Kuutõrvaja - Kasutaja kaastöö [et]

Regulaaravaldised

2025-12-29T02:56:10Z

Erkko: omavigaparandus

===Regulaaravaldised===

Regulaaravaldis on kontrolleeskiri, mida rakendatakse mingile tekstile. Iga teksti jaoks antakse vastus, kas tekst klappis avaldisega või mitte.

Kasutame regulaaravaldiste selgitamise näidetes programmi Egrep, kuna ta saab aru ka suhteliselt keerulistest regulaaravaldistest.

Toome lihtsa näite - fail kalastus:

bash$ cat kalastus
tegelane kalade arv
Priit_______1
Mart_______12
Peeter_____45
Konstant___34
Tibu________3
Miima______12

Eraldame välja read, kus on kalade arv alla kümne. See tähendab, rea lõpus asuv kalade arv on pandud kirja ühe märgiga.

bash$ egrep "_.$" kalastus
Priit_______1
Tibu________3

Regulaaravaldis "_.$" klapib nende ridadega, mille lõpus ($) on kõrvuti alakriips ja üks suvaline märk (_.).

Regulaaravaldiste oskuslik kasutamine on oluline muuhulgas selliste programmide nagu Sed, Awk ja Procmail puhul.

===Literaalsed - ja metasümbolid===

Regulaaravaldis "_.$" sisaldab kahte sorti sümboleid:

* literaalsed - need, mis ise esinevad vaatlusaluses tekstis, nagu alakriips
* metasümbolid - "." kohal võib olla üks suvaline tähemärk; "$" tähistab rea lõppu.

Regulaaravaldised võeti algselt kasutusele programmis Ed, millest kasvasid välja Grep ja Sed. Piiratud metasümbolite arv, mida nimetatakse traditsiooniliseks metasümbolite hulgaks, tingis laiendatud metasümbolite hulga (ingl. k. extended metacharacters set) kasutuselevõtu. Laiendatud hulka oskavad kasutada Awk ja Egrep.

Aritmeetiliste avaldiste juures on olulised tehtemärgid. Regulaaravaldistes on põhiliseks teheteks sümbolite kõrvutiolek.

===Traditsioonilised metasümbolid===

* . - punkt: suvaline üks sümbol
* * - tärn: suvaline arv, sh 0 temast vasakule jäävat sümbolit
* [...] - klass: üks kantsulgude vahel olevatest sümbolitest
* ^ - katus: rea algus
* $ - dollar: rea lõpp
* \ - tagurpidi kaldkriips: varjestab talle järgneva metasümboli.

Järgnevad näited sellise teksti alusel:

bash~$ cat kohad
Tartu 1437
Helsinki 1960
Yellowstone 1903
Tokio 1990
Praha 1400
Pariis 1500

Kahekümnenda sajandi aastaarvud:

bash~$ egerp "19.." kohad

Kõik read

bash~$ egrep ".*" kohad

Kõik i või e -lõpuliste kohanimedega read:

bash~$ grep "[ie] " kohad

Kõik read kus kohanimi ei lõppe i või e tähega:

bash~$ grep "[^ie] " kohad

Klassis omab ^ märk inverteerivat tähendust, st klapivad need read, kui tühikule ei eelne i või e.

T -ga algavad viietähelise kohanimega read:

bash~$ egrep "^T.... " kohad

Sajandivahetusele vastavad kohad:

bash~$ egrep "00$" kohad

Read, milles esineb sümbol "^":

bash~$ egrep "\^" kohad

===Laiendatud metasümbolite kirjeldused===

Laiendatud metasümbolite hulka kuuluvad lisaks traditsioonilistele järgmised metasümbolid:

* + - pluss: üks või enam temast vasakul olevat sümbolit
* ? - küsimärk: null või üks temast vasakul olevat sümbolit
* | - toru: eelnev või järgnev regulaaravaldis
* () - sulud: grupeerib regulaaravaldisi
* {n,m} - loogad: mitu eelnevat sümbolit

Näited eelpool toodud teksti alusel:
Kõik selle sajandile vastavad e -ga lõppevad kohanimed:

bash~$ egrep "e +19" kohad

Kohanimi võib olla kirjutatud kokku või sisaldada sidekriipsu:

bash~$ egrep "Jää-?äär" kohad

Võib alata C või K'ga:

bash~$ egrep "K|Columbia" kohad

Kui tavaliselt toimivad metasümbolid ühele eelnevale või järgnevale märgile, siis sulgudega on võimalik nad panna toimima mitmele:

bash~$ egrep "(Columbia)|(Kolumbia)" kohad

Võimalik on näidata, mitu sümbolit lähevad arvesse:

Neli kuni seitse 'a' -d:

bash~$ egrep -E "a{4,7}" kohad

Neli või enam 'a' -d:

bash~$ egrep -E "a{4,}" kohad

Täpselt neli 'a' -d:

bash~$ egrep -E "a{4}" kohad

Null kuni neli 'a' -d:

bash~$ egrep -E "a{,4}" kohad

===Perl sarnaste avaldiste kasutamine===

Logist sarnase rea tabamiseks

Jan 10 23:49:46 post-relay postfix/smtp[15560]: 5A9CA5FD4E: to=<imre@auul.pri.ee> ...

sobib öelda nt

$ grep -P "postfix/smtp\[[0-9]+\]: [0-9,A-Z]+:" /var/log/mail.log

===Mõned regexpi mustrid===

as 112233 sdf
asd 0.0232 ads

Muster:
\s(0\.)?[0-9]+\s

Selgitus:

\s - tühik
(0\.)? - luba numbrijada ees 0.
[0-9]+ - vähemalt 1 number

Rida httpd logist

OUTPUT="HTTP OK HTTP/1.0 200 OK - 3376 bytes in 0.093 seconds"

Selle analoogia põhjal proovi avaldist:

"output:tm:/- (\\d+) bytes/" "output:tma:/in = (\\d+\\.?\\d*) seconds/"

Nimelt, kuna originaalis ilmselt on kirjutatud \\d, siis tähendab see, et \ tuleb veel topelt varjestada, ehk \\, millest võis minu esialgne rida mitte töötada. Teine asi on nende sulgudega - sulgude sees olev regexi osa on see, mis pannakse väljundisse, seega peab sulge õigesti panema.

===Kasulikud lisamaterjalid===

* [[:Sed]]
* [[:Awk]]
* [[:Procmail]]

© EENet 2000

Regulaaravaldised

2025-12-29T02:53:12Z

Erkko: krijawigased

===Regulaaravaldised===

Regulaaravaldis on kontrolleeskiri, mida rakendatakse mingile tekstile. Iga teksti jaoks antakse vastus, kas tekst klappis avaldisega või mitte.

Kasutame regulaaravaldiste selgitamise näidetes programmi Egrep, kuna ta saab aru ka suhteliselt keerulistest regulaaravaldistest.

Toome lihtsa näite - fail kalastus:

bash$ cat kalastus
tegelane kalade arv
Priit_______1
Mart_______12
Peeter_____45
Konstant___34
Tibu________3
Miima______12

Eraldame välja read, kus on kalade arv alla kümne. See tähendab, rea lõpus asuv kalade arv on pandud kirja ühe märgiga.

bash$ egrep "_.$" kalastus
Priit_______1
Tibu________3

Regulaaravaldis "_.$" klapib nende ridadega, mille lõpus ($) on kõrvuti alakriips ja üks suvaline märk (_.).

Regulaaravaldiste oskuslik kasutamine on oluline muuhulgas selliste programmide nagu Sed, Awk ja Procmail puhul.

===Literaalsed - ja metasümbolid===

Regulaaravaldis "_.$" sisaldab kahte sorti sümboleid:

* literaalsed - need, mis ise esinevad vaatlusaluses tekstis, nagu alakriips
* metasümbolid - "." kohal võib olla üks suvaline tähemärk; "$" tähistab rea lõppu.

Regulaaravaldised võeti algselt kasutusele programmis Ed, millest kasvasid välja Grep ja Sed. Piiratud metasümbolite arv, mida nimetatakse traditsiooniliseks metasümbolite hulgaks, tingis laiendatud metasümbolite hulga (ingl. k. extended metacharacters set) kasutuselevõtu. Laiendatud hulka oskavad kasutada Awk ja Egrep.

Aritmeetiliste avaldiste juures on olulised tehtemärgid. Regulaaravaldistes on põhiliseks teheteks sümbolite kõrvutiolek.

===Traditsioonilised metasümbolid===

* . - punkt: suvaline üks sümbol
* * - tärn: suvaline arv, sh 0 temast vasakule jäävat sümbolit
* [...] - klass: üks kantsulgude vahel olevatest sümbolitest
* ^ - katus: rea algus
* $ - dollar: rea lõpp
* \ - tagurpidi kaldkriips: varjestab talle järgneva metasümboli.

Järgnevad näited sellise teksti alusel:

bash~$ cat kohad
Tartu 1437
Helsinki 1960
Yellowstone 1903
Tokio 1990
Praha 1400
Pariis 1500

Kahekümnenda sajandi aastaarvud:

bash~$ egerp "19.." kohad

Kõik read

bash~$ egrep ".*" kohad

Kõik i või e -lõpulised kohanimedega read:

bash~$ grep "[ie] " kohad

Kõik read kus kohanimi ei lõppe i või e tähega:

bash~$ grep "[^ie] " kohad

Klassis omab ^ märk inverteerivat tähendust, st klapivad need read, kui tühikule ei eelne i või e.

T -ga algavad viietähelise kohanimega read:

bash~$ egrep "^T.... " kohad

Sajandivahetusele vastavad kohad:

bash~$ egrep "00$" kohad

Read, milles esineb sümbol "^":

bash~$ egrep "\^" kohad

===Laiendatud metasümbolite kirjeldused===

Laiendatud metasümbolite hulka kuuluvad lisaks traditsioonilistele järgmised metasümbolid:

* + - pluss: üks või enam temast vasakul olevat sümbolit
* ? - küsimärk: null või üks temast vasakul olevat sümbolit
* | - toru: eelnev või järgnev regulaaravaldis
* () - sulud: grupeerib regulaaravaldisi
* {n,m} - loogad: mitu eelnevat sümbolit

Näited eelpool toodud teksti alusel:
Kõik selle sajandile vastavad e -ga lõppevad kohanimed:

bash~$ egrep "e +19" kohad

Kohanimi võib olla kirjutatud kokku või sisaldada sidekriipsu:

bash~$ egrep "Jää-?äär" kohad

Võib alata C või K'ga:

bash~$ egrep "K|Columbia" kohad

Kui tavaliselt toimivad metasümbolid ühele eelnevale või järgnevale märgile, siis sulgudega on võimalik nad panna toimima mitmele:

bash~$ egrep "(Columbia)|(Kolumbia)" kohad

Võimalik on näidata, mitu sümbolit lähevad arvesse:

Neli kuni seitse 'a' -d:

bash~$ egrep -E "a{4,7}" kohad

Neli või enam 'a' -d:

bash~$ egrep -E "a{4,}" kohad

Täpselt neli 'a' -d:

bash~$ egrep -E "a{4}" kohad

Null kuni neli 'a' -d:

bash~$ egrep -E "a{,4}" kohad

===Perl sarnaste avaldiste kasutamine===

Logist sarnase rea tabamiseks

Jan 10 23:49:46 post-relay postfix/smtp[15560]: 5A9CA5FD4E: to=<imre@auul.pri.ee> ...

sobib öelda nt

$ grep -P "postfix/smtp\[[0-9]+\]: [0-9,A-Z]+:" /var/log/mail.log

===Mõned regexpi mustrid===

as 112233 sdf
asd 0.0232 ads

Muster:
\s(0\.)?[0-9]+\s

Selgitus:

\s - tühik
(0\.)? - luba numbrijada ees 0.
[0-9]+ - vähemalt 1 number

Rida httpd logist

OUTPUT="HTTP OK HTTP/1.0 200 OK - 3376 bytes in 0.093 seconds"

Selle analoogia põhjal proovi avaldist:

"output:tm:/- (\\d+) bytes/" "output:tma:/in = (\\d+\\.?\\d*) seconds/"

Nimelt, kuna originaalis ilmselt on kirjutatud \\d, siis tähendab see, et \ tuleb veel topelt varjestada, ehk \\, millest võis minu esialgne rida mitte töötada. Teine asi on nende sulgudega - sulgude sees olev regexi osa on see, mis pannakse väljundisse, seega peab sulge õigesti panema.

===Kasulikud lisamaterjalid===

* [[:Sed]]
* [[:Awk]]
* [[:Procmail]]

© EENet 2000

Awk

2025-09-05T22:35:26Z

Erkko:

===Awk===

Skriptkeel Awk on loodud tekstiliste andmetega manipuleerimiseks. Nimi Awk on akronüüm autorite perekonnanimedest - Aho, Weinberger, Kernighan. Segadust tekitav on paljude Awki versioonide levik, mis erinevad põhiliselt regulaaravaldiste tõlgendamisvõime poolest. Käesolev tegeleb GNU Awki versiooniga, mis muuhulgas tähendab seda, et saab kasutada laiendatud metasümbolite hulka (ingl. k. extended metacharacter set).

===Programmeerimise mudel===

Awk on sisendi poolt juhitav, mis tähendab, et tööosas näidatud käske rakendatakse vaikimisi Awki sisendisse suunatud andmete igale reale. Vaikimisi käsitleb Awk reana kahe järjestikulise '\n' -i vahele jäävat teksti. Awki skript võib koosneda kolmest osast:

ALGUSOSA - vastavad käsud täidetakse üks kord kõige alguses

TÖÖOSA - vastavad käsud rakendatakse järjekorras igale sisendi reale

LÕPUOSA - vastavad käsud täidetakse üks kord kõige lõpus

Neid osi märgitakse Awki skriptis selliselt, käsud kirjutatakse loogade vahele

BEGIN { algusosa käsud }
{ tööosa käsud }
END { lõpuosa käsud }

Awkilik Awki kasutamine toimub rõhuasetusega tööosale. Järgnevas kirjeldame esituse selguse huvides keelevahendite süntaksit algusosa abil.

===Awki käivitamine===

Awki käske saab anda käsurealt või koondades nad ühte faili. Sellist käivitamisõigusega tekstifaili nimetatakse Awki skriptiks. Awki kasutamisel on võimalik tarvitada IO ümbersuunamist.

Toome näite, kuidas kahes tulbas ja tühikutega eraldatud sisendandmetel tulpade järjekord ära vahetada.

Olgu selline algtekst

bash~$ cat nimed
Miima 1959
Priit 1963
Mart 1940
Peeter 1988

Käsurealt toimub tulpade vahetamine selliselt

bash~$ cat nimed | awk '{ print $2, $1 }'
1959 Miima
1963 Priit
1940 Mart
1988 Peeter

Awki skripti, mis vahetab tulbad, on selline

#!/usr/bin/awk -f
{ print $2, $1 }

Skript sisaldab vaid tööosa ja käivitatakse näiteks nii

bash~$ cat nimed | vaheta.tulbad.awk

Samaväärne oleks jätta skriptist esimene interpretaatorit näitav rida ära ja käivitada Awk selliselt

bash~$ awk -f vaheta.tulbad.awk nimed

Heaks kombeks on lõpetada skripti nimi viitega interpretaatorile.

Kui juhtumisi on failis erinevad tulbad eraldatud tühiku asemel ":", või mõne muu märgiga siis saab seda määrata järgnevalt

cat nimed | awk -F':' '{ print $2, $1 }'

Ka arvutada saab awkiga, näiteks konvertida baite megabaitideks

echo '1452360394' | awk '{ foo = $1 / 1024 / 1024 ; print foo "MB" }'
1385.08MB

===Muutuja ja avaldis===

Awkis ei ole vaja muutujaid enne kasutamist deklareerida ning puuduvad muutuja tüübid. Sõltuvalt kontekstist käsitletakse muutujat kas stringi või arvuna. Muutuja nimi peab algama tähega ja võib sisaldada peale tähtede ka numbreid ja alakriipse.

Toome näite muutujate kasutamisest

#!/usr/bin/awk -f
BEGIN {
x = 15
y = 2
w = "Tartu"
z = "linn"
x_korda_y = x * y
print x " x " y " = " x_korda_y
tartu_linn = w z
print w " ja " z " on " tartu_linn
}

* skript sisaldab vaid algusosa
* defineeritakse neli muutujat: x, y, w, z
* sooritatakse tehe arvudega ja stringidega ning trükitakse vastavad tulemused

===Sisseehitatud käsud ja funktsioonid===

Käsku print me oleme juba tarvitanud. Tema järgi kirjutatakse jutumärkidesse teksti ja ilma jutumärkideta muutujad, näites nimi ja x

print "Teie nimi on " nimi "ja te olete " x " aastat vana."

Tihti on otstarbekam kasutada käsku printf, mis sarnaselt C samanimelisele funktsioonile võimaldab väljundit paindlikumalt formateerida. Trükime ekraanile tehte 5/3 tulemuse neljakohalisena, millest kaks on peale koma.

#!/usr/bin/awk -f
BEGIN {
a=5/3
printf ("%4.2f\n", a);
}

Lisaks on olemas sellised sisseehitatud funktsioonid

* cos(x) - tagastab radiaanides esitatud argumendi koosinuse
* sin(x) - tagastab radiaanides esitatud argumendi siinuse
* atan2(x) - tagastab radiaanides esitatud argumendi arkustangensi
* int(x) - tagastab argumendi täisosa
* log(x) - võtab argumendist naturaallogaritmi
* sqrt(x) - tagastab argumendi ruutjuure
* rand(x) - genereerib juhusliku arvu vahemikus 0 kuni 1
* srand(x) - tekitab rand() funktsioonile juhusliku alge

===Valikulause ja tingimused===

===if-else===

Toome näite valikulausest, kus skript genereerib juhusliku arvu ja teatab, milline see arv on

#!/usr/bin/awk -f
BEGIN {
srand()
x = rand ()
if ( x < 0.5 )
{
print x " on vaiksem poolest"
}
else
{
print x " on yle poole"
}
}

Tingimusi seatakse võrdlustehte abil:

* < - väiksem
* > - suurem
* == - võrdne
* != - mittevõrdne
* <= - väiksemvõrdne
* >= - suuremvõrdne

Võrdlustehete tulemustega saab sooritada loogilisi tehteid:

* ! - eitus
* && - ja
* || - või

Näiteks kirjutame skripti, mis ütleb, kas juhuslik arv on 0.2 < x < 0.8

#!/usr/bin/awk -f
BEGIN {
srand()
x = rand ()
if ( x > 0.2 && x < 0.8 ) print " 0.2 < " x " < 0.8"
}

Kui tingimusele järgneb vaid üks käsk, siis võib loogad ära jätta ja isegi kirjutada käsu tingimuse järele samale reale.

Võimalik on ka kasutada tuntud

(tingimus) ? (lause 1) : (lause 2)

sarnast konstruktsiooni.

#!/usr/bin/awk -f
BEGIN {
srand()
x = rand ()
print ( x < 0.5) ? x " on vaiksem poolest" : x " on yle poole"
}

===Korduslause===

Kordus sooritab tegevust mitu korda. Kõik näited väljastavad arvud ühest viieni.

====While kordus====

#!/usr/bin/awk -f
BEGIN { x=1
while ( x <= 5 ) {
print x
x++
}
}

====Do kordus====

#!/usr/bin/awk -f
BEGIN { x=1
do {
print x
x++
} while ( x <= 5 )
}

====For kordus====

#!/usr/bin/awk -f
BEGIN {
for (x=1; x <= 5; x++) {
print x
}
}

===Massiiv ja paisktabel===

Massiivi on otstarbekas kasutada, kui on vaja tegelda paljude samalaadiliste väärtustega.

Näiteks defineerime massiivi m ja trükime korduse abil välja tema kõigi elementide väärtused:

#!/usr/bin/awk -f
BEGIN {
i=0
m[0] = "mina"
m[1] = "sina"
m[2] = "tema"
while ( i < 3 ) {
print m[i]
}
}

===Paisktabel===

Paisktabel on massiiv, mille indeksiks on string. Defineerime massiivi ja trükime välja teise elemendi.

#!/usr/bin/awk -f
BEGIN {
m["meie"] = "mina"
m["teie"] = "sina"
m["nemad"] = "tema"
print m["teie"]
}

===Sisendi ja väljundi kasutamine===

Skript loeb andmeid sisendisse või klaviatuurilt ning kirjutab väljundisse või ekraanile.

#!/usr/bin/awk -f
BEGIN {
print "sisestage oma eesnimi"
getline enimi < "-"
print "sisestage oma perekonnanimi"
getline pnimi < "-"
print ( enimi == pnimi) ? "Teie ees- ja perekonnannimi on ühesugused"\
: "Teie ees- ja perekonnanimi ei ole ühesugused"
}

Rida jätkav kaigas peab olema viimane sümbol real.

Eeldades, et tekstifailis on kahel real vastavalt eesnimi ja perekonnanimi, käivitatakse skript selliselt

bash~$ cat tekst | skript.awk

Soovides skripti tööosa kasutada, tuleb kirjutada selline skript, kusjuures andmefailis on ühel real tühikuga eraldatud ees- ja perekonnanimi.

#!/usr/bin/awk -f
{
print ( $1 == $2 ) ? "Teie ees- ja perekonnannimi on ühesugused"\
: "Teie ees- ja perekonnanimi ei ole ühesugused"
}

Kui andmetega ridu on mitu, teostatakse kontroll iga reaga.

===Faili lugemine ja kirjutamine===

Loeme failist andmed ja kirjutame nummerdatud read teise faili.

#!/usr/bin/awk -f
BEGIN { i=1
while ( (getline rida < "lahteandmed" ) > 0 )
{
print i ". " rida > "toodeldudandmed"
i++
}
}

Korduse tingimuseks olev käsu getline lõppkood on nullist suurem seni, kuni midagi failist lähteandmeid lugeda on.

===Süsteemi programmi väljundi lugemine ja sisendisse saatmine===

Omistame muutuja aeg väärtuseks programmi date väljundi ning saadame muutuja aeg väärtuse programmi cat sisendisse.

#!/usr/bin/awk -f
BEGIN {
"date" | getline aeg
print "Süsteemi aeg on " aeg
print aeg | "cat"
}

===Kirje ja väli===

Awk käsitleb sisendit struktureerituna. Vaikimisi nimetakse kahe järjestikuse reavahetuste vahele jäävat kirjeks. Vaikimisi on jaotatud rida väljadeks tühikute või tabulatsioonimärkide kohalt.

Programmi tööosas saab väljade poole pöörduda muutujate $1, $2, $3, $4 jne abil. Muutuja $0 väärtuseks on terve kirje.

Sõltuvalt välja sisust saab teha nendega tehteid. Toome näite, kus leiame tulpadena esitatud lähteandmete ridade summad

bash~$ cat arvud
1 3 4 5
4 6 2 4
1 5 9 4
2 4 5 5

ning skript leia.summad.awk on seesugune

#!/usr/bin/awk -f
BEGIN { print "Leiame ridade- ja kogusumma" }
{ summa = $1 + $2 + $3 + $4
print $1 " + " $2 " + " $3 " + " $4 " = " summa
kogusumma = kogusumma + summa
}
END { print "Kogusumma = " kogusumma }

Siin on esitatud kolm võimalikku skripti osa: algusosa, tööosa ja lõpuosa, kusjuures neile osadele vastavad käsud kirjutatakse loogadesse. Ühes osas kasutatud muutujatel on teises osas sama väärtus (nt kogusumma).

Käivitame skripti:

bash~$ cat arvud | leia.summad.awk
Leiame ridade -ja kogusumma
1 + 3 + 4 + 5 = 13
4 + 6 + 2 + 4 = 16
1 + 5 + 9 + 4 = 19
2 + 4 + 5 + 5 = 16
Kogusumma on 64

===Kirje- ja väljaeraldusmärkide ümbermuutmine===

Mõnel juhul on vajalik andmeid ridadeks ja väljadeks jagavaid märke muuta. Vastavalt saab muuta ka väljundis kasutatavaid rea- ja väljaeraldusmärke.

Seda saab teha näiteks defineerides skripti algusosas üle vastavate muutujate väärtused:

* FS - sisendi välja eraldaja (ingl. k. field separator)
* RS - sisendi kirje eraldaja (ingl. k. record separator)
* OFS - väljundi välja eraldaja (ingl. k. output field separator)
* ORS - väljundi kirje eraldaja (ingl. k. output record separator)

Kui välja eraldajaks on tühik, siis vastab see Awki vaikimisi toimimisele; sarnaselt on reavahetuse märgi ja kirje eraldajaga. Seades eraldajaks mõne teise sümboli, eraldatakse kirjet või välja selle sümboli kohalt. Kui eraldajaks on enam kui üks sümbol, käsitletakse eraldajat regulaaravaldisena.

Lisaks saab kasutada Awkiga seotud muutujaid

* FILENAME - sisendfaili nimi
* NF - käesoleva kirje väljade arv (ingl. k. number on fields)
* NR - kirje absoluutne järjekorra number (ingl. k. number of the record)
* FNR - kirje suhteline järjekorra number; on vajalik mitme sisendfaili kasutamisel

Toome näite nende muutujate kasutamise kohta. Algandmed on sellised

Priit
Elva
Jüri 15
tel. 15 123

Mart
Jüri
Elva 15
tel. 12 3 15

Peeter
Tartu
Telefoni 5
tel. 12 34 56

Nad soovitakse esitada nii, et ühte linna puutuv oleks ühel real, read oleks nummerdatud ning kõige lõppu kirjutataks algandmete faili nimi

$ ./skript.awk sisend.txt
1:Priit:Elva:Jüri 15:tel. 15 123
2:Mart:Jüri:Elva 15:tel. 12 3 15
3:Peeter:Tartu:Telefoni 5:tel. 12 34 56
andmefail: andmed

Sellise töö teeb ära selline skript

#!/usr/bin/awk -f
BEGIN {FS="\n"; RS="\n\n"; OFS=":"; ORS="\n"}
{ print NR, $1, $2, $3, $4 }
END { OFS=" "; print "andmefail:", FILENAME }

===Adresseerimine===

Regulaaravaldistega saab määrata, millistele sisendi ridadele tööosa käsud rakenduvad. Toome näite, kus tegeldakse vaid Tartu linna temperatuuride ööpäevase keskmistamisega. Algandmed failis temperatuurid on sellised

linn kp 6:00 12:00 18:00 24:00
Tartu 19/4/2000 13.6 15.1 15.8 14.0
Valga 19/4/2000 11.6 12.1 12.8 11.0
Tartu 20/4/2000 14.6 18.4 13.5 13.3
Valga 20/4/2000 13.4 15.7 15.1 14.3
Tartu 21/4/2000 16.6 21.1 19.3 17.1
Valga 21/4/2000 15.7 19.4 17.6 15.5
Tartu 22/4/2000 15.6 23.6 22.6 15.4
Valga 22/4/2000 13.5 16.2 14.7 15.3
Tartu 23/4/2000 17.3 19.4 21.4 12.3
Valga 23/4/2000 18.2 16.9 13.8 15.2

Skripti tööosa tegeleb vaid nende andmeridadega, mis klapivad regulaaravaldisega /Tartu/

#!/usr/bin/awk -f
BEGIN { print "Tartu õhutemperatuuri ööpäevane keskmine"
printf ("Teostati neli mõõtmist: 6:00 12:00 18:00 24:00\n\n")
print "koht kuupäev mõõtmistulemus"
}
/Tartu/ { keskmine = ( $3 + $4 + $5 + $6 ) / 4
printf ("%s %s %2.2f\n", $1, $2, keskmine)
}
END { printf ("\nMõõtmisi teostasid Priit ja Mart\n") }

Käivitamisel saame järgmise tulemuse

bash$ cat temperatuurid | tartu.keskm.temp.awk
Tartu õhutemperatuuri ööpäevane keskmine
Teostati neli mõõtmist: 6:00 12:00 18:00 24:00

koht kuupäev mõõtmistulemus
Tartu 19/4/2000 14.62
Tartu 20/4/2000 14.95
Tartu 21/4/2000 18.52
Tartu 22/4/2000 19.30
Tartu 23/4/2000 17.60

Mõõtmisi teostasid Priit ja Mart

===Funktsiooni defineerimine===

Funktsioonid defineeritakse väljaspool skripti osasid sellise süntaksi alusel

function funktsiooni.nimi (arg1, arg2, arg3) {
laused
return res1 res2
}

Esitame eelmise punkti viimase näite nii, et keskmine temperatuur leitakse funktsiooni abil

#!/usr/bin/awk -f
BEGIN { print "Tartu õhutemperatuuri ööpäevane keskmine"
printf ("Teostati neli mõõtmist: 6:00 12:00 18:00 24:00\n\n")
print "koht kuupäev mõõtmistulemus"
}
function kesktemp (m1, m2, m3, m4) {
keskmine = ( m1 + m2 + m3 + m4 ) / 4
return keskmine
}
/Tartu/ { printf ("%s %s %2.2f\n", $1, $2, kesktemp($3, $4, $5, $6)) }

END { printf ("\nMõõtmisi teostasid Priit ja Mart\n") }

===Tööosa kasutamise näited===

====SQL dump faili tükeldamine====

Olgu lähtepunktiks SQL dump fail sql.sql, mis sisaldab sarnaseid INSERT lauseid

INSERT INTO inimesed VALUES (1, 'Mart', 'Kask', 38709067463);
INSERT INTO inimesed VALUES (2, 'Priit', 'Kask', 38406087465);
INSERT INTO inimesed VALUES (3, 'Laa', 'Lee', 38701304463);
INSERT INTO inimesed VALUES (4, 'Koosinus', 'Pii', 31415926535);
...

Soovides jagada suure faili tükkideks nii, et iga tükk sisaldab 100 kirjet tuleb näiteks öelda

$ awk 'BEGIN{RS="\nINSERT INTO inimesed ";} { i=i+1; j= i % 100 ; if ( j == 1 ) fi=fi+1; if ( i > 1 ) printf \
("%s", "INSERT INTO inimesed ") >> "fn_"fi; print >> "fn_"fi ; printf ("%d\n", i); system ("sleep 1") }' sql.sql

Skriptis on näha tööosas selliste konstruktsioonide kasutamist

* aritmeetilised tehted ja võrdlused
* väljundi formateermine ja faili suunamine
* süsteemse käsu andmine

====Tabulatsioonimärkidega edaldatud väljade info kättesaamine failist====

$ awk 'BEGIN {FS="\t"; OFS="\t"} {print $1,$2}' large.txt > small.txt

===Awkiga sisendi jooksev lugemine ja töötlemine===

Jooksvalt töötav awk wrapper e vahekiht mis loeb ühelt töötavalt programmilt väljundit ja käitab vastavalt käske

Stardime programmi ja suuname ta väljundi wrapper skriptile, jätame mõlemad taustale tööle

/root/bin/programm | /root/bin/wrapper.sh &

Skript on ise selline, näiteskriptis loeb ta väljundist vaid kahte numbrit "1" ja "2". Esimesel juhul
saadab ta maili generaator ok, teisel juhul väljastab teate rike ja saadab emaili generaator töötab.

#!/usr/bin/awk -f
{
if ( $3 != "1" )
{
print " systeem toimib"
"echo \"generaator ok!\" | mail -s \"generaator ok!\" email@asdf.ee" | getline current_time
}
else
{
print " rike"
"echo \"generaator t22tab!\" | mail -s \"generaator t22tab!\" email@asdf.ee -c email@asdf.ee"" | getline current_time
}
}

===Lingid===

http://www.ee.ucl.ac.uk/~hamed/misc/awk1line.txt Awk näidete kogumik

https://wiki.itcollege.ee/index.php/Awk

http://www.cyberciti.biz/faq/bash-scripting-using-awk/ hea lühike manual

Squirrelmail kasutamine Debian Lennyga

2025-09-05T22:20:17Z

Erkko:

===Sissejuhatus===

Squirrelmail http://squirrelmail.org/ on veebipõhine eposti klient, mis töötab tavaliselt teenusepakkuja serveris ja kuhu kasutaja pöördub oma brauseriga. Squirrelmail sisaldab eposti kasutamiseks olulist funktsionaalsust esitades samal ajal nii veebiserverile kui kasutaja brauserile minimaalselt nõudeid. 2009 aasta keskel on paketihalduses oleva Squirrelmaili versioon 1.4.15.

Veebimaili kasutamine on populaarne ja kasutajale mugav seetõttu, et kasutaja arvutisse ei pea paigaldama ja seadistama mingit eposti-spetsiifilist tarkvara. Kuna kõik eposti puudutavad andmed, saadetud ja vastuvõetud kirjad, aadressraamat jms asuvad serveris, ei pea kasutaja muretsema nende varundamise pärast (eeldusel, et seda teeb teenusepakkuja).

===Tööpõhimõte===

Squirrelmail sisaldab ainult IMAP v.4 postimasinaga suhtlemiseks vajalikku veebiliidest, st ta ei pea ise kasutajate kirjadega postkaste vms. Joonisel võiks kujutada eposti kasutamise komponente selliselt

kasutaja brauser

|
v

veebiserver
( Squirrelmail rakendus )

^ |
kirjade lugemine | | kirjade saatmine
IMAP | | SMTP või /usr/sbin/sendmail
| v

Cyrus (IMAP server) Postfix

postimasin

kus

* kasutaja pöördub brauseriga veebiserveris töötava Squirrelmail rakenduse poole
* kui kasutaja loeb veebiserveris töötava rakenduse kasutajaliideses kirju, siis kopeerib rakendus IMAP serverist andmeid
* kui kasutaja saadab kasutajaliideses kirju, siis sõltuvalt rakenduse seadistusest saadetakse kiri otse üle võrgu SMTP serverile või lokaalselt nn /usr/sbin/sendmail programmi poolt (see eeldab, et veebiserverisse on samuti MTA, nt Postfix paigaldatud)
* kõige all on kujutatud postimasinat, kus töötab kirjade lugemiseks vajalik IMAP server, nt Cyrus ja kirjade saatmiseks vajalik server, nt Postfix; need teenused võivad esineda ka kahes erinevas postimasinas

===Ettevalmistused Squirrelmaili kasutamiseks===

Kuna Squirrelmail on veebirakendus, siis Squirrelmaili kasutamine eeldab

* töötavat veebiserverit, nt võiks kasutada Apache tarkvara
* töötavat kasutaja postikasti, nt Cyrus tarkvara abil realiseeritud postimasinat
* töötavat smtp releed, mille abil saab veebirakendus kirju välja saata

===Tarkvara paigaldamine===

Tarkvara paigaldamiseks tuleb öelda

# apt-get install squirrelmail
...
Installing default squirrelmail config.
Run /usr/sbin/squirrelmail-configure as root to configure/upgrade config.
...

Squirrelmaili pakett sisaldab

* /etc/squirrelmail - programmi seadistusfailid
* /etc/cron.daily/squirrelmail - crontabi töö nö ajutiste andmete puhastamiseks
* /usr/share/squirrelmail - veebirakendus
* /usr/sbin/squirrelmail-configure - seadistusprogramm (õieti link sellele)

===Squirrelmaili seadistamine===

Squirrelmaili seadistamine koosneb kahest osast

* Squirrelmaili enda seadistamine, nt IMAP serveri asukoha näitamine
* Squirrelmaili Apache veebiserveriga kokkuühendamine

====Squirrelmaili programmi seadistamine====

Squirrelmaili seadistamiseks sobib peale tarkvara paidaldamist öelda

# /usr/sbin/squirrelmail-configure

ning avaneb selline seadistusliides

[[Pilt:Squirrelmail-1.gif]]

Oluline on näidata

* kasutatav IMAP serveri nimi 'D' valimisega, nt cyrus
* IMAP aadress ja port

Squirