- Добро пожаловать на Моя шпаргалка :).
Последние сообщения
#21
mikroTik / От: Настройка Firewall Mikroti...
Последний ответ от George - Март 11, 2024, 01:05Входим в редактирование FW
Код: bash
Код: bash
Код: bash
Код: bash
Код: bash
Код: bash Код: bash
Код: bash
Код: bash
Код: bash
Код: bash
/ip firewall filteradd action=accept chain=input comment="accept establish & related" connection-state=established,relatedadd action=drop chain=input comment="drop invalid" connection-state=invalidadd action=accept chain=input comment="accept ICMP" protocol=icmpadd action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lanadd action=accept chain=forward comment="accept established,related" connection-state=established,relatedadd action=drop chain=forward comment="drop invalid" connection-state=invalidadd action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wanadd action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcpadd action=accept chain=forward comment="accept dns from LAN" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udpadd action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan #22
mikroTik / Mikrotik edit/set как удалить/...
Последний ответ от George - Март 11, 2024, 12:49Команды для консоли MikroTik:
Переходим в нужный раздел
# Переходим в разде IP/Firewall/NAT
Код: bash
Удаляем параметр у элемента
# Удаляем параметр "dst-address" для первого элемента в списке (номер 0):
Код: bash
Всё то же самое, что и выше, но одной командой:
Код: bash
ПАМЯТКА на всякий случай:
Вывести список элементов текущего раздела:
Код: bash
Установить значение dst-address для первого элемента (номер 0), находясь в разделе /ip firewall nat:
Код: bash
Удалить значение dst-address для первого элемента (номер 0), находясь в любом разделе:
Код: bash
Переходим в нужный раздел
# Переходим в разде IP/Firewall/NAT
/ip firewall natУдаляем параметр у элемента
# Удаляем параметр "dst-address" для первого элемента в списке (номер 0):
unset 0 dst-addressВсё то же самое, что и выше, но одной командой:
/ip firewall nat unset 0 dst-addressПАМЯТКА на всякий случай:
Вывести список элементов текущего раздела:
printУстановить значение dst-address для первого элемента (номер 0), находясь в разделе /ip firewall nat:
set 0 dst-address=192.168.88.32Удалить значение dst-address для первого элемента (номер 0), находясь в любом разделе:
/ip firewall nat unset 0 dst-address
#23
mikroTik / Настройка Firewall Mikrotik
Последний ответ от George - Март 11, 2024, 11:55Сначала дропаем всё подозрительное, ненормальное, и противоестественное, такое как invalid connection, запросы на мой DNS, листы DROP и так далее.
Далее защиты от сканера портов, от DDoS и Syn атак и т.д.
Следом правила по разграничиванию доступа, запрет ненормалых подключений по VPN....
Потом разрешающие и запрещающие правила для конкретных сетей и пользователей
Последнее правило для запрета всего остального, что не попало под правила выше.
Блокировка любителей сканировать порты:
Код: bash
Код: bash
Так мы дропнем его навсегда
блокировка DDoS
Код: bash Код: bash Код: bash Код: bash Код: bash Код: bash Код: bash Код: bash Код: bash Код: bash Код: bash Код: bash
4 включаем кэш для отслеживания SYN-ACK пакетов.
5-10 правила определяющие кто и как часто пытается нас или через нас спамить кого-либо малыми пакетами. Если это не спам, то пакетик считается легитимным и продолжает обрабатываться в обычном режиме.
11-12 отдельная цепочка прероутинга, в которой спам начинает отбрасываться.
Особенно разжевывать или тюнить эту схему не вижу смысла - у всех будут разные задачи и разный результат, который должен получиться. В моем случае мне этого вполне достаточно. Не забудьте в IP -> Firewall поднять эти правила в самый верх. У меня еще выше этих правил стоят правила BLOCK и WhiteList - где, соответственно, черный список - это те адреса, которые мне совсем не нравятся, а белый - это список моих внешних адресов, которые нет смысла пропускать через все остальные правила фаервола. Далее должны расположиться вот эти 4 правила по отсеиванию флуда, а далее уже все остальные с пробросом к внутренним ресурсам.
Далее защиты от сканера портов, от DDoS и Syn атак и т.д.
Следом правила по разграничиванию доступа, запрет ненормалых подключений по VPN....
Потом разрешающие и запрещающие правила для конкретных сетей и пользователей
Последнее правило для запрета всего остального, что не попало под правила выше.
Блокировка любителей сканировать порты:
>/ip firewall filter add chain=input psd=21,3s,3,1 action=add-src-to-address-list address-list=psd/ip firewall raw add chain=prerouting src-address-list=psd action=dropТак мы дропнем его навсегда
блокировка DDoS
/ip firewall address-listadd list=ddos-attackersadd list=ddos-target/ip settings set tcp-syncookies=yes/ip firewall filteradd chain=forward connection-state=new action=jump jump-target=detect-ddosadd action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10sadd action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s protocol=tcp tcp-flags=syn,ackadd action=add-dst-to-address-list address-list=ddos-target address-list-timeout=10m chain=detect-ddosadd action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos/ip firewall rawadd action=drop chain=prerouting dst-address-list=ddos-target src-address-list=ddos-attackers4 включаем кэш для отслеживания SYN-ACK пакетов.
5-10 правила определяющие кто и как часто пытается нас или через нас спамить кого-либо малыми пакетами. Если это не спам, то пакетик считается легитимным и продолжает обрабатываться в обычном режиме.
11-12 отдельная цепочка прероутинга, в которой спам начинает отбрасываться.
Особенно разжевывать или тюнить эту схему не вижу смысла - у всех будут разные задачи и разный результат, который должен получиться. В моем случае мне этого вполне достаточно. Не забудьте в IP -> Firewall поднять эти правила в самый верх. У меня еще выше этих правил стоят правила BLOCK и WhiteList - где, соответственно, черный список - это те адреса, которые мне совсем не нравятся, а белый - это список моих внешних адресов, которые нет смысла пропускать через все остальные правила фаервола. Далее должны расположиться вот эти 4 правила по отсеиванию флуда, а далее уже все остальные с пробросом к внутренним ресурсам.
#24
Настройки *nix (почта, web, система etc) / Проброс real ip в apache2 за h...
Последний ответ от George - Фев. 02, 2024, 12:55Настройка HAProxy Server
Чтобы начать настройку, подключитесь к серверу HAProxy по ssh и измените файл конфигурации в ./etc/haproxy/haprxy.cfg
Код: bash
Код: vim
Настройка веб-сервера Apache2
Затем подключите ssh remote к вашему веб-серверу Apache2 и включите модуль, набрав команду:remoteip
Код: bash
Если модуль remoteip не существует в вашей системе Ubuntu, то установите последнюю версию веб-сервера Apache2, используя следующее руководство:
https://linuxbeast.com/tutorials/aws/install-apache2-on-amazon-ec2-ubuntu-18-04/
После того, как вы закончите установку модуля remoteip, измените конфигурационный файл Apache2 в ./etc/apache2/apache2.conf
Код: bash
Код: vim
Проверьте конфигурацию Apache2 с помощью:
Код: bash
Код: bash
Чтобы начать настройку, подключитесь к серверу HAProxy по ssh и измените файл конфигурации в ./etc/haproxy/haprxy.cfg
sudo vi /etc/haproxy/haprxy.cfgbackend Apache2_Server
mode http
http-request add-header X-Forwarded-For %[src]
http-request set-header X-Forwarded-Port %[dst_port]Настройка веб-сервера Apache2
Затем подключите ssh remote к вашему веб-серверу Apache2 и включите модуль, набрав команду:remoteip
sudo a2enmod remoteipЕсли модуль remoteip не существует в вашей системе Ubuntu, то установите последнюю версию веб-сервера Apache2, используя следующее руководство:
https://linuxbeast.com/tutorials/aws/install-apache2-on-amazon-ec2-ubuntu-18-04/
После того, как вы закончите установку модуля remoteip, измените конфигурационный файл Apache2 в ./etc/apache2/apache2.conf
sudo vi /etc/apache2/apache2.confRemoteIPHeader X-Forwarded-ForПроверьте конфигурацию Apache2 с помощью:
sudo apache2ctl configtestsudo systemctl apache2 restart #25
Настройки *nix (почта, web, система etc) / От: Проброс real ip в nginx за...
Последний ответ от George - Фев. 02, 2024, 12:40В данном примере HTTPS-трафик клиентов не модифицируется (HAProxy вмешивается в транспортный уровень) и его терминация происходит непосредственно на Nginx.
haproxy.cfg
nginx.conf
Я этот вариант не пробовал, поскольку при таком варианте, как я понимаю, сертификат будет запрашиваться с хоста. А мне, при том, что у меня letsencrypt сертификаты обновляет сам haproxy это не удобно. Ведь на самом сервере они не обновятся, надо будет изобретать скрипт перезаписи сертификатов и перезапуска nginx))
haproxy.cfg
Извините, вам запрещён просмотр содержимого спойлеров.
nginx.conf
Извините, вам запрещён просмотр содержимого спойлеров.
Я этот вариант не пробовал, поскольку при таком варианте, как я понимаю, сертификат будет запрашиваться с хоста. А мне, при том, что у меня letsencrypt сертификаты обновляет сам haproxy это не удобно. Ведь на самом сервере они не обновятся, надо будет изобретать скрипт перезаписи сертификатов и перезапуска nginx))
#26
Настройки *nix (почта, web, система etc) / Проброс real ip в nginx за hap...
Последний ответ от George - Фев. 02, 2024, 12:22Довольно часто требуется балансировать нагрузку между несколькими веб-серверами. При этом, как правило, необходимо, чтобы веб-приложения получали реальные IP-адреса клиентов, а не IP балансировщика.
В случае балансировки и терминации HTTP(S)-трафика на HAProxy (Layer 7 [1]) данная задача легко решается добавлением заголовка "X-Real-IP" и его обработкой на Nginx при помощи модуля ngx_http_realip_module [2]. При балансировке TCP-трафика от HTTPS-клиентов и передаче его на веб-сервера напрямую без модификации или терминации (Layer 4 [3]) добавить данный заголовок невозможно, поэтому требуется воспользоваться возможностями, предоставляемыми Proxy Protocol [4, 5, 6].
Рассмотрим оба варианта (балансировка L7 и L4) на примере выдержек из конфигурационных файлов haproxy 1.5.9 и nginx 1.6.2
Балансировка на прикладном уровне (Layer 7): терминация HTTPS-трафика на HAProxy и передача по HTTPS на Nginx
В данном примере HTTPS-трафик от клиента терминируется на HAProxy, модифицируется и передается на Nginx так же по HTTPS.
В случае балансировки и терминации HTTP(S)-трафика на HAProxy (Layer 7 [1]) данная задача легко решается добавлением заголовка "X-Real-IP" и его обработкой на Nginx при помощи модуля ngx_http_realip_module [2]. При балансировке TCP-трафика от HTTPS-клиентов и передаче его на веб-сервера напрямую без модификации или терминации (Layer 4 [3]) добавить данный заголовок невозможно, поэтому требуется воспользоваться возможностями, предоставляемыми Proxy Protocol [4, 5, 6].
Рассмотрим оба варианта (балансировка L7 и L4) на примере выдержек из конфигурационных файлов haproxy 1.5.9 и nginx 1.6.2
Балансировка на прикладном уровне (Layer 7): терминация HTTPS-трафика на HAProxy и передача по HTTPS на Nginx
В данном примере HTTPS-трафик от клиента терминируется на HAProxy, модифицируется и передается на Nginx так же по HTTPS.
Извините, вам запрещён просмотр содержимого спойлеров.
Извините, вам запрещён просмотр содержимого спойлеров.
#27
Настройки *nix (почта, web, система etc) / От: Увеличение размера LVM Pro...
Последний ответ от George - Янв. 10, 2024, 11:41в принципе подходит для любого lvm. Но на centos 7 я столкнулся с тем, что resize2fs ошибку выдает..
Вот команда. Там файловая система xfs
Код: bash
Вот команда. Там файловая система xfs
xfs_growfs /dev/centos/root #28
Настройки *nix (почта, web, система etc) / От: Обновление nextcloud
Последний ответ от George - Янв. 09, 2024, 05:56может потребоваться:
Код: bash
и выход из режима обслуживания
Код: bash
sudo -u www-data php8.2 occ upgradeи выход из режима обслуживания
sudo -u www-data php8.2 occ maintenance:mode --off #29
Настройки *nix (почта, web, система etc) / Подключение по шифрованному ка...
Последний ответ от George - Дек. 08, 2023, 04:31Если нам нужно подключиться к серверу по защищенному каналу SSL/TLS, то используем для подключения команду openssl. Мы можем подключиться к портам 587 (STARTTLS) или 465 (SMTP over SSL).
а) Для подключения по порту 587:
Код: bash
б) Для подключения по порту 465:
Код: bash
Далее проходим аутентификацию и можно делать отправку вышеописанными командами.
Аутентификация
Если почтовый сервер требует аутентификацию, необходимо сначала авторизоваться в системе.
Для этого вместо или после приветствия вводим:
Код: bash
* EHLO — расширенное приветствие, которое позволит получить возможности почтового сервера.
В ответ мы получаем, примерно, следующее:
* в списке мы можем увидеть разные методы аутентификации (перечислены после AUTH).
Получаем base64
Данные авторизации передаются в закодированном виде с использованием стандарта Base64.
Чтобы закодировать свои логин и пароль, можно воспользоваться одним из перечисленных способов ниже.
1. Bash:
Код: bash
2. Powershell:
Код: powershell
3. Perl:
Код: bash
4. Онлайн:
На веб-сайте base64.ru
LOGIN
При данном методе мы по очереди передаем закодированные логин и пароль.
