Парочка ссылок по настройке квагги в качестве роутера

muff.kiev.ua/content/bgp-nastraivaem-border-gateway-protocol-c-pomoshchyu-quagga

Автоматический генератор конфига для quagga

http://www.oriontechnologysolutions.com/networking/basic-bgp-config-generator/

Иногда нужно узнать какие из директорий самые «жирные»

для этого нам поможет следующая команда

du /var -sk | sort -nr | head 

Несколько консольных утилит, которые позволяют просматривать сетевую активность в режиме реального времени. 2 из них не требуют прав root’a. Обо всём по порядку:
 
1) nload
Это так сказать псевдографический вывод в риалтайм. Стрелочками вверх и вниз перемещаемся между ними. Прав суперпользователя не требует.
2) systat -if n
Объем трафика за n секунд на всех сетевых интерфейсах. Обычно ставят 1 секунду. К сожалению, есть одна неудобность: если много интерфейсов, то что поместится на экране – то выведется. А что нет – то нет.
Так же не треубет прав root’a.
3) iftop
Довольно удобная утилита в плане вывода top’a по сетевой нагрузке. Есть возможность добавлять фильтрацию по ip, port, protocol. Требует права root’a.
4) nettop
Показывает статистику по протоколам, довольно удобно иногда бывает. Есть возможность фильтрации. Правда у меня после пару секунд с фильтрами вываливалась в «корку». Может это у меня баг. Требует права root’a.
5) trafshow
Пожалуй одна из самых-самых. Есть много разных опций, фильтраций (синтаксис такой же, как и у tcpdump). Есть файл настроек, в котором задаются значение цветов. Кстати, очень удобно запускать с параметром «-a 32″, который собственно влияет на отображение хостов: 32 значит каждый хост отдельно должен отображаться. По дефолту программа стартует с маской 24.
6) tcpdump – это пожалуй дефакто. Утилита просто незаменима при выявлении неисправностей, просмотра сетевой статистики и много чего. Синтаксис на первый взгляд сложноват, но это на первый раз.
7) tcptruck – вывод в режиме реального времени статистики сетевых соединений. Иными словами вывод netstat -an но только в режиме реального времени. Ко всему прочему позволяет выполнять сортировку, накладывать фильтры (поскольку использует библиотеку libpcap) tcpdump. Требует права root’a
8) vnstat – по сути консольный подсчёт трафика. Если запустить с параметром -l (–live) то будет вывод в режиме реального времени.
9) slurm - Статистика по трафику в режиме реального времени. Требует права root’a

Иногда часто приходится выполнять рутинные операции по замену определённого текста в множестве файлов

для этого будем использовать утилиту sed

пример команды:

sed -i -e 's/TEXT1/TEXT2/g' /var/www/site.com/*.*

Выполним защиту на выполнение от некоторых php скриптов.
 
  — Setup every vhost with open_basedir to restrict file access beyong certain dirs.
  — disable some php function to avoid certain server side actions. (inside php.ini)

disable_functions = «phpinfo, show_source, proc_terminate, system, shell_exec, passthru, exec, popen, proc_open, proc_close, allow_url_fopen, escapeshellarg, escapeshellcmd, dl»

— install suhosin php extension for hardening.
 
 If you go with apache you need to somehow prevent some «vulnerabilities (like slowloris)» it has. You need to limit maxconnection per ip for port 80.
-A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j REJECT

Use suphp or even mpm-itk apache module for vhosts to have their own users and not the default www-data one.
 (in combination with the openbase_dir)
 
 For smtp server just be carefull not to make it an open relay and gets abused by spam bots.Always use public block lists inside your config
 
 I would strongly suggest to use fail2ban to block bruteforce attacks to ftp/pop3/imap/smtp/sals authentication
 
 Good perimission to home dirs and some etc configs is always a good protection layer. Especially configs with passwords insides (e.x: mysql pass authentication for postfix) 

Нас интересует только адресное пространство для нашей страны.
Cпециальные файлы статистики ripe в расширенном формате (включая занятые, и свободные адреса): albatross.ripe.net/delegated-extended/


Дальше из этих данных простым скриптом легко считается нужное:

wget http://albatross.ripe.net/delegated-extended/delegated-ripencc-extended-latest.bz2 -O - |bzip2 -dc >ripe.txt
b=0
for a in `grep avail ripe.txt |grep ipv4|cut -f 5 -d '|'`;
do 
b=$(($b+$a))
done
echo $b

(буду очень благодарен, если кто-нибудь подскажет, как wget и цикл по его output объединить в одну строчку через pipe).  

Осталось — 38520960 ipv4 не распределённых адресов

на 26.03.12