четверг, 18 декабря 2014 г.

конфиги asterisk


В LXC контейнере Ubuntu 14.04.01
ставил из исходников последнюю версию 1.8
см. тут: http://downloads.asterisk.org/pub/telephony/asterisk/releases/


westcall-reg и  sipnet - транки.
87 - номер для голосовой почты.
Также установил кодек 729g.

sip.conf

[general]
context=default
allowguest=no
language=ru
bindaddr=192.168.11.7
localnet=192.168.11.0/26
transport=udp
defaultexpiry=360
register => 7812XXXXXXX$home:password:7812XXXXXXX$home @home.uc.westcall.net:4670/7812XXXXXXX

[westcall-reg]
type=friend
context=incoming
username=7812XXXXXXX$home
fromuser=7812XXXXXXX$home
authname=7812XXXXXXX$home
secret=password
fromdomain=home.uc.westcall.net
host=home.uc.westcall.net
insecure=port,invite
disallow=all
allow=ulaw
qualify=yes

[sipnet]
secret = password
defaultuser = 004XXXXXXX
trunkname = sipnet
host = sipnet.ru
type = peer
context = sipnet
insecure = invite
callbackextension = 1
fromuser = 004XXXXXXX
fromdomain = sipnet.ru
disallow=all
allow=g729
nat = no
dtmfmode = rfc2833

[home](!)
context=home
allowtransfer = yes
;srvlookup=yes
type=friend
host=dynamic
dtmfmode=rfc2833
nat=no
canreinvite=no
disallow=all
allow=g729
allow=ulaw
allow=alaw
call-limit=1
secret=password

[1](home)
username=1
callerid="Black" <1>

[5](home)
username=5
callerid="Redish" <5>

[7](home)
username=7
callerid="3cx" <7>

[81](home)
username=81
callerid="81" <81>

[87](home)
username=87
callerid="87" <87>
mailbox=87@default

extensions.conf

[home] #внутренние звонки (однозначные номера).
exten => _X, 1, Dial(SIP/${EXTEN},30)
exten => _X, n, Playback(vm-nobodyavail)
exten => _X, n, Hangup()

;exten => 81,1,Set(TIME="${STRFTIME(${EPOCH},,%C%y-%m-%d_%H-%M-%S)}") # если задействовать (убрать коммент) можно позвонить, и записать свой голос.
;exten => 81,n,Playback(beep)
;exten => 81,n,Record(/usr/local/share/asterisk/sounds/record%d_${TIME}.wav)
;exten => 81,n,Playback(${RECORDED_FILE})
;exten => 81,n,Hangup()

;exten => 87,1,Dial(SIP/87,20) #голосовая почта
;exten => 87,n,Playback(vm-nobodyavail)
;exten => 87,n,Voicemail(87@default)
;exten => 87,n,Hangup()

;exten => 87,1,Background(/var/lib/asterisk/sounds/voice_menu) # голосовое меню, типа "наберите внутренний номер, или дождитесь ответа секретаря"
;exten => 87,n,Wait(5) # пауза 5 сек. для набора номера
;exten => 87,n,Dial(SIP/7) # если ничего не набрал переводим на 7 (секретарь).
;exten => 87,n,Playback(vm-nobodyavail)
;exten => 87,n,Hangup()

include => sipnet


[sipnet]
exten=> _7XXXXXXXXXX, 1, Set(LIMIT_WARNING_FILE=)# используем лимит
exten=> _7XXXXXXXXXX, n, Dial(SIP/${EXTEN}@sipnet,,L(3540000:50000))# длительности разговора и время предупреждения, что разговор закончится принудительно, в милисекундах
exten=> _7XXXXXXXXXX, n, Playback(vm-nobodyavail)
exten=> _7XXXXXXXXXX, n, Hangup()

include => westcall-reg


[westcall-reg]
exten => _XXXXXXX, 1, Dial(SIP/${EXTEN}@westcall-reg) #питерские 7-знаки
exten => _XXXXXXX, n, Playback(vm-nobodyavail)
exten => _XXXXXXX, n, Hangup()

