IT блог - полезные заметки. » networking

Asterisk SIP and iptables

Артур Шакиров — Fri, 15 Oct 2010 18:41:33 +0000

Появилась задача, удаленному офису нужно подключаться к астериску, и тут и там статические «белые» IP адреса. Для решения задачи были добавлены правила:

iptables -A RH-Firewall-1-INPUT -i eth0 -s 91.211.000.000 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -i eth0 -d 91.211.000.000 -j ACCEPT

если нужно открыть доступ для всех внешних подключений по SIP, то правила следующие:

iptables -A INPUT -p udp -i eth0 --dport 5060 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 5060 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 10000:20000 -j ACCEPT

где eth0 интерфейс с «белым» внешним IP адресом, а 91.211.000.000 это IP адрес удаленного офиса.

static routes pushed through DHCP

Артур Шакиров — Wed, 15 Sep 2010 17:47:36 +0000

Моя домашняя сеть находится в 192.168.1.0/24, а голос вынесен в подсеть 192.168.0.0/24.
доступ «в мир» роутится через 192.168.1.1 а в голос через 192.168.1.111 (да вот захотелось мне так).
Домашние машины получают ip адреса из подсети 192.168.1.0/24, а айпифоны из подсети 192.168.0.0/24

соответственно по дефолту машины не могут получить доступа к фойсовым аппаратам (ATA и IP фоны), прописывать на каждой машине статик роуты, я считаю моветоном. К счастью, не я один так считаю и есть rfc3442 позволяющий с DHCP сервера передавать клиентам статичные маршруты.

итак настроим dhcp сервер давать статик роут на сеть 192.168.0.0/24 через 192.168.1.111

option ms-classless-static-routes code 249 = array of unsigned integer 8;
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

option ms-classless-static-routes 24, 192,168,0, 192, 168, 1, 111;
option rfc3442-classless-static-routes 24, 192,168,0, 192, 168, 1, 111;

Так как Microsoft компания новатор, срать ей хотелось на RFC. По этому в приведенном выше конфиге присутствуют ms-classless строки. Если у вас в сети нет windows машин, то можно их не уазывать.

На сервере делаем service dhcpd restart, а на клиенте /etc/init.d/networking restart и на клиенте получим:

shakirov@work:~$ route -n
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
192.168.0.0 192.168.1.111 255.255.255.0 UG 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 eth0

справедливо это для Ubuntu на клиенте, говорят что в других дистрибутивах нужно в /etc/dhcp3/dhclient.conf добавить:

option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

И в том же файле в поле request добавить параметр rfc3442-classless-static-routes; выглядеть в итоге должно так:

option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

send host-name "";
request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers, domain-search, host-name,
netbios-name-servers, netbios-scope, interface-mtu,
rfc3442-classless-static-routes, ntp-servers;

И еще, если нет, то надо создать файл /etc/dhcp3/dhclient-exit-hooks.d/rfc3442-classless-routes

RUN="yes"

if [ "$RUN" = "yes" ]; then
if [ "$new_rfc3442_classless_static_routes" != "" ]; then
if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then
rfc_routes=($new_rfc3442_classless_static_routes)

for(( i=0; i < ${#rfc_routes[@]}; )); do
net_length=${rfc_routes[$i]}

((i++))

net_address=(0 0 0 0)
for(( j=0; j < $[$net_length / 8 + \
($net_length % 8 ? 1 : 0)]; j++, i++)); do

net_address[$j]=${rfc_routes[$i]}
done

gateway=(0 0 0 0)
for (( j=0; j < 4; j++, i++ )); do
gateway[$j]=${rfc_routes[$i]}
done

old_IFS="$IFS"
IFS='.'

if [ "$net_length" == "32" ]; then
/sbin/route add -host "${net_address[*]}" gw "${gateway[*]}"
else
/sbin/route add -net "${net_address[*]}/$net_length" gw "${gateway[*]}"
fi
IFS="$old_IFS"

done
fi
fi
fi

Ну и конечно сделать его исполняемым.

кстати, если нужно передать несколько статичных маршрутов клиентам, то перечислять их надо через запятую, примерно вот так:

option ms-classless-static-routes 24, 192,168,0, 192,168,1,111, 16, 172,16, 10,16,40,100;
option rfc3442-classless-static-routes 24, 192,168,0, 192,168,1,111, 16, 172,16, 10,16,40,100;

И на последок, если используете OpenWRT и сервер dnsmasq, то вам приголится мануал http://www.debian-administration.org/articles/471

XEN bug on RTL8111/8168B

Артур Шакиров — Sat, 11 Apr 2009 13:23:12 +0000

На свежеустановленный CentOS 5.3 был поставлен Xen, после ребута отмерла сеть. В dmesg сыпятся ошибки:
vif0.0: received packet with own address as source address

причиной тому совпадение HWaddr для eth0 и xenbr0 (каким-то боком eth0 перекосило).

