитал, сколько раз отработал tcp wrappers для ssh за вчера на одном из наших рекурсеров - получилось 1 раз в 10 минут. и вот ради этого включать фаервол? [:facepalm:]
  3. да, речь именно про это. про диапазон портов - зачем же себя ограничивать? так можно и не вписаться. и главное - все это извращение весь этот файнтюнинг только чтобы недайбох не сделать болт в юзерспейсе, это же пипец как накладно. =) вощем мне тоже надоело. =) я предложил простое, эффективное и главное проверенное практикой решение. настаивать не буду. мир дружба жевачка.
  4. если не убрать политику дроп на инпут, рекурсер без коннтрака не получит ответ от авторитетного сервера
  5. ну то есть политику дроп на инпут убрать и файнтюнить правила? уже не так лаконично получается. в принципе, рабочее решение, если сеть ничто больше не слушает и не будет слушать.
  6. да, здесь вы правы. в линухе не тормозит. можете показать, как должны выглядеть правила в этом случае?
  7. я думаю эти mpps'ы у вас софтроутер гоняет слева направо. tcp wrappers тут ортогонально. более того, именно в таких софтроутерах с целью минимизации числа правил фаервола (для ускорения пересылки пакетов слева направо) рекомендуется прикрывать tcp wrappers'ами и собственными acl слушающие сеть сервисы.
  8. 1 mpps к рекурсеру?! если это не шутка, поделитесь как и чем вы это перевариваете? а то у меня есть твердая уверенность, что скалировать dnsdist до 1 mpps не получится
  9. ну вы клаудфлэр-то с обычными гражданами не сравнивайте 😃 те, кто оперируют клаудфлеровскими пакетрейтами, на наге совета не спрашивают... а так да, можно и микроскопом гвоздь забить. я например не уверен, что прогон каждого пакета по табличке коннтрак на сервере с запущеным рекурсером (это важно, потому что удп) будет быстрее, чем раз в пару минут акцептнуть соединение и послать нахер в юзерспейсе
  10. я хз как тут цитировать нормально, после какого-то обновления форума перестала вообще работать тема nag classic. поетому отвечу без цитат. 1. без понятия, надо в исходники конкретного рекурсера смотреть. это важно? 2. как изменить? я вот вижу что в предложенном конфиге без коннтрака рекурсер не получит ответов на свои запросы. 3. в чем принципиальная разница закрыть ssh фаерволом или tcp wrappers? я не понимаю, поясните.
  11. нет. я предполагаю, что кроме зябликс-агента, рекурсера и sshd никто сеть не слушает. в чем вред?
  12. за счет чего? и насколько затратнее? топикстартеру я бы вообще рекомендовал отключить фаервол: зябликс и рекурсер имеют свои acl, а ssh прикрывается в hosts.allow. зато не надо каждый пакет через фаер прогонять и не наступишь на граблю с размером коннтрак.
  13. не надо фаервола, используйте acl самого резолвера
  14. ну так это будет работать тока если бинлог хранит все транзакции с момента создания бд. что, в общем случае, не так. я все пытаюсь намекнуть, что слейв ни в какую базу не лезет, а лезет тока в бинлог. и что поэтому, а не по какой-то другой причине нужен дамп бд разумной давности (для которого еще не протух бинлог).
  15. то есть: 1. закидываем в бд данные 2. включаем gtid 3. включаем бинлог 4. настраиваем второй сервер, запускаем на нем slave 5. данные из бд автомагически перетекают на slave я правильно понял? вы сами так делали?
