boco
Активный участник-
Публикации
439 -
Зарегистрирован
-
Посещение
Все публикации пользователя boco
-
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
по опыту =) ну потому что либо коннтрак, либо ограничить рекурсер каким-то диапазоном исходящих портов. выше же обсудили... попахивает, не к ночи будь помянут, протоколом ftp =) -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
мой пойнт в том, что затраты на переключение контекста даже несколько раз в секунду (тем более, что контекст все равно переключается для валидных пакетов, коих, очевидно, значительно больше) - ничто по сравнению с пробеганием каждого пакета по коннтраку. если же вас сознательно дрочат, то тут и фаер не спасет - банально засрут пакетами бандвис, это для атакующих стоит примерно ничего. гораздо эффективнее в таком случае дропать пакеты до рекурсера, например на границе сети. лучше предложите топикстартеру правила без коннтрака, все полезнее чем стращать переключениями контекста для исчезающе малой доли невалидных пакетиков =) ps. для прикола посчитал, сколько раз отработал tcp wrappers для ssh за вчера на одном из наших рекурсеров - получилось 1 раз в 10 минут. и вот ради этого включать фаервол? [:facepalm:] -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
да, речь именно про это. про диапазон портов - зачем же себя ограничивать? так можно и не вписаться. и главное - все это извращение весь этот файнтюнинг только чтобы недайбох не сделать болт в юзерспейсе, это же пипец как накладно. =) вощем мне тоже надоело. =) я предложил простое, эффективное и главное проверенное практикой решение. настаивать не буду. мир дружба жевачка. -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
если не убрать политику дроп на инпут, рекурсер без коннтрака не получит ответ от авторитетного сервера -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
ну то есть политику дроп на инпут убрать и файнтюнить правила? уже не так лаконично получается. в принципе, рабочее решение, если сеть ничто больше не слушает и не будет слушать. -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
да, здесь вы правы. в линухе не тормозит. можете показать, как должны выглядеть правила в этом случае? -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
я думаю эти mpps'ы у вас софтроутер гоняет слева направо. tcp wrappers тут ортогонально. более того, именно в таких софтроутерах с целью минимизации числа правил фаервола (для ускорения пересылки пакетов слева направо) рекомендуется прикрывать tcp wrappers'ами и собственными acl слушающие сеть сервисы. -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
1 mpps к рекурсеру?! если это не шутка, поделитесь как и чем вы это перевариваете? а то у меня есть твердая уверенность, что скалировать dnsdist до 1 mpps не получится -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
ну вы клаудфлэр-то с обычными гражданами не сравнивайте 😃 те, кто оперируют клаудфлеровскими пакетрейтами, на наге совета не спрашивают... а так да, можно и микроскопом гвоздь забить. я например не уверен, что прогон каждого пакета по табличке коннтрак на сервере с запущеным рекурсером (это важно, потому что удп) будет быстрее, чем раз в пару минут акцептнуть соединение и послать нахер в юзерспейсе -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
я хз как тут цитировать нормально, после какого-то обновления форума перестала вообще работать тема nag classic. поетому отвечу без цитат. 1. без понятия, надо в исходники конкретного рекурсера смотреть. это важно? 2. как изменить? я вот вижу что в предложенном конфиге без коннтрака рекурсер не получит ответов на свои запросы. 3. в чем принципиальная разница закрыть ssh фаерволом или tcp wrappers? я не понимаю, поясните. -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
