Brute Networking

Ideal home storage

2011-08-06T10:44:30Z

Hi! In this article I will describe some problems of home data storage and my approach to them.

* Storage choosing *

There are plenty of devices on the market.
Today I believe good home storage need to have:

- Transfer speed at least 30 Mbytes/sec to and from over SMB (or your main protocol) or greater
- Support at least RAID1, can use at least 2 disks
- Support Ethernet RJ-45 connection
- Support SMB and HTTP protocols (can access all data using both)
- Support automatic backup to external disk
- Debugging capabilities (who is using my storage? what are disks, processor and memory doing?)
- Reliable notifications via sound and email (hardware failures, backup failures, low free space and other)
- Reliable disaster recovery, good technical support and well-discussed on the internet (forums etc.)

So I chose QNAP TS-239 Pro II+

* Choosing disks *

When choosing disks you should:

- Plan needed capacity for 3-8 years ahead
- If you want to use disk actively, if you information is important - use server disks, else use consumer disks.
- Check disks officially compatible with your storage. This is vital. For QNAP use http://www.qnap.com/pro_compatibility.asp
- Check forums for issues with the disk chosen

So I chose two Hitachi Ultrastar 7K3000 HUA723030ALA640 server disks

* Network devices *

If you want to get more than 8 Mbytes/sec, choose gigabit switch. In general model it is not very important. You usually do not need Jumbo frames or some management capabilities for home usage.

Better minimise the number of network devices between your computers and Storage.

* Initial setup *

Important notice:

- Download latest firmware
- Follow other vendor recommendations for initial setup. For QNAP it is in the current manual http://www.qnap.com/download.asp?pl=1&p_mn=179
- Better insert both disks at once and create your RAID1 from scratch
- I do not recommend putting NAS outdoors, in a box, cupboard, closet, or any other cold/hot/wet environment.

* Advanced setup *

When your RAID is up and running, begin tuning your NAS. I recommend that you enter web interface and check all the pages and tabs. These are most important:

- Setup NTP. This will help you understand, what is NAS doing looking at your PC clock and understand time in logs

- Setup at least minimal password strength. This will help you if you or you friend forgets about security.

- When setting up DNS servers, I recommend that you use some public DNS server (e.g. I use Google 8.8.8.8) AND your provider's DNS server. This gives maximum reliability.

- If provider does not give you static IP-address and you want to access your NAS from Internet (your friends or your vacations), set up DDNS. I use no-ip. Note that User name must be with domain.

- I recommend the following hardware settings

(these are optimal. If you have problems, you may need to disable Write cache)
(I recommend to turn standby mode off, increasing you HDD life. If you have noise or hot problems, turn it on)

- I do not recommend using QNAP High Security Level, because the system is already pretty secure. If you will need in future, you can block some hosts using Medium Security Level.

- I recommend that you turn on Network Access Protection for all protocols that you use.

- I recommend these power settings if you are not sure:

* Disk management *

I recommend that you enable temperature alarm at 50 degrees C. Researches show that best temperature for HDD is 35-45 degrees C and minimal spindowns.

I recommend that you enable automatic rapid tests once a month. If your disk is older that 5 years, you may enable tests every week.

I recommend that you enable Bitmap on the RAID. This may help you in a disaster and does not require much performance or disk space. Best choise is to enable Bitmap after you initially write all the main data on the disks.

I recommend that you don't use iSCSI at home. This protocol does not support sharing and has little benefits over standard ones (SMB, AFP, HTTP). iSCSI may be used for special purposes like virtual machines.

* Setup notifications *

I recommend that you setup notifications, so that you know when something is wrong with your NAS and you are not at home. I use email notifications, because I check email often.

To setup email notifications you can create a google account for your NAS and send mail through it. This keeps your main email password secure:

(Note, that you need to check authentication and SSL/TLS boxes)
(Note, that you can use any Sender, even non-existent)

Do not forget to enter your real email address on Alert Notification page:

* Setup protocols *

Microsoft networking: usually standalone + local master browser for home.

For others use default settings.

* Security *

Recommendations:

- Disable all services that you are not going to really need (usually FTP, NFS, Telnet, SFTP is not needed. Also turn off Apple Networking if you use Windows)
- Divide all your data into Public and Private folders. This will help you to grow.
- Use group permissions instead of user permissions even if you have little users for now. This will help you to grow.
- Always passwords where you can use them. Use SNMP community (not public).

* Data protection *

Usually home users have 3 types of data:

+ Not important data (movies, downloads, games etc.) - this data can be stored on cheap desktop drives in a PC

+ Important data. You do not want to loose this data, but it is not a catastrophy. This data can be stored on a NAS RAID1 (or RAID5) and also you can make a tree of the data and put it in a "very important" data location.

+ Very important data. You do not want to loose this data and it is a catastrophy. This data can be stored on a NAS RAID1 (or RAID5) and be automatically backed up to an external USB-drive. Usually this data is less then 10% of Important data and 2.5 inch drive is enough for backup.

To use external backup I connected 2.5 inch usb disk to QNAP, created Critic folders in both Public and Private and set up backup in web interface (I also backup Cacti scripts folder):

Also I:

- periodically backup QNAP settings to Private/Critic folder
- automatically backup all configurations (/mnt/HDA_ROOT and /mnt/ext) to Private/Critic folder using the following cron job:
- backup Gmail, Google documents, ICQ and Skype logs, mobile phone address book (online data) yearly to this folder Private/Critic/Backup.
15 3 1 * * /share/Main/Private/Critic/Backup/QNAP/backup.sh

[/] # cat /share/Main/Private/Critic/Backup/QNAP/backup.sh
/bin/tar -czf mntext.tgz /mnt/ext
/bin/tar -czf HDA_ROOT.tgz /mnt/HDA_ROOT

To make trees of my data I use the following windows bat script yearly (it resides in Private/Critic/Backup/tree):

SET mycd=%cd%
SET par=/F /A
mkdir %date%
x:
cd x:\
tree %par% > %mycd%\%date%\tree-x-%date%.txt
z:
cd z:\
tree %par% > %mycd%\%date%\tree-z-%date%.txt
n:
cd n:\public
tree %par% > %mycd%\%date%\tree-npu-%date%.txt
n:
cd n:\private
tree %par% > %mycd%\%date%\tree-npr-%date%.txt

Trees help me to remember, which files (software versions or movies) I used and download them again if needed, when my PC disks fail.

Also, I greatly recommend that you enable Network Recycle Bin. This will help you to recover files that you or your friends deleted by mistake.

* Monitoring *

Latest QNAP firmware (I use 3.4.4) has new features for monitoring: better CPU/memory monitoring with TOP processes, good logs of System events and Connections (does not include SMB and HTTP connections on Web server, only Administration and Web File Manager)

I recommend that you turn on System Connection Logs, so that if somebody tries to hack you, you can go there and see, what happened:

To further extend monitoring and debugging capabilities I use the following:

- Cacti for monitoring resources
- Awstat for monitoring web server access
- Ntop for detailed information about traffic (usually disabled, I enable it when needed)
- Additional console applications (iotop to know what processes are using disks, sysstat for detailed information about resources, tcpdump for sniffing traffic when needed, iptraf for online traffic statistics)

Most of these are installed with Optware IPKG (), some are directly downloaded with wget.

To save changes on reboot I use my script /etc/config/autorun.sh, which is run from flash disk /tmp/config/autorun.sh (see http://wiki.qnap.com/wiki/Autorun.sh):

ln -sf /etc/config/profile /etc
ln -sf /share/Public/Critic/System/awstats/db /var/lib/awstats
ln -sf /etc/config/awstats /etc
ln -sf /share/Public/Critic/System/awstats /usr/local
ln -s /opt/bin/perl /usr/bin/
/share/MD0_DATA/Private/Critic/Backup/QNAP/ramdisk-load.sh

To prevent Cacti disk access every 5 minutes I moved all RRA, Cacti mysql database and some scripts to ramdisk (using ln -s).

ln -s /var/cacti/mysql /share/Main/.@mysql/cacti
ln -s /var/cacti/site/include /share/Web/cacti/
ln -s /var/cacti/site/cli /share/Web/cacti/
ln -s /var/cacti/site/lib /share/Web/cacti/
ln -s /var/cacti/site/resource /share/Web/cacti/
ln -s /var/cacti/site/rra /share/Web/cacti/

[/var/cacti] # du -ch
1.1M ./mysql
7.0K ./site/resource/script_queries
5.0K ./site/resource/script_server
19K ./site/resource/snmp_queries
32K ./site/resource
132K ./site/cli
40K ./site/lib/adodb/lang
59K ./site/lib/adodb/datadict
392K ./site/lib/adodb/drivers
835K ./site/lib/adodb
1.7M ./site/lib
152K ./site/include/jscalendar/lang
212K ./site/include/jscalendar
74K ./site/include/treeview
471K ./site/include
61K ./site/scripts
7.2M ./site/rra
9.5M ./site
11M .
11M total