  16. все, к чему обращается реплика - это бинлог. никакие данные на мастере не лочатся, ибо реплика к ним не обращается. отсюда и необходимость делать дамп: бинлог имеет глубину хранения. не, ну если вы храните в бинлоге абсолютно все транзакции с момента создания бд, то конечно, достаточно создать на слейве только структуру бд и запустить репликацию. =)
  17. root@mail:~ # egrep -v '^[[:space:]]*(|#.*)$' /usr/local/etc/fail2ban/jail.local [INCLUDES] before = paths-freebsd.conf [DEFAULT] ignoreip = 127.0.0.1/8 ::1 192.168.0.0/16 ignorecommand = bantime = 1h bantime.increment = true findtime = 1h maxretry = 5 maxmatches = %(maxretry)s backend = auto usedns = warn logencoding = auto enabled = false mode = normal filter = %(__name__)s[mode=%(mode)s] destemail = xxx@xxx.ru sender = root@mail.xxx.ru mta = sendmail protocol = tcp chain = <known/chain> port = 0:65535 fail2ban_agent = Fail2Ban/%(fail2ban_version)s banaction = iptables-multiport banaction_allports = iptables-allports action_ = %(banaction)s[port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"] action_mw = %(action_)s %(mta)s-whois[sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"] action_mwl = %(action_)s %(mta)s-whois-lines[sender="%(sender)s", dest="%(destemail)s", logpath="%(logpath)s", chain="%(chain)s"] action_xarf = %(action_)s xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath="%(logpath)s", port="%(port)s"] action_cf_mwl = cloudflare[cfuser="%(cfemail)s", cftoken="%(cfapikey)s"] %(mta)s-whois-lines[sender="%(sender)s", dest="%(destemail)s", logpath="%(logpath)s", chain="%(chain)s"] action_blocklist_de = blocklist_de[email="%(sender)s", service="%(__name__)s", apikey="%(blocklist_de_apikey)s", agent="%(fail2ban_agent)s"] action_badips = badips.py[category="%(__name__)s", banaction="%(banaction)s", agent="%(fail2ban_agent)s"] action_badips_report = badips[category="%(__name__)s", agent="%(fail2ban_agent)s"] action_abuseipdb = abuseipdb action = %(action_)s [exim] enabled = true action = exim-ipfw[table=3] logpath = %(exim_main_log)s root@mail:~ # egrep -v '^[[:space:]]*(|#.*)$' /usr/local/etc/fail2ban/action.d/exim-ipfw.conf [Definition] actionstart = actionstop = actioncheck = actionban = /sbin/ipfw table <table> add <ip> actionunban = /sbin/ipfw table <table> delete <ip> [Init] localhost = 127.0.0.1 root@mail:~ # egrep -v '^[[:space:]]*(|#.*)$' /usr/local/etc/fail2ban/filter.d/exim.local [INCLUDES] before = exim-common.conf [Definition] failregex = ^%(pid)s \w+ authenticator failed for (?:[^\[\( ]* )?(?:\(\S*\) )?\[<HOST>\](?::\d+)?(?: I=\[\S+\](:\d+)?)?: 535 Incorrect authentication data( \(set_id=.*\)|: \d+ Time\(s\))?\s*$ <mdre-<mode>> mdre-aggressive = ^%(pid)s no host name found for IP address <HOST>$ ^%(pid)s no IP address found for host \S+ \(during SMTP connection from \[<HOST>\]\)$ mdre-normal = mode = normal ignoreregex =
  18. в моем случае эти редиски выжирали весь лимит процессов exim. после применения fail2ban кардинально полегчало. адреса, конечно, появляются новые, но довольно быстро уходят в бан надолго. # fail2ban-client status exim | egrep '(Currently|Total) banned' |- Currently banned: 7700 |- Total banned: 109029
  19. я был неправ. нужно добавлять proxy_pass во вложенные локации, эта директива не наследуется, в отличие от proxy_set_header
  20. 1. для начала настройте самое тупое проксирование и убедитесь что оно работает location / { proxy_pass http://10.102.0.41:8080; } пока не заработает, дальнейшие упражнения не имеют смысла. 2. строчка "proxy_pass http://10.102.0.41:8080/configex?$query_string;" избыточна и неверна, достаточно "proxy_pass http://10.102.0.41:8080;". uri и request_uri подставляются автомагически: If proxy_pass is specified without a URI, the request URI is passed to the server in the same form as sent by a client when the original request is processed, or the full normalized request URI is passed when processing the changed URI 3. вся ваша куча локаций различается тока форматом лога. используйте вложенные локации и тот факт, что директивы (в т.ч. proxy_pass) переходит во вложенную локацию из родительской location / { proxy_pass http://10.102.0.41:8080; location /blabla { access_log blablabla; } }
  21. http://nginx.org/ru/docs/varindex.html $remote_user $arg_ $http_ https://mailman.nginx.org/mailman3/lists/
  22. попробуйте увеличить параметр scan-min, при большом pps сильно разгружает cpu
  23. лучше поставить прокси (я уже писал тут некоторое время назад), так легче контролировать список доступных урлов и скорость, перенаправлять на страничку с бесплатными ресурсами да и достичь главной цели - максимум неудобств абоненту =)
  24. а можно поставить обычный сквид с авторизатором по биллингу оператора или есиа тоже обязательно прикручивать? я не понимаю формулировку "одним из следующих способов". значит ли это что достаточно реализовать какой-то один или надо оба?
  25. tftp через nat не работает (без соответствующего alg)