Sergey Lagovskiy

Mikrotik - Анализ трафика - NetFlow Analyzer

2010-02-26T13:32:00.004+06:00

Своим мини обзором хочу рассказать об одном программном продукте, который очень хорошо помогает при анализе трафика. Да, продукт коммерческий, но по моему он того стоит.

Имя ему ManageEngine NetFlow Analyzer.

Это web приложение, написанное на Java, в качестве http сервера выступает Apache, для хранения данных используется MySQL.

Используя NetFlow Analyzer возможно собственноручно конструировать функциональные «приборные панели», пригодные для мониторинга наиболее важных участков сетевой инфраструктуры. Каждая такая панель создается с учетом специфической роли отдельного администратора и может состоять из многочисленных элементов (виджетов), отвечающих за извлечение информации из различных источников.

Благодаря наглядности приборных панелей NetFlow Analyzer можно с первого взгляда оценить сложившуюся ситуацию, получить представление о текущей нагрузке на различные участки сети и изучить показатели производительности, не тратя времени на поиски и просмотр разрозненных отчетов. В комплект поставки NetFlow Analyzer включено более полусотни «виджетов».

Приблизительно так :)

Начнем с самого начала, т.е. установки и начальной настройки.

Установка NetFlow Analyzer.

Скачиваем под интересующую нас платформу (Windows, Linux), в нашем случае это Windows.

Запускаем.

Все компоненты ставятся в одну папку, по этому при желании можно выбрать любую.

Так же при установки запрашиваются порты, по которым будут работать сервисы. Порт web интерфейса и порт, на который будут приходить NetFlow пакеты.

Указываем, что бы запускалось как служба.

Указываем регистрационные данные

В общем все как всегда, "Далее", "Далее", "Согласен", "Опять Далее", "Финиш!".

По завершению установки запускается браузер, которые попадает на страницу авторизации, по умолчанию пользователь admin, пароль admin.

Настройка микротика.

Тут все готово, теперь идем в консоль управления микротиком и направляем поток с данными на наш сервер.

Ну или все тоже самое, только из консоли:

/ip traffic-flow set enabled=yes

/ip traffic-flow target add address=192.168.1.78:9996 version=9

Первой командой активируем сервис, второй указываем принимающую точку, порт и версию протокола.

Начальная настройка NetFlow Analyzer.

Теперь войдем в NetFlow Analyzer и посмотрим что же у нас получилось.

Первое, куда попадаем, это список интерфейсов, за которыми ведется наблюдение, в данном примере интерфейсы с именами IfIndex* это входящие соединения по vpn, интерфейсы comgate* и vcraft* это провайдеры, local это интерфейс локальной сети.

Если что то не получилось, то имеет смысл проверить соответствие портов, по которым анализатор слушает и порт, который указали в микротике.

Перейдем в раздел Admin Operations, Product Settings.

Server Settings - Настройки сервера.

NetFlow / sFlow Listener Port - порт, на который принимаются потоки с устройств.

WebServer Port - порт веб интерфейса.

Count Of Top Records to Store - максимальное количество строк, выводимое в таблицах с данными.

DNS Settings - Настройки определения dns имен.

Resolve only when "Resolve DNS" link is clicked - По умолчанию выбрано, Определять имена по клику на "Resolve DNS".

Resolve DNS names automatically by default- Определять имена автоматически (замедляется работа)

Resolved DNS count in cache - Размер DNS кэша.

User defined DNS names - Здаесь можно задать статические dns записи.

Наверное вторым местом, куда стоит заглянуть в настройках, это настройки для отправки почты.

Нажмем на Test Mail.

DashBoard.

Как говорилось в самом начале интересной фишкой является DashBoard, который существует в некотором начальном состоянии.

Но администратор может сделать панель с виджетами "под себя". На пример сделать что то вроде этого (не надо сильно вникать в смысл :-) я просто вытащил максимально возможные виджеты)

Туда - сюда или кто куда ходит и что качает.

Вернемся на вкладку интерфейсов и посмотрим статистику по одному конкретному.

Вкладка Application выводит информацию по типу трафика.

Клик по конкретной строчке и мы получаем детальную информацию. На пример информацию по http трафику.

Можно сократить результаты вывода до (на пример) 10 и сделать преобразование ip в имена (помогает очень не всегда).

Так же можно запросить детальный график каждого соединения.

Во вкладке Source получаем отчет по источникам трафика, и так же выбрав конкретный элемент получаем детализацию по нему.

Группы адресов.

Иногда интересно рассматривать трафик нескольких пользователей одновременно, на пример серверов, выполняющих одну и туже роль.

В разделе Admin Operations есть подраздел IP Grouups, где можно объединить несколько адресов в группу, создать группу из целых подсетей и т.д.

Дальше уже можно получать все те же самые отчеты, но в разрезе адресов, объединенных в эту группу.

Для ленивых - отчеты по почте.

Наверное самая приятная вещь, которая мне понравилась, это возможность формировать отчеты и получать из по почте, не надо было каждое утро лезть в этот интерфейс и заказывать их, они просто приходили с утренней почтой.

Заходим в раздел Admin Operations, в подраздел Schedule Reports.

В результате утром придет письмо, приблизительно такого содержания.

Где будет лежать по pdf-у на каждый интерфейс приблизительно такого содержания.

Заключение.

За сим буду прощаться, тот кто что то искал, тот, я думаю нашел, и если начнет копаться все глубже, то познает тайную магию Alert-ов, которые буду тебя извещать о проблемах в сети, а кому то пригодятся мелочи в раздели Billing.

Напоследок скажу, что на сайте производителя Вы найдете бесплатную версию этого продукта, бесплатность там странная, 30 дней работает без ограничений, потом работает только с двумя интерфейсами, для простых конфигураций, где один локальный, а другой провайдер этого решения должно хватить.

Happy birthday to me

2010-02-16T00:41:00.001+06:00

Что можно подарить папе - мужу на день рождения?

Вариантов много, но все же лучшим подарком будет радость любимой дочи и жены, а значит надо сделать так, что бы подарок достался всем!

Вот, что мы придумали :)

Морозы маленько спали, -20 это не -35, февральские ветра тоже не помеха, так что, взяв санки, мы отправились на "птичий" рынок.

Вот он, заснеженный, 70-и литровый :)

Сумка камней, сумка с искусственной травой, сумка с "электроникой".

Камни промыты, трубки уложены.

Постепенно, банка за банкой, вода из ванной перекочевывает в аквариум.

За всем следит бдительный прораб.

Работа завершена.

Полосы остались после каждой банки воды.

Комиссия принимает работу.

Вода в аквариуме почти готова, сутки над ней трудился фильтр, прогонявший через себя 4-е раза за час весь ее объем. А тем временем в соседней банке появилась живность.

Не буду хвастаться красивыми названиями, в первый раз брали рыбок по проще и в основном тех, на которых показала доча. Два больших улитки (в последствии оказалось, что они весь день спят, а ночью бродят), три улитки среднего размера (уж очень им понравилось качаться на растениях), парочка мелких улиток, четыре сомика (до высадки дожило 3-и), два желтых сомика, которые с присоской на рту (один тоже ночь не пережил, видать все же подмерзли, пока мы их привезли), 3-и петушка и 5-ть странных существ, которые очень смахивают не червяка. Высаживать сразу не стали, вода в аквариуме еще не была готова.

Высадка происходила быстро, время 6-50 утра, в результате трудной ночи к верху брюхом всплыли два сома, остальных было решено пересадить в основное жилище, которое уже в принципе было готово.

Одни сразу занялись альпинизмом.

Другие начали исследовать транспорт на случай побега.

Знакомство с соседями.

Задник пока не придумали.

Несколько роликов:

XAMPP + Python + Django

2010-01-14T17:54:00.007+06:00

Без сомнения в сети существует множество инструкций по тому как настроить Python для работы с web сервером Apache и как туда прикрутить Django, но я хочу рассказать о несколько ином варианте настройки.

Во первых результат будет так сказать portable, т.е. может работать с любой флэшки.

Во вторых сам Django будет располагаться в рабочей папке самого сайта, основная причина этого, это хостеры, у которых как всегда с установкой новой версии пуговато. А так ты можешь пользоваться теми модулями, которые сам выберешь.

Начнем, пожалуй.

Нам понадобиться сам XAMPP для Windows, новые версии это хорошо, но остановимся на 1.7.1. Конечно же Python, тут уже я буду делать свой выбор исходя из того, что предоставляет мне хостер, а это версия 2.5. Сложим 1 + 1, т.е. Apache, а в данном комплекте это версия 2.2, и Python 2.5 в результате получим, что нам нужен mod_python, который называется mod_python-3.3.1.win32-py2.5-Apache2.2. Ну и конечно же сам Django, на момент написания это была версия 1.1.1.

Постараемся собрать весь комплект устанавливая минимум приложений.

1. Распаковываем сам XAMPP, на пример сразу на флэшку или внешний диск. Результат выглядит так:

2. Распакуем Python не устанавливая его, для этого выполним такую команду:

msiexec /a m:\download\python-2.5.msi /qb TARGETDIR=m:\xampp\python

где m:\download\python-2.5.msi пусть с дистрибутивом, а m:\xampp\python место, куда распаковываем. Результат:

3. Теперь настало время mod_python, но учитывая, что сам питон мы не устанавливали, а просто распаковали, то и этот компонент надо будет ставить так же через распаковку, если закрыть глаза, что это исполняемый файл, то WinRAR его прекрасно открывает как архив.

Тут Нам интересны две вещи, во первых модуль для web сервера Apache, а во вторых модуль для Python.

Ставим модуль для Python. Распаковываем папку mod_python-3.3.1.win32-py2.5-Apache2.2.exe\PLATLIB\mod_python в m:\xampp\python\Lib\site-packages.

Теперь модуль для Apache. Файл mod_python-3.3.1.win32-py2.5-Apache2.2.exe\PLATLIB\mod_python_so.pyd распаковываем в m:\xampp\python и переименовываем его в mod_python.so.

4. Теперь подготовим папку для проекта. В m:\xampp\htdocs создадим django_project.

5. Установим сам Django. Распакуем архив и выполним команду:

m:\xampp\python\python.exe m:\Download\Django-1.1.1\setup.py build

где m:\Download\Django-1.1.1 путь, куда распаковали архив с Django.

По завершению работы скрипта копируем папку m:\Download\Django-1.1.1\build\lib\django в папку с будущим проектом m:\xampp\htdocs\django_project, здесь можно его обновлять, и какая бы версия не стояла у хостера, будем использовать только свою, за одно скопируем все это же в папку m:\xampp\python\Lib\site-packages\django, по идее оно там должно лежать изначально, но понадобиться оно только для всего лишь одной команды создания сайта "Hello world!" с помощью мастера. Скрипт m:\Download\Django-1.1.1\build\scripts-2.5\django-admin.py в папку m:\xampp\python\Scripts, если ее нет, то создайте ее, это и есть тот скрипт, который по быстрому создаст тестовый проект.

6. Настало время настроить web сервер. В файл конфигурации Apache (m:\xampp\apache\conf\httpd.conf) добавляем строчку:

LoadModule python_module "/xampp/python/mod_python.so".

Теперь создадим виртуальный хост для нашего проекта. Предупреждаю сразу, в данной статье не ставится целью рассказать как правильно и красиво надо оформлять виртуальный хост, по этому я просто копирую имеющийся в конфигурационном файле шаблон и слегка его подправляю. Открываем m:\xampp\apache\conf\extra\httpd-vhosts.conf и добавляем:


<virtualhost test.django.localhost:80>
ServerAdmin admin@localhost
DocumentRoot /xampp/htdocs/django_project
ServerName test.django.localhost
ErrorLog logs/test.django.localhost-error_log
CustomLog logs/test.django.localhost-access_log common
</virtualhost>

Теперь нужно убедить наш web браузер, что адрес http://test.django.localhost/ находится на локальной машине, выполняем команду:

notepad %windir%\system32\drivers\etc\hosts

и добавляем строчку:

127.0.0.1 test.django.localhost

7. Создадим тестовый проект на Django. Тут все просто, выполняем команду:

cd m:\xampp\htdocs\django_project\
m:\xampp\python\python.exe m:\xampp\python\Scripts\django-admin.py startproject hello

В папке m:\xampp\htdocs\django_project\ появится папка hello с тестовым проектом.

8. Т.к. большинство настроек в виртуальном хостинге делается с помощью файла .htaccess, все остальное мы в нем и пропишем.

SetHandler python-program
AddHandler mod_python .py
PythonPath "['/xampp/htdocs/django_project'] + sys.path"
PythonHandler django.core.handlers.modpython
SetEnv DJANGO_SETTINGS_MODULE hello.settings
PythonDebug On

где '/xampp/htdocs/django_project' путь к проекту, где лежит django + hello,

а в hello.settings, hello это имя сайта.

