我正在尝试在一个运行良好的环境中设置访客无线网络已经有一段时间了。无线在Ubiquiti UniFi AP上运行。
我希望这很清楚。如果不是,请随时提出问题.... 我觉得这可能会令人困惑。
有问题的 Cisco 交换机是 SG 200 系列,防火墙是 pfSense。Ubiquiti UniFi AP 配置了 2 个 SSID(“NNH”和“NNH Guest”)
在我描述更多的排版之前,这里是情况:
更多细节
pfSense 仅作为访客网络的防火墙和 DHCP 服务器运行(员工/主要网络使用 Synology NAS 作为 DHCP 服务器)。
网络有这两个子网
pfSense 配置如下:
又到了一年中的那个时候,我正在努力在周一早上(好吧,周日是 4 月 1 日,但周一足够接近, 对?)!
我以前从未使用过 Squid,但我的 IT 主管和我相信这是一个值得使用它的场景。目标:在我们的企业环境中颠倒翻转某些网站的图像。
根据这个 Ubuntu How-to,我已经将 Squid、Apache 和 ImageMagick 安装到 CentOS 6 的全新基础安装上。
我已将flip.pl 的内容复制并粘贴到/usr/local/bin 中并验证了所有文件权限。然后我进入了我们的 Windows DNS 服务器并添加了我自己的个人网站(用于测试目的)以将这些请求发送到新的代理服务器。
Squid 在其默认端口 3128 上运行,而 apache 在其默认端口 80 上运行。由于 DNS(用于测试 URL)设置为指向这个 CentOS 框,我编辑了它自己的 /etc/hosts 以指向URL 到正确的 IP 地址,以便 Squid & Apache 获取内容。
所以现在我进入了测试阶段。我要去网站 testurl.com:3128,它...超时。我们将使用路由器的 IP 表来重定向当天的流量,但现在,我只是使用浏览器的 URL 来识别 Squid 的端口,如您所见。
我已经验证(当我 ping 它时)它击中了运行 Squid/Apache 的 CentOS 机器。我还验证了此框的 IP 表中有一条规则允许端口 3128 和端口 80:
[root@centos6 squid]# cat /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m …我在 CentOS 上运行 Postfix 邮件服务器,并试图启用 Spamassassin 的 bayes 过滤器,但我似乎遗漏了一些东西。
我们正在运行 amavisd-new 2.9.1:
Name : amavisd-new
Arch : noarch
Version : 2.9.1
Release : 2.el6
Size : 3.0 M
Repo : installed
From repo : epel
.... 使用 Spamassassin 3.3.1:
Installed Packages
Name : spamassassin
Arch : x86_64
Version : 3.3.1
Release : 3.el6
Size : 3.1 M
Repo : installed
From repo : updates
据我所知,我唯一的 spamassassin 配置文件位于 /etc/mail/spamassassin.conf 中。
此目录中的 local.cf 文件包含以下内容:
# These values can be overridden by editing …我正在努力完成在 php-fpm 上实现 chroot 的最后一步,Apache 2.4 在 CentOS 7 上运行。
我已经成功设置并测试了没有 chroot 的 php-fpm 连接。但是,一旦我将 chroot 指令添加到 /etc/php-fpm.d/file.conf 中的 conf 文件中,我就会得到一个“找不到文件”的消息,正如许多其他人所经历的那样。
这是我的 php-fpm conf 文件:
[site1.com]
user = user1
group = user1
listen = /var/run/php-fpm/site1.com.sock
listen.owner = user1
listen.group = user1
php_admin_value[disable_functions] = exec,passthru,shell_exec,system
php_admin_flag[allow_url_fopen] = on
php_admin_value[short_open_tag] = On
php_admin_value[doc_root] = /
php_admin_value[error_log] = /logs/php-errors
php_admin_flag[log_errors] = on
pm = ondemand
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3 …背景故事:
我在一家公司的 IT 部门工作,当我的公司大约十年前刚起步时,该公司获得了在仓库外工作的空间。从此以后,我公司的业主们就向仓库的业主们提供了“恩惠”。
问题
仓库中有一个旧的、设计不佳的 Microsoft Access 2003 应用程序,它已经在我公司的服务器上托管了很长时间。他们通过 RDP 连接到它。
我们正在升级我们的服务器(和软件),并希望它们完全脱离我们的网络,因为支持他们缺乏技术知识、他们的旧 Windows Vista 计算机以及事实上网络打印对他们来说一直在中断。
我正在研究一个解决方案,为他们在内部移动他们的 Access 数据库。需求之一是仓库所有者可以从她的房子(外面)连接到它。
我们的所有者仍然不想放弃它们,所以这里是我们的解决方案:为仓库提供一台新的台式计算机,它将托管 Microsoft Access 数据库。取出他们的家用路由器,并放入 Cisco ASA 5505(免费延长贷款)。使用文件共享(因此其他每台计算机也需要 Access 2003),以便每个人都可以使用它。
但是,我仍在尝试找出允许外部用户连接到 Access 资源的最佳方法。
我已经构建了本地接口,完成了工作 DHCP 并指向 OpenDNS 的 DNS 服务器。我还没有他们的公共 IP 地址(虽然我知道它是静态的),所以我也会构建公共 int。
我已经建立了访问列表,以允许来自仓库所有者家(在静态 IP 上)的流量以及来自我公司的流量,因为我们将继续支持它们。
我对 Cisco 不是很熟悉,但一直在学习(考虑尽快参加 CCNA),并且玩过我们最终将部署到他们位置的 ASA。我的理解是 ASA 可以支持 VPN,这是正确的吗?
为了让外部用户连接到内部,将 VPN 功能内置到 ASA 中是否最有意义?有什么我应该考虑的警告吗?
或者你能想到什么更好的解决方案?
我正在构建一个 php-fpm chroot,并且在我称之为成功之前的最后一步之一。
php-fpm chroot 就像一个魅力。另外,我在 chroot 中安装了mini_sendmail(代替了库存的 sendmail)并且可以确认它可以发送电子邮件:
[root@hostname site1.com]# ls bin/
bash cat sendmail test.txt
[root@hostname site1.com]# chroot .
bash-4.2# cat /bin/test.txt | ./bin/sendmail -t -i -fme@site1.com me@my-email.com
运行上述命令时,我收到了电子邮件。
但是,当我从 Web 浏览器访问以下 php 脚本时,没有发送电子邮件:
<?php
$message = "This is a test";
$headers = 'From: me@site1.com';
mail("me@my-email.com", "Test", $message, $headers);
echo "mail sent";
?>
下面是我的 php-fpm chroot 池配置文件:
[site1.com]
user = user1
group = user1
listen = 127.0.0.1:9001
listen.owner = user1
listen.group = user1
php_admin_value[disable_functions] = exec,passthru,shell_exec,system …我正在从单个 PHP 实例移动单个服务器上的每个网站(其中所有网站中的所有文件都归 apache 所有,并且仅安装了默认的 php 库,而没有安装 php-fpm) ...我正在为每个单独的网站安装一个 php-fpm 池。
更好的安全性和网站的分离是我的目标,最大的目标是一个网站中的 PHP 脚本将无法访问另一个网站中的 PHP 脚本。
我显然做错了什么。
我的环境:
这是 php-fpm 池配置文件的示例:
[root@host]# cat /etc/php-fpm.d/website1.com.conf
[website1.com]
user = user1
group = user1
listen = /var/run/php-fpm/website1.com.sock
listen.owner = user1
listen.group = user1
php_admin_value[disable_functions] = exec,passthru,shell_exec,system
php_admin_flag[allow_url_fopen] = on
php_admin_value[short_open_tag] = On
pm = ondemand
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
chdir = /home/www/website1.com/
这是它在 Apache 中对应的 vhost 文件:
[root@host]# cat /etc/httpd/conf.d/website1.com.conf
<VirtualHost …我在具有 512mb RAM 的专用 VPS 上为客户托管一个网站。在过去的 2 周内,由于 0% 的空闲内存(或空闲交换),它已经两次停机。该站点非常依赖数据库,因为它运行具有 60 多个模块的 Drupal。平均而言(根据网站所有者的说法),每月大约有 6,000 名访问者(约 200 人/天)。不过,它可能会增长得相当快——它刚刚推出不到一年。
所以我坐下来终于掌握了对 Apache 的理解。我以前手动配置过 httpd.conf,但还没有完全理解所有的复杂性。
我了解到我应该通过 MaxClients 以 Mb 为单位计算我的平均 Apache 进程大小,并且这个数字不应该超过系统可用的内存。根据 Top 的说法,每个进程大小都略低于 7%(这大约是 1.4Mb,对吧?)。512/1.5 = 341...这对我来说似乎非常大。我误解了什么吗?起初,我认为我应该按百分比(在本例中为~7)来计算进程大小。也许我第一次是对的?
这为其他操作系统进程提供了一点空间。
数据库 (MySQL) 在同一台主机上。
我的问题是双重的。1) 我正在考虑安装 Varnish 以帮助减少数据库负载(几乎所有访问者都未经身份验证),加快初始响应时间等......对于一个只有这么少内存的系统,我疯了吗?如果我这样做,我正在考虑给它 256Mb。想法?显然,事情不会在缓存中停留很长时间。256/7 = ~36 页。然而,我希望“主要”页面将被缓存。主页和主页后面的一些主要页面将占用大量数据库,我想尽可能减少磁盘 IO 量。
2) 如果我确实安装了 Varnish,我想知道是否应该将 Apache 设置调整为当前设置的一半,因为我已经给了 Varnish 一半的内存。在这种低级配置中,Varnish 和 Apache 之间是什么关系?
我有一个客户在现场有一台 WatchGuard XTM 23 设备作为他们的主要防火墙。几天前我刚刚将其固件升级到该系列的最新版本 11.6.6。
问题是我未能成功为他们设置 VPN 连接。
使用http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html 上的说明,我正在尝试设置 VPN使用 SSL 连接:从防火墙 Web GUI/仪表板,我转到 VPN -> Mobile VPN with SSL,启用它,添加防火墙连接到的组织的公共 IP 地址。我在 Active Directory 中设置了一个名为“SSLVPN-Users”的组,验证 WatchGuard 框可以与 Active Directory 服务器通信,并将我自己添加到该组。
然后,我将带有 SSL 客户端的 WatchGuard Mobile VPN 下载到我自己的 Windows 7 机器上,走到街对面客户端的第二栋大楼(具有不同的公共互联网连接),并尝试连接到 VPN。
当我尝试与客户端连接时,出现以下错误:
2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814) Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain …我有一个朋友托管了一些数据,可以使用两种方法从服务器下载:
但是,对于数据有两个重要的考虑因素:它非常敏感,因为他不希望任何“中间人”能够告诉谁获得了数据或数据来自何处(来自服务器/ISP 日志等。 .) 当世界各地的访问者带宽极其有限时,它也应该可以访问。数据应该可以公开访问,并且易于被知道其存在的人获取。
这里的最终目标是保护访问者,让中间人无法知道访问者请求了什么内容,或者他/她从哪里请求它。基本上,正如标题所说,我们想要一个无法追踪的网络服务器。
为了帮助从中间人的日志中隐藏网站的身份,并帮助保护请求数据的个人,我认为一种解决方案是构建几个地理上分散的代理服务器,这些代理服务器与诸如No-IP.com。我认为以某种方式加密从 A 点到 B 点的数据(超越简单 SSL 的东西)也很好。
撇开编码考虑不谈,我想知道你们将如何在项目的服务器和网络端实现这种类型的安全性。
我使用像 no-ip.com 这样的服务,在全球范围内有许多不同的代理服务器的想法有意义吗?
PS:我意识到这篇文章中的一些内容含糊不清。不幸的是,我无法具体说明数据是什么,或者我们为什么需要这样一个安全的基础设施——与我们需要它的原因完全相同。如果您有任何疑虑或问题,请随时直接与我联系。
我已经成功地在 Stick 上设置了一个路由器,并且有两个子网:
我的路由器的子接口分别设置为 10.0.0.1 和 10.1.0.1。
我运行 Windows Server 2008 的主域控制器位于 10.0.0.3。我的只读域控制器(也运行 Win 2008)位于 10.1.0.3。
此外,我在这个实验室网络上有 3 个工作站 (Windows XP)。1 个工作站在 10.0/16 网络上,其中两个在 10.1/16 网络上。
我在此 Active Directory 林中也有两个站点,并且该站点与子网和域控制器配对。我为每个站点设置了一个组,并将不同的用户添加到不同的组中,并确保分配给 10.1/16 网络密码的组被 RODC“允许”缓存。
我的目标:将 10.1/16 站点的用户(以及最终的文件夹、文件等)复制到 10.1.0.3 上的只读 DC,以便 RODC 在主 DC 不可用时处理用户身份验证。
我目前可以毫无问题地向主域控制器验证所有工作站。我还验证了我的 10.1/16 用户帐户已缓存在 RODC 的 10.1.0.3 上。
但是,当我从网络上拔下主域控制器,然后尝试以从未通过该特定 PC(但其帐户缓存在 RODC 上)的用户身份登录 10.1 网络上的工作站时,登录失败因为域不可用。
显然我没有达到我的目标,我正在努力找出原因。任何线索或建议?
除了作为技术支持专家的日常工作外,我还运营共享网络托管环境并为此运行许多服务器。我运行一个 LAMP 环境。
从今天东部时间凌晨 4 点开始,我的防火墙提醒我在我的服务器上执行了大量端口扫描。当他们没有停止时,我降低了允许的端口扫描量,然后在一定时间内完全阻止 IP 地址 - 我增加了时间限制(从 3600 秒到 6900 秒)。
扫描不断进行 - 我的防火墙不断阻止 IP 地址。现在,我开始考虑阻止大约 3 或 4 个不同的 B 类子网。
我还记得我安装了 Telnet,因为它没有做任何有用的事情,所以我继续将其删除。大约一周前,我已经安装了所有安全更新,尽管我确实有一些包含一些未完成的非安全更新的软件包。
我应该多么担心,无论是谁会通过企图攻击来跟进这些端口扫描?您会建议我彻底阻止这些 B 类子网吗?
编辑:当然,我应该提一下,我现在正在密切关注我的日志。
几周前,我在 Facebook 上与另一位网络工程师进行了一次有趣的讨论,讨论如下:
我:
我想抨击认为将 200 多台设备组成的网络放到 192.168.2.0/23 子网(不,结尾 3 不是错字)以及(相当可能)同一个人认为在没有 VGA 或控制台 [或串行] 输出的硬件上安装无头防火墙是个好主意。
他:
我不明白。如果我要为 200 多个设备创建一个网络,并且我希望它们都在同一个广播域中,则 /23 是 510 可用的票证。是不是没有网络分段让您烦恼?
我:
创建一个 10/16 会是一个更好的方法(在使它干净并且以后易于处理方面)。此外,这个特定的客户正在疯狂增长,到明年应该会拥有 500 多台设备。
他:
除非你有一个很好的理由,否则我会避免任何超过 /22 的广播域。你有什么样的交换和路由?听起来是时候使用 SVI 或棒上的路由器了。
基本上,我的烦恼是设置原始网络的人使用 192.168.2.0/23 这样做,导致 192 网络被分成 2 个独立的 IP 块(我不喜欢结尾八位字节不同的事实,但是同一个子网)。
所以这是我的问题:
设置子网掩码低于网络上设备数量实际要求的网络是否存在网络性能问题?是否有任何其他原因导致这是一个坏主意(除了创建较小子网的安全和逻辑原因 - 创建某些 VLAN,将网络的一部分与另一部分分开等......)?
顺便说一句,我浏览了关于IPv4 子网划分的规范问题的最佳答案,并了解了一些东西,但它并没有从性能的角度直接回答我的问题。不过,具体来说,我发现该答案末尾的“为什么要对网络进行子网划分的三大主要原因”部分很有帮助。
在我看来,如果我将总共 30 台设备放在一个 10/16 子网上,就不会有问题。但是,如果我将 2048 个左右的设备放在 10/16 上,中间没有任何路由器或第 3 层交换,那么显然会出现问题,因为很多设备都试图广播。
php-fpm ×3
firewall ×2
amavis ×1
apache-2.4 ×1
chroot ×1
cisco ×1
cisco-asa ×1
httpd ×1
networking ×1
pfsense ×1
rodc ×1
security ×1
spamassassin ×1
squid ×1
ubiquiti ×1
varnish ×1
vpn ×1
watchguard ×1