• Как правильно настроить Маскарадинг в Mikrotik?

    hempy80
    @hempy80
    Внесистемный администратор
    Нужно использовать не маскарад, а правило snat,
    Задачу можно разделить на три этапа
    Этап 1 разделить на пять групп устанавливаемые соединения по критерию source адрес (У вас указано только четыре внешних адреса, поэтому пример будет для четырёх, также сеть 172.19.123.0/24 не может быть приватной, но хозяин-барин и в примере оставлено как указано у вас)
    Этап 2 Промаркировать соединение из каждой группы соответствующей меткой
    Этап 3 пропустить трафик групп через соответствующие им правила source nat согласно присвоенной метки

    /ip firewall mangle
    add action=mark-connection chain=prerouting new-connection-mark=1st_conn \
    per-connection-classifier=src-address:4/0 src-address=172.19.123.0/24
    add action=mark-connection chain=prerouting new-connection-mark=2st_conn \
    per-connection-classifier=src-address:4/1 src-address=172.19.123.0/24
    add action=mark-connection chain=prerouting new-connection-mark=3st_conn \
    per-connection-classifier=src-address:4/2 src-address=172.19.123.0/24
    add action=mark-connection chain=prerouting new-connection-mark=4st_conn \
    per-connection-classifier=src-address:4/3 src-address=172.19.123.0/24

    /ip firewall nat
    add action=src-nat chain=srcnat connection-mark=1st_conn out-interface=ether1 \
    to-addresses=192.168.8.2
    add action=src-nat chain=srcnat connection-mark=2st_conn out-interface=ether1 \
    to-addresses=192.168.8.3
    add action=src-nat chain=srcnat connection-mark=3st_conn out-interface=ether1 \
    to-addresses=192.168.8.4
    add action=src-nat chain=srcnat connection-mark=5st_conn out-interface=ether1 \
    to-addresses=192.168.8.5

    других правил маскарада выше этих быть не должно
    Ответ написан
    1 комментарий
  • Как хранить netflow?

    athacker
    @athacker
    nfcapd. Бесплатый, умеет сжимать БД, всё хранится в отдельных файликах, для анализа можно использовать nfdump. Есть графическое поделие -- nfSense, работает по файлам, собранным nfcapd. У нас база netflow -- около 18 Тб за три года (это сжатых данных). nfcapd бьёт их на каталоги по схеме: <имя_шлюза>/год/месяц/день/час. Соответственно, по 24 файла в сутки.
    Ответ написан
    4 комментария
  • Как хранить netflow?

    MaxDukov
    @MaxDukov
    впишусь в проект как SRE/DevOps.
    Давайте определимся - Вам надо собирать, анализировать, анализировать бесплатно или анализировать быстро?
    Коллектора бесплатные есть - и работают, по слухам, вполне стабильно. Анализаторы - тут хуже.
    13 Free Netflow Analyzer
    Ну а анализировать быстро и бесплатно при 1Тб данных за месяц - это вопрос не к ПО, вернее не только к ПО но и к железу.
    Ответ написан
    6 комментариев
  • Системное администрирование сайтов на vps. Что для этого нужно знать?

    @ramjke
    Языки - никаких не надо знать. Достаточно грамотно настроить программы.
    Nginx - настройки оптимизации (кеширование, keepalive, gzip, количество воркеров), и безопасности (сервак не должен ложиться под дос-атаками и выполнять php, загруженный под видом картинки). Уметь пользоваться Rewritemode.
    MySQL - настройки кеширования (размер кеша, количество таблиц в кеше).
    PHP - Memcache/Xcache для кеширования результатов запросов к php. Настройка заключается в основном в выставлении размера кеша.
    Wordpress - знание основных атак и установка плагинов от них (из популярных атак - брутфорс пароля к админке и xml-rpc атака).
    Ротация логов - чтобы место на диске не закончилось от распухших логов.
    Fail2Ban - чтобы не забрутфорсили пароли к ftp, smtp, ssh.
    Опционально - установка системы мониторинга (Zabbix, Nagios) для отслеживания работы служб (nginx, mysql и другие необходимые) и доступности сайта.
    Из утилит нагрузочного тестирования простейшая - ApacheBench (просто шлёт n запросов на одну страницу), покруче - Jmeter (с возможностью записывания сценариев).
    Ответ написан
    2 комментария