Messages posted by "lonely_star1403"

Centos 5.4 boot fail

lonely_star1403 — GMT

có khi nào vấn đề năm ở ổ DVD trên desktop của bạn không? Nếu có đk thì thử install từ usb xem sao. Xem link để biết cách cài đặt từ usb nhé. http://wiki.centos.org/HowTos/InstallFromUSBkey

Cpu 100% 1 cách kì quặc

lonely_star1403 — GMT

http://www.nirmaltv.com/2009/07/29/5-ways-to-monitor-and-improve-windows-7-performance/ bạn tìm hiểu cái performace monitor của windows 7

xem cái average usage của từng process và xem thử process nào dùng nhiều cpu time, loại trừ dần để tim ra nguyên nhân :)

Linux kernel trước 2.6.36-rc1 CAN BCM Exploit

lonely_star1403 — GMT

Ben Hawkes discovered an integer overflow in the Controller Area Network (CAN) subsystem when setting up frame content and filtering certain messages. An attacker could send specially crafted CAN traffic to crash the system or gain root privileges.

CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2959 Demo: http://www.youtube.com/watch?v=tnAcleLv-bQ ==> Có lẽ là Remove CAN module hoặc tự nâng cấp kernel.

Về SMS Gateway

lonely_star1403 — GMT

theo mình biết thì để gởi và nhận SMS thì có 2 cách chủ yếu: 1/ sử dụng điện thoại hoặc gsm modem có gắn sim card để gởi và nhận tin nhắn, cách này đơn giản, chỉ cần sử dụng một phần mêm trên máy tính có khả năng giao tiếp được với điện thoại/gsm modem là được. Cách này có nhược điểm là tốc độ đẩy message đi không nhanh 7~12 sms/min, không lấy được đầu số dịch vụ, không thu được $ trực tiếp. Gởi nhiều message spam quá có thể bị nhà cung cấp dịch vụ BAN :( . 2/ ký hợp hợp đồng với nhà cung cấp dịch vụ viễn thông hoặc các đại lý của nó, lúc đó nó sẽ cung cấp chương trình để kết nối đến SMS center của nó, cách này thì càng nhanh và dễ nhưng chi phí ban đầu cao, chi phí hàng tháng cũng cao nếu chỉ sử dụng ít. Nhưng bù lại có đầu số đẹp :D, bên viễn thông sẽ thu tiền dịch vụ dùm mình nếu có và mình phải ăn chia lại cho bên đó. cách thứ nhất cách mình đang sử dụng cho công ty của mình ( chủ yếu là để nhắc việc cho mọi người ) server linux, sms daemon là gammu, MySQL + PHP để control. http://www.gammu.org/wiki/index.php?title=Gammu:SMSD

iptables connlimit và ip_vs

lonely_star1403 — GMT

sup3rmm wrote:

ip_vs hoạt động như 1 NAT gateway vì vậy các packet vào ra hoàn toàn không đi qua chain INPUT của netfilter mod connlimit không thể hoạt động hiệu quả với topology hiện nay. Bạn thử nghiệm connlimit ở các chain trước INPUT xem sao, đọc kĩ mối liên hệ giữ ip_vs và netfilter, có gì post kết quả lên để mọi người tham khảo nha. Ngoài ra nếu traffic và các site của bạn không cao. Bạn có thể sử dụng giải pháp haproxy http://haproxy.1wt.eu/. Soft này có ứu điểm về performance( dĩ nhiên không bằng được LVS ), giúp tương tác với packet ở mức application dễ dàng cản lọc, phân luồng traffic web theo ý muốn và bạn hoàn toàn có thể áp dụng connlimit ở topology này

thanks bác :D nhờ có cái key "LVS" mà lôi ra được cái link này -:-) ( nhưng mà hơi bị outdate thì phải :( ) đang ngâm xem có "ngộ" ra đc cái gì không..... http://www.austintek.com/LVS/LVS-HOWTO/HOWTO/LVS-HOWTO.filter_rules.html

iptables connlimit và ip_vs

lonely_star1403 — GMT

1. bạn dùng chương trình gì để benmark vậy? và bạn thiết lập các connection để benmark ra sao? vì cái rule của bạn chỉ đếm số tcp connections đi đến port 80 của server, nếu số request mà dưới 24 thì cho vào, lỡ như cái app bạn dùng đó nó tạo request đến cổng khác thì sao? mà cái rule ấy sao không set --connlimit-above 24 -j DROP mà thêm ! để accept mình thấy nó hơi...lủng củng .

