Некоторое время назад начали приходить сообщения мониторилки о том, что сервис ssh недоступен на одном из серверов. И он таки был недоступен, потом поднялся сам.
Как показал просмотр логов – по ssh активно шел перебор паролей.
Я решил блочить нарушителей, а не перевесить ssh на другой порт.
Понадобилось мне заводить виртуальных ftp-пользователей.
Так как вся информация об аккаунтах для почты живет в MySQL – то и FTP я решил не делать исключением.
Стояли у меня разные сервера, и для мониторинга сервисов на них стоял monit. Со своей задачей он справлялся – если что-то упало – поднять указанным скриптом.
Но чего нехватало – так центра, в котором я бы мог озирать со своего места все сервера.
Вот случилась необходимость свзязать пару серверов в одну виртуальную сеть. Эдакая распределенная система. Причем некоторые сервера стоят в локальной сети, некоторые – у провайдеров. Разных.
Для этого решил использовать GRE-тоннели.
Итак, я уже писал две заметки о том, как можно пробросить порт на маршрутизаторе на порт на машинку в локальной сети. Методы относительно несложные, но вчера мне был показан поистине простейший метод – rinetd.
Установить пакет так:
apt-get install rinetd
После этого в /etc/rinetd.conf заходим и правим проброс портов: указываем IP на котором маршрутизатор будет слушать (или 0.0.0.0 [...]
Итак, в продолжение темы по настройке маленькой домашней сети пора выложить небольшое дополнение.
Напомню, что в прошлый раз мы поднимали NAT.
Замечательно: наши компьютеры могут ходить в интернет, но они все используют внешние DNS-сервера. Что не очень-то нас радует: для нового компьютера надо ставить “какой-то-там” DNS, а также часто все упирается в траффик, который хочется по возможности [...]
Итак, специально для kislo_metal постю сюда тривиальную вещь – простейший метод для поднятия NAT.
Я назвал его iptables.sh и положил в /etc/init.d/
#!/bin/bash
INET_IFACE="eth0"
IPTABLES="/sbin/iptables"
echo 1 > /proc/sys/net/ipv4/ip_forward
#Loading modules…
modprobe ip_tables
modprobe ipt_helper
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_gre
modprobe ip_nat_pptp
#Adding default actions
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
#Clear all current rules
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
[...]
Я уже писал о могучем демоне xinetd. Теперь же я его поюзал вкупе с nc.
Сам сталкивался с проблемой, когда сайт доступен только в UA-IX, а показать его надо человеку, находящемуся, например, в Канаде.
Так вот, для этого я использовал форвардинг портов – на машине-посреднике пробрасывал соединение с одного порта на порт 80 моего web-ресурса. Сначала пытался мучить iptables, но таки не поборол его. И в списках рассылки Дэбиана нашел интересный [...]
