Архив метки: Crimea-Karro

Бункер-03-1, Privoxy на VDS / Ubuntu Server

Продолжение поста:

http://crimea-karro.blogspot.ru/2015/07/01-privoxy-vds-ubuntu-server.html
http://crimea-karro.blogspot.ru/2015/07/02-privoxy-vds-ubuntu-server.html
http://crimea-karro.blogspot.ru/2015/07/03-privoxy-vds-ubuntu-server.html

***

Varnish – это HTTP-ускоритель, очень полезный инструмент для ускорения работы сервера,
является бесплатным решением для кэширования как статического, так и динамического контента.

Работает он как фронт-энд к любому веб-серверу или серверу приложений и изначально ориентирован на высокую производительность, многопоточность и максимально эффективное использование возможностей ОС семейства Linux.

Детальная настройка не описывается автором.

https://www.varnish-cache.org/

The only supported architecture is amd64.

***

Общие заметки с Privoxy:

Обратите внимание на смену синтаксиса конфигурационных файлов, между версиями varnish.

   $ apt-get install apt-transport-https
   $ curl https://repo.varnish-cache.org/GPG-key.txt | apt-key add —
    $ echo «deb https://repo.varnish-cache.org/ubuntu/ precise varnish-4.0» >>       /etc/apt/sources.list.d/varnish-cache.list
    $ apt-get update

    $ apt-get install varnish

apt-get install varnish

nano /etc/default/varnish

DAEMON_OPTS=»-a :6081
             -T localhost:6082
             -f /etc/varnish/default.vcl
             -S /etc/varnish/secret
             -s malloc,128m» 

VARNISH_LISTEN_PORT=8118

nano /etc/varnish/default.vcl

backend default {
    .host = «127.0.0.1»;
    .port = «8118»;
    .first_byte_timeout = 300s;
}


sub vcl_recv {
  # Normalize Content-Encoding
  if (req.http.Accept-Encoding) {
    if (req.url ~ «.(jpg|png|gif|gz|tgz|bz2|lzma|tbz)(?.*|)$») {
      remove req.http.Accept-Encoding;
    } elsif (req.http.Accept-Encoding ~ «gzip») {
      set req.http.Accept-Encoding = «gzip»;
    } elsif (req.http.Accept-Encoding ~ «deflate») {
      set req.http.Accept-Encoding = «deflate»;
    } else {
      remove req.http.Accept-Encoding;
    }
  }
  
  # Remove cookies and query string for real static files
  if (req.url ~ «^/[^?]+.(jpeg|jpg|png|gif|ico|js|css|txt|gz|zip|lzma|bz2|tgz|tbz|html|htm)(?.*|)$») {
    unset req.http.cookie;
    set req.url = regsub(req.url, «?.*$», «»);
  }
}

Перезапуск:

service varnish restart

Статистика:

varnishstat

Автор: AugustuS Karro
Дата публикации: 2015-07-11T19:46:00.001+07:00

Бункер-03, Privoxy на VDS / Ubuntu Server

Продолжение поста:

http://crimea-karro.blogspot.ru/2015/07/01-privoxy-vds-ubuntu-server.html
http://crimea-karro.blogspot.ru/2015/07/02-privoxy-vds-ubuntu-server.html

***

Установка HAVP — HTTP Antivirus Proxy и ClamAV в связке с Privoxy:

Минимальное вступление, ClamAV много поливают грязью, заказанные статьи от ИТ специалистов о «белом» тестировании ClamAV, можно считать простым черным пиаром в виду конкуренции рынка, для Privoxy и прочих прокси серверов его хватает с «головой».

***

$ sudo apt-get install clamav

Настройки по усмотрению.

$ sudo apt-get install havp

HAVP по умолчанию настроен на работу с ClamAV и практически не требует настройки.
Ограничим только локальными соединениями, это необходимо для того, чтобы клиенты не могли подключаться напрямую к HAVP. Для этого в /etc/havp/havp.config найдите и раскомментируйте следующую опцию:

BIND_ADDRESS 127.0.0.1
PORT 5555

Также раскомментируйте и измените указанным образом опцию для русского языка страниц (измените страницы):

TEMPLATEPATH /etc/havp/templates/ru

$ /etc/init.d/havp restart

***

В privoxy устанавливаем перенаправление локально:

# HAVP
forward / 127.0.0.1:5555

***

Тестируем:

http://www.eicar.org/85-0-Download.html

Появится страница с предупреждением о вирусе.

Автор: AugustuS Karro
Дата публикации: 2015-07-10T03:32:00.000+07:00

Бункер-02, Privoxy на VDS / Ubuntu Server

Продолжение поста:

http://crimea-karro.blogspot.ru/2015/07/01-privoxy-vds-ubuntu-server.html

***

Кеширующий Web Proxy polipo…

$ nano /etc/polipo/config

### Basic configuration
### *******************

logSyslog = true
logFile = /var/log/polipo/polipo.log

# Uncomment one of these if you want to allow remote clients to
# connect:

#proxyAddress = «::99»        # both IPv4 and IPv6
# proxyAddress = «0.0.0.0»    # IPv4 only

proxyAddress = «127.0.0.1»
proxyPort = 8123

# If you do that, you'll want to restrict the set of hosts allowed to
# connect:

# allowedClients = «127.0.0.1, 134.157.168.57»
# allowedClients = «127.0.0.1, 134.157.168.0/24»

allowedClients = 127.0.0.1
allowedPorts = 1-65535

# Uncomment this if you want your Polipo to identify itself by
# something else than the host name:

proxyName = «localhost»

# Uncomment this if there's only one user using this instance of Polipo:

cacheIsShared = false

# Uncomment this if you want to use a parent proxy:

#parentProxy = «127.0.0.1:8118»

# Uncomment this if you want to use a parent SOCKS proxy:

#socksParentProxy = «localhost:9050»
#socksProxyType = socks5

### Memory
### ******

# Uncomment this if you want Polipo to use a ridiculously small amount
# of memory (a hundred C-64 worth or so):

# chunkHighMark = 819200
# objectHighMark = 128

# Uncomment this if you've got plenty of memory:

# chunkHighMark = 50331648
# objectHighMark = 16384

chunkHighMark = 67108864

### On-disk data
### ************

# Uncomment this if you want to disable the on-disk cache:

#diskCacheRoot = «/var/cache/polipo»
diskCacheRoot = «»

diskCacheTruncateTime = 7d
diskCacheUnlinkTime =15d
diskCacheTruncateSize = 128 MB

# Uncomment this if you want to put the on-disk cache in a
# non-standard location:

#diskCacheRoot = «»

# Uncomment this if you want to disable the local web server:

localDocumentRoot = «»

# Uncomment this if you want to enable the pages under /polipo/index?
# and /polipo/servers?.  This is a serious privacy leak if your proxy
# is shared.

# disableIndexing = false
# disableServersList = false

disableLocalInterface = true
disableConfiguration = true

### Domain Name System
### ******************

# Uncomment this if you want to contact IPv4 hosts only (and make DNS
# queries somewhat faster):
#
#dnsQueryIPv6 = no

# Uncomment this if you want Polipo to prefer IPv4 to IPv6 for
# double-stack hosts:
#
dnsQueryIPv6 = reluctantly

# Uncomment this to disable Polipo's DNS resolver and use the system's
# default resolver instead.  If you do that, Polipo will freeze during
# every DNS query:

dnsUseGethostbyname = yes

### HTTP
### ****

# Uncomment this if you want to enable detection of proxy loops.
# This will cause your hostname (or whatever you put into proxyName
# above) to be included in every request:

disableVia = true

# Uncomment this if you want to slightly reduce the amount of
# information that you leak about yourself:

# censoredHeaders = from, accept-language
# censorReferer = maybe

censoredHeaders = from,accept-language,x-pad,link
censorReferer = maybe

# Uncomment this if you're paranoid.  This will break a lot of sites,
# though:

# censoredHeaders = set-cookie, cookie, cookie2, from, accept-language
# censorReferer = true

# Uncomment this if you want to use Poor Man's Multiplexing; increase
# the sizes if you're on a fast line.  They should each amount to a few
# seconds' worth of transfer; if pmmSize is small, you'll want
# pmmFirstSize to be larger.

# Note that PMM is somewhat unreliable.

# pmmFirstSize = 16384
# pmmSize = 8192

# Uncomment this if your user-agent does something reasonable with
# Warning headers (most don't):

# relaxTransparency = maybe

# Uncomment this if you never want to revalidate instances for which
# data is available (this is not a good idea):

# relaxTransparency = yes

# Uncomment this if you have no network:

# proxyOffline = yes

# Uncomment this if you want to avoid revalidating instances with a
# Vary header (this is not a good idea):

# mindlesslyCacheVary = true

# Suggestions from Incognito configuration
maxConnectionAge = 3m
maxConnectionRequests = 100
serverMaxSlots = 16
serverSlots = 2
tunnelAllowedPorts = 1-65535
dnsMaxTimeout=30
dontCacheCookies = true

***

В privoxy устанавливаем перенаправление локально:

# Polipo
forward    /  127.0.0.1:8123

$ /usr/local/etc/rc.d/privoxy restart
$ /usr/local/etc/rc.d/polipo restart

Если используем socks:

$ sockstat -4 | grep polipo

Автор: AugustuS Karro
Дата публикации: 2015-07-09T16:27:00.001+07:00

NetAssist IPv6 Tunnel Broker / openSUSE 13.x GNU-Linux

Настройка IPv6 через NetAssist Tunnel Broker

***

Регистрация и получение данных не описывается.

***

Настройка туннеля:

$ modprobe ipv6
$ ip tunnel add netassist mode sit remote xx.xx.xx.xx local xx.xx.xx.xx ttl 200
$ ip link set netassist up
$ ip addr add 2a01:d1:ffff:3we6::2/64 dev netassist
$ ip route add ::/0 dev netassist
$ ip -f inet6 addr

Если ошибка...

ip addr add 2a01:d1:ffff:3we6::2/64 dev netassist
RTNETLINK answers: Permission denied

Проверить настройки IPv6 в системе, проверить...

$ cat /proc/sys/net/ipv6/conf/default/disable_ipv6
$ cat /proc/sys/net/ipv6/conf/all/disable_ipv6

Если равно 1, то делаем правку на 0...

$ echo 0 > /proc/sys/net/ipv6/conf/default/disable_ipv6
$ echo 0 > /proc/sys/net/ipv6/conf/all/disable_ipv6

Настройте роутер для туннеля (protocol 41), на личном примере NetGear N300...

Тип интернет-соединения > Туннель 6-4
Удаленный маршрутизатор пересылки 6-4 > Статический IP-адрес > xx.xx.xx.xx
Параметры локальной сети > Автоматическая настройка

$ ping6 ipv6.google.com


Если используем openVPN, добавим DNS google(a) ipv6...

$ nano /etc/resolv.conf

nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844

$ ping6 ipv6.google.com

64 bytes from la-in-x8b.1e100.net: icmp_seq=1 ttl=54 time=89.5 ms
64 bytes from la-in-x8b.1e100.net: icmp_seq=2 ttl=54 time=88.0 ms
64 bytes from la-in-x8b.1e100.net: icmp_seq=3 ttl=54 time=88.2 ms
64 bytes from la-in-x8b.1e100.net: icmp_seq=4 ttl=54 time=88.1 ms

Автор: AugustuS Karro
Дата публикации: 2015-07-07T14:56:00.000+07:00

openVPN / Set Firewall (ufw) / Ubuntu GNU-Linux

Настройка Firewall (ufw), при использовании openVPN…
Симптомы, медленное подключение, задержки при обращении к DNS серверам.

***

Для начала разрешим SSH:

$ ufw allow ssh

Разрешим UDP:

$ ufw allow 1194/udp

Правим правила перенаправления:

$ nano /etc/default/ufw

DEFAULT_FORWARD_POLICY=»ACCEPT»

Правим правила трансляции IP:

$ nano /etc/ufw/before.rules

# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0] 
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

Проверка статуса Firewall (ufw):

$ ufw status

Автор: AugustuS Karro
Дата публикации: 2015-07-06T09:34:00.000+07:00

Узнать внешний IP,HOST адрес из консоли / ip.crimea-karro.ru

Создан технический поддомен, цель, проверка IP адреса и имени хоста из консоли.

***

Вариант — 1: curl ip.crimea-karro.ru
Вариант — 2: curl -4 ip.crimea-karro.ru
Вариант — 3: wget -O — -q ip.crimea-karro.ru

Дополнительно, вывод функции dns_get_record.

Автор: AugustuS Karro
Дата публикации: 2015-06-28T03:44:00.000+07:00