Сохраняем файл в папку m:\xampp\htdocs\django_project.

9. Что бы Apache знал о том, что где то лежит Python нужно задать переменную PYTHONHOME.

Для этого создадим командный файл xampp.bat с таким содержимым:

set PYTHONHOME=%CD%\python
xampp-control.exe

Переменная %CD% содержит путь рабочей директории, значит запускать этот файл надо из самой папки xampp, при этом запускается панель управления, где можно управлять компонентами XAMPP, но тут есть один не красивый момент, а именно то, что окошко консоли постоянно показывается. Сделаем ему небольшой тюнинг.

Качаем утилиту bat2exe, которая умеет делать исполняемые файлы из командных. Запускаем ее, указываем путь к командному файлу, выбираем пункт "Invisible application", "Current directory", в последней вкладке можно выбрать файл иконки, жмем Compile, получаем из файла xampp.bat файл xampp.exe, который выставляет нужную переменную окружения для питона и запускает панель управления, при этом самого приложения не видно, оно будет запущено до тех пор, пока запущен xampp-control.exe.

10. Запускаем Apache, запускаем браузер, переходим по адресу test.django.localhost, видим:

Данный метод запуска опробован на хостинге SpaceWeb.

Надеюсь это кому то помогло. Возможно "продолжение следует"...

Mikrotik - QoS / Bandwidth Control / Индивидуальные правила

2009-10-19T15:43:00.025+07:00

В предыдущей статье я рассказал как максимально быстро и просто организовать механизм ограничения по скорости, теперь я хочу рассказать, как построить цепочку из правил, что бы пользователь был не просто ограничен по скорости, а что бы различные ограничения действовали на различные сервисы, а так же, что бы ограничение было не таким жестким и при относительно свободном канале предоставлялась большая скорость.

Начнем как всегда - с обрисовки ситуации, которую необходимо решить.

Есть офис с доступом к сети Интернет через одного провайдера, этот провайдер предоставляет скорость равную 2Мб/с. В офисе есть два сервера, почтовый и web, которым необходимо обеспечить стабильный канал независимо как от рабочих станций, так и от самих себя. Так же в офисе есть несколько рабочих мест, которые имеют доступ к сервисам web и icq, так же есть машина системного администратора, которая имею доступ к сервисам без ограничений, но с внутренними правилами распределения трафика.

Чем сложнее задача, тем меньше шансов решить ее в одно-два действия.

Начнем с серверов, считаем, что им для нормальной работы требуется скорость в 512Кб/с, но если канал будет свободен, то пускай пользуются им во всю.

Первым шагом выделим все соединения, которые открывают сервера. Для этого маркируем все соединения, которые открывает web сервер маркером c-srv-web, а соединения, которые открывает почтовый сервер маркером c-srv-mail.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address="192.168.1.1"
action=mark-connection new-connection-mark="c-srv-web"

[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address="192.168.1.2"
action=mark-connection new-connection-mark="c-srv-mail"

Маркируем все пакеты от веб сервера маркером p-srv-web.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark="c-srv-web"
action=mark-packet new-packet-mark="p-srv-web"

Для работы же почтового сервера требуется большее количество портов (smtp, pop, imap...), может быть бывают ситуации, когда необходимо серверу закручивать гайки на столько, что бы ограничивать в скорости каждый сервис индивидуально, но у нас простой случай, по этому маркируем весь трафик почтового сервера маркером p-srv-mail.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark="c-srv-mail"
action=mark-packet new-packet-mark="p-srv-mail"

Теперь настало время создать правила для ограничения скорости. Первое условие - сервера гарантированно получают по 512кб/с, второе условие - не мешать друг другу (т.е. нельзя занимать весь канал, даже если он свободен), как следствие из второго максимальное ограничение это весь канал, минус гарантированная ширина для второго сервера, т.е. 1,5Мб/с.

[mkt@OFFICE] > queue tree add name="web server" parent=global-total
packet-mark=p-srv-web limit-at=512000 max-limit=1500000

[mkt@OFFICE] > queue tree add name="mail server" parent=global-total
packet-mark=p-srv-mail limit-at=512000 max-limit=1500000

Создадим правила для рядовых пользователей, считаем, что все они объединены общей группой client, лимит для них 64кб/с - гарантировано и 128кб/с - верхний предел на download и 32кб/с - гарантированно и 64кб/с - верхний предел на upload.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address-list=client
action=mark-connection new-connection-mark=c-client

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark=c-client
action=mark-packet new-packet-mark=p-client

[mkt@OFFICE] > queue tree add name="client download" parent=local
packet-mark=p-client limit-at=64000 max-limit=128000

[mkt@OFFICE] > queue tree add name="client upload" parent=isp
packet-mark=p-client limit-at=32000 max-limit=64000

local - это локальный интерфейс, а isp - это интерфейс, смотрящий в внешнюю сеть.

При таких лимитах у нас смогут спокойно работать до 16 клиентов не мешая друг другу и серверам, занимая при этом весь позволенный им канал (гарантированный), в реальности же придется давать кому то большую скорость, кому то меньшую.

Осталось настроить машину системного админисратора, которая не имеет ограничений по сервисам, но имеет общий лимит по скорости, а так же внутри этого лимита есть лимиты между сервисами. Допустим, что общий лимит это 256кб/с - гарантированно и 512кб/с - верхний предел. Для доступа к web лимит в 64кб/с - гарантировано и 256кб/с верхний предел, для доступа к p2p сетям 128 кб/с - гарантированно и 512кб/с - верхний предел, остальной трафик получает весь оставшийся канал, который остается исходя из общего лимита.

Маркируем соединения.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address="192.168.1.100"
action=mark-connection new-connection-mark=c-admin

Теперь маркируем все пакеты, пакеты с 80 порта, и пакеты с p2p сетей.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark=c-admin
action=mark-packet new-packet-mark=p-admin-total

[mkt@OFFICE] > ip firewall mangle add chain=prerouting protocol=tcp src-port=80
connection-mark=c-admin action=mark-packet new-packet-mark=p-admin-web

[mkt@OFFICE] > ip firewall mangle add chain=prerouting p2p=all-p2p
connection-mark=c-admin action=mark-packet new-packet-mark=p-admin-p2p

Создаем ограничения, первое это общее ограничение, потом два дочерних от него, для web и p2p.

[mkt@OFFICE] > queue tree add name="admin-total" parent=global-total
packet-mark=p-admin-total limit-at=256000 max-limit=512000

[mkt@OFFICE] > queue tree add name="admin-web" parent=admin-total
packet-mark=p-admin-web limit-at=64000 max-limit=256000

[mkt@OFFICE] > queue tree add name="admin-p2p" parent=admin-total
packet-mark=p-admin-p2p limit-at=128000 max-limit=512000

В результате получим такую "ступеньку".

На этом все.
Продолжение следует...

Mikrotik - QoS / Bandwidth Control / Простое ограничение

2009-10-03T20:52:00.010+07:00

Quality of Service (QoS) это комплекс мер по обеспечению качества обслуживания компьютерной сети, который можно характеризовать несколькими параметрами:
# Полоса пропускания (Bandwidth).
# Задержка при передаче пакета (Delay).
# Колебания (дрожание) задержки при передаче пакетов — джиттер (Jitter).
# Потеря пакетов (Packet loss).

В следующих примерах я продемонстрирую как организовать простой механизм ограничения скорости, используя MikroTik Router OS.
Придумаем виртуальную схему сети и создадим конфигурацию роутера для нее.

Итак, два филиала, в филиале А находится несколько рабочих мест, почтовый сервер и web сервер, роутер этого филиала подключен одновременно к двум провайдерам, провайдер ISP1 предоставляет 100Мб внутри своей сети, внутренний трафик не тарифицируется, второй провайдер ISP2 предоставляет безлимитный доступ к сети Internet. В филиале В находится терминальный сервер, этот филиал так же подключен к провайдеру ISP1.

Вся дальнейшая настройка будет делаться для роутера филиала А.
В этой статье дается описание настройки ограничения по скорости доступа все остальные настройки можно найти в предыдущих статьях.

Необходимо:

Работа по каналу провайдера ISP2
1. Ограничить скорость доступа офисным машинам к сети Internet:
2. Ограничить скорость доступа почтового сервера - Donwload = 1Mb/s, Upload = 1Mb/s
3. Ограничить скорость доступа web сервера - Download = 1Mb/s, Upload = 4Mb/s
Работа по каналу провайдера IPS1
1. Ограничить скорость доступа офисным машинам 192.168.1.10-192.168.1.15 до уровня, достаточного для работы с 1-2 одновременными терминальными сеансами (RDP) - 1Mb/s
2. Ограничить скорость доступа машины 192.168.1.20 до 10Mb/s
3. Ограничить скорость доступа серверов до 10Mb/s

Самым простым механизмом ограничения скорости доступа является /queue simple, ограничения задаются в виде правил, правила обрабатываются по порядку от меньшего номера к большему (сверху вниз).

Т.к. оговорено, что провайдер IPS1 предоставляет доступ ко внутренней сети, то известна подсеть, которую будут использовать филиалы для совместной работы.

Первым шагом создадим правила для серверов.

[mkt@MikroTik] > queue simple add name="mail to branch" target-addresses=192.168.1.2
dst-address=195.82.111.0/24 interface=ISP1 max-limit=10000000/10000000

target-addresses - адрес, который ограничиваем.
dst-address - назначение, в нашем случае это подсеть внутри провайдера.
interface - интрефес, через который буду проходить пакеты от target-addresses к dst-address.
max-limit - значение максимальной скорости (target upload/download)

Теперь тоже, но для веб сервера и 192.168.1.20.

[mkt@MikroTik] > queue simple add name="web to branch" target-addresses=192.168.1.3
dst-address=195.82.111.0/24 interface=ISP1 max-limit=10000000/10000000

[mkt@MikroTik] > queue simple add name="192.168.1.20 to branch"
target-addresses=192.168.1.20 dst-address=195.82.111.0/24 interface=ISP1
max-limit=10000000/10000000

Значение name должно быть уникальным!

Теперь правило для машин 192.168.1.10-192.168.1.15.

[mkt@MikroTik] > queue simple add name="192.168.1.10-15 to branch"
target-addresses=192.168.1.10,192.168.1.11,192.168.1.12,192.168.1.13,192.168.1.14,
192.168.1.15 dst-address=195.82.111.0/24 interface=ISP1 max-limit=1000000/1000000

В target-addresses можно указать перечисление адресов, на которые распространяется это правило.

Считаем, что с правилами маршрутизации проблем нет и то, что должно пойти по не тарифицируемому каналу, то по нему пойдет и не свернет случайно на второй интерфейс, который со стороны филиала А безлимитный, а вот со стороны филиала В находится уже другой провайдер, который выставит счет за такую ошибку. А вдруг что то не так? Или этими настройками занимается другой человек, лучше себя подстраховать!
Защитится от этого можно одним простым правилом, все, что не предназначено подсети, в которой находятся наши филиалы, должно быть ограничено до скорости в 10b/s.
Можно перефразировать задачу по другому, учитывая, что правилами, которые стоят выше, оговорены ограничения для доступа к филиалам через интерфейс ISP1, остальные соединения, проходящие через интерфейс ISP1 ограничить скоростью в 10b/s.

[mkt@MikroTik] > queue simple add name="not to branch" interface=ISP1
max-limit=10/10

Теперь настало время прописать ограничения для работы со вторым провайдером.

Начнем так же с серверов.

Почтовый серер - 1Mb/s, Upload = 1Mb/s

[mkt@MikroTik] > queue simple add name="mail to external"
target-addresses=192.168.1.2 interface=ISP2 max-limit=1000000/1000000

Веб сервер - Download = 1Mb/s, Upload = 4Mb/s.

[mkt@MikroTik] > queue simple add name="web to external"
target-addresses=192.168.1.3 interface=ISP2 max-limit=4000000/1000000

Теперь машина 192.168.1.20 - Download = 256kb/s, Upload = 128kb/s

[mkt@MikroTik] > queue simple add name="192.168.1.20 to external"
target-addresses=192.168.1.20 interface=ISP2 max-limit=128000/256000

В заключение одним правилом для машин 192.168.1.10-192.168.1.15 - Download = 64kb/s, Upload = 32kb/s

[mkt@MikroTik] > queue simple add name="192.168.1.10-15 to external"
target-addresses=192.168.1.10,192.168.1.11,192.168.1.12,192.168.1.13,192.168.1.14,
192.168.1.15 interface=ISP2 max-limit=32000/64000

Продублируем защиту для интрефейса ISP2, что бы все выходящее с него в подсеть филиалов ограничивалось скоростью в 10b/s.

[mkt@MikroTik] > queue simple add name="ISP2 to branch" dst-address=195.82.111.0/24
interface=ISP2 max-limit=10/10

Посмотрим, что у нас получилось.