mình dùng một chương trình để tự DDOS của Socketsoft nó mở ra 1000 socket (connection) và request server liên tục, mình cũng đã thử limit xuống 1 nhưng cũng không có xi nhê zì ==> die webserver (với trường hợp đặt connlimit trên ip_vs) mình ko rõ lắm về connection limit của bác comale là connection limit bằng cách cấu hình apache hay là sử dụng iptables nhưng như đoạn bài viết dưới đây trích từ ký sự các vụ DDOS của HVA thì mình tự hỏi trình duyệt sẽ tự retry với phản ứng nào của iptable và trường hợp nào giải phóng socket (qua ipvs server và cho webserver đằng sau ipvs) nhanh hơn. Nếu như theo lập luận của bạn thì có lẽ DROP là trường hợp người dùng ít bị ảnh hưởng nhất???

Nếu như kế tiếp có người thứ 7, 8 và 9 cùng truy cập thì sao? Chắc chắn là thiếu 2 connection. Tuy nhiên, anh chàng nào hơi chậm chân một tí thì trình duyệt sẽ "retry" ngay sau đó và khi "retry" packet này đụng đến server thì cơ hội có connection để vào rất cao vì khi ấy người thứ 3, 4, 5, 6 đã trả lại một loạt connection rồi. Đối với người dùng bình thường, đây là một "delay" rất nhỏ và có thể tiếp nhận được. Trên thực tế, chuyện này hiếm xảy ra. Theo thông tin đã thâu thập được từ log của web server thì cứ 30 giây mới có một xuất truy cập mới. Quy định 8 connections một lúc cho mỗi IP thật sự còn quá thư giãn so với hoàn cảnh thực tế. Tuy nhiên, cứ tạm dùng con số này làm điểm khởi đầu rồi chỉnh sửa sau vậy.

iptables connlimit và ip_vs

lonely_star1403 — GMT

mình đang setup một hệ thống web cân bằng tải dựa trên ip_vs nhưng hiện tại đang gặp vấn đề khi sử dụng conlimit với iptables trên ip_vs server. Code:

-A INPUT  -i lo -j ACCEPT
iptables -A INPUT  -i eth1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
# vì là trang ajax và multimedia nhiều nên limit là 24 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -m connlimit ! --connlimit-above 24 -j ACCEPT
iptables -A INPUT -j REJECT  --reject-with icmp-net-prohibited

và cấu hình ip_vs như sau Code:

Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  192.168.1.112:80 wlc
  -> 192.168.2.21:80              Masq    1      1          2
  -> 192.168.2.22:80              Masq    0      0          0

1/ Khi dùng một số chương trình để benmark để tạo nhiều connection đến server thì không thấy iptables limit gì cả. Có phải vì kết nối ko thiết lập đến chính 192.168.1.112 mà được chuyển qua máy khác nên connlimit không "đếm" được hay không? liệu có cách nào để limit trên ip_vs server hay không?. Hiện tại mình chạy iptables trên các máy nhận request thì thấy limit tốt. 2/ Sau khi limit trên các máy nhận request ( 2.21 và 2.22) mình thử dùng trình duyệt để kết nối thì thấy bình thường nhưng khi nhiều người ( nằm sau một proxy) duyệt thì cảm thấy rất chậm và hay bị lỗi. Khi đọc ký sự về HVA mình cũng đã thử cố phân tích và tính toán thì cảm thấy con số 24 connection là quá hợp lý nhưng tại sao kết quả lại không như ý muốn. nhưng trong các bài viết của bác conmale lý luận rằng nếu trình duyệt bị từ chối thì nó sẽ retry lại ngay. vậy thì với phản ứng nào của iptables thì trình duyệt sẽ retry ( REJECT VS DROP ), liệu dùng drop ( ở local webserver) thìconnection có bị hold ở ip_vs quá lâu không. ngoài ra mình mở netstat của các máy webserver ra thì thấy rất nhiều connection ở trạng thái TIME_WAIT và FIN_WAIT, có cách nào để giảm bớt thời gian WAIT này ko? Code:

REJECT 
--reject-with type
       The type given can be
        icmp-net-unreachable
        icmp-host-unreachable
        icmp-port-unreachable
        icmp-proto-unreachable
        icmp-net-prohibited
        icmp-host-prohibited or
        icmp-admin-prohibited (*)
       which  return  the appropriate ICMP error message (port-unreach-
       able is the default).  The option tcp-reset can be used on rules
       which  only match the TCP protocol: this causes a TCP RST packet
       to be sent back.  This  is  mainly  useful  for  blocking  ident
       (113/tcp)  probes  which  frequently  occur when sending mail to
       broken mail hosts (which won't accept your mail otherwise).
hay là DROP

Mong mọi người góp ý

Re: không chạy các dịch vụ trên một mạng với 2 gateway!!

lonely_star1403 — GMT

ShinichiKuto wrote:

Nếu bạn dùng Linux thì việc NAT cho 2 line về VPN server cũng đơn giản mà, trong khi đó bạn dùng cách này sử dụng đồng thời chỉ có 1 line (hơi phí)

vì mình ko rành lắm về cơ chế NAT nói chung và NAT trên linux nói riêng nên mới phải mày mò thế này. Và linux mình đang dùng là linux nhúng trên AP (dd-wrt ) , chỉ có một số lệnh về mạng cơ bản như iptables, route, ifconfig,.... chứ ko thì đã thử m0n0wall rồi :(

Re:[Hỏi] Không truy cập được Internet khi vẫn kết nối được đến Router

lonely_star1403 — GMT

Resicons wrote:

Mình cũng nghĩ như cậu, khả năng do router có vấn đề. Router này miễn phí bên FPT cấp, 4 cổng. Cũng chưa thử chuyển sang một router khác. Còn việc có người vào chỉnh thông số router thì không phải bạn à, trước khi reset mình nhìn lại tất cả các thông số đều bình thường. Mấy tháng đầu sử dụng không gặp tình trạng này.

các máy khác config mạng cũng để DHCP của modem cấp àh???

Re: [Hỏi] Không truy cập được Internet khi vẫn kết nối được đến Router

lonely_star1403 — GMT

+ Tại thời điểm gặp lỗi, mình vào trang settings của router và reset lại routervề mặc định và thiết lập lại thông số bên FPT cung cấp thì lại vào được web bình thường.

liệu modem của bạn có bị lỗi, hoặc ko phải bạn mà là ai đó nhảy vào router nghịch bậy bạ :D

Re: không chạy các dịch vụ trên một mạng với 2 gateway!!

lonely_star1403 — GMT

hì :D dùng thêm thiết bị cân bằng tải thì hơi quá so với nhu cầu cá nhân của mình. Mình đã giải quyết vấn đề này bằng cách dùng AP của mình và viết thêm một đoạn script cứ 10s thì Ping WAN gateway một lần, nếu count số được reply = 0 thì xóa route default và DNS address đi, sau đó add route default và DNS của modem B vào. 10s sau nếu đang dùng modem B thì add route cứng đến 203.162.4.1 (DNS của VNPT) thông qua modem A và ping thử, nếu ping 203.162.4.1 OK thì xóa route cứng đi switch lại qua modem A. trên AP mình cũng add thêm port forward đến VPN server cách giải quyết này cho phép kết nối về VPN server thông qua line A hoặc line B (ko cả hai cùng lúc). Gateway ở đây chỉ đóng nhiệm vụ là bộ chuyển đổi (switch) giữa A và B thôi. hiện tại đang thử nghiệm cái này. http://www.dd-wrt.com/wiki/index.php/Dual-WAN_for_simple_round-robin_load_equalization nhưng chưa hiểu nó lắm. có ai chỉ giáo giúp mình được không ah.

Re: VPN với IP động

lonely_star1403 — GMT

theo mình nghĩ không nên dùng tính năng share file của windows nếu như kết nối qua VPN vì quá chậm và dễ bị disconnect, trong mạng LAN nếu bạn truy xuất file một ai đó mà nếu kết nối mạng ko ổn định thì đã thấy windows treo lên treo xuống rồi huống gì qua VPN và đường truyền ADSL ( mình đoán thế vì bạn nhắc đến IP động). Nếu để share file thì bạn có thể tạo FTP server và webserver, mỗi người dùng một thư mục con trong webserver, ai muốn upload gì thì dùng FTP để upload còn muốn vào thư mục của người khác thì nhập địa chỉ webserver ( dùng DynDNS) + thư mục của user. Nếu muốn share nhanh và dễ thì dùng Skype ( send file cực nhanh).

