ANTYNET.PL – Administracja Sieci

Przedstawiana konfiguracja może w przypadku lekkim wyłączyć sieć, a ekstremalnym uszkodzić sprzęt.

Opis dla kart sieciowych intel z maszyna  16GB RAM. ( po tuningu starczy 4GB)

Pada sieć, pakiety są dropowane … drop na ethx, ruter gubi pakiety … ip_conntrack: table full, dropping packet

Ten problem to kwestia domyślnej konfiguracji linuxa, która nadaje się do hostingu i małych sieci.

Kilka sugestii jak zrobić z linuxa router na każdą skalę, 10G to nie problem! 😛

Bez komentarza …  jeśli się boisz … tych ekstremalnych zmian skontaktuj się:  [email protected]

/sbin/ifconfig eth0 txqueuelen 2000
/sbin/ifconfig eth1 txqueuelen 2000

ethtool -G eth0 rx 4096 tx 4096
ethtool -G eth1 rx 4096 tx 4096

sysctl -w net.ipv4.tcp_sack=0

#ip_conntrack
echo 17473 > /proc/sys/net/ipv4/netfilter/ip_conntrack_count
echo 20 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
echo 1200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

#ipv6 off
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1

#source route
sysctl -w net.ipv4.conf.lo.accept_source_route=1
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv4.conf.eth0.accept_source_route=0
sysctl -w net.ipv4.conf.eth1.accept_source_route=0

#redirs#zmina.06.04.2017
sysctl -w net.ipv4.conf.eth0.accept_redirects=0
sysctl -w net.ipv4.conf.eth1.accept_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
sysctl -w net.ipv4.conf.eth1.send_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0

#IPV4
sysctl -w net.ipv4.tcp_no_metrics_save=1
sysctl -w net.ipv4.tcp_moderate_rcvbuf=1
sysctl -w net.core.netdev_max_backlog=30000

sysctl -w net.ipv4.tcp_timestamps=1
sysctl -w net.ipv4.tcp_sack=1

#IPV4 MEM
sysctl -w net.ipv4.tcp_rmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_wmem=”4096 65536 33554432″
sysctl -w net.ipv4.tcp_mem=”4096 65536 33554432″
sysctl -w net.core.rmem_max=”33554432″
sysctl -w net.core.wmem_max=”33554432″
sysctl -w net.core.rmem_default=”33554432″
sysctl -w net.core.wmem_default=”33554432″
sysctl -w net.core.optmem_max=”33554432″
echo 1 > /proc/sys/net/ipv4/tcp_moderate_rcvbuf
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
#IPV4 ARP
sysctl -w net.ipv4.conf.all.arp_ignore=1
sysctl -w net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net/ipv4/conf/default/arp_ignore=1
sysctl -w net/ipv4/conf/default/arp_announce=1

sysctl -w net/ipv4/conf/eth0/arp_ignore=1
sysctl -w net/ipv4/conf/eth0/arp_announce=1
sysctl -w net/ipv4/conf/eth1/arp_ignore=1
sysctl -w net/ipv4/conf/eth1/arp_announce=1

sysctl -w net.ipv4.conf.eth0.rp_filter=0
sysctl -w net.ipv4.conf.default.forwarding=1

To są konfiguracje  systemu, potem mądry Firewall .

Naprowadzenie … state ESTABLISHED  pomaga 😀

pozdrawiam

jr

Kumaty admin załapie ,  resztę proszę o kontakt.

ps.

Ponad 7GB na jednym routerku obsługuję. 😉

Jeden taki niedobry prosił o napisanie czegoś co o zadanej godzinie zrobi porządki w tabelach mysql.
Zadanie niezwykle trywialne….

1. Tworzymy plik naprawa.sh
touch /root/naprawa.sh
chmod +x /root/naprawa.sh

2. W pliku umieszczamy zaklęcia do uporządkowania tabelek.
##############################
#!/bin/bash

mysqlcheck --optimize --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --check --all-databases -u root --password=TwojeHasloMysql
mysqlcheck --auto-repair --all-databases -u root --password=TwojeHasloMysql
##################################################

3.Teraz uruchamianie o zadanej godzinie ( 00:15)

uruchamiamy:
crontab -e
i wpisujemy:

15 0 * * * /root/naprawa.sh >/dev/null 2>&1

Zapisujemy.

4. Przynosimy piwo adminowi

Czasem zachodzi potrzeba załączenia reguły modsecurity tylko dla jednej domeny.
Z pomocą przychodzi chain 😉

SecRule REQUEST_HEADERS:Host „(^blacksquadron\.net$|\.blacksquadron\.net$)” „log,deny,chain,msg:’spamer znaleziony w rbl bl.spamcop.net'”
SecRule REMOTE_ADDR „@rbl bl.spamcop.net”

No i forum motorowe trochę odetchnęło 😉
Od spammerów oczywiście.