exten => _0X, 1, Dial(SIP/${EXTEN}@westcall-reg) #пожарные, менты и т.п
exten => _0X, n, Playback(vm-nobodyavail)
exten => _0X, n, Hangup()

exten => _8800XXXXXXX, 1, Dial(SIP/${EXTEN}@westcall-reg) # думаю, что все понятно
exten => _8800XXXXXXX, n, Playback(vm-nobodyavail)
exten => _8800XXXXXXX, n, Hangup()

include => home


[incoming]
;exten => _X., 1, Set(fname=${STRFTIME(${EPOCH},,%d-%m-%C%y_%H-%M-%S)}_${CALLERID(number)}->${EXTEN}) # запись разговора
;exten => _X., n, MixMonitor(/home/ubuntu/aster_rec/incoming/${fname}.gsm) # сведение входящего и исходящего голоса в единый файл
exten => _X., 1, Dial(SIP/1,25)
exten => _X., n, Dial(SIP/5,20)
exten => _X., n, Playback(vm-nobodyavail)
exten => _X., n, Voicemail(87@default)

exten => _X., n, Hangup()


voicemail.conf
#добавляем в секцию default
87 => 777,87,vashemail@gmail.com,,maxmessage=no|vmcontext=no|attach=yes|saycid=no|envelope=no|delete=no

emailsubject=Новое голосовое сообщение ${VM_MSGNUM} в ящике ${VM_MAILBOX}

emailbody=Уважаемый ${VM_NAME}:\n\n\tХотим сообщить, что Вам пришло новое голосовое сообщение длительностью ${VM_DUR} под номером (${VM_MSGNUM})\nв ящик ${VM_MAILBOX} от ${VM_CALLERID}, ${VM_DATE}, когда будет время проверьте его. Спасибо.


charset=UTF-8

воскресенье, 28 сентября 2014 г.

Web-сервер на основе lighttpd с возможностью виртуального хостинга.

0. Все нижеперечисленные манипуляции проводились в LXC контейнере, но полагаю, что это будет справедливо и для физического хоста.
1. apt-get install lighttpd
Сразу проверим работоспособность - наберем ip-адрес сервера, или localhost. Если сервер работает, мы увидим стандартную заглушку.


2. nano /etc/lighttpd/lighttpd.conf
внесем в файл секцию:
$HTTP["host"] == "site.ru" {
server.document-root = "/var/www/site.ru.local"
server.errorlog = "/var/log/lighttpd/site.ru_errors.log"
accesslog.filename = "/var/log/lighttpd/site.ru_access.log"
}
В первой строке указываем домен, во второй путь к директории в которой находятся файлы сайта.
Чтобы писался лог посещений сайта добавим
"mod_accesslog",
в секцию server.modules.

Собственно для того, чтобы хостинг стал виртуальным, необходимо добавить в конфигурацию еще одну, (или несколько) секций. Например:
$HTTP["host"] == "test.ru" {
server.document-root = "/var/www/ test.ru .local"
server.errorlog = "/var/log/lighttpd/ test.ru _errors.log"
accesslog.filename = "/var/log/lighttpd/ test.ru _access.log"
}

3. Перезапускаем сервер:
service lighttpd restart
4. Проверим работоспособность заданого в конфиге.
nano /var/www/site.ru.local/index.html
и вставим следующий код:
<p><b>It Works!</b></p>
При переходе по адресу сайта должна быть видна эта заглушка.

5. Т.к. мы собираемся использовать движки, которые используют PHP и MySQL, установим их.
apt-get install php5-cgi
затем в /etc/php5/cgi/php.ini раскоментируем строку:
cgi.fix_pathinfo = 1
Включим поддержку PHP в lighttpd
lighttpd-enable-mod fastcgi
рестартуем сервер
service lighttpd restart
теперь создадим файл
nano /var/www/site.ru.local/test.php
и добавим в него сл. код:
<?php
phpinfo();
?>
и перейдем по ссылке site.ru/test.php
должна отобразиться информация о PHP.

