Вячеслав Гапон — персональный блог, руководства, статьи, заметки, разработка
Первым делом посмотрим текущие правила IPTables:
iptables -nvL
Чтобы nprobe мог принимать NetFlow данные, откроем ему порт:
sudo iptables -A INPUT -p udp --dport 2055 -j ACCEPT
Чтобы nprobe мог принимать NetFlow данные только от конкретной сети или IP:
sudo iptables -A INPUT -s 10.0.0.0/24 -p udp --dport 2055 -j ACCEPT
Смотри также мои статьи:
Настройка IPTables
Установка и настройка nprobe
Допустим мы установили ntopng как я описывал в этой статье — Установка и настройка ntopng
То есть выбрали необходимый пакет на http://packages.ntop.org/apt-stable/ и скачали его:
wget wget http://apt-stable.ntop.org/16.04/all/apt-ntop-stable.deb sudo dpkg -i apt-ntop-stable.deb
Установим nprobe если он не установлен:
sudo apt-get clean all sudo apt-get update sudo apt-get install nprobe
Чтобы принимать NetFlow данные и передавать их на ntopng создадим файл (в редакторе nano клавиши CTRL+X для выхода, y/x для сохранения или отмены изменений):
sudo nano /etc/nprobe/nprobe-anyname.conf
Добавим в него:
--zmq="tcp://*:5556" -3 2055 --flow-version 9 -n=none -i=none
2055 — это порт на который нужно принимать NetFlow данные, а порт 5556 используется для их передачи к ntopng.
Смотрите мои статьи о настройке NetFlow на коммутаторах:
Настройка NetFlow на Cisco
sFlow на D-Link коммутаторах
Traffic Flow в Mikrotik
Теперь осталось открыть конфигурацию ntopng в текстовом редакторе:
sudo nano /etc/ntopng/ntopng.conf
И добавить в конце строку (тем самым добавим интерфейс nprobe для сбора статистики):
--interface="tcp://127.0.0.1:5556"
Осталось перезапустить ntopng чтобы применить изменения:
sudo service ntopng restart
Проверим все ли работает:
sudo netstat -tulpen | grep 2055 sudo netstat -tulpen | grep 5556 sudo /etc/init.d/nprobe status
Заметил что nprobe не всегда завершает работу после команды:
sudo /etc/init.d/nprobe stop
Поэтому, при необходимости его можно остановить например так:
sudo killall nprobe sudo kill -9 PID
В бесплатной версии nprobe у меня отображалось сообщение:
NOTE: This is a DEMO version limited to 25000 flows export.
Полную версию можно приобрести на официальном сайте shop.ntop.org.
Смотрите также:
IPTables правила для nprobe
netwox — инструмент для поиска и решения проблем в сети.
Команда установки для Ubuntu/Debian:
sudo apt-get install netwox
Удалить netwox можно так:
sudo apt-get autoremove netwox
Смотрите также:
Использование netwox
Приведу примеры использования netwox и опишу их.
Установку netwox я описывал в этой статье — Установка netwox
Пример стандартного запуска:
sudo netwox
netwox имеет достаточно много функций, посмотреть их можно нажав после запуска цифру 3 и Enter.
Отображение конфигурации сети:
sudo netwox 1
Отображение отладочной информации:
sudo netwox 2
Отображение информации об IP-адресе или имени хоста:
sudo netwox 3 example.com
Отображение информации об MAC-адресе:
sudo netwox 4 -e 00:15:5D:38:01:08
Получение MAC-адресов из списка IP:
sudo netwox 5 -i 192.168.1.0/24
Отображение информации которая будет использована чтобы достичь указанного IP адреса:
sudo netwox 6 192.168.24.254
Сниффер, отображение передающихся пакетов на экране:
sudo netwox 7
Сниффер, отображение только списка открытых портов, которые использовались в захваченных пакетах:
sudo netwox 8
Сниффер, отображение MAC и IP адресов:
sudo netwox 9
Пример захвата пакетов и отображение краткой статистики (отображается количество пакетов (count), сумма размеров пакетов (size), процент количества пакетов (c%) процент из размера (s%)):
netwox 10 -d eth0
Преобразование цифры в шифрованную:
sudo netwox 21 -n number
Преобразование строки в шифрованную (sha256, md5 и т.д.):
sudo netwox 22 -d text
Показать таблицу ASCII:
sudo netwox 23
Проверить безопасность каталога:
sudo netwox 25 /tmp/
Пример выполнения ICMP PING:
sudo netwox 49 -i 192.168.24.253
Пример выполнения ARP PING:
sudo netwox 55 -i 192.168.24.253
Пример ICMP трассировки маршрута:
sudo netwox 57 -i examle.com
Пример TCP трассировки маршрута:
sudo netwox 59 -i examle.com
Пример UDP трассировки маршрута:
sudo netwox 61 -i examle.com
Пример сканирования портов:
sudo netwox 67 -i 192.168.24.254 -p 1-1000
ICMP сканирование на доступность:
sudo netwox 65 -i 192.168.1.0/24
TCP сканирование на доступность по порту:
sudo netwox 67 -i 192.168.1.0/24 -p 80
UDP сканирование на доступность по порту:
sudo netwox 69 -i 192.168.1.0/24 -p 80
ARP сканирование:
sudo netwox 71 -i 192.168.1.0/24
Флуд случайными фрагментами:
sudo netwox 74 -i 192.168.24.254
Заполнение таблицы MAC-адресов коммутатора отправкой флуда:
sudo netwox 75
Synflood:
sudo netwox 76 -i 192.168.24.254 -p 80
и т.д.
OpenFire — кроссплатформенный XMPP-сервер написанный на Java.
Для теста выполню установку OpenFire в Ubuntu Server 16.04 и опишу процесс.
Так как для OpenFire требуется Java, посмотрим установленную версию в системе:
java -version
При необходимости установим Java:
sudo apt-get install default-jre
Потом перейдем на страницу загрузки www.igniterealtime.org/downloads/, нажмем скачать и скопируем ссылку.
Скачаем, добавив в конце скопированную ссылку вместо LINK:
wget -O openfire.deb LINK
Например:
wget -O openfire.deb http://www.igniterealtime.org/downloadServlet?filename=openfire/openfire_4.2.1_all.deb
Установим:
sudo dpkg --install openfire.deb
Теперь осталось открыть в браузере http://YourServer:9090/ и следовать подсказкам.
После этого, установка OpenFire будет завершена.
При необходимости можно остановить, запустить или перезапустить OpenFire так:
/etc/init.d/openfire {start|stop|restart|force-reload}
SSMTP — альтернатива sendmail для отправки почты, позволяет настроить отправку через сторонние почтовые сервера.
Для установки в Ubuntu используется команда:
sudo apt-get install ssmtp mailutils
Далее необходимо открыть в любом текстовом редакторе файл /etc/ssmtp/ssmtp.conf (в nano клавиши Ctrl+X для выхода, y/n для сохранения или отмены изменений):
sudo nano /etc/ssmtp/ssmtp.conf
Закомментируем все и настроим как показано ниже на примере:
root=test@gmail.com mailhub=smtp.gmail.com:587 hostname=smtp.gmail.com:587 UseSTARTTLS=YES AuthUser=test@gmail.com AuthPass=password FromLineOverride=YES
Если использовать почту Google, то вероятно придется разрешить «Ненадежные приложения» в настройках https://myaccount.google.com/security.
Также откроем в текстовом редакторе файл /etc/ssmtp/revaliases:
sudo nano /etc/ssmtp/revaliases
И добавим:
root:test@gmail.com:smtp.gmail.com:587
Попробуем отправить письмо на указанный адрес (после команды наберем желаемый текст и поставим точку для завершения):
sendmail -v admin@example.com
Письма должны отправляться с адреса указанного в файле /etc/ssmtp/ssmtp.conf.
Просмотр всех сессий:
/opt/ISG/bin/ISG.pl /opt/ISG/bin/ISG.pl | less
Просмотр информации о конкретной сессии:
/opt/ISG/bin/ISG.pl | grep 192.168.4.168
Просмотр количества сессий:
/opt/ISG/bin/ISG.pl show_count
Удаление конкретной сессии:
/opt/ISG/bin/ISG.pl clear 192.168.4.168 /opt/ISG/bin/ISG.pl clear <IP-address | Virtual# | Session-ID>
Изменение скорости для конкретной сессии (входящая/исходящая, например 100 Мб/с):
/opt/ISG/bin/ISG.pl change_rate 192.168.4.168 102400 102400
Замечу то скорость указывается в килобайтах, а при просмотре в таблице сессий отображается в байтах.
Опишу возможные ключи к флагам:
A (Сессия одобрена)
X (Сессия не одобрена)
S (Это услуга (или подсеанс))
O (Административный статус службы включен)
U (Сервис онлайн (учетная запись RADIUS активна, поток трафика))
T (Тип сервиса — «tagger»)
Z (Отключен)
Чтобы посмотреть минимальную, текущую и максимальную частоту ядер процессора выполним команду:
Читать далее «Управление мощностью ядер процессора в Linux»Изменение txqueuelen позволяет установить длину очереди передачи данных для сетевых интерфейсов, когда очередь достигает указанного значения txqueuelen, тогда данные передаются, соответственно меньше трафик — меньше значение txqueuelen, большой трафик — txqueuelen можно увеличить.
Читать далее «Изменение txqueuelen в Linux»На тесте установлю MariaDB в Ubuntu 16.04.
В первую очередь посмотрим нужный репозиторий на https://downloads.mariadb.org/mariadb/repositories/
Там же есть и инструкция по их добавлению.