Zmusili mnie… zbyt wiele tego ostatnio się pojawia, niby oferty pracy tak naprawdę szukanie słupów.

Najprościej pozbyć się problemu przy pomocy mechanizmów POSTFIX.

w pliku header_checks:

/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*dodatkowa praca.*/ REJECT spam content detected / dodatkowa praca
/^Subject: .*zdalnych pracownik.*/ REJECT spam content detected / zdalnych pracowników
/^Subject: .*na akord z wynagrodzeniem.*/ REJECT spam content detected / na akord z wynagrodzeniem
/^Subject: .*EUR za 1 godzine.*/ REJECT spam content detected / EUR za 1 godzine
/^Subject: .*podjecia w wolnym czasie.*/ REJECT spam content detected / podjecia w wolnym czasie
/^Subject: .*dodatkowej pracy z wynagrodzeniem.*/ REJECT spam content detected / dodatkowej pracy z wynagrodzeniem
/^Subject: .*Proponujemy proste rozwiazanie.*/ REJECT spam content detected / Proponujemy proste rozwiazanie
/^Subject: .*Brakuje Ci pieniedzy.*/ REJECT spam content detected / Brakuje Ci pieniedzy
/^Subject: .*Poszukujemy w Twoim regionie.*/ REJECT spam content detected / Poszukujemy w Twoim regionie
/^Subject: .*do dobrze oplacanej pracy.*/ REJECT spam content detected / do dobrze oplacanej pracy
/^Subject: .*euro na godzine.*/ REJECT spam content detected / euro na godzine
/^Subject: .*Administrator-financier.*/ REJECT spam content detected / Administrator-financier

Sprawdź czy w konfiguracji posiadasz wpis:

header_checks = pcre:/etc/postfix/header_checks

Oczywiście taka lista powinna ewoluować razem z pomysłowością spamerów.

Mamy nową fale tego spamu, w treści e-maila mamy ciąg znaków: warszawapraca.com

a więc …

w pliku body_checks

wpisujemy:

/warszawapraca.com/ REJECT Spam!

W konfiguracji postfixa dodajemy:

body_checks = pcre:/etc/postfix/body_checks

Aktualizacja body_checks
/iframe src=cid/ REJECT Nie kombinuj z kodem html.(body 1)
/(]*>).*){8}/ REJECT Za skrypty w mailu dziekujemy.(body 5)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 6)
/^.*[a-z][a-z]/ REJECT Za skrypty w mailu dziekujemy.(body 7)
// REJECT Za ukryte linki dziekujemy.(body 8)
/viagra/ REJECT Spam!
/dongli-uniform.com/ REJECT Spam!
/Dongli uniforms/ REJECT Spam!
/CEEOR POLAND SP Z O O/ REJECT Spam!
/x-taze.pl/ REJECT WON!!!
/warszawapraca.com/ REJECT Spam!
/PHU DAREX/ REJECT Spam!
/Officestore/ REJECT Spam!
/PROMOCJA!/ REJECT Spam!
/zarobek w wolnym czasie/ REJECT Spam!

aktualizacje header_checks:

/^Subject: .*Ty mozesz.*/ REJECT spam content detected / Ty mozesz
/^Subject: .*Twoja pomoc udzielana.*/ REJECT spam content detected / Twoja pomoc udzielana
/^Subject: .*Twoj miesieczny dochod.*/ REJECT spam content detected / Twoj miesieczny dochod.
/^Subject: .*wiecej pieniedzy.*/ REJECT spam content detected / wiecej pieniedzy.
/^Subject: .*praca w wolnym czasie.*/ REJECT spam content detected / praca w wolnym czasie
/^Subject: .*wolne godziny na prace.*/ REJECT spam content detected / wolne godziny na prace
/^Subject: .*w wolnym czasie.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*dodatkowy dochod.*/ REJECT spam content detected / wolnymi godzinami w tygodniu
/^Subject: .*duzo pieniedzy.*/ REJECT spam content detected / duzo pieniedzy

/^Subject: .*Tobie zakochała.*/ REJECT spam content detected / Tobie zakochała
/^Subject: .*zaspokoić.*/ REJECT spam content detected / zaspokoić
/^Subject: .*swoj zarobek.*/ REJECT spam content detected / swoj zarobek
/^Subject: .*euro miesiecznie.*/ REJECT spam content detected / euro miesiecznie
/^Subject: .*wolne godziny w tygodniu.*/ REJECT spam content detected / wolne godziny w tygodniu
/^Subject: .*współpracy za wynagrodzeniem.*/ REJECT spam content detected / współpracy za wynagrodzeniem

Zainspirowany wpisem:

http://nfsec.pl/security/5456

Proponuję w apache zablokować tę funkcjonalność, a przynajmniej ograniczyć do zaufanych hostów.