6. Установим сервер БД и модуль PHP для работы с ним:
apt-get install mysql-server php5-mysql
Т.к. MySQL использует кодировку latin1, а большинство современных движков работают в UTF-8 отредактируем файл /etc/mysql/my.cnf добавив в него следующие строки:
[client]
default-character-set=utf8
[mysqld]
character_set_server=utf8
collation_server=utf8_unicode_ci
рестартуем MySQL:
service mysql  restart
7. Для упрвления СУБД из web-интерфейса установим пакет phpMyAdmin:
apt-get install phpmyadmin
в процессе установки отметим используемый нами web-server - lighttpd
введя в адресной строке браузера адрес нашего сайта site.ru.local/phpmyadmin
увидим страницу авторизации.

8. На этом все, наш веб-сервер готов к работе, если Вам нужно то Вы можете усовершенствовоть Ваш web-server добавив поддержку FTP, настроить резервное копирование и т.д.

Отдельно хочу отметить, что lighttpd безумно порадовал меня простотой включения рерайтов URL, что так необходимо для поисковой оптимизации сайтов.
Это делается так, блок сайта в /etc/lighttpd/lighttpd.conf приводится к следующему виду

$HTTP["host"] == "site.ru" {
server.document-root = "/var/www/site.ru.local"
server.errorlog = "/var/log/lighttpd/site.ru.local_errors.log"
accesslog.filename = "/var/log/lighttpd/site.ru.local.log"
server.error-handler-404 = "/index.php"

}
в server.modeles добавляем, или раскомментируем строки:
"mod_rewrite",
"mod_accesslog",
затем перезапускаем lighttpd.
файл .htaccess lighttpd не используется.
Все описанное в этом пункте работает с Joomla 1.5.
Знаю, что движок уже старый, но нужно было перенсти сделанный несколько лет назад сайт на домашний хостинг.
9. Итак теперь мы можем установить на наш хостинг CMS Joomla
cd /var/www/site.ru.local
wget http://joomlacode.org/gf/download/frsrelease/19752/1609     63/Joomla_3.3.4-Stable-Full_Package.zip # например эта версия
unzip Joomla_3.3.4-Stable-Full_Package.zip
Перейдя по ссылке http://192.168.7.17/site.ru.local/ мы сможем инсталлировать Joomla

суббота, 21 июня 2014 г.

смс-ка при потере пинга

1. Зарегистрироваться на сайте sms.ru , "программистам", отправка 60-ти бесплатных смс в день. Вот.
С помощью этого сервиса я мониторю свои VPN-каналы.

2. Сам скрипт:

#!/bin/bash

HOSTS="1.1.1.1 2.22.22.2"

COUNT=4

for myHost in $HOSTS
do
count=$(ping -c $COUNT $myHost | grep 'received' | awk -F',' '{ print $2 }' | awk '{ print $1 }')
if [ $count -eq 0 ]; then
# 100% failed
curl -d "text= $myHost is down (ping failed) at $(date)" http://sms.ru/sms/send\?api_id=dff7015c-xxxxxxxxxxxx-xxxxxxxxxxxx\&to=7ХХХХХХХХХХ
fi
done


3. Запихнуть в cron, настроить расписание по желанию. 

четверг, 30 января 2014 г.

transparent VLAN bridge + squid3 + ipset+динамический шейпер HTB

Собственно схема:


как из нее видно, между одним из портов маршрутизатора и другим портом L3 коммутатора настроен VLAN trunk. В этих условиях мы собираемся использовать прозрачный мост и прозрачный прокси-сервер для управления http-трафиком пользователей. Также связку iptables и ipset для блокировки неугодных хостов и сетей, а также динамический шейпер скорости на основе скрипта htb.init.
Представленная схема была реализована на: 

ubuntu-server 12.04.4 LTS (GNU/Linux 3.8.0-35-generic x86_64)

root@bridge:~# uname -a
Linux bridge 3.8.0-35-generic #50~precise1-Ubuntu SMP Wed Dec 4 17:25:51 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

0. При установке ОС закажем инсталяцию ssh-сервера.

1. Ставим:
apt-get install bridge-utils
apt-get install ebtables
apt-get install  vlan
apt-get install mc

2. Включаем опции ядра для bridge:
echo 1 > /proc/sys/net/bridge/bridge-nf-call-arptables
echo 1 > /proc/sys/net/bridge/bridge-nf-pass-vlan-input-dev
echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables
echo 1 > /proc/sys/net/bridge/bridge-nf-filter-vlan-tagged

3. Конфигурируем /etc/network/interfases:

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

auto eth1
iface eth1 inet manual

auto eth0.5  
#тэг vlan 5 для интерфейса eth0
iface eth0.5 inet manual
vlan_raw_device eth0

auto eth1.5 #
#тэг vlan 5 для интерфейса eth1 (далее по аналогии)
iface eth1.5 inet manual
vlan_raw_device eth1

auto br0 # собственно мост у нас не один, в каждом vlan свой.
iface br0 inet static # трафик только одного VLAN
address 0.0.0.0 # 
заворачивается на прокси
bridge-ports eth0.5 eth1.5
bridge_stp off

auto eth0.12
iface eth0.12 inet manual
vlan_raw_device eth0

auto eth1.12
iface eth1.12 inet manual
vlan_raw_device eth1

auto br1
iface br1 inet static
address 192.168.1.7 # сервером удобнее всего управлять
netmask 255.255.255.0 #  из клиентской сети (VLAN12).
broadcast 192.168.1.255 #
 сообственно поэтому и назначаем 
gateway 192.168.1.1 # нашему мосту указанную адресацию,

bridge-ports eth0.12 eth1.12 # т.к. она соответствует
dns-nameservers 192.168.1.5 # 
адресации VLAN 12
dns-search domain.local
bridge_stp off


auto eth0.97
iface eth0.97 inet manual
vlan_raw_device eth0

auto eth1.97
iface eth1.97 inet manual
vlan_raw_device eth1

auto br2
iface br2 inet static
address 0.0.0.0
bridge-ports eth0.97 eth1.97
bridge_stp off


вот схема того, что у нас в результате должно получиться:




4. Теперь перезапустим сеть:
/etc/init.d/networking restart
Или весь сервер:
reboot

Поставим мост в разрыв транка.
Должны суметь залогиниться по ssh на адрес моста.

5. Установим squid:
apt-get install squid

6. Приводим /etc/squid3/squid.conf к примерно такому виду:

http_port 3128 transparent

acl LocalNet src 192.168.1.0/24

http_access allow LocalNet
http_access deny all

Командуем:
squid3 -k reconfigure # эта команда говорит сквиду перечитать и применить конфигурацию не перезагружаясь, и соответственно не разрывая текущих сессий.
Также есть такие команды:
service squid3 start
service squid3 stop
В дальнейшем можно настроить прокси по своему вкусу, статей на тему разнообразных настроек Squid достаточно.
Например,  и вот как настроить анализатор логов lightsquid и web-server lighthttpd, а также закрыть доступ к  lightsquid паролем. В конечном итоге если вдруг будет надо, я смогу предоставить свои конфиги.

7. Издаем команду:
ebtables -t broute -A BROUTING -p IPv4 --ip-destination-port 80 -j redirect --redirect-target ACCEPT

8. Еще одну:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 ! -d 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128

заворачиваем пакты из нашей подсети (исключая адресованные в подсеть головного офиса) на порт сквида.

9. Смотрим:
 tail -f /var/log/squid3/access.log
Если видим изменяющиеся значения, значит все ОК - http трафик заворачивается на squid.

10. При настройке squid я не хотел настраивать фильтрацию https, т.к. нашел в сети множество отзывов с проблемами  реализации (подмена squid-ом ssl сертификатов - ssl bump). В связи с этим было принято решение блокировать неугодные адреса с помощью iptables используя ipset. 
Узнаем у Google ip-адреса неугодных ресурсов:

# dig @google-public-dns-a.google.com. mail.yandex.ru

; <<>> DiG 9.8.1-P1 <<>> @google-public-dns-a.google.com. mail.yandex.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48890
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mail.yandex.ru. IN A

;; ANSWER SECTION:
mail.yandex.ru. 3077 IN A 87.250.250.25
mail.yandex.ru. 3077 IN A 93.158.134.25
mail.yandex.ru. 3077 IN A 213.180.193.25
mail.yandex.ru. 3077 IN A 213.180.204.25

;; Query time: 70 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jan 30 19:04:45 2014
;; MSG SIZE rcvd: 96


11. Ставим ipset:
apt-get install ipset

Добавляем сеты...
a.Создаем список:
ipset -N ip_set_1 iphash

b.Добавляем адреса в сет:
ipset -A ip_set_1  87.250.250.25
ipset -A ip_set_1  93.158.134.25
pset -A ip_set_1  213.180.193.25
ipset -A ip_set_1  213.180.204.25

c.Можно делать сеты для сетей:
ipset -N net_set_1 nethash

d.Добавляем сети в сет:
ipset -A net_set_1 1.1.1.1/32
ipset -A
net_set_1 2.2.2.2/24

e.Также можем создать сет для привелегированных пользователей нашей сети:
ipset -N managers iphash

f.Добавляем адреса в сет:
ipset -A managers  192.168.1.111
ipset -A managers  192.168.1.222 


Просмотреть сеты можно командой:
ipset -L

g.Запретим доступ к яндекс почте нашей сети, кроме адресов входящих в managers:
iptables -A FORWARD -m set ! --match-set managers src -p tcp -m tcp -m set --match-set ip_set_1  dst --dport 443 -j DROP

e.Запретим доступ к сетям указанных в сете  net_set_1:
iptables -A FORWARD -m set ! --match-set managers src -p tcp -m tcp -m set --match-set net_set_1   dst --dport 443 -j DROP

h.Сохраним наши сеты. 
Cоздадим файл:
touch /directory/directory2/ipset-save

i.Скомандуем:
ipset -S >  /directory/directory2/ipset-save
(При каждом изменении в сеты сохраняемся.)

j.Устраиваем автозагрузку.
Открываем /etc/rc.local и добавляем в него строку:
cat  /directory/directory2/ipset-save | /usr/sbin/ipset -R

12. Назначим наименьший приоритет задержки пакетам наиболее нуждающимся в нем:

iptables -A OUTPUT -t mangle -p udp -m multiport --dport 53,5060 -j TOS --set-tos Minimize-Delay

iptables -A FORWARD -t mangle -p tcp -m tcp -d 192.168.0.0/24 -j TOS --set-tos 0x10/0x3f

iptables -A FORWARD -t mangle -p udp -m udp -d 192.168.0.0/24 -j TOS --set-tos 0x10/0x3f


13.Смотрим вывод: 
iptables-save
и далее настраиваем автозапуск правил по своему вкусу.


14. Шейпер.
Для начала следует здраво понимать, что ограничиваться, и попадать в очередь (шейпиться), могут только исходящие с интерфейса пакеты, а не входящие т.к. они уже пришли на интерфейс. Соответственно имея устройство с двумя сетевыми интерфейсами, и соответствующим образом настроенным шейпером можно управлять пропускной способностью канала.

a.Перейдем в свою директорию (работаем от рута, как вы заметили):
cd /home/user 

b.Скачиваем скрипт htb.init:
wget http://switch.dl.sourceforge.net/project/htbinit/HTB.init/0.8.5/htb.init-v0.8.5

c.Переименуeм покороче наш скрипт:
mv  htb.init-v0.8.5  htb
и переместим куда следует:
cp htb /usr/sbin

d.сделаем скрипт исполняемым:
chmod +x /usr/sbin/htb

e.теперь создадим файлы и директории необходимые для работы скрипта:
mkdir /etc/sysconfig
mkdir /etc/sysconfig/htb
touch /var/cache/htb.init


f.начнем писать конфиги для нашего шейпера. перейдем:
cd /etc/sysconfig/htb

g.Создаем конфигурационные файлы (eth0 смотрит в 100Gb порт роутера, eth1 в гигабитный порт свитча):