To avoid problems you also have to copy several files to /var/cacti/site:

cp /share/Web/cacti/cmd.php /var/cacti/site/
cp /share/Web/cacti/script_server.php /var/cacti/site/

They are backed up from ramdisk to disk every hour and loaded in autorun.sh (see above):

47 1-21 * * * /share/Main/Private/Critic/Backup/QNAP/ramdisk-save.sh

[/] # cat /share/Main/Private/Critic/Backup/QNAP/ramdisk-save.sh
cd /share/MD0_DATA/Private/Critic/Backup/QNAP/
/bin/tar -czf ramdisk-cacti.tgz /var/cacti

Storing something on ramdisk is not generally recommended, but I wanted to avoid excessive noise and disk wear. I also disabled mysql binary logs for cacti in /etc/my.cnf, which prevents mysql from constantly writing to binary log:

log-bin=mysql-bin
binlog-ignore-db=cacti

Awstats setup guide can be seen here: http://wiki.qnap.com/wiki/AWStats

Do not forget to move log files from /mnt/ext to your big disk. Also, I use logrotate for apache logs:

[/] # cat /opt/etc/logrotate.conf
compress

"/usr/local/apache/logs/access_log" /usr/local/apache/logs/error_log {
rotate 5
size=200k
sharedscripts
postrotate
/usr/local/apache/bin/apachectl restart
endscript
}

I run cacti and awstat only when I am not going to sleep, because they make a little noise, although cacti mainly uses ramdisk:

*/5 7-21 * * * /mnt/ext/opt/apache/bin/php /share/Web/cacti/poller.php >/dev/null 2>&1
57 1-21 * * * /usr/local/awstats/tools/awstats_updateall.pl now

Do not forget to copy all your crontab to /etc/config/crontab. I usually edit with "crontab -e", then copy everything to /etc/config/crontab and then update cron with "/etc/init.d/crond.sh restart".

Here are my cacti graphs. Note that I did not collect some parameters all the time and they have gaps:

I also ping internet site for ping latency and collect information from my main PC into cacti.

You can download my QNAP cacti templates and scripts at http://dl.dropbox.com/u/1350128/qnap-review/qnap-cacti.rar

Анонсирование Loopback

2008-02-28T08:32:51Z

При анонсировании Loopback в протокол маршрутизации (проверял на OSPF) он, независимо от маски установленной на интерфейсе, анонсируется с маской /32.

То ли мы невнимательно читаем документацию, то ли что, но для всех нас это было неожиданностью.

------ R1
interface Loopback3
ip address 20.0.0.1 255.255.255.0
!
interface Ethernet0/0
no ip address
half-duplex
!
interface Ethernet0/0.20
encapsulation dot1Q 20
ip address 20.0.1.1 255.255.255.0
!
router ospf 1
network 20.0.0.0 0.0.0.255 area 31
network 20.0.1.0 0.0.0.255 area 31

R1# show version
IOS (tm) 3600 Software (C3640-JS-M), Version 12.3(24), RELEASE SOFTWARE (fc4)

------ R2
R2#sh ip rout
...
20.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
O IA 20.0.1.0/24 [110/74] via 137.20.101.3, 00:00:00, Serial1/0.2
O IA 20.0.0.1/32 [110/65] via 137.20.101.3, 00:01:06, Serial1/0.2

Онлайн-хранилища файлов

2007-11-06T14:26:19Z

Здесь находится неплохой обзор по онлайн-хранилищам: http://habrahabr.ru/blog/web_2_0/23523.html

Резюмирую его и личный опыт:

1. http://www.box.net - 1ГБ для хранения файлов, 10 Гб трафика в месяц, не позволяет скачивать целыми папками, позволяет размещать http-ссылки на файлы через видгеты. Размер файла ограничен 10 Мб. Подходит для выкладывания файлов в блоги.

2. http://www.xdrive.com - 5Гб для хранения файлов, объем трафикав месяц и максимальный размер файла не указан (возможно, неограничены - проверял заливая файл 101 Мб), позволяет скачивать целыми папками. Похоже, не позволяет делать http-ссылки для блогов. Подходит для передачи больших объемов файлов между ограниченным кругом людей.

3. http://www.esnips.com – 5Гб для хранения файлов, позволяет делать ссылки на файлы через видгеты, ограничений по размеру файлов и трафику в месяц не видно, но при попытке залить архив размером 78 мегов говорит что не поддерживает заливку больших архивов. Подходят для выкладывания в блоги.

4. http://www.mediamax.com - 25ГБ(!) для хранения файлов, размер файла до 10 Мб, трафик до 1 Гб в месяц, доступно приложение MediaMax XL Beta для синхронизации и резервного копирования; Интересный тариф для постепенного накопления информации.

5. http://www.omnidrive.com - 1ГБ для хранения файлов, трафик до 5 Гб в месяц, есть приложение для синхронизации данных локального компьютера с виртуальным хранилищем; позволяет редактировать документы в онлайне.

6. http://www.boxcloud.com – необычный проект обмена, не хранящий данные на сервере, а организующий передачу между компьютерами пользователей. Поэтому после того, как вы расшарите файл, он расшарится практически мгновенно, независимо от его размера, но скачиваться будет только пока ваш компьютер включен. Для бесплатного аккаунта разрешено создание одного рабочего пространства для 3 пользователей; свежий проект с багами.

[обзор] Hamachi

2007-10-16T07:58:49Z

Совершенно гениальный проект Hamachi представила компания LogMeIN. Продукт позволяет очень быстро и легко создавать VPN-сети, включая компьютеры Windows и Linux.

Шокирующее преимущество продукта в том, что не требуется ни прямой IP-адрес, ни перенаправление портов. Более того, возможна работа даже через proxy-сервер (не проверял). Есть также много коварных фич вроде фиксации клиентских портов, по которым работает программа.

Бесплатная версия программы позволяет соединить до 16 компьютеров в каждой из 64 созданных сетей и к огромному сожалению, в отличие от платной ($40 в год), не имеет возможности запускаться в виде сервиса, то есть после перезагрузки компьютера необходимо в него залогиниться (или воспользоваться функцией автологина в Windows XP).

[технология] Монтирование разделов FreeBSD под Linux

2007-06-05T08:27:08Z

mount -r -t ufs -o ufstype=XXX /dev/YYY /mnt/disk

XXX = 44bsd для FreeBSD 4.x
XXX = ufs2 для FreeBSD 5.x и выше
YYY = например hdaZ, где Z - номер раздела. Обычно в FreeBSD разделы логические (слайсы), в Linux они нумеруются с цифры 5. Таким образом напрмер при стандартной установке /dev/ad0s1a будет соответствовать в Linux /dev/hda5

Обратите внимание, что таким путем монтирование возможно только read-only. Для просмотра слайсов FreeBSD под Linux лучше использовать sfdisk, а не fdisk.

Определение версии Linux/Unix

2007-05-30T13:45:47Z

Для этого во-первых служит команда (наиболее универсальная - есть во всех Unix и Linux)

uname -a

Во-вторых, можно поискать файлы содержащие в названии слова version или release в папке /etc :

ls /etc/*release*
ls /etc/*version*

В этих файлах содержится версия релиза.

На некоторых дистрибутивах присутствует также файл /proc/version , в котором можно найти информацию по версии ядра, gcc и дистрибутива (thx to bansheezm)

cat /proc/version

[технология] Установка Fedora 6 + VMware Server 1.0.3

2007-05-30T13:23:46Z

(писал на английском, переводить очень не хочется)

Install Fedora (can be downloaded here http://mirrors.fedoraproject.org/publiclist):
Remove all graphic packages (gnome, x, administration...)
After such setup FC6 will use approx. 950 Mb of disk space + swap
FC6 uses about 100 Mb of RAM

Disable unneded services:

chkconfig bluetooth off
# printing
chkconfig cups off
# console mouse
chkconfig gpm off
# HID
chkconfig hidd off
chkconfig ip6tables off
chkconfig isdn off
chkconfig nfs off
chkconfig nfslock off
# PC/SC Smart Card Daemon
chkconfig pcscd off
chkconfig portmap off
chkconfig rpcidmapd off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig rpcsvcgssd off

yum -y install kernel kernel-devel

If different versions (or archs) installed like this, use the last kernels:

rpm -aq | grep kernel
rpm -e kernel-2.6.20-1.2948.fc6
wget http://download.fedora.redhat.com/pub/fedora/linux/core/updates/6/i386/kernel-2.6.20-1.2948.fc6.i686.rpm
rpm -i kernel-2.6.20-1.2948.fc6.i686.rpm

shutdown -r now

(Choose correct kernel on boot - usually not needed)

yum -y install mc gcc gcc-c++ xinetd

wget http://download3.vmware.com/software/vmserver/VMware-server-1.0.3-44356.i386.rpm
wget http://download3.vmware.com/software/vmserver/VMware-mui-1.0.3-44356.tar.gz

wget http://platan.vc.cvut.cz/ftp/pub/vmware/vmware-any-any-update110.tar.gz

rpm -i VMware-server-1.0.3-44356.i386.rpm
tar -xzf vmware-any-any-update110.tar.gz
cd vmware-any-any-update110
./runme.pl

[root@fedora vmware-any-any-update110]# ./runme.pl
Updating /usr/bin/vmware-config.pl ... now patched
The file /usr/lib/vmware/modules/source/vmmon.tar that this script was about to
install already exists. Overwrite? [yes]

The file /usr/lib/vmware/modules/source/vmnet.tar that this script was about to
install already exists. Overwrite? [yes]

Updating /usr/bin/vmware ... No patch needed/available
Updating /usr/bin/vmnet-bridge ... No patch needed/available
Updating /usr/lib/vmware/bin/vmware-vmx ... No patch needed/available
Updating /usr/lib/vmware/bin-debug/vmware-vmx ... No patch needed/available
VMware modules in "/usr/lib/vmware/modules/source" has been updated.

Before running VMware for the first time after update, you need to configure it
for your running kernel by invoking the following command:
"/usr/bin/vmware-config.pl". Do you want this script to invoke the command for
you now? [yes]

Making sure services for VMware Server are stopped.

Stopping VMware services:
Virtual machine monitor [ OK ]

You must read and accept the End User License Agreement to continue.
Press enter to display it.

Do you accept? (yes/no) yes

Thank you.

Configuring fallback GTK+ 2.4 libraries.

In which directory do you want to install the mime type icons?
[/usr/share/icons]

What directory contains your desktop menu entry files? These files have a
.desktop file extension. [/usr/share/applications]

In which directory do you want to install the application's icon?
[/usr/share/pixmaps]

Trying to find a suitable vmmon module for your running kernel.

None of the pre-built vmmon modules for VMware Server is suitable for your
running kernel. Do you want this program to try to build the vmmon module for
your system (you need to have a C compiler installed on your system)? [yes]

Using compiler "/usr/bin/gcc". Use environment variable CC to override.

What is the location of the directory of C header files that match your running
kernel? [/lib/modules/2.6.20-1.2948.fc6/build/include]

Extracting the sources of the vmmon module.

Building the vmmon module.

Building for VMware Server 1.0.0.
Using 2.6.x kernel build system.
make: Entering directory `/tmp/vmware-config0/vmmon-only'
make -C /lib/modules/2.6.20-1.2948.fc6/build/include/.. SUBDIRS=$PWD SRCROOT=$PWD/. modules
make[1]: Entering directory `/usr/src/kernels/2.6.20-1.2948.fc6-i686'
CC [M] /tmp/vmware-config0/vmmon-only/linux/driver.o
CC [M] /tmp/vmware-config0/vmmon-only/linux/hostif.o
CC [M] /tmp/vmware-config0/vmmon-only/common/cpuid.o
CC [M] /tmp/vmware-config0/vmmon-only/common/hash.o
CC [M] /tmp/vmware-config0/vmmon-only/common/memtrack.o
CC [M] /tmp/vmware-config0/vmmon-only/common/phystrack.o
CC [M] /tmp/vmware-config0/vmmon-only/common/task.o
cc1plus: warning: command line option "-Werror-implicit-function-declaration" is valid for C/ObjC but not for C++
cc1plus: warning: command line option "-Wdeclaration-after-statement" is valid for C/ObjC but not for C++
cc1plus: warning: command line option "-Wno-pointer-sign" is valid for C/ObjC but not for C++
cc1plus: warning: command line option "-Wstrict-prototypes" is valid for Ada/C/ObjC but not for C++
cc1plus: warning: command line option "-ffreestanding" is valid for C/ObjC but not for C++
/tmp/vmware-config0/vmmon-only/common/task_compat.h: In function _Д?int Vmx86_RunVM(VMCrossPage*, VMDriver*) [with VMCrossPage = VMCrossPageV321]_Д?:
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1522: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1523: warning: _Д?sysenterState.SysenterStateV45::rip_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h: In function _Д?int Vmx86_RunVM(VMCrossPage*, VMDriver*) [with VMCrossPage = VMCrossPageV3]_Д?:
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1522: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1523: warning: _Д?sysenterState.SysenterStateV45::rip_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h: In function _Д?int Vmx86_RunVM(VMCrossPage*, VMDriver*) [with VMCrossPage = VMCrossPageGSX1]_Д?:
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1522: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1523: warning: _Д?sysenterState.SysenterStateV45::rip_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h: In function _Д?int Vmx86_RunVM(VMCrossPage*, VMDriver*) [with VMCrossPage = VMCrossPageV2]_Д?:
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1522: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1523: warning: _Д?sysenterState.SysenterStateV45::rip_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h: In function _Д?int Vmx86_RunVM_V4(VMDriver*, Vcpuid) [with VMCrossPage = VMCrossPageV4]_Д?:
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::rip_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h: In function _Д?int Vmx86_RunVM(VMDriver*, Vcpuid)_Д?:
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1522: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1523: warning: _Д?sysenterState.SysenterStateV45::rip_Д? is used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::rip_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:2073: warning: _Д?sysenterState.SysenterStateV45::rip_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h: In function _Д?void Task_Switch_V45(VMDriver*, Vcpuid)_Д?:
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1713: warning: _Д?sysenterState.SysenterStateV45::validEIP_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1713: warning: _Д?sysenterState.SysenterStateV45::cs_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1713: warning: _Д?sysenterState.SysenterStateV45::rsp_Д? may be used uninitialized in this function
/tmp/vmware-config0/vmmon-only/common/task_compat.h:1713: warning: _Д?sysenterState.SysenterStateV45::rip_Д? may be used uninitialized in this function
CC [M] /tmp/vmware-config0/vmmon-only/common/vmx86.o
CC [M] /tmp/vmware-config0/vmmon-only/vmcore/compat.o
CC [M] /tmp/vmware-config0/vmmon-only/vmcore/moduleloop.o
LD [M] /tmp/vmware-config0/vmmon-only/vmmon.o
Building modules, stage 2.
MODPOST 1 modules
CC /tmp/vmware-config0/vmmon-only/vmmon.mod.o
LD [M] /tmp/vmware-config0/vmmon-only/vmmon.ko
make[1]: Leaving directory `/usr/src/kernels/2.6.20-1.2948.fc6-i686'
cp -f vmmon.ko ./../vmmon.o
make: Leaving directory `/tmp/vmware-config0/vmmon-only'
The module loads perfectly in the running kernel.

Do you want networking for your virtual machines? (yes/no/help) [yes]

Configuring a bridged network for vmnet0.

The following bridged networks have been defined:

. vmnet0 is bridged to eth0

All your ethernet interfaces are already bridged.

Do you want to be able to use NAT networking in your virtual machines? (yes/no)
[yes]

Configuring a NAT network for vmnet8.

Do you want this program to probe for an unused private subnet? (yes/no/help)
[yes]

Probing for an unused private subnet (this can take some time)...

The subnet 172.16.231.0/255.255.255.0 appears to be unused.

The following NAT networks have been defined:

. vmnet8 is a NAT network on private subnet 172.16.231.0.

Do you wish to configure another NAT network? (yes/no) [no]

Do you want to be able to use host-only networking in your virtual machines?
[yes]

Configuring a host-only network for vmnet1.

Do you want this program to probe for an unused private subnet? (yes/no/help)
[yes]

Probing for an unused private subnet (this can take some time)...

The subnet 192.168.41.0/255.255.255.0 appears to be unused.

The following host-only networks have been defined:

. vmnet1 is a host-only network on private subnet 192.168.41.0.

Do you wish to configure another host-only network? (yes/no) [no]

Extracting the sources of the vmnet module.

Building the vmnet module.

Building for VMware Server 1.0.0.
Using 2.6.x kernel build system.
make: Entering directory `/tmp/vmware-config0/vmnet-only'
make -C /lib/modules/2.6.20-1.2948.fc6/build/include/.. SUBDIRS=$PWD SRCROOT=$PWD/. modules
make[1]: Entering directory `/usr/src/kernels/2.6.20-1.2948.fc6-i686'
CC [M] /tmp/vmware-config0/vmnet-only/driver.o
CC [M] /tmp/vmware-config0/vmnet-only/hub.o
CC [M] /tmp/vmware-config0/vmnet-only/userif.o
CC [M] /tmp/vmware-config0/vmnet-only/netif.o
CC [M] /tmp/vmware-config0/vmnet-only/bridge.o
CC [M] /tmp/vmware-config0/vmnet-only/filter.o
CC [M] /tmp/vmware-config0/vmnet-only/procfs.o
CC [M] /tmp/vmware-config0/vmnet-only/smac_compat.o
CC [M] /tmp/vmware-config0/vmnet-only/smac_linux.x386.o
LD [M] /tmp/vmware-config0/vmnet-only/vmnet.o
Building modules, stage 2.
MODPOST 1 modules
CC /tmp/vmware-config0/vmnet-only/vmnet.mod.o
LD [M] /tmp/vmware-config0/vmnet-only/vmnet.ko
make[1]: Leaving directory `/usr/src/kernels/2.6.20-1.2948.fc6-i686'
cp -f vmnet.ko ./../vmnet.o
make: Leaving directory `/tmp/vmware-config0/vmnet-only'
The module loads perfectly in the running kernel.

The default port : 902 is not free. We have selected a suitable alternative
port for VMware Server use. You may override this value now.
Remember to use this port when connecting to this server.
Please specify a port for remote console connections to use [904]

WARNING: VMware Server has been configured to run on a port different from the
default port. Remember to use this port when connecting to this server.

Останавливается xinetd: [ OK ]
Запускается xinetd: [ OK ]
Configuring the VMware VmPerl Scripting API.

Building the VMware VmPerl Scripting API.

Using compiler "/usr/bin/gcc". Use environment variable CC to override.

Installing the VMware VmPerl Scripting API.

The installation of the VMware VmPerl Scripting API succeeded.

Generating SSL Server Certificate

In which directory do you want to keep your virtual machine files?
[/var/lib/vmware/Virtual Machines]

The path "/var/lib/vmware/Virtual Machines" does not exist currently. This
program is going to create it, including needed parent directories. Is this
what you want? [yes]

Please enter your 20-character serial number.

Type XXXXX-XXXXX-XXXXX-XXXXX or 'Enter' to cancel: 98EH4-YH309-2C207-417J1

Starting VMware services:
Virtual machine monitor [ OK ]
Virtual ethernet [ OK ]
Bridged networking on /dev/vmnet0 [ OK ]
Host-only networking on /dev/vmnet1 (background) [ OK ]
Host-only networking on /dev/vmnet8 (background) [ OK ]
NAT service on /dev/vmnet8 [ OK ]

The configuration of VMware Server 1.0.3 build-44356 for Linux for this running
kernel completed successfully.
Лицензионные ключи можно получить на сайте VMware.com в разделе Download.

tar -xzf VMware-mui-1.0.3-44356.tar.gz
cd ../vmware-mui-distrib/
./vmware-install.pl

Installing the content of the package.

In which directory do you want to install the binary files?
[/usr/bin]

What is the directory that contains the init directories (rc0.d/ to rc6.d/)?
[/etc/rc.d]

What is the directory that contains the init scripts?
[/etc/rc.d/init.d]

In which directory do you want to install the VMware Management Interface
files? [/usr/lib/vmware-mui]

The path "/usr/lib/vmware-mui" does not exist currently. This program is going
to create it, including needed parent directories. Is this what you want?
[yes]

In which directory would you like to install the documentation files?
[/usr/lib/vmware-mui/doc]

The path "/usr/lib/vmware-mui/doc" does not exist currently. This program is
going to create it, including needed parent directories. Is this what you want?
[yes]

The installation of VMware Management Interface 1.0.3 build-44356 for Linux
completed successfully. You can decide to remove this software from your system
at any time by invoking the following command:
"/usr/bin/vmware-uninstall-mui.pl".

Before running VMware Management Interface for the first time, you need to
configure it by invoking the following command:
"/usr/bin/vmware-config-mui.pl". Do you want this program to invoke the command
for you now? [yes]

Configuring httpd.conf to run Apache as:
User: nobody and Group: nobody

Set the number of minutes before a http session times out. (This is the length
of time before someone connecting to VMware Management Interface will be logged
out) [60]

Generating SSL Server Certificate

Starting httpd.vmware: [ OK ]
The configuration of VMware Management Interface completed successfully.

Now you can test everything (but do not forget to disable or setup iptables).
Now installation uses 1.7 Gb

[технология] Fedora и загрузочный RAID1

2007-05-30T13:16:07Z

В Fedora можно посадить раздел /boot на RAID1 так, как это написано в руководстве по RedHat. Однако там не написано, что для того, чтобы после этого система грузилась с обоих дисков нужно не только прописать в BIOS загрузку с обоих дисков, но и подготовить GRUB к загрузке со второго диска:

grub
grub>device (hd0) /dev/hdc
grub>root (hd0,0)
grub>setup (hd0)

Кроме того после первой загрузки необходимо активировать RAID:

# add second device to raid1
mdadm /dev/md0 -a /dev/hdc1
# monitor until recovery is complete (approx 80mb per hour):
cat /proc/mdstat
# make correct table
# FIRST LEAVE ONLY ONE LINE in mdadm.conf (that starts with DEVICE)
mdadm --detail --scan -v >> /etc/mdadm.conf

Еще при установке загрузочный раздел (/boot или /, если нет отдельного /boot) должен находиться на md0 (при использовании IDE). На SCSI вроде бы на md1 (не уверен).

VMware сервер и гостевые ОС

2007-05-30T13:01:27Z

На VMware шикарно встает Windows (проверял на 2003). Проц не грузит, работает быстро.

Linux и сертифицированные версии FreeBSD (на сегодня самые старшие 5.4 и 6.0, а 5.5 и 6.2 уже не поддерживаются официально) тоже встают очень хорошо.

Если же пытаться ставить официально неподдерживае версии, то могут быть проблемы. Например, при установке FreeBSD 6.2 грузится процессор и гостевая ОС работает медленно. А при установке например Fedora 6 всё работает нормально.

[обзор] VMware Server

2007-05-30T12:26:17Z

VMware Server сейчас существует в нескольких видах, основные из них - VMware Server и VMware ESX. Первый вариант ставится на Windows и Linux, второй уже представляет собой дистрибутив Linux с предустановленным ПО VMware.

VMware ESX является довольно требовательным к оборудованию и хорошо успешно устанавливается обычно только на брендовые серверы HP, Intel и т.д. (список совместимости на сайте)

При установке VMware Server на Windows (на примере машины с 1 Гб RAM) на Windows уходит 300-500 Мб RAM (меняется от времени) и периодически процессор и диск загружают фоновые процессы ОС. При установке на Linux на ту же систему на Linux уходит 100-300 Мб RAM и процессор практически не загружается материнской ОС.

Немного об ASA5510

2006-08-17T06:36:29Z

Довелось потестировать эту железку на днях. Софт 7.2.1 (ED) и ASDM версии 5.2.1. Во-первых глюки типа нестабильной работы консоли - вылетает иногда по TAB, не всегда дает адекватные подсказки и т.д. При попытке настроить Failover через ASDM он попытался выполнить на удаленной ASA команду show mode, которой не оказалось, поэтому Failover настраивал вручную в консоли.

Какой-то ужасно противный глюк с OSPF: в какой-то момент ASA перестает слать HELLO на один из интерфейсов и соответственно статусы соседей замирают на INIT/DROTHER. Без stateful failover лечится обычным failover active. После настройки stateful failover не помогает даже перезагрузка одной из ASA - только одновременная перезагрузка обоих.

Еще обнаружился глюк с IPSec: при отсутствии stateful failover при переключении на другую ASA все SA стираются и автоматически не пересоздаются, то есть VPN падает наглухо. Решаемо с помощью stateful failover.

Отключение ISA 2004

2006-03-01T13:24:25Z

В ISA 2004 есть забавная особенность: если отключить основной сервис ISA (называется Microsoft Firewall), то вы не избавитесь от файрвола совсем. Часть соединений будет блокироваться по специальной схеме сервисом Microsoft Firewall Packet Engine Driver (fweng). Этот режим называется ISA Lockdown mode. Полностью отключить ISA поможет команда net stop fweng.

Lockdown Mode
The ISA firewall sports a new feature that combines the need to isolate the firewall and all Protected Networks from harm in the event that the ISA firewall is attacked, to the extent that the Firewall services are shut down. The ISA firewall accomplishes a combination of protection and protective accessibility by entering lockdown mode.

Lockdown mode occurs when:

1. An attack or some other network or local host event causes the Firewall service to shut down. This can happen from a fault, or you can do it explicitly by configuring Alerts and then configuring an Alert Action that shuts down the Firewall service in response to the issue that triggered the Alert.

2. Lockdown mode occurs when the Firewall service is manually shut down. You can shut down the Firewall service if you become aware of an ongoing attack while configuring the ISA firewall and the network to effectively respond to the attack.

Lockdown Mode Functionality
When in lockdown mode, the following functionality applies:

1. The ISA Firewall's Packet Filter Engine (fweng) applies the lockdown firewall policy.

2. Firewall policy rules permits outgoing traffic from the Local Host network to all networks, if allowed. If an outgoing connection is established, that connection can be used to respond to incoming traffic. For example, a DNS query can receive a DNS response on the same connection. This does not imply that lockdown mode allows an extension of existing firewall policy for outbound access from the local host network. Only existing rules allowing outbound access from the local host network are allowed.

3. No new primary connections to the ISA firewall itself are allowed, unless a System Policy Rule that specifically allows the traffic is enabled. An exception is DHCP traffic, which is always allowed. DHCP requests (on UDP port 67) are allowed from the Local Host Network to all Networks, and DHCP replies (on UDP port 68) are allowed back in.

4. Remote-access VPN clients will not be able to connect to the ISA firewall. Site-to-site VPN connections will also be denied.

5. Any changes to the network configuration while in lockdown mode are applied only after the Firewall service restarts and the ISA firewall exits lockdown mode.

6. The ISA Server will not trigger any Alerts.

(from Dr. Tom Shinder's Configuring ISA Server 2004)
Еще ссылка: http://support.microsoft.com/default.aspx?scid=kb;en-us;838711

Схемы передачи данных

2006-02-21T14:51:11Z

Нарисовал схемы передачи данных для двух типичных протоколов: HTTP и FTP через устройства с различными политиками передачи данных: роутер, NAT + Application Filter, HTTP Proxy, ISA Firewall Client session.

Обозначения: стрелками обозначаются TCP-сессии, направление инициации сессии обозначено закрашенной черным стрелкой. Над стрелкой указаны TCP-порты с каждой стороны, под стрелкой - ip-адреса. IP-адреса указаны под названиями машин. Динамические порты из пула выше 1024 указаны в виде >1024. Звездочки указаны для того, чтобы показать, что это разные порты.

Картинки кликабельны (там увеличенные версии). Подробнее о протоколе RWSP и ISA Firewall Client можно прочитать здесь

[технология] FreeBSD: Настройка ntpd

2006-02-10T23:10:12Z

Здесь уже был затронут вопрос синхронизации времени. FreeBSD позволяет синхронизировать время двумя способами: при загрузке (ntpdate) и постоянно (ntpd). Первый способ был уже рассмотрен здесь. Последний способ также позволяет выдавать время другим NTP и SNTP-клиентам. Остановимся на нем подробнее:

Выбор серверов для синхронизации. Самое правильное - пойти на http://www.ntp.org и взять там свежий список NTP-серверов второго уровня (Stratum Two Time Servers).
Создание файла конфигурации:

driftfile /var/db/ntp.drift

# Zapretit dostup po umolchaniju
restrict default ignore

# Razreshit dostup s localhost
restrict 127.0.0.1 mask 255.255.255.255

# Dalshe idut serveri i pravila dla ih razreshenija
# alpha.prao.psn.ru
server 194.149.67.130 prefer
restrict 194.149.67.130 mask 255.255.255.255 noquery notrap

# ntp1.demos.net
server 194.87.0.27
restrict 194.87.0.27 mask 255.255.255.255 noquery notrap

# ntp2.demos.net
server 194.87.0.22
restrict 194.87.0.22 mask 255.255.255.255 noquery notrap

# time.nist.gov
server 192.43.244.18
restrict 192.43.244.18 mask 255.255.255.255 noquery notrap

# Razreshit zaprashivat vremja iz nashih lokalnih setej
restrict 192.168.0.0 mask 255.255.0.0 nomodify notrap
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap
Разрешить запуск ntpd в /etc/rc.conf: ntpd_enable="YES"
Запустим ntpd сейчас:

# ntpd
Мониторинг ntpd-сервера осуществляется программой ntpdc. Следующие ее команды окажутся наиболее полезными:
1. help [команда] - список команд или информация о команде
2. peers - таблица серверов с краткой информацией о них
3. showpeer {ip} - подробная информация о конкретном сервере
4. sysinfo - информация о локальном сервере - режим, текущий сервер, слой...
5. reslist - список доступа с указанным количеством пакетов, отфильтрованных каждой строкой
Теперь можно указывать адрес вашего сервера другим серверам (Windows, Unix, аппаратные платформы, др.)
В случае расширения инфраструктуры вам, возможно, нужно будет задуматься о создании кластера NTP-серверов, соединенных симметричными связями. В этом случае остальным своим серверам вам нужно будет указывать адреса всех серверов кластера. Этого также можно достичь с помощью NTPD.

Дополнительную информацию можно получить в FreeBSD Handbook (www.freebsd.org), man ntpd, man ntp.conf, man ntpdc

[Юмор] Microsoft specifics

2006-01-30T13:52:35Z

TOP = Take Ownership Permission

FreeBSD Zebra router

2006-01-22T11:42:37Z

Для FreeBSD и других UNIX-подобных платформ существует несколько пакетов динамической маршрутизации. Zebra - один из самых надежных и функциональных. Он поддерживает протоколы RIP, RIPv2, RIPng, OSPF, BGP4. Кроме этого поддерживаются протоколы IPv6, IGMP, SNMP. Управление роутером может осуществляться по telnet. Команды аналогичны Cisco IOS.

Процесс установки:

Установить Zebra желательно из пакета, но можно и из портов.
После установки файлы конфигурации находятся в /usr/local/etc/zebra. Там следует переименовать нужные файлы (например zebra.conf.sample и rip.conf.sample) в соответствующие файлы конфигурации (zebra.conf и rip.conf).
В файлах указать параметры для hostname, password, и настраивать разделы router **** так, как это описано в документации Cisco IOS или на сайте http://www.zebra.org
Доступ по telnet осуществляется по портам 2601-2605 (у каждого протокола свой порт, zebra - 2601). Обратите внимание на то, что для управления отдельными протоколами вам нужно будет использовать отдельные порты.

P.S. Одним из ответвлений от Zebra является Quagga, который в данный момент больше поддерживается (thx to fearan)

Мониторинг ARP-активности

2006-01-13T09:24:09Z

Задачи и технологии
ARP-протокол используется для установления связи между IP-адресами и MAC-адресами сетевого оборудования. Поскольку MAC-адрес обычно фиксирован для конкретного сетевого интерфейса, а IP-адрес устанавливается вручную или с использованием DHCP, существует возможность отслеживания, какое оборудование взяло тот или иной IP-адрес (в случае, если MAC-адрес не был изменен с помощью специального программного обеспечения).

Необходимость слежения за ARP-активностью в основном имеется в незащищенных сетях, где не используются VLAN/PVLAN, статические ARP-таблицы, 802.1х, NAC и др. (было рассмотрено здесь). В незащищенных сетях информация об ARP-активности может выявить источник ARP-сканирования, неправильных ip-адресов или подмены ip-адресов и выбрать правильный путь решения этой проблмы.

Однако, необходимость слежения за ARP-активностью может также существовать и в защищенных сетях для предварительного выявления несанкционированной активности (попыток взлома) или неправильной настройки IP-уровня.

Для того, чтобы отслеживать ARP-активность, средства слежения должны быть установлены в сегменте, где необходимо это слежение. Поэтому удобно устанавливать эти средства на роутерах, объединяющих несколько сетевых сегментов или прямо на свиче, если он это позволяет.

Средство слежения за ARP-активностью может либо следить за локальной ARP-таблицей, либо слушать ARP-трафик в сети (ARP-сниффер). Первый вариант имеет в первую очередь ограничение, связанное с тем, что в ARP-таблицу попадает только легальная информация. Неадекватная информация (например, информация об адресе из неизвестной IP-сети) не попадет в локальную ARP-таблицу и поэтому не будет проанализирована таким средством. Второй вариант предпочтителен, но требует внедрения в сетевой стек системы.

Конкретные решения
Под Windows мне такие средства неизвестны (за исключением программы MD ARP Monitor, которая правда работает только с одним интерфейсом и, по всей вероятности, следит только за локальной ARP-таблицей).

У Cisco не так давно появилась фича Dynamic ARP Inspection на свичах. Она позволяет анализировать ARP-пакеты, выбирать из них только легальные на основании подслушивания DHCP (snooping) или на основании ARP access-lists, а также ограничивать частоту подачи ARP-запросов. Также ведет логи (с возможностью отправки на syslog-сервер, как обычно).

Для операционных систем Unix/Linux существует очень удобный пакет arpwatch, который работает по принципу слежения за ARP-трафиком, а не за ARP-таблицей и является достаточно гибким с точки зрения настройки и мониторинга.

Решение на базе arpwatch
Далее рассматриваются особенности настройки Arpwatch на FreeBSD. Устанавливать Arpwatch следует из пакета, соответствующего текущей установленной у вас стабильной версии FreeBSD.

