Messages posted by: shuichi_akai

Với mình thì trên nền x86, HP, IBM, hay DELL chỉ khác nhau ở khoản hoa hồng bao nhiêu phần trăm (j/k).

Nếu bạn đã theo S11 thì mình nghĩ là DB và webserver không thành vấn đề. Bạn có nhiều server với cấu hình như trên thì nên tận dụng hết khả năng của S11 ví dụ như HA (Oracle Cluster), webservice (Crossbow), KVM, ZFS, ... (http://www.oracle.com/us/products/servers-storage/solaris/solaris11/overview/index.html)

Thay vì tách biệt 2 server chạy 2 tác vụ mà chỉ một OS thừa khả năng đảm nhiệm hết mà còn tận dụng được redundancy.

Mình nghĩ đã tốn tiền License và support cho Oracle thì nên đi theo trọn gói là dùng Solaris 11.

Em thắc mắc không biết có công cụ nào để giám sát traffic hiệu quả trong trường hợp lượng truy cập lớn? Vài trăm máy tính mà mỗi máy mở 1 trang không thôi thì lượng connections đã khá nhiều rồi, giả sử có bị botnet thì khả năng đọc log chắc cũng ngang ... tốc độ ánh sáng. Hay là anh có mẹo gì nữa ạ? smilie

Hi,

Mình không sử dụng Squid mà là Apache TrafficServer project, hiện tại đang test thử forward proxy thì thấy rất khả quan. Để làm transparent proxy thì mình route traffic 0.0.0.0/0 về con ATS này thay vì R2 như cũ, tất nhiên là ATS chỉ sử dụng 1 NIC, test với 2 NICs thì không hiểu sao không thể ping thấy bất cứ NIC nào (cả 2 chung subnet).

Trên con ATS này mình viết iptables rules để chuyển hướng các truy cập tới đích là http/https sẽ đi tới port đích là ATS:8080 và ATS:443, có thể tạm gọi là transparent proxy.

Code:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 10.0.0.7:8080
iptables -A FORWARD -p tcp -o eth0 -d 10.0.0.7 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to 10.0.0.7:443
iptables -A FORWARD -p tcp -o eth0 -d 10.0.0.7 --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Đối với luồng HTTPS mình gán một cái self-signed certificate cho con ATS, khi người dùng truy cập một HTTPS website thì ATS sẽ đứng ra trung gian làm 2 lần 3-way handshake giữa user và host. Vì là self-signed cert nên khi truy cập https website thì browser sẽ cảnh báo unknown CA, nếu vẫn cố tình bỏ qua và chấp nhận thì vẫn không thể truy cập được https website.

Debug thấy thông báo lỗi như sau:
Code:

ERROR: SSL ERROR: SSL_ServerHandShake.
ERROR: SSL::5:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1093:SSL alert number 48

Mình thắc mắc là, nếu mình dùng một CA cert "xịn" thì có được chấp nhận không? Server có HandShake được bình thường không? Vì một cái SSL Cert cũng khá tốn kém.

Bật Wireshark lên xem thì khi mở https website thì chỉ liên tục thấy "TCP Keep-Alive" và "TCP Keep-Alive ACK", trên browser thì không thể tại được nội dung (Chắc tại Server HandShake SSL/TLS không được).

Một điều nữa là, đối với traffic HTTP, mọi thứ có vẻ bình thường: truy cập dễ dàng không vấn đề, nhưng kiểm tra thì không hề được cache (chắc chắn là mình đã bật tính năng cache control). Điều này không biết có nguyên nhân từ iptables không?

Rất mong nhận được góp ý của các bạn.
Thanks,

myquartz wrote:

Nếu muốn transparent proxy thì chèn vào giữa con draytek và switch 1 cái server (dĩ nhiên, 2 card mạng, 1 vào sw và 1 vào draytek). Đơn giản nhất là chạy Linux và thiết lập iptables + squid để cache/filter.
Nhưng vì draytek còn làm việc nhiều hơn 1 cái router/NAT, là DHCP Server và có khi cả DNS Forwarder. Do đó 2 chức năng này phải chuyển qua con server đó để làm.
Còn về load balancer thì vẫn để con draytek làm. IP Sec VPN thì phải thay đổi 1 chút để thiết lập định tuyến của con Linux sao cho nó route được mạng nội bộ đến R0 (or R1) và ngược lại subnet VPN đầu xa đến R2. Draytek thay vì route mạng nội bộ đến R0 thì thay bằng đến server. Nếu giữa Draytek R2 và R0 hiện tại lại chạy định tuyến động (ví dụ RIP), thì có khi con Linux cũng phải lặp lại cái vai trò đó (cài RIP router daemon- lâu ko nhớ tên cái nào hay trên Linux).

