顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - hikohan

頁: 1 ... 41 42 [43]
1261
工作機會 / [閒聊]很感慨
« 於: 2004-09-14 21:50 »
興趣與目標不能當飯吃,在機房裡面看看,會比心裡想的網路超過很多。

舉一個實際XX電信公司的資訊處,一位從工讀生開始幹起的人,現在卻是MIS頭頭下的首屈技術顧問,我所知道的,也是那一句老話: 英雄不怕出身低,謙虛為懷,自己能學的,都是你的。

唉~時勢造英雄,試問現今中小企業有幾個老闆願意花錢在網路安控與效能品質上,今天聽工程師說,要去二手市場買u來填370 MB,給那些新員工用,二話不說,塑膠盒裡面兩顆p55c立刻奉上,不過也不知道哪還有s-7的MB了。

有公司、就有資料庫,跟著ERP跑,或許是一個不錯的塑膠碗。

1262
肉腳版 / 用cbq shape
« 於: 2004-09-14 16:49 »
如果頭端有一個Linux當網站伺服器,同時提供內部DHCP與gw功能,
可以利用cbq限定單點連線頻寬,這樣下載歸下載,玩遊戲的玩遊戲。

study-area的技巧心得裡面有

1263
拾人牙慧 / [分享]: ipt_fw for basic firewall
« 於: 2004-09-14 00:36 »
本從網中起、理成線上材

--
Open WebMail Project (http://openwebmail.org)


---------- Original Message -----------
From: 網中人 <netman@study-area.org>
To: "VEGA" <vega@phsbb.idv.tw>
Sent: Tue, 14 Sep 2004 00:06:24 +0800
Subject: Re: ipt_fw

> 感謝感謝!
>
> 若能貼到 http://phorum.study-area.org 更好....  ^_^
>
> netman
>
> --
> ----- Original Message -----
> From: "VEGA" <vega@phsbb.idv.tw>
> To: <netman@study-area.org>
> Sent: Monday, September 13, 2004 3:49 PM
> Subject: ipt_fw
>
引用
dear netman:

承蒙您的ipt_fw,讓我的伺服器免除基本砲火。

修改了一些敘述,希望更多人能分享。

預設這一台網站伺服器可以提供內網上網,只有sysop可以連線進入主機。


===== START
代碼: [選擇]

#!/bin/sh

# basic settings -------------------------------------------------- #

PATH=/sbin:/usr/sbin:/bin:/usr/bin

# squid server for transparent proxy
SQUIDER="192.168.0.254:3128"

# (!) restrict ssh source
ADMIN_HOME="61.62.63.64"

# (!) WAN & LAN NICs
EXT_IF="eth0"
INT_IF="eth1"

TRUSTED_TCP_PORT="20 21 22 25 53 80 443"

TRUSTED_UDP_PORT="53"

ALLOWED_ICMP="0 3 3/4 4 11 12 14 16 18"

# advanced settings & modules ------------------------------------- #

# cal vars
WAN_IP=$(ifconfig $EXT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1)
LAN_IP=$(ifconfig $INT_IF | grep inet | cut -d : -f 2 | cut -d \ -f 1)
W_AREA=$(route -n|grep $EXT_IF|grep -v UG|awk '{print $1"/"$3}')
L_AREA=$(route -n|grep $INT_IF|grep -v UG|awk '{print $1"/"$3}')

echo "Loading modules..."
modprobe ip_tables &>/dev/null || {
    echo -n "$(basename $0): loading ip_tables module failure."
    echo " Please Fix it!"
    exit 3
}

for file in
> /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_conntrack_*.o
do
    module=$(basename $file)
    modprobe ${module%.*} &>/dev/null
done

for file in /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_nat_*.o
do
    module=$(basename $file)
    modprobe ${module%.*} &>/dev/null
done

# ------------- ipforwarding -----------
echo "Turning on IP forwarding..."
echo "1" > /proc/sys/net/ipv4/ip_forward

# ------------- anti spoofing -----------
echo "Turning on anti-spoofing..."
for file in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo "1" > $file
done

# ------------- flushing ----------
echo "Cleaning up..."
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat

# ------------- policies -------------
echo "Setting up policies to ACCEPT..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT


# ------------- ICMP -------------
echo "Creating icmpfilter chain..."

iptables -N icmpfilter

for TYPE in $ALLOWED_ICMP
do
    iptables -A icmpfilter -i $EXT_IF -p icmp --icmp-type $TYPE -j ACCEPT
done

# ------------- services ------------
echo "Creating services chain...."

iptables -N services

for PORT in $TRUSTED_TCP_PORT
do
    iptables -A services -i $EXT_IF -p tcp --dport $PORT -j ACCEPT
done

for PORT in $TRUSTED_UDP_PORT
do
    iptables -A services -i $EXT_IF -p udp --dport $PORT -j ACCEPT
done

# ------------- block -------------
echo "Creating block chain..."
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! $EXT_IF -j ACCEPT
iptables -A block -j DROP

# ------------- filter -------------
echo "Filtering packets..."
iptables -A INPUT -j icmpfilter
iptables -A INPUT -j services
iptables -A INPUT -j block
iptables -A FORWARD -j icmpfilter
iptables -A FORWARD -j block

# ------------- disable ICMP echo reply -------------
iptables -I INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# ^^^^^ disable it if icmp echo need


# ------------- masq -------------
echo "Masquerading internel network..."
# iptables -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE
iptables -t nat -A POSTROUTING -d $W_AREA -o $EXT_IF -j MASQUERADE
iptables -t nat -A POSTROUTING -s $L_AREA -o $EXT_IF -j MASQUERADE
# ^^^^^ change $L_AREA to your good boys.

