среда, 19 июня 2013 г.

jnettop мониторинг загрузки сети

Иногда канал забивается непонятно кем или чем, чтобы выявить в чем причина ставим
jnettop:

apt-get install jnettop

вызываем просто:

jnettop

по умолчанию мониторится интерфейс eth0.

Чтобы мониторить интерфейс:

jnettop -i br0

чтобы мониторить входящий трафик на адрес:

jnettop -i br0 -x "dst host 192.168.11.5"

исходящий:

jnettop -i br0 -x "src host 192.168.11.5"

видим:


samba

Используется Samba version 3.6.3
пока настроена только одна шаренная папка - torrents

вот конфиг:

[global]
workgroup = WORKGROUP
server string = %h server (Samba, Ubuntu)
netbios name = UBUNTU
interfaces = 127.0.0.0/8 eth1, br0
security = SHARE
max protocol = SMB2
guest account = nobody
usershare allow guests = ok
auth methods = guest
smb ports = 139
local master = yes
os level = 20
wins support = no
dns proxy = no
dos charset = cp1251
unix charset = UTF-8
display charset = UTF-8
store dos attributes = no
nt acl support = no
#inherit acls = no
map acl inherit = no
socket options = SO_KEEPALIVE, SO_RCVBUF=6500, and SO_SNDBUF=6500
min receivefile size = 0
aio read size = 0
aio write size = 0
client signing = auto
write cache size = 0
getwd cache = yes
large readwrite = yes

[torrents]
path = /home/share/torrents
guest ok = Yes
guest only = Yes
writeable = Yes

вторник, 18 июня 2013 г.

Microserver

         Использую в домашних условиях микросервер на Ubuntu-Server 12.04 LTS.
Собственно роли у сервера пока следующие:

1. Интернет-шлюз
2. DHCP - сервер
3. wi-fi точка доступа стандарта IEEE 802.11n
4. торрент-качалка - Deluge 1.3.6
5. samba для просмотра фильмов и хранения файлов
6. motion - видеонаблюдение (с резервным копированием отстнятого материала на сторонний сервер)
7. mplayer - интернет-радио
8. FTP - сервер.
9. MRTG+lighthttpd - различные графики
10. TOR - сервер

Сервер построен на следующем железе:
1. Intel D2500CC - материнская плата с интегрированным процессором Atom, и двумя сетевыми интерфейсами.
2. SO-DIMM DDR3, 4ГБ, PC3-12800, 1600МГц, Kingston, KVR16S11/4
3. Жесткий диск 2.5: Hitachi Travelstar 7K1000.
4. mini pci-e wifi адаптер intel Centrino Wireless-N 1030
5. корпус mini-box M350 Mini-ITX

       

           Чтобы сохранить, то что давалось долгими часами, решил создать этот блог, и сохранять здесь копии своих конфигов. Все записи связанные с данной машинкой будут иметь тэг microserver.

понедельник, 17 июня 2013 г.

iptables

мои правила iptables:

*mangle
:PREROUTING ACCEPT [68274:21267945]
:INPUT ACCEPT [2652:246271]
:FORWARD ACCEPT [65541:20981760]
:OUTPUT ACCEPT [2210:295928]
:POSTROUTING ACCEPT [67791:21286214]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*nat
:PREROUTING ACCEPT [2475:145306]
:INPUT ACCEPT [438:36303]
:OUTPUT ACCEPT [125:11164]
:POSTROUTING ACCEPT [72:7854]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.11.5:3389
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT

*filter
:INPUT DROP [2610:241618]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2254:299949]
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --dports 8112,6990 -j ACCEPT
-A INPUT -p udp -m udp --dport 6990 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i br0 -o ppp0 -j ACCEPT
-A FORWARD -j LOG --log-prefix "IPT-FORWARD "
COMMIT

например, хотим разрешить просмотр web-камеры установленной на сервере, из Интеренет,
для этого добавляем строку nano /etc/iptables.rules
-A INPUT -p tcp -m multiport --dports 8112,6990 -j ACCEPT

еще один порт - 8081.
-A INPUT -p tcp -m multiport --dports 8081,8112,6990 -j ACCEPT

добавляем измененные правила в /etc/iptables.rules
iptables-restore /etc/iptables.rules

проверяем, что все правильно:
iptables-save

затем устанавливаем правила в автозагрузку (под рутом):
echo "#! /sbin/iptables-restore" > /etc/network/if-up.d/iptables-rules
iptables-save >> /etc/network/if-up.d/iptables-rules
chmod +x /etc/network/if-up.d/iptables-rules

ddclient + no-ip.org

Так как мое подключение к интернет не имеет постоянного IP-адреса, пользуюсь сервисом
no-ip.com. Для того чтобы начать пользоваться данным сервисом, надо зарегистрировать доменное имя здесь: noip.com
Для работы сопоставления имени адресу использую ddclient, вот конфиг:

/etc/ddclient.conf

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf

max-interval=25d
protocol=noip
use=web
web=http://ip1.dynupdate.no-ip.com/
#server=members.no-ip.org
login=your_login
password='your_password'
yourname.no-ip.org

hostapd

Собственно конфиг hostapd:

/etc/hostapd.conf

interface=wlan0
bridge=br0
driver=nl80211
ssid=red
auth_algs=1
country_code=RU
hw_mode=g
ieee80211n=1
channel=8
ignore_broadcast_ssid=1
macaddr_acl=0
wpa=2
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_passphrase=Password
rsn_pairwise=CCMP

делаю ТД "невидимой" - запрещаю броадкаст
ignore_broadcast_ssid=1

в скрипте /etc/init.d/hostapd
где DAEMON_CONF=
указываем местоположение, в моем случае так:  DAEMON_CONF= /etc/hostapd.conf

скрипт /etc/init.d/hostapd делаем исполняемым и добавляем в автозагрузку:

chmod +x /etc/init.d/hostapd
update-rc.d hostapd defaults

также надо не забыть в конфигурации dhcp сервера указать правильный интерфейс, на котором работает сам dhcp сервер. в моем случае роль dhcp выполняет dnsmasq поэтому значение  interface=  в конфе dnsmasq
приводим к виду
interface=br0

в описанном случае wi-fi зона и локальная сеть работают в одной подсети.


interfases

так как используется мост между  eth1 wlan0 то сначало надо сделать:

apt-get install bridge-utils

/etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

auto eth0
iface eth0 inet manual

auto wlan0
iface wlan0 inet manual

auto eth1
iface eth1 inet manual

auto br0
iface br0 inet static
address 192.168.11.1
network 192.168.11.0
netmask 255.255.255.192
broadcast 192.168.11.63
bridge-ports eth1 wlan0

P.S. Не забудем разрешить хождение пакетов между интерфейсами, для этого в файл
/etc/sysctl.conf внесем следующую строчку:
echo 'net.ipv4.ip_forward = 1