фиксится крайне просто, может быть не так элегантно как хотелось бы, но просто. В /etc/rc.local добавляем:

/sbin/ip link set eth0 down
/sbin/ip link set eth0 addr 00:1C:C0:7F:76:33
/sbin/ip link set eth0 up
/etc/init.d/network restart

и делаем рестарт системы.

Настройка сети в CentOS Linux

Артур Шакиров — Mon, 06 Apr 2009 12:23:08 +0000

тема простая, но судя по вопросам в icq, вопросы по ней еще возникают. Попытаюсь всё в одной статье описать.

Итак, самое превое, это просмотр настроек сети:

[root@kazan ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.200 Bcast:192.168.12.255 Mask:255.255.255.0
inet6 addr: fe80::219:5bff:fe72:57c5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10459189 errors:0 dropped:0 overruns:0 frame:0
TX packets:8331867 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1098049417 (1.0 GiB) TX bytes:3691672162 (3.4 GiB)
Interrupt:10 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:201334 errors:0 dropped:0 overruns:0 frame:0
TX packets:201334 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:29023905 (27.6 MiB) TX bytes:29023905 (27.6 MiB)

или
[root@kazan ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:19:5b:72:57:c5 brd ff:ff:ff:ff:ff:ff
inet 192.168.12.200/24 brd 192.168.12.255 scope global eth0
inet6 fe80::219:5bff:fe72:57c5/64 scope link
valid_lft forever preferred_lft forever
3: sit0: <NOARP> mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0

Вывести список всех ip адресов машины можно, с маской подсети:

[root@kazan ~]# ip addr show | grep inet | grep -v inet6 | awk '{print $2}'
127.0.0.1/8
192.168.12.200/24

без маски:

[root@kazan ~]# ip addr show | grep inet | grep -v inet6 | awk '{print $2}' | awk -F"/" '{print $1}'
127.0.0.1
192.168.12.200

Настройки сетевых интерфейсов хранятся в /etc/sysconfig/network-scripts/ для примера покажу eth0

[root@kazan ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
# VIA Technologies, Inc. VT6105 [Rhine-III]
DEVICE=eth0
BOOTPROTO=static
BROADCAST=192.168.12.255
HWADDR=00:19:5B:72:57:C5
IPADDR=192.168.12.200
NETMASK=255.255.255.0
NETWORK=192.168.12.0
ONBOOT=yes

если правите настройки, незабываем рестартить сеть /etc/init.d/network restart

это универсальный конфиг, например нужно создать виртуальный интерфейс eth0:0 для это создаем /etc/sysconfig/network-scripts/ifcfg-eth0:0 с ip адресом 192.168.12.201, для этого:

[root@kazan ~]# cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth0:0
[root@kazan ~]# sed -i "s/eth0/eth0:0/" /etc/sysconfig/network-scripts/ifcfg-eth0:0
[root@kazan ~]# sed -i "s/192.168.12.200/192.168.12.201/" /etc/sysconfig/network-scripts/ifcfg-eth0:0
проверяем:
[root@kazan ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0:0
# VIA Technologies, Inc. VT6105 [Rhine-III]
DEVICE=eth0:0
BOOTPROTO=static
BROADCAST=192.168.12.255
HWADDR=00:19:5B:72:57:C5
IPADDR=192.168.12.201
NETMASK=255.255.255.0
NETWORK=192.168.12.0
ONBOOT=yes

и рестартим сеть:
[root@kazan ~]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ OK ]
Деактивируется интерфейс-петля: [ OK ]
Активируется интерфейс loopback: [ OK ]
Активируется интерфейс eth0: [ OK ]

проверяем:
[root@kazan ~]# ifconfig eth0:0
eth0:0 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.201 Bcast:192.168.12.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:10 Base address:0x2000

Другая, нередкая ситуация с серверами в датацентре, нужно повесить на машину диапазон ip адресов. Для примера возьмем 192.168.12.202 до 192.168.12.210. для этого:

[root@kazan ~]# echo "IPADDR_START=192.168.12.202" > /etc/sysconfig/network-scripts/ifcfg-eth0-range0
[root@kazan ~]# echo "IPADDR_END=192.168.12.210" >> /etc/sysconfig/network-scripts/ifcfg-eth0-range0
[root@kazan ~]# echo "NETMASK=255.255.255.0" >> /etc/sysconfig/network-scripts/ifcfg-eth0-range0
[root@kazan ~]# echo "CLONENUM_START=1" >> /etc/sysconfig/network-scripts/ifcfg-eth0-range0
[root@kazan ~]# echo "NO_ALIASROUTING=yes" >> /etc/sysconfig/network-scripts/ifcfg-eth0-range0
[root@kazan ~]# /etc/init.d/network restart
проверяем:
[root@kazan ~]# ifconfig | grep -E "eth0|inet addr"
eth0 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.200 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:0 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.201 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:1 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.202 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:2 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.203 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:3 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.204 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:4 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.205 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:5 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.206 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:6 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.207 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:7 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.208 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:8 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.209 Bcast:192.168.12.255 Mask:255.255.255.0
eth0:9 Link encap:Ethernet HWaddr 00:19:5B:72:57:C5
inet addr:192.168.12.210 Bcast:192.168.12.255 Mask:255.255.255.0

Настройка сети с помощью ifconfig и route. Предположим, на сервере есть второй интерфейс eth1, нужно повестиь на него ip из другой сети. Показываю на примере:

ifconfig -a eth0 192.168.1.200 netmask 255.255.255.0
route add default gw 192.168.1.100

Есть вопросы? добро пожаловать в комментарии.

possible SYN flooding on port 80. Sending cookies.

Артур Шакиров — Wed, 11 Feb 2009 22:14:25 +0000

Начал падать апач, при ближайшем рассмотрении dmesg выдал:
possible SYN flooding on port 80. Sending cookies.

посмотрим кто же у нас лидер по SYN запросам:

netstat -n -p | grep SYN_REC| awk '{print $5}'|awk -F: '{print $1}' | sort -n | uniq -c | sort -nr | head -n10

на первом месте 88.147.212.229 с числом 1030, это один из наших победителей. банним ублюдка:

iptables -I INPUT -p tcp -s 88.147.212.229 -j REJECT --reject-with tcp-reset

если таких явных лидеров нет (и ничего не валится, кроме сообщений в /var/log/messages), то возможно ложное срабатывание. Лечим так:

sysctl -w net.ipv4.tcp_syncookies=0

затем в конфиг /etc/sysctl.conf добавляем строчку:
net.ipv4.tcp_syncookies=0

проверяем:
cat /proc/sys/net/ipv4/tcp_syncookies

How to kill TCP connection in CentOS

Артур Шакиров — Tue, 09 Dec 2008 23:13:27 +0000

Убить tcp соединения в Centos (да и не только) можно утилитой tcpkill. Утилита входит в пакет dsniff, ставим из репозитория epel (на данный момент в этом репозитарии dsniff новее) или rpmforge под CentOS 5.2

[root@srv001 ~]# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
[root@srv001 ~]# yum install dsniff

Ну, и несколько примеров использования:
1. убить все исходящие соединения с интерфейса eth0 на порт 21

tcpkill -i eth0 port 21

2. убить все соединения исходящие/входящие с хоста

tcpkill host 192.168.0.1
tcpkill host hostname.ru

3. убить все ip пакеты между хостом 192.168.0.1 и любым другим, кроме 192.168.0.10

tcpkill ip host 192.168.0.1 and not 192.168.0.10

Ну и различные от этого вариации. Прошу учесть тот факт что если пакеты убивать нужно идущие на/с ip «зацепленного» на логический интерфейс (например eth0:1), то нужно явно это указать, как-то так:

tcpkill -i eth0:1 host 123.123.123.1

Добавляем диапазон ip адресов.

Артур Шакиров — Sun, 24 Aug 2008 14:46:20 +0000

Без лишних слов привожу листинги, однозначно работает это в Red Hat, Fedora Core ну и в CentOS на примере которого и буду показывать.

