| |
|
|
-Hiện tại công ty có nhu cầu load balancing và quản lý băng thông trên nền centos cho 2 đường line thuộc 2 ISP khác nhau. Em muốn các anh nào đã có kinh nghiệm, xin hãy chia sẽ cho em.
-Chú ý: Không sử dụng giải pháp phần cứng, chỉ sử dụng giải pháp phần mềm.
Em cảm ơn!
|
 |
|
|
-Chú ơi, cháu có giúp qua bạn này, có lẻ kinh nghiệm chưa có nên cháu còn nhiều bỡ ngỡ.
-->đây là đoạn capture packet mà chủ server đã captuer http://www.mediafire.com/?r60w8279bo52ltd
-Cháu thống kê thế này theo wireshark, chú xem có chính xác không, có gì sửa giúp cháu
-Trung bình có khoảng 617 cú SYN/s đi vào từ rất nhiều nguồn IP
-Các gói request này phần lớn được thông qua proxy.
-Hầu như các gói tin ở tầng 3 và 4 này rất hợp lệ, cháu không thể tìm được sự khác biệt nào.
-Giải pháp tạm thời mà cháu dùng là block ip theo đoạn rules sau.
Code:
IF=`/sbin/route | grep -i 'default' | awk '{print$8}'`
IP=`/sbin/ifconfig $IF | grep "inet addr" | awk -F":" '{print$2}' | awk '{print $1}'`
iptables -F
iptables -N syn
iptables -A syn -j ACCEPT
iptables -N SYN_CHECK
iptables -A SYN_CHECK -m recent --set --name SYN
iptables -A INPUT -p tcp --syn -d $IP -m state --state NEW -j SYN_CHECK
iptables -A SYN_CHECK -m recent --update --seconds 60 --hitcount 10 --name SYN -j LOG --log-prefix "FLOOD: "
iptables -A SYN_CHECK -m recent --update --seconds 60 --hitcount 10 --name SYN -j DROP
iptables -A SYN_CHECK -m recent --update --seconds 60 --hitcount 3 --name SYN -j syn
iptables -A INPUT -p tcp ! --syn -d $IP -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $IP -m state --state ESTABLISHED -j ACCEPT
iptables -t mangle -N blockip
iptables -t mangle -A blockip -j DROP
iptables -t mangle -A PREROUTING -p tcp -d $IP -m recent --hitcount 10 --name SYN --update --seconds 120 -j blockip
-->điều đặc biệt là load server này vẫn bình thường, không cao lém, CPU hoạt động cũng ở mức bình thường(thông qua báo cáo của chủ server).
|
|
|
|
--->lâu quá rồi, vì không có điều kiện để thực hiện tiếp đề tài này, nên mình cũng ko nhớ chính xác không, với dòng log thông báo lỗi như trên, có nghĩa là đã tồn tại một socket trước đó, nếu vậy bồ disable socket đó đi, bằng cách nào kill tiến trình đi nhé.
--->Theo như kết quả từ lệnh lsof -i :389 của bồ, bồ dùng lệnh sau để kill
Code:
|
|
|
|
Stanley_00 wrote:
Nếu thích dùng command line, bạn có thể làm quen qua chương trình Terminal thường có sẵn khi cài hệ điều hành.
Bạn cũng có thể nhấn Ctrl - Alt - F1 đến Ctrl - Alt - F9 để chuyển đổi giữa các giao diện.
Thân!
--->nên tìm hiểu các Run levels, vì không phải distro nào cũng sẽ có phím tắt như trên!
|
|
|
|
betterman wrote:
quanta wrote:
- Bạn tìm đọc lại một số topics để phân biệt quản trị mạng và quản trị hệ thống. Tất nhiên không phải lúc nào và ở đâu nó cũng rạch ròi nhưng ít ra cũng cần phân biệt được.
- /hvaonline/posts/list/1784.html
Hiện giờ mình nghĩ cái mình đang cần học là quản lý máy server hay gọi là IT.Nói chung là chuyên viên services hơn ví dụ như là công ty cần trao đổi mail nội bộ thì mình làm mail sever,quản lý dns server,...nói nôm na là xây dựng ra hệ thống mạng quản lý,bảo trì nó cho ổn định.Học từ trước tới giờ chỉ mường tượng ra công việc mình làm như vậy thôi.Nhưng mình lại muốn mở rộng kiến thức ra khi quản trị hệ hống trên bất cứ nền tảng windows hay Linux nào cũng dc,thêm những kĩ năng mà những người quản trị bình thường không có.Như nhưng người hoàn tất xong MCSA và giỏi thì đó là chuyện quá bình thường.Để vô được những công ty lớn hơn cũng như cái quan trọng nhất mình đi làm là lương bỗng.Chưa biết bổ sung thêm những kĩ năng nào chuyên biệt hơn nữa nên xin tư vấn.Còn vấn đề CEH thì ko nghĩ tới,nhưng cũng ko biết cái hướng mình đang đi nó cần quản trị database khi đi làm ko nữa !Thanks
---->Cái bạn nói là quản trị hệ thống đó. Quản trị hệ thống bao gồm các công việc gì, bạn có thể tham khảo trong diễn đàn để biết chi tiết ở đây tôi chỉ nói sơ vài công việc của một sysadmin mà bạn đang nói đến.
-Triển khai các dịch vụ cần thiết trên hệ thống của mình.
-Sau khi triển khai, tiến hành đảm bảo các dịch vụ chạy một cách ổn định(dự phòng, đồng bộ dữ liệu, lập lịch, backup...)
-Bảo mật hệ thống mà mình quản trị.
-Tối ưu hệ thống.
--->Việc lập trình cũng quan trọng, trước hết bạn cứ nghiên cứu về lập tình shell trên Linux đi đã, vì sau này nó sẽ giúp bạn tự động một số tác vụ!
|
|
|
|
xtpro004 wrote:
anh có thể cho một vài phần mềm ví dụ được không ạ ?
--->thử từ khoá này xem WIPFW
|
|
|
|
nguyendinhtuanit wrote:
Hệ thống máy tính tại cty có mô hình và sử dụng các dịch vụ như sau:
LAN -------- Proxy\Firewall ----------- Internet.
LAN:
Workstation:
• Có khoảng 20 users sử dụng 20 computer.
• Sử dụng các phần mềm văn phòng như office, Photoshop, yahoo messenger, skype … browser.
• Sử dụng Email (Google Apps).
• Dùng Symantec để phòng Virus.
Server: 1 Windows Server 2008, sử dụng các dịch vụ:
• DNS
• DHCP
• VPN
• WSUS
• File Server.
Proxy\Firewall: 1 Cent OS
Proxy:
• Tất cả các máy tính trong LAN phải qua proxy trước khi ra internet.
• Chỉ cho đi internet trong giờ làm việc.
• Cho server được phép đi thẳng.
• Ngăn chặn không cho download các file thực thi (.exe, .bat, …)
Firewall:
• LAN -------- Internet:
Mở các port sử dụng email (IMAPs, POP3s, SMTP)
Server được phép đi thẳng.
Cấm tất cả traffic còn lại
• Internet --------- LAN:
Nat port VPN vào LAN.
Vấn đề đặt ra là.
Cần làm gì thêm. Để hạn chế tối đa, các máy tính trong cty không phải là 1 "zombie" cho bất kỳ cuộc tấn công DDOS nào ngoài internet.!!!
--->Thăm dò xem thử các ứng dụng mà nhân viên trong công ty sử dụng là những ứng dụng nào ví dụ(web, yahoo,..).
---->Tiến hành viết rules cho firewall cho phép các ứng dụng đó đi qua, các ứng dụng khác thì DROP.
---->Làm như thế có thể hạn chế việc trở thành Zombie và nếu có trở thành zombie, nó cũng không thể hoạt động được.
|
|
|
|
leanhthuong wrote:
Em dùng tool thu được packet để gửi đến sever nhưng em không biết packet đấy có nội dung như thế nào.Liệu có cách nào có thể biết được chi tiết về packet đó không?Mong các huynh chỉ giáo
-->dòng màu đỏ ý bạn là sao
--->dòng màu vàng, thử google search một số từ khoá sau xem sao: wireshark, tcpdump,..
|
|
|
|
Bồ có dùng LVM không, nếu dùng thì bồ làm theo các bước sau:
-Lấy VMWARE tạo thêm một ổ đĩa mới .
-Sau đó add physical volumes bồ mới tạo vào volume group.
vgextend my_volume_group /dev/hdc1
-Tiếp đến mở rộng logical volume đang hết dung lượng .
lvextend −L+1G /dev/myvg/homevol
|
|
|
|
conmale wrote:
vitcon01 wrote:
Tôi có xem qua file dump, cảm nhận đầu tiên của tôi không biết có chính xác không. Thường các gói SYN có length là 40:60 nhưng ở trong file dump này tôi thấy các gói SYN điều trên 60. Bồ có thể sử dụng rule sau để tạm thời giải quyết.
$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m length --length 40:60 -j ACCEPT
$IPT: chỉ cho vị trí chứa iptables binary
$IF: network interface nào được gán với default gateway
$NET: lớp mạng nguồn thường là any/0
$IP: địa chỉ IP VPS của bạn
$HI_PORTS: 1024:65535
$port: 80
Tôi sẽ phân tích tiếp. Cảm ơn vì file dump
Đây là screen shot của gói SYN cháu gởi chú:
Không có gì chứng minh gói SYN ấy > 60 hết.
hì, cháu đem cháu cộng cho 14 byte của ethernet nữa, vâng cháu hiểu rồi, cảm ơn chú. Chú ơi đoạn capture này không phải của bài viết này đâu chú!
|
|
|
|
Kju wrote:
Mình cũng không hiểu rõ về iptables nên máy móc làm theo bác Conmale hướng dẫn ở post này /hvaonline/posts/list/20/37358.html#230204) thì lượng SYN đi vào đã giảm được gần 1/2 (có gia giảm hit/sec một chút), giờ lượng SYN vào ít hơn nhưng VPS vẫn chưa truy cập được 
@xnohat: Mình mới PM rồi đó, bạn check giúp mình với nhé.
@vitcon01: Thank bạn, để mình thử xem thế nào rồi sẽ báo kết quả lên đây.
--->việc dùng VPS vừa chạy iptables vừa chạy dịch vụ là rất tốn kém tài nguyên. Do đó cần tối ưu hoá hệ thống và xếp sắp các rules trong iptables cho phù hợp nếu không SYN Flood chưa đến đâu mà VPS của bồ đã ngũm trước rồi!
Đôi lời góp ý!
|
|
|
|
Tôi có xem qua file dump, cảm nhận đầu tiên của tôi không biết có chính xác không. Thường các gói SYN có length là 40:60 nhưng ở trong file dump này tôi thấy các gói SYN điều trên 60. Bồ có thể sử dụng rule sau để tạm thời giải quyết.
$IPT -A INPUT -i $IF -p tcp --syn -s $NET --sport $HI_PORTS -d $IP --dport $port -m state --state NEW -m length --length 40:60 -j ACCEPT
$IPT: chỉ cho vị trí chứa iptables binary
$IF: network interface nào được gán với default gateway
$NET: lớp mạng nguồn thường là any/0
$IP: địa chỉ IP VPS của bạn
$HI_PORTS: 1024:65535
$port: 80
Tôi sẽ phân tích tiếp. Cảm ơn vì file dump
|
|
|
|
|
Ai còn cuốn này có thể share cho em được không, cảm ơn!
|
|
|
|
|
http://labs.adobe.com/downloads/flashplayer10.html
|
|
|
|
Em muốn hỏi ngoài việc sử dụng drbd để đồng bộ dữ liệu 2 chiều, có cách nào khác để đồng bộ dữ liệu 2 chiều hay không.
Yêu cầu: khi có sự thay đổi ở server 1 lập tức đồng bộ trên server 2 và ngược lại.
Em cảm ơn!
|
|
|
|
Chuột Rain wrote:
Website của mình dạo này bị ddos nhiều quá, nhưng mình lại mù tịt về vấn đề này. Có bạn nào giúp mình chống ddos được ko? Cho mình nick yahoo được không?
Mình xài host của Digipower, họ cứ hâm he mình hoài...
www.trangsachhong.com
-->tình trạng thì đưa ra, mà sao ko thấy log và thông tin gì hết.
|
|
|
|
DominaTD wrote:
với lại nếu mình thuê hacker lỡ thèng đó nó phản bội thì sao. với lại mình đâu có thích làm kinh doanh.
-->mình có thắc mắc một vấn đề, bạn với người trong hình avatar bạn có quan hệ gì vậy ạ.
Cảm ơn!
|
|
|
|
Michael_Scotfield wrote:
Bạn config heartbeat + DRBD thế nào vậy, có thể chia sẻ cho tớ với dc ko ?
bạn có thể tham khảo và làm tại đây:
http://www.drbd.org/docs/applications/
làm đến đâu, hỏi đến đó, nếu biết mình sẽ giúp.
|
|
|
|
conmale wrote:
Rules sai hết rồi. Bồ viết mấy cái rules như vậy và nếu nó hoạt động tốt thì chẳng còn ai vô forum của bồ được nữa.
Hãy đọc từ post này: /hvaonline/posts/list/0/34355.html#211049
và đọc tiếp những post sau đó để hiểu và thực hiện.
chú, mình có thể sử dụng iptables để giới hạn và block các ip mà gửi các syn liên tục, sau đó sử dụng mod security để giải quyết mấy ông đi vào mà không hợp lệ.
Đây là một trường hợp ví dụ, cụ thể thế nào phải phân tích mấy gói đi vào mới hình thanhg một rule cụ thể cho trường hợp này.
/hvaonline/posts/list/37358.html
Có gì sai mong mọi người góp ý.
|
|
|
|
|
Em đã cấu hình nâng cao tính sẵn sàng trên 2 con vps của mình thông qua heartbeat + DRBD, nhu cầu đặt ra không những nâng cao tính sẵn sàng mà em còn muốn nâng cao hiệu năng bằng load balancing, em chọn haproxy . Nên anh chị nào đã từng làm cho em xin tài liệu hoặc vài lời khuyên, em cảm ơn!
|
|
|
|
crazym wrote:
Bài lâu quá rồi nhưng anh Conmale và các bạn cho em hỏi:
+ Em muốn từ EXTNET ssh vào webserver(INTNET) đặt sau firewall Iptables thì rules phải như thế nào ạ? Rules này em áp dụng nhưng không được.
$IPT -A INPUT -i $EXTIF -p tcp -s $EXTNET -d $INTIP --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
=>Mọi gói tin đi vào $EXTIF từ mạng $EXTNET đến đích là $INTIP(ip của webserver trong nội mạng) với port là 22 thì được phép
$IPT -A OUTPUT -o $EXTIF -p tcp -s $INTIP --sport 22 -d $INTNET -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -s 0/0 -i $INTIF -p tcp -o $EXTIF -d 192.168.0.xxx --sport 22 -j ACCEPT
Rất mong được anh giúp đỡ.
Em cám ơn ạ.
bồ post hết tất cả các nhóm luật hiện đang sử dụng lên xem sao.
--> -s 0/0 hay là -s any/0 nhỉ
|
|
|
|
|
hình vẫn xem được bình thường mà, biết là sẽ phân vùng cho /home nhiều hơn vì nơi đây thường chứa dữ liệu người dùng, nhưng câu hỏi trên mình muốn hỏi ý kiến rất nhiều thứ, có nên dùng raid mềm trong trường hợp này không, nếu dùng nên dùng raid gì cho phù hợp, việc dùng raid kết hợp với lvm có ích lợi gì và không lợi gì?
|
|
|
|
Tình hình là em chưa có kinh nghiệm trong việc này, nhưng đọc tài liệu người ta bảo phân vùng như sau, không biết có đúng không, anh nào đã từng triển khai hệ thống cung cấp hosting thì cho em xin ý kiến và nhận xet, ưu điểm và nhượt điểm của việc phân vùng sau.
Giả sử server chạy distro centos, có 3 ổ cứng .
.
Em cảm ơn!
|
|
|
|
vanluonghb wrote:
Do ko có điều kiện nên mình mua 1 con vps về vọc cài webserver để chạy cái web nhỏ wp(tinh thần học hỏi là chính chứ ko đã xài host rùi )
cấu hình em nó chỉ có ram 256 và ổ 10GB thui mò 2 ngày nay cài đặt đc thì web chạy 1 lúc là đơ dù số người online chỉ tầm 50 người /1 thời điểm.Ai có cách nào cài đặt webserver con vps này sao cho nó nhẹ nhất có thể thì chỉ mình với thấy cài mấy cái mà nó ngốn nhiều ram wa.apache chạy chắc hơi mệt
nginx thì nghe bảo cài khó cài
lighhttpd nghe bảo dễ hơn
ngoài ra còn có litespeed free nữa
ai đang xài gì chạy nhanh mà ngốn ít ram hơn thì cho mình ý kiến với
chúng ta cùng thảo luận cách cài đặt luôn
à quên mất vps linux nhé mọi người
-->nếu muốn tối ưu web server của mình thig bồ phải biên dịch lại gói web server của mình, vì khi sư dụng các gói nhị phân của các distro nó bao gồm hầu như tất cả các module(có những cái cần và cả những cái ko cần). Do đó muốn tối ưu phải bắt đầu bằng --->compiler
|
|
|
|
Code:
Mar 30 14:15:01 svrsptdng dovecot: pop3-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Mar 30 14:15:01 svrsptdng dovecot: imap-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Mar 30 14:15:02 svrsptdng postfix/smtpd[5143]: connect from localhost.localdomain[127.0.0.1]
Mar 30 14:15:02 svrsptdng postfix/smtpd[5143]: lost connection after CONNECT from localhost.localdomain[127.0.0.1]
Mar 30 14:15:02 svrsptdng postfix/smtpd[5143]: disconnect from localhost.localdomain[127.0.0.1]
Mar 30 14:20:01 svrsptdng dovecot: imap-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Mar 30 14:20:01 svrsptdng dovecot: pop3-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Mar 30 14:20:01 svrsptdng postfix/smtpd[5354]: connect from localhost.localdomain[127.0.0.1]
Mar 30 14:20:01 svrsptdng postfix/smtpd[5354]: lost connection after CONNECT from localhost.localdomain[127.0.0.1]
Mar 30 14:20:01 svrsptdng postfix/smtpd[5354]: disconnect from localhost.localdomain[127.0.0.1]
Tình hình là em triển khai một con ispconfig trên nền Centos 5.5, nhưng sau khi triển khai em tiến hành tạo mail cho người dùng và tiến hành đăng nhập như trên thì nó báo như trên
|
|
|
|
|
Cảm ơn anh!
|
|
|
|
quanta wrote:
Em lên các diễn đàn và thử giải quyết yêu cầu của người khác xem.
anh biết các trang nào thường có yêu cầu về shell ko anh, chứ suốt ngày em chỉ có truy cập vô hva là chủ yếu, iys khi em sang các diễn đàn open source khác.
|
|
|
|
|
Em đang học shell, học thì học, nhưng quan trọng vẫn ở chổ phải có yêu cầu, nay em lập topic này mong các anh(chị) đang làm system admin về Linux có thể ra bài tập về lập trình shell với các yêu cầu phù hợp với thực tế. Em cảm ơn!
|
|
|
|
886 wrote:
xnohat wrote:
làm báo cáo thì mô hình nên tối giản đến mức có thể tránh làm loãng vấn đề trung tâm cần trình bày
Bồ cần tối thiểu 3 máy trong một mô hình lab để thử nghiệm iptables
Máy A <-> Máy B ( iptables ) <-> Máy C
Máy B đóng vai trò firewall sẽ kiểm soát luồng dữ liệu vào ra giữa A và C, tùy nhu cầu của báo cáo mà bổ sung máy vào đầu A hay C
VMWare có vấn đề xảy ra đối với việc simulate luồng dữ liệu TCP/IP giữa máy thật và ảo, vấn đề này có lần được anh conmale thảo luận cùng một bạn, tôi khuyên dùng VirtualBox cho mục tiêu thực hiện LAB
Cảm ơn bạn, máy B mình sẽ cài thêm các dịch vụ như Web, FTP... để dùng iptables lọc chặn khi có các máy A hay C truy cập vào được không, bạn có thể giúp mình cách cài cái dịch vụ đó trên ubuntu server 10.04 k
-Không nên sử dụng một máy vừa đóng vai trò iptable vừa cung cấp các dịch vụ, bây giờ trong mô hình này chỉ có 3 máy vấn đề hiệu năng cho iptable cũng như các dịch vụ không quan trọng lém, nhưng đối với mô hình với hàng trăm máy thì cần xem lại.
-->nên triển khai các dịch vụ một trong 2 máy A hoặc C
FTP server(search google: how to config vsftp ubuntu 10.04) : https://help.ubuntu.com/10.04/serverguide/C/ftp-server.html
Web server: https://help.ubuntu.com/10.04/serverguide/C/httpd.html
|
|
|
|
quanta wrote:
Code:
# sh -x /usr/local/apache/bin/apachectl restart
Kết quả đây anh
Code:
[root@VPS ~]# sh -x /usr/local/apache/bin/apachectl restart
+ ARGV=restart
+ HTTPD=/usr/local/apache/bin/httpd
+ test -f /usr/local/apache/bin/envvars
+ . /usr/local/apache/bin/envvars
++ LD_LIBRARY_PATH=/usr/local/apache/lib:
++ export LD_LIBRARY_PATH
+ LYNX='links -dump'
+ STATUSURL=http://localhost:80/server-status
++ ulimit -H -n
+ ULIMIT_MAX_FILES='ulimit -S -n 1024'
+ '[' 'xulimit -S -n 1024' '!=' x ']'
+ ulimit -S -n 1024
+ ERROR=0
+ '[' xrestart = x ']'
+ case $ARGV in
+ /usr/local/apache/bin/httpd -k restart
httpd not running, trying to start
+ ERROR=0
+ exit 0
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