После приветствия вводим:
Код: bash
В ответ получаем:
После этого отправляем логин в base64, например dmosk:
Код: bash
Получим ответ:
И вводим пароль (password):
Код: bash
Если аутентификация прошла успешно, увидим:
Можно делать отправку.
PLAIN
Данный метод аутентификации отличается от вышеописанного тем, что логин с паролем передаются одной строкой. Base64 для них получаем следующей командой, например, в unix-shell:
Код: bash
... или Powershell:
Код: powershell
* где username и password — логин и пароль для аутентификации; \0 — нулевой байт.
Авторизовываемся:
Код: bash
Видим приглашение на ввод аутентификационных данных:
Вводим нашу последовательность:
XDAwdXNlclxAZG9tYWluLnJ1XDAwcGFzc3dvcmQ=
а) Для подключения по порту 587:
openssl s_client -starttls smtp -connect smtp.yandex.ru:587б) Для подключения по порту 465:
openssl s_client -connect smtp.yandex.ru:465Далее проходим аутентификацию и можно делать отправку вышеописанными командами.
Аутентификация
Если почтовый сервер требует аутентификацию, необходимо сначала авторизоваться в системе.
Для этого вместо или после приветствия вводим:
ehlo* EHLO — расширенное приветствие, которое позволит получить возможности почтового сервера.
В ответ мы получаем, примерно, следующее:
Цитировать250-relay.im-cloud.site Hello [192.168.0.15]
250-SIZE 10485760
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-X-ANONYMOUSTLS
250-AUTH LOGIN PLAINT
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250-XEXCH50
250-XRDST
250 XSHADOW
* в списке мы можем увидеть разные методы аутентификации (перечислены после AUTH).
Получаем base64
Данные авторизации передаются в закодированном виде с использованием стандарта Base64.
Чтобы закодировать свои логин и пароль, можно воспользоваться одним из перечисленных способов ниже.
1. Bash:
echo -ne "текст" | base642. Powershell:
[System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes("текст"))3. Perl:
perl -MMIME::Base64 -e "print encode_base64('текст');"4. Онлайн:
На веб-сайте base64.ru
LOGIN
При данном методе мы по очереди передаем закодированные логин и пароль.
После приветствия вводим:
AUTH LOGINВ ответ получаем:
Цитировать334 VXNlcm5hbWU6
После этого отправляем логин в base64, например dmosk:
ZG1vc2s=Получим ответ:
Цитировать334 UGFzc3dvcmQ6
И вводим пароль (password):
cGFzc3dvcmQ=Если аутентификация прошла успешно, увидим:
Цитировать235 2.0.0 Authentication successful
Можно делать отправку.
PLAIN
Данный метод аутентификации отличается от вышеописанного тем, что логин с паролем передаются одной строкой. Base64 для них получаем следующей командой, например, в unix-shell:
echo -ne "\0username\0password" | base64... или Powershell:
[System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes("\0username\0password"))* где username и password — логин и пароль для аутентификации; \0 — нулевой байт.
Авторизовываемся:
AUTH PLAINВидим приглашение на ввод аутентификационных данных:
Цитировать334 VXNlcm5hbWU6
Вводим нашу последовательность:
XDAwdXNlclxAZG9tYWluLnJ1XDAwcGFzc3dvcmQ=
#30
Настройки *nix (почта, web, система etc) / Обновление nextcloud
Последний ответ от George - Нояб. 24, 2023, 12:02Обновите Nextcloud из командной строки
Метод командной строки более эффективен, и вы увидите меньше ошибок по сравнению с веб-приложением обновления. Если в вашем экземпляре Nextcloud много пользователей и файлов, вам следует использовать метод командной строки.
Перейдите в каталог установки NextCloud. (В зависимости от вашей настройки каталог установки Nextcloud может отличаться. Например, если вы настроили Nextcloud со стеком LAMP, это может быть каталог /var/www/nextcloud/. Если вы настроили Nextcloud со стеком LEMP каталогом данных может быть /usr/share/nginx/nextcloud/).
Код: bash
Код: bash
Код: bash
Метод командной строки более эффективен, и вы увидите меньше ошибок по сравнению с веб-приложением обновления. Если в вашем экземпляре Nextcloud много пользователей и файлов, вам следует использовать метод командной строки.
Перейдите в каталог установки NextCloud. (В зависимости от вашей настройки каталог установки Nextcloud может отличаться. Например, если вы настроили Nextcloud со стеком LAMP, это может быть каталог /var/www/nextcloud/. Если вы настроили Nextcloud со стеком LEMP каталогом данных может быть /usr/share/nginx/nextcloud/).
cd /var/www/nextcloud/sudo -u www-data php8.2 updater/updater.phar --no-interactionphp -v