Для исходящего трафика:sudo touch eth0 # Описываем интерфейс eth0
sudo nano eth0

DEFAULT=10 # метка на файл, создаваемый ниже, eth0-2:10.dfl
R2Q=100 # точность ограничений

sudo touch eth0-2.root # корневой класс
sudo nano eth0-2.root

RATE=100Mbit # гарантированная пропускная способность
CEIL=100Mbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений

sudo touch eth0-2:10.dfl # сюда попадает трафик, не попадающий ни в одно из правил ниже
sudo nano eth0-2:10.dfl

RATE=1024Kbit # гарантированная пропускная способность
CEIL=99Mbit # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.

sudo touch eth0-2:20.rdp # гарантированный канал для rdp
sudo nano eth0-2:20.rdp

RATE=1Mbit # гарантированная пропускная способность
CEIL=2Mbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений
LEAF=sfq # равномерное распределение между участниками очереди.
RULE=*:3389 # Применять правило для трафика, у которого исходящий порт 3389
MARK=100 # Метка для исходящего трафика (входящий нарезается нормально и без меток).

Маркируем трафик RDP:
iptables -t mangle -A PREROUTING -s 192.168.1.5 -j MARK --set-mark 100 
Соответсвенно 192.168.1.5 адрес терминального сервера.

Для входящего трафика:

sudo touch eth1 # Описываем интерфейс eth1
sudo nano eth1

DEFAULT=10 # метка на файл, создаваемый ниже, eth1-2:10.dfl
R2Q=100 # точность ограничений

sudo touch eth1-2.root # корневой класс
sudo nano eth1-2.root

RATE=330Mbit # гарантированная пропускная способность
CEIL=330Mbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений

sudo touch eth1-2:10.dfl # сюда попадает трафик, не попадающий ни в одно из правил ниже
sudo nano eth1-2:10.dfl

RATE=1024Kbit # гарантированная пропускная способность
CEIL=300Mbit # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.
PRIO=2 # PRIO задает приоритет класса трафика (1- максимальный, чем больше число — тем меньшt приоритет).

sudo touch eth1-2:20.rdp # гарантированный канал для rdp
sudo nano eth1-2:20.rdp

RATE=1024Kbit # гарантированная пропускная способность
CEIL=2048Kbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений
LEAF=sfq # равномерное распределение между участниками очереди.
RULE=*:3389 # Применять правило для трафика, у которого порт назначения - rdp-порт
PRIO=1

sudo touch eth1-2:30.100 # ограничиваем скорость для ip 192.168.1.100
sudo nano eth1-2:30.100

RATE=64Kbit # гарантированная пропускная способность
CEIL=64Kbit  # максимальная пропускная способность
BURST=15k # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.
RULE= 192.168.1.100
PRIO=3

Осталось запустить скрипт:

htb compile # тест. можно посмотреть какие правила будут сформированы и ошибки, если есть.
htb start # запуск
htb stop # остановка
htb restart # перезапуск после внесения изменений в файлы конфигурации

При вышеописанной настройке мы добились того, что канал делится между всеми поровну исходя из заданных значений.
Максимальный приоритет у входящего и исходящего RDP-трафика (удаленные приложения Remote App также используют этот протокол).
IP-адрес 192.168.1.100 ограничен во входящей скорости до 64 kb/sec, в исходящей скорости ограничений нет.

Подробнее о работе htb.init можно почитать по следующим ссылкам:
и вообще найти что-то поиском.

15. Графики за N-период по работе сервера:


16. Отчет Lightsquid: