Автор: taras

Як заблокувати vk ok mail та інші Україна

Вітаю !

Давно я нічого не писав ) так склалось, указом президента заблокувати доступ до заборонених ресурсів vk.com ok.ru mail.ru kaspersky.ru drweb.ru та іншим ресурсам РФ.

А точніше я опишу як це діло максимально швидко та просто можна запустити, що нам знадобиться :

  1. Давайте відразу зрозуміємо що повністю на 100% заблокувати ресурси ми не зможемо  “доступними” методами.
  2. Ми можемо прийняти пів міри  на звичайному обладнанні серверах чи роутерах(маршрутизаторах).
  3. Які технології ми можемо використовувати ? null routing,route forwarding,PBR,DNS,proxy.
  4. Нюанси у реалізації кожного з варіантів будуть описані нижче.
  5. Як заблокувати ресурси повністю ? тут потрібно залізо з фільтрацією на рівні Layer7 DPI розбирати трафік залазити у кожен пакет це не все так просто як здається керівництву країни але, це можливо реалізувати, питання лиш в одному кому це по кишені ?! не Українським провайдерам так точно.. Так можна запустити таку фільтрацію на серверах, але уявіть собі скільки у такого сервера має бути процесорів,оперативної пам’яті, скільки має бути  мережевих карт і якої продуктивності щоб  пропустити через себе хоча б трафік на 80й порт, у кого трафіка до гігабіту підійде і цей варіант, але що робити якщо трафіку сильно більше чим десятки гігабіт ?! тут тільки залізне апаратне рішення яке звичайним провайдерам не те що не по кишені, а навіть не світить їм у перспективі… так як жорсткий демпінг і конкуренція на ринку інтернет послуг  в реаліях України це щось з чимось то … чого коштує зробити пакет з доступом в інтернет при середній вартості для користувача 80 копійок 1 мегабіт при середній  закупівельній ціні в мінімум 8 гривень тепер давайте зрозумієм що вартість інтернету сильно занижена бо при вартості 100 мегабіт за 80 гривень це 80 копійок мегабіт, а має бути приблизно так 100 мегабіт за 800 гривень от це реальна ціна, але наші користувачі не готові її платити. Наприклад SCE від Cisco обійдеться в мінімум від 500 usd на 1 гігабіт трафіку до 15000 usd на 10 гігабіт трафіку.

Також є і інші рішення такі як ipoque у них є своя платформа здатна промолотити до 9 гігабіт\с на 1 ядро їх залізяки, але вартість я думаю не буде дешевою.

Якщо ж блокувати  на linux чи freebsd то продуктивність платформи падає приблизно в 8 раз тобто якщо так сервер пропускає гігабіт трафіку то при цих же умовах він пропустить від сили  200 мегабіт трафіку продуктивність не велика тобто при сервері здатному промолотити 10 гігабіт чистої продуктивності отримаємо в районі 2х гігабіт, а це дуже погано так як затрати ростуть, а доходи як було описано вище падають за рахунок демпінгу на ринку.

1)Тут є варіант безвідмовний, але не у всіх є право так робити це блокування всіх DNS серверів крім своїх по 53 порту  тип трафіку udp ! тобто створюєм правило, або acl з блокуванням усього на 53й порт крім своїх DNS серверів і стартуєм блокування можливостями DNS, так це буде працювати і доволі класно, але це  обмеження можна обійти описувати як я не буду.

Плюси: зручно, просто, можливо реалізувати

Мінуси: Не красиво так робити особливо з погано працюючими  DNS серверами від провайдера.

2) Null routing не красиво бо без редіректу тобто у користувача і ресурс не відкриється, але й взамін нічого не відкриється буде виглядати як не робочий інтернет.

Плюси: простота.

Мінуси: без DNS блокування користувачі не зрозуміють що ресурс заблоковано по указу,

потрібно відслідковувати зміни ір адрес і автоматизувати даний процес.

3) route forwarding тут можна зробити красиво і форвардити трафік на свій вебсервер де показувати користувачам що даний ресурс заблокований, але й цей метод не ідеальний.

Плюси: простота вроді як все працює.

Мінуси: не робочий SSL HTTPS сторінки не відкриються.

потрібно відслідковувати зміни ір адрес і автоматизувати даний процес.

4) Proxy універсальний варіант, але лише при “прозорому проксуванні” тобто користувач навіть і не здогадується що ходить через проксі сервер, але скільки потрібно цих самих серверів на гору трафіку ?!

Плюси : підтримується маршрутизаторами Cisco 15 річної давності.

Мінуси: потрібно багато серверів для середнього ISP.

5) Якщо все разом зліпити докупи отримаємо досить надійна система і вона дозволить навіть більше ніж просто блокувати певні сайти, а ще і щось інше робити, тут описувати не буду 😉

  1. А що стосується  DPI то тут все складно і звичайним провайдерам ловити нічого так як розрахункові потужності потрібні просто космічні для глибокого аналізу трафіку, так це можна зробити якимось сервером, але трафіку воно прожує мало, а для великої кількості трафіку треба багато затрат і пиляти усю реалізацію що знову ж таки не так то просто … Або використовувати SCE чи ipoque, або ж створити свою платформу що багато років\багато грошей.

Faq :

Як швидко отримувати список адрес по номерах автономних систем використовуємо усіма любимий bgpq для блокування :

  1. для cisco :

bgpq -q -F “ip route %r %m Null0 1\n” AS12345 AS4321

де %r мережа %m маска підмережі де Null0 куди завертаємо маршрут де 1 адміністративна дистанція даного маршруту чим нижче тим вищий приорітет.

для фаєрвола PF :

bgpq -q -F “pfctl -t blocked -T add %r/%l\n” AS12345 AS4321

де :%r мережа де %l довжина префіксу

так можна зробити для будь-якого пристрою такий вивід який потрібен саме вам.

Версия в процессе редактирования.

centos vps dahdi не компілюється

Вітаю колеги !

сьогодні мова піде про помилку при компіляції dahdi у vps — віртуалізація зла штука у цьому випадку так як не все працює так як повинно 😉 но нічого руки у нас є поправим сама помилка виглядає так :

make -C linux all
make[1]: Entering directory `/usr/src/asterisk/dahdi-linux-complete-2.10.2+2.10.2/linux’
make -C drivers/dahdi/firmware firmware-loaders
make[2]: Entering directory `/usr/src/asterisk/dahdi-linux-complete-2.10.2+2.10.2/linux/drivers/dahdi/firmware’
make[2]: Leaving directory `/usr/src/asterisk/dahdi-linux-complete-2.10.2+2.10.2/linux/drivers/dahdi/firmware’
You do not appear to have the sources for the 2.6.32-042stab108.5 kernel installed.
make[1]: *** [modules] Error 1
make[1]: Leaving directory `/usr/src/asterisk/dahdi-linux-complete-2.10.2+2.10.2/linux’
make: *** [all] Error 2

потрібно встановити :

yum install kernel-devel kernel-headers

після перейти в директорію з нашим ядром:

cd /lib/modules/`uname -r`

і зробити наступне ім’я нашого ядра у даному прикладі 2.6.32-042stab108.5

ln -s /usr/src/kernels/`uname -r` build

На цьому все компіляція піде успішно 😉

завжди ваш Тарас Крамарець aka ~NiX~

Intertelecom маленька швидкість 128Кбіт\с вище не підіймається

Вітаю !

Люблю провайдера безпровідникового зв’язку Intertelecom так ось зайшов я було якось до них у госты прошу хлопці а зашийте мені на мій ноут  hp 27xx з модемом gobi 2000 свій інтернет сказано зроблено зашили, але швидкість як би не ахті при якісному сигналі, а проблема є у тому що конфігурацію заливають мангустом, а він криво прописав налаштування, у результаті замість номер телефону@it.od.ua було просто IT і у результаті авторизацію проходить, але швидкість  інтернету залишає бажати кращого …

У результаті убив два дня зрозумів що проблема таки з конфігурацією де потрібен chap, а до нього мають доступ тільки дилери,або працівники компанії  Intertelecom знайомий у мене благо є який і підсказав даний код у результаті після правильної прошивки через qpst все полетіло швидкість піднялась з 128Кбіт\с до 1,8 – 2,8 мегабіт\с , пінги зменшились з ~ 280 – 500 до 69 – 80 мс.

Результатом я задоволений дякую знайомому його ім’я тут згадувати не буду 😉

Але суть така що якщо в мангусті у рядку де AN user стоїть замість № телефону@it.od.ua просто IT то знайте проблема саме тут.

і ще якщо ви не розумієте в цій темі краще підіть в офіс компанії, або до дилера і попросіть щоб він змінив вам дані налаштування!

Потрібно відмітити що якщо ви використали увесь ліміт тарифного плану то дані налаштування не допоможуть, а допоможе настання наступного дня 😉

На цьому все усім спасибі за увагу завжди ваш  Taras Kramarets aka ~NiX~

як вирішити проблему cisco PwrDeny off (FRU-power denied)

Вітаю вас дорогі читачі !

Сьогодні хочу розповісти вам про таку проблему як брак живлення, або збійний модуль ( cisco 76xx,65xx ) як відрізнити одне від іншого і як вирішити проблеми з живленням.

Почнемо з діагностики щоб зрозуміти де у нас проблема :

для цього нам потрібно дати команду : sh power

Що нас цікавить у виводі даної команди :

system power redundancy mode = redundant
system power total = 2671.20 Watts (63.60 Amps @ 42V)
system power used = 2334.36 Watts (55.58 Amps @ 42V)
system power available = 336.84 Watts ( 8.02 Amps @ 42V)

нас цікавить

system power available = 336.84 Watts ( 8.02 Amps @ 42V)

А для живлення нової карти потрібно 340.20 Watt суть у тому що ви отримаєте дану помилку при схожому  виводі,  зрозуміти скільки потрібно модулю можна по рядку Pwr-Requested для того слоту котрий вас цікавить…
Шляхи вирішення проблеми з живленням :

Якщо у вас блоки живлення 6000watt, а картина приблизно така ж як у виводі вище тоді у вас блоки живлення працюють не на повну потужність, чому ? та тому що кабелів живлення для роботи на повній потужності в наведеному прикладі має бути 4, а є всього 2 тому маємо живлення менше рівно на половину.

Що робити якщо кабелів нема  можна перевести блоки живлення з режиму резервування в режим без резервування потужність збільшиться, але враховуйте той аспект що якщо вийде з ладу один з блоків живлення у вас відвалиться усі , або частина встановлених карт чому ? та тільки тому що якщо RSP буде з живленням то впаде не все … а якщо без то різниці вже нема.

як перевести в режим без резервування ?

потрібно дати команду: power redundancy-mode combined

Тепер як я згадував вище може бути збійна карта як зрозуміти що проблема у цьому ? якщо у нас більше system power available чим Pwr-Requested у цьому випадку залізо потрібно міняти.
На цьому все завжди ваш Taras Kramarets aka ~NiX~

freebsd tayga IPv6 only to IPv4 hosts

Вітаю друзі !

давненько я нічого не писав … по причині відсутності часу.

Ну нічого доженемо 😉

Так почнемо ж з того про що хочеться сказати люди не використовують IPv6 бо мають страх втратити доступність решти ресурсів по IPv4 що ж тут такого чому не все так просто, а суть у тому що по перше потрібно заставити всі домени розгортатись по IPv6 а це може зробити лише DNS64 така можливість є, але тут же виникає інша проблема потрібен nat64 і таке є ім’я йому tayga налаштувати його доволі просто звичайно без копняка і магічного бубна не зводиться, але я опишу всю повністю процедуру і усе стане зрозуміло воно цілком собі працює зараз до речі через таке з’єднання пишу оцю статтю і повзаю просторами інтернету … )

 

Дано FreeBSD 9.3-RELEASE FreeBSD 9.3-RELEASE #0

налаштований IPv6. з виділеним префіксом 2001:67c:27b2::/48

це глобальна адреса у вас повинна бути своя !!! можливо отриманий через брокерів типу  he.net або netassist.

Задача заставити користувача з IPv6 only побачити IPv4 інтернет.

нам потрібно встановити сам tayga для цього використовуємо дану команду :

cd /usr/ports/net/tayga/ && make && make install

після нам потрібно створити конфіг файл в теці /usr/local/etc/ файл tayga.conf такого змісту :

tun-device nat64

ipv4-addr 192.168.255.1

ipv6-addr 2001:67c:27b2:1::2

prefix 2001:67c:27b2:2:ffff::/96

dynamic-pool 192.168.255.0/24

data-dir /var/db/tayga

Вартує відмітити що tayga натить один IPv6 в один IPv4 !!! тобто у даній схемі можливо лише 254 клієнта…

Переходимо до налаштування bind :

cat /etc/namedb/named.conf :

options {

listen-on-v6 { any; };

dns64 2001:67c:27b2:2:ffff::/96
{
clients { 2001:67c:27b2::/48; };
};
allow-recursion { 2001:67c:27b2::/48; };
recursion yes;

}

На цьому налаштування IPv6 для Bind завершена

стартуємо його /etc/rc.d/named restart

 

тепер що стосується ipv4 nat то він у мене побудований на pf відповідно переходимо редагувати  /etc/pf.conf :

nat on bce0 inet from { 192.168.255.0/24 } to any -> 1.1.1.1

де 192.168.255.0/24 підмережа для нату, а 1.1.1.1 наш зовнішній адрес.

після збереження конфігурації примінимо її: pfctl -f /etc/pf.conf

тепер потрібно включити роутінг для IPv6 і IPv4 якщо цього до цих пір не зроблено :

sysctl net.inet.ip.forwarding=1

sysctl net.inet6.ip6.forwarding=1

тепер переходимо до запуску самого tayga :

/usr/local/sbin/tayga -c /usr/local/etc/tayga.conf -d

ifconfig nat64 up

route add 192.168.255.1/32 -interface nat64

rotue add 192.168.255.0/24 -interface nat64

route -n add -inet6 2001:67c:27b2:2:ffff::/96 -interface nat64

усе залишилось заставити клієнтів отримувати DNS з іп адресом сервера IPv6 !

і перевірити пінги виглядає це так :

Ті хто каже що пінги ходити не повинні глибоко помиляються і ніколи даного не налаштовували !

будьте уважні і самі перевірте коректним налаштуванням.

IPv4 over IPv6

У загальному адмін  має розібратись у тому що написано а користувачу це не дано ))

Для особливо не віруючих у домену ua.fm нема IPv6 адреса ось цому доказ :

ua.fm_without_ipv6

 

на цьому все завжди ваш Taras Kramarets aka ~NiX~