[mkt@MikroTik] > queue simple print
Flags: X - disabled, I - invalid, D - dynamic
0    name="web to branch" target-addresses=192.168.1.3/32
dst-address=195.82.111.0/24 interface=ISP1 parent=none direction=both
priority=8 queue=default-small/default-small limit-at=0/0
max-limit=10000000/10000000 burst-limit=0/0 burst-threshold=0/0
burst-time=0s/0s total-queue=default-small

1    name="192.168.1.20 to branch" target-addresses=192.168.1.20/32
dst-address=195.82.111.0/24 interface=ISP1 parent=none direction=both
priority=8 queue=default-small/default-small limit-at=0/0
max-limit=10000000/10000000 burst-limit=0/0 burst-threshold=0/0
burst-time=0s/0s total-queue=default-small

2    name="192.168.1.10-15 to branch"
 target-addresses=192.168.1.10/32,192.168.1.11/32,192.168.1.12/32,
 192.168.1.13/32,192.168.1.14/32,192.168.1.15/32
 dst-address=195.82.111.0/24 interface=ISP1 parent=none direction=both
 priority=8 queue=default-small/default-small limit-at=0/0
 max-limit=1000000/1000000 burst-limit=0/0 burst-threshold=0/0
 burst-time=0s/0s total-queue=default-small

3    name="not to branch" dst-address=0.0.0.0/0 interface=ISP1 parent=none
 direction=both priority=8 queue=default-small/default-small
 limit-at=0/0 max-limit=10/10 burst-limit=0/0 burst-threshold=0/0
 burst-time=0s/0s total-queue=default-small

4    name="mail to external" target-addresses=192.168.1.2/32
 dst-address=0.0.0.0/0 interface=ISP2 parent=none direction=both
 priority=8 queue=default-small/default-small limit-at=0/0
 max-limit=1000000/1000000 burst-limit=0/0 burst-threshold=0/0
 burst-time=0s/0s total-queue=default-small

5    name="web to external" target-addresses=192.168.1.3/32
 dst-address=0.0.0.0/0 interface=ISP2 parent=none direction=both
 priority=8 queue=default-small/default-small limit-at=0/0
 max-limit=4000000/1000000 burst-limit=0/0 burst-threshold=0/0
 burst-time=0s/0s total-queue=default-small

6    name="192.168.1.20 to external" target-addresses=192.168.1.20/32
 dst-address=0.0.0.0/0 interface=ISP2 parent=none direction=both
 priority=8 queue=default-small/default-small limit-at=0/0
 max-limit=128000/256000 burst-limit=0/0 burst-threshold=0/0
 burst-time=0s/0s total-queue=default-small

7    name="192.168.1.10-15 to external"
 target-addresses=192.168.1.10/32,192.168.1.11/32,192.168.1.12/32,
 192.168.1.13/32,192.168.1.14/32,192.168.1.15/32
 dst-address=0.0.0.0/0 interface=ISP2 parent=none direction=both
 priority=8 queue=default-small/default-small limit-at=0/0
 max-limit=32000/64000 burst-limit=0/0 burst-threshold=0/0
 burst-time=0s/0s total-queue=default-small

8    name="ISP2 to branch" dst-address=195.82.111.0/24 interface=ISP2
 parent=none direction=both priority=8 queue=default-small/default-small
 limit-at=0/0 max-limit=10/10 burst-limit=0/0 burst-threshold=0/0
 burst-time=0s/0s total-queue=default-small

Это самый простой из механизмов ограничения скорости и обеспечения качества сервиса.

Продолжение следует...

Radeon 9200 - Разрешение экрана своими руками

2009-09-29T13:26:00.006+07:00

В продолжение поста о проблемах с дравером для ATI Radeon 9200 под Windows Seven хочу рассказать о решении проблемы с разрешением экрана, которое фактически не поддерживается этой видео картой.

Итак, у нас есть видео карта ATI Radeon 9200, широкоформатный монитор Acer AL1916W с диаганалью в 19 дюймов и родным разрешением в 1440*900 точек, спецификация к видео карте, в которой говориться, что это разрешение не поддерживается.

Путь первый, зайти в дополнительные настройки экрана и в настройках монитора убрать галочку "Скрыть режимы, которые монитор не может использовать", а потом уже выбрать нужный режим, но в моем случае этот вариант не сработал, хотя драйвер монитора стоял верный, пришлось воспользоваться вторым вариантом решения проблемы.

Путь второй, запускаем редактор реестра...

Переходим в ветку HKEY_CURRENT_CONFIG\System\CurrentControlSet\Contr ol\VIDEO\, здесь находится несколько разделов в виде шестнадцатеричных кодов видео карты, если в каждом из этих разделов просматривать подраздел 0000, то можно по параметру Device Description найти нужное нам устройство, исправляем значения ключей DefaultSettings.XResolution и DefaultSettings.YResolution на необходимые, где первый ключ это разрешение по оси X, а второй по Y, следовательно 1444 и 900, а в шестнадцатеричной системе это будет 5a0 и 384.

Перегружаемся.

Windows Seven + Radeon 9200

2009-09-29T12:41:00.006+07:00

Так получилось, что у моей рабочей машинки начал ум за разум заходить, после второго дня запуска с помощью матов решил я ее поменять, правда обмен получился шило на мыло, но это мелочи по сравнению с тремя приятными моментами.

Первый момент, действительно приятный, после смены железа (просто воткнул винт в другой системный блок) Windows Seven вполне успешно загрузилась, за Windows Vista не ручаюсь, но XP приветствовала бы такие перемены синим экраном. Была мать от Intel, а стала от Foxconn, хотя по характеристикам они очень похожи.

Второй момент это то, что встроенной видео карты там не было, а стаял старенький ATI Radeon 9200, который как оказалось не поддерживается ни Windows Vista ни Windows Seven.

Третий сюрприз заключался в том, что ATI Radeon 9200 не поддерживает разрешение в 1440*900 (Acer AL1916W), но это уже выяснилось в процессе поиска решения проблемы с драйверами.

Итак, Windows Seven + Radeon 9200 - установка драйвера:

Скачиваем последний доступный драйвер (он для Windows XP)
Запускаем установку, но она не дойдет до конца, вылетит ошибка о не совместимости с версией операционной системы.
Идем в папку c:\ATI\Support\6-11-pre-r300_xp-2k_dd_ccc_wdm_38185\Driver\, туда распаковался драйвер, запускаем Setup.exe в режиме совместимости в Windows XP, устанавливаем.
Не перегружаемся! Выполняем команду move %systemroot%\system32\ati2dvag.dll %temp%\ati2dvag.dll, т.е. перемещаем файл ati2dvag.dll во временную папку.
Завершаем сеанс пользователя и снова входим.
Возвращаем файл ati2dvag.dll на прежнее место коммандой move %temp%\ati2dvag.dll %systemroot%\system32\ati2dvag.dll.
Теперь можно попробовать перегрузиться.

Если на протяжении всех этих действий не вывалился синий экран, то значит все получилось.

Решение проблемы с разрешением экрана в следующем посте.

MikroTik - Winbox & Console

2009-09-02T16:10:00.048+07:00

часть 1 - MikroTik - Что это за зверь такой?
часть 2 - MikroTik - Установка
часть 3 - MikroTik - Начальная настройка
часть 4 - MikroTik - Списки и группы адресов
часть 5 - MiktoTik - Два провайдера - балансировка нагрузки
часть 6 - MiktoTik - Два провайдера - распределение по каналам

MikroTik Router OS предоставляет несколько инструментов для настройки и управления системой, пожалуй, основными являются консоль (telnet, ssh) и winbox.
В этой статье я попробую рассказать про плюсы и минусы обоих методов, а так же как читать консольные команды и представлять их в виде графического интерфейса winbox.

Winbox представляет из себя небольшую утилиту, размером в несколько десятков килобай. При запуске будет выдан запрос адреса устройства, к которому необходимо подключиться, а так же имя и пароль.

Старый интерфейс

Новый интерфейс со списком устройств

В новом интерфейсе есть возможность сохранить настройки к нескольким устройствам, а так же экспортировать их в отдельный файл, но будьте внимательны, пароли очень даже легко читаются в этом экспортном файле.

Следующим шагом winbox скачивает с роутера файлы интерфейса, причем от версии к версии эти файлы меняются, так что будьте готовы к тому, что до 20мб трафика на это уйдет.

Если все нормально, то попадаем в интерфейс winbox:

интерфес к версии 2.5

интерфес к версии 2.7

интерфес к версии 2.9

интерфес к версии 3,20

Как видно от версии к версии основное меню все так же остается на прежнем месте, вертикальный список с левой стороны, оно практически полностью повторяет основное меню консольного интерфейса:

[mkt@MikroTik] >
certificate -- Certificate management
driver -- Driver management
file -- Local router file storage.
import --
interface --
ip --
ipv6 --
isdn-channels -- ISDN channel status info
log -- System logs
password -- Change password
ping -- Send ICMP Echo packets
port -- Serial ports
ppp -- Point to Point Protocol
queue -- Bandwidth management
quit -- Quit console
radius -- Radius client settings
redo -- Redo previosly undone action
routing --
setup -- Do basic setup of system
snmp -- SNMP settings
special-login -- Special login users
store --
system --
tool --
undo -- Undo previous action
user --
xen --
export -- Print or save an export script that can
be used to restore configuration

Второй уровень меню точно так же похож на консольное, в этом пожалуй, первое преимущество графического интерфейса - удовольствие кликать по меню мышкой, а если серьезно, то когда только начинаешь знакомиться с системой, то лучше что бы все доступное было перед глазами и переход от одного раздела к другому занимал секунды, пускай по началу обилие всего будет пугать и глаза будут разбегаться, но потом все встанет на свои места. К тому же если на моменте установки ограничиться только теми пакетами, которые на самом деле нужны, то количество пунктов в меню заметно уменьшится.

Практически каждое окно настроек содержит одинаковый набор инструментов:

Добавить элемент, аналогично консольной команде add.
Удалить выбранный элемент, консольная команда remove.
Сделать выбранный элемент активным, в консоле это выглядит как enable.
Сделать выбранный элемент не активным, в консоле это выглядит как disable.
Добавить комментарий к выбранному элементу (работает не на всех элементах), то же в консоле comment="".
Открывает дополнительную панель фильтрации, в консоле для тех же функций используется команда find.
Сброс счетчика пакетов и трафика для выбранного элемента, или же reset-counters.
Сброс всех счетчиков, равносильно команде reset-counters-all.
В версии 3 появляется возможность быстрого поиска.
Быстрый фильтр по типам элементов.

Рассмотрим несколько примеров работы с интерфейсом.

Добавление адреса сетевому интерфейсу:

Вводим адрес в поле Address, через "/" указываем маску, поля Network и Broadcast будут автоматически рассчитаны.

В поле Interface выбираем интерфейс, которому назначается адрес.

По нажатию на кнопку Comment можно добавить комментарий.

Кнопками Enable/Disable активируется или выключается этот адрес.

Кнопкой Copy можно продублировать запись, кнопка Remove удаляет адрес.

Тоже самое можно записать в виде консольной команды:

[mkt@MikroTik] > ip address add address=192.168.0.1/24 interface=LOCAL
comment="Local network"

Попробую представить это все вместе и разделить действие на блоки, каждому блоку назначу определенный цвет.

Описание	Консоль
Добавить ip адрес 192.168.0.1 с маской 255.255.255.0 на сетевой интерфейс LOCAL и вставить комментарий "Local network"	ip address add address=192.168.0.1/24 interface=LOCAL comment="Local network"
Winbox

Добавление правила в Firewall rules:

Разрешить трафик с адреса 192.168.0.2 на любые адреса по 80 порту, плюс добавить комментарий к правилу. Набор кнопок тот же самый, только добавляется возможность сброса счетчиков.

Теперь тоже самое, но в консоле:

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2 protocol=tcp
dst-port=80 action=accept comment="Allow  http  for  server  (out)"

Можно сказать, что в консоле все гораздо красивее и понятнее, практически как звучит само описание правила, так она и записана.
Но! Теперь мы сталкиваемся с ситуацией, что после добавления наше правило попадает в конец списка, это вполне нормально, если настройка идет в первый раз, набор правил уже известен, только и набирай, а если в таблице уже существует под 50 строк правил и новое добавляется где-то в середину?
В консоле на набираем:

[mkt@MikroTik] > ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic
0   ;;; Drop invalid connection
chain=forward action=drop connection-state=invalid

1   ;;; Allow established connections
chain=forward action=accept connection-state=established

2   ;;; Allow related connections
chain=forward action=accept connection-state=related

3   ;;; Allow UDP
chain=forward action=accept protocol=udp

4   ;;; Allow ICM Ping
chain=forward action=accept protocol=icmp

5   ;;; Allow all for admin
chain=forward action=accept dst-address=192.168.0.10

6   ;;; Allow all for admin
chain=forward action=accept src-address=192.168.0.10

-- [Q quit|D dump|down]

И получаем список правил, который уместился в размер окна, клавишами вверх и вниз ищем нужное место, запоминаем порядковый номер правила, после которого соответствующими командами перемещаем новое правило туда. Прямо по хакерски!
А как же обстоит дело в графическом интерфейсе?

