Бета-версия modSecurity для Nginx

WWW
Без modSecurity:
location / {
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header Host $host;
           proxy_redirect off;
           proxy_pass http://localhost:8080;
}


С modSecurity:
location / {
           // включаем модуль, в off будет слать запросы на location указанный в ModSecurityPass
           ModSecurityEnabled on;
           // конфиг mod_security, здесь подразумевается, что лежит рядом с nginx.conf
           ModSecurityConfig modsecurity.conf; 
           //named location, на который уйдет запрос, успешно прошедший проверку
           ModSecurityPass @backend; 
}

location @backend {
           // стандартный конфиг
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header Host $host;
           proxy_redirect off;
           proxy_pass http://localhost:8080;
}

LIR

http://www.nic.ru/ip-reg/service/TRANSL/ipv4-policies.html



http://subnets.ru/blog/?p=24
http://subnets.ru/wrapper.php?p=4
  • avatar
  • 0
  • 0

libz.so.1 на 64 битном центосе 6.3

error while loading shared libraries: libz.so.1: cannot open shared object file: No such file or directory


в консоли

yum install zlib-devel-1.2.3-27.el6.i686
.....................
Running Transaction
  Installing : zlib-1.2.3-27.el6.i686                                                                                    1/2
  Installing : zlib-devel-1.2.3-27.el6.i686                                                                              2/2
  Verifying  : zlib-devel-1.2.3-27.el6.i686                                                                              1/2
  Verifying  : zlib-1.2.3-27.el6.i686                                                                                    2/2

Installed:
  zlib-devel.i686 0:1.2.3-27.el6

Dependency Installed:
  zlib.i686 0:1.2.3-27.el6

Complete!

d-link

в процессе написания

Сенсор собирает статистику по проходящему через него трафику. Сенсоры имеет смысл ставить в «узловых точках» сети, например, на граничных маршрутизаторах сегментов сети. Во многих источниках упоминается возможность «зеркалирования» порта коммутатора, почти все современные коммутаторы поддерживают эту возможность.
Коллектор осуществляет сбор информации от сенсоров. Полученные данные он сбрасывает в файл для дальнейшей обработки. Различные коллекторы сохраняют данные в различных форматах.
Анализатор, или система обработки, считывает эти файлы и генерирует отчеты в форме, более удобной для человека. Эта система должна быть совместима с форматом данных, предоставляемых коллектором [xgu.ru/wiki/NetFlow]. В современных системах коллектор и анализатор часто объединены в одну систему.

NetFlow


enable sflow on
create sflow analyzer_server 1 owner analyzer1 timeout infinite collectoraddress 10.1.2.5
create sflow counter_poller ports all analyzer_server_id 1 interval 30
create sflow flow_sampler ports all analyzer_server_id 1 rate 128


смотрим
show sflow
show sflow analyzer_server
show sflow counter_poller
show sflow flow_sampler


ловим пакеты на коллекторе
tcpdump -n udp port 2055


ставим коллектор на linux (netflow)

yum install flow-tools


коллектор на бсд
/usr/ports/net-mgmt/flow-tools


http://www.inmon.com/technology/sflowTools.php


flow-cat ft-v05.2012* |flow-print


сенсор -> коллектор

сенсор softflowd
softflowd -v 5 -i eth1 -n 127.0.0.1:8818


ставим сенсор на бсд
cd /usr/ports/net-mgmt/softflowd; make install; make clean


# softflowd_enable="YES"
# softflowd_interfaces="em0 em1"
# softflowd_em0_collector="collector:1234"
# softflowd_em1_collector="collector:1235"
# softflowd_em0_timeouts="-t maxlife=300"
# softflowd_em1_timeouts="-t maxlife=600"
# softflowd_em0_max_states="16000"
# softflowd_em1_max_states="17000"
# softflowd_em0_extra_args=""
# softflowd_em1_extra_args=""


коллектор flow-capture
flow-capture -p /var/run/flow-cap.pid -N 1 -w /var/log/netflows -S 5 -n 287 0/127.0.0.1/8818


http://www.opennet.ru/base/cisco/monitor_netflow.txt.html
http://www.opennet.ru/base/cisco/netflow_visio.txt.html
http://www.opennet.ru/base/cisco/monitor_netflow.txt.html
http://news.gmane.org/gmane.network.nfsen.general
http://ensight.eos.nasa.gov/FlowViewer/
http://sourceforge.net/projects/flowviewer/
http://xgu.ru/wiki/NetFlow


sFlow
FreeBSD^
cd /usr/ports/net-mgmt/nfdump; make install clean

/usr/local/bin/nfcapd
/usr/local/bin/sfcapd


запуск коллектора
# sflow traffic
/usr/local/bin/sfcapd -w -D -l /home/billing -p 6343 \
-B 512000 \
-I DES3810 \
-T +2,+3 \
-S 1 -t 900


сбор данных
nfdump -R /home/billing -s srcip/bytes -s dstip/bytes -s port/bytes -s record/bytes -n 1000> /home/zabbix/data/www/zabbix.*.ru/`date +%d%m%Y`.txt


— Для работы softlflowd требуется наличие libpcap. В FreeBSD может использоваться ng_netflow, в этом случае libpcap не обязателен.
/boot/loader.conf
ng_netflow_load="YES"


проверка работы
gw# softflowctl statistics
softflowd[3508]: Accumulated statistics:
Number of active flows: 431
Packets processed: 1270
Fragments: 0
Ignored packets: 496 (496 non-IP, 0 too short)
Flows expired: 6 (0 forced)
Flows exported: 9 in 2 packets (0 failures)
Packets received by libpcap: 1838
Packets dropped by libpcap: 0
Packets dropped by interface: 8756531

Expired flow statistics:  minimum       average       maximum
  Flow bytes:                  46           156           272
  Flow packets:                 1             4             6
  Duration:                  0.00s         0.58s         1.25s

Expired flow reasons:
       tcp =         0   tcp.rst =         6   tcp.fin =         0
       udp =         0      icmp =         0   general =         0
   maxlife =         0
  over 2Gb =         0
  maxflows =         0
   flushed =         0

Per-protocol statistics:     Octets      Packets   Avg Life    Max Life
            tcp (6):            938           21       0.58s       1.25s
gw#


посмотреть информацию о самих потоках
softflowctl dump-flows

ab тест производительности web

WWW
-c – определяет количество параллельных запросов отправляемых одновременно
-n – количество отправляемых запросов
-t – макс кол-во сек отведенное на тест. для тестирования приложения в течении определенного промежутка. необходимо задать большое значение параметру -n
-C cookie-name=value – добавляем cookie в каждый запрос к серверу
-H – задат заголовок запроса
-T – content-type заголовок запроса
-p – файл содержащий POST запроса

ab -c 10 -n 100 localhost
..........
100%    10000 (longest request)


важные

Time taken for tests – суммарное время потраченное на весь тест
Complete requests – количество выполненных запросов
Failed requests – количество запросов завершенных отказом
Total transferred и HTML transferred – суммарный объем и объем html переданные во время теста
Requests per second или rps – количество обрабатываемых запросов в секунду
Time per request – среднее время затраченное на запрос с и без учета распараллеливания
Transfer rate – скорость передачи данных при прохождении теста

новый диск

ls /dev/sd*
fdisk /dev/sdc
n
p
w


mke2fs -j /dev/sdc1



mount /dev/sdc1 /mnt


nano /etc/fstab
/dev/sdc1     /    ext4    defaults        1 1


формат: имя_раздела точка_монтирования файловая_система частота_создания_резервных_копий кол-во_запусков_fsck

Zentyal

софт прямо для ленивых… в бытность столько времени на все было потрачено для решения задачь… а щас…

Zentyal can act as a Gateway, Infrastructure Manager, Unified Threat Manager, Office Server, Unified Communication Server or a combination of them. One single, easy-to-use platform to manage all your network services.

тут брать… http://www.zentyal.org/downloads/
будет время попробую… ради интереса.

Из добавленных в Zentyal 3.0:
  • Переход на пакетную базу Ubuntu Server 12.04 LTS (Zentyal 2.x базировался на Ubuntu 10.04);
  • Добавление модуля для развёртывания и поддержания контроллера домена и сервиса Active Directory на базе Samba4, способного заменить собой Windows Server Active Directory;
  • Интеграция поддержки системы для организации совместной работы Zarafa 7.1;
  • Обеспечение работы сервиса единого входа на основе Kerberos для модулей HTTP Proxy, Mail, Zarafa и File Sharing;
  • Улучшение производительности: задействование глобального кэша для ускорения выполнения всех запросов к бэкенду хранения конфигурации на базе БД Redis; использование легковесного MVC-фреймворка и новой модели загрузки, которые позволили уменьшить потребление памяти и снизить нагрузку на CPU;
  • Увеличение надёжности: новые системы блокировок и транзакций, исключающие повреждение и нарушение связанности данных в случае сбоев или экстренного отключения питания;
  • Новое оформление web-интерфейса и улучшение удобства работы;
  • Новая архитектура Master-Slave, упрощающая синхронизацию пользователей между разными серверами Zentyal;
  • Модуль для управления устройствами бесперебойного питания;
  • Модуль для организации работы тонких клиентов на базе LTSP;
  • Переработанный модуль с реализацией HTTP-прокси, отличающийся упрощённым интерфейсом и более гибкими возможностями фильтрации контента в привязке к периодам времени;
  • Поддержка расширенных правил NAT в модуле построения межсетевого экрана.