Как “протянуть” 802.1q tagged порт через ip-сеть.

Дано:

Есть hostA, который воткнут в каталист, в trunk (т.е. тегированный) порт, инкапсуляция 802.1q.

Есть hostB, который маршрут до hostA. маршрут живой, ip-пакеты между хостами безпроблемно бегают.

Задача: надо с hostA “притащить” виланы на hostB.

Решение: vtund + bridge.

описание клиента в vtund.conf

homepeer {
passwd qwerty;
type ether;
device home;
proto tcp;
compress yes;
stat yes;
persist yes;

up {
ifconfig “%% up”;
program “brctl addbr br0”;
program “brctl addif br0 %%”;
program “brctl addif br0 eth0”;
ifconfig “br0 up”;
};

down {
ifconfig “%% down”;
ifconfig “br0 down”;
program “brctl delbr br0”;
};
}

описание пира из конфига сервера

homepeer {
passwd qwerty; # Password
type ether; # Ethernet tunnel
device work; # Device tap1
proto tcp;
compress yes;

up {
ifconfig “%% up”;
};
down {
ifconfig “%% down”;
};
}

Теперь на той Linux машине, куда кидаем порт:

vconfig set_name_type VLAN_PLUS_VID_NO_PAD
vconfig add work 4
ifconfig vlan4 10.1.1.1 netmask 255.255.255.0 up
vconfig add vlan4 8
ifconfig vlan8 192.168.1.1 netmask 255.255.255.0 up

Замечание:
Клиент – хост, с которого мы тащим порт. Он живёт в серой сети и имеет выход в internet через NAT.
Сервер – машина с публичным ip.

Декларация Независимости Киберпространства

Декларация Независимости Киберпространства

Правительства индустриального мира, вы, бессильные гиганты из плоти и стали, я пришел к вам из Киберпространства, нового дома Разума. Во имя будущего я прошу вас, живущих в прошлом – оставьте нас. Вы – незванные гости среди нас, и ваша власть не простирается туда, где собираемся мы.

Windows

VMware, лидер рынка программного обеспечения виртуализации, утверждает, что Microsoft старается лишить пользователей Windows возможности устанавливать инструменты виртуализации от независимых поставщиков.

Что это, сгущение красок, или же VMware старается избежать участи Netscape, которая ее ожидает в результате введения в операционную систему собственной технологии виртуализации Microsoft?

В опубликованном на веб-сайте VMware документе говорится, что Microsoft не будет поддерживать работу Windows или своих приложений поверх виртуальной машины от независимого поставщика, если пользователь не купит услуги технической поддержки Microsoft уровня Premier. Microsoft не отрицает этого: требование контракта Premier связано со стремлением «обеспечить высококачественную техническую поддержку», — пояснил менеджер по стратегии виртуализации Майк Нил.

Однако если Microsoft может поддерживать своих заказчиков Premier, работающих со сторонними виртуальными машинами, то «нет никаких технических причин, по которым нужно лишать этой возможности всех остальных», — пишет VMware.

Формат Microsoft Virtual Hard Disk позволяет пользователям создать копию операционной системы Windows и приложения в виде единого виртуального файла, который теоретически может работать на любой виртуальной машине. VMware говорит, что некоторые из этих файлов VHD «самодеактивируются, если обнаруживают, что работают не внутри продуктов Microsoft Virtual Server или Virtual PC». (!!!)

Директор VMware по управлению продуктами Сринивас Кришнамурти обвиняет Microsoft в создании искусственных преград для внедрения заказчиками продуктов VMware. Нил из Microsoft не отвечает прямо на претензии к Virtual Hard Disk, но говорит, что политика Microsoft в отношении ее продуктов виртуализации «прогрессивна и справедлива… она создает для партнеров и заказчиков ровное игровое поле».

Это ровное игровое поле очень хорошо известно Netscape.

Использование в Linux IEEE 802.1Q VLAN’ов совместно с Cisco Catalyst Switch

Linux:
/sbin/vconfig add eth1 5
/sbin/vconfig add eth1 4
/sbin/ifconfig eth1.4 192.0.0.8 netmask 255.255.255.240 up
/sbin/ifconfig eth1.5 192.0.1.8 netmask 255.255.255.240 up

Catalyst:
conf t
int fa0/0
switchport mode trunk
switchport trunk allowed vlan 4,5,1002-1005

Дублирование серверов

Имеется два сервера – первичный и запасной. При помощи протокола VRRP (Virtual Router Redundancy Protocol)
при крахе первичного сервера, автоматически поднимаем его MAC и IP на запасном.

Устанавливаем vrrpd (http://sourceforge.net/projects/vrrpd/).

