banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: MrMe  XML
Profile for MrMe Messages posted by MrMe [ number of posts not being displayed on this page: 3 ]
 
Bên mình vẫn đang tuyển 2 vị trí với yêu cầu như trên nhé.
Mời các bạn gửi hồ sơ đến công ty Planex theo email than.thi.tho@planex.vn
Dear all,
Công ty mình lại tiếp tục tuyển thêm 3 vị trí chuyên gia nữa nhé.
Biết làm cả mạng và hệ thống.
@duejigum mời bạn nộp hồ sơ về đến công mình nhé.
Chi tiết yêu cầu mới:
http://www.vietnamworks.com/jobseekers/jobdetail.php?jobid=299002&a=fromsearch
Regards,
Cám ơn bạn đã quan tâm.
Đến thời điểm này Planex đã tuyển đủ người. Khi nào tuyển thêm sẽ có thông báo sau.
Thân ái.
Cty TNHH Planex Viet Nam

Tầng 18 tòa nhà LADECO, 266 Đội Cấn, Ba Đình, Hà Nội

PLANEX VIETNAM Co. Ltd
Sơ lược về công ty:
PLANEX VIETNAM Co. Ltd is the 100% foreign invested by PLANEX HOLDING, working in the information technology and financial sectors of Japan.

In Vietnam, we focus on providing systems for financial sector to meet up the demand from companies within PLANEX group. With the ambition to upgrade scale of the company to 150 staffs in 2011, we are recruiting excellent candidates for important positions, who will contribute for the development of the company in the future.

Quy mô công ty: 100-499

Tên người liên hệ: Ms. Linh nguyen.dieu.linh@planex.vn

Chức danh:
Network/system Engineer (3 Positions)
Mô tả Công việc:

- Manage network system and report network status periodically to manager
- Setup LAN, WAN connection.
- Install and configure software system developed by the company under Unix
- Manage operation of the financial system 24/7 for oversea partner
- Report system status periodically to manager and troubleshoot any reported problems
- Document the system deployment and maintenance
Yêu Cầu Công Việc:
*EXPERIENCE:
- 2 years full-time experience as a system administrator, network administrator.
- Having practical knowledge about network, system.
- Deployed, created solution for financial system or large system.
Requirements
- Bachelor Degree in Computer Science/ Information Technology or equivalent.
- Having at one of certificate: CCNA, JNCIA, LPI 1 or Linux+
- Having CCNP, CCSP, LPI 2, OCA is an advantage
- Good knowledge at IP Network, VPN, Open source system
- Experience working with Linux Redhat, CentOS or SolarisOS
- Ability to deploy applications on Linux CentOS
- Knowledge about Apache http, Tomcat, Jboss, MySQL, troubleshooting and performance optimizer is an advantage.
- Strong analytical abilities and professional office experiences needed.
- Good verbal and written English skills

*PERSONAL REQUIREMENTS
- Hard working
- Responsible
- Strong interpersonal and communication skills.
- Effective problem solving skills
- Ability of self updating new technologies related to area of responsibility
- Strong organizational and time management skills
- Ability of working independent and teamwork, can work under high pressure.
- Ready to work overtime

*BENEFITS
- Salary: competitive. Review salary 2 times/year based on employee's performance and contribution.
- Medical Insurance and Social Insurance, Unemployment Insurance.
- Bonus: 2 times/ year
- Other benefit related to VN Labor Law.
- Have the opportunities to go onsite in Japan, Singapore, …
- Our company has just been established and has ambition to grow-up fast in the near future. So the candidates at this period are expected to become the company’s key person.

*APPLICATION
- Please send your application and CV in English, with full working experience statement and clear contact number.
-------------
We only accept applications sent via e-mail (Please click on the button “Apply/Nộp đơn” to send mail).

- Only short-listed candidates will be contacted
- The earlier applications shall be preferred.
Tên người liên hệ: Ms. Linh nguyen.dieu.linh@planex.vn
http://www.vietnamworks.com/jobseekers/jobdetails.php?jobid=273176

eff3 wrote:

- Cấu hình mạng của mình thế này. VPN Server được đặt ở trên 1 server được truy cập qua ip tĩnh x.x.x.x
- Máy của mình ở nhà thì nằm sau 1 vài NATs có địa chỉ IP trong LAN là 192.168.2.2.
- Mạng LAN trong OpenVPN sẽ là 10.8.0.0/24

Hiện giờ mình đã cấu hình xong xuôi cho server và client. Trong server.conf mình cũng đã bật directive
Code:
push "wwwect-gateway"

Ngoài ra do client nằm sau NAT mình cũng đã config thêm cho server:
Code:
client-config-dir /usr/share/openvpn/easy-rsa/ccd
route 192.168.2.0 255.255.255.0

Tương ứng 1 file cho client trong thư mục ccd với nội dung:
Code:
iroute 192.168.2.0 255.255.255.0


Kết quá là client đã được cung cấp ip 10.8.0.6 và có thể ping được server. Tuy nhiên mình vẫn không thể vào được các web sites trong firefox. Sau khi bật lên wireshark xem thì mình thấy các packet SYN được gửi từ địa chỉ 10.8.0.6 đến IP các webserver nhưng ko nhận được trả lời SYN-ACK.

Bạn nào có kinh nghiệm cấu hình OpenVPN rồi có thể giúp mình đc ko?

Cám ơn smilie 

1, VPN client truy cập đến các web server ngoài internet?
Source IP là 10.8.0.0/24 des là Public IP? Khi đến modem thì thực hiện NAT?
Gói tin trả về modem từ Internet có Source là Public web server, Dest là IP public của modem
Vậy modem có biết route đến 10.8.0.0/24 là phải qua gateway là VPN server?
2, VPN client truy cập đến các web server trong mạng không được?
Web server có default gate có phải là VPN client không?
Các thiết bị khác trong mạng có biết đi đến đâu để tìm route 10.8.0.0/24

Giải pháp dễ nhất là NAT trên VPN server đối với các truy cập ra ngoài của các VPN client


Để quản lý phân quyền cho SVN qua web mình dùng svnmanager
Cậu tham khảo nhé svnmanager.org
Bạn đọc bài sau nhé.
Chú ý 1 điều là NAT thì vẫn phải có rule forward trong bảng filter:

Linux firewall & router for home server

Hi all
dạo này thấy nhiều anh em hỏi về vấn đề làm router và firewall trên linux thế nào.
Nhân tiện vừa cài demo trên 1 máy wmware post lên anh em tham khảo.
1, hệ điều hành centos 5.1
2, mạng
network card 0: 10.2.14.41/21
network card 1: 10.2.6.254/24
network card 2: 10.2.2.254/24
client 1 10.252.6.1/24
Mục đích: mạng on lớp 2 có thể kết nối đến lớp mạng 10.1.8.0/21 trên cơ sở nat source
Đây chỉ là cơ bản thôi. Từ đây anh em có thể phát triển thêm cho phù hợp với chính sách bảo mật và mạng của mình.
Xin lỗi vì khi làm mình copy ra file txt giờ copy ngược vào thôi :d

Các bước biến linux thành 1 firewall routersmiliecentos 5)

Thêm cái này vào .bash_profile
LANG=EN_US
LANGUAGE=EN_US

Kernel bao nhiêu nhỉ
[root@centos ~]# uname -r
2.6.18-53.el5

Dùng các lệnh này để cho foward trafic
Code:
[root@centos ~]#echo 1 >> /proc/sys/net/ipv4/ip_forward
[root@centos ~]#echo “option ip_conntrack ip_conntrack_disable_ve0=0″ >> /etc/modprobe.conf
[root@centos ~]#vi /etc/modprobe.conf
[root@centos ~]#vi /etc/sysctl.conf


Xem state table
Code:
[root@centos ~]#vi /proc/net/ip_conntrack


Muốn làm NAT được với nhiều địa chỉ thì phải add alias interface
Code:
[root@centos ~]# ip address add 10.1.14.42 dev eth0
[root@centos ~]# ip address add 10.1.7.254 dev eth1


Không biết khi reboot có bị mất không nhỉ
Code:
[root@centos ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:89:F5:B0
inet addr:10.1.14.41 Bcast:10.1.15.255 Mask:255.255.248.0
inet6 addr: fe80::20c:29ff:fe89:f5b0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:71216 errors:0 dropped:0 overruns:0 frame:0
TX packets:6989 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6441233 (6.1 MiB) TX bytes:1235453 (1.1 MiB)
Interrupt:169 Base address:0×2000
eth1 Link encap:Ethernet HWaddr 00:0C:29:89:F5:BA
inet addr:10.1.6.254 Bcast:10.1.6.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe89:f5ba/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1170 errors:0 dropped:0 overruns:0 frame:0
TX packets:582 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:136229 (133.0 KiB) TX bytes:103174 (100.7 KiB)
Interrupt:177 Base address:0×2080
eth2 Link encap:Ethernet HWaddr 00:0C:29:89:F5:C4
inet addr:10.1.2.254 Bcast:10.1.2.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe89:f5c4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:632 errors:0 dropped:0 overruns:0 frame:0
TX packets:97 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:89882 (87.7 KiB) TX bytes:17363 (16.9 KiB)
Interrupt:193 Base address:0×2400


Sao không hiện cái ip mới add đó nhỉ
ping thử cái coi nào
Code:
[root@centos ~]# ping 10.1.14.42
PING 10.1.14.42 (10.1.14.42) 56(84) bytes of data.
64 bytes from 10.1.14.42: icmp_seq=1 ttl=64 time=0.573 ms
64 bytes from 10.1.14.42: icmp_seq=2 ttl=64 time=0.297 ms


— 10.1.14.42 ping statistics —
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.297/0.435/0.573/0.138 ms

Vẫn được mà

Khởi động lại mạng cái xem có bị mất không nào
Code:
[root@centos ~]# service network restart
Shutting down interface eth0: [ OK ]
Shutting down interface eth1: [ OK ]
Shutting down interface eth2: [ OK ]
Shutting down loopback interface: [ OK ]
Disabling IPv4 packet forwarding: net.ipv4.ip_forward = 0
[ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0: [ OK ]
Bringing up interface eth1: [ OK ]
Bringing up interface eth2: [ OK ]


Chắc là mất rồi
Thử ping cái cho chắc cú:
Code:
[root@centos ~]# ping 10.1.14.42
PING 10.1.14.42 (10.1.14.42) 56(84) bytes of data.
— 10.1.14.42 ping statistics —
3 packets transmitted, 0 received, 100% packet loss, time 2001ms


Thôi thêm alias luôn cho nó lành smilie
Code:
[root@centos ~]# cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth0:1

Kiểm tra cái nào
Code:
vi /etc/sysconfig/network-scripts/ifcfg-eth0:1
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.1.14.41
NETMASK=255.255.248.0
GATEWAY=10.1.8.4
HWADDR=00:0c:29:89:f5:b0
TYPE=Ethernet


Sửa thành eth0:1 thôi

Code:
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth0:1
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.1.14.42
NETMASK=255.255.248.0
#GATEWAY=10.1.8.4
HWADDR=00:0c:29:89:f5:b0
TYPE=Ethernet


Lại phải khởi động lại mạng. Chán quá
Code:
[root@centos ~]# service network restart
Shutting down interface eth0: [ OK ]
Shutting down interface eth1: [ OK ]
Shutting down interface eth2: [ OK ]
Shutting down loopback interface: [ OK ]
Disabling IPv4 packet forwarding: net.ipv4.ip_forward = 0
[ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0: [ OK ]
Bringing up interface eth1: [ OK ]
Bringing up interface eth2: [ OK ]


Ok rồi kiểm tra đi

Code:
[root@centos ~]# ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:0C:29:89:F5:B0
inet addr:10.1.14.41 Bcast:10.1.15.255 Mask:255.255.248.0
inet6 addr: fe80::20c:29ff:fe89:f5b0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:228073 errors:0 dropped:0 overruns:0 frame:0
TX packets:18440 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:29410626 (28.0 MiB) TX bytes:2085369 (1.9 MiB)
Interrupt:169 Base address:0×2000
eth0:1 Link encap:Ethernet HWaddr 00:0C:29:89:F5:B0
inet addr:10.1.14.42 Bcast:10.1.15.255 Mask:255.255.248.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:169 Base address:0×2000
eth1 Link encap:Ethernet HWaddr 00:0C:29:89:F5:BA
inet addr:10.1.6.254 Bcast:10.1.6.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe89:f5ba/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:11452 errors:0 dropped:0 overruns:0 frame:0
TX packets:12587 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1158330 (1.1 MiB) TX bytes:13217785 (12.6 MiB)
Interrupt:177 Base address:0×2080
eth2 Link encap:Ethernet HWaddr 00:0C:29:89:F5:C4
inet addr:10.1.2.254 Bcast:10.1.2.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe89:f5c4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3214 errors:0 dropped:0 overruns:0 frame:0
TX packets:506 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:410013 (400.4 KiB) TX bytes:80366 (78.4 KiB)
Interrupt:193 Base address:0×2400
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2414 errors:0 dropped:0 overruns:0 frame:0
TX packets:2414 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3475889 (3.3 MiB) TX bytes:3475889 (3.3 MiB)
sit0 Link encap:IPv6-in-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
[root@centos ~]#
[root@centos ~]# ping 10.1.14.42
PING 10.1.14.42 (10.1.14.42) 56(84) bytes of data.
64 bytes from 10.1.14.42: icmp_seq=1 ttl=64 time=0.115 ms
64 bytes from 10.1.14.42: icmp_seq=2 ttl=64 time=0.112 ms
— 10.1.14.42 ping statistics —
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.112/0.113/0.115/0.010 ms
[root@centos ~]#


Mạng thế là ngon rồi nhỉ

Giờ thì nat cái nào
Thêm 1 rule NAT xem thế nào
Code:
[root@centos ~]#iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 8080 -j DNAT –to 10.1.14.41:22


list các rule ra xem thế nào
Code:
[root@centos ~]#iptables -t nat -L -n
[root@centos ~]#iptables-save > /etc/sysconfig/iptables

Save lại để sau chỉnh cho dễ ta có file iptables từ đây có thể chỉnh sửa trực tiếp trên file

Code:
[root@centos ~]#vi /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Thu Oct 16 09:57:45 2008
*nat
smilieREROUTING ACCEPT [200:21857]
smilieOSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp -d 10.1.7.254 -j DNAT –to-destination 10.1.8.5
-A PREROUTING -i eth1 -p tcp -m tcp –dport 8080 -j DNAT –to-destination 10.1.14.41:22
-A POSTROUTING -o eth0 -p tcp -m tcp –dport 22 -j SNAT –to 10.1.14.41
-A POSTROUTING -o eth0 -p tcp -m tcp –dport 23 -j SNAT –to 10.1.14.41
-A POSTROUTING -o eth0 -p tcp -m tcp -j SNAT –to 10.1.14.42
-A POSTROUTING -o eth0 -p udp -m udp -j SNAT –to 10.1.14.42
-A POSTROUTING -o eth0 -p icmp -m icmp -j SNAT –to 10.1.14.42
#-A POSTROUTING -o eth0 -p tcp -m tcp -s 10.1.6.1 -j SNAT –to 10.1.14.42
#-A POSTROUTING -o eth0 -p udp -m udp -s 10.1.6.1 -j SNAT –to 10.1.14.42
#-A POSTROUTING -o eth0 -p tcp -m tcp –dport 389 -j SNAT –to 10.1.14.41
#-A POSTROUTING -o eth0 -p tcp -m tcp –dport 80 -j SNAT –to 10.1.14.42
#-A POSTROUTING -o eth0 -p tcp -m tcp –dport 3389 -j SNAT –to 10.1.14.42
#-A POSTROUTING -o eth0 -p tcp -m tcp –dport 10002 -j SNAT –to 10.1.14.42
COMMIT
# Completed on Thu Oct 16 09:57:45 2008
# Generated by iptables-save v1.3.5 on Thu Oct 16 09:57:45 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [155:21412]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#-A RH-Firewall-1-INPUT -j ACCEPT
#-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -j ACCEPT
#-A RH-Firewall-1-INPUT -p udp -m state –state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m udp –dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 143 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 161 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 389 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 3389 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state –state NEW -m tcp –dport 10002 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Oct 16 09:57:45 2008


Add thêm static route nào

Code:
vi /etc/sysconfig/static-routes
any host 10.1.2.3 gw 10.1.8.5
any net 10.1.17.0/24gw 10.1.8.5
any net 10.1.19.0/24 gw 10.1.8.5
any net 10.1.20.0/24 gw 10.1.8.5
any net 10.1.3.0/24 gw 10.1.8.5
any net 10.1.16.0/24 gw 10.1.8.2


Khởi động lại network coi nào.
Code:
[root@centos ~]# service network restart
Shutting down interface eth0: [ OK ]
Shutting down interface eth1: [ OK ]
Shutting down interface eth2: [ OK ]
Shutting down loopback interface: [ OK ]
Disabling IPv4 packet forwarding: net.ipv4.ip_forward = 0
[ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0: [ OK ]
Bringing up interface eth1: [ OK ]
Bringing up interface eth2: [ OK ]
Usage: inet_route [-vF] del {-host|-net} Target[/prefix] [gw Gw] [metric M] [[de v] If]
inet_route [-vF] add {-host|-net} Target[/prefix] [gw Gw] [metric M]
[netmask N] [mss Mss] [window W] [irtt I]
[mod] [dyn] [reinstate] [[dev] If]
inet_route [-vF] add {-host|-net} Target[/prefix] [metric M] reject
inet_route [-FC] flush NOT supported

Lỗi gì thế nhỉ!
Ai biết chỉ tôi cái

show route lên xem thế nào
Code:
[root@centos ~]# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.1.2.3 10.1.8.5 255.255.255.255 UGH 0 0 0 eth0
10.1.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.1.3.0 10.1.8.5 255.255.255.0 UG 0 0 0 eth0
10.1.6.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.1.8.0 0.0.0.0 255.255.248.0 U 0 0 0 eth0
10.1.16.0 10.1.8.2 255.255.255.0 UG 0 0 0 eth0
10.1.19.0 10.1.8.5 255.255.255.0 UG 0 0 0 eth0
10.1.20.0 10.1.8.5 255.255.255.0 UG 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2
0.0.0.0 10.1.8.4 0.0.0.0 UG 0 0 0 eth0


Vậy là tạm ổn cho 1 firwall router đơn giản nhất rồi đó 
Với mô hình mạng này thì làm forward hay hơn là NAT
Qua router đã phải NAT 1 lần rồi nếu qua firewall IP tables lại NAT nữa sẽ làm chậm.

Trên router thêm route dải mạng 192.168 với next hop là ext của firewall linux.
NAT trên router đến các địa chỉ 192.168 thay vì 10.0
Bỏ hết bảng NAT và chỉnh sửa rule FORWARD của bảng filter.
Bạn đưa toàn bộ rule đang áp dụng của iptables nên đây coi nào.
Công việc có cho phép đi học cao hơn không hay phải bỏ làm để đi học.
Đã học xong đại học rồi đang làm gì, mong muốn sau này sẽ làm gì?
?

Midou wrote:
Luơng lậu thế nào anh ơi? 

Anh đoán ngay thảo nào cũng có mặt chú.
Khi nào vào làm việc cho svtech ới anh nhé smilie
Anh ủng hộ vụ này. smilie
Khà VPN in LAN chỉ đơn giản là cài thêm 1 VPN để cho các máy trong mạng giao tiếp với nhau thôi.
Tham khảo link
/hvaonline/posts/list/14855.html
các anh nhà ta đã bàn về log và có 1 chút vpn in lan.
Log và Sync có quan hệ rất gần với nhau smilie
Bạn phải làm rõ các vấn đề:
Bảo mật cho hệ thống mạng có mô hình như thế nào.
Linux có vai trò gì? Chỉ là 1 sever cung cấp dịch vụ hay nó hoạt động như 1 router, firewall mạng, IDS, IPS.
Bạn đã biết gì về hệ điều hành linux
Quy tắc bảo mật file system
Firewall, proxy của linux
Nên hỏi thầy cô hướng dẫn để có 1 cái khung sát với yêu cầu của thầy cô thì sẽ dc điểm cao smilie
Ora ơi có yêu cầu bằng cấp dư nào không. Đang muốn đổi gió smilie
Có thêm L3 switch thì L3 switch này đã tiến hành làm route chưa?
Từ lớp mạng 192.168.13.1/30 đã có thể đến được 10.255.0.0/24 chưa ?
Trả lời dc câu này thì sẽ tìm ra để làm dc thôi. :-P
Mình rất cần tài liệu này để lấy chứng chỉ Cisco 646-976 DCNS - Cisco Data Center Network Solutions Sales trong tháng này, ai biết chỗ nào có chỉ mình với.
Cám ơn nhiều

nxthao wrote:
Tôi đang chuẩn bị làm cái này mà giờ chưa có tài liệu nghiên cứu,xin hỏi đã có ai làm thành công thì nhờ giúp đỡ hoặc cho tài liệu đã tưng sát thực,xin cám ơn smilie 


Tớ tưởng làm Replication, DataGuard, Stream, RAC là các phần khó nhất của DBA.
Tài liệu đây
http://docs.oravn.com/
http://www.oravn.com

Cứ làm có gì lỗi thì post lên mọi người cùng tháo gỡ cho. smilie
Hi /me chưa đọc được dòng nào trên trang chủ của IPCop nói rắng phần mền này chỉ dành cho các doanh nghiệp vừa và nhỏ cả smilie Và /me cũng không đọc được dòng nào nói rằng ở các doanh nghiệp lớn thì người ta dùng ISA thay vì dùng IPCop cả.
Nói như vậy để biết rằng dùng gì ở đâu là tùy vào nhu cầu của công ty và trình độ của người quản trị.
Tuy nhiên trong thực tế với các doanh nghiệp có quy hoạch mạng hợp lý thì thường dùng ít nhất 2 kết nối mạng:
-1 kết nối cho mạng kinh doanh. Nó chứa các server phục vụ cho các máy chủ cung cấp dịch vụ (web, mail, ...)
-1 kết nối mạng cho nhân làm việc ( duyệt web, mail...)

Đối với kết nối cho mạng kinh doanh
- Nếu là doanh nghiệp nhỏ chi phí ít sẽ tập trung sử dụng các sản phẩm như ISA, IPCop, PFsense vì các sản phẩm này khi triển khai giá thành rẻ có thể cài đặt dễ dàng trên các PC, server.
- Với các doanh nghiệp lớn thì sẽ sử dụng các phần cứng phục vụ các mục đích chuyên biệt như Router, Firewall, IDS, IPS, Tăng tốc ,share tải...
Đối với mạng cho nhân viên thì thường dùng IPCop, Pfsense hoặc ISA tùy yêu cầu công ty và (hoặc) trình độ của quản trị mạng.


Midou wrote:

----->/home không có.

Anh kiểm tra xem trên hệ thống có dir /export/home ko
Nguyên nhân của "bệnh" này, theo em đoán là dir /home không tồn tại trên hệ thống, hoặc tồn tại nhưng bị giới hạn quyền đối với user mới được tạo.

PS: Có vẻ như đây là lần đầu tiên anh đăng nhập bằng acc bình thường nhỉ?
 

Làm sao chú biết thư mục home không có?
Phải dùng lệnh ls -al / thì mới biết là thư mục /home có hay không chứ
Thư mục home đâu quan trọng thế chú.
Anh dùng lệnh
Code:
-bash-3.00# useradd -d /sub -s /usr/bin/bash -c "thphuoc" sub

Để cho người dùng sub có thư mục home là /sub có sao đâu.
Vấn đề của anh Phước không rõ là chỉ CDE bị hay anh log vào Java Desktop cũng không được luôn.
Solaris nó có cho tùy chọn 2 giao diện đồ họa khác nhau khi vào mà.
Lão thử cái giao diện đồ họa java coi cần gì cứ phải CDE nhỉ smilie

Mr.Kas wrote:
Sau khi làm phương pháp loại trừ, đó là tạm thời bỏ qua những cái module đang được tặt, em xem xét những cái module đang được bật xem cái nào nên tắt, rồi mới tìm hiểu đến mấy cái module đang bị tắt, xem nên bật cái nào lại. Và kết quả sau một hồi làm phương pháp loại trừ là còn lại các module:

Code:
LoadModule actions_module modules/mod_actions.so
LoadModule alias_module modules/mod_alias.so
LoadModule asis_module modules/mod_asis.so
LoadModule cgi_module modules/mod_cgi.so
LoadModule dav_module modules/mod_dav.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule dav_lock_module modules/mod_dav_lock.so
LoadModule env_module modules/mod_env.so
LoadModule headers_module modules/mod_headers.so
LoadModule include_module modules/mod_include.so
LoadModule info_module modules/mod_info.so
LoadModule isapi_module modules/mod_isapi.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule status_module modules/mod_status.so


Giờ em đang phân tích từng cái, nhưng nhìn sơ qua thì cái mod_cgi có thể tắt được rồi, nếu cần thì dùng mod_perl. smilie 


Theo tớ các module sau có thể bỏ được
LoadModule alias_module modules/mod_alias.so mod này làm nhiệm vụ ánh xạ thư mục. Kas chỉ chạy 1 website thì không cần cái này. Cái này cũng có thể gay ra các nguy hại cho hệ thống ví dụ:
thư mục home ở /var/www/html đã được chmod kỹ nhưng trong apache lại có đoạn cấu hình
Code:
Alias /etc "/etc"
#
# This is to permit url access to /etc/
#
<Directory "/etc">
Options None
AllowOverride None
Order allow,deny
Allow from all
</Directory>


LoadModule dav_module modules/mod_dav.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule dav_lock_module modules/mod_dav_lock.so


DAV là module tớ cực kỳ ghét và chưa bao giờ dùng.
Xem trên apache.org công dụng của DAV nhé
http://httpd.apache.org/docs/2.0/mod/mod_dav.html
Code:
Summary
This module provides class 1 and class 2 WebDAV ('Web-based Distributed Authoring and Versioning') functionality for Apache. This extension to the HTTP protocol allows creating, moving, copying, and deleting resources and collections on a remote web server.


LoadModule headers_module modules/mod_headers.so
Để thay đổi header của web server cái này thì không cần thiết đâu. Thay có 1 lần load vào làm chi cho mệt server
Muốn đổi header thì cấu hình trực tiếp file server/core.c trong thư mục nguồn rồi build
thay đổi
Code:
if (ap_server_tokens == SrvTk_PRODUCT_ONLY) {
ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT);
}
else if (ap_server_tokens == SrvTk_MINIMAL) {
ap_add_version_component(pconf, AP_SERVER_BASEVERSION);
}
else if (ap_server_tokens == SrvTk_MINOR) {
ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT "/" AP_SERVER_MINORREVISION);
}
else if (ap_server_tokens == SrvTk_MAJOR) {
ap_add_version_component(pconf, AP_SERVER_BASEPRODUCT "/" AP_SERVER_MAJORVERSION);
}
else {
ap_add_version_component(pconf, AP_SERVER_BASEVERSION " (" PLATFORM ")");
}



LoadModule include_module modules/mod_include.so

Cái này để tự động thêm vào đầu hoặc cuối trang web dòng thông tin bào đó ví dụ như quảng cáo.
Các free hosting thường kèm theo cái này để quảng cáo. Host mình thì không cần thiết đâu.

LoadModule info_module modules/mod_info.so
LoadModule status_module modules/mod_status.so

Hai module này cũng không giúp ích gì nhiều nếu dùng để chạy dịch vụ. Dùng test thì cho vào để kiểm ta server tý thôi.
Không biết THPhuoc dùng bản SunOS mấy nhưng trên máy tôi có thử với lệnh
Code:
-bash-3.00# useradd -d /home/subnetwork -s /usr/bin/bash -c "thphuoc" subnetwork
UX: useradd: subnetwork name too long.
-bash-3.00# useradd -d /home/sub -s /usr/bin/bash -c "thphuoc" sub
-bash-3.00# passwd sub
New Password:
Re-enter new Password:
passwd: password successfully changed for sub


Khi đó Xmanager đến SunOS bằng tài khoản sub thì vào được rồi lại bị logout ra luôn.
Nguyên nhân là lệnh useradd không tự tạo thư mục home. Ta phải tạo thư mục home bằng lệnh trước khi tạo user sub
Kiểm tra thư mục home thì thấy thư mục sub không tự tạo
Code:
-bash-3.00# ls /home/
-bash-3.00# ls -al /home/
total 5
dr-xr-xr-x 1 root root 1 Sep 2 23:24 .
drwxr-xr-x 50 root root 1536 Sep 3 03:47 ..
-bash-3.00#


Phải tự tay tạo thư mục home bằng user root
Code:
-bash-3.00# mkdir /sub
-bash-3.00# usermod -d /sub -s /usr/bin/bash -c "thphuoc" sub


Thử Xmanager lại thì đã log vào được CDE nhưng vẫn bị báo lỗi không vào làm việc được
Code:
drwxr-xr-x 2 root root 512 Sep 3 10:12 sub

Thử chown phát
Code:
-bash-3.00# chown -R sub /sub


Giờ thì vào rất OK .
THPhước thử làm theo các bước trên xem có được không smilie

Code:
-bash-3.00# cat /etc/release
Solaris 10 8/07 s10s_u4wos_12b SPARC
Copyright 2007 Sun Microsystems, Inc. All Rights Reserved.
Use is subject to license terms.
Assembled 16 August 2007

CDE version 1.6.3
Chỉnh TCP IP param để đánh lừa việc nhận diện OS em chả chơi đâu smilie Không kiểm soát tốt thì cứ gọi là tậm tịt cả hệ thống luôn. Em khoái kiểu cùng 1 IP chia sẻ port cho vài con server lẫn lộn các loại OS. Trên con web thì cũng cứ proxy lung tung cho vài server smilie

Nowhereman wrote:

smilie lâu rùi mới thấy anh conmale "hở" ra cái mà anh đã làm bấy lâu nay nha hì hì. kiểu này là kiểu " lạy ông tôi ở bụi này " ( nhưng thực ra tôi đang ở bụi khác smilie , em tự gọi dí dủm như vậy he he ) . em cũng đã từng nghĩ thôi ( chỉ dám mơ màng thôi nhé ) về cái vụ " show đầu dê, có thịt ếch này " . như cái vụ Netframework poisioning viết một dòng Console.Writeln ( " The End " ) thay vào 1 dòng được print out đó khi thực hiện nó sẽ chạy ra vài dòng chẳng hạn , vì nó hơi sâu xa nên em chưa hỉu được. chỉ dám mơ mộng tìm và cố giả vờ hiểu mà vẫn chưa hiểu anh ạ .
 

Ví von văn chương loạn cả lên thế smilie

Nowhereman wrote:

hoặc add : A record là DNS của 72.ab.cc.c.. nhưng MX và NS lại là của JP chẳng hạn (cái reserve DNS server ) . << em rất mong được bác chỉ cho các cách này .
 

Cái này là cơ bản của DNS mà có gì cao siêu đâu man.
Tham khảo: www.squid-cache.org
Squid là một chương trình cache proxy chạy trên nền tảng Unix và Linux.
Nó chuyển tiếp các yêu cầu từ máy khách (trong trường hợp này là web browsers) tới server. Khi mà đối tượng yêu cầu trả về tới squid server nó sẽ chuyển về cho client và giữ một bản copy ở cache. Một trong những lợi ích của cache là khi vài client yêu cầu cùng một đối tượng thì nó sẽ được lấy từ trong cache giúp cho các client nhận được dữ liệu nhanh hơn là từ Internet. Việc này cũng giảm các traffic trên mạng.
Cùng với caching squid còn có các đặc tính như chia tải bằng cách liên kết các proxy server, định nghĩa chặt chẽ các danh sách điều khiển truy cập cho các client truy cập proxy, cho phép hay từ chối truy cập tới các trang web đặc biệt.
Squid không phải là proxy chung mà nó thông thường là proxy cho kết nối HTTP. Nó cũng hỗ trợ các giao thức FTP, Gopher, SSL, và WAIS nhưng nó lại không hỗ trợ các giao thức internet khác như Real Audio, news …

Proxy caches
Là một Proxy caches Squid có thể được sử dụng theo một vài cách. Khi mà kết hợp với Firewall nó có thể giúp cho việc bảo mật. Nhiều Proxy có thể được sử dụng với nhau và có thể xác định loại đối tượng nào cần lưu trong cache và lưu trong bao lâu.

Squid và bảo mật
Chúng ta có thể sử dụng squid cùng với Firewall để bảovệ mạng nội bộ từ bên ngoài sử dụng proxy cache. Fireawall từ chối tất cả client truy cập tới dịch vụ bên ngoài ngoại trừ squid. Mọi kết nối tới web phải được thiết lập theo cách của proxy.
Multiple caches
Vài proxy có thể được cấu hình theo cách mà các đối tượng có thể trao đổi giữa chúng. Việc này làm giảm tải toàn bộ hệ thống và tăng khả năng tìm một đối tượng đã tồn tại trên mạng cục bộ. Còn có khả năng để cấu hình cache thứ
bậc để một cache có thể đa ra yêu cầu tới một cache cấp thấp hơn hay cao hơn. Việc chọn được mô hình thích hợp cho cache thứ bậc là rất quan trọng. Bởi vì chúng ta không muốn tăng các traffic trên mạng. Với mạng rất lớn chúng ta có thể cấu hình proxy server cho tất cả các mạng con và kết nối nó tới một proxy cha mà nó kết nối tới proxy của ISP.
Tất cả các giao tiếp đó được thực hiện bởi ICP ( Internet cache protocol) chạy trên giao thức UDP. Dữ liệu lưu thông giữa các cache thì sử dụng HTTP dựa trên giao thức TCP. Tìm server thích hợp nhất để nhận các đối t-ợng thì một cache gửi một gói tin ICP yêu cầu tới tất cả các proxy ngang hàng. Gói tin ICP trả lời sẽ kèm theo mã HIT nếu đối tượng được tìm thấy hoặc mã MISS nếu không thấy. Nếu nhiều gói tin trả lời với mã HIT thì proxy server sẽ quyết định server để tải về dựa vào các nhân tố như: cache nào gửi gói tin trả lời sớm nhất hoặc cái nào gần nhất.
Trong trường hợp nhận đợc tín hiệu trả lời với mã MISS thì yêu cầu sẽ gửi tới cache cha.
Chú ý: Để tránh sự trùng hợp dữ liệu giữa các cache trong một mạng thì giao thức ICP khác đợc sử dụng như: CARP (cache array routing protocol) hoặc HTCP (hyper text cache protocol). Càng nhiều đối tượng lưu trong mạng thì càng
nhiều khả năng tìm thấy dữ liệu mong muốn.

Caching Internet
Không phải tất cả các đối tượng có trên mạng đều là tĩnh mà có rất nhiều
các trang động đợc tạo bởi CGI như đếm lượng khách truy nhập và nội dung tài liệu SSL được mã hóa. Các đối tượng như vậy không được cache bởi vì nó thay đổi mỗi khi chúng được truy cập.

Câu hỏi lưu trữ các đối tượng trong bao lâu ở cache vẫn còn khó có lời giải thích hợp. Để xác định điều này tất cả các đối tượng trong cache được gán một trong các tình trạng: “Last modified” hoặc “Expires”vào header. Server sử dụng
thuật toán LRU (last recently used)
để thay thế các đối tượng trong cache nhằm tăng dung lượng đĩa đơn giản là server sẽ loại bỏ các đối tượng mà lâu không có yêu cầu truy cập.

Đã là nâng cấp thì phải chạy đường cũ rồi xin nâng băng thông thôi chứ lại đổi cả nhà cung cấp à.
Ở Hà nội mình có dùng qua leased line của 2 đơn vị là BĐHN và FPT đánh giá sơ bộ như sau:
Đường BĐHN chạy cáp đồng độ trễ lớn hỗ trợ kỹ thuật chậm, không ổn định
Đường BĐHN chạy cáp quang tốc độ như FPT cáp quang nhưng hỗ trợ kỹ thuật chậm, đường truyền ổn định.
Tớ nghĩ nếu vẫn đề kinh phí ko phải cân nhắc nhiều thì nên chọn cáp quang của FPT dùng thấy ổn lắm (Hỗ trợ kỹ thuật nhiệt tình)

Thêm mội sub interface

Tạm thời khi khởi động lại máy sẽ mất interface mới thêm đó
Thêm sub interface cho card ce3
Code:
#ifconfig ce3:1 plumb up
#ifconfig ce3:1 10.0.0.16 netmask 255.255.255.0

Kiểm tra lại
Code:
# ifconfig -a
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
ce3: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
inet 10.0.0.11 netmask ffffff00 broadcast 10.0.0.255
ether 0:14:4f:7b:ab:dc
ce3:1: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 3
inet 10.0.0.16 netmask ffffff00 broadcast 10.0.0.255


Khi khởi động lại máy vẫn còn interface mới thêm đó

Thêm sub interface cho card ce3
Code:
vi /etc/inet/hosts


thêm vào
Code:
#
# Internet host table
#
127.0.0.1 localhost
10.0.0.11 web-server loghost
[color=brown]10.0.0.16 moitheml[/color]


Code:
bash-3.00# vi /etc/inet/ipnodes


thêm vào
Code:
#
# Internet host table
#
127.0.0.1 localhost
10.0.0.11 web-server loghost
[color=brown]10.0.0.16 moitheml[/color]


Nếu interface đó thêm vào ở khác lớp mạng thì cần chỉnh sửa
Code:
vi /etc/inet/netmasks

Copy file Code:
cp /etc/hostname.ce3 /etc/hostname.ce3:1

Chỉnh sửa Code:
vi /etc/hostname.ce3:1

thay Code:
web-server

thành Code:
moithem
Đổi địa chỉ IP cho phiên hiện tại (FortheCurrentSession)
Sau khi khởi động lại máy vẫn nhân các IP cũ

Kiểm tra cấu hình IP hiện tại
Code:
# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255
ether 8:0:20:c1:8b:c3


Đổi thành địa chỉ mới
Code:
# ifconfig eri0 192.168.34.100 netmask 255.255.255.0 broadcast + up

Đổi thành hostname mới
Code:
# vi /etc/nodename
mynewhostname

Kiểm tra lại
Code:
# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 192.168.34.100 netmask ffffff00 broadcast 10.255.255.255
ether 8:0:20:c1:8b:c3
# hostname
mynewhostname

Thay đổi địa chỉ IP và host name (Persist Across Reboots)

Đổi địa chỉ IP từ 10.0.0.14 thành 192.168.55.14.
Hostname từ myhost thành mynewhostname.
Netmask từ 255.0.0.0 thành 255.255.255.0.
Default gateway thành 192.168.55.200

Kiểm tra hostname hiện tại của hệ thống
Code:
# hostname
myhost

Kiểm tra các giao diện mạng
Code:
# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.0.0.14 netmask ff000000 broadcast 10.255.255.255
ether 8:0:20:c1:8b:c3

Đổi hostname và địa chỉ IP của eri0 :
Code:
# vi /etc/nodename
mynewhostname


Với Solaris 10 11/06 và các phiên bản mới
Code:
# vi /etc/inet/ipnodes
192.168.55.14 mynewhostname #moved system to 192.168.55 net


Code:
# vi /etc/inet/hosts
#
# Internet host table
#
127.0.0.1 localhost
192.168.55.14 mynewhostname loghost


Code:
# vi /etc/hostname.eri0
192.168.55.14
netmask + 255.255.255.0

Đổi subnetmask và default gateway
Code:
# vi /etc/netmasks.
.
.
192.168.55.0 255.255.255.0


Code:
# vi /etc/defaultrouter
192.168.55.200 #moved system to 192.168.55 net
#


Khởi động lại máy và kiểm tra
Code:
# reboot -- -r

Code:
# hostname
mynewhostname
# ifconfig -a
lo0: flags=1000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
eri0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 192.168.55.14 netmask ffffff00 broadcast 10.255.255.255
ether 8:0:20:c1:8b:c3

 
Go to Page:  2 3 4 Page 5 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|