Один из разработчиков OpenBSD Дэвид Гвинн (David Gwynne) сообщил о интеграции новой возможности в pfsync, теперь с помощью pfsync можно обмениваться состоянием файерволов на разных хостах, то есть можно передавать stateful таблицу, информацию о прошедших соединениях.
Что это дает? А в сочетании с CARP это дает упрощение мехаизма отказоустойчивости. То есть сам механизм отказоустойчивости будет быстрей срабатывать, ведь теперь при выходе из строя одного хоста, другой перехватит его соединения, как и было раньше при использовании CARP, но теперь нет необходимости восстанавливать заново все соединения, хост принявший на себя работу первого хоста уже все знает о соединениях.

Жду с нетерпением когда новую версию pf интегрируют в FreeBSD.

BGP, как мы уже говорили в статье Протокол динамической маршрутизации BGP. Настройка bgp в Quagga предназначен для передачи информации о маршрутах от одной автономной системы к другой, и считается нормальным если маршруты приходят в виде списка всех известных в интернете сетей, так называемый full-view, но иногда надо анонсировать именно дефолт гейт.
Read more »

Очень важным достоинством quagga или zebra, когда zebra развивалась на некоммерческой основе, является то, что синтаксис у нее полностью совместим с синтаксисом CLI Cisco и когда наконец то заработала командная строка quagga, называемая vtysh, удобство настройки quagga стало максимальным. В этой статье я коснусь только самых основ настройки bgp сессий, а в следующих статьях, уже разберем вполне работоспособные примеры.
Read more »

SAMS – веб интерфейс управления Squid. Он позволяет управлять доступом к прокси серверу с помощью редиректора. SAMS позволяет использовать как собственный редиректор так и сторонние Rejik и SquidGuard.
Эта система управления Squidом, состоит из 4-х основных компонет:
1. Вебинтерфейс который вносит изменения в базу
2. Демон который выполняет команды на перезапуск/реконфигурирование Squid
3. Редиректор, который управляет доступом к Squid(работой через него), фильтрацией урлов и тд и тп
4. Программа работы с логами сквида(sams), она занимается учетом трафика.

Программа обрабатывающая логи, должна переодически запускаться демоном samsdaemon, но у меня этого почему то не происходило. Поэтому я стал запускать его через крон, раз в минуту.
Read more »

Недавно очень помогла утилита unix2tcp.
Убирали с одного из серверов MySQL, базы перенесли, все хорошо, все красиво заработало, но как выяснилось в части проектов, хостясщихся на этом сервере настройки в MySQL зарыты в исходных текстах и искать их долго, а перенести надо максимально быстро.
Поэтому из портов был установлен unix2tcp:

cd /usr/ports/net/unix2tcp/
make install clean

А использовать эту програмку очень просто, к примеру сервер MySQL находится на адресе 192.168.254.5 порт 3306, локальный unix сокет должен быть /tmp.mysql.sock, соответственно запускать его надо так:

unix2tcp /tmp/mysql.sock 192.168.254.5 3306

Собственно и все. Я не привожу стартовый скрипт для этого решения, просто потому, что никто не рассматривает это решение как долгосрочное. Но у нас оно проработало почти неделю и нареканий не вызвало.
Только помните, что теперь нужно на удаленном сервере все равно в MySQL задать нужные права на базы от IP адреса сервера с которого вы будете соединяться.

В предыдущей статье Transparent (прозрачный) прокси сервер Squid, я описывал его реализацию с применением IPFIREWALL, но если у вас включена в ядре поддержка PF, то настраивать его нужно так.
В первую очередь надо собрать Squid с поддержкой PF:

[X] SQUID_PF             Enable transparent proxying with PF

Read more »

Как известно любому сисадмину, среднего пользователя хлебом не корми, дай какую то диверсию в сети сделать. Одна из таких диверсий – это захват одним пользователем всего канала. В принципе эта проблема решается с помощью шейпера в файерволе, но тогда отпадает возможность фильтрации трафика. В Squid есть встроенная система ограничения трафика, которые называются Delay Pools.
Read more »

Утилита MRTG, очень удобна для наглядного отображения загрузки сетевых интерфейсов. Единственное неудобство, которое путает многих пользователей, это то, что MRTG, по умолчанию отображает все графики в байтах(килобайтах, мегабайтах). Для оценки загрузки интерфейса, это просто не удобно. А что бы загрузка отображалась в битах, необходимо при построении конфигурационного файла MRTG, запускать cfgmaker с такими опциями:

/usr/local/bin/cfgmaker --global "Options[_]: growright,bits" public@127.0.0.1 >mrtg.cfg

И это все что надо помнить. Теперь все будет наглядно.