Re: không chạy các dịch vụ trên một mạng với 2 gateway!!

lonely_star1403 — GMT

gateway mình định dùng là một cái AP chạy dd-wrt linux nhân 2.4.36 có có thêm switch 5 cổng hổ trợ VLAN mình định vlan1 sẽ nối vào modem A vlan2 nối vào modem B còn vlan0 và eth1 (wifi) sẽ tạo thành br0 cho các máy con trong đó có VPN server. Mình không rành linux lắm nên việc config iptables, route với firewall để nó chạy NAT không thành công. mong được cậu giúp :)

Re: [Hỏi] - Có thể đổi được IP động do ISP cung cấp bằng cách này?

lonely_star1403 — GMT

cơ chế chung của rapid và megaupload là chặn dựa trên IP, hiện tại phần lớn dân VN đều dùng ADSL và máy tính nối mạng đều nằm sau NAT của modem. vì thế câu lệnh trên của bạn chỉ thay đổi IP của máy bạn trong mạng LAN chứ ko thay đổi public IP của bạn. Ngoài trừ khi bạn disable tính năng NAT của modem , kết nối trực tiếp modem vào máy tính và dùng tính năng dial (PPPOE của windows) thì cái này mới có hiệu quả. nhưng làm thế thì quá rườm rà và rắc rối. cách đổi public IP modem của bạn thì chỉ cần tắt rồi bật modem lại là Ok. PS: theo mình đoán thì megaupload và rapidshare ko dại mà chỉ dùng mỗi IP, nó còn check cookies và session của bạn để xem bạn có download trong thời gian cho phép ko nữa đấy. nhớ clear 2 cái đó nhé.

Re: không chạy các dịch vụ trên một mạng với 2 gateway!!

lonely_star1403 — GMT

ShinichiKuto wrote:

Theo mình bạn phải đổi mô hình mạng lại một chút sẽ connect từ ngoài vào được trên 2 line đó: Internet ----- Modem A --| ..............................GateWay ----- Switch ----- VPN Server Internet ----- Modem B --| Hoặc: Internet ----- Modem A --| ...............................VPN Server ----- Switch ----- LAN Internet ----- Modem B --| Với mô hình này thì VPN kiêm luôn gateway cho LAN

Internet ----- Modem A --| ..............................GateWay ----- Switch ----- VPN Server Internet ----- Modem B --|

có lẽ mình thích mô hình này hơn vì VPN server vẫn nằm sau NAT ( vì ko tự tin lắm trong việc setting security mà) nhưng nếu như thế thì mình config cái gateway như thế nào nhỉ, có 2 cổng LAN và nối vào modem ở chế độ bridge và chạy NAT trên gateway của mình??? vậy thì trên gateway của mình sẽ có 2 WAN IP và 2 gateway mình tự hỏi gateway của mình sẽ này sẽ dùng WAN gateway nào để trả lời client?? Hay là mình phải viết một script để luân phiên thay đổi gateway nếu ping gateway hiện tại bị timeout??

không chạy các dịch vụ trên một mạng với 2 gateway!!

lonely_star1403 — GMT

minh đang chạy server VPN và trong mạng của mình có 2 modem ADSL một để dự phòng khi một mạng bị rớt. Modem A chạy dịch vụ DHCP và cho nó địa chỉ 192.168.1.1 mask 255.255.255.0 Modem B disable dịch vụ DHCP và cho nó địa chỉ 192.168.1.2 mask 255.255.255.0 VPN server mình confg địa chỉ 192.168.1.3 mask 255.255.255.0 và gateway 192.168.1.1 cả 2 modem đều port Forward đến cổng 1194 đến 192.168.1.3 cả 3 thiết bị đều cắm chung một switch. nhưng mình connect đến địa chỉ public của modem A thì ok nhưng khi connect đến địa chỉ public của Modem B thì không được thử chuyển gateway của server qua 192.168.1.2 thì ngược lại. connect đến modem B ok nhưng A lại không được. vậy trong trường hợp này thì nên config cấu hình mạng thế nào để dịch vụ VPN có thể kết nối được trên cả 2 địa chỉ public của modem nhỉ?? mình đã thử thay VPN bằng các loại dịch vụ khác nhau như HTTP, SSH nhưng ko thành công. Có lẽ vấn đề nằm ở chổ gateway nhưng mình ko nghĩ được cách giải quyết. Mong mọi người giúp đỡ -:|-