Cisco ASA NAT

Будут рассмотрены ряд моментов и тонкостей которые связаны с Cisco ASA

И так первый из них это PROXY-ARP

К примеру есть сеть /29 один адрес у провайдера второй ввешаем на Cisco ASA  , для того что б испольвать NAT  для оставшихся WAN адресов (а их у нас осталось еще 3 штуки) можно использовать proxy-arp  :

Читать далее

Опубликовано в рубрике Cisco

Ubuntu StrongSwan IPSEC

Часто возникает необходимость шифровать  трафик между точкой А и точкой Б  — в данной статье рассмотрим настройку StrongSwan IPSEC <> Cisco ASA

Есть ряд моментов которые я бы хотел отметить с которыми в той или иной мере прийдется столкнуться

Читать далее

Опубликовано в рубрике Unix

Ubuntu iptables и ipset

И так в данной статье речь пойдет о высоконагруженных серверах с фильтрацией большого количества правил IPTABLES

Суть проблемы в том что каждый пакет должен пройти через N количество правил — что влечет за собой утилизацию ресурсов, значительно уменьшить утилизацию ресурсов которые тратит система на обработку правил может IPSET  и использование -m multiport  и —dports/—sports   к примеру :

Можно сделать 3 правила вида :

-A RH-Firewall-eth5-FORWARD -i eth5 -s 172.16.49.0/24 -j ACCEPT
-A RH-Firewall-eth5-FORWARD -i eth5 -s 172.16.50.0/24 -j ACCEPT
-A RH-Firewall-eth5-FORWARD -i eth5 -s 172.16.51.0/24 -j ACCEPT

 

Читать далее

Опубликовано в рубрике Unix

Ubuntu and policy base routing

PBR - это очень удобно, к примеру если у вас 2 и более интерфейсов и для них надо сделать роутинг или надо иметь 2 gate и тд
Тогда эта статья вам поможет в этом
Суть всего этого процесса в том, что мы не можем иметь в одной таблице маршрутизации  несколько шлюзов по умолчанию а с PBR  
система создает несколько таблиц маршрутизации и в каждой может быть шлюз по умолчанию
Так же система понимает если к примеру пакет пришел в eth0 то и уйти он должен из eth0  
И так для начала нам необходимо разрешить форвардинг между интерфейсами :

/etc/sysctl.conf:

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1
 Читать далее 
Опубликовано в рубрике Unix

Cisco ASA трафик между интерфейсами

По умолчанию на Cisco ASA трафик между интерфейсами с одинаковыми  security-level  — запрещен, это политика безопасности по умолчанию

К примеру у нас есть:

interface Port-channel2.1007
 description ### 
 vlan 1007
 nameif inside_1c
 security-level 100
 ip address 172.16.34.254 255.255.255.0 standby 172.16.34.253
!
interface Port-channel2.1008
 description ### 
 vlan 1008
 nameif inside_sap
 security-level 100
 ip address 172.16.35.254 255.255.255.0 standby 172.16.35.253
!

Читать далее

Опубликовано в рубрике Cisco

Готовим Ubuntu server

И так есть необходимость сделать предварительную настройку Ubuntu сервера

Так или иначе есть ряд дефолтных настроек которые выполняются на каждом сервере , так вот ниже будет шаблон настроек , установленных программ и тд которые должны быть на каждом сервере :

Создаем пользователя :

#adduser XXX

#passwd XXX

Читать далее

Опубликовано в рубрике Unix

Настройка коммутаторов cерии HP1910 и HP1920

В данной статье поделюсь своим небольшим опытом работы с коммутаторами HP серии HP1910 и HP1920

После того как вы попали через CLI на коммутатор вам необходимо перейти в режим конфигурации , сделать это можно так :
############################################################
_cmdline-mode on
Y
Jinhua1920unauthorized
system-view
############################################################

Читать далее

Автоматическое переключение между провайдерами

И так мы имеем 2 ISP и хотим при выходе из строя одного автоматический переключиться на второй ISP (то есть  не балансировка трафика между 2мя каналами — одновременно будет активным только один канал  ) . Эта всегда актуально — если нет 2х BGP сессий

Читать далее

Опубликовано в рубрике Juniper

OpenVPN via login

И там если вам необходим VPN , каждый пользователь которого должен иметь личный сертификат,  а трафик в VPN должен шифроваться,  в том числе как дополнительный метод аутентификация при подключении к VPN пользователь должен вводить логин/пароль (на тот случай если к примеру ноутбук с сертификатом был утерян/утрачен что б злоумышленник не смог им воспользоваться )

Хорошая и нужная вещь, опишу сразу настройку и так , cоздание сертификатов :

#cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/

#sh
. ./vars
 ./clean-all
./build-ca

Читать далее

Опубликовано в рубрике Unix

Понимание dot1x

Стандарт IEEE 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных юзеров подключенных к коммутатору , если доступ запрещен то трафик любой кроме dot1x на порту блокируется

Сервер аутентификации — это как правило Радиус (или его реализации) и как правило этот сервер стучится в AD/LDAP для того что б понять в какой лан надо прибить пользователя

Рассмотрим конфигурация для Juniper :

Читать далее