Going to nowhere
Wednesday, August 15, 2018
Tuesday, May 12, 2015
Thursday, March 26, 2015
Psi-plus SSL/TLS plugin not found
Установил Psi-plus на Ubuntu Trusty.
Запустил, начал настраивать шифрование, как программа начала ругаться cannot enable ssl/tls plugin not found.
Оказалось нужно установить пакет libqca2-plugin-ossl
sudo aptitude install libqca2-plugin-ossl
После установки плугина, все заработало.
Monday, November 25, 2013
Простая настройка zabbix агентов.
Настройка агента на линуксе:
Устанавливаем из репозитория (показываю на примере Дебиана)
sudo aptitude install zabbix-agent
после этого необходимо отредактировать конфиг:
nano /etc/zabbix/zabbix_agentd.conf
найти в нем строчку
### Option: Server
# List of comma delimited IP addresses (or hostnames) of Zabbix servers.
# No spaces allowed.
#
# Mandatory: yes
# Default:
# Server=
Server=192.168.16.16
Где 192.168.16.16 - адрес zabbix сервера. Можно вписывать и доменное имя.
Т.е. грубо говоря, минимальный конфиг агента должен содержать минимум одну строчку: Server=192.168.16.16
После этого просто перезапускаем сервис, к примеру так:
/etc/init.d/zabbix-agent restart
Проверяем с помщью команды netstat -na | grep 10050
вывод должен быть примерно таким
С линуксом все.
Переходим к Windows:
Скачиваем агент
Дистрибутив агента Zabbix для Windows включает в себя следующие файлы: zabbix_agentd.exe zabbix_get.exe и zabbix_sender.exe.
Создаем директорию "c:\program files\zabbix".
Копируем файлы дистрибутива в созданную директорию.
Создаем конфигурационный файл zabbix_agentd.conf с тем же содержимым что и для линукс агента.
Инсталируем агента
"c:\program files\zabbix\zabbix_agentd.exe" --config "c:\program files\zabbix\zabbix_agentd.conf" --install
Запускаем агента
Последующе управление агентом возможно из консоли управления службами Windows.
Теперь с сервера можно проверить если агент доступен командой
zabbix_get -s agent.ip -k "system.uname"
Мы должны получить имя сервера который мониторим.
После того как проверка прошла успешно и мы получили данные с агента, можно создавать хост в админке zabbix. Там есть маленький нюанс - поле хост должно быть такое же как на системе которую мониторим. Или можно указать другое имя хоста непосредственно в конфиге агента строчкой: Hostname=host.local
На этом пока все.
Устанавливаем из репозитория (показываю на примере Дебиана)
sudo aptitude install zabbix-agent
после этого необходимо отредактировать конфиг:
nano /etc/zabbix/zabbix_agentd.conf
найти в нем строчку
### Option: Server
# List of comma delimited IP addresses (or hostnames) of Zabbix servers.
# No spaces allowed.
#
# Mandatory: yes
# Default:
# Server=
Server=192.168.16.16
Где 192.168.16.16 - адрес zabbix сервера. Можно вписывать и доменное имя.
Т.е. грубо говоря, минимальный конфиг агента должен содержать минимум одну строчку: Server=192.168.16.16
После этого просто перезапускаем сервис, к примеру так:
/etc/init.d/zabbix-agent restart
Проверяем с помщью команды netstat -na | grep 10050
вывод должен быть примерно таким
iron@shadow ~ $ netstat -na | grep 10050Как видно агент открыл tcp порт 10050 и ждет подключения.
tcp 0 0 0.0.0.0:10050 0.0.0.0:* LISTEN
tcp6 0 0 :::10050 :::* LISTEN
С линуксом все.
Переходим к Windows:
Скачиваем агент
Дистрибутив агента Zabbix для Windows включает в себя следующие файлы: zabbix_agentd.exe zabbix_get.exe и zabbix_sender.exe.
Создаем директорию "c:\program files\zabbix".
Копируем файлы дистрибутива в созданную директорию.
Создаем конфигурационный файл zabbix_agentd.conf с тем же содержимым что и для линукс агента.
Инсталируем агента
"c:\program files\zabbix\zabbix_agentd.exe" --config "c:\program files\zabbix\zabbix_agentd.conf" --install
Запускаем агента
"c:\program files\zabbix\zabbix_agentd.exe" --config "c:\program files\zabbix\zabbix_agentd.conf" --start
Последующе управление агентом возможно из консоли управления службами Windows.
Теперь с сервера можно проверить если агент доступен командой
zabbix_get -s agent.ip -k "system.uname"
Мы должны получить имя сервера который мониторим.
После того как проверка прошла успешно и мы получили данные с агента, можно создавать хост в админке zabbix. Там есть маленький нюанс - поле хост должно быть такое же как на системе которую мониторим. Или можно указать другое имя хоста непосредственно в конфиге агента строчкой: Hostname=host.local
На этом пока все.
Sunday, November 3, 2013
Блокировка сайтов на Mikrotik
Приветсвую! Сегодня поделюсь скриптиком, который поможет в таком не легком деле как блокировка социальных сетей или других неуместных сайтов.
Получив задачу блокировать определенные сайты от начальства (или от собственной прихоти) админы лезут сразу в /ip firewall на микротике и создают правило в котором пытаются блочить все пакеты содержащиее ключевые слова. К примеру:
И еще в вкладке Action ставят Drop. А особенно весело когда в поле content вбивают слово sex или porn . :) Вроде как благая цель, а на деле начинаются проблемы с интернетом. Скачиваемые большие файлы неожиданно обрываются или интернет просто начинает жутко тормозить. Проблема в том что короткие комбинации слов очень легко встречаются в самых неожиданных "местах". Другими словами таки комбинации могут быть в изображении или каком нибудь видео. Или просто толстом архиве каких-то документов. Ну короче, жизнь админа после таких правил файрвола только усложняется.
Потому есть более красивое решение: будем блокировать домены по их ip адресам. Но т.к. тот же facebook имеет кучу разных адресов на домен facebook.com, то нам прийдется прибегнуть к помощи наших дорогих пользователей. Суть вот в чем. Пользователь при заходе на данные сайты просит mikrotik отрезолвить ip адрес домена. Ну а dns сервер mikrotik в свою очередь записывает все адреса себе в кэш. Вот именно кэшем мы и воспользуемся.
В общем вот скрипт
Остается создать правило в файрволе примерно такое:
/ip firewall filter add chain
=forward dst-address-list=block src-address-list=!"dostup na sots seti" action=reject reject-
with=icmp-host-prohibited disabled=no
Где src-address-list=!"dostup na sots seti" говорит что правило работает для всех адресов, кроме забитых в адреслист "dostup na sots seti" (т.е. там хранятся адреса тех кому можно ходить на соц сети :) ).
И обращаю в нимание на action - стоит reject, это для того что бы браузер не "повисал" когда обращается к этим ардесам, а сразу выдавал ошибку о том что сеть не доступна.
Вот в кратце как-то так...
Получив задачу блокировать определенные сайты от начальства (или от собственной прихоти) админы лезут сразу в /ip firewall на микротике и создают правило в котором пытаются блочить все пакеты содержащиее ключевые слова. К примеру:
И еще в вкладке Action ставят Drop. А особенно весело когда в поле content вбивают слово sex или porn . :) Вроде как благая цель, а на деле начинаются проблемы с интернетом. Скачиваемые большие файлы неожиданно обрываются или интернет просто начинает жутко тормозить. Проблема в том что короткие комбинации слов очень легко встречаются в самых неожиданных "местах". Другими словами таки комбинации могут быть в изображении или каком нибудь видео. Или просто толстом архиве каких-то документов. Ну короче, жизнь админа после таких правил файрвола только усложняется.
Потому есть более красивое решение: будем блокировать домены по их ip адресам. Но т.к. тот же facebook имеет кучу разных адресов на домен facebook.com, то нам прийдется прибегнуть к помощи наших дорогих пользователей. Суть вот в чем. Пользователь при заходе на данные сайты просит mikrotik отрезолвить ip адрес домена. Ну а dns сервер mikrotik в свою очередь записывает все адреса себе в кэш. Вот именно кэшем мы и воспользуемся.
В общем вот скрипт
:foreach i in=[/ip dns cache all find where (name~"facebook" || name~"fbcdn" || name~"odnokl" ) && (type="A") ] do={Суть работы скрипта вот в чем: в первой строке мы забиваем в кавычках какие домены искать find where (name~"facebook" || name~"fbcdn" || name~"odnokl" ) . Если есть совпадения то мы закидываем ip адрес этого домена в адреслист с именем block.
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=10ms
#prevent script from using all cpu time
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name] ;
:log info ("added entry: $cacheName $tmpAddress");
/ip firewall address-list add address=$tmpAddress list=block comment=$cacheName;
}
}
Остается создать правило в файрволе примерно такое:
/ip firewall filter add chain
=forward dst-address-list=block src-address-list=!"dostup na sots seti" action=reject reject-
with=icmp-host-prohibited disabled=no
Где src-address-list=!"dostup na sots seti" говорит что правило работает для всех адресов, кроме забитых в адреслист "dostup na sots seti" (т.е. там хранятся адреса тех кому можно ходить на соц сети :) ).
И обращаю в нимание на action - стоит reject, это для того что бы браузер не "повисал" когда обращается к этим ардесам, а сразу выдавал ошибку о том что сеть не доступна.
Вот в кратце как-то так...
Friday, February 15, 2013
Mikrotik Wi-Fi Блокировка устройств по MAC адресу
Понадобилось запретить подключаться некоторым устройствам к определенной точке доступа.
Один из самых простых вариантов это сделать, просто заблокировать устройство по его mac адресу.
Решение:
/interface wireless access-list add mac-address=33:33:33:33:33:33 authentication=no forwarding=no interface=wlan1
Subscribe to:
Posts (Atom)