# ------------- tproxy -------------
#echo "enable t-proxy"
#iptables -t nat -A PREROUTING -d $LAN_IP -i eth1 -p tcp \
#-m tcp --dport 80 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 \
#-j DNAT --to $SQUIDER
# ^^^^^ remove '#' if there a squid is.

# ------------- restrict ssh from admin's home only
iptables -I INPUT -i $EXT_IF -s ! $ADMIN_HOME \
-p tcp --dport 22 -j DROP

exit 0
## EOS

===== EOF


------- End of Original Message -------

1264
Linux 討論版 / 參考一下
« 於: 2003-12-04 22:23 »
當時玩RRD跑的異端

{.netrc} :600
machine 192.168.1.254
login foo
password foo123
macdef init
ascii
put rrddisk
put rrdifx
put rrdsys
close
bye

以文字模式踢三個檔案上去。

1265
Study-Area 公開討論版 / 給netman報告嗎?
« 於: 2003-12-04 16:11 »
lynx -source http://phorum.study-area.org/viewtopic.php?t=20209 | sed -e :a -e 's/<[^>]*>//g;/</N;//ba'|grep "這個頁面共花費了" | awk '{print $2}' >> /u/netman

接著用....

大家都來cron .... :o

1266
Study-Area 公開討論版 / why
« 於: 2003-12-03 16:43 »
首先我會在head載入config辨識user,包括member或者黑名單,
<?php
..
if($TELEPORT=='Y'){exit("bye!");}
..
?>

當user用teleport類似程式砍站,無法分辨牢籠,就會自陷困境。

用php邏輯想一下。  :wink:

1267
>> 嗯... 這個我再請工程師查查看...

?! 在我心目中,你已經夠強了!

Netman forever.  :evil:  sorry, 只有這一個icon像蝙蝠俠,不是生氣。

1268
Study-Area 公開討論版 / 我已經在做了啊!
« 於: 2003-12-03 16:26 »
ie: ☆★○● ext: [#FFFFFF]

我的ie可不是說 MS IE.

ex:
☆☆☆☆☆
★☆☆☆☆
★★☆☆☆
★★★☆☆
★★★★☆
★★★★★

如果你覺得star會給你政治壓力,改用圈圈,最起碼上面的圖案都是合法的。

I'm not a criticaster.

1269
Study-Area 公開討論版 / trace log
« 於: 2003-12-03 16:17 »
-#--------------Node Name---------------IP Address------Location-----------RT*--High---Low---Avg-Tot---D-Who
 1                              HIKOHAN 192.168.2.252   24.000N,120.000E    0    0    0    0   1   0
 2                                  qrh 192.168.2.254   Unknown             0    0    0    0   1   0
 3    61-220-123-249.hinet-ip.hinet.net 61.220.123.249  Unknown             0    0    0    0   1   0
 4                                      10.220.123.254  Unknown            47   47   47   47   1   0
 5         tp-s2-c6r12.router.hinet.net 168.95.83.198   Unknown            45   45   45   45   1   0
 6         tp-s2-c12r1.router.hinet.net 211.22.34.138   Unknown            56   56   56   56   1   0
 7            hc-c12r1.router.hinet.net 168.95.2.161    Unknown            45   45   45   45   1   0
 8       hc-tanet-gw01.router.hinet.net 211.22.38.93    Unknown            48   48   48   48   1   0
 9                                      211.22.38.249   Unknown            48   48   48   48   1   0
10               study-area.nctu.edu.tw 140.113.27.184  25.000N,121.400E   47   47   47   47   1   0
--------------------------------------------------------------------------------------------------------

節點速度可以接受,但是品質會不會卡在server ? 這要RRD同時看cpu, io, flow.....

希望能更快一點,開一個頁面要五秒鐘,有點受不了。

我用雙向512,目前使用率40%out, 5%in。

1270
個人建議:

1. 來這邊的人,不是看cartoon圖案,是看文章與討論。
2. 省掉無關緊要的圖案,還可以提升頻寬。
3. 象徵階級的圖案下,與文字無異。 ie: ☆★○● ext: [#FFFFFF]

以前曾經看過一個汽車網站,裡面一堆將領階級,集體發言如哈哈兵團。

ex: 對啊、喔、嗯、哈哈、推~....這樣也可以累積點數?

沒有圖案的裝飾或許生硬,但是真正在意的人有多少?我第一個想法是利用有顏色的企鵝替代,但是表面上的圖案外,文章的內容才是重點,思考的交流更顯意義,這是一個論壇區。

1271
dear Netman:

相信不是我的問題,因為檢查過netflow,看別的站很快,想要建議這一個站的主機要不要tune一下?

sql與httpd是分開的嗎?

效率的瓶頸在hardware還是line呢?

樂見收費制度啟用。

1272
很早知道netman有被砍站的困擾,雖然我也砍過。

// 砍站記錄
function kickmeout() {
global $badipfrom, $HOST_IP;
system("echo $HOST_IP >> $badipfrom");
echo "$HOST_IP blocked!";
}

// 拒絕砍站者登入
$handle = fopen ($badipfrom, "r");
$IPS = fread ($handle, filesize ($badipfrom));
   if(ereg("$HOST_IP", $IPS)){
      $TELEPORT='Y';
      }
fclose ($handle);


把記錄砍站的鏈結放在主頁,例如<a href="hell.php">.</a>

這樣,砍站者必定自斃!

1273
Network 討論版 / 試過cbq.init嗎?
« 於: 2003-12-02 17:27 »
ip rules改成IPV6格式,或者

先根據protocol做CBQ可行嗎?

頁: 1 ... 41 42 [43]