Все просто, находим нужное место и мышкой перетаскиваем туда правило, в колонке Bytes и Packets начинают увеличиваться счетчики, значит правило заработало, так что некоторое преимущество на лицо.

Вернемся опять к нашему правилу и допустим, что нам нужно, что бы оно работало не постоянно, а только в определенные часы, на пример с 9-00 до 17-00 в будние дни. В графическом интерфейсе все очень просто, переходим на вкладку Extra и в разделе Time выставляем параметры.

А что же в консоле?

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2 protocol=tcp
dst-port=80 action=accept comment="Allow  http  for  server  (out)"
time=9h-17h,mon,tue,wed,thu,fri

Вот так постепенно в принципе простая команда "обрастает" множеством параметров, а если добавим сюда еще парочку, как то ограничение на подключения, обработку не конкретного адреса, а группы адресов, и получим хорошую поэму в 5-7 строк!

Теперь тоже самое, все вместе и с выделением блоков.

Описание	Консоль
Добавить новое правило фильтрации в firewall. Разрешить исходящий трафик с адреса 192.168.0.2 любой по протоколу tcp, на 80 порт. Добавить комментарий "Allow http for server (out)". Правило должно действовать в будние дни с 9-00 до 17-00.	ip firewall filter add chain=forward src-address=192.168.0.2 protocol=tcp dst-port=80 action=accept сomment="Allow http for server (out)" time=9h-17h,mon,tue,wed,thu,fri
Winbox

Настройка DNS:

Прописать в настройках DNS в качестве первичного сервера 208.67.222.222, а в качестве резервного 208.67.220.220, а так же разрешить удаленные запросы.

Консольная команда будет выглядеть так:

[mkt@MikroTik] > ip dns set primary-dns=208.67.222.222 secondary-dns=208.67.220.220
allow-remote-requests=yes

Теперь добавим статическую DNS запись, что бы обращение к supersite.ru вели к локальному веб серверу по адресу 192.168.0.2, а так же укажем TTL для этой записи в 600сек.

Консоль:

[mkt@MikroTik] > ip dns static add name=supersite.ru address=192.168.0.2 ttl=00:
10:00

Все вместе с разделением на блоки:

Описание	Консоль
Прописать в настройках DNS в качестве первичного сервера 208.67.222.222, а в качестве резервного 208.67.220.220, разрешить удаленные запросы.	ip dns set primary-dns=208.67.222.222 secondary-dns=208.67.220.220 allow-remote-requests=yes
Winbox

Описание	Консоль
Добавить статическую DNS запись, что бы обращение к supersite.ru вели к адресу 192.168.0.2, TTL равно 600сек	ip dns static add name=supersite.ru address=192.168.0.2 ttl=00:10:00
Winbox

На этом, наверное, стоит остановиться, надеюсь из приведенных примеров Вам стало понятно, что разница между консолью и графическим интерфейсом не такая большая, главное четко формулировать, то, что нужно сделать.

Пожалуй стоит отметить большой набор утилит, которые включены в MikroTik router OS. Они доступны как с графического интерфейса, так и с консоли.

Но чего уж тут хитрить, в консоле с ними гораздо сложнее работать, чем графическом интерфейсе, разговор о них этой уже отдельная тема.

Но все же у winbox-а есть один недостаток, он очень любит хорошие и быстрые каналы. Отображать на экране несколько десятков правил и в реальном времени обновлять значения счетчиков, да еще на нескольких экранах сразу, а добавим сюда еще монитор соединений в реальном времени и получим, что надо иметь хотя бы 1-2мб/с для таких игр, хотя если сократить количество открытых одновременно окон до одного - двух, то можно ужиться и на gps соединении.

Winbox очень помогает в настройке, возможность видеть все и сразу сильно облегчает поиск проблем в сети, но знание консольных команд тоже дорогого стоит, особенно когда поймешь, что любая команда очень легко интерпретируется в графический интерфейс (по моему на примерах выше это хорошо видно).

П родолжение следует...

Фотоальбом 2009/08/29

2009-08-29T23:07:00.008+07:00

Эксперименты с HDR

Мир вокруг...

Осторожно! Злая собака... стесняется.

Доча прибежала с криками - "Я змею нашла!".

Семья!

Доча.

Жена.

C# - Захват содержимого экрана (.net 2.0)

2009-08-27T10:43:00.016+07:00

Бывает много ситуаций, когда необходимо сделать снимок экрана, на пример при поддержке установленного программного обеспечения снимок экрана может очень сильно помочь в описании проблемы.

В этой статье мы рассмотрим как сделать снимок экрана, отобразить его, а так же сохранить на диск.

В далекие времена .NET Framework 1.0, что бы сделать снимок экрана приходилось прибегать к вызову Windows API. В .NET Framework 2.0 в пространстве имен System.Drawing и System.Drawing.Imaging появляются новые классы, которые, благодаря GDI+, позволяют работать с графикой, используя только .NET.

Для демонстрации создадим простую Windows Forms программу, которая будет получать снимок экрана, отображать его на форме, а так же при необходимости сохранять его в виде графического файла.

Разместим на форме 4-е кнопки с именами btnCapture, btnSaveJpg, btnSavePng, btnClose, один PictureBox с именем img, а так же SaveFileDialog с именем dlg.

Перейдем к коду, нам потребуется подключить пространства имен System.Drawing и System.Drawing.Imaging.

using System.Drawing;
using System.Drawing.Imaging;

Теперь нам понадобится объект Bitmap (растровое изображение), который будет использоваться для хранения снимка экрана, но т.к. он будет нужен как при самом получении изображения, так и при сохранении изображения, то лучше его сделать частью класса frmMain.

public partial class frmMain : Form
{
    private Bitmap captured;

    public frmMain()
    {
        InitializeComponent();
    }
...

Далее создадим процедуру получения снимка экрана по нажатию на кнопку btnCapture. Во первых необходимо определить размер создаваемого изображения, а так же глубину цвета. Эти данные можно получить из свойств объекта Screen. В примере будет использоваться основной экран, что для варианта с одним монитором вполне годится, а в случае с несколькими мониторами необходимо использовать массив Screen.AllScreens[].

Размер изображения:

Rectangle bounds = Screen.PrimaryScreen.Bounds;

Глубина цвета - это количество бит, выделяемых на каждую точку на экране, что в свою очередь определяет количество цветов, которое может принимать эта точка. Для минимизировать использование памяти будем использовать полученное значение для создания растрового изображения:

int colourDepth = Screen.PrimaryScreen.BitsPerPixel;

Что бы использовать полученное значение глубины цвета, необходимо создать объект RixelFormat, который представляет из себя перечисление и присвоить ему соответствующее значение. Существует некоторое ограничение для значения в 8-мь бит, по этому для таких снимков экрана будет создаваться 16-и битное изображение.

PixelFormat format;
switch (colourDepth)
{
    case 8:
    case 16:
        format = PixelFormat.Format16bppRgb565;
        break;

    case 24:
        format = PixelFormat.Format24bppRgb;
        break;

    case 32:
        format = PixelFormat.Format32bppArgb;
        break;

    default:
        format = PixelFormat.Format32bppArgb;
        break;

}

Теперь, зная значение глубины цвета и размера изображения, можно инициализировать объект bitmap, которому ранее было присвоено имя captured:

captured = new Bitmap(bounds.Width, bounds.Height, format);

Переходим к использованию GDI+, создадим поверхность для рисования, которая будет связана с нашим растровым изображением.

Graphics gdi = Graphics.FromImage(captured);

Ну и наконец сделаем снимок экрана, в этом нам поможет метод CopyFromScreen, в него передаются 5-ть параметров, первые два это координаты левого верхнего пикселя копируемого изображения, следующие два это координаты места вставки изображения в "холст" GDI+, последний параметр это размер копируемой области.

gdi.CopyFromScreen(bounds.Left, bounds.Top, 0, 0, bounds.Size);

Ну а теперь можно вывести полученное изображение в PictureBox на нашей форме:

img.BackgroundImageLayout = ImageLayout.Zoom;
img.BackgroundImage = captured;

Вся процедура обработки нажатия на кнопку btnCapture:

private void btnCapture_Click(object sender, EventArgs e)
{
 Rectangle bounds = Screen.PrimaryScreen.Bounds;
 int colourDepth = Screen.PrimaryScreen.BitsPerPixel;
 PixelFormat format;
 switch (colourDepth)
 {
     case 8:
     case 16:
         format = PixelFormat.Format16bppRgb565;
         break;

     case 24:
         format = PixelFormat.Format24bppRgb;
         break;

     case 32:
         format = PixelFormat.Format32bppArgb;
         break;

     default:
         format = PixelFormat.Format32bppArgb;
         break;
 }
 captured = new Bitmap(bounds.Width, bounds.Height, format);
 Graphics gdi = Graphics.FromImage(captured);
 gdi.CopyFromScreen(bounds.Left, bounds.Top, 0, 0, bounds.Size);
 img.BackgroundImageLayout = ImageLayout.Zoom;
 img.BackgroundImage = captured;
}

Теперь создадим процедуры сохранения полученного изображения в файл.
Сохранение в формате jpeg при нажатии на кнопке btnSaveJpg.
Проверяем инициализирован ли объект bitmap, если да, то открываем диалоговое окно сохранения файла в котором настроен фильтр на отображение только изображений в формате jpeg, если файл выбран, то сохраняем, используя метод Save объекта Bitmap.

private void btnSaveJpg_Click(object sender, EventArgs e)
{
 if (captured != null)
 {
     dlg.Filter = "Jpeg image|*.jpg|All files|*.*";
     dlg.Title = "Save captured screen as jpeg";
     if (dlg.ShowDialog() == DialogResult.OK)
     {
          captured.Save(dlg.FileName, ImageFormat.Jpeg);
     }
 }
}

Сохранение в формате png при нажатии на кнопке btnSavePng.

private void btnSavePng_Click(object sender, EventArgs e)
{
 if (captured != null)
 {
     dlg.Filter = "PNG image|*.png|All files|*.*";
     dlg.Title = "Save captured screen as png";
     if (dlg.ShowDialog() == DialogResult.OK)
     {
         captured.Save(dlg.FileName, ImageFormat.Png);
     }
 }
}

Вот и все.

Скачать исходный код примера.

MiktoTik - Два провайдера - распределение по каналам

2009-08-17T21:15:00.019+07:00

После добавления в нашу тестовую конфигурацию второго провайдера появилась проблема ответа определенных сервисов по нужному каналу, если обращаться к ним из вне через NAT.

На пример веб сервер, выведенный через NAT на IP адрес первого провайдера получает запрос, а вот вероятность того, что ответ пойдет по нужному каналу уже не 100%. Какой же он после этого веб сервер?

Решить эту проблему нам поможет механизм маркировки пакетов.

Таблица MANGLE предназначена для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов. В частности нас интересует цепочка PREROUTING, которая позволяет маркировать пакет до маршрутизации.

Попробуем разобраться с веб сервером.

Допустим у нас настроен NAT 80 порта с внешнего IP 192.168.1.116 (ISP1, первый провайдер) на 80 порт веб сервера в локальной сети и необходимо гарантировать, что все ответы, которые буду идти от веб сервера попадали на шлюз первого провайдера.

Вот правило для таблицы NAT.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP1 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade out-interface=!LOCAL

1   ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

Первым шагом создадим правило в таблице MANGLE.

[mkt@MikroTik] > ip firewall mangle add chain=prerouting  src-address=192.168.0.2
protocol=tcp src-port=80 action=mark-routing new-routing-mark=to-isp1

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1   chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp1.

Вторым шагом добавим правило в таблицу маршрутизации.

[mkt@MikroTik] > ip route add gateway=192.168.1.249 routing-mark=to-isp1


[mkt@MikroTik] > ip route print      
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
1 A S  0.0.0.0/0                          192.168.1.249 r... 1
                                        192.168.1.249 r...
                                        192.168.222.1 r...
2 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
3 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
4 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Все что приходит с маркером to-isp1 отправляется на шлюз первого провайдера.

Теперь усложним ситуацию, допустим второй провайдер предоставят на выгодных условиях большую локальную сеть по всему городу и через эту сеть объединены все 10 филиалов вашей фирмы. Все филиалы и офис пользуются тем же сайтом, но какой смысл ходить на него через первого провайдера, когда можно настроить доступ к нему практически локально.

