Понадобилось собирать и обрабатывать netflow-статистику с циски на машине с FreeBSD. Задачи довольно простые — иметь возможность анализа сетевого трафика внутри корпоративной сети, например, с целью выявления адресов, генерирующих аномальный трафик, а также выявление других проблем, влияющих на пропускную способность каналов.
(продолжение…)
Постоянно падал Squid на сервер под Линуксом, в логах только вот это:
Jun 20 17:18:18 mail squid[6690]: Squid Parent: child process 6711 exited due to signal 25
Как оказалось проблема была из-за какой-то ошибки файловой системы, fsck помог:
fsck /dev/sda4
За столько лет работы под ФриБСД ни разу с такой хренью не сталкивался )
Разослал всему офису письмо со своего адреса с просьбой прислать мне свои данные для доступа к БД.
Фишка в том, что, хотя адрес отправителя был мой, но адрес для ответа был левый на gmail.com — нажимаешь «Ответить», а в адресе получателя стоит левый емейл )
Получил 9 ответов с паролями на указанный ящик с gmail.com. Слава Богу, что хоть кто-то переспросил, чтобы убедиться, что письмо от меня. Правда на левый емейл так никто внимания не обратил )
И это сотрудники IT конторы, непосредственно связанной с Интернетом и имеющие доступ к конфиденциальной информации.
Грустно…
Обычно, для тех кто впервые начинает настройку файрвола, принципы работы трансляции соединений становятся одним из наиболее сложных для понимания моментов, поэтому в данной статье основной упор сделан на описании этих принципов на примере одной типовой схемы.
(продолжение…)
Для снижения нагрузки на сервер приложений и сервер базы данных включен кеширующий прокси-сервер — все обращения идут к нему как к веб-серверу.
В качестве прокси использован Squid в режиме http-акселератора. Настройки Squid-а позволяют указать время кеширования, в течение которого запросы не будут передаваться на сервер приложений, а результаты работы скриптов будут отдаваться из кеша так же как и статичные страницы и картинки.
Проблема оказалась в том, что ASP-скрипты не желали кешироваться, и, несмотря ни на какие настройки Squid-а удалялись из кеша сразу после поступления. Таким образом задача по снижению нагрузки на серверы приложений и БД не выполнялась.
Дело было в директиве CacheControl со значением Private, которое выдаётся по-умолчанию, и мне не удалось повлиять на него настройками Squid-а. Изменить значение этой директивы удалось только при помощи дополнительной строчки в ASP-скриптах:
<% Response.CacheControl="Public" %>
Этот самый форвардинг позволяет проходить пакетам сквозь машину, с одного сетевого интерфейса на на другой. Ещё проще говоря, форвардинг нужен чтобы машины с реальными адресами изнутри сети могли выходить во внешний мир.
(продолжение…)
Для теста использовалось следующее оборудование:
(продолжение…)