[root@dev2 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0:0
# VIA Technologies, Inc. VT6105 [Rhine-III]
DEVICE=eth0:0
HWADDR=00:04:23:dc:ef:29
ONBOOT=yes
NETMASK=255.255.255.0
IPADDR=192.168.12.222
GATEWAY=192.168.12.100
TYPE=Ethernet

[root@dev2 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0-range0
IPADDR_START=192.168.12.223
IPADDR_END=192.168.12.230
CLONENUM_START=1

рестартим сеть /etc/init.d/network restart

и получаем желаемое:

inet 192.168.12.200/24 brd 192.168.12.255 scope global eth0
inet 192.168.12.222/24 brd 192.168.12.255 scope global secondary eth0:0
inet 192.168.12.223/24 brd 192.168.12.255 scope global secondary eth0:1
inet 192.168.12.224/24 brd 192.168.12.255 scope global secondary eth0:2
inet 192.168.12.225/24 brd 192.168.12.255 scope global secondary eth0:3
inet 192.168.12.226/24 brd 192.168.12.255 scope global secondary eth0:4
inet 192.168.12.227/24 brd 192.168.12.255 scope global secondary eth0:5
inet 192.168.12.228/24 brd 192.168.12.255 scope global secondary eth0:6
inet 192.168.12.229/24 brd 192.168.12.255 scope global secondary eth0:7
inet 192.168.12.230/24 brd 192.168.12.255 scope global secondary eth0:8

Включаем IP Forwarding в Linux

Артур Шакиров — Sat, 23 Aug 2008 10:26:06 +0000

По умолчанию в большинстве дистрибутивов IP Forwarding выключен, но форвардинг может понадобится если на сервере будет подниматься VPN или например это будет роутер.

Проверить включен ли IP Forwarding можно так:

sysctl net.ipv4.ip_forward
cat /proc/sys/net/ipv4/ip_forward

Включить можно так (действовать будет до перезагрузки):

sysctl -w net.ipv4.ip_forward=1
или
echo 1 > /proc/sys/net/ipv4/ip_forward

Или жётско включить (действовать будет и после перезагрузки):

# grep forward /etc/sysctl.conf
net.ipv4.ip_forward = 1

В RedHat подобных:

# grep -i forward /etc/sysconfig/network
FORWARD_IPV4=true

в Debian (Ubuntu):

# grep -i forward /etc/network/options
ip_forward=yes

После правки конфигов (перманентное включение) необходимо перезапустить сеть. например, /etc/init.d/network restart

Note that: В OpenVPN используется первый способ (изменение на лету), это прописано в стартап скриптах.

iptables start fails

Артур Шакиров — Thu, 19 Jun 2008 14:16:37 +0000

Linux rhca.ru 2.6.9-freevps-1.5-8smp #1 SMP Thu May 25 10:22:13 EEST 2006 x86_64 x86_64 x86_64 GNU/Linux

При запуске /etc/init.d/iptables start получаем ошибку:

Unloading iptables modules: [FAILED]

Открываем для правки стартап скрипт /etc/init.d/iptables и строку:

modprobe -r $mod > /dev/null 2>&1

заменим на:

modprobe -r $mod

делаем /etc/init.d/iptables start и любуемся ошибками:

Unloading iptables modules: FATAL: Could not load /lib/modules/2.6.9-freevps-1.5-8smp/modules.dep: No such file or directory

лезем в /etc/sysconfig/iptables-config и правим строчку так:

IPTABLES_MODULES_UNLOAD="no"

Полезные настройки для verlihub

Артур Шакиров — Mon, 26 May 2008 19:06:58 +0000

Блокировка за рекламу хабов

!addforbid dchub:// -f 1 -C 2 -r "реклама_ban_1y"

Антиспам:

!addforbid "(? -r "_BAN_30m мат"
!addforbid "[пП][иИеЕeEёЁ]+[зЗ3cCсС]+[дД]" -r "_BAN_30m мат"
!addforbid "[зЗ3][aAаА]+[eEеЕёЁ]+[бБ6]" -r "_BAN_30m мат"
!addforbid "^[eEеЕёЁ]+[бБ6]+$" -r "_BAN_30m мат"
!addforbid "\s[eEеЕёЁ]+[бБ6]+$" -r "_BAN_30m мат"
!addforbid "^[eEеЕёЁ]+[бБ6]+[\s\.\,\!]" -r "_BAN_30m мат"
!addforbid "\s[eEеЕёЁ]+[бБ6]+[\s\.\,\!]" -r "_BAN_30m мат"
!addforbid "(? -r "_BAN_30m мат"
!addforbid "(? -r "_BAN_30m мат"
!addforbid "(? -r "_BAN_30m мат"
!addforbid "(? -r "_BAN_30m мат"
!addforbid "(? -r "_BAN_30m мат"
!addforbid "\s[eEеЕёЁ]+[бБ6]+[лЛ]+" -r "_BAN_30m мат"
!addforbid "^[eEеЕёЁ]+[бБ6]+[лЛ]+" -r "_BAN_30m мат"