Задать вопрос
  • Есть ли решения, в которых не сервер подключается к бекапному серверу и копирует данные, а наоборот?

    kotomyava
    @kotomyava
    Системный администратор
    Да, например, так делает rsnapshot.
    Ответ написан
    Комментировать
  • Автозапуск Apache в Ubuntu

    KorP
    @KorP
    Кратко о себе
    говорят это из-за того, что MySQL запускается позже

    а вы не слушайте что говорят, или попросите объяснить в каком месте apache с mysql связан
    Ответ написан
    Комментировать
  • Как в iptables блокировать все соединения SYN_RECV?

    DerBlogger
    @DerBlogger

    SYN_RECV - это состояние tcp-соединения во время three-handshake, означающее что сервер принял пакет с установленным флагом SYN (запрос на соединение), отправил SYN/SYN-ACK клиенту и ожидает от клиента пакет с флагом ACK.

    Поскольку ACK от клиента (в нашем случае, от атакующего хоста) не приходит, то соединение висит до момента, пока оно не будет убито по таймауту. Пока такое соединение существует в системе - оно потребляет ресурсы, что может создать прецедент для замедления работы системы.

    Таким образом, чтобы таких соединений не создавалось нужно отсеивать из них неугодные до того, как система выделит для них ресурсы. В Вашем случае, нужно фильтровать все входящие пакеты с установленным флагом SYN и дропать те из них, которые нас не устраивают. Легитимный пользователь не будет создавать по десятку соединений каждую секунду, а атакующий - будет.

    Соответственно, Вам нужно выяснить закономерность (периодичность, количество запросов и т. п.), позволяющую отличить легитимный хост от атакующего конкретно в Вашем случае, и в соответствии с ней создать правила.

    Если говорить обобщенно, то в Вашем случае, я думаю, проблему можно решить с помощью модуля recent в iptables. Уверен, его функционала Вам будет достаточно. Сможете обойтись несколькими правилами. Алгоритм следует применить примерно такой:

    1. Сначала разрешаете входящий tcp-трафик по соединениям в состояниях ESTABLISHED и RELATED (модуль conntrack).

    iptables -I INPUT 1 -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    2. Открываете нужные порты, разрешая пропуск пакетов по этим правилам только в случаях если:
    - установлен флаг SYN (опция --syn);
    - соединение находится в состоянии NEW (модуль conntrack);
    - не превышен лимит соединений с одного ip-адреса (модуль recent).
    Примерно так:
    iptables -A INPUT -p tcp -m multiport --dports 80,443 --syn -m conntrack --ctstate NEW -m recent --name webtraffic --update --seconds 5 --hitcount 16 -j DROP
    
    iptables -A INPUT -p tcp -m multiport --dports 80,443 --syn -m conntrack --ctstate NEW -j ACCEPT


    Первое правило будет применено только к пакетам с установленным флагом SYN, которые приходят с отдельно взятого IP-адреса со скоростью более 16 пакетов в течение 5 секунд. Этим правилом будет отброшен флуд.

    Второе правило пропустит пакеты, не подошедшие под предыдущее правило (легитимный трафик).

    Разумеется, все нужно адаптировать под Ваши условия и нагрузку. Подробности по модулям смотрите в man iptables-extensions. Настоятельно рекомендую ознакомиться с описанием модуля recent для лучшего понимания.

    3. Дропаете весь остальной tcp-трафик либо отдельным правилом, либо политикой по-умолчанию.

    Также, дабы легитимных пользователей не откидывало при попытке подключения, Вы можете увеличить очередь SYN-пакетов в sysctl, в соответствии с имеющимися системными ресурсами. За это отвечает параметр net.ipv4.tcp_max_syn_backlog, и уменьшить таймаут для соединений в состоянии SYN_RECV, за что отвечает параметр net.netfilter.nf_conntrack_tcp_timeout_syn_recv.
    Рекомендуемые параметры индивидуальны для каждой системы. У меня используются такие:
    net.ipv4.tcp_max_syn_backlog = 262144
    net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 20

    Ответ написан
    1 комментарий
  • Тюнинг freebsd?

    click0
    @click0
    Системный & сетевой архитектор
    Еще

    kern.ipc.nmbclusters=400000
    kern.ipc.maxsockbuf=83886080
    


    У меня вот:
    21502/10887/32389 mbufs in use (current/cache/total)
    20464/7831/28295/400000 mbuf clusters in use (current/cache/total/max)
    20464/7823 mbuf+clusters out of packet secondary zone in use (current/cache)
    0/0/0/253036 4k (page size) jumbo clusters in use (current/cache/total/max)
    0/0/0/74973 9k jumbo clusters in use (current/cache/total/max)
    0/0/0/42172 16k jumbo clusters in use (current/cache/total/max)
    92607K/36767K/129374K bytes allocated to network (current/cache/total)
    0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
    0/0/0 requests for mbufs delayed (mbufs/clusters/mbuf+clusters)
    0/0/0 requests for jumbo clusters delayed (4k/9k/16k)
    0/0/0 requests for jumbo clusters denied (4k/9k/16k)
    0/0/0 sfbufs in use (current/peak/max)
    0 requests for sfbufs denied
    0 requests for sfbufs delayed
    0 requests for I/O initiated by sendfile
    0 calls to protocol drain routines
    
    Ответ написан
    8 комментариев
  • Cколько массивов поддерживают аппаратные raid-контроллеры на чипсете Intel Z77

    AxisPod
    @AxisPod
    Ох, не советовал бы вам рисковать с raid в чипсетах) Тут имхо софтварный рейд без каких либо вариантов.
    Ответ написан
    1 комментарий
  • Как узнать производительность сервера?

    Вообще то спросили
    Как узнать производительность сервера?
    а не
    Посоветуйте сервер для сети на over 1500


    Т.к. не известны Ваши настройки то очень сложно делать какие-либо таблицы. У кого-то P3 справляется с этой задачей, кому то «нормального маршрутизатора» не хватает.
    Я бы посоветовал почитать про средства мониторинга, затем почитать историю оптимизации
    Ответ написан
    Комментировать
  • Что возвращается в хэдере в случае отсутствия клиентского адреса в базах GeoIP?

    SkiF_TLT
    @SkiF_TLT
    Ничего не будет содержаться в ответе. Т.к. $geoip_country_code вернет false, то nginx просто не передаст заголовок, в котором нет значения.

    Вот тут человек из-за этого голову чуть не сломал: serverfault.com/questions/463971/httpgeoipmodule-geoip-country-code-is-blank :)
    Ответ написан
    Комментировать
  • Что значит «Порты SFP без общего доступа» в описании коммутатора HP 1910-8G-PoE+?

    opium
    @opium
    Просто люблю качественно работать
    В свичах hp встречал общие порты с sfp, то есть есть порт на 1000 мегабит обычный медный эхернет и его дубль в виде порта sfp, юзаешь либо медь либо sfp порт.
    Ответ написан
    Комментировать
  • Возможно ли восстановить данные с dvd-диска?

    Данные читайте с помощью Non-Stop Copy. Он гарантированно проигнорирует битые участки и даже с них попытается прочитать всё, что только можно.
    Больше 2x лучше не раскручивать, т. к. диск несимметричен и может запрыгать или вообще разлететься.
    Попорченое место (это какой-то жидкостью разъело, кажись?), пожалуй, не вернуть — большая часть проедена аж до алюминия.
    Ответ написан
    Комментировать
  • Цены на фриланс на постСоветском Пространстве

    @CAMOKPYT
    странный вопрос, очень разный ценник, я думаю разница в несколько десятков раз, верхний предел около 2000-3000р в час для очень узкого специалиста, нижний предел 50-90 рублей для начинающего карьеру провинциального фрилансера
    Ответ написан
    Комментировать
  • Идеи максимально удобного просмотра видео на TV

    @vovagubin1987
    DLNA-если есть, то ставите на windows программу отсюда www.homemediaserver.ru/index.htm и всё. Это вам вариант без паяльника.
    Ответ написан
    1 комментарий
  • Странный спам. Что бы это значило?

    philpirj
    @philpirj
    А отчего не хотите прикрутить комментарии через Disqus, Facebook, VK или Cackle?
    Ответ написан
    Комментировать
  • Почта для домена: gmail vs. яндекс

    kommen
    @kommen
    Я пользуюсь гугловским сервисом почты, пока никаких проблем и нареканий не было, в настройке тоже трудностей не возникло. Выбор на него пал из-за хорошей работы спам фильтров.
    Ответ написан
    Комментировать
  • Как легально установить Windows XP на сервера Hetzner?

    EugeneOZ
    @EugeneOZ
    Возможность существует, мы так восьмёрку ставили — отправляли им скан лицензии.
    Ответ написан
    2 комментария
  • Linux для бабушки?

    BupycNet
    @BupycNet
    Основатель PushAll
    Вроде ресурс технический, а где характеристики ноута? Если это именно ноут, а не нетбук (5 лет назад то), то не думаю что он очень слабый. Если там 1 гиг оперативы, то таки под флеш и браузером должно хватить. Можно поставить любой дистр с MATE, к примеру можно дебиан взять. В MATE как собственно в гноме, есть набор игр. Там и манджонг и пасьянсы и в общем все что душе угодно. Флешки по моему опыту линукс даже ловчее читает чем винда, бывало что была повреждена фс, и винда не могла вообще ничего прочесть — линукс легко прочел и даже мог работать с такой фс :)
    Можете поставить MATE и LXde. LX полегче, а MATE как мне кажется пофункциональнее, софт можно юзать какой нравится, не помню просто есть ли в пакете LXDE игры.
    Хотя учитывая что инета нет, флеш тоже не нужен. Фото, видео воспроизведется вообще из коробки. В общем нужно как минимум знать железо, т.к. на некоторых ноутах даже кде неплохо летать будет.
    Ответ написан
    1 комментарий
  • Схема сети в Zabbix

    ormwish
    @ormwish
    Делается подложка. Если нужны активные элементы, отображенные графически и меняющие своё состояние, как я делал, например, при вложенности карт (объектов) — для каждого типа такого объекта можно загрузить свою «иконку»-изображение. Ну, а также можно рисовать прям там. Но это секс в гамаке при надетом противогазе, стоя спиной к партнёру.
    Ответ написан
    Комментировать
  • Я не понял. Почему Google Reader всё ещё работает у меня?

    vladvertigo
    @vladvertigo
    нужно в hosts строку прописать
    127.0.0.1 reader.google.com
    Ответ написан
    Комментировать
  • Cофт для отслеживания действий инсталятора?

    pnick
    @pnick
    Телеком инженер
    regmon, filemon — первое, что приходит на ум. Использовал, когда писал пакетный установщик программ.
    Ответ написан
    1 комментарий