۱۳۹۰ شهریور ۱۵, سه‌شنبه

گام دوم : بررسی گزینه های دیواره آتش میکروتیک

برای دسترسی به دیواره آتش میکروتیک، با استفاده از وینباکس ( نرم افزار مدیریتی میکروتیک ) به دستگاه وصل شده ، سپس مطابق شکل 1 از منوی اصلی ابتدا IP سپس Firewall را انتخاب کنید.
شکل 1
پنجره Firewall مطابق با شکل 2 باز خواهد شد.
شکل 2
بخش های اصلی دیواره آتش میکروتیک به قرار زیر است :
  • Layer 7 Protocol
  • Address Lists
  • Connections
  • Service Ports
  • Mangle
  • NAT
  • Filter Rules

Layer7-Protocols
Layer7Protocols یک روش جستجوی الگو در جریان داده UDP ,ICMP  و TCP می باشد.
تطبیق دهنده لایه هفتم، 10 بسته اولیه یا 2KB اولیه جریان ارتباطی را جمع آوری کرده و بدنبال الگوی مشخص شده در داده جمع آوری شده می گردد.تطبیق دهنده اگر الگو در داده جمع آوری شده پیدا نشد بررسی بیشتری انجام نخواهد داد.حافظه اختصاص داده شده به این امر خالی شده و پروتکل بعنوان ناشناخته در نظر گرفته می شود.باید به این نکته توجه داشته باشید که مصرف حافظه با افزایش تعداد ارتباطات بطور قابل توجهی بیشتر خواهد شد.
تطبیق دهنده لایه هفتم به دو طرف ارتباط ( ورودی و خروجی ) برای بررسی بسته ها نیاز دارد،بدین منظور باید قانون های لایه هفتم را در زنجیره Forward قرار دهید.اگر قانون در زنجیره Prerouting جدول INPUT قرار گرفت ، باید مشابه همین قانون را در زنجیره Postrouting جدول Output ایجاد کنید،در غیر اینصورت داده جمع آوری شده ممکن است در تبطیق دادن الگو نیتجه نتیجه اشتباهی در بر داشته باشد.

Address Lists
Address Lists یکی از ویژگی های خوب و کاربردی میکروتیک می باشد ،با استفاده از لیست آدرس می توان بصورت دستی و خودکار لیستی از آدرس ها تهیه کرد تا هنگام استفاده نوشتن قوانین از آنها بهره جست.
شکل 3
مزیت لیست آدرس در کمتر شدن و ساده تر شدن قوانین می باشد.بدین صورت که اگر بخواهید برای چندین کاربر دسترسی مشترکی را محدود یا باز کنید، در حالت عادی باید به ازای هر کاربر یک قانون ایجاد کنید ولی در این حالت کافیست ، یک لیست آدرس ایجاد ، آدرس کاربران را به آن اضافه کرده و در قانون ها بجای آدرس مبدا یا مقصد از لیست آدرس مبدا یا مقصد که متعلق به گزینه های پیشرفته می باشد ، استفاده کنید.
با استفاده از لیست آدرس خودکار می توان ، آدرس ها را بصورت  خودکار به لیست اضافه کرد ، برای این منظور کافیست در تب Action قانون، گزینه Add dst to address list  برای ارسال مقصد بسته ها و Add src to address list  برای ارسال مبدا بسته ها به لیست آدرسی که در زیر آن مشخص می شود ، استفاده کرد.
می توانید ابتدا یک قانون برای ایجاد لیست آدرس خودکار ایجاد کرده و سپس عملیات مورد نظر را بر روی لیست آدرس انجام دهید..
لیست آدرس در  آنالیز شبکه هم قابل استفاده است ، برای مثال تهیه  لیستی شامل تمامی کاربرانی که از سرویس SSH استفاده می کنند یا سرورهایی که آنها به آن متصل می شوند را با لیست آدرس خودکار می توان بدست آورد.مم

Connections
از طریق تب Connections می توانید لیست کلیه ارتباط هایی که با میکروتیک برقرار شده است را بر اساس آدرس مبدا و مقصد ، نوع پروتکل و مدت زمان فعال بودن ارتباط مشاهده کنید.
شکل 4

Service Ports
سرویس هایی وجود دارند که در صورت فعال شدن نت بدلیل احتیاج به ارتباط واقعی پایاپای بدرستی کار نخواهند کرد،برای حل این مشکل میکروتیک از خاصیت NAT Traversal برای چند سرویس خاص استفاده می کند.
شکل 5


Filter , NAT, Mangle
در پنجره Firewall ، سه جدول اصلی که قبلا مفاهیم آنها مورد بررسی قرار گرفت وجود دارند. در این پنجره می توان لیست قانون هایی که قبلا نوشته شده اند را در تب های مختلف مشاهده و ویرایش کرد.

شکل 6
برای اضافه کردن قانون جدید بر روی علامت  “+” کلیک کنید تا پنجره New Manage Rule باز شود. گزینه ها در سه دسته عمومی ، پیشرفته و اضافی تقسیم بندی شده اند.
این گزینه ها در هر سه جدول NAT , Mangle  و Filter یکسان می باشند و فقط در جدول نت P2P وجود ندارد.این گزینه ها را در شکل های 7 ، 8 ، 9 می توانید مشاهده کنید.
شکل 7

نیاز به یادآوری است که دانستن ساختار بسته ها ، یکی از ملزومات تنظیم دیواره آتش می باشد.اکثر گزینه های موجود با دانش نسبت به این ساختار، کاربردی و قابل استفاده خواهند بود.
در دسته عمومی ، گزینه ها شامل نوع زنجیره ، آدرس مبدا و مقصد ، نوع پروتکل ، درگاه مبدا و مقصد ، اینترفیس ورودی یا خروجی ، بسته و ارتباطات قبلا نشانه گذاری شده و وضعیت ارتباط می باشد.
گزینه های دسته پیشرفته در بر گیرنده ، لیست آدرس مبدا یا مقصد ، پروتکل لایه هفتم ، محتوای خاص در آدرس ، آدرس سخت افزاری ، TOS ، TTL و ... می باشد.
شکل 8

دسته اضافی شامل گزینه هایی همچون تنظیم زمان برای فعال شدن قانون بر اساس ساعت و روزهای هفته ، نوع آدرس از قبیل Broadcast , Unicast , Multicast  و Local ، محدود کردن تعداد ارتباطات و ... می باشد.
شکل 9
عملیات های قابل انجام توسط منگل در تب Action شکل 10 لیست شده اند. باید توجه داشت که هر قانون فقط یک عمل در آن واحد قادر است انجام دهد.پس برای عملیات های متفاوت باید قوانین مجزا ایجاد کنید.
شکل 10

عملیات های قابل انجام توسط جدول فیلتر در شکل زیر آورده شده است.
شکل 11

و در آخر لیست عملیات های جدول فیلتر در ادامه قابل مشاهده است.
شکل 12

عملیات های مشترک بین همه جدول ها عبارت اند از :
  • Accept : قبول کردن بسته ، بسته در قانون های بعدی بررسی نمی شود.
  • Add dst to address list : اضافه کردن آدرس مقصد به لیست آدرس مشخص شده
  • Add src to address list : اضافه کردن آدرس  مبدا  به لیست آدرس مشخص شده
  • Jump : پرش به زنجیره مشخص شده
  • Log : فرستادن پیغامی حاوی قانون تطبیق داده شده با فرمت خاص به سیستم ثبت وقایع
  • Passthrough : در نظر نگرفتن قانون و رفتن به قانون بعدی (کاربرد، بیشتر برای آمارگیری )
  • Return : برگردان کنترل به زنجیره در جایی که پرش صورت گرفته

عملیات های غیرمشترک جدول فیلتر متشکل شده از :
  • Drop : رها کردن بسته بدون ارسال پیغام
  • Reject : رها کردن بسته همراه با ارسال یک پیغام ICMP Reject
  • Tarpit : ضبط و نگهداری ارتباطات TCP ( کاربرد در کم کردن اثر حملات DOS )

عملیات های غیرمشترک جدول نت بقرار زیر است :
  • Src-NAT : ترجمه آدرس مبدا بسته به آدرس مشخص شده
  • Dst-NAT : ترجمه آدرس مقصد بسته به آدرس مشخص شده
  • MASQUERADE : ترجمه آدرس مبدا بسته به آدرس عمومی موجود در سیستم
  • Redirect : جایگزین کردن درگاه مقصد بسته با درگاه مشخص شده
  • Same
  • Netmap

عملیات های غیرمشترک جدول منگل عبارت اند از :
  • Change DSCP ( TOS ) :  تغییر مقدار فیلد TOS بسته
  • Change TTL : تغییر مقدار فیلد TTL بسته
  • Change MSS : تغییر مقدار فیلد Maximum Segment Size بسته
  • Clear DF : پاک کردن بیت Don’t Fragment  (کاربرد در تانل IPSEC )
  • Mark Connection : نشانه گذاری ارتباط
  • Mark Packet : نشانه گذاری بسته ( کاربرد در کنترل پهنای باند )
  • Mark Routing : نشانه گذازی مسیر ( کاربرد در عملیات مسیریابی پیشرفته )
  • Set Priority : تغییر مقدار فیلد اولویت در لینک هایی که مقدار اولویت را ارسال می کنند.
  • Strip IPv4 Options

تب Statistics نیز آماری از میزان ترافیک و تعداد بسته هایی که این قانون شامل حال آنها می شود را بصورت عددی و گراف در اختیار ما قرار می هد.از طریق این تب می توان درستی قانون نوشته شده را مورد بررسی قرار داد. شکل 13 گویای این موضوع می باشد.
شکل 13
نگارنده : رضا بهروزی

منبع:
[1] http://wiki.mikrotik.com/wiki

گام اول : اصول دیواره آتش ( فایروال ) میکروتیک

از آنجاییکه که دیواره آتش میکروتیک از کرنل بهینه سازی شده لینوکسی بهمراه مجموعه NetFilter  بهره می گیرد ، پس برای درک بهتر اصول و قوائد نحوه کار دیواره آتش میکروتیک باید اصول Netfilter در لینوکس مورد بررسی قرار گیرد.
دیواره آتش میکروتیک متشکل از مجموعه ای از زنجیره ها و زنجیره ها تشکیل شده از چندین جدول با کاربرد مختلف می باشند.
زنجیره های کلی عبارتند از :
  • زنجیره PreRouting
  • زنجیره Forward
  • زنجیره Input
  • زنجیره Outout
  • زنجیره PostRouting
جدول های کلی شامل :
  • جدول Mangle
  • جدول Nat
  • جدول Filter
نکته :
تعداد زنجیره ها در لینوکس قابل افزایش هستند ولی در میکروتیک این امر امکان پذیر نیست.
هر زمان بسته ای وارد میکروتیک شود ، از این زنجیره ها عبور کرده و در جدول ها مورد پردازش قرار می گیرد.
لازمه ی دانستن چگونگی تنظیمات دیواره آتش میکروتیک داشتن درک خوب نسبت به مراحل گذر بسته ها از زنجیره ها و جدول های مختلف می باشد.
مراحل گذر بسته در شکل زیرآورده شده است.

شکل یک

سوال مهم که در اینجا مطرح می شود اینست که بسته ها چگونه و از چه زنجیره هایی عبور می کنند؟
در هنگام بررسی زنجیره ها می بایست به این نکته توجه داشته باشید که یک بسته از همه ی زنجیره ها عبور نمی کند و با توجه به این که بسته متعلق به خود سیستم می باشد یا سیستم دیگری ، مراحل عبور از زنجیره ها متفاوت می باشد.
همانطور که در شکل مشخص شده است ، بلافاصله بعد از اینکه بسته ای به میکروتیک برسد ، فارغ از اینکه متعلق به کجاست و به کجا می رود ، ابتدا وارد زنجیره Prerouting   می شود.بعد از این وارد مرحله مسیریابی شده و مقصد بعدی بسته و جهت حرکت بسته مشخص خواهد شد.
  • اگر بسته متعلق به سیستم دیگری باشد وارد زنجیره Forward شده وسپس زنجیره Postrouting را طی می کند.
  • اگر بسته متعلق به خود میکروتیک باشد ابتدا وارد زنجیره Input شده و پردازش های داخلی بر روی آن صورت می گیرد.
  • اگر آغازگر بسته ای خود میکروتیک باشد ابتدا وارد زنجیره Output شده و سپس زنجیره Postrouting را طی می کند.
شکل 2
اشتباه رایج اکثر افراد در این است که تصور می کنند زنجیره Input و Output  بر روی بسته هایی که متعلق به میکروتیک نیست نیز اثرگذار است در حالیکه اگر به شکل 1 به دقت نگاه شود ،متوجه خواهید شد که برای بسته های عبوری، این دو زنجیره پردازشی صورت نخواهند داد.
در شکل 2 مسیرهای مختلف توضیح داده شده در بالا با رنگ های متفاوت آورده شده است.
  • کاربرد جدول ها در زنجیره ها
قبل از بررسی عملکرد جدول در زنجیره ها نیاز است که ساختار بسته ها را بخوبی بشناسید.مهمترین بخش بسته هدر می باشد که ساختار آن در شکل  3 آورده شده است.
هدر در ابتدای بسته قرار  می گیرد و شامل فیلدهایی می باشد که اطلاعات مربوط به بسته مانند آدرس مبدا  و مقصد ، درگاه مبدا و مقصد و ... در آن قرار می گیرد.در واقع مسیریابها ،سوییچ ها و دیگر دستگاه ها با بررسی هدر بسته ها به اطلاعاتی راجب آنها دست پیدا می کنند و عملیات مورد نیاز را بر روی آنها انجام می دهند.
شکل 3
در زنجیره ها با بررسی آدرس مقصد در فیلد Destination Address زنجیره بعدی مشخص می شود و از فیلد Source Address مشخص کننده اینست که آغاز گر بسته میکروتیک یا سیستم دیگری در شبکه بوده است.


  • جدول Mangle
جدول منگل در تعریف ساده برای دستکاری بسته ها مورد استفاده قرار می گیرد و سه هدف عمده را دنبال می کند :
  1. TOS
  2. TTL
  3. Mark
TOS
از طریق منگل می توان فیلد TOS ( Type of Service ) هدر بسته را تغییر داد. این تنظیم در اکثر روتر ها ، فایروال ها و ... بی تاثیر است مگر اینکه در سیاست های تنظیماتی در مسیریابی ، فیلترینگ ، QOS و ... مورد استفاده قرار گیرد.

TTL
از طریق منگل می توان فیلد TTL ( Time To Live ) در هدر بسته را تغییر داد.فیلد TTL برای این منظور است که بسته های سرگردان بعد از مدتی از بین برند ،بدین ترتیب که بسته از هر روتر ( به اصطلاح HOP ) که عبور می کند ،یکی از مقدار TTL کم می شود تا نهایتا مقدار آن به صفر برسید و بسته از بین برود.
در صورتیکه از TTL استفاده نمی شد ، حلقه هایی با تکرار بی نهایت اتفاق می افتاد که با گسترش سریع این حلقه ها ، به مرور کل شبکه از فعالیت باز می ایستاد.
شکل 4
یکی از کاربردهای تغییر TTL اینست که با تعییر TTL می توان عملیات هایی که در شبکه ما رخ می دهد را تا حدودی مخفی کرد.بعضی خرابکاران از طریق مقدار TTL به نوع سیستم عامل یا دستگاه های موجود در شبکه پی می برند یا سرویس دهندگان اینترنت از طریق TTL می توانند متوجه شوند که آیا سرویس گرفته شده بین چندین سیستم به اشتراک گذاشته شده است یا خیر.

Mark
جدول منگل این قابلیت را دارد که از طریق آن بسته ها را نشانه گذاری کرد و از این نشانه ها می توان در فیلترینگ ، مسیریابی و کنترل پهنای باند استفاده کرد.


  • جدول NATَ
جدول NAT ( Network Address Translation ) فقط برای ترجمه آدرس در بسته های مختلف مورد استفاده قرار می گیرد.ترجمه آدرس هم می تواند بر روی آدرس مبدا صورت پذیرد و هم بر روی آدرس مقصد.

سه عملیات اصلی جدول NAT  عبارت اند از :
  1. DNAT
  2. SNAT
  3. MASQUERADE

DNAT
عملیات DNAT ( Destination Netowrk Address Translation ) برای ترجمه آدرس مقصد بسته استفاده می شود.بیشترین کاربرد DNAT در محیط های DMZ می باشد.
فرض کنید شبکه ای مطابق  شکل 5 داشته باشید :
شکل 5
کاربری از طریق اینترنت می خواهد وبسایت شرکت واقع در شبکه داخلی با آدرس 10.1.10.100 را مشاهده کند ، ولی این آدرس خصوصی است و از طریق اینترنت قابل دسترسی نیست.
راه حل این است که  به کاربر، آدرس عمومی شبکه یعنی 200.150.10.3 که از اینترنت در دسترس است را داده و بر روی میکروتیک بوسیله DNAT آدرس مقصد یعنی 200.150.10.3 را به 10.1.10.100 ترجمه کرده تا وبسایت قابل مشاهده گردد.

SNAT
عملیات SNAT ( Source Network Address Translation )  بر خلاف DNAT برای ترجمه آدرس صورت مورد استفاده قرار می گیرد.زمانیکه سیستمی در شبکه داخلی بخواهد به منابع مختلف موجود در اینترنت از قبیل صفحات وب ، پست الکترونیکی ، سرورهای انتقال فایل و ... دسترسی داشته باشد ، باید از یک آدرس عمومی برای این منظور استفاده شود ، این در حالیست که سیستم در شبکه داخلی از آدرس خصوصی استفاده می کند ، پس باید آدرس خصوصی به یک آدرس عمومی ترجمه شود که به این عملیات SNAT گویند.
علت استفاده از آدرس خصوصی در شبکه ها معمولا به دلایل امنیتی یا کمبود آدرس عمومی می باشد.


شکل 6
MASQUERADE
عملیات MASQUERADE دقیقا همانند SNAT می باشد با این تفاوت که برای هر بار فرخوانی عملیات MASQUERADE برای یک بسته ، سیستم بصورت خودکار بدنبال آدرس عمومی که برای ترجمه مورد نیاز است ، می گردد.
پس MASQUERADE بار و عملیات اضافی به سیستم تحمیل می کند ، هر چند امتیاز بزرگی نسبت به SNAT دارد  و آن اینست که با هر بار تغییر آدرس عمومی ، تغییری در عملکرد سیستم به وجود نمی آید.
بعضی از سرویس دهندگان از طریق DHCP ، PPPoE  ، VPN و ... اینترنت در اختیار مشترکان قرار می دهند که با هر قطع و وصل شدن ارتباط و سیستم ، آدرس عمومی تغییر خواهد کرد ، پس ناگریز به استفاده از MASQUERADE خواهید بود.
  • جدول Filter
هدف اصلی در جدول Filter ، فیلترینگ بسته ها بر اساس سیاست های امنیتی تعریف شده در مجموعه می باشد.در جدول فیلتر بسته هایی که اجازه عبور دارند و بسته های غیر مجاز که باید فیلتر شوند تعیین می شود.
امکان فیلتر بسته ها بر اساس آدرس مبدا و مقصد ، درگاه مبدا و مقصد ، زمان عبور بسته ها ، وضعیت ارتباط ، محتوا ، TOS ، TTL، بسته های نشانه گذاری شده در منگل  و بسیاری گزینه های دیگر وجود دارد.
حال که اطلاعاتی در ارتباط با زنجیره ها و جدول های تشکیل دهنده آن کسب کردید ، مهترین نکته در استفاده از دیواره آتش میکروتیک ، انتخاب درست زنجیره و جدول مورد استفاده می باشد.این انتخاب با توجه به کارکرد مورد نظر و شناختی که بعد از معرفی زنجیره ، جدول و مسیر عبوری بسته ها بدست آوردید ، حاصل می شود.
توجه داشته باشید که ترتیب قرار گیری جدول ها در زنجیره ها مهم می باشد ، همیشه در یک زنجیره اولیت با جدولی منگل سپس نت و در آخر فیلتر می باشد.


  • انتخاب زنجیره بر اساس جدول ها
Filter
برای فیلتر کردن زنجیره های Input , Output و Forward مورد استفاده قرار می گیرد.
اگر مبدا و مقصد بسته سیستم دیگری جز میکروتیک می باشد از زنجیره Forward استفاده کنید.
اگر مبدا بسته میکروتیک و مقصد سیستم دیگری باشد از زنجیره Output استفاده کنید.
اگر مبدا بسته سیستم دیگر و مقصد میکروتیک باشد از زنجیره Input استفاده کنید.

Nat
اگر می خواهید عملیات SNAT یا MASQUERADE را بکار بگیرید ، از زنجیره POSTROUTING استفاده کنید.
اگر می خواهید عملیات DNAT را بکار بگیرید ، از زنجیره PREROUTING استفاده کنید.

نکته:
در میکروتیک زنجیره Postrouting به SNAT و زنجیره Prerouting به DNAT تغییر نام یافته است.

Mangle
انتخاب زنجیره بر اساس جدول منگل مشکل تر از بقیه جدول ها می باشد و کاملا وابسته به کارکرد بسته ، دیگر قوانین تنظیم شده و ... دارد.این عدم قطعیت از آنجا ناشی می شود که جدول منگل در واقع یاری رسان دیگر جدول ها یعنی NAT و بخصوص Filter می باشد و بدون توجه به تنظیمات آنها نمی توان از منگل استفاده کرد.
در صورتیکه می خواهید بسته را قبل از مسیریابی دستکاری کنید باید از زنجیره Prerouting استفاده کنید.

همانطور که ترتیب جدول ها در زنجیره مهم می باشد ، در هنگام نوشتن قوانین باید به  اولویت زنجیره ها که در شکل 1-2 بر اساس محل عبور بسته مشخص شده است ، نیز توجه کافی داشت.
اگر اولویت قرارگیری و بررسی جدول ها و زنجیره ها مورد توجه قرار نگیرد ، احتمال آنکه قوانین نوشته شده بدرستی کار نکنند و تداخل ایجاد شود ، وجود خواهد داشت.
فرض کنید بسته ای را در زنجیره Forward فیلتر کرده اید ، پس نشانه گذاری یا ترجمه آدرس آن در زنجیره Postrouting سودی نخواهد داشت.
نگارنده : رضا بهروزی
منابع:
[1] Gheorghe, L , Designing and Implementing Linux Firewalls and QoS using netfilter, iproute2, NAT, and L7-filter , PACKT Publishing, 2006
[2] Henmi, A, Lucas, M, Singh, A, Cantrell, C, Firewall Policies and VPN Configurations, Syngress, 2006

۱۳۹۰ تیر ۱۱, شنبه

شیوه کاسبی جدید از طریق فیس بوک

man rozita zand hastam

salame23.sakene shiraz hastam.daneshjo resteye memari daneshgah

azad shiraz hastam.

man asheghe 6ex ba mardane khosh heikal va javab va 6exy hastam.

har kas ke dost dare ba man 6ex (rabeteye jensi)daste bashe ye karte

sharje 5tomani hamrahe aval ba shomarasho baram befreste ta zang

zang bezanam ta ghararo bezarin.

man bara pol dar avardan in karo mikonam va hich kalaki to karam nist

pas behem etemad kon.

lotfan massege alaki ham nadin.

۱۳۹۰ تیر ۸, چهارشنبه

اجرای یک دستور با مجوز کاربری دیگر

فرضا با کاربر root وارد شدید و قصد دارید با دسترسی کاربری دیگر دستوری را اجرا کنید
از دستور su به ترتیب زیر استفاده کنید
su - username -c command
برای مثال فرض می کنیم شما بسته postgresql رو نصب کردید
حالا اگر به صورت معمولی createuser را بزنید در خود سیستم یک کاربر اضافه خواهد شد ولی اگر دستور به ترتیب زیر اجرا شود
su - postgres -c createuser test
در دیتابیس postgresql کاربر اضافه خواهد شد.
نکته:
اکثر اوقات اگر بین دستورات بعد از c-فاصله وجود دارد باید آنها را بین "" قرار دهید.

۱۳۹۰ خرداد ۲۷, جمعه

آموزش تصویری نحوه نصب ،ارتقا و بازیابی پسورد میکروتیک توسط Netinstall

نرم افزار Netinstall این امکان را به ما می دهد تا در صورت صدمه دیدن سیستم عامل روتربوردها براحتی سیستم را جایگزین و دستگاه را بحالت عملیاتی باز گردانیم!.
امکان بروزرسانی میکروتیک از طریق Netinstall هم وجود دارد ،هر چند در گذشته نحوه بروزرسانی میکروتیک به شیوه آسانتری در سایت آورده شده است.
همچنین از Netinstall می توان برای از بین بردن پسورد موجود بر روی روتر بوردها استفاده کرد.
برای این منظور به سایت میکروتیک در این آدرس رفته و فایل های مورد نیاز که شامل Netinstall و Combined package می شود را دانلود کنید.
بعد از دانلود فایل ها مطابق آموزش های زیر عمل کنید
آموزش متنی هم اضافه خواهد شد!

۱۳۹۰ خرداد ۲۴, سه‌شنبه

تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client )

مشاهده آموزش در سایت پرشین ادمینز
در این آموزش به نحوه تنظیمات اولیه یک سیستم میکروتیک برای اتصال به شبکه پرداخته خواهد شد.این تنظیمات عبارت اند از :

  1. تنظیم آدرس IP
  2. تنظیم دروازه پیش فرض (Default Gateway )
  3. تنظیم سرور DNS
  4. تنظیم ساعت و تاریخ
  5. تنظیم PPPoE Client
  6. تنظیم DHCP Client

1-تنظیم آدرس IP در میکروتیک

برای تنظیم آدرس IP در صورت داشتن چندین اینترفیس باید اینترفیسی که مد نظر است و باید IP بر روی آن تنظیم شود , مشخص کنید.

برای این منظور اگر روتر بورد در اختیار دارید به شماره پورت دقت کنید یا اگر نام اینترفیس ها تغییر کرده است یا میکروتیک بر روی سروری با چندین کارت شبکه نصب شده است, همه کابل ها را از میکروتیک قطع کرده و از طریق Winbox یا ترمینال, اینترفیسی که به حالت Running  هست را پیدا کنید.

  • تشخیص اینترفیس برای تنظیم IP

با استفاده از دستور interface print خروجی همانند زیر را خواهید داشت.

[behroozi@PersianAdmins] > interface print
 
Flags: D - dynamic, X - disabled, R - running, S - slave
 
#     NAME                                          TYPE             MTU
 
0  R  ether1                                        ether             150
 
1       ether2                                        ether             150
 
2       ether3                                        ether             150

مشاهده از طریق وینباکس


اینترفیس که به شبکه متصل است با R مشخص شده است , پس آدرس باید بر روی ether1 تنظیم شود.

پیش فرض ها :
آدرس IP میکروتیک : 1.1.1.2/24
دروازه پیش فرض : 1.1.1.1
DNS سرورها : 4.2.2.4 و 8.8.8.8

  • اختصاص آدرس IP از طریق Winbox

حال که اینترفیس مورد نظر مشخص شد آدرس IP را تنظیم کنید.

قدم اول


قدم دوم


قدم سوم




  • اختصاص آدرس IP از طریق ترمینال

برای اضافه کردن آدرس IP بدین ترتیب عمل کنید :

ip address add interface=ether1 address=1.1.1.1/24

مشاهده کلیه آدرس IP های تنظیم شده :

[behroozi@PersianAdmins] > ip address print

Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         BROADCAST       INTERFACE
0   1.1.1.1/24              1.1.1.0                 1.1.1.255               ether1

برای حذف آدرس تنظیم شده , می بایست ابتدا از آدرس ها همانند بالا خروجی بگیرید و سپس با توجه به شماره ذکر شده برای آدرس ها , به ترتیب زیر عمل کنید :

ip address remove 0

2-تنظیم دروازه پیش فرض (Default Gateway ) در میکروتیک

برای دسترسی به میکروتیک از دوردست و رنج آدرس های دیگر می بایست بر روی میکروتیک Default Gateway تنظیم شود.برای این منظور به طریق زیر عمل کنید :


  • تنظیم Default Gateway از طریق وینباکس

قدم اول


قدم دوم


مشاهده تنظیمات


  • تنظیم Default Gateway از طریق ترمینال

اضافه کردن :
ip route add dst-address=0.0.0.0/0  gateway=1.1.1.1

مشاهده کلیه مسیرها :

[behroozi@PersianAdmins] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          1.1.1.1            1
1 ADC  1.1.1.0/24                     1.1.1.2         ether1                      0

حذف یک مسیر :

ip route remove 0



3-تنظیم سرور DNS در میکروتیک

برای تبدیل دامنه به IP سرور DNS را بر روی میکروتیک تنظیم می کنیم.فرضا برای اینکه بتوانید از منوی Tools --> Ping بتوانید Yahoo.com را ping کنید ،می بایست سرور DNS بر روی میکروتیک تنظیم شده باشد.

  • تنظیم سرور DNS از طریق وینباکس

قدم اول


قدم دوم


  • تنظیم سرور DNS از طریق ترمینال
میکروتیک نسخه های 5 به قبل :
ip dns set primary-dns=4.2.2.4
ip dns set secondary-dns=8.8.8.8
میکروتیک نسخه های 5 به بعد :
ip dns set servers=4.2.2.4,8.8.8.8
مشاهده تنظیمات DNS :
[behroozi@PersianAdmins] > ip dns print
servers: 4.2.2.4,8.8.8.8
allow-remote-requests: no
max-udp-packet-size: 512
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 8KiB

4-تنظیم ساعت و تاریخ در میکروتیک

گاهی نیاز است از عملیاتی استفاده کنید که به زمان و تاریخ وابسته اند فرضا کنترل پهنای باند بر اساس ساعت یا روز های هفته،برای این منظور می بایست زمان و تاریخ میکروتیک بدرستی تنظیم شده باشید.

زمان و تاریخ بعد از هر بار Reboot میکروتیک از بین خواهد رفت،پس باید از NTP Client استفاده کنید تا زمان میکروتیک را با یک Time server هماهنگ کند،اگر میکروتیک به اینترنت متصل است می توانید از سرور 4.2.2.4 برای این منظور استفاده کنید،اگر در شبکه خود از Active Directory استفاده می کنید می توانید از آدرس این سرور هم برای NTP کلاینت استفاده کنید در غیر این صورت نیاز است که یک NTP سرور برای شبکه خود راه اندازی کنید.

  • تنظیم ساعت و تاریخ از طریق وینباکس

قدم اول


قدم دوم


قدم سوم


  • تنظیم ساعت و تاریخ از طریق ترمینال
system clock set time-zone-name=Asia/Tehran
system ntp client set enabled=yes primary-ntp=4.2.2.4 mode=unicast
مشاهده تنظیمات :
[behroozi@PersianAdmins] >system clock print
time: 01:15:12
date: jun/11/2011
time-zone-name: Asia/Tehran
gmt-offset: +04:30
dst-active: yes



5-تنظیم PPPoE Client در میکروتیک

اکثر اوقات برای اتصال به اینترنت نیاز است که از یک ارتباط PPPoE استفاده کنید،برای این منظور یک کانکشن PPPoE بر روی میکروتیک ایجاد کنید.

پیش فرض ها :

نام کاربری : behroozi

پسورد : reza

اینترفیس متصل به مودم یا رادیو : ether1

  • تنظیم PPPoE کلاینت از طریق وینباکس

قدم اول


قدم دوم


قدم سوم


Use Peer DNS از سرور های DNS ای که سرور PPPoE معرفی می کند استفاده خواهد کرد.

Add Default Route مسیر پیش فرض ( Default Gateway ) را اینترفیس PPPoE Client قرار می دهد.

Dial On Demand فقط زمانی که نیاز باشد اقدام به برقراری ارتباط و ایجاد کانکشن PPPoE می کند.

  • تنظیم PPPoE کلاینت از طریق ترمینال
interface pppoe-client add interface=Wireless add-default-route=yes use-peer-dns=yes user=behroozi password=reza profile=default disabled=no

6-تنظیم DHCP Client

گاهی نیاز است که کلیه تنظیمات از قبیل آدرس IP , DNS , Gateway , زمان و ... از طریق سرور DHCP بر روی میکروتیک تنظیم شود.در اینصورت دیگر نیازی به طی مراحل بالا نیست!.

شما باید اینترفیسی که DHCP Client بر روی آن تنظیم خواهد شد، را مشخص کنید.

  • تنظیم DHCP Client از طریق وینباکس

قدم اول


قدم دوم


Use Peer DNSاز سرور های DNS ای که سرور DHCP معرفی می کند استفاده خواهد کرد.

Use Peer NTP از تنظیمات زمان و تاریخ معرفی شده بر روی سرور  DHCP بهره می برد.

Add Default Route امکان ساخت مسیر پیش فرض ( Default Gateway ) در صورت خواست سرور DHCP را می دهد.

مشاهده تنظیمات


  • تنظیم DHCP Clientاز طریق ترمینال

ip dhcp-client add interface=ether1 disabled=no use-peer-dns=yes use-peer-ntp=yes add-default-route=yes

۱۳۹۰ خرداد ۱۸, چهارشنبه

نشانی ipv6.admins.ir به مناسبت روز جهانی IPv6

با سلام
امروز 8 june روز جهانی IPv6 است،در این روز اکثر سرویس دهنده ها سرویس های خود را بر روی IPv6 به آزمایش خواهند گذاشت.
بهمین مناسبت پرشین ادمینز به دلیل ماهیت سایت تصمیم به بارگزاری سایت بر روی IPv6 گرفت.
در همین راستا با مشکلات انتقال از IPv4 به IPv4 از نزدیک آشنا شدیم و ضرورت بروزرسانی هر چه زودتر سرورها و سرویس هایی مورد استفاده برای ما بیشتر از پیش مشخص شد.
II6 بخصوبی از IPv6 ساپورت نمی کند پس بدلیل فرصت کم امکان بالااوردن تالار سایت بر روی IPv6 فراهم نشد!
سایت اصلی بر روی مجازی سازی قرار داشت که از IPv6 پشتیبانی نمی کرد!
در آخر تصمیم گرفتم بصورت سمبولیک بر روی سیستم شخصی خودم که IIS7 نصب می باشد ،صفحه ای برای استقبال از IPv6 قرار دهم و به آدرس
http://ipv6.admins.ir
در دسترس عموم قرار گیرد،باشد که در آینده ای نزدیک بر روی همین آدرس سایت اصلی از طریق IPv6 در دسترس علاقه مندان باشد.
البته این افتخار برای ما کافیست که اولین نفراتی باشیم که در ایران از IPv6 استفاده می کنیم و سایتی در ایران با IPv6 میزبانی کنیم!
موفق باشید
------
نکته:
دوستانی که ipv6 دارند فقط امکان مشاهده سایت را دارند

۱۳۹۰ خرداد ۱۷, سه‌شنبه

ارسال خروجی دستورات سیسکو به TFTP

گاهی نیاز است که خروجی دستورات اجرا شده در سیسکو را برای مستند سازی یا پرینت یا ارسال به پشتبان در یک فایل ذخیره کنید.برای مثال می توانید خروجی دستور show vlan را بصورت زیر به یک سرور TFTP ارسال کنید :
show vlan | tee tftp://persianadmins.ir/vlan.txt
ارسال خروجی دستورات دیگر هم بهمین صورت می باشد.

۱۳۹۰ اردیبهشت ۲۰, سه‌شنبه

وعده لباس گرم

پادشاهی در یک شب سرد زمستان از قصر خارج شد. هنگام بازگشت سرباز پیری را دید که با لباسی اندک در سرما نگهبانی مي‌داد.
از او پرسید : آیا سردت نیست؟
نگهبان پیر گفت : چرا ای پادشاه اما لباس گرم ندارم و مجبورم تحمل کنم.
پادشاه گفت : من الان داخل قصر مي‌روم و مي‌گویم یکی از لباس های گرم مرا را برایت بیاورند.
نگهبان ذوق زده شد و از پادشاه تشکر کرد. اما پادشاه به محض ورود به داخل قصر وعده‌اش را فراموش کرد.

صبح روز بعد جسد سرمازده‌ي پیرمرد را در حوالی قصر پیدا کردند، در حالی که در کنارش با خطی ناخوانا نوشته بود :

ای پادشاه من هر شب با همین لباس کم سرما را تحمل مي‌کردم اما وعده‌ي لباس گرم تو مرا از پای درآورد.

-----------
پاورقی:
متاسفانه با این مورد زیاد روبرو میشم!

۱۳۹۰ فروردین ۳۱, چهارشنبه

Market & Problem

The market is not your problem.Your problem is that you see the market as your problem.

غیر فعال کردن تشخیص IP conflict

گاهی در شبکه هایی که از طراحی و امنیت خوبی برخوردار نیستند با مشکل IP conflict مواجه می شویم و فرضا کاربری از روی عمد یا ناآگاهی IP یکی از سرورها را بر روی سیستم خود قرار می هد و اگر شما سرور را بعد از شخص مورد نظر روشن کنید یا سیستم را restart کنید با مشکل مواجه خواهید شد.
سیستم ها از طریق Gratuitous ARP پی به وجود IP دیگری در شبکه می برند،Gratuitous ARP چندین کار برای ما انجام می دهد که در این لینک می توانید مشاهده کنید.
راه حل هر چند غیراصولی غیر فعال کردن  Gratuitous ARP است،هر چند راه بهتر طراحی مجدد و محدود کردن کاربران است.
برای این منظور در ویندوز از طریق Registry بدین ترتیب عمل کنید:
1-در Run عبارت regedit را تایپ و ok کنید تا کنسول رجستری باز شود
2-به آدرس زیر بروید
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

    HKEY_LOCAL_MACHINE
         \SYSTEM
              \CurrentControlSet
                   \Services
                        \Tcpip
                             \Parameters
3-مقدار ArpRetryCount را برابر صفر قرار دهید
اگر پارامتر مورد نظر موجود نبود آن را بصورت REG_DWORD با مقدار صفر ایجاد کنید.
از طریق Run یا CMD با دستور زیر قابل انجام می باشد:
reg add HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REG_DWORD /d 0 /f
or
reg add HLKM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REGDWORD /d 0 /f
یکی از 2 دستور بالا بر روی سیستم شما جواب می دهد.

4-سیستم را Restart کنید.

۱۳۹۰ فروردین ۳۰, سه‌شنبه

مشکل Lock to AP MAC در ubiquiti

وقتی می خوایم رادیوهای ubiquiti در حالت station تنظیم کنیم،بعد از scan کردن و انتخاب ssid مناسب،گاهی به ما پیغام می دهد که Lock to AP MAC را حتما قرار دهید.
راه حل سادست،کافیه مرورگر رو عوض کنیم،من با firefox این مشکل رو داشتم و با IE دیگه مشکلی نداشتم!

۱۳۸۹ اسفند ۲۳, دوشنبه

رواج بی اخلاقی و عدم احترام به حریم شخصی افراد در فضای اینترنت کشور

اخیرا درخواست هایی از جندین سازمان و اداره در سطح کشور بدستم رسیده با عنوان برقراری امنیت در شبکه،بعضی درخواست ها بدین قراره:
مشاهده سایت های مشاهده شده،این مورد رو شاید بشه توجیح کرد
مشاهده کلیه میل های افراد از هر میل سرور اعم از gmail,yahoo و ...
مشاهده چت های افراد
و از این قبیل

من ارتباط امنیت با 2 مورد آخر رو متوجه نمیشم،بر فرض اینکه این محیط ها ناامن هستند برای اون سازمان،خوب در فایروال اونها رو ببندید ولی دلیل مشاهده ایمیل های شخصی افراد به هیچ گونه قابل هضم نیست برای من

چیزی که متوجه شدم در اکثر این سازمان ها این 2 مورد نه بر اساس درخواستی بوده و نه دستوری،صرفا کنجکاوی مسئولین IT سازمان مربوطه هست که به نظر من باید به شدت با این مسئله برخورد بشه

۱۳۸۹ بهمن ۱۳, چهارشنبه

داستان کوتاه قشنگ از پسر ۱۵ ساله


پدر در حال رد شدن از کنار اتاق خواب پسرش بود، با تعجب دید که تخت خواب کاملاً مرتب و همه چیز جمع و جور شده. یک پاکت هم به روی بالش گذاشته شده و روش نوشته بود «پدر». پدر با بدترین پیش داوری های ذهنی پاکت رو باز کرد و با دستان لرزان نامه رو خوند:
پدر عزیزم،
با اندوه و افسوس فراوان برایت می نویسم. من مجبور بودم با دوست دختر جدیدم فرار کنم، چون می خواستم جلوی رویارویی با مادر و تو را بگیرم.
من احساسات واقعی رو با (اس تاکی) پیدا کردم ،او واقعا معرکه است ،اما می دونستم که تو اون رو نخواهی پذیرفت، به خاطر تیزبینی هاش، خالکوبی هاش ، لباسهای تنگ موتور سواریش و به خاطر اینکه سنش از من خیلی بیشتره. اما فقط احساسات نیست، پدر. اون حامله است !!! ( اس تا کی) به من گفت ما می تونیم شاد و خوشبخت بشیم.
.
اون یک تریلی توی جنگل داره و کلی هیزم برای تمام زمستون. ما یک رؤیای مشترک داریم برای داشتن تعداد زیادی بچه.(اس تا کی)چشمان من رو بروی حقیقت باز کرد که ماریجوانا واقعا به کسی صدمه نمی زنه . ما اون رو برای خودمون می کاریم، و برای تجارت با کمک آدمای دیگه ای که توی مزرعه هستن، برای تمام کوکائینها و اکستازیهایی که می خواهیم. در ضمن، دعا می کنیم که علم بتونه درمانی برای ایدز پیدا کنه،و (اس تاکی) بهتره بشه.
اون لیاقتش رو داره. نگران نباش پدر، من ۱۵ سالمه، و می دونم چطور از خودم مراقبت کنم. یک روز، مطمئنم که برای دیدارتون بر می گردیم، اونوقت تو می تونی نوه های زیادت رو ببینی.
با عشق،
پسرت، John
صبر کنید اصل کاری پاورقی نامه است :
پاورقی:
پدر، هیچ کدوم از جریانات بالا واقعی نیست،من بالا هستم تو خونه ( تامی) ،فقط می خواستم بهت یاد آوری کنم که در دنیای چیزهای بدتری هم هست نسبت به کار نامه مدرسه که روی میزمه،
دوست دارم! هروقت برای امدن به خونه امن بود ،بهم یه زنگ بزن

۱۳۸۹ دی ۳۰, پنجشنبه

طریقه تعویض مک آدرس محصولات ubnt ( Ubiquiti)

مراحل انجام کار:
اول باید به رادیو ssh بزنید ،بعد با vi فایل زیر رو باز کنید
vi /etc/persistent/rc.poststart
دستورات زیر در فایل قرار بدید
#! /bin/sh
ifconfig wifi0 down
ifconfig wifi0 hw ether 00:a3:22:43:d1:c5
ifconfig wifi0 up
برای ذخیر کردن esc بزنید بعد x:
[ESC] [:] [x]
برای اجرایی کردن فایل دستور زیر را اجرا کنید :
chmod +x /etc/persistent/rc.poststart
در آخر برای ماندگار شدن تغییرات ،دستور زیر را اجرا کنید :
cfgmtd -w -p /etc/
منبع
https://ubnt.com/wiki

۱۳۸۹ دی ۲۳, پنجشنبه

نصب و راه اندازی InterVLAN Routing و VLAN در لینوکس

VLAN مدیریت آسان تر ، امنیت بیشتر ،کارایی و بهره وری افزون تری را به شبکه و مدیریت ما اعطا می کند.دلیل و توجیه استفاده از VLAN نسبت به نیاز و طراحی شبکه متغییر است .VLAN در تعریف ساده تقسیم شبکه موجود به چندین شبکه مجزا از هم یا زیر شبکه می باشد.
برای اطلاعات بیشتر در مورد نحوه کانفیگ و راه اندازی VLAN در سوییچ های سیسکو به لینک زیر مراجعه کنید:
VLAN چیست و چطور از آن بهره گیریم؟

گاهی نیاز است که از طریق یک سرور به چندیدن VLAN دسترسی داشته باشیم یا به آنها سرویس دهیم.بدین منظور در این آموزش شیوه نصب و راه اندازی VLAN را در لینوکس دنبال می کنیم.
  • نصب در ردهت ، فدورا و CentOS
ابتدا نصب بودن بسته VConfig که برای راه اندازی VLAN مورد نیاز است را بررسی کنید:
[root@PersianAdmins~]# rpm -qa | grep vconfig
vconfig-1.9-3
در صورتیکه در خروجی بسته vconfig را مشاهده نکردید،برای نصب بدین ترتیب عمل کنید:
yum install vconfig

  • راه اندازی VLAN
تنظیمات VLAN را می توان به دو صورت موقت و دائم انجام داد.
تنظیمات موقت :
فرض کنید می خواهید به VLAN شماره 10 از طریق اینترفیس eth0 دسترسی داشته باشید،
مرحله اول : VLAN را ایجاد کنید
vconfig add eth0  10
مرحله دوم : اینترفیس را ایجاد و از رنج VLAN 10  یک آدرس IP ست کنید.
ifconfig eth0.10 192.168.100.1 netmask 255.255.255.0 broadcast 192.168.100.255 up
تنظیمات دائم :
مرحله اول : ایجاد فایل تنظیمات اینترفیس
touch  /etc/sysconfig/network-scripts/ifcfg-eth0.10
 مرحله دوم : فایل ifcfg-eth0.10 را به صورت زیر کامل کنید
DEVICE=eth0.100
IPADDR=192.168.100.1
NETMASK=255.255.255.0
VLAN=yes
ONBOOT=yes
BOOTPROTO=none
برای وارد شدن به فایل و قرار دادن تنظیمات می توانید از یک ادیتور مانند nano بدین شکل استفاده کنید :
nano /etc/sysconfig/network-scripts/ifcfg-eth0.10
نکته :
توجه داشته باشید که اینترفیس eth0 حتما باید up باشد.
می توانید برای این منظور اینترفیس را بدین ترتیب تنظیم کنید :
nano   /etc/sysconfig/network-scripts/ifcfg-eth0
محتویات فایل :
DEVICE=eth0
ONBOOT=no
TYPE=Ethernet
مرحله سوم :
سرویس network را شروع مجدد کنید :
[root@PersianAdmins ~]# service network restart
Shutting down interface eth0.8:  Removed VLAN -:eth0.10:-
                                                           [  OK  ]
Shutting down interface eth0:                              [  OK  ]
Shutting down loopback interface:                          [  OK  ]
Bringing up loopback interface:                            [  OK  ]
Bringing up interface eth0:                                [  OK  ]
Bringing up interface eth0.10:  Added VLAN with VID == 10 to IF -:eth0:-
                                                           [  OK  ]
[root@PersianAdmins ~]#
  • نصب در دبین و اوبونتو
ابتدا نصب بودن بسته vlan  را بررسی کنید:
PersianAdmins:~# dpkg -l | grep vlan
ii  vlan                              1.9-3                      user mode programs to enable VLANs on your e

در صورتیکه در خروجی بسته vlan را مشاهده نکردید،برای نصب بدین ترتیب عمل کنید:

apt-get install vlan
  • راه اندازی VLAN
تنظیمات VLAN را می توان به دو صورت موقت و دائم انجام داد.
تنظیمات موقت :
فرض کنید می خواهید به VLAN شماره 10 از طریق اینترفیس eth0 دسترسی داشته باشید،
مرحله اول : VLAN را ایجاد کنید
vconfig add eth0  10
مرحله دوم : اینترفیس را ایجاد و از رنج VLAN 10  یک آدرس IP ست کنید.
ifconfig eth0.10 192.168.100.1 netmask 255.255.255.0 broadcast 192.168.100.255 up
تنظیمات دائم :
در فایل etc/network/interfaces/ دستورات زیر را اضافه کنید :
 # VLAN 10
auto vlan10
iface vlan10 inet static
address 192.168.100.1
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255
vlan_raw_device eth0

برای وارد شدن به فایل و قرار دادن تنظیمات می توانید از یک ادیتور مانند nano بدین شکل استفاده کنید :
nano /etc/network/interfaces
و در آخرسرویس networking را شروع مجدد کنید :
PersianAdmins:~# /etc/init.d/networking restart
Reconfiguring network interfaces...Removed VLAN -:vlan10:-
if-up.d/mountnfs[eth0]: waiting for interface vlan10 before doing NFS mounts (warning).
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 10 to IF -:eth0:-
done.
PersianAdmins:~#
  • گزارش گیری
مشاهده VLAN های ساخته شده :
 PersianAdmins:~# cat /proc/net/vlan/config
VLAN Dev name    | VLAN ID
Name-Type: VLAN_NAME_TYPE_PLUS_VID_NO_PAD
vlan10         | 10  | eth0
PersianAdmins:~#
مشاهده اطلاعات اینترفیس VLAN از قبیل مقدار بسته ها و دیتاهای ورودی و خروجی :
PersianAdmins:~# cat /proc/net/vlan/vlan10
vlan10  VID: 10  REORDER_HDR: 1  dev->priv_flags: 1
         total frames received            0
          total bytes received            0
      Broadcast/Multicast Rcvd            0

      total frames transmitted            6
       total bytes transmitted          492
            total headroom inc            0
           total encap on xmit            6
Device: eth0
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
EGRESSS priority Mappings:
PersianAdmins:~#

تنظیمات فوق در CentOS 5.5 و دبین 5 تست شده است.

  • راه اندازی InterVLAN Routing
بعد از ساخت VLAN ها برای راه اندازی InterVLAN Routing کافیست ip_forwarding را فعال کنید،برای بررسی این موضوع دستور زیر را اجرا کنید :
cat /proc/sys/net/ipv4/ip_forward
باید جواب 1 باشد ،در غیر اینصورت دستور زیر را در ترمینال وارد کنید :
echo 1 > /proc/sys/net/ipv4/ip_forward
دستور فوق را باید در etc/rc.local/ هم قرار دهید.
روش دوم فعال ip_forward :
در فایل etc/sysctl.conf/ خط net.ipv4.ip_forward=1 را قرار دهید و دستور sysctl -p را اجرا کنید.


  • بررسی فعال بودن 802.1q در کرنل :


[root@PersianAdmins ~]# lsmod  |  grep 802
8021q                  25033  0
[root@PersianAdmins ~]#
اگر خروجی وجود نداشت دستور زیر را اجرا کنید :
modprobe 8021q



  • منابع مورد استفاده :
https://wiki.ubuntu.com/
http://fedoraproject.org/wiki/
http://wiki.debian.org

۱۳۸۹ دی ۱۸, شنبه

ImportError: libcurl.so.4: cannot open shared object file: No such file or directory

[root@PersianAdmins ~]# python2.5
Python 2.5.2 (r252:60911, Jan  8 2011, 15:41:06)
[GCC 4.1.2 20080704 (Red Hat 4.1.2-48)] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import pycurl
Traceback (most recent call last):
  File "", line 1, in
  File "build/bdist.linux-x86_64/egg/pycurl.py", line 7, in
  File "build/bdist.linux-x86_64/egg/pycurl.py", line 6, in __bootstrap__
ImportError: libcurl.so.4: cannot open shared object file: No such file or directory
>>>
راه حل:
export LD_LIBRARY_PATH=/usr/local/lib

۱۳۸۹ دی ۱۵, چهارشنبه

نمایش یک خط خاص از یک فایل در ترمینال

گاهی نیاز است که خط خاصی از یک فایل را خروجی بگیریم،فرضا در لاگ ثبت شده است که خط شماره 65 مشکل دارد و همین دلیل اجرا نشدن سرویس می شود،یا من برای نوشتن یک شل اسکریپت نیاز داشتم خط خاصی را ورودی یک متغیر کنم.

برای انجام این کار می توان از دستور زیر بهره گرفت :

خروجی از خط شماره 5 فایل home/padmins/count.txt/

awk NR==5 /home/padmins/count.txt

۱۳۸۹ دی ۱۴, سه‌شنبه

اسکویید برای جلوگیری از حملات به وب سرور

دیروز از شرکتی باهام تماس گرفتن که وبسایتی چند زبانه داشتند،هر چند من اسمشو نشنیده بودم ولی بنظر میومد که سایت قوی هست و در آینده حرفی برای گفتن در سطح بالا خواهد داشت،خلاصه سرورهاشون زیر حمله سنگین بود،منم اومدم براشون یک اسکویید نصب کردم ،بعد دسترسی به آپاچی فقط به اسکویید دادم،کاربراشون هم فرستادم به اسکویید،خیلی خوب داره کار می کنه،امنیت وب سایتها خیلی افزایش میده این کار،قبلا تست زده بودم ولی اینکه بدونی زیر حملات خیلی سنگین هم خوب جواب میده دلگرم کنندست!