hvostat: Jeeslaya (Default)
Задача:
Есть сеть за NAT 192.168.0.1/24.
Внешний IP у её роутера 1.1.1.1.
На роутере настроен DST NAT 1.1.1.1:80 => 192.168.0.2:80
"Cнаружи" все работает, но если пользователь захочет из самой сети зайти на 1.1.1.1:80, то получит экологически чистый кукиш с маслом вместо вебсайта.

Решение:
Воспользоваться технологией NAT loopback / hairpin NAT.

В Juniper SRX настраивается следующим образом:

set security nat source rule-set hairpin from zone default
set security nat source rule-set hairpin to zone default
set security nat source rule-set hairpin rule hairpin-source match source-address 192.168.0.1/24
set security nat source rule-set hairpin rule hairpin-source then source-nat interface

set security nat destination pool server address 192.168.0.2/32
set security nat destination rule-set hairpin from zone default
set security nat destination rule-set hairpin rule hairpin-destination match destination-address 1.1.1.1/32
set security nat destination rule-set hairpin rule hairpin-destination then destination-nat pool server

set security policies from-zone default to-zone default policy INTRA-default match source-address any
set security policies from-zone default to-zone default policy INTRA-default match destination-address any
set security policies from-zone default to-zone default policy INTRA-default match application any
set security policies from-zone default to-zone default policy INTRA-default then permit

__
hvostat: Jeeslaya (Default)
Хорошая статья про тот самый "великий китайский файрволл".
Очень хорошо показывает, к чему надо готовится в "великой и прекрасной":
http://blogerator.ru/page/dpi-anatomija-kitajskogo-interneta-cenzura-filtracija

О - Оптимизм.

_
hvostat: Jeeslaya (Default)
Если вам кажется, что ваш SRX шлёт пакеты куда-то не туда или зохавывает где-то внутри себя не шлёт вообще, можно воспользоваться следующими командами:

Показать сессию:
show security flow session source-prefix 192.168.1.1 destination-prefix 192.168.2.1 protocol tcp source-port 8080 destination-port 80 extensive

Показать полиси, под которые попадает связка "IP-адреса коммуникантов, зоны коммуникантов, протоколы и порты":
show security match-policies destination-ip 192.168.1.7 source-ip 192.168.2.1 to-zone Trust from-zone Untrust protocol tcp source-port 8080 destination-port 80 result-count 10

Показать, куда замаршрутизируется пакет с адресом 1.2.3.4:
show route forwarding–table destination 1.2.3.4
если же хочется более глубоких ощущений, то дописать после адреса "extensive"

_
hvostat: Jeeslaya (Default)
Если долго всматриваться в бездну пинговать, бездна ответит:



[livejournal.com profile] vovin прокомментировал:
Ответ 0.0.0.0 - эт нормально. ЗНАЧИТЕЛЬНО хуже, когда тебе отвечает 255.255.255.255

_
hvostat: Jeeslaya (Default)
Проблема: в дефолтной конфигурации SRX-100 очень долго (порядка минуты) выдает IP-адрес через DHCP.

Решение: отключить STP.

_
hvostat: Jeeslaya (Default)
Очень рекомендую ознакомиться:
http://heartbleed.com/

Уважаемые коллеги, кто что может сказать по этому поводу?
hvostat: Jeeslaya (Default)
Зашел я пару минут назад в консоль DHCP.
Посмотрел в adress leases.
И увидел НЕЧТО.
Нечто получило IP-адрес, но при этом в поле имени хоста было пусто.
Но самое интересное - это mac-adress. Он был таким:
0002 0003 0004 0005 0006 0007 0008 0009

На пинги оно не отвечало.
Через 5-7 минут ЭТО исчезло.

Господа, у меня вопрос.
ЧТО ЭТО БЫЛО БЛЯДЬ???77

UDP:
А вот и ответ:
client mac adress: 0013d3cfc8id
guid:0002-0003-0004-0005-0006-0007-0008-0009-dhcp
pxe mof exiting intel pxe rom
в адаптерах установлена загрузка по сети, а в биосе творится такое:
"also, of note, the "GUID" in the NVRAM of the adapter used for DHCP is 0002-0003-0004-0005-0006-0007-0008-0009"

За решение выражаю огромное спасибо господину [livejournal.com profile] zshell64!
hvostat: Jeeslaya (Default)
http://bradhedlund.com/2008/12/19/how-to-calculate-tcp-throughput-for-long-distance-links/

Экстракт:

So lets work through a simple example. I have a 1Gig Ethernet link from Chicago to New York with a round trip latency of 30 milliseconds. If I try to transfer a large file from a server in Chicago to a server in New York using FTP, what is the best throughput I can expect?


Ну и ответ с формулой:
First lets convert the TCP window size from bytes to bits. In this case we are using the standard 64KB TCP window size of a Windows machine.

64KB = 65536 Bytes. 65536 * 8 = 524288 bits

Next, lets take the TCP window in bits and divide it by the round trip latency of our link in seconds. So if our latency is 30 milliseconds we will use 0.030 in our calculation.

524288 bits / 0.030 seconds = 17476266 bits per second throughput = 17.4 Mbps maximum possible throughput
hvostat: Jeeslaya (Default)
"... поднимаем линк, организуем VPN, внутрь инкапсулируем ethernet и опять поднимаем VPN! Попытка злоумышленника проанализировать такой трафик вызовет у него жидкий стул!"©
hvostat: Jeeslaya (Default)
Приходит письмо от коллеги. Жалуется, что не открывается сайт.
Проверяю.
Действительно, не открывается.

Не вопрос, запускаю tracert.
Наблюдаю ПРЕКРАСНОЕ:

C:\Users\hvostatovich>tracert sitename.com

Трассировка маршрута к sitename.com [79.142.xx.xx]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 <1 мс <1 мс <1 мс servername.domainname.local [192.168.xxx.xxx]
3 2 ms 1 ms 1 ms 79.104.9.17
4 1 ms 1 ms 1 ms p6.Moscow.gldn.net [79.104.235.189]
5 1 ms 1 ms 1 ms p4.Moscow.gldn.net [79.104.231.73]
6 1 ms 1 ms 1 ms cat24.Moscow.gldn.net [79.104.225.22]
7 * 1 ms 1 ms p4.Moscow.gldn.net [79.104.225.21]
8 1 ms 1 ms 1 ms cat24.Moscow.gldn.net [79.104.225.22]
9 1 ms 1 ms 1 ms p4.Moscow.gldn.net [79.104.225.21]
10 2 ms 1 ms 1 ms cat24.Moscow.gldn.net [79.104.225.22]
11 3 ms 1 ms 1 ms p4.Moscow.gldn.net [79.104.225.21]
12 2 ms 1 ms 1 ms cat24.Moscow.gldn.net [79.104.225.22]
13 * 1 ms 2 ms p4.Moscow.gldn.net [79.104.225.21]
14 2 ms 19 ms 1 ms cat24.Moscow.gldn.net [79.104.225.22]
15 2 ms 2 ms 2 ms p4.Moscow.gldn.net [79.104.225.21]
16 18 ms 21 ms 1 ms cat24.Moscow.gldn.net [79.104.225.22]
17 2 ms 1 ms 1 ms p4.Moscow.gldn.net [79.104.225.21]
18 2 ms 1 ms 1 ms cat24.Moscow.gldn.net [79.104.225.22]
19 2 ms 1 ms 1 ms p4.Moscow.gldn.net [79.104.225.21]
20 21 ms 3 ms 4 ms cat24.Moscow.gldn.net [79.104.225.22]
21 2 ms 1 ms 2 ms p4.Moscow.gldn.net [79.104.225.21]
^C


Прыг-скок, прыг-скок,
я - веселый гонококк!

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 20 September 2017 02:13
Powered by Dreamwidth Studios