Ubuntu StrongSwan IPSEC

Часто возникает необходимость шифровать  трафик между точкой А и точкой Б  — в данной статье рассмотрим настройку StrongSwan IPSEC <> Cisco ASA

Есть ряд моментов которые я бы хотел отметить с которыми в той или иной мере прийдется столкнуться

Читать далее

Опубликовано в рубрике Unix

Ubuntu iptables и ipset

И так в данной статье речь пойдет о высоконагруженных серверах с фильтрацией большого количества правил IPTABLES

Суть проблемы в том что каждый пакет должен пройти через N количество правил — что влечет за собой утилизацию ресурсов, значительно уменьшить утилизацию ресурсов которые тратит система на обработку правил может IPSET  и использование -m multiport  и —dports/—sports   к примеру :

Можно сделать 3 правила вида :

-A RH-Firewall-eth5-FORWARD -i eth5 -s 172.16.49.0/24 -j ACCEPT
-A RH-Firewall-eth5-FORWARD -i eth5 -s 172.16.50.0/24 -j ACCEPT
-A RH-Firewall-eth5-FORWARD -i eth5 -s 172.16.51.0/24 -j ACCEPT

 

Читать далее

Опубликовано в рубрике Unix

Ubuntu and policy base routing

PBR - это очень удобно, к примеру если у вас 2 и более интерфейсов и для них надо сделать роутинг или надо иметь 2 gate и тд
Тогда эта статья вам поможет в этом
Суть всего этого процесса в том, что мы не можем иметь в одной таблице маршрутизации  несколько шлюзов по умолчанию а с PBR  
система создает несколько таблиц маршрутизации и в каждой может быть шлюз по умолчанию
Так же система понимает если к примеру пакет пришел в eth0 то и уйти он должен из eth0  
И так для начала нам необходимо разрешить форвардинг между интерфейсами :

/etc/sysctl.conf:

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1
 Читать далее 
Опубликовано в рубрике Unix

Готовим Ubuntu server

И так есть необходимость сделать предварительную настройку Ubuntu сервера

Так или иначе есть ряд дефолтных настроек которые выполняются на каждом сервере , так вот ниже будет шаблон настроек , установленных программ и тд которые должны быть на каждом сервере :

Создаем пользователя :

#adduser XXX

#passwd XXX

Читать далее

Опубликовано в рубрике Unix

OpenVPN via login

И там если вам необходим VPN , каждый пользователь которого должен иметь личный сертификат,  а трафик в VPN должен шифроваться,  в том числе как дополнительный метод аутентификация при подключении к VPN пользователь должен вводить логин/пароль (на тот случай если к примеру ноутбук с сертификатом был утерян/утрачен что б злоумышленник не смог им воспользоваться )

Хорошая и нужная вещь, опишу сразу настройку и так , cоздание сертификатов :

#cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/

#sh
. ./vars
 ./clean-all
./build-ca

Читать далее

Опубликовано в рубрике Unix

Rancid for Cisco and Juniper

 

#cat /home/rancid/.cloginrc

add user * rancidd
add password jsw* YYYYYYY
add noenable jsw* 1
add autoenable XX2 1
add autoenable XX2 YYYYYYY
add autoenable * 0 
add password XX2 YYYYYYY {XXXXXXX}
add password 10.xx.xx.xx YYYYYYY {XXXXXXX}
add password * YYYYYYY {XXXXXXX}
add method * telnet ssh


Читать далее

Работа с программой AWK

Часто используемые программы , которые как воздух нам нужны при быстрой обработке информации , эта программа достаточно мощная и имеется практический в любом shell — что выгодно ее отличает от других ее собратьев которые необходимо инсталировать и тд.

cat /tmp/1 | grep inter | awk ‘{printf » , » $2 }’

— printf — говорит о том что вывод будет сделан в строку

— print  — говорит о том что вывод будет сделан в столбец

» , » — это условие говоит о том что перед каждым выводо будет вставлена запятая

$2 — это условие говорит какой столбец вывести — разделитель пробел или TAB

Читать далее

Опубликовано в рубрике Unix

OpenVPN via key

И так для удобства удаленного и безопасного доступа к сети используется OpenVPN  — это достаточно удобное и мощное средство , при этом очень гибкое в умелых руках . Достаточно распрастранено во многих взрослых компаниях , и так приступим к устрановке и настройке .

Обновим порты , что б поставить самую актуальную версию

#portsnap fetch


#portsnap extract

# cd /usr/ports/security/openvpn


# make && make install && make clean

В выподающем меню я оставляе все галочки (параметры) по умолчанию .

И так далее вам необходимо

Читать далее

Опубликовано в рубрике Unix

Работа с программой GREP

Это достаточно удобные , мощные и при этом простые программы , которыми к примеру пользуюсь достаточно часто , они автоматизаруют и упрощаю работу с данными (с обработкой данных) , в данной статье будут расмотренны примеры и параметры данных команд . В общем хорошо когда есть одна статья где все эти данные под рукой  ( google хорошо , но зависимость от него надо минимизировать 🙂

Grep — эта утилита командной строки предназначена для фильтрации текста по шаблону (в том числе с регулярными выражениями)

Читать далее

Опубликовано в рубрике Unix

Linux and CDP

Многие для упрощения жизни в сети используют протаколы канального уровня CDP и LLDP —  для отображения информации о подключенных друг к дргужу железок (коммутаторов, маршрутизатор, серверов и т.д).

Есть замечательный проект —  lldpd , который позволяем нам задействовать CDP на Linux серверах  (а это как показывает практика сильно упрощает жизнь админам)

 Ссылка на статью opennet.ru

Читать далее

Опубликовано в рубрике Unix