Запуск arpwatch можно осуществить отдельным скриптом /etc/rc.arp:

arpparams="-m NOMAIL"
arpprog="/usr/local/sbin/arpwatch"

#завершить существующие сессии
killall arpwatch

#создать необходимые папки и файлы, если они не существуют
mkdir /usr/local/arpwatch
touch /usr/local/arpwatch/61.dat
touch /usr/local/arpwatch/2.dat
touch /usr/local/arpwatch/arpwatch.log

${arpprog} -i dc3 ${arpparams} -f /usr/local/arpwatch/61.dat -n 192.168.61.0/24
${arpprog} -i dc0 ${arpparams} -f /usr/local/arpwatch/2.dat -n 192.168.2.0/24 -n 192.168.4.0/24

Запуск этого файла /etc/rc.arp можно поместить в /etc/rc.local

Теперь в файле /usr/local/arpwatch/61.dat у нас будет собираться информация c интерфейса dc3 (только о сети 192.168.61.0/24), а в файле /usr/local/arpwatch/61.dat - с интерфейса dc0 (только о сетях 192.168.2.0/24 и 192.168.4.0/24).

В этих файлах будет только таблица соответствий IP-MAC с датой и временем последнего обнаружения этого соответствия. Собственно события arpwatch пишет по умолчанию в /var/log/messages через syslog. Для того, чтобы информация собиралась в файл /usr/local/arpwatch/arpwatch.log, необходимо добавить в файл /etc/syslog.conf строки:

!arpwatch
*.notice /usr/local/arpwatch/arpwatch.log

и перезагрузить syslog:

killall -HUP syslogd

Arpwatch формирует события следующих типов:

Важные
- new activity - This ethernet/ip address pair has been used for the first time six months or more.
- new station - The ethernet address has not been seen before.
- flip flop - The ethernet address has changed from the most recently seen address to the second most recently seen address.
- changed ethernet address - The host switched to a new ethernet address.
Дополнительные
- ethernet broadcast - The mac ethernet address of the host is a broadcast address.
- ip broadcast - The ip address of the host is a broadcast address.
- bogon - The source ip address is not local to the local subnet.
- ethernet broadcast - The source mac or arp ethernet address was all ones or all zeros.
- ethernet mismatch - The source mac ethernet address didn't match the address inside the arp packet.

Если вы хотите вести журнал не только о важных событиях, но и о дополнительных (это может значительно увеличить размер журнала), то вам необходимо поменять *.notice на *.* в строках, добавленных вами в /etc/syslog.conf.

Теперь у вас ведется журнал и таблицы соответствий по адресу /usr/local/arpwatch. Вы можете открыть доступ в эту папку по HTTP через Apache, для того, чтобы смотреть эту информацию удаленно или для того, чтобы собирать по HTTP эту информацию с нескольких роутеров на одну систему, которая будет производить анализ этих журналов и таблиц например, при помощи такого скрипта. Рекомендую использовать .htaccess/.htpasswd для ограничения доступа к этим папкам по HTTP.

Вид, в котором arpwatch выдает информацию, не особенно удобен, поэтому можно написать парсер, преобразующий информацию из таблиц и журналов в mysql и затем скрипт для просмотра этой информации. Примеры таких скриптов здесь: таблицы, парсер, оболочка для просмотра.

FreeBSD: Сбор информации о конфигурации системы

2005-12-30T10:38:52Z

При загрузке kernel выдает в журнал много информации о конфигурации компьютера. Посмотреть ее можно с помощью команды less /var/run/dmesg.boot:

Nov 30 14:17:19 fileserver syslogd: kernel boot file is /boot/kernel/kernel
Nov 30 14:17:19 fileserver kernel: Copyright (c) 1992-2004 The FreeBSD Project.
Nov 30 14:17:19 fileserver kernel: Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
Nov 30 14:17:19 fileserver kernel: The Regents of the University of California. All rights reserved.
Nov 30 14:17:19 fileserver kernel: FreeBSD 5.3-RELEASE #0: Fri Nov 5 04:19:18 UTC 2004
Nov 30 14:17:19 fileserver kernel: root@harlow.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC
Nov 30 14:17:19 fileserver kernel: Timecounter "i8254" frequency 1193182 Hz quality 0
Nov 30 14:17:19 fileserver kernel: CPU: Intel Celeron (594.21-MHz 686-class CPU)
Nov 30 14:17:19 fileserver kernel: Origin = "GenuineIntel" Id = 0x68a Stepping = 10
Nov 30 14:17:19 fileserver kernel: Features=0x383f9ff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE>
Nov 30 14:17:19 fileserver kernel: real memory = 267321344 (254 MB)
Nov 30 14:17:19 fileserver kernel: avail memory = 251936768 (240 MB)
Nov 30 14:17:19 fileserver kernel: npx0: [FAST]
Nov 30 14:17:19 fileserver kernel: npx0: <math processor> on motherboard
Nov 30 14:17:19 fileserver kernel: npx0: INT 16 interface
Nov 30 14:17:19 fileserver kernel: acpi0: <IntelR AWRDACPI> on motherboard
Nov 30 14:17:19 fileserver kernel: acpi0: Power Button (fixed)
Nov 30 14:17:19 fileserver kernel: Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000
Nov 30 14:17:19 fileserver kernel: acpi_timer0: <24-bit timer at 3.579545MHz> port 0x4008-0x400b on acpi0
Nov 30 14:17:19 fileserver kernel: cpu0: <ACPI CPU (3 Cx states)> on acpi0
Nov 30 14:17:19 fileserver kernel: acpi_tz0: <Thermal Zone> on acpi0
Nov 30 14:17:19 fileserver kernel: acpi_button0: <Power Button> on acpi0
Nov 30 14:17:19 fileserver kernel: pcib0: <ACPI Host-PCI bridge> port 0x4000-0x40f7,0xcf8-0xcff on acpi0
Nov 30 14:17:19 fileserver kernel: pci0: <ACPI PCI bus> on pcib0
Nov 30 14:17:19 fileserver kernel: agp0: <Intel 82815 (i815 GMCH) SVGA controller> mem 0xd6000000-0xd607ffff,0xd0000000-0xd3ffffff irq 11 at device 2.0 on pci0
Nov 30 14:17:19 fileserver kernel: pcib1: <ACPI PCI-PCI bridge> at device 30.0 on pci0
Nov 30 14:17:19 fileserver kernel: pci1: <ACPI PCI bus> on pcib1
Nov 30 14:17:19 fileserver kernel: rl0: <RealTek 8139 10/100BaseTX> port 0x9000-0x90ff mem 0xd5000000-0xd50000ff irq 11 at device 4.0 on pci1
Nov 30 14:17:19 fileserver kernel: miibus0: <MII bus> on rl0
Nov 30 14:17:19 fileserver kernel: rlphy0: <RealTek internal media interface> on miibus0
Nov 30 14:17:19 fileserver kernel: rlphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
Nov 30 14:17:19 fileserver kernel: rl0: Ethernet address: 00:05:1c:0d:6e:63
Nov 30 14:17:19 fileserver kernel: atapci0: <CMD 649 UDMA100 controller> port 0xa400-0xa40f,0xa000-0xa003,0x9c00-0x9c07,0x9800-0x9803,0x9400-0x9407 irq 12 at device 11.0 on pci1
Nov 30 14:17:19 fileserver kernel: ata2: channel #0 on atapci0
Nov 30 14:17:19 fileserver kernel: ata3: channel #1 on atapci0
Nov 30 14:17:19 fileserver kernel: pci1: <multimedia, audio> at device 14.0 (no driver attached)
Nov 30 14:17:19 fileserver kernel: isab0: <PCI-ISA bridge> at device 31.0 on pci0
Nov 30 14:17:19 fileserver kernel: isa0: <ISA bus> on isab0
Nov 30 14:17:19 fileserver kernel: atapci1: <Intel ICH2 UDMA100 controller> port 0xf000-0xf00f,0x376,0x170-0x177,0x3f6,0x1f0-0x1f7 at device 31.1 on pci0
Nov 30 14:17:19 fileserver kernel: ata0: channel #0 on atapci1
Nov 30 14:17:19 fileserver kernel: ata1: channel #1 on atapci1
Nov 30 14:17:19 fileserver kernel: fdc0: <floppy drive controller> port 0x3f7,0x3f2-0x3f5 irq 6 drq 2 on acpi0
Nov 30 14:17:19 fileserver kernel: fdc0: [FAST]
Nov 30 14:17:19 fileserver kernel: fd0: <1440-KB 3.5" drive> on fdc0 drive 0
Nov 30 14:17:19 fileserver kernel: sio0: <16550A-compatible COM port> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
Nov 30 14:17:19 fileserver kernel: sio0: type 16550A
Nov 30 14:17:19 fileserver kernel: ppc0: <Standard parallel printer port> port 0x778-0x77b,0x378-0x37f irq 7 on acpi0
Nov 30 14:17:19 fileserver kernel: ppc0: Generic chipset (NIBBLE-only) in COMPATIBLE mode
Nov 30 14:17:19 fileserver kernel: ppbus0: <Parallel port bus> on ppc0
Nov 30 14:17:19 fileserver kernel: plip0: <PLIP network interface> on ppbus0
Nov 30 14:17:19 fileserver kernel: lpt0: <Printer> on ppbus0
Nov 30 14:17:19 fileserver kernel: lpt0: Interrupt-driven port
Nov 30 14:17:19 fileserver kernel: ppi0: <Parallel I/O> on ppbus0
Nov 30 14:17:19 fileserver kernel: orm0: <ISA Option ROMs> at iomem 0xcc000-0xd3fff,0xc0000-0xcbfff on isa0
Nov 30 14:17:19 fileserver kernel: pmtimer0 on isa0
Nov 30 14:17:19 fileserver kernel: atkbdc0: <Keyboard controller (i8042)> at port 0x64,0x60 on isa0
Nov 30 14:17:19 fileserver kernel: atkbd0: <AT Keyboard> irq 1 on atkbdc0
Nov 30 14:17:19 fileserver kernel: kbd0 at atkbd0
Nov 30 14:17:19 fileserver kernel: atkbd0: [GIANT-LOCKED]
Nov 30 14:17:19 fileserver kernel: sc0: <System console> at flags 0x100 on isa0
Nov 30 14:17:19 fileserver kernel: sc0: VGA <16 virtual consoles, flags=0x300>
Nov 30 14:17:19 fileserver kernel: sio1: configured irq 3 not in bitmap of probed irqs 0
Nov 30 14:17:19 fileserver kernel: sio1: port may not be enabled
Nov 30 14:17:19 fileserver kernel: vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
Nov 30 14:17:19 fileserver kernel: Timecounter "TSC" frequency 594207884 Hz quality 800
Nov 30 14:17:19 fileserver kernel: Timecounters tick every 10.000 msec
Nov 30 14:17:19 fileserver kernel: acpi_cpu: throttling enabled, 2 steps (100% to 50.0%), currently 100.0%
Nov 30 14:17:19 fileserver kernel: ad0: 152627MB <WDC WD1600JB-22GVA0/08.02D08> [310101/16/63] at ata0-master UDMA100
Nov 30 14:17:19 fileserver kernel: acd0: CDROM <MATSHITA CR-594/YS0B> at ata1-master UDMA33
Nov 30 14:17:19 fileserver kernel: Mounting root from ufs:/dev/ad0s1a
Nov 30 14:18:31 fileserver fsck: /dev/ad0s1e: 6 files, 5 used, 126834 free (34 frags, 15850 blocks, 0.0% fragmentation)

У жесткого диска в квадратных скобках указаны цилиндры/головки/сектора

[обзор] FreeBSD: Средства мониторинга

2005-12-28T11:00:30Z

Во FreeBSD существует огромное количество средств для получения информации о функционировании системы. Однако некоторые из них спрятаны немного нетривиально.

Информация о дисках
1. mount - показывает смонтированные подразделы и флаги из монтирования
2. df - показывает смонтированные подразделы, их размер и свободное место на них
3. fdisk /dev/ad0 - показывает информацию о диске ad0 и разделах на нем
4. disklabel /dev/ad0s1 - показывает список подразделов в первом разделе диска ad0
5. swapinfo - показывает список подразделов свопинга на дисках и их использование
6. fstat - показывает список открытых файлов (имена файлов не выводятся)
7. pstat -f - выводит список открытых файлов (имена файлов не выводятся)
8. systat -vmstat n - каждые n секунд выводит количество транзакций с диском в секунду, объем записанных/считанных данных на диск в секунду, средний размер транзакции и процент времени в течение которого диск был занят работой.
9. iostat - выводит информацию, аналогичную systat -vmstat, но не выводит занятости диска по времени и может выводить среднюю статистику с момента загрузки.
10. vmstat - выводит количество операций на диске в секунду
11. /stand/sysinstall - можно посмотреть и изменить разметку диска и монтирование
12. less /etc/fstab - таблица монтирования при загрузке
Информация о процессоре и памяти
1. systat -vmstat n - вывод показателей загрузки (number of jobs in the run queue averaged over 1, 5 and 15 min), состояния памяти (в страницах), количества процессов в группах, количество вызовов специальных функций ядра (traps, interrupts, system calls, network software interrupts), использование процессора, трансляции имен, активность свопа, прерывания, а также информацию по использованию диска (см)
2. top - аналогичная информация в сокращенном виде + использование памяти и свопа в мегабайтах, список процессов, отсортированных по использованию процессора.
3. ps afx - список запущенных процессов и время процессора на каждый
Информация о сети
1. ifconfig - список сетевых интерфейсов с ip-адресами, масками, mac-адресами, типами карт и их статусами (названия карточек можно посмотреть в файле конфигурации ядра)
2. systat -ifstat n - объем трафика за n секунд на всех сетевых интерфейсах
3. netstat - вывод активных сетевых соединений (сокетов)
4. systat -netstat n - аналог netstat в реальном времени
5. systat -ip n - таблица IP-пакетов и ошибок по типам за n секунд
6. systat -tcp n - таблица TCP-пакетов и ошибок по типам за n секунд
7. systat -icmp n - таблица ICMP-пакетов и ошибок по типам за n секунд
8. netstat -ibt - список интерфейсов, разбитых по ip-адресам (!) с объемом трафика на каждом, количеством ошибок, коллизий, значением watchdog-таймера
9. netstat -r - таблица маршрутизации
10. arp -a - таблица ARP
11. tcpdump -i rl0 host 192.168.61.20 and port 80 - сниффер пакетов на интерфейсе rl0, фильтрующий пакеты, содержащие адрес 192.168.61.20 и порт 80
12. trafshow -i rl0 - программа для сортировки и вывода сетевых потоков (устанавливается дополнительно пакетом или из портов)
Службы времени
1. date - выводит текущее время и дату
2. w - выводит, сколько времени назад система загрузилась и залогиненных пользователей
3. last - выводит историю перезагрузок и входов пользователей

Схема траблшутинга (по CIT)

2005-12-01T13:00:44Z

Gather symptoms
1. Gather network symptoms
  1. Analyse existing symptoms
  2. Determine ownership
  3. Narrow scope
  4. Determine symptoms
  5. Document symptoms
2. Gather user symptoms
  1. Ask questions that are pertinent to the problem.
  2. Use each question as a means to either eliminate or discover possible problems.
  3. Speak at a technical level that a user can understand.
  4. Ask the user when he first noticed the problem.
  5. If possible, ask the user to re-create the problem.
  6. Determine the sequence of events that took place before the problem occurred.
  7. Match the symptoms that the user describes with common problem causes.
3. Gather end system symptoms
  1. Interview user
  2. Analyze symptoms
  3. Determine symptoms
  4. Document symptoms
Isolate the problem
1. Bottom-up (Physical -> Application)
2. Top-down (Application -> Physical)
3. Divide-and-conquer
Correct the problem
1. Develop an action plan
2. Implement action plan
3. Check for problem elimination
4. If problem persists, cancel all changes and go to 1 (develop new action plan)

[технология] Узнать динамический ip

2005-11-23T15:27:36Z

При подключении к сети через многих провайдеров нам присваивается динамический ip (модемы, ADSL-провайдеры). Каждый раз новый. Поэтому если не знать IP, на компьютер не забраться (например, по протоколу Radmin или RDP, чтобы удаленно зайти на рабочий стол или забрать нужные файлы из дома).

Существует несколько решений этой проблемы, работающие по следующим принципам:

DDNS. Мониторит текущий IP адрес на машине с помощью специальной программы и при его изменении посылает его на специальный DNS-сервер в интернете. В результате достаточно просто знать имя вашей машины и не думать вообще об IP-адресе. Примеры: DynDNS, No-IP (thx to chelovek_v_sebe, lonely_max)

Мониторинг IP и отправка его по почте при изменении или периодически. Недостатки: чтобы узнать текущий IP надо как-то лезть в почту и если в нее есть доступ не отовсюду, то это может быть проблемой. Веб-почта задерживает получение информации, т.к. она недостаточно быстро открывается. Пример: CS Fire Monitor (thx to shackled_koenig)

Мониторинг IP и периодическая отправка его на FTP-сервер с возможностью получения информации по HTTP. Недостатки: нужно зайти на сервер, чтобы получить IP, но всё же это гораздо удобнее привязки на почту. Сделать это можно с помощью простейшего BAT-скрипта, описанного ниже, или программки.

Решение по третьему типу: написать скрипт, который будет через равные промежутки времени отправлять куда-то на сайт с постоянным IP-адресом свой адрес. Тогда можно будет в любой момент зайти на этот сайт и посмотреть ip адрес компьютера с динамическим ip.

Если нет компьютера с постоянным статическим ip, то проще всего воспользоваться существующим сайтом на narod.ru или создать новый (за 2 минуты) или на другом бесплатном провайдере, поддерживающем FTP-закачку.

Следующий скрипт формирует файл с информацией и отправляет его по ftp (ipproxy.bat):

@echo off
date /t > ipproxy.txt
time /t >> ipproxy.txt
hostname >> ipproxy.txt
ipconfig /all >> ipproxy.txt
route print >> ipproxy.txt
getmac /v >> ipproxy.txt
ftp -s:ipproxy.ftp

К нему также идет файл ipproxy.ftp:

open ftp.narod.ru
ЗДЕСЬ ЛОГИН
ЗДЕСЬ ПАРОЛЬ
mkdir cfg
cd cfg
put ipproxy.txt 1.txt
quit

В результате этот файл будет доступен по адресу логин.narod.ru/cfg/1.txt
Так можно собирать в одной папке конфигурации ip с нескольких мест, только не забывайте менять на каждом месте новое название файла (вместо 1.txt)

Для того, чтобы программа запускалась периодически, можно воспользоваться встроенным диспетчером задач Windows (запускать например раз в 10 минут). Кроме того, можно создать ярлык на ipproxy.bat и прописать там запуск в свернутом виде и указать в планировщике уже ярлык, чтобы не маячило черное окно.

В целом получается довольно простое решение, хотя можно написать и отдельную программу, чтобы в трее не открывалось периодически новых окон.

[технология] Установка ftp сервера на FreeBSD

2005-10-25T14:33:50Z

Одним из наиболее гибких и надежных FTP-серверов является ProFTPD. Скачав его пакет и установив, нужно настроить его в /usr/local/etc/proftpd.conf:

Если необходим анонимный доступ:
<Anonymous здесь_указать_папку_расшариваемую_для_анонимного_доступа> <Limit LOGIN> AllowAll </Limit> # на всякий случай, чтобы облегчить логин Requirevalidshell off # Maximum clients with message MaxClients 5 "Sorry, max %m users -- try again later" User ftp Group ftp # We want clients to be able to login with "anonymous" as well as "ftp" UserAlias anonymous ftp # Limit WRITE everywhere in the anonymous chroot #<Limit WRITE> # DenyAll #</Limit> # An upload directory that allows storing files but not retrieving # or creating directories. <Directory uploads/*> <Limit READ> DenyAll </Limit> <Limit STOR> AllowAll </Limit> </Directory> </Anonymous>

Если необходим доступ пользвателей, менять ничего не нужно
Если необходимо включить закачку и перетирание файлов, включить следующие опции:
AllowOverwrite on
AllowStoreRestart on

[технология] Настройка квот в FreeBSD

2005-10-25T14:21:44Z

Во-первых, в конфигурации ядра должно быть "options QUOTA" (см. в посте про настройку ядра).

Теперь в файле /etc/fstab нужно включить поддержку пользовательских и/или
групповых квот для определенных партишнов, например:
/dev/ad0s1f /usr ufs rw,userquota 2 2

Меняем файл /etc/rc.conf:
enable_quotas="YES" # включаем квоты при старте
check_quotas="YES" # проверяем квоты при старте

Перезапускаем сервер.
Теперь доступны следующие команды:
edquota ИмяПользователя (позволяет изменить квоты пользователя)
quota [ИмяПользователя] (показывает текущие квоты)
repquota -a (показывает все квоты)
edquota -p test 1000-1999 (копировать квоты юзера test на всех пользователей с uid 1000-1999)
(it's interesting that new accounts with this ids will have the quotas that you setup with
this command)

После инициализации квот создается файл user.quota или group.quota там, где
квоты включились (в нашем случае /usr). Защитим файлы:
chmod 600 /usr/quota.user
chmod 600 /usr/quota.group

Подробнее по квотам - в хэндбуке по фре.

[технология] Настройка HTTPS на FreeBSD

2005-10-25T14:03:46Z

Если вы установили Apache так, как это было описано в предыдущих постах, у вас будет присутствовать модуль mod_ssl. Иначе вам необходимо его добавить или переустановить Apache.

Убедиться в наличие строчки в файле /usr/local/sbin/apachectl:

HTTPD="/usr/local/sbin/httpd -DSSL"
(эта строчка необходима для того, чтобы по умолчанию apache запускался с поддержкой SSL при перезагрузке и выполнении команды /usr/local/sbin/apachectl restart)
Необходимо установить пакет openssl-? (подробно про установку пакетов я уже писал). Создать ключ для Apache/SSL (далее local нужно заменить на имя виртуального
сервера, который вы собираетесь поднимать, например для local.hamovniki.net
это будет local):

# cd /usr/local/etc/apache/ssl.key
# openssl genrsa -des3 > local.key.org (создаем ключ)
# openssl req -new -x509 -days 3600 -key local.key.org > ../ssl.crt/local.crt (создаем сертификат из ключа)
* Когда спросят Common Name (eg, YOUR name), надо ввести имя сервера,
в нашем случае local.hamovniki.net
Вот пример вопросов, которые задает openssl:
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Russian Federation
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:DL-COM
Organizational Unit Name (eg, section) []:Hamovniki Network
Common Name (eg, YOUR name) []:local.hamovniki.net
Email Address []:info@hamovniki.net
# openssl rsa -in local.key.org -out local.key (расшифровываем ключ, чтобы не пришлось его разблокировать вручную каждый раз при запуске Apache)
# chmod 400 * (на всякий случай ограничим доступ)
# chmod 400 ../ssl.crt/*
Теперь создаем VirtualHost в /usr/local/etc/apache/httpd.conf,
который мы хотим сделать доступным только по HTTPS:

<VirtualHost 213.234.196.67:443> (обрати внимание на порт)
ServerName local.hamovniki.net (заходить будут так: https://local.hamovniki.net)
ServerAdmin info@hamovniki.net (почта админа сервера будет показываться с некоторыми ошибками)
DocumentRoot /usr/home/wm/www.hamovniki.net/lr (где лежат файлы этого сайта)
SSLEngine on (включение SSL)
SSLCertificateFile /usr/local/etc/apache/ssl.crt/local.crt (тут файл созданного нами сертификата)
SSLCertificateKeyFile /usr/local/etc/apache/ssl.key/local.key (тут файл созданного нами ключа)
SSLLog /var/log/ssl_engine_log (логи тут будут)
SSLLogLevel warn
SSLOptions +StdEnvVars
#следующие строки необходимы для нормальной работы MSIE
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
</VirtualHost>
При этом в NameVirtualHost чуть выше должен быть указан ip вашего сервера:
NameVirtualHost 213.234.196.67
Для MSIE нужно добавить в файл строку
SSLSessionCache dbm:/var/log/ssl_gcache_data
Если вы хотите перенаправить нормальный сайт, например
http://local.hamovniki.net на защищенный, например
https://local.hamovniki.net, то надо создать примерно такой VirtualHost:

<VirtualHost 213.234.196.67>
ServerName local.hamovniki.net
ServerAdmin info@hamovniki.net
RedirectMatch (.*) https://local.hamovniki.net$1
</VirtualHost>

Можно также сделать и непрямое перенаправление:

<VirtualHost 213.234.196.67>
ServerName books.hamovniki.net
ServerAdmin johnson@hamovniki.net
RedirectMatch (.*) https://local.hamovniki.net/science$1
</VirtualHost>

<VirtualHost 213.234.196.67>
ServerName www2.hamovniki.net
ServerAdmin info@hamovniki.net
DocumentRoot /usr/home/wm/www
RedirectMatch /admin(.*) https://wwwadmin.hamovniki.net$1
</VirtualHost>
После изменения конфигурации не забудьте перезагрузить Apache: /usr/local/sbin/apachectl restart

Не забудьте правильно прописать все необходимые домены на вашем DNS-сервер, чтобы всё работало.

[технология] Использование server-status в Apache

2005-10-25T13:49:28Z

Для того, чтобы удаленно мониторировать, чем занят сервер Apache, насколько он загружен, что с него скачивают и в каком количестве, существует исклюительно удобный модуль server-status. Установить его можно следующим образом:

Если вы устанавливали Apache описанным в предыдущем посте способом, то mod_status включен в его установку. Иначе вам необходимо его установить
Добавить в httpd.conf:

ExtendedStatus On
<Location /server-status>
SetHandler server-status
# Order deny,allow
# Deny from all
# Allow from
</Location>
При необходимости поправить строку Allow from, добавив туда ip-адреса, с которых только будет разрешен просмотр статуса. В этом случае убрать знаки комментария (#).
Теперь просмотреть статус можно по адресу: http://ваш_сервер/server-status