нет. я предполагаю, что кроме зябликс-агента, рекурсера и sshd никто сеть не слушает. в чем вред? -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
за счет чего? и насколько затратнее? топикстартеру я бы вообще рекомендовал отключить фаервол: зябликс и рекурсер имеют свои acl, а ssh прикрывается в hosts.allow. зато не надо каждый пакет через фаер прогонять и не наступишь на граблю с размером коннтрак. -
iptables для DNS сервера
тему ответил в Tooreagen пользователя boco в Программное обеспечение, биллинг и *unix системы
не надо фаервола, используйте acl самого резолвера -
MySQL репликация и GTID
тему ответил в fox_m пользователя boco в Программное обеспечение, биллинг и *unix системы
ну так это будет работать тока если бинлог хранит все транзакции с момента создания бд. что, в общем случае, не так. я все пытаюсь намекнуть, что слейв ни в какую базу не лезет, а лезет тока в бинлог. и что поэтому, а не по какой-то другой причине нужен дамп бд разумной давности (для которого еще не протух бинлог). -
MySQL репликация и GTID
тему ответил в fox_m пользователя boco в Программное обеспечение, биллинг и *unix системы
то есть: 1. закидываем в бд данные 2. включаем gtid 3. включаем бинлог 4. настраиваем второй сервер, запускаем на нем slave 5. данные из бд автомагически перетекают на slave я правильно понял? вы сами так делали? -
MySQL репликация и GTID
тему ответил в fox_m пользователя boco в Программное обеспечение, биллинг и *unix системы
все, к чему обращается реплика - это бинлог. никакие данные на мастере не лочатся, ибо реплика к ним не обращается. отсюда и необходимость делать дамп: бинлог имеет глубину хранения. не, ну если вы храните в бинлоге абсолютно все транзакции с момента создания бд, то конечно, достаточно создать на слейве только структуру бд и запустить репликацию. =) -
Freeradius - ограничить кол-во неудачных попыток авторизации
тему ответил в AlKov пользователя boco в Программное обеспечение, биллинг и *unix системы
root@mail:~ # egrep -v '^[[:space:]]*(|#.*)$' /usr/local/etc/fail2ban/jail.local [INCLUDES] before = paths-freebsd.conf [DEFAULT] ignoreip = 127.0.0.1/8 ::1 192.168.0.0/16 ignorecommand = bantime = 1h bantime.increment = true findtime = 1h maxretry = 5 maxmatches = %(maxretry)s backend = auto usedns = warn logencoding = auto enabled = false mode = normal filter = %(__name__)s[mode=%(mode)s] destemail = xxx@xxx.ru sender = root@mail.xxx.ru mta = sendmail protocol = tcp chain = <known/chain> port = 0:65535 fail2ban_agent = Fail2Ban/%(fail2ban_version)s banaction = iptables-multiport banaction_allports = iptables-allports action_ = %(banaction)s[port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"] action_mw = %(action_)s %(mta)s-whois[sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"] action_mwl = %(action_)s %(mta)s-whois-lines[sender="%(sender)s", dest="%(destemail)s", logpath="%(logpath)s", chain="%(chain)s"] action_xarf = %(action_)s xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath="%(logpath)s", port="%(port)s"] action_cf_mwl = cloudflare[cfuser="%(cfemail)s", cftoken="%(cfapikey)s"] %(mta)s-whois-lines[sender="%(sender)s", dest="%(destemail)s", logpath="%(logpath)s", chain="%(chain)s"] action_blocklist_de = blocklist_de[email="%(sender)s", service="%(__name__)s", apikey="%(blocklist_de_apikey)s", agent="%(fail2ban_agent)s"] action_badips = badips.py[category="%(__name__)s", banaction="%(banaction)s", agent="%(fail2ban_agent)s"] action_badips_report = badips[category="%(__name__)s", agent="%(fail2ban_agent)s"] action_abuseipdb = abuseipdb action = %(action_)s [exim] enabled = true action = exim-ipfw[table=3] logpath = %(exim_main_log)s root@mail:~ # egrep -v '^[[:space:]]*(|#.*)$' /usr/local/etc/fail2ban/action.d/exim-ipfw.conf [Definition] actionstart = actionstop = actioncheck = actionban = /sbin/ipfw table <table> add <ip> actionunban = /sbin/ipfw table <table> delete <ip> [Init] localhost = 127.0.0.1 root@mail:~ # egrep -v '^[[:space:]]*(|#.*)$' /usr/local/etc/fail2ban/filter.d/exim.local [INCLUDES] before = exim-common.conf [Definition] failregex = ^%(pid)s \w+ authenticator failed for (?:[^\[\( ]* )?(?:\(\S*\) )?\[<HOST>\](?::\d+)?(?: I=\[\S+\](:\d+)?)?: 535 Incorrect authentication data( \(set_id=.*\)|: \d+ Time\(s\))?\s*$ <mdre-<mode>> mdre-aggressive = ^%(pid)s no host name found for IP address <HOST>$ ^%(pid)s no IP address found for host \S+ \(during SMTP connection from \[<HOST>\]\)$ mdre-normal = mode = normal ignoreregex = -
Freeradius - ограничить кол-во неудачных попыток авторизации
тему ответил в AlKov пользователя boco в Программное обеспечение, биллинг и *unix системы
в моем случае эти редиски выжирали весь лимит процессов exim. после применения fail2ban кардинально полегчало. адреса, конечно, появляются новые, но довольно быстро уходят в бан надолго. # fail2ban-client status exim | egrep '(Currently|Total) banned' |- Currently banned: 7700 |- Total banned: 109029 -
Вопрос по проксированию в nginx
тему ответил в alibek пользователя boco в Программное обеспечение, биллинг и *unix системы
я был неправ. нужно добавлять proxy_pass во вложенные локации, эта директива не наследуется, в отличие от proxy_set_header -
Вопрос по проксированию в nginx
тему ответил в alibek пользователя boco в Программное обеспечение, биллинг и *unix системы
1. для начала настройте самое тупое проксирование и убедитесь что оно работает location / { proxy_pass http://10.102.0.41:8080; } пока не заработает, дальнейшие упражнения не имеют смысла. 2. строчка "proxy_pass http://10.102.0.41:8080/configex?$query_string;" избыточна и неверна, достаточно "proxy_pass http://10.102.0.41:8080;". uri и request_uri подставляются автомагически: If proxy_pass is specified without a URI, the request URI is passed to the server in the same form as sent by a client when the original request is processed, or the full normalized request URI is passed when processing the changed URI 3. вся ваша куча локаций различается тока форматом лога. используйте вложенные локации и тот факт, что директивы (в т.ч. proxy_pass) переходит во вложенную локацию из родительской location / { proxy_pass http://10.102.0.41:8080; location /blabla { access_log blablabla; } } -
Вопрос по проксированию в nginx
тему ответил в alibek пользователя boco в Программное обеспечение, биллинг и *unix системы
http://nginx.org/ru/docs/varindex.html $remote_user $arg_ $http_ https://mailman.nginx.org/mailman3/lists/ -
поднятие туннеля PPTP через NAT на Debian
тему ответил в Izo_lda пользователя boco в Программное обеспечение, биллинг и *unix системы
попробуйте увеличить параметр scan-min, при большом pps сильно разгружает cpu -
Принят закон о бесплатном доступе к социально значимым сайтам.
тему ответил в Связной (С) пользователя boco в У нага
лучше поставить прокси (я уже писал тут некоторое время назад), так легче контролировать список доступных урлов и скорость, перенаправлять на страничку с бесплатными ресурсами да и достичь главной цели - максимум неудобств абоненту =) -
Принят закон о бесплатном доступе к социально значимым сайтам.
тему ответил в Связной (С) пользователя boco в У нага
а можно поставить обычный сквид с авторизатором по биллингу оператора или есиа тоже обязательно прикручивать? я не понимаю формулировку "одним из следующих способов". значит ли это что достаточно реализовать какой-то один или надо оба? -
Не заводится tftpd на Debian 10
тему ответил в alibek пользователя boco в Программное обеспечение, биллинг и *unix системы
tftp через nat не работает (без соответствующего alg)