hogem.hatenablog.com 追記で書いたけど↑は任意のsourceからとあるStandardなVirtualServerへアクセスしたときのsource nat とはいえ結局はnatなので半分ぐらいかぶってる。 今回は宛先がVirtualServerではなくて、 特定のserverからbig-ipをdefault gateway…

お手軽にsnort使える環境ないかなーと思って色々調べてて (サーバ自身にsnortを入れるという方法は除外して) vyatta/vyos で出来んじゃねーのと思ってたけど forum見ると、brocade買収後？しばらくしてsnortはsupportされなくなったとか。 で他のもの探して…

30日、5Mbps制限の評価版 https://www.a10networks.com/vthunder-embed 対応ハイパーバイザ Hyper-V ESXi KVM Software Downloadから選択したハイパーバイザに対応したソフトウェアをdownload Request Licenseにはhost id を入力してライセンスをコピーしと…

参考: hogem.hatenablog.com www.f5networks.co.jp SSL - Client Profile 証明書によるクライアント認証を行いたい場合、 普通はclientssl profile でClient Authenticationにrequireにする。 かつ、OCSP レスポンダを使う場合はvirtualserverでAuthenticati…

Linuxでネットワークの監視を行えるモニタリングコマンド20選 http://orebibou.com/2014/09/linux%E3%81%A7%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%AE%E7%9B%A3%E8%A6%96%E3%82%92%E8%A1%8C%E3%81%88%E3%82%8B%E3%83%A2%E3%83%8B%E3%…

big-ip tmsh show running-config と打つと(もしくはtmsh に入ってからrunning-config) # tmsh show running-config Display all 170 items? (y/n)と確認されるけど、ログ取得時などに毎回確認されるのがうっとうしい。cisco iosだと # terminal length 0 # …

久々すぎて一部忘れてた VIP MIP DIP ポリシーベース Nat-Dst, Nat-Src 設定内容によっては複数の方法で実現できるものもあるけど、基本的にはこんな感じ？ VIP Virtaul IP dest NATで使う。 untrust interfaceでのみ設定可能。 untrustに設定した(通常は)グ…

https://support.f5.com/kb/en-us/solutions/public/6000/000/sol6017.html 追記 これは任意のsourceからとあるStandardなVirtualServerへアクセスしたときのsource natのお話です 追記おわり VirtualServer Source Address TranslationでAutoMap (floating …

version 11.5.1評価版は誰も使えるので家のESXiに入れてみた。使ったのはESXi用のovaファイル。 参考URL https://f5.com/products/trials/product-trials http://www.f5networks.co.jp/shared/pdf/BIG-IP800LTM_Easy_Setup.pdf http://f5networks.co.jp/shar…

nmapも使ってたりすると混同してオプション忘れがちになるのでメモ。 ncでport scan(daemonがlistenしているか確認するだけ#データ何も送らなくてよい)場合は-z optionを使うと良い。 $ nc -z 192.0.2.1 80; echo $? Connection to 192.0.2.1 80 port [tcp/h…

ping virtual router 内のnetworkへのping > ping 192.0.2.1 routing-instance vr_name routing static route 確認 # show routing-optionsvirtual router のrouting確認 # show routing-instances vr_name routing-options

proxyを経由しないとinternetへ接続できない環境下で、PCのLINE アプリケーションで接続できへんと言われた。 今のところ、LINEにはproxyを設定する項目がないようなので、proxyを経由させずにFWでNATさせるなどをするしかない。 ちなみに、プロキシでintern…

nic 2枚 持ってるlinuxをLoad Balancerとして動かしたかったので久々にやろうとしたら結構忘れていたのでメモ。 LBじゃなくて普通のrouterにしたいなら、vyattaを使えばNATの設定入れたら裏でiptablesも設定してくれて楽ですけど。 eth0: 192.0.2.1 (グロー…

通常1つのnic上に仮想IPを割り当てる場合はifconfig eth0:0 のようにaliasで設定すればいいけど、L2レベルでの仮想デバイスが欲しかったのでtapを使ってみた。 # yum install tunctl # tunctl ==> tap0 が出来るあとはいつものように/etc/sysconfig/network-…

dynagenでcisco routerを動かすのはいいけど、アクセスするにはコンソール用のポートに接続しないといけなくてポート番号忘れたりするしやきもきするので、直接接続したくなったのでやった。 dynagenのrouterの設定で、F1/0 = NIO_tap:tap0 のように記述すれ…

dynagen dynamips 何か会社の自席から半径2メートルぐらいでにわかに盛り上がっていたのでやってみた。GUIが使えるならGNS3というのも使うと、トポロジーが簡単に作れるので良い。エミュレートするマシンにCatalystはないけど、routerにNM-16ESW モジュール…

http://humdi.net/vnstat/ vnStat is a console-based network traffic monitor for Linux and BSD that keeps a log of network traffic for the selected interface(s). サーバのtrafficを真面目に確認/監視したい場合はcacti, mrtg等を使うのが通常だと思…

確か昔keepalivedでvrrpするときにも内部でipコマンド使われてて同じことになった記憶がある。ip コマンドで設定されたものはifconfig では表示されないので、サーバのIP見る時はip addr show で見たほうが確実なのでは、と今更思った。なんで今さら言ってい…

/proc/sys/net/ipv4/ 以下のアレ。高負荷時にはチューニングすると良いらしいけど、これを設定して効果が出るような状況にはまだ出くわしたことない。 tcp_fin_timeout default: 60 (秒) tcpのシーケンスでFIN-WAIT2からTIME_WAIT に移行するまでの待ち時間…

できるものとできないものがあるみたい。miimonの数値はオンラインのまま変更可能だった。 # echo 100 > /sys/class/net/bond0/bonding/miimonbondingのmode, xmit_hash_policy 等はinterfaceを停止させないと変更できなかった。 # echo 2 > /sys/class/net/…

http://d.hatena.ne.jp/rx7/20120412/p1 http://docs.redhat.com/docs/ja-JP/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sec-Using_Channel_Bonding.html nicが偏って困ってたらniceなentry見つけた。さすがrx7さん。linux bonding mode=2 (balance-…

netcat がパワーアップしたようなもの？ http://www.dest-unreach.org/socat/ http://www.dest-unreach.org/socat/doc/socat.html#EXAMPLES netcatのport forwardが面倒くせーなーと思っていたけど、socatなら名前付きパイプを作らなくても良かった。(といっ…

単純にncをパイプで入出力を繋げると、入力はforwardされるけど、出力はclientに返らずに、ncを実行している端末の標準出力に出てしまう。 localhostの8080にきたものを192.168.0.1の80にforward $ nc -l 8080 | nc 192.168.0.1 80これでcilentからnc 10.0.0…

firewallの設定をガチムチにしていたら、icmp版traceroute (traceroute -I) は通るけど、defaultのtracerouteが通らなかったのでport番号調べた。RFCは読んでない。 netscreenのpredefined の設定 ICMP type:8,code:0 UDP src port 0-65535, dst port:33400-…

確認したのはRHEL, CentOS, SL の5.8と6.2modprobe.d 以下に適当な名前の設定ファイルを作成 (or /etc/modprobe.conf に直接書く) # vi /etc/modprobe.d/ipv6.conf options ipv6 disable=1設定したあとOS再起動。 昔のRHEL5系 (5.0, 5.1などの古いOS # いつ…

webUIで結果を確認できる。 libpcap、rrdtool、GeoIP等が必要。 http://www.ntop.org/products/ntop/ install # wget http://sourceforge.net/projects/ntop/files/ntop/Stable/ntop-4.1.0.tar.gz/download # tar zxvf ntop-4.1.0.tar.gz # cd ntop-4.1.0 # …

http://www.vyatta.com/ http://www.vyatta.org/ vyatta: debian based なsoftware router。routing, firewall, nat , ips , vpn などが使える。基本的な機能は無償版と有償版で変わらない。有償版にはHA構成時のconfig 同期、GUI、support がついている、ぐ…

参考: http://openvswitch.org/ http://tomocha.net/diary/?20110928 (flow ruleとか) git clone git://openvswitch.org/openvswitch source最新版にopenvswitch-1.2.2.tar.gz があるけど、redhat用の起動スクリプトにBRCOMPAT(linux互換のブリッジモード)の…

man iptables あんましやることないだろうけど、出来たのでメモ。設定はホストOSで。eth0をbr0でbridgeしている場合の例。まずprocの値を変更 # echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables # echo 1 > /proc/sys/net/bridge/bridge-nf-call-arp…

cactiでbond0(1Gbps mode=1 1Gbpsのeth0/eth1)のグラフを取ると上限が10Mbpsになっていた。snmpwalkの応答を見てみると、max 10Mbpsで返ってきている。 IF-MIB::ifSpeed.6 = Gauge32: 10000000ﾅｽﾞｪ…と思ってmanualとかを見ていると仕様っぽい。 https://bugz…