<![CDATA[Messages posted by "shuichi_akai"]]> /hvaonline/posts/listByUser/51117.html JForum - http://www.jforum.net Hỏi về cấu hình pfsense

bigname wrote:
Em chào mọi người. Em mới làm công việc sysadmin được 1 thời gian ngắm, kinh nghiệm có rất ít. Em đang gặp khó khăn với việc cấu hình cho pfsense. Hệ thống của em như sau: Pfsense có 2 interface: -1WAN: 210.x.x.Y -1LAN: 10.0.2.1 Server Centos 6.3 có 2 interface: -1WAN: 210.x.x.Z -1LAN: 10.0.2.243 -default gateway: 10.0.2.1 Từ ngoài internet em ping 210.x.x.Z thì ok. Địa chỉ internet ping là: 118.x.x.x Nhưng khi telnet vào 210.x.x.Z:3306 thì không được (Connecting To 210.x.x.Y...Could not open connection to the host, on port 3306: Connect failed) <snip>  
Tại sao bên trên bảo telnet vào x.x.x.Z nhưng kết quả lại là x.x.x.Y ? Tại sao server CentOS lại cần public IP nếu đã có pfSense rồi? ]]> /hvaonline/posts/preList/44962/277509.html#277509 /hvaonline/posts/preList/44962/277509.html#277509 GMT Cập nhật software, patch cho HP-UX 11i /hvaonline/posts/preList/43614/270205.html#270205 /hvaonline/posts/preList/43614/270205.html#270205 GMT Service mysqld bị lỗi, không thể khởi động

anhtuanvo wrote:
tmp hiện đang trống trơn  
Xem lại permission của mysql hoặc là kiểm tra selinux.]]> /hvaonline/posts/preList/43603/270174.html#270174 /hvaonline/posts/preList/43603/270174.html#270174 GMT Service mysqld bị lỗi, không thể khởi động Code:
/usr/libexec/mysqld: Can't create/write to file '/tmp/ibQRidFL' (Errcode: 28)
121014 10:14:38  InnoDB: Error: unable to create temporary file; errno: 28
]]> /hvaonline/posts/preList/43603/270166.html#270166 /hvaonline/posts/preList/43603/270166.html#270166 GMT Https wwwecting on Nginx Code:
server {
    listen       xxx.xxx.xxx.xxx:443;
    server_name  abc.domain.vn abc.domain.com;

    <snip>
}
Tất nhiên là rewrite rule bên dưới sẽ vô nghĩa. P/S: Bạn tham khảo thêm về Nginx Pitfalls tại: http://wiki.nginx.org/Pitfalls]]> /hvaonline/posts/preList/43126/268180.html#268180 /hvaonline/posts/preList/43126/268180.html#268180 GMT lỗi 530 login Code:
Name (192.168.1.10:root): ftpuser
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
Lỗi rõ ràng như thế này còn gì? Bạn phải tạo password cho user: ftpuser thì mới đăng nhập được chứ.]]> /hvaonline/posts/preList/43085/267889.html#267889 /hvaonline/posts/preList/43085/267889.html#267889 GMT Lỗi "is not allowed" khi cấu hình virtual hosts trên nginx Code:
#server {
        listen   80;

<snip>

}
Lỗi cũng đúng thôi.]]> /hvaonline/posts/preList/43068/267888.html#267888 /hvaonline/posts/preList/43068/267888.html#267888 GMT Lỗi "is not allowed" khi cấu hình virtual hosts trên nginx /hvaonline/posts/preList/43068/267882.html#267882 /hvaonline/posts/preList/43068/267882.html#267882 GMT Lỗi "is not allowed" khi cấu hình virtual hosts trên nginx /hvaonline/posts/preList/43068/267876.html#267876 /hvaonline/posts/preList/43068/267876.html#267876 GMT Làm thế nào đăng nhập SSH vào Mac OS chứng thực bằng keyfile http://rcsg-gsir.imsb-dsgi.nrc-cnrc.gc.ca/documents/internet/node31.html. Tiếp theo thì chỉnh sửa file sshd_config: Code:
PubkeyAuthentication yes
PasswordAuthentication no
Done.]]> /hvaonline/posts/preList/43084/267873.html#267873 /hvaonline/posts/preList/43084/267873.html#267873 GMT Nginx hay apache2 ?

.lht. wrote:
Nếu dùng Nginx làm Webserver rồi thì cần gì Nginx làm Reverse Proxy nữa ? 
Reverse proxy có tác dụng để host nhiều site trên cùng server.]]> /hvaonline/posts/preList/42978/267494.html#267494 /hvaonline/posts/preList/42978/267494.html#267494 GMT Nginx hay apache, hay ....etc. ? /hvaonline/posts/preList/42978/267493.html#267493 /hvaonline/posts/preList/42978/267493.html#267493 GMT Nhờ tuning apache và mysql cho website Code:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
4640 mysql 0 -15 767m 161m 4948 S 748.5 2.0 412:12.01 mysqld
Mình nghĩ bạn nên tìm hiểu từ source code ra vì sao mà MySQL tốn quá nhiều tài nguyên và chiếm CPU quá lâu như vậy? Nếu bạn có daily backup job thì mình đề xuất sau khi backup DB xong nên stop và start lại MySQL để tránh việc CPU bị chiếm dụng quá lâu.]]> /hvaonline/posts/preList/40934/252046.html#252046 /hvaonline/posts/preList/40934/252046.html#252046 GMT Slow-Read DoS attack

jerrykun wrote:
Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn. /hvaonline/posts/list/29851.html  
Bạn nhầm với Slowloris rồi.]]> /hvaonline/posts/preList/40936/252045.html#252045 /hvaonline/posts/preList/40936/252045.html#252045 GMT Slow-Read DoS attack Qualsys Security Labs researcher Sergey Shekyan has created a proof-of-concept tool that could be used to essentially shut down websites from a single computer with little fear of detection. The attack exploits the nature of the Internet's Transmission Control Protocol (TCP), forcing the target server to keep a network connection open by performing a "slow read" of the server's responses. The Slow Read attack, which is now part of Shekyan's open-source slowhttptest tool, takes a different approach than previous "slow" attacks such as the infamous Slowloris—a tool most notably used in 2009 to attack Iranian government websites during the protests that followed the Iranian presidential election. Slowloris clogs up Web servers' network ports by making partial HTTP requests, continuing to send pieces of a page request at intervals to prevent the connection from being dropped by the Web server. Slow Read, on the other hand, sends a full request to the server, but then holds up the server's response by reading it very slowly from the buffer. Using a known vulnerability in the TCP protocol, the attacker could use TCP's window size field, which controls the flow of data, to slow the transmission to a crawl. The server will keep polling the connection to see if the client—the attacker—is ready for more data, clogging up memory with unsent data. With enough simultaneous attacks like this, there would be no resources left on the server to connect to legitimate users. Shekyan said in his post about the tool that this type of attack could be prevented by setting up rules in the Web server's configuration that refuse connections from clients with abnormally small data window settings, and limit the lifetime of an individual request.   Không nhất thiết phải phang nhau với tốc độ ánh sáng, thú vui bây giờ khá là nhã: gửi TCP header đàng hoàng nhưng TCP payload không chứa data khiến target server hết connnection để phục vụ. References: http://arst.ch/s1d http://www.kb.cert.org/vuls/id/723308]]> /hvaonline/posts/preList/40936/252028.html#252028 /hvaonline/posts/preList/40936/252028.html#252028 GMT Cài Solaris 11 nhưng bị lỗi &quot;long mode not supported&quot; /hvaonline/posts/preList/40731/250839.html#250839 /hvaonline/posts/preList/40731/250839.html#250839 GMT Cài Solaris 11 nhưng bị lỗi "long mode not supported" /hvaonline/posts/preList/40731/250769.html#250769 /hvaonline/posts/preList/40731/250769.html#250769 GMT Giải pháp hệ điều hành cho server ngân hàng /hvaonline/posts/preList/40510/250565.html#250565 /hvaonline/posts/preList/40510/250565.html#250565 GMT Giải pháp hệ điều hành cho server ngân hàng /hvaonline/posts/preList/40510/250546.html#250546 /hvaonline/posts/preList/40510/250546.html#250546 GMT cho mình hỏi optimize vps ram 512MB chay webserver /hvaonline/posts/preList/40687/250530.html#250530 /hvaonline/posts/preList/40687/250530.html#250530 GMT Sử dụng nginx làm reverse proxy cho nhiều web server /hvaonline/posts/preList/40627/250279.html#250279 /hvaonline/posts/preList/40627/250279.html#250279 GMT Sử dụng nginx làm reverse proxy cho nhiều web server

Dpm wrote:
Bạn thử đẩy cái proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; lên phía server hoặc http xem. 
3 dòng đó chỉ tác dụng để logging thôi bạn ạ.]]> /hvaonline/posts/preList/40627/250215.html#250215 /hvaonline/posts/preList/40627/250215.html#250215 GMT Sử dụng nginx làm reverse proxy cho nhiều web server /hvaonline/posts/preList/40627/250186.html#250186 /hvaonline/posts/preList/40627/250186.html#250186 GMT Sử dụng nginx làm reverse proxy cho nhiều web server /hvaonline/posts/preList/40627/250180.html#250180 /hvaonline/posts/preList/40627/250180.html#250180 GMT Sử dụng nginx làm reverse proxy cho nhiều web server http://a.com:8001/folder/ nên vẫn không truy cập được. Em chỉ thắc mắc ở cái vụ a.com:8001, không biết vì lý do gì mà browser lại bị chuyển sang đường dẫn đó. Để tìm hiểu kỹ hơn, em bật wirechark lên xem thì nhừng đường dẫn dạng http://a.com/folder/ thì http SYN, ACK sau đó GET bình thường ví dụ Code:
219	8.851357	10.0.0.178	10.0.0.1	TCP	54	43678 > http [ACK] Seq=9163 Ack=7165 Win=64732 Len=0
222	9.265226	10.0.0.178	10.0.0.1	HTTP	603	GET /home/ HTTP/1.1
Còn khi mở đường dẫn dạng http://a.com/folder thì: Code:
324	12.780183	10.0.0.178	10.0.0.1	TCP	66	43681 > vcom-tunnel [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 SACK_PERM=1
326	12.784051	10.0.0.1	10.0.0.178	TCP	60	vcom-tunnel > 43681 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
Như vậy là truy cập tới a.com/folder bị nhầm sang giao thức VCOM tunnel, em quên check well-known port mà cứ nghĩ là trong dãy port 8000 có thể sử dụng tuỳ ý. Em đã đổi a.com listen sang port khác và có vẻ hoạt động bình thường rồi ạ. ]]> /hvaonline/posts/preList/40627/250175.html#250175 /hvaonline/posts/preList/40627/250175.html#250175 GMT Sử dụng nginx làm reverse proxy cho nhiều web server /hvaonline/posts/preList/40627/250171.html#250171 /hvaonline/posts/preList/40627/250171.html#250171 GMT Sử dụng nginx làm reverse proxy cho nhiều web server /hvaonline/posts/preList/40627/250167.html#250167 /hvaonline/posts/preList/40627/250167.html#250167 GMT Sử dụng nginx làm reverse proxy cho nhiều web server Code:
+---------+
                                        port 8001|         |
                                        +--------+ nginx 1 | a.com
                                        |        |         |
                                        |	 +---------+
                  +-----------------+   |p 8002  +---------+
            port80|    nginx  0     |---|--------| nginx 2 | b.com
INTERNET----------| (reverse proxy) |   |        +---------+
                  +-----------------+   |
                                        +--------+---------+
					port n	 | nginx n | n.com
						 +---------+
Cấu hình của mình như sau: - Ở reverse proxy, dùng chỉ thị proxy_pass trong nginx để chuyển hướng đối với từng server phía sau. Code:
server {
    listen       80;
    server_name  a.com;

    access_log  on;
    error_log on;
    # proxy to Apache 2 and mod_python
    location / {
        proxy_pass         http://10.0.0.1:8001;
        server_name_in_wwwect off;

        proxy_set_header   Host             $host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
        proxy_max_temp_file_size 0;
}
}
Cấu hình trên server a.com Code:
server {
        listen       8001;
        server_name  a.com;
        server_name_in_wwwect off;

        charset utf8;

        access_log  logs/host.access.log;

        location / {
            root   /www;
            index  index.html index.htm index.php;
        }
Sau đấy thì reverse proxy chuyển hướng chính xác tới từng web server phía sau nó, nhưng có vấn đề là nếu mở đường dẫn dạng http://a.com/folder/ thì bình thường còn nếu mở http://a.com/folder (không có dấu gạch ở cuối) thì sẽ bị báo lỗi không tìm thấy máy chủ vì browser được kết nối tới http://a.com:8001/folder Như vậy vấn đề có thể là ở con reverse proxy, nhưng mình không hiểu tại sao nếu không có dấu gạch ở cuối thì người dùng lại bị chuyển sang a.com:8001 ??? Vì nếu browser tìm tới a.com:8001 thì sẽ không đi qua con reverse và bị từ chối. Xin nhờ các bạn cho ý kiến để tìm lý do và khắc phục việc này. Xin cảm ơn]]> /hvaonline/posts/preList/40627/250163.html#250163 /hvaonline/posts/preList/40627/250163.html#250163 GMT Giải pháp hệ điều hành cho server ngân hàng /hvaonline/posts/preList/40510/249958.html#249958 /hvaonline/posts/preList/40510/249958.html#249958 GMT Giải pháp hệ điều hành cho server ngân hàng /hvaonline/posts/preList/40510/249900.html#249900 /hvaonline/posts/preList/40510/249900.html#249900 GMT