Subnets.ru blog

Утилита chaosreader (http://chaosreader.sourceforge.net) позволяет выделить пользовательские данные из лога tcpdump.
Например, можно сохранить переданные по FTP файлы, картинки запрошенные по HTTP, сообщения электронной почты переданные по SMTP,
ключи переданные в SSH сессии.
Дополнительно поддерживается выделение данные из дампа трафика различных туннелей, 802.11b и PPPoE.

Передав утилите chaosreader на вход накопленный дамп, на выходе получим html файл с анализом пересылок
и ссылками на встретившиеся в сессии файлы.

Собираем лог:

   tcpdump -s9000 -w output1

Анализируем лог и выделяем все встретившиеся файлы:

   chaosreader -ve output1

Анализируем только ftp и telnet трафик:

   chaosreader -p 20,21,23 output1

Запускаем в режиме сниффера, сбрасывающего накопленные сессии 5 раз по 2 минуты каждая:

  chaosreader -S 2,5

В комплект входит утилита replay, позволяющая вторично проиграть сценарий перехваченного telnet, rlogin, IRC, X11 или VNC сеансов.

Другие похожие утилиты:

* pcapsipdump (http://sourceforge.net/projects/psipdump) -  выделение из потока SIP и RTP данных
для последующего прослушивания, каждая SIP сессия сохраняется в отдельный файл.

* smbsniff (http://www.hsc.fr/ressources/outils/smbsniff) - позволяет сохранять переданные по SMB/CIFS
протоколу файлы, присутствующие в перехваченном трафике;

* Tcpreplay(http://tcpreplay.synfin.net) - набор утилит для повторного инициирования сессий
на основе перехваченного трафика.

Оригинал: http://www.opennet.ru/tips/info/1968.shtml

Заметка

Иногда бывает нужно сменить порт для telnet`а (по умолчанию 23) на какой либо ещё.

Как это сделать ?

Довольно просто.

Войдите в режим enable и:

cisco# conf t
cisco(config)#l ine vty 0 15
cisco(config-line)# rotary 5
cisco(config-line)# exit
cisco(config)# exit
cisco# wri

После выполнения этих команд порт для telnet станет 3005 😉

Проверим:

[root@book ~]# telnet 192.168.38.100 3005

Trying 192.168.38.100...
Connected to 192.168.38.100.
Escape character is '^]'.

User Access Verification
Username:

Вот и все.

З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Автор: Панфилов Алексей (lehis (at) subnets.ru)

В помощь новичкам.

Итак, перед вами встала задача раздать Инет на компы за сервером FreeBSD.

Как и множество других вещей во FreeBSD эту задачу можно решить несколькими способами.

Кратко покажу как это можно сделать используя в кач-ве NAT`а процесс natd.

Запускать natd можно несколькими способами, я покажу тот который обычно использую я сам.

Для работы нам потребуются 2 вещи:

1. firewall ipfw с его возможностью divert
2. natd

Для того, чтобы приступить необходимо пересобрать ядро с опциями:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPDIVERT

Так же можно добавить опции:

options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_DEFAULT_TO_ACCEPT

Либо подгрузить ipfw как модуль:
/sbin/kldload /boot/kernel/ipfw.ko

Скажем что:

• сетевая карта в сторону провайдера em0 c IP 10.10.1.2/30
• сетевая карта в сторону локалки em1 с IP 192.168.1.1/24

Запустим процесс natd:

/sbin/natd -s -m -a 10.10.1.2

Процесс natd должен «висеть» на внешнем интерфейсе ВСЕГДА !

Добавим необходимые правила в ipfw, для того, чтобы трафик попадал в natd:

/sbin/ipfw add 300 divert 8668 ip from any to 10.10.1.2
/sbin/ipfw add 310 divert 8668 ip from 192.168.1.0/24 to any
/sbin/ipfw add 350 allow ip from any to 192.168.1.0/24
/sbin/ipfw add 360 allow ip from 192.168.1.0/24 to any

Этих 4-х правил достаточно, чтобы дать доступ в интернет подсети 192.168.1.0/24.

Для того, что бы после ребута, все это поднялось, можно сделать следущее.

1. отредактировать файл /etc/rc.conf добавив:

firewall_enable=»YES»
firewall_script=»/etc/rc.firewall»
firewall_type=»/usr/local/etc/firewall.conf»
firewall_quiet=»YES»
firewall_logging=»YES»
firewall_flags=»»

2. написать наши правила в /usr/local/etc/firewall.conf:

add 100 allow ip from me to me via lo0
add 105 deny ip from any to any via lo0
add 300 divert 8668 ip from any to 10.10.1.2
add 310 divert 8668 ip from 192.168.1.0/24 to any
add 350 allow ip from any to 192.168.1.0/24
add 360 allow ip from 192.168.1.0/24 to any
add 65000 allow ip from any to any

3. создать файл /usr/local/etc/rc.d/natd.sh:

#!/bin/sh
/sbin/natd -s -m -a 10.10.1.2

4. сделать файл /usr/local/etc/rc.d/natd.sh исполняемым:

/bin/chmod a+x /usr/local/etc/rc.d/natd.sh

Можно поступить и немного по другому, запустив natd на интерфейсе, а не на IP-адресе:

отредактировать файл /etc/rc.conf добавить:

natd_program=»/sbin/natd» # path to natd, if you want a different one.
natd_enable=»YES» # Enable natd (if firewall_enable == YES).
natd_interface=»em0″ # Public interface or IPaddress to use.
natd_flags=»» # Additional flags for natd.

изменить правило номер 300 на:

add 300 divert 8668 ip from any to any via em0

Для полного понимания загляните в мануалы:

man natd
man ipfw
Там есть подробное описание и примеры.

З.Ы. В FreeBSD 7.x можно использовать kernel nat, но лб этом как нить потом или кратко если в разделе "Советы" на сайте.
З.З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Передомной встала задача — разбить одно большое устройство на 3 VLAN’а, задать одному влану IP адрес и распределить
права доступа.
Для начала потребуется прямой консольный кабель. Если такого нет, то изготовить его не составит труда.

Вот его распайка:

1+6	<->	1+6
2	<->	2
3	<->	3
4	<->	4
5	<->	5
7	<->	7
8	<-> 	8
9	<->	9

Настраивать можно через Hyper Terminal, либо через CRT 5.2.

Требуются следующие параметры доступа:

Порт: Выбираете сами.
Скорость: 9600 бит/с
Биты данных: 8
Четность: Нет
Стоповые биты: 1
Управление потоком: Нет

CLI похож на CLI от оборудования Cisco Systems.

Теперь приступим к настройке:

Входим в режим конфигурирования:
BigIron Router>enable
BigIron Router#configure trminal

задаем пароль суперпользователю, где <str> — строка:
BigIron Router(config)#enable super-user-password <str>

задаем пароль для конфигурирования портов, где <str> — строка:
BigIron Router(config)#enable port-config-password <str>

задаем пароль только для чтения, где <str> — строка:
BigIron Router(config)#enable read-only-password <str>

сохраняем произведенные изменения:
BigIron Router(config)#write memory

Просмотр сохраненной конфигурации:
BigIron Router(config)#write terminal

Теперь создаем VLAN.

NUMBER это номер VLAN (система поумолчанию использует VLAN 1):
BigIron Router(config)#vlan <number>

Добавляем нетегированные порты по принципу номер_слота/порт:
BigIron Router(config-vlan-<number>)#untagged ethernet <SLOT/PoRT>
или
<SLOT/PORT to SLOT/PORT>

BigIron Router(config-vlan-<number>)#router-interface ve <VLAN-number>

указываем, что будем настраивать виртуальный интерфейс:
BigIron Router(config-vlan-<number>)#interface ve <VLAN-number>

Задаем ip адрес и маску для VLAN’а:
BigIron Router(config-vif-<number>)#ip address <IP/CIDR>

Не обязательная строка, но можно указать имя VLAN’а:
BigIron Router(config-vif-<number>)#port-name <str>

Сохраняем настройки:
BigIron Router(config-vif-<number>)#write memory

смотрим настройки:
BigIron Router(config-vif-<number>)#write terminal

выходим и конфигурирования vlan`а:
BigIron Router(config-vif-<number>)#exit

создаем пользователя с именем <str>, определенными привелегиями и паролем (можно создавать и без паролей):
BigIron Router(config)#username <str> privilege <0 READ-WRITE, 4 PORT-CONFIG, 5 READ-ONLY> password <str>

разрешаем запуск вэб-морды на устройстве:
BigIron Router(config)#aaa authentication web-server default local

настраиваем безопасность на доступ к вэб морде, указываю допускаемые/недопускаемые хосты:
BigIron Router(config)#access-list <NumList> <permit/deny> host <IP>
или подсеть:
BigIron Router(config)#access-list <NumList> <permit or deny> <NetIP/CIDR>

BigIron Router(config)#<TypeProtocol> access-group <NumList>

BigIron Router(config)#access-list <NumList> permit host <IP>
BigIron Router(config)#snmp-server community <str> <ro or rw> <NumList>

Ниже я привел свой текст настройки:

BigIron Router>enable
BigIron Router#configure trminal
BigIron Router(config)#enable super-user-password super-ROOT
BigIron Router(config)#enable port-config-password portCFGpas$
BigIron Router(config)#enable read-only-password ropa$s
BigIron Router(config)#write memory
BigIron Router(config)#write terminal

BigIron Router(config)#vlan 2
BigIron Router(config-vlan-2)#untagged ethernet 1/1 to 1/8
BigIron Router(config-vlan-2)#untagged ethernet 2/1 to 2/8
BigIron Router(config-vlan-2)#untagged ethernet 3/3 to 3/16
BigIron Router(config-vlan-2)#router-interface ve 2
BigIron Router(config-vlan-2)#interface ve 2
BigIron Router(config-vif-2)#ip address 10.10.0.1/16
BigIron Router(config-vif-2)#port-name Users
BigIron Router(config-vif-2)#write memory
BigIron Router(config-vif-2)#write terminal

BigIron Router(config)#vlan 3
BigIron Router(config-vlan-3)#untagged ethernet 3/17 to 3/24
BigIron Router(config-vlan-3)#router-interface ve 3
BigIron Router(config-vlan-3)#interface ve 3
BigIron Router(config-vif-3)#ip address 192.168.1.1/24
BigIron Router(config-vif-3)#port-name Users
BigIron Router(config-vif-3)#write memory
BigIron Router(config-vif-3)#write terminal

BigIron Router(config-vif-3)#exit

BigIron Router(config)#username root privilege 0 password superuserpass
BigIron Router(config)#aaa authentication web-server default local
BigIron Router(config)#access-list 1 permit host 10.10.0.2
BigIron Router(config)#access-list 1 permit host 10.10.10.99
BigIron(config)# web access-group 1
BigIron(config)# write memory

BigIron(config)# access-list 25 permit host 10.10.0.2
BigIron(config)# access-list 30 permit host 10.10.0.2
BigIron(config)# snmp-server community public ro 25
BigIron(config)# snmp-server community private rw 30
BigIron(config)# write memory

BigIron(config)# access-list 10 permit host 10.10.10.99
BigIron(config)# access-list 10 permit host 10.10.0.2
BigIron(config)# access-list 10 permit host 10.10.10.2
BigIron(config)# telnet access-group 10
BigIron(config)# write memory

Следует помнить, что при распределении доступа следует указывать только 1 номер листа доступа для одного протокола.
Так же необходимо учесть, что если прописать только те IP-адреса, которые будут иметь доступ к определенным
протоколам, другим адресам в доступе будет отказано.

Ссылки:

• Foundry Networks

P.S. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Автор: Андрей

Наткнулся в Инете, возьмем на заметочку. Надо будет как нить попробовать 🙂

1. Зачем это надо?
1.1 Уменьшение русрсов процессора, «поедаемого» tasq, поцессом отвечающим за обработку трафика проходящим ч/з интерфейсы em
1.2 Отимизация правил IPFW
1.3 Возможность изменять список безлимитных клиентов без перезагрузки списка правил полностью.
1.4 Снятие ограничений на варианты возможных тарифных планов.
1.5 Устранение задержки при прохождении пакетами через pipe и queue при использовании ipfw.

Извините друзья — спать хочу, комментариев будет мало:
2. Как работает:
2.1 Для каждого абонента должна быть создана отдельная нода в netgraph с заданной пропускной способностью;
2.2 Абоненты «загоняются» в соответствующие ноды, по номерам хуков (tablearg) в таблицах. Последнее возможно без особых трудностей, поскольку ipfw имеет собственную ноду в netgraph.

Пока рассматривается случай только с одним абонентом в таблице — тариф 64Kbit/s.
>cat /etc/rc.firewall
#!/bin/sh
# 1. Global variables
# 1.1 My Interfaces
# 1.1.1 Uplink interface
uif=»fxp1″
unet=»194.128.23.252/30″
uip=»194.128.23.253″

# 1.1.2 Client Interface
cif=»fxp0″
cnet=»172.16.2.252/30″
cip=»172.16.2.253″

# 1.1.3 Contol Interface
mif=»vr0″
mnet=»192.168.23.0/24″
mip=»192.168.23.71″

# 1.2 IPFW executable
fwcmd=’/sbin/ipfw -q’

# 2. Functions (empty by now)
# Suck in tables
if [ -r /etc/rc.firewall.d/unlim64.conf ]; then
. /etc/rc.firewall.d/unlim64.conf
fi

# 3. Default ruleset
# 3.1 Flushing all rules
echo «Flushing all rules.»
${fwcmd} -f flush
${fwcmd} -f pipe flush

# 3.2 Shaper
# 3.2.1 Rules :: Shape IT
# Outgoing traffic — NG_CAR Upstream
${fwcmd} add netgraph tablearg ip from «table(11)» to any out via ${uif}
# Incoming traffic — NG_CAR Downstream
${fwcmd} add netgraph tablearg ip from any to «table(10)» out via ${cif}

>ipfw table 10 list
172.16.2.248/29 14

>ipfw table 11 list
172.16.2.248/29 15

Конфигурируем ноду в netgraph:
>kldload ng_ipfw
>kldload ng_car
>ngctl:
mkpeer ipfw: car 14 upper
name ipfw:14 rate_64
connect rate_64: ipfw: lower 15

Конфигурируем пропускную способность ноды:
# Аналог Cisco Rate-Limit
msg rate_64: setconf { upstream={ cbs=8192 ebs=8192 cir=65536 greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=8192 ebs=8192 cir=65536 greenAction=1 yellowAction=1 redAction=2 mode=2 } }

# Аналог Cisco Traffic Shape:
msg rate_64: setconf { upstream={ cbs=8192 ebs=8192 cir=65536 greenAction=1 yellowAction=1 redAction=2 mode=3 } downstream={ cbs=8192 ebs=8192 cir=65536 greenAction=1 yellowAction=1 redAction=2 mode=3 } }

В первом случае:
если полоса не забита:
>ping -s 1472 -i 0.2 -c 200 -S 172.16.2.250 194.128.23.254

200 packets transmitted, 200 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.246/1.340/1.576/0.048 ms

при переполнении полосы:
>ping -s 1472 -i 0.1 -c 200 -S 172.16.2.250 194.128.23.254

200 packets transmitted, 117 packets received, 41% packet loss
round-trip min/avg/max/stddev = 1.150/1.309/1.495/0.061 ms

То есть как и положено — срезаются пики нагрузки при использовании RateLimit.

Во втором случае:

если полоса не забита:
>ping -s 1472 -i 0.2 -c 200 -S 172.16.2.250 194.128.23.254

200 packets transmitted, 200 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.246/1.340/1.576/0.048 ms

при переполнении полосы:
>ping -s 1472 -i 0.1 -c 200 -S 172.16.2.250 194.128.23.254

PING 194.128.23.254 (194.128.23.254) from 172.16.2.250: 1472 data bytes
1480 bytes from 194.128.23.254: icmp_seq=0 ttl=63 time=1.585 ms
1480 bytes from 194.128.23.254: icmp_seq=1 ttl=63 time=1.247 ms
1480 bytes from 194.128.23.254: icmp_seq=2 ttl=63 time=1.211 ms
1480 bytes from 194.128.23.254: icmp_seq=3 ttl=63 time=1.306 ms
1480 bytes from 194.128.23.254: icmp_seq=4 ttl=63 time=1.269 ms
1480 bytes from 194.128.23.254: icmp_seq=5 ttl=63 time=1.233 ms
1480 bytes from 194.128.23.254: icmp_seq=6 ttl=63 time=1.319 ms
1480 bytes from 194.128.23.254: icmp_seq=7 ttl=63 time=1.289 ms
1480 bytes from 194.128.23.254: icmp_seq=8 ttl=63 time=1.246 ms
1480 bytes from 194.128.23.254: icmp_seq=9 ttl=63 time=1.217 ms
1480 bytes from 194.128.23.254: icmp_seq=10 ttl=63 time=5.671 ms
1480 bytes from 194.128.23.254: icmp_seq=11 ttl=63 time=87.592 ms
1480 bytes from 194.128.23.254: icmp_seq=12 ttl=63 time=170.640 ms
1480 bytes from 194.128.23.254: icmp_seq=13 ttl=63 time=252.565 ms
1480 bytes from 194.128.23.254: icmp_seq=14 ttl=63 time=334.611 ms
1480 bytes from 194.128.23.254: icmp_seq=15 ttl=63 time=416.532 ms
1480 bytes from 194.128.23.254: icmp_seq=16 ttl=63 time=499.581 ms
1480 bytes from 194.128.23.254: icmp_seq=17 ttl=63 time=581.503 ms
1480 bytes from 194.128.23.254: icmp_seq=18 ttl=63 time=663.551 ms
1480 bytes from 194.128.23.254: icmp_seq=19 ttl=63 time=745.473 ms
1480 bytes from 194.128.23.254: icmp_seq=20 ttl=63 time=828.516 ms
То есть как и положено — растет задержка при использовании Traffic Shape.

Как все это автоматизировать — пока понятия не имею, в netgraph не разобрался до конца.

3. Что читать чтобы до конца разобраться:
Про классовые и бесклассовые дисциплины обслуживания очередей.
man 8 ipfw
Все о Netgraph
man 4 netgraph
man 4 ng_ipfw
Cisco — QOS для начинающих
man 4 ng_car
Заголовочные файлы к коду ng_car

Автор: Дмитрий Шевченко