На первичном сервере выполняем:

vrrpd -i eth0 -p 25 -v 1 192.168.1.1

На запасном:

vrrpd -i eth0 -p 24 -v 1 192.168.1.1

,где
-i eth0 – имя интерфейса на котором будет установлен IP 192.168.1.1
-v 1 – (virtual router) номер VRRP связки
(в локальной сети может быть несколько резервирующих друг-друга систем)
-p N – приоритет, машина с меньшим весом будет активирована, только при недоступности системы с большим весом.

При тестировании можно использовать tcpdump -vv proto 112

.htaccess

1. Закрыть директорию паролем:

require valid-user
Authname “DirectoryName”
Authtype Basic
AuthUserFile “/path/to/.htpasswd”

2. Закрыть файл паролем:
<Files “mypage.html”>
Require valid-user
</Files>
Authname “DirectoryName”
Authtype Basic
AuthUserFile “/path/to/.htpasswd”

Команда man по завершении просмотра стирает экран с мануалом

Проблема: Команда man по завершении просмотра стирает экран с мануалом Называется «а у тебя ведь хорошая память? Isn’t it?»

Лечение: man использует для просмотра команду less. У less есть ключ «-X» — «не деинициализировать экран по окончании. Поэтому добавьте его к дефолтным ключам в переменную окружения LESS в своем профайле.

LESS=”-e -r -X”
export LESS

Лечение (другой метод): поправить в описании терминала строку деинициализации (ах, как там она называется?), и убрать из нее команду стирания экрана.

LightSquid и статистика пользователей

Есть такой популярной анализатор логов прокси-сервера Squid как LightSquid. И многие администраторы его используют. Скорее всего, что я не первый столкнулся с проблемой того, как показывать пользователям локальной сети их статистику походов по сайтам. Предлагаю свое решение данной небольшой проблемы. Пишем простые .htaccess + index.html файлы и ложим их в каталог со скриптами (у меня исполнение cgi-скриптов и показ html-файлов в одном и том же каталоге разрешено). Итак index.html:


								
							

Подключение антивирусного пакета BitDefender к MTA Postfix

Многие системные администраторы Linux задаются вопросом: «Какой почтовый сервер использовать и какой антивирус к нему установить?». Я предпочитаю Postfix и Bitdefender. последний мне понравился еще для ОС Windows, но к сожалению он является платным продуктом.

К счастью консольная версия для ОС Linux бесплатна и ее мы сможем научить работать с MTA Postfix. Чем и займемся.

Для начала берем BitDefender Linux Edition (бесплатная консольная версия) на официальном сайте продукта (http://bitdefender.ru) и его устанавливаем.

Далее нам необходим какой-либо скрипт для того, чтоб “связать” между собой MTA Postfix и BitDefender. Вот его нам и предстоит написать.

Определим задачи, которые он должен выполнять.

  1. Сохранять письмо в файл.
  2. Вызывать BitDefender для проверки файла.
  3. Анализировать результат проверки.
  4. В случае определения вируса уведомить пользователя о нахождении вируса и удалить письмо.
  5. Вести журналы работы.

Ограничение доступа по SHH через PAM

Одним из преимуществ PAM (Pluggable Authentication Module) является возможность ограничения числа сетевых пользователей, имеющих доступ к определенному сервису, на основе списка. Например, с помощью PAM можно задать ограничения на SSH-подключения.

Добавьте в файл /etc/pam.d/sshd строку:

auth required /lib/security/pam_listfile.so onerr=fail item=user sense=allow file=/etc/sshd_users

Эта директива разрешает регистрацию пользователя через sshd, если его имя присутствует в файле /etc/sshd_users. Опции имеют следующие значения:

  • onerr=fail — этот параметр не даст успешно пройти тест, если произойдет ошибка (указанный файл не найден или в файле обнаружена некорректная строка). В результате пользователю будет отказано в регистрации через sshd. Другим возможным значением параметра onerr является succeed.
  • item=user — означает, что мы проверяем имя пользователя.
  • sense=allow — если пользователь найден в заданном файле, пройти этот тест. Это разрешит регистрацию пользователя, если пройдут также все другие тесты. Другим возможным значением параметра sense является deny.
  • file=/etc/sshd_users — задает файл, содержащий список имен пользователей (по одному имени на строку), которым разрешена регистрация через sshd.

С указанной строкой, файл /etc/pam.d/sshd будет выглядеть приблизительно так:

#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/sshd_users
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session required pam_limits.so
session optional pam_console.so

Теперь вы можете добавить в файл /etc/sshd_users необходимых пользователей. Каждое имя пользователя должно быть указано отдельной строкой.

Админ не грустный, он завис.
Яндекс.Метрика beget