В первую очередь добавляем правило в таблицу NAT, по которому все запросы, пришедшие на внешний IP адрес, который предоставляет 2-ой провайдер, на 80 порт будут переадресовываться на 80 порт локального веб сервера.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.222.100
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP2 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade out-interface=!LOCAL

1   ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

2   ;;; NAT 80 port from ISP2 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.222.100 dst-port=80

Следующим шагом добавим в таблицу MANGLE еще одно правило:

[mkt@MikroTik] > ip firewall mangle add chain=prerouting src-address=192.168.0.2
protocol=tcp src-port=80 dst-address=192.168.222.0/24 action=mark-routing
new-routing-mark=to-isp2

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1   chain=prerouting action=mark-routing new-routing-mark=to-isp2
passthrough=yes protocol=tcp src-address=192.168.0.2
dst-address=192.168.222.0/24 src-port=80

2   chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp2 если они предназначены для подсети второго провайдера.

Ну и в заключении правило в таблице маршрутизации:


[mkt@MikroTik] > ip route add gateway=192.168.222.1 routing-mark=to-isp2
                                                              
[mkt@MikroTik] > ip route print      
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
1 A S  0.0.0.0/0                          192.168.222.1 r... 1
2 A S  0.0.0.0/0                          192.168.1.249 r... 1
                                        192.168.1.249 r...
                                        192.168.222.1 r...
3 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
4 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
5 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Теперь на запросы, пришедшие со стороны первого провайдера, ответ пойдет на шлюз первого провайдера, а на запросы со стороны второго провайдера и из подсети второго провайдера ответ пойдет на шлюз второго провайдера.

Продолжение следует.

MiktoTik - Два провайдера - балансировка нагрузки

2009-08-01T01:02:00.014+07:00

часть 1 - MikroTik - Что это за зверь такой?
часть 2 - MikroTik - Установка
часть 3 - MikroTik - Начальная настройка
часть 4 -MikroTik - Списки и группы адресов

В последнее время ситуация, когда доступны несколько провайдеров не нова, MikroTik Router OS позволяет настроить доступ сразу по нескольким сетевым интерфейсам, а так же настроить балансировку нагрузки в зависимости от ограничений, которые выставляет провайдер.

Первым шагом настроим дополнительный интерфейс.
Инициализируем сам интерфейс.

[mkt@MikroTik] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                      TYPE             MTU
0  R  ether1                    ether            1500
1  R  ether2                    ether            1500
2  X  ether3                    ether            1500

[mkt@MikroTik] /interface> enable 2

[mkt@MikroTik] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                      TYPE             MTU
0  R  ether1                    ether            1500
1  R  ether2                    ether            1500
2  R  ether3                    ether            1500

Для удобства все же пора дать более понятные имена интерфейсам.

[mkt@MikroTik] /interface> set ether1 name="ISP1"

[mkt@MikroTik] /interface> set ether2 name="LOCAL"

[mkt@MikroTik] /interface> set ether3 name="ISP2"

[mkt@MikroTik] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                       TYPE             MTU
0  R  ISP1                       ether            1500
1  R  LOCAL                      ether            1500
2  R  ISP2                       ether            1500

Теперь назначим IP адрес новому интерфейсу.

[mkt@MikroTik] > ip address add address=192.168.222.100/24 interface=ISP2

[mkt@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         BROADCAST       INTERFACE 
0   192.168.1.116/24   192.168.1.0     192.168.1.255   ISP1      
1   192.168.0.1/24     192.168.0.0     192.168.0.255   LOCAL     
2   192.168.222.100/24 192.168.222.0   192.168.222.255 ISP2

Настало время изменить маршрутизацию по умолчанию. Для начала допустим, что оба провайдера предоставляют одинаковую скорость доступа к сети Internet, значит настроим балансировку (это когда для исходящих соединений каналы чередуются), так что бы запросы распеределялись равномерно, т.е. 50/50. Прежде всего удалим старый шлюз по умолчанию.

[mkt@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
1 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
2 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
3 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

[mkt@MikroTik] > ip route remove 0

[mkt@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
1 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
2 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

И добавим новый, точнее новые.

[mkt@MikroTik] > ip route add dst-address=0.0.0.0/0
gateway=192.168.1.249,192.168.222.1

[mkt@MikroTik] > ip route print                                    
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
                                       192.168.222.1 r...
1 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
2 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
3 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Предположим, что у первого провайдера скорость доступа в два раза выше чем у второго, тогда 2/3 исходящих запросов надо направить на первого, а оставшиеся 1/3 на второго.

[mkt@MikroTik] > ip route add dst-address=0.0.0.0/0
gateway=192.168.1.249,192.168.1.249,192.168.222.1

[mkt@MikroTik] > ip route print                                    
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.222.1 r... 1
                                       192.168.1.249 r...
                                       192.168.1.249 r...
1 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
2 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
3 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Это простейший вариант настройки, при котором получаем выход в интернет с балансировкой нагрузки, но у такого подхода есть ряд недостатков, на пример не будет работать доступ через на NAT к локальному серверу (сервисы web, smtp, pop, которые были настроены ранее), но не такая большая проблема, но об этом в следующий раз.

Продолжение следует.

MikroTik - Списки и группы адресов

2009-07-15T11:00:00.018+07:00

часть 1 - MikroTik - Что это за зверь такой?
часть 2 - MikroTik - Установка
часть 3 - MikroTik - Начальная настройка

Когда настраивается маршрутизатор, который отвечает за доступ к сети для нескольких человек, то достаточно прописать правила для конкретных адресов в firewall filter rules и на этом успокоится, но когда ip, которым нужно прописать доступ, не один десяток?

Для решения проблемы управления большим количеством ip адресов в MiktoTik Router OS есть механизм сознания списков адресов и объединения их в группы. Дальше составления правил для firewall-а идет на основании этих групп. Адреса можно добавлять как в ручную, так и динамически с помощью правил.

Рассмотрим ручное добавление адресов:

Перейдем в раздел address-list.

/ip firewall address-list

Для дальнейших примеров будем использовать описанную ранее конфигурацию сети.

Mikrotik - 192.168.0.1

PC 5 - 192.168.0.2, web, ftp, mail сервер

PC 4 - 192.168.0.10, Администратор, полный доступ

PC 1 - 192.168.0.20, Простой доступ: http, https, icq, jabber, ftp

PC 2 - 192.168.0.21, Простой доступ: http, https, icq, jabber, ftp

PC 3 - 192.168.0.22, Простой доступ: http, https, icq, jabber, ftp

Сразу видно, что адреса можно разделить на три группы доступа:

SERVER (192.168.0.2)

FULL (192.168.0.10)

USER (192.168.0.20, 192.168.0.21, 192.168.0.22)

Группа создается простым упоминанием о ней. Добавим адрес 192.168.0.2 в группу SERVER:


[mkt@MikroTik] /ip firewall address-list> add address="192.168.0.2/32"
list="SERVER" comment="web, ftp, mail server"

Адрес 192.168.0.10 в группу FULL:

[mkt@MikroTik] /ip firewall address-list> add address="192.168.0.10/32"
list="FULL" comment="Administrator"

Адресa 192.168.0.20, 192.168.0.21, 192.168.0.22 в группу USER:

[mkt@MikroTik] /ip firewall address-list> add address="192.168.0.20/32"
list="USER" comment="User #1"
[mkt@MikroTik] /ip firewall address-list> add address="192.168.0.21/32"
list="USER" comment="User #2"
[mkt@MikroTik] /ip firewall address-list> add address="192.168.0.22/32"
list="USER" comment="User #3"

Посмотрим, что у нас получилось:

[mkt@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
#   LIST                                       ADDRESS              
0   ;;; web, ftp, mail server
SERVER                                     192.168.0.2          
1   ;;; Administrator
FULL                                       192.168.0.10         
2   ;;; User #1
USER                                       192.168.0.20         
3   ;;; User #2
USER                                       192.168.0.21         
4   ;;; User #3
USER                                       192.168.0.22

Теперь можно пересмотреть наши правила, созданные раннее.
Правила для администратора, написанные ранее:

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.10/32
action=accept comment="Allow all for admin"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.10/32
action=accept comment="Allow all for admin"

Можно переписать так:

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="FULL
action=accept comment="Allow all for group FULL"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="FULL
action=accept comment="Allow all for group FULL"

Изменим правила сервера, созданные ранне:

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=80 action=accept comment="Allow http for server (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32
protocol=tcp dst-port=80 action=accept comment="Allow http for server (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=25 action=accept comment="Allow smtp for server (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32
protocol=tcp dst-port=25 action=accept comment="Allow smtp for server (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=110 action=accept comment="Allow pop for server (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32
protocol=tcp dst-port=110 action=accept comment="Allow pop for server (out)"

На эти:

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="SERVER"
protocol=tcp src-port=80 action=accept comment="Allow http for group SERVER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="SERVER"
protocol=tcp dst-port=80 action=accept comment="Allow http for group SERVER (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="SERVER"
protocol=tcp src-port=25 action=accept comment="Allow smtp for group SERVER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="SERVER"
protocol=tcp dst-port=25 action=accept comment="Allow smtp for group SERVER (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="SERVER"
protocol=tcp src-port=110 action=accept comment="Allow pop for group SERVER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="SERVER"
protocol=tcp dst-port=110 action=accept comment="Allow pop for group SERVER (out)"

Пока что оптимизация не большая, но сейчас займемся правилами для доступа простых пользователей и вместо блока, повторяющегося 3-и раза для каждой машины:

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=80 action=accept comment="Allow http for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=80 action=accept comment="Allow http for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=443 action=accept comment="Allow https for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=443 action=accept comment="Allow https for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=21 action=accept comment="Allow ftp for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=21 action=accept comment="Allow ftp for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=5190 action=accept comment="Allow icq for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=5190 action=accept comment="Allow icq for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=5222 action=accept comment="Allow jabber for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=5222 action=accept comment="Allow jabber for pc1 (out)"

Создадим блок правил для группы USER:

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="USER"
protocol=tcp src-port=80 action=accept comment="Allow http for group USER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="USER"
protocol=tcp dst-port=80 action=accept comment="Allow http for group USER (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="USER"
protocol=tcp src-port=443 action=accept comment="Allow https for group USER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="USER"
protocol=tcp dst-port=443 action=accept comment="Allow https for group USER (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="USER"
protocol=tcp src-port=21 action=accept comment="Allow ftp for group USER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="USER"
protocol=tcp dst-port=21 action=accept comment="Allow ftp for group USER (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="USER"
protocol=tcp src-port=5190 action=accept comment="Allow icq for group USER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="USER"
protocol=tcp dst-port=5190 action=accept comment="Allow icq for group USER (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="USER"
protocol=tcp src-port=5222 action=accept comment="Allow jabber for group USER (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="USER"
protocol=tcp dst-port=5222 action=accept comment="Allow jabber for group USER (out)"

Теперь, когда в сети появляется новая машина, которой нужно дать права для доступ в сеть, то достаточно добавить ее в соответствующую группу адресов.
На пример у нас появляется новая машина с адресом 192.168.0.23, которой нужен доступ как и остальных пользователей группы USER, но за исключением доступа к ICQ и JABBER, ну уж очень болтливый пользователь :)
Добавим его в группу USER, а так же в новую группу BLOCK_IM

[mkt@MikroTik] > ip firewall address-list add address="192.168.0.23/32"
list="USER" comment="User #4"
[mkt@MikroTik] > ip firewall address-list add address="192.168.0.23/32"
list="BLOCK_IM" comment="User #4"

Получим:

[mkt@MikroTik] > ip firewall address-list print
Flags: X - disabled, D - dynamic
#   LIST                                       ADDRESS              
0   ;;; web, ftp, mail server
SERVER                                     192.168.0.2          
1   ;;; Administrator
FULL                                       192.168.0.10         
2   ;;; User #1
USER                                       192.168.0.20         
3   ;;; User #2
USER                                       192.168.0.21         
4   ;;; User #3
USER                                       192.168.0.22         
5   ;;; User #4
USER                                       192.168.0.23         
6   ;;; User #4
BLOCK_IM                                   192.168.0.23

Теперь машина с ip адресом 192.168.0.23 уже имеет доступ, оговоренный для группы USER, но не блокируется траффик ICQ и JABBER.
Создадим дополнительные правила для группы BLOCK_IM.

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="BLOCK_IM"
protocol=tcp dst-port=5190 action=drop comment="Drop icq for group BLOCK_IM (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="BLOCK_IM"
protocol=tcp src-port=5190 action=drop comment="Drop icq for group BLOCK_IM (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list="BLOCK_IM"
protocol=tcp dst-port=5222 action=drop comment="Drop jabber for group BLOCK_IM (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list="BLOCK_IM"
protocol=tcp src-port=5222 action=drop comment="Drop jabber for group BLOCK_IM (in)"

Посмотрим, что получилось:

[mkt@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; Drop invalid connection
chain=forward action=drop connection-state=invalid

1   ;;; Allow established connections
chain=forward action=accept connection-state=established

2   ;;; Allow related connections
chain=forward action=accept connection-state=related

3   ;;; Allow UDP
chain=forward action=accept protocol=udp

4   ;;; Allow ICM Ping
chain=forward action=accept protocol=icmp

5   ;;; Allow all for group FULL
chain=forward action=accept dst-address-list=FULL

6   ;;; Allow all for group FULL
chain=forward action=accept src-address-list=FULL

7   ;;; Allow http for group SERVER (in)
chain=forward action=accept protocol=tcp dst-address-list=SERVER src-port=80

8   ;;; Allow http for group SERVER (out)
chain=forward action=accept protocol=tcp src-address-list=SERVER dst-port=80

9   ;;; Allow smtp for group SERVER (in)
chain=forward action=accept protocol=tcp dst-address-list=SERVER src-port=25

10   ;;; Allow smtp for group SERVER (out)
chain=forward action=accept protocol=tcp src-address-list=SERVER dst-port=25

11   ;;; Allow pop for group SERVER (in)
chain=forward action=accept protocol=tcp dst-address-list=SERVER src-port=110

12   ;;; Allow pop for group SERVER (out)
chain=forward action=accept protocol=tcp src-address-list=SERVER dst-port=110

13   ;;; Allow http for group USER (in)
chain=forward action=accept protocol=tcp dst-address-list=USER src-port=80

14   ;;; Allow http for group USER (out)
chain=forward action=accept protocol=tcp src-address-list=USER dst-port=80

15   ;;; Allow https for group USER (in)
chain=forward action=accept protocol=tcp dst-address-list=USER src-port=443

16   ;;; Allow https for group USER (out)
chain=forward action=accept protocol=tcp src-address-list=USER dst-port=443

17   ;;; Allow ftp for group USER (in)
chain=forward action=accept protocol=tcp dst-address-list=USER src-port=21

18   ;;; Allow ftp for group USER (out)
chain=forward action=accept protocol=tcp src-address-list=USER dst-port=21

19   ;;; Allow icq for group USER (in)
chain=forward action=accept protocol=tcp dst-address-list=USER src-port=5190

20   ;;; Allow icq for group USER (out)
chain=forward action=accept protocol=tcp src-address-list=USER dst-port=5190

21   ;;; Allow jabber for group USER (in)
chain=forward action=accept protocol=tcp dst-address-list=USER src-port=5222

22   ;;; Allow jabber for group USER (out)
chain=forward action=accept protocol=tcp src-address-list=USER dst-port=5222

23   ;;; Drop all
chain=forward action=drop

24   ;;; Drop icq for group BLOCK_IM (out)
chain=forward action=drop protocol=tcp src-address-list=BLOCK_IM dst-port=5190

25   ;;; Drop icq for group BLOCK_IM (in)
chain=forward action=drop protocol=tcp dst-address-list=BLOCK_IM src-port=5190

26   ;;; Drop jabber for group BLOCK_IM (out)
chain=forward action=drop protocol=tcp src-address-list=BLOCK_IM dst-port=5222

27   ;;; Drop jabber for group BLOCK_IM (in)
chain=forward action=drop protocol=tcp dst-address-list=BLOCK_IM src-port=5222

В таком варианте блокирование траффика IM не будет т.к. правила разрешающие его 19, 20, 21, 22 стоят выше, чем блокирующие 24, 25, 26, 27. Поднимем их повыше.

[mkt@MikroTik] > ip firewall filter move 24 5
[mkt@MikroTik] > ip firewall filter move 25 5
[mkt@MikroTik] > ip firewall filter move 26 5
[mkt@MikroTik] > ip firewall filter move 27 5

Теперь все работает, что надо пропустить - пропускается, что надо заблокирова - блокируется.

Но адреса можно добавлять не только в ручную, но и динамически, для этого используется таблица Mengle.

Рассмотрим динамическое добавление адресов.

К примеру, нам необходимо заблокировать пользователей, подключающихся из вне к маршрутизатору по протоколу Telnet.
Создаем правило в таблице Mangle, которое добавляет ip адрес источника при попытке подключиться по протоколу tcp на 23 порт через интерфейс ether1, который подключен к провайдеру в группу BLOCK.

[mkt@MikroTik] > ip firewall mangle add chain=prerouting protocol=tcp dst-port=23
in-interface=ether1 action=add-src-to-address-list address-list="BLOCK"

Теперь создадим правило, которое будет блокировать ip адреса, внесенные в группу BLOCK, а заодно поднимем правило на самый верх таблицы.

[mkt@MikroTik] > ip firewall filter add chain=forward src-address-list=BLOCK
action=drop comment="Block incomming from group BLOCK"

[mkt@MikroTik] > ip firewall filter move 28 0

После того, как кто то попробует подключиться к маршрутизатору из вне, то, он автоматически будет включен в группу BLOCK, как это получилось с адресом 192.168.1.217.

[mkt@MikroTik] > ip firewall address-list print
Flags: X - disabled, D - dynamic
#   LIST               ADDRESS              
0   ;;; web, ftp, mail server
SERVER             192.168.0.2          
1   ;;; Administrator
FULL               192.168.0.10         
2   ;;; User #1
USER               192.168.0.20         
3   ;;; User #2
USER               192.168.0.21         
4   ;;; User #3
USER               192.168.0.22         
5   ;;; User #4
USER               192.168.0.23         
6   ;;; User #4
BLOCK_IM           192.168.0.23         
7 D BLOCK              192.168.1.217

Это ни в коем случае не "рабочее" решение по защите маршрутизатора, а просто демонстрация работы таблицы Mangle и автоматического добавления адресов в группу.

Продолжение следует.

MS SQL Function Split

2009-07-03T10:40:00.028+07:00

Вариант реализации функции Split, которая разрезает строку на мини-таблицу, по умолчанию в качестве разделителя используется пробел.

CREATE FUNCTION [dbo].[fn_Split](
@text nvarchar(max),
@delimiter char(1) = ' '
)
RETURNS @Strings TABLE
(
position int IDENTITY PRIMARY KEY,
value nvarchar(max)
)
AS
BEGIN
DECLARE @INDEX int
    SET @INDEX = -1
WHILE (LEN(@text) > 0)
BEGIN
        SET @INDEX = CHARINDEX(@delimiter , @text)
        IF (@INDEX = 0) AND (LEN(@text) > 0)
BEGIN
   INSERT INTO @Strings VALUES (@text)
   BREAK
END
        IF (@INDEX > 1)
BEGIN
   INSERT INTO @Strings VALUES (LEFT(@text, @INDEX - 1))
   SET @text = RIGHT(@text, (LEN(@text) - @INDEX))
END
ELSE
   SET @text = RIGHT(@text, (LEN(@text) - @INDEX))
END
    RETURN
END

Пример:

SELECT * FROM [dbo].[fn_Split] (
    'hello;world;split'
    ,';'
)

Результат:

	position	VALUE
1	1	hello
2	2	world
3	3	split

MikroTik - Начальная настройка

2009-06-24T19:00:00.009+07:00

часть 1 - MikroTik - Что это за зверь такой?
часть 2 - MikroTik - Установка

В этой статье я расскажу как быстро настроить RouterOS MikroTik для работы в "простом" варианте, который подойдет многим не большим офисам, домашней сети и т.д...
Итак, допустим имеем канал доступа к сети Internet, локальную сеть на 5-ть компьютеров, 1 из которых сервер, необходимо разрешить работу рядовым пользователям по стандартным протоколам (http, https, icq, jabber, ftp), для рабочего места системного администратора сделать полный доступ к сети, разрешить работу почтового, фтп и web сервера.

IP адреса локальной сети:

Mikrotik - 192.168.0.1
PC 5 - 192.168.0.2
PC 4 - 192.168.0.10
PC 1 - 192.168.0.20
PC 2 - 192.168.0.21
PC 3 - 192.168.0.22

Провайдер может предоставлять Вам как белый так и серый ip адрес, допустим, что в нашем конкретном случае это серый адрес, где то в локальной сети провайдера.

Шаг 1. Подключимся к маршрутизатору локально на консоль, и что бы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.

[admin@MikroTik] > use add name=mkt password=P@S#w0Rd group=full
[admin@MikroTik] > quit

заходим под новым пользователем и отключаем admin-а

[mkt@MikroTik] > user disable admin
[mkt@MikroTik] > user print
Flags: X - disabled 
#    NAME       GROUP         ADDRESS           
0 X;;; system default user
     admin      full          0.0.0.0/0         
1    mkt        full          0.0.0.0/0

Шаг 2. Настройка интерфейсов.
Тут есть несколько способов, первый воспользоваться мастером, второй задать вручную.
Сперва попробуем настроить интерфейсы при помощи мастера. Набираем команду setup.

[mkt@MikroTik] > setup
  Setup uses Safe Mode. It means that all changes that are made during setup are
reverted in case of error, or if 
Ctrl-C is used to abort setup. To keep changes exit setup using the 'x' key.

[Safe Mode taken]
  Choose options by pressing one of the letters in the left column, before dash.
Pressing 'x' will exit current 
menu, pressing Enter key will select the entry that is marked by an '*'. You can
abort setup at any time by 
pressing Ctrl-C.
Entries marked by '+' are already configured.
Entries marked by '-' cannot be used yet.
Entries marked by 'X' cannot be used without installing additional packages.
   r - reset all router configuration
 + l - load interface driver
 + a - configure ip address and gateway
   d - setup dhcp client
 * s - setup dhcp server
   p - setup pppoe client
   t - setup pptp client
   x - exit menu
your choice [press Enter to setup dhcp server]:

Нажимаем "a", в появившемся меню нажимаем "a", набираем имя первого интерфейса, указываем IP адрес.

 + a - add ip address
 + g - setup default gateway
 * x - exit menu
your choice: a
enable interface: ether1
ip address/netmask: 192.168.1.116/24
#Enabling interface
/interface enable ether1
#Adding IP address
/ip address add address=192.168.1.116/24 interface=ether1 comment="added by setup"

Это будет интерфейс провайдера. Так же указываем второй интерфейс для локальной сети и адрес для него.

 + a - add ip address
 + g - setup default gateway
 * x - exit menu
your choice: a
enable interface: ether2
ip address/netmask: 192.168.0.1/24  
#Enabling interface
/interface enable ether2
#Adding IP address
/ip address add address=192.168.0.1/24 interface=ether2 comment="added by setup"

Теперь указываем шлюз по умолчанию, выбираем клавишей "g" и вводим адрес.

your choice: g
gateway: 192.168.1.249
#Adding default route
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.249 comment="added by setup"

Выходим из второго уровня меню (клавиша "x"), и из первого (клавиша "x"), настройки ip адресов сохранены, шлюз по умолчанию прописан.

Испробуем второй вариант настройки - ручной.

Смотрим список доступных интерфесов.

[mkt@MikroTik] > interface print 
Flags: D - dynamic, X - disabled, R - running, S - slave  
#        NAME           TYPE         MTU   
0  R     ether1         ether        1500  
1  R     ether2         ether        1500

Активируем интерфейс 0, который будет подключен к провайдеру и зададим ему ip адрес.

[mkt@MikroTik] > interface enable 0 
[mkt@MikroTik] > ip address add address=192.168.1.116/24 interface=ether1  
[mkt@MikroTik] > ip address print 
Flags: X - disabled, I - invalid, D - dynamic  
#       ADDRESS                NETWORK             BROADCAST           INTERFACE
0       192.168.1.116/24       192.168.1.0         192.168.1.255       ether1

Проделаем туже про процедуру с локальным интерфейсом.

[mkt@MikroTik] > interface enable 1 
[mkt@MikroTik] > ip address add address=192.168.0.1/24 interface=ether2 
[mkt@MikroTik] > ip address print 
Flags: X - disabled, I - invalid, D - dynamic  
#   ADDRESS               NETWORK        BROADCAST        INTERFACE
0   192.168.1.116/24      192.168.1.0    192.168.1.255    ether1
1   192.168.0.1/24        192.168.0.0    192.168.0.255    ether2

Ну и наконец добавим шлюз по умолчанию.

[mkt@MikroTik] > ip route add gateway=192.168.1.249 
[mkt@MikroTik] > ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip,
b - bgp, o - ospf, m - mme,  B - blackhole, U - unreachable, P - prohibit
#         DST-ADDRESS          PREF-SRC         GATEWAY            DISTANCE 
0 A S     0.0.0.0/0                             192.168.1.249 r... 1
1 ADC     192.168.0.0/24       192.168.0.1      ether2             0
2 ADC     192.168.1.0/24       192.168.1.116    ether1             0

Теперь дальнейшую настройку можно продолжить с помощью графической оболочки winbox, но коль мы начали с консоли, то пройдем весь путь до конца в консоле, а потом повторим сделанное, начиная с шага 3 в графическом интерфейсе.

Шаг 3. Настройка DNS.

[mkt@MikroTik] > ip dns set primary-dns=208.67.222.222 secondary-dns=208.67.220.220
allow-remote-requests=yes 

[mkt@MikroTik] > ip dns print 
      primary-dns: 208.67.222.222 
    secondary-dns: 208.67.220.220 
allow-remote-requests: yes 
max-udp-packet-size: 512 
       cache-size: 2048KiB 
    cache-max-ttl: 1w 
       cache-used: 5KiB

Шаг 4. Настройка доступа к сети интернет.

Сперва включаем маскардинг.

[mkt@MikroTik] > ip firewall nat add chain=srcnat action=masquerade
out-interface=!ether2

Добавляем правила для служебных пакетов.

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=invalid
action=drop comment="Drop invalid connection packets" 

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=established
action=accept comment="Allow established connections" 

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=related
action=accept comment="Allow related connections" 

[mkt@MikroTik] > ip firewall filter add chain=forward protocol=udp
action=accept comment="Allow UDP" 

[mkt@MikroTik] > ip firewall filter add chain forward protocol=icmp

action=accept comment="Allow ICMP Ping"

Дальше добавляем правила для машины PC4.

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.10/32
action=accept comment="Allow all for admin" 

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.10/32
action=accept comment="Allow all for admin"

Разрешаем работу сервера до протоколу http, smtp, pop.

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=80 action=accept comment="Allow http for server (in)" 

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32
protocol=tcp dst-port=80 action=accept comment="Allow http for server (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=25 action=accept comment="Allow smtp for server (in)"  

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32
protocol=tcp dst-port=25 action=accept comment="Allow smtp for server (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=110 action=accept comment="Allow pop for server (in)"  

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32
protocol=tcp dst-port=110 action=accept comment="Allow pop for server (out)"

Таким же образом задаем правила для остальных машин, разрешая им http, https, ftp, icq, jabber.

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=80 action=accept comment="Allow http for pc1 (in)"    

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=80 action=accept comment="Allow http for pc1 (out)" 

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=443 action=accept comment="Allow https for pc1 (in)"    

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=443 action=accept comment="Allow https for pc1 (out)" 

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=21 action=accept comment="Allow ftp for pc1 (in)"   

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=21 action=accept comment="Allow ftp for pc1 (out)" 

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=5190 action=accept comment="Allow icq for pc1 (in)"   

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=5190 action=accept comment="Allow icq for pc1 (out)" 

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=5222 action=accept comment="Allow jabber for pc1 (in)"   

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32
protocol=tcp dst-port=5222 action=accept comment="Allow jabber for pc1 (out)"

Повторяем эти правила для каждой машины, если необходимо разрешить дополнительные порты, то шаблон написания, я думаю, понятен.

Ну и под конец запрещаем все остальное, что не разрешили выше.

[mkt@MikroTik] > ip firewall filter add chain=forward action=drop comment="Drop all"

Шаг 5. Входящие.

Теперь надо разрешить что бы входящие соединения по http, smtp и pop автоматически попадали бы на сервер.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116/32
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT for http"  

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116/32
protocol=tcp dst-port=25 action=dst-nat to-addresses=192.168.0.2 to-ports=25
comment="NAT for smtp"  

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116/32
protocol=tcp dst-port=110 action=dst-nat to-addresses=192.168.0.2 to-ports=110
comment="NAT for pop"

Если мы говорим про абсолютный минимум и простоту, это на этом все. Какие действия были сделаны?

Были включены два интерфейса ether1 и ether2.
Назначены ip адреса для интерфейсов.
Назначен шлюз по умолчанию.
Заданы DNS сервера.
Прописаны правила для машин с неограниченным доступом.
Прописаны правила для машин с ограниченным доступом по портам.
Прописаны правила преобразования сетевых адресов для доступа из вне к веб и почтовому серверам.

Теперь давайте вернемся в шагу №3 и сделаем все те же действия, но уже в графической оболочке winbox, что бы ее скачать необходимо зайти в веб интерфейс mikrotik-а, так называемый webbox, и скачать с главной страницы программку.

Запускаем, указываем адрес в локальной сети, который был назначен второму интерфейсу, имя и пароль пользователя, которого завели в самом начале.

Шаг 3. Настройка DNS.

В графическом интерфейсе все не на много сложнее чем в консоле. Выбираем в основном меню раздел IP, в нем подменю DNS.

Здесь можно завадать статически dns записи, а так же просматривать что сейчас есть в кэше. Нажимаем на кнопочку Settings и указываем адреса DNS серверов.

Шаг 4. Настройка доступа к сети интернет.

Включаем маскардинг. Основное меню IP, в подменю firewall, вкладка NAT.

Что бы добавить новую запись нажимаем на плюсик. А дальше все тоже самое, что и в консоле, на вкладке General chain=srcnat, Out interface=ether2 и ставим галочку, что означает "НЕ", вкладка Action выбираем masquerade.

Приводить кучу одинаковых скришотов на одну и туже тему я не вижу смысла, а понять что все теже самые параметры, которые набираются в консоле на 100% совпадают с названиями в графическом интерфейсе думаю не сложно. По это я приведу несколько картинок с добавлением правил в firewall. Выбираем в основном меню раздел ip, в нем подпункт firewall, в появившемся окне выбираем вкладку Filter Rules. Для добавления нового графила нажимаем на плюсик.

Разрешаем UDP.

Разрешаем исходящие соединения с адреса 192.168.0.2 к любым адресам по порту назначения 25, используюя протокол tcp.

Ну и под конец запрещаем все остальное, что не разрешили выше.

Получилось что то вроде этого.

Шаг 5. Входящие.
Выбираем в основном меню раздел ip, в нем подпункт firewall, в появившемся окне выбираем вкладку Nat. Для добавления нового графила нажимаем на плюсик.

Перенаправляем все соединения, приходящие на внешний адрес 192.168.1.116 по протоколу tcp, 25 порт на локальный адрес 192.168.0.2 на порт 25.

По такому же принципу строятся все остальные правила.

Из описанного выше видно, что любое действие можно сделать как минимум двумя вариантами, разговаривать с MikroTik-ом с помощью текстовых команд или упражняться с мышкой в графическом интерфейсе. И у то и у другого метода есть свои плюсы и минусы, консоль работает быстрее даже на очень слабом канале, графическая оболочка вообще перед началом работы скачивает модули интерфейса к себе, а потом в процессе работы порождает очень даже не маленький трафик, с консолью определенно сложнее работать, но поняв комманды и принцип работы становится не так важно какой интерфейс используется для настройки. В дальнейшем я расскажу как уменьшить количесво правил, используя списки адресов, как ограничивать скорость на upload или download, как разделить трафик между несколькими провайдерами или даже как заставить одну машину работать одновременно с несколькими провайдерами.

Продолжение следует.

Apple keyboard + Windows

2009-06-22T10:34:00.015+07:00

Однажды появилась у меня клавиатура Apple Keyboard aluminum, удобная, красивая, но есть определенная несовместимость в раскладке к которой обычно привыкаешь.

Основной проблемой стало полное отсутствие клавиши Insert, на ее месте располагается клавиша Fn, которая расширяет возможности функциональных клавиш и абсолютно бесполезна в Windows т.к. при нажатии на нее не передается никакой scan код. Нет привычных Print Screen или Pause/Break, зато теоретически можно с помощью дополнительных драйверов научить клавиатуру от apple быть клавиатурой от apple, т.е. уметь регулировать яркость монитора, управлять медиаплеером, громкостью, открывать лоток CD-ROMа, теоретически, потому что мне это ничего не надо, так что не будем на это терять время.

Посмотрим на клавиатуру по ближе и поймем, чего на в ней нехватает и что тут лишнее.

Клавиша открытия лотка CD-ROMa нам не интересна, не трогаем ее.
С клавишей Fn ни чего поделать нельзя, так что она просто будет занимать место на клавиатуре.
Insert перенесем на F13.
Print Screen на F14.
Break на F15 (Pause работать не будет, только комбинация Ctrl+Break).

Далее меняем местами Alt и Command, что бы было привычнее.

Ну и чуть чуть мультимедиа.
F16 - уменьшить громкость
F17 - увеличить громкость
F18 - Отключить звук (mute)
Для всех этих действий можно воспользоваться готовыми программами, на пример SharpKeys, суть их работы заключается в правке ветки реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout], но некоторые действия с помощью этих программ задать не получается (на пример назначить клавише F15 действие Break).

Попробуем разобраться что же это за параметр реестра и как самому задать необходимые клавиши.

В ветви реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout
есть двоичный параметр с именем "Scancode Map". Он имеет следующую структуру:
Первые 8 байт заполнены нулями 00,00,00,00,00,00,00,00
Девятый байт равен количеству клавиш, которые необходимо переназначить + 1, т.е. если надо переназначить 2-е клавиши, то девятый байт равен 03
10, 11, 12 так же заполнены нулевыми значениями
Далее необходимо определить шестнадцатеричные скан-коды клавиш, которые вы хотите переназначить. Допустим, вы хотите изменить функцию клавиши Right Ctrl на Caps Lock. Находим код Right Ctrl - 1D E0 и код Caps Lock - 3A 00. Теперь дописываем в параметр "Scancode Map" сначала значение Caps Lock, а затем значение Right Ctrl.
Затем осталось дописать в конец параметра еще четыре нулевых байта.
Для примера с переназначеним Right Ctrl на Caps Lock параметр должен выглядеть так: 00,00,00,00,00,00,00,00,02,00,00,00,3A,00,1D,E0,00,00,00,00.

Чтобы переназначить более чем одну клавишу, необходимо таким же образом просто добавлять в конец параметра пары кодов клавиш (вначале клавишу "на которую", затем клавишу "с которой"). Например, чтобы переназначить Caps Lock на Left Shift и Left Alt на Backspace одновременно, параметр должен выглядеть так: 00,00,00,00,00,00,00,00,03,00,00,00,2A,00,3A,00,0E,00,38,00,00,00,00,0 0.

Чтобы просто заблокировать клавишу, следует переназначить её на "00,00".

Чтобы изменения вступили в силу, необходимо перезагрузить компьютер. Можно переназначить клавиши и для конкретного пользователя. В этом случае параметр "Scancode Map" следует разместить в ветви HKEY_CURRENT_USER\Keyboard Layout, а для вступлений изменений в силу будет достаточно перелогиниться.

Вот некоторые кода:

e0 1c (Keypad Enter)	1c (Enter)
e0 1d (RCtrl)	1d (LCtrl)
e0 2a (fake LShift)	2a (LShift)
e0 35 (Keypad-/)	35 (/?)
e0 36 (fake RShift)	36 (RShift)
e0 37 (Ctrl-PrtScn)	37 (*/PrtScn)
e0 38 (RAlt)	38 (LAlt)
e0 46 (Ctrl-Break)	46 (ScrollLock)
e0 47 (Grey Home)	47 (Keypad-7/Home)
e0 48 (Grey Up)	48 (Keypad-8/UpArrow)
e0 49 (Grey PgUp)	49 (Keypad-9/PgUp)
e0 4b (Grey Left)	4b (Keypad-4/Left)
e0 4d (Grey Right)	4d (Keypad-6/Right)
e0 4f (Grey End)	4f (Keypad-1/End)
e0 50 (Grey Down)	50 (Keypad-2/DownArrow)
e0 51 (Grey PgDn)	51 (Keypad-3/PgDn)
e0 52 (Grey Insert)	52 (Keypad-0/Ins)
e0 53 (Grey Delete)	53 (Keypad-./Del)

e0 5b (LeftWindow)

e0 5c (RightWindow)

e0 5d (Menu)

	Set-1 make/break	Set-2 make/break
Power	e0 5e / e0 de	e0 37 / e0 f0 37
Sleep	e0 5f / e0 df	e0 3f / e0 f0 3f
Wake	e0 63 / e0 e3	e0 5e / e0 f0 5e

Ну а решение проблемы с клавиатурой будет выглядеть так:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,0b,00,00,00,52,e0,64,00,37,e0,65,00,\ 46,e0,66,00,5b,e0,38,00,38,00,5b,e0,5c,e0,38,e0,38,e0,5c,e0,2e,e0,67,00,30,\ e0,68,00,20,e0,69,00,00,00,00,00

Скачать файл реестра.

Шрифт - Andale Mono

2009-06-05T23:43:00.006+07:00

Шрифт, который приятно видеть при написании кода.
Скачать: для Windows, для Macintosh

MikroTik - Установка

2009-06-05T12:30:00.030+07:00

часть 1 - MikroTik - Что это за зверь такой?

После краткого обзора возможностей MikroTiK RouterOS настало время собрать тестовую площадку для дальнйших экспериментов, поддерживает два варианта установки - с загрузочного CD и установка по сети.

Установка с CD на PC

Для установки с CD потребуется iso образ, который необходимо скачать со страницы загрузки.

Скачав образ (порядка 22Мб), записываем его на диск.

Конфигурация компьютера на который будет установлена MikroTiK RouterOS ... скажем так - может быть какой угодно. По своему опыту скажу, что главное, что бы системный блок был максимально надежный. Особое внимание стоит уделить блоку питания, что бы в случае отключения-включения электроэнергии сам мог загрузиться (так что тут подойдет даже AT корпус). Для офиса (на 200 клиентов, 2 провайдера (6-ть внешних IP адресов), 2 WEB сервера, 2 почтовых сервера (POP, SMTP, IMAP), VPN сервер, FTP, статистика на NetFlow, с общей нагрузкой порядка 10Гб в день) была собрана конфигурация из Celeron 500MHz, 128Мб RAM, CF Card 1Gb, старенький ATX корпус и все это работает не затрачивая и 10% своих ресурсов. Так что решать Вам, но все же стоит ориентироваться на перечень поддерживаемого железа (особенно это касается сетевых карт).

Указываем в BIOS загрузку с диска.

Загружаемся.

Отмечаем компоненты, которые нас интересуют, и нажимем кнопочку I для начала установки.

Если это не установка с нуля, а обновление, то на вопрос "Сохранять ли старую конфигурации?" лучше ответить "Y".

ВНИМАНИЕ! Все данные с диска будут уничтожены! Продолжаем?

Форматируется диск и устанавливаются компоненты, вся процедура занимает максимум пару минут (все зависит от размера жесткого диска и времени форматирования).

Установка завершена, перегружаемся.

Заходим в BIOS и отключаем загрузку с CD-ROM, а лучше вообще снимаем его как ненужное устройство.

Пара минут на первоначальную загрузку и ... слышим веселое "би-бибик", сигнализирующее об успешной загрузке.
Логин admin, пароль оставляем пустым.

На экрне видим сообщение из которого становится понятно, что наша установка будет работать 24 часа, для получения следующего уровня лицензии необходимо использовать software id. О различных уровнях лиценции можно прочитать на сайте производителя.

Установка по сети на PC

Для установки по сети понадобится утилита для удаленной установки (netinstall) и набор пакетов, скачать можно со страницы загрузки.

Распаковываем утилиту netinstall и пакеты обновлений в папку на диске.

Запускаем утилиту netinstall, нажимаем на кнопку "net booting" и включаем сервер загрузки по сети, указываем ip адрес клиента.

Теперь переходим к настройке клиента, заходим в BIOS и устанавливаем загрузку по сети.

Начнется загрузка...

При этом в утилите netinstall повляется информация о том, что устройство готово к установке (см 1). Автоматически определяется software id для получения лицензии (см 2). Если есть возможность установить этот ключ сразу, то он выбирается (см 3). Если есть необходимость сохранить конфигурацию, которая была ранее, то ставим галочку (см 4) или же указываем вручную какй IP адрес необходимо назначить адаптеру с которого идет загрузка, что бы в последствии через него сделать настройку. При необходимости можно указать конфигурационный скрипт (backup) вручную (см 5). В разделе Packages выбираем папку, куда распакованы пакеты и отмечаем те пакеты, которые необходимо установить.

Нажимаем кнопку install, начинается процесс установки, так же этот процесс видно на клиенте, который загрузился по сети.

Установка занимает чуть больше времени, чем установка с CD.
По завершению устаноки желательно отключить в BIOS загрузку по сети, оставив загрузку с жесткого диска.

Так же с помощью утилиты netinstall можено подготовить загрузочкую карту памяти для RouterBoard устройств.
Подключаем карту памяти через картридер, выбираем нужный диск в утилите netinstall, в разделе Packages выбираем набор пакетов, нажимаем кнопку "make floppy".

Ну и напоследок фото моего страшилища ... в смысле моего микротика (одного из 12 :))

Продолжение следует.

MikroTik - Что это за зверь такой?

2009-06-04T11:50:00.026+07:00

Данная статья представляет из себя мой вольный перевод описания основных возможностей RouterOS MikroTik и материалов из Википедии.

RouterOS MikroTik

RouterOS MikroTik это операционная система для оборудования MikroTik RouterBOARD.

Так же она может быть установлена на обычном PC, превратив его в маршрутизатор со всеми необходимыми функциями - маршрутизация, брандмауэр, контроль пропускной способности, работа с беспроводными сетями, Hotspot шлюз, VPN-сервер и многое другое.

На момент написания статьи существовало 3-и версии RouterOS MikroTik - 2.9.Х, 3.Х, а также 4, которая находилась в стадии бэтта тестирования. Бесплатную версию Вы можете скачать с сайта www.mikrotik.com, она содержит в себе все возможные функции.

Оборудование

Прежде всего RouterOS это операционная система для RouterBOARD устройств, но Вы можете установить ее на обычный PC x86, использовав для этого как старенький системный блок с Intel Pentium 200, так новейшие материнские платы с многоядерными процессорами.

RouterOS поддерживает установку на IDE, SATA и USB устройства хранения информации, в том числе HDD, CF и SD карты и SSD диски, потребуется по крайней мере 64Mb дискового пространства. При установке система отформатирует раздел и станет системой по умолчанию!

И конечно же RouterOS поддерживает множество сетевых устройств, включая последние 10 Gigabit Ethernet карты, 802.11a/b/g/n беспроводные карты и 3G модемы.

Настройка

RouterOS поддерживает несколько методов настройки - локально, последовательная консоль, Telnet, SSH, GUI приложение Winbox (только для OS Windows), простой web интерфейс, а так же API интерфейс для создания собственных приложений.

В случае отсутствия доступа на уровне IP RouterOS поддерживает доступ на MAC уровене, через MAC Telnet или Winbox.

RouterOS имеет мощный, но в тоже время легкий в освоении коммандный интерфейс с поддержкой скриптов.

В новой версии RouterOS v4 появляется поддержка скритового языка Lua, который расширяет возможности по автоматизации и программированию Вашего маршрутизатора.

Firewall (брандмауэр)

Firewall (брандмауэр) осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Network Address Translation (NAT) позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу.

Firewall предоставляет возможность маркирования пакетов для дальнейшей маршрутизации их.

Есть возможность задать фильтрацию по IP-адресу, диапазону адресов, портам, диапазону портов, IP протоколу, DSCP и другим параметрам, а также поддерживаются статические и динамические списки адресов.

Layer7 filter позволяет фильтровать пакеты на основе данных уровня приложения. Иными словами, он позволяет распознавать пакеты HTTP, FTP, Gnucleus, Kazaa и т.д., независимо от порта.

Firewall RouterOS поддерживает IPv6.

Маршрутизация

RouterOS поддерживает статическую маршрутизацию и множество динамических протоколов маршрутизации.

Для IPv4 это RIP v1 and v2, OSPF v2, BGP v4.
Для IPv6 это RIPng, OSPFv3 and BGP.

RouterOS также поддерживает виртуальную маршрутизацию и перенаправление (VRF). Вы можете использовать фильтр Firewall-а, чтобы отметить определенные подключения маркером маршрутизации, и затем отмеченный трафик перенаправить на определенного провайдера.

RouterOS добавлена поддержка MPLS и VRF.

VRF (Virtual Routing and Forwarding) - технология позволяет сосуществовать нескольким таблицам маршрутизации в пределах одного маршрутизатора. Благодаря подобной виртуализации можно сделать так, чтобы разные клиенты пользовались одним и тем же адресным пространством или разными протоколами маршрутизации.

MPLS (Multiprotocol Label Switching) - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet. В традиционной IP сети пакеты передаются от одного маршрутизатора другому и каждый маршрутизатор читая заголовок пакета (адрес назначения) принимает решение о том, по какому маршруту отправить пакет дальше. В протоколе MPLS никакого последующего анализа заголовков в маршрутизаторах по пути следования не производится, а переадресация управляется исключительно на основе меток. Это имеет много преимуществ перед традиционной маршрутизацией на сетевом уровне.

VPN

VPN (Virtual Private Network) логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

RouterOS поддерживает различные методы VPN и тунельных протоколов:
Ipsec, OpenVPN, PPTP, PPPoE, L2TP, MLPPP, BCP, IPIP, EoIP, IPv6 over IPv4, VLAN – IEEE802.1q Virtual LAN support, Q-in-Q support, MPLS based VPNs

Беспроводные технологии

RouterOS поддерживаем множество беспроводных технологий, основная из них это точка доступа + клиент.
Основные поддерживаемые технологии:

IEEE802.11a/b/g/n
Nstreme и Nstreme2
Client polling
RTS/CTS
Wireless Distribution System (WDS)
Virtual AP
WEP, WPA, WPA2
Access control list
Wireless client roaming
WMM
HWMP+ Wireless MESH protocol
MME wireless routing protocol

Hotspot

Шлюз Hotspot позволяет предоставлять доступ к сети Интернет в общественных местах используя беспроводную сеть для устройств, использующих технологию Wi-Fi.

RouterOS MikroTik позволяет создавать профили для различных пользователей, ограничивая по скорости доступа, объему трафика, времени работы.
Основные особенности:

Plug-n-Play доступ к сети
Локальная аутентификация
Управление пользователями
Поддержка RADIUS для аутентификации и управления пользователями
Создание конфигурации для не интерактивных устройств

Качество обслуживания

Управление пропускной способностью это ряд механизмов по контролю за распределением нагрузки, задержками, своевременностью доставки данных и надежностью.

Качество обслуживания (QoS), означает, что маршрутизатор может расставлять приоритеты сетевого трафика.

Основные возможности:

ограничивать скорость передачи данных для определенных IP адресов, подсети, протоколов, портов
ограничения одноранговой движения
приоритетность некоторых пакетной по сравнению с другими
использование очереди для ускорения веб-просмотра
применение ограничений на фиксированные временные интервалы
распределение скорости доступа в зависимости от нагрузки на канал

Web Proxy

RouterOS MikroTik позволяет организовать кэширующий прокси сервер для ускорения "браузинга" клиентов т.к. объекты, попавшие в кэш передаются по локальной сети с гораздо большей скоростью.

Основные возможности:

HTTP прокси сервер
прозрачный прокси сервер
списки доступа по источнику, назначению, URL, запросам (HTTP firewall)
задание объектов, подлежащих кэшированию и объектов - исключений
использование многоуровневых прокси серверов
логирование
поддержка SOCKS proxy
хранение кэша на внешних устройствах

Инструменты

Для помощи в администрировании в RouterOS были добавлены небольшие инструменты, такие как:

Ping, traceroute
Bandwidth test, ping flood
Packet sniffer, torch
Telnet, SSH
E-mail and SMS send tools
Automated script execution tools
Выборка содержимого из файлов
Таблица активных соединений
NTP Client and Server
TFTP server
Поддержка динамического DNS
VRRP
SNMP для построения графиков и сбору статистики
RADIUS client and server

Дальше я постараюсь описать различные варианты настройки RouterOS MikroTik, основываясь на своем опыте.

Продолжение следует.

Как сбросить Identity в MS Sql

2009-06-03T17:50:00.003+07:00

Если у Вас в таблице есть поле с автоинкрементном (Identity), то при удалении строк из таблицы нумерация все равно продолжается с последнего числа.

Есть несколько вариантов решения этой проблемы.

1. DBCC CHECKIDENT
Это самый простой вариант, просто устанавливаете желаемое значение. Будьте осторожны, не установите значение меньше, чем последнее.

DBCC CHECKIDENT (<table name>,RESEED,<new value>)

2. Удалить и добавить поле
Это более безопасный вариант т.к. новые значения присваиваются автоматически, но требует большего количества действий и меняет порядок столбцов.

ALTER TABLE <table name> DROP CONSTRAINT <constraint name>

ALTER TABLE <table name> DROP COLUMN <column name>

ALTER TABLE <table name> ADD <column name> bigint identity (1,1) NOT NULL

ALTER TABLE <table name> ADD CONSTRAINT <constraint name> PRIMARY KEY CLUSTERED(<column name> ASC)WITH (PAD_INDEX = OFF, SORT_IN_TEMPDB = OFF, IGNORE_DUP_KEY = OFF, ONLINE = OFF) ON [PRIMARY]

3. Удалить и создать таблицу
Этот вариант устанавливает новое безопасное значение и сохраняет порядок колонок.

Создайте новую временную таблицу с такой же структурой, скопируйте все данные во временную таблицу, удалите старую таблицу и переименуйте временную.

Выбор подходящего варианта остается за вами.

Hello World

2009-06-02T18:30:00.001+07:00

Как и полагается ...

public class ExampleClass
{
    public static void Main()
    {
   System.Console.WriteLine("Hello, world!");
    }
}

так тоже красиво

public class HelloWorld
{
    public static void main(String[] args)
    {
    System.out.println("Hello, world!");
    }
}