<FilesMatch „xmlrpc.php”>

Order Deny,Allow

Deny from all

</FilesMatch>

Dziś podczas przenoszenia jednej z domen zaskoczył mnie komunikat:

zone transfer deferred due to quota

Musze przyznać że nie spodziewałam się limitów sterf  przy ilości ok. 20 domen.

W każdym razie:

transfers-out x;

transfers-per-ns x;

Skutecznie rozwiązuje problem, zanim znalazłem powód problemu myślałem że mam jakieś spore szambo w swoich DNS.

O przydatności funkcji always_bcc w postfix można pisać wiele. Pomaga tworzyć kopie przesyłek w systemie, pomaga w diagnozie problemów z pocztą itp. itd.

Czasem jednak ta funkcja to za mało, a dokładnie rzecz ujmując zbyt wiele. Jak sobie poradzić z kopią wiadomości od jednego użytkownika/domeny ?

Przedstawiony poniżej przykład będzie przesyłał wiadomości od/do [email protected] na konto [email protected]

recipient_bcc_maps = hash:/etc/postfix/sender_bcc

sender_bcc_maps = hash:/etc/postfix/sender_bcc

mail:/etc/postfix# cat sender_bcc

[email protected] [email protected]

Oczywiście rozwiązanie to nasuwa na myśli problemy etyczne, jednakże są sytuacje w których tego typu działania są konieczne. Np. użytkownik nagminnie informujący o problemach z pocztą.

Pozdrowienia dla admina BetaSoft, tutaj też będzie „polewka”? 😉

Z przyjemnością polecamy naukę w zaprzyjaźnionej placówce na kierunku Technik Informatyk,
przy zapisie otrzymujesz pierwszy semestr CISCO Exploration GRATIS!

Polecamy także LOKALNĄ AKADEMIĘ CISCO.

Linux w zastosowaniach profesjonalnych to bardzo tania i wygodna alternatywa.

ISP, czyli dostawcy Internetu często borykają się z granicami przepustowości routerów. Internet jest pełen opisów, tutoriali traktujących o budowie routera opartego o Linux.

Często są to bardzo dobre informacje, rzetelne i pozwalające zbudować dobrej jakości router. Jednakże zwykle  administrator trafia na problem z wydajnością, przepustowością.

Kupuje od dostawcy 400Mbps puszcza ruch a tam 250 – 300Mbps i koniec, dach na wykresach.

Powody są złożone, sprzęt (frimware np. eth) skonfigurowany optymalnie a nie wydajnie, braki w optymalizacji Firewalla.

Niekończące się linie iptables i tc, zanim pakiet trafi na swoja regułkę przeleci 2tyś innych, w tym czasie system się obciąża a pakiet czeka na wysłanie w świat. Jest wiele różnych bolączek konfiguracyjnych routera.

Doświadczenie i wiedza pozwalają rozwiązać te problemy, na maszynie

cat /proc/cpuinfo | grep "model name"
model name      : Intel(R) Pentium(R) CPU        G6950  @ 2.80GHz
model name      : Intel(R) Pentium(R) CPU        G6950  @ 2.80GHz
cat /proc/meminfo
MemTotal:        2053400 kB
MemFree:          175188 kB
lspci | grep Eth
10:00.0 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
10:00.1 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
20:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)
22:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)

Spokojnie z load 0.0 czasem 0.05 obsługiwanych jest 4tyś. abonentów, adresy prywatne a więc maskowane.

Komunikat ip_conntrack: table full

nie zaistnieje. Wszystko jest kwestią odpowiedniego przeprogramowania sprzętu oraz systemu.

Profesjonalne, niezwykle wydajne i skalowalne routery, które nie kosztują dziesiątek czy setek tysięcy złotych to nie mit.

Nie daj się wciągać w drogie „sprzętowe” rozwiązania.  Zaufaj odpowiedniej wiedzy i doświadczeniu.

Odpowiednio przygotowana maszyna może być równocześnie wydajnym i skalowalnym routerem dla tysięcy abonentów, obsługiwać BGP i OSPF do kilku operatorów oraz pracować jako koncentrator PPPoE. W takiej konfiguracji podmiana adresu mac nie pozwoli kraść Internet.

Zapraszam do kontaktu.

Wykres przepustowości z jednego z routerów Linuks:

Teraz z grubej rury blokada 😉

iptables -N apache_dos

iptables -A INPUT -p tcp –dport 80 –syn -j apache_dos

iptables -A apache_dos -m hashlimit –hashlimit 10/sec –hashlimit-burst 30 \

–hashlimit-mode srcip –hashlimit-name apache_DDOS \

–hashlimit-htable-expire 30000 \

–hashlimit-htable-max 65535 -j ACCEPT

iptables -A apache_dos -j DROP

Metoda chyba najpewniejsza i najprostsza, można zobaczyć efekty wykonując polecenie:

iptables -vL apache_dos

inspiracja – sow 😉