Còn nếu cậu bỏ cái yêu cầu transparent đi, thì công việc đơn giản hơn (nhưng sẽ tốn công hơn): chỉ cần cài Linux + squid (or Win + ISA), thò 1 chân xuống mạng LAN (nghĩa là chỉ cần 1 lỗ mạng cắm vào sw). Sau đó đi config tất cả client trỏ proxy đến con đó là chạy được. Việc routing + IPSec VPN + DHCP... ko phải thay đổi gì cả. Có thể nếu bắt ép người dùng phải chạy proxy thì phải đặt mấy cái filter trên con Draytek sao cho chặn port 80 và 443 để mọi người ko đi trực tiếp được (và chỉ trừ IP của con proxy là đc chạy tất).

Mình cũng nghĩ gần như vậy, do từ xưa con Draytek đã được giao cho chạy hơi nhiều dịch vụ nên khi thiết lập transparent proxy thì mình bị kẹt ở các dịch vụ của nó và định tuyến lại.

Tháng giờ kernel.org chưa phục hồi nữa nên mình cũng không có upgrade kernel được để làm thử Tproxy.

Thanks myquartz

Hi,

Mình đang có kế hoạch xây dựng một máy chủ Proxy cho công ty, mô hình hiện tại vẫn là Workgroup có thể xem như hình bên dưới. Default gateway là R1 được định tuyến theo kiểu: truy cập tới các máy nội bộ (10.0.0.0/8) thì tới R0, còn ra Internet thì qua R2. Trong đó R2 là Draytek multi-service router cung cấp DHCP, Internet load balancer, IPsec gateway, ...

Tất cả các máy con trong mạng LAN đều có quyền truy cập Internet và số lượng máy vào khoảng trăm PC, nên mình muốn xây dựng một Transparent server để không phải cấu hình proxy server trên từng máy con rất mất thời gian và không thuận tiện.

Vấn đề mình mong mọi người tư vấn là với mô hình mạng như này thì khi đặt Transparent proxy vào thì giải pháp phần mềm nào hiệu quả nhất? Và có phải định tuyến lại hay không? Khi đó thì các dịch vụ như mình kể trên sẽ bị ảnh hưởng như thế nào?

Mình đang bị rối nên có thể câu hỏi không được rõ ràng lắm, mong nhận được ý kiến của các bạn.
Xin cảm ơn.

Mình test cách dùng ghost của anh conmale thành công, nhưng thực tế thì lại áp dụng cách move dữ liệu sang volume mới. Lý do là vì ổ cứng mới có dung lượng lớn hơn (146GB) ổ cứng cũ nên tạo 1 Raid Array mới chỉ để chứa dữ liệu.

Thanks.

Hi,

Mình có một website đã từng thuê hosting tại Digipower, và sử dụng domain-name.vn.

Trước đây mình trỏ tên miền .vn của mình về DNS của Digipower là ns1-ns2.digipowerdns.com, trong đó thì có 1 A record trỏ tới IP a.a.b.b.

Bây giờ mình sử dụng hosting của Hosting Provider khác, tên miền .vn của mình vẫn quản lý tại Digipower; lúc này mình xóa A record cũ và tạo 1 A record mới trỏ về IP mới là a.a.c.c

Nhưng sau 48h (thực tế là gần 1 tuần) thì khi mình dùng lệnh nslookup thì, một số DNS server trả về Address: a.a.b.b, a.a.c.c còn một số DNS server khác thì trả về Address: a.a.c.c (DNS server mà mình sử dụng để kiểm tra là: DNS server của công ty, của ISP FPT, OpenDNS, Google Public DNS)

Kết quả là một số user không truy cập được website của mình vì trình duyệt của họ vẫn nhận được IP của hosting cũ, còn một số khác thì họ nhận được đúng IP mới.

Mình thắc mắc ở đây là, các thao tác của mình có sai không? Và vấn đề này là do lỗi ở đâu?

P/S: Digipower họ chắc chắn với mình là do các DNS server khác cache quá lâu nên nói mình chờ một thời gian nữa.

Xin cảm ơn nhiều.

Bạn có quên lib GD2 không?

Với Ubuntu thì họ có tool tạo usb boot ngay trên trang download mà.

http://www.ubuntu.com/desktop/get-ubuntu/download

Còn dòng họ Redhat, Fedora, Centos, etc ... thì mình luôn dùng Live USB creator, và chưa bao giờ trục trặc.

http://www.pendrivelinux.com/usb-centos-5-live-install-via-windows/

Bạn không dùng AV nào hả? Nếu quả thực đúng là Conflicker (chứ không phải đoán mò) thì bạn phải update Windows với bản vá KB958644

http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx

thangdiablo wrote:

Có 1 cách nữa là đẩy Mailbox Database và Public Folder ra External Storage.
HDD trên Server chỉ để chứa OS và Exchange Application thôi.

Với giải pháp này thì tuỳ vào Storage chạy FC hay iSCSI.
Nếu Storage chạy FC thì server mua thêm 1 HBA FC.
Nếu Storage chạy iSCSI thì trên server chỉ cần install cái iSCSI initiator là xong.

Nếu triển khai theo hướng này thì sau này việc quản trị Exchange sẽ có tính flexible cao hơn. Không cần phải thay HDD mỗi khi bị full capacity.
Có nhiều trường hợp không check kỹ specs của Server lắp HDD mới vào nó không support.

Đẩy Mailbox ra một cái External storage là một trong những cái mà nằm trong project của em lúc ... Tốt nghiệp, nhưng trong công ty hiện tại thì kẹt khoản chi phí đầu tư lớn nên em khó thực thi ạ. Em cảm ơn bác đã nhắc nhở em về vấn đề này. smilie

P/S: chắc sang năm phải đề xuất nâng cấp đồng bộ FC trong budget mgmt.

conmale wrote:

shuichi_akai wrote:

conmale wrote:

Cách đơn giản nhất là ghost đĩa hiện tại và bung ghost ra một đĩa có dung lượng lớn hơn là xong.

Em xin lỗi phải hỏi thêm. Ý em muốn hỏi là trong trường hợp mình tạo 1 file ghost của C: drive sau đó attach 2 ổ cứng mới và tạo lại RAID 1 và partition rồi bung file ghost kia trở lại thì có ảnh hưởng gì tới hoạt động của server như: sự nhận biết về thiết bị đã thay đổi, v.v ... Khả năng sau khi bung ghost lại thì bị lỗi có cao hơn như cách ban đầu em nêu không ạ? Cảm ơn anh.

Tuỳ RAID-1 em tạo là soft RAID hay hard RAID nữa. Nếu đó là hard RAID thì trên hệ điều hành nó chỉ nhận ra một đĩa hoàn chỉnh và việc ghost vô đĩa hoàn chỉnh này y hệt như 1 physical disk thôi. Nếu đó là soft RAID (trên Windows) thì nên cẩn thận vì ghost có thể nhận ra 2 đĩa khác nhau. Riêng khoản hardware thay đổi thì anh nghĩ không có vấn đề gì bởi vì tất cả thay đổi chỉ là cái đĩa chớ không phải những thiết bị khác.

Em hiểu ạ, server này cấu hình hardware raid ạ, và em sẽ phải kiếm một cái PC để test trước vụ này. Cảm ơn anh.

conmale wrote:

Cách đơn giản nhất là ghost đĩa hiện tại và bung ghost ra một đĩa có dung lượng lớn hơn là xong.

Em xin lỗi phải hỏi thêm. Ý em muốn hỏi là trong trường hợp mình tạo 1 file ghost của C: drive sau đó attach 2 ổ cứng mới và tạo lại RAID 1 và partition rồi bung file ghost kia trở lại thì có ảnh hưởng gì tới hoạt động của server như: sự nhận biết về thiết bị đã thay đổi, v.v ... Khả năng sau khi bung ghost lại thì bị lỗi có cao hơn như cách ban đầu em nêu không ạ? Cảm ơn anh.

Got it,

Vấn đề của em bây giờ chỉ còn là có quyền để làm việc ấy.

Cảm ơn anh commale

Xin chào các bạn,

Hiện tại mình đang quản lý 1 máy chủ Exchange 2003 chạy trên Windows Server 2k3, do dung lượng đĩa cứng trước kia mua chỉ 36.4GB nên bây giờ dung lượng lưu trữ đã tới mức giới hạn nên cần phải nâng cấp mở rộng. Với nhu cầu lưu trữ lớn hơn nên mình dự định sẽ mua thêm 2 ổ cứng 36.4GB cùng loại, rồi cấu hình Raid 1 (giống như hiện tại). Sau đó sẽ convert ổ C: hiện tại (đang cài HĐH Windows Server 2k3) thành dạng Dynamic, và cuối cùng sẽ join partition mới tạo vào với ổ C:.

Kế hoạch của mình là như vậy, xin hỏi ae là làm như vậy có được không? Khả năng có sự cố có cao không?
Xin cảm ơn.

Xin chào,

Hiện tại mình đang có 1 Email server chạy MS Exchange 2k3, mình chỉ quản lý lại từ người tiền nhiệm. Dạo gần đây mình kiểm tra log thì có một số email không gửi đi được với thông báo NDR (Non-Delivery Report).

Email server này ở chi nhánh, dùng tên miền dạng sub.abc-com.com được gán A record tới IP 118.69.x.x (PTR cũng là địa chỉ này luôn), địa chỉ email có dạng user@abc-com.com

Đây là header email sau khi mình thử gửi cho email của mình ở google:

Code:

Delivered-To: <a href="mailto:receiver@gmail.com">receiver@gmail.com</a>
Received: by 10.114.199.7 with SMTP id w7cs23986waf;
Wed, 12 May 2010 19:35:58 -0700 (PDT)
Received: by 10.142.117.15 with SMTP id p15mr5571950wfc.199.1273718157976;
Wed, 12 May 2010 19:35:57 -0700 (PDT)
Return-Path: <sender@abc-com.com>
Received: from sub.abc-com.com (sub.abc-com.com [118.69.x.x])
by mx.google.com with ESMTP id x34si1398631wfi.1.2010.05.12.19.35.56;
Wed, 12 May 2010 19:35:57 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of <a href="mailto:sender@abc-com.com">sender@abc-com.com</a> designates 118.69.x.x as permitted sender) client-ip=118.69.x.x;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of <a href="mailto:sender@abc-com.com">sender@abc-com.com</a> designates 118.69.x.x as permitted sender) smtp.mail=sender@abc-com.com
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01CAF245.02232BD3"
Content-class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft Exchange V6.5
Subject: this email is for testing only
Date: Thu, 13 May 2010 09:35:53 +0700
Message-ID: <0AFFE955DFAF80438CB1C0516A15879007153B67@sub.abc-com.com>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: this email is for testing only
Thread-Index: AcryRP7/V4FTxQHiSk2hlqz3yDA8XA==
From: "sender" <sender@abc-com.com>
To: <receiver@gmail.com>
X-TM-SMEX-DISCLAIMER: abc-com.com;
date="2010-05-13T02:35:54.178Z"
This is a multi-part message in MIME format.

Mong nhận được tư vấn từ các bạn. Thanks

Đây là công việc của mình mà bạn

Mình cũng tốn khá nhiều thời gian vọc Vigor 3300 cả trên công ty lẫn ở nhà, theo cảm nghĩ cá nhân thì nó không phù hợp nên mới nghĩ tới viêc dùng *nix để bổ sung, dễ tùy biến trong tương lai.

Okay, mình sẽ thử và report sau.

Cảm ơn quanta.

Xin chào,

Mình có một vấn đề khúc mắc trong việc quản lý lưu lượng mạng như sau: hiện tại chỗ mình đang dùng mô hình mạng ngang hàng, các kết nối vẫn bình thường nhưng tại một số thời điểm người dùng than phiền rằng các truy cập web hay là kết nối dữ liệu tới máy chủ db quá chậm. Vì vậy vấn đề chính là làm thế nào để theo dõi "ai" là tác nhân chính gây ra các hiện tượng trên.

Về mô hình mạng, hệ thống PC, Server và Network kết nối chung với nhau thông qua Switch chính, dùng đường mạng 10.2.176.0/20 với các subnet: Server and Network: 10.2.176.0 và PC: 10.2.177.0 được trỏ tới default gateway là 10.2.176.9; nếu kết nối tới hệ thống nội bộ công ty thì đi qua VPN, còn truy cập internet thì qua 10.2.176.6 để đi ra, như trong hình.

Con .176.9 này là Vigor 3300 nên cấu hình qua web, routing và filter khá đơn giản, do trước đây nhằm mục đích đơn giản và tiện lợi nên IT dùng nó.

Với lý do như trên, mình mới suy nghĩ đến việc kiểm soát traffic để tiến tới lọc bớt những traffic không cần thiết và ưu tiên cho các ứng dụng critical. Sắp tới công ty sẽ chuyển các ứng dụng cũ lên web nên tương lai chủ yếu là truy vấn http.

Hiện tại thì mình nghĩ đến việc dựng một Proxy Server để kiếm soát các truy cập web trước, lọc nội dung không cần thiết, để có biện pháp hạn chế việc truy cập internet; vấn đề là làm sao để người dùng không biết đến sự hiện diện của Proxy server.

Mình trình bày có thể chưa thoát ý nhưng câu hỏi chính của mình là có những biện pháp nào để giám sát lưu lượng mạng cho mô hình workgroup như trên? vì ngoài các truy vấn http ra thì còn nhiều dịch vụ khác chia sẻ nữa như terminal service, database, telnet, ... làm thế nào để phát hiện nghẽn và tối ưu các traffic này?

Xin cảm ơn.

Mình chưa có CCNA, CCNP gì hết, nghĩ mà tủi thân ghê.

Chắc bạn này ít kiến thức xã hội nên trả lời trật đường rầy.

Trước khi đặt câu hỏi thì bạn nên tìm hiểu trước về Proxy và Router.

nhkhanh90 wrote:

thank!! nhưng
Cũng vậy à ! Nó báo lỗi giống y như cũ không có gì cải tiến !

Hmmm ...

Thử lại thế này nhé:

# cd /home/nhkhanh/Desktop && rpm -ivh some.thing.rpm

Nếu vẫn không được thì mình đề nghị bạn sử dụng ỵum.
Và nguyên nhân thì mình nghĩ là chạy một file ở home profile của người khác cũng có thể gây trục trặc này.

P/S: Ở tài khoản nhkhanh của bạn nếu muốn cài đặt một gói nào đó thì tốt nhất là thêm tài khoản nhkhanh vào nhóm Sudoers.

thử:

# rpm --force -i some.thing.rpm

Okay, thank you.

Mình quên mất cái "xuyệt" là slash smilie

Hi,

Mình mới làm quen với nginx 0.6.36 trên Centos, mình mới chỉ cài và cấu hình cơ bản để chạy được cùng với php và mysql.
Vấn đề mình gặp là khi nhập đường dẫn local.host/test thì browser (FF) tự động chuyển đến trang www._.com/test
Nhưng mà nhập local.host/test/ thì thấy được index bình thường.

Nhờ mọi người tư vấn cách khắc phục để khi nhập local.host/test thì cũng giống như là local.host/test/.

Xin cảm ơn.

Nếu bạn sử dụng thiết bị WAG200g để kết nối ADSL và phát sóng wi-fi thì không cần tắt dịch vụ DHCP đi nữa. Mình đã nhầm thiết bị này chỉ là AP.

Và bạn thử làm như những chỉ dẫn bên trên xem sao ví dụ như xem thiết bị có nóng quá hay không, nếu nóng thì để ra chỗ thoáng mát.

Theo như diagram của anh conmale thì web-app nó nằm ở chỗ khác rồi, người dùng bình thường chỉ biết đến 2 con "reverse proxy" mà thôi.

Trên con AP bạn tắt chức năng DHCP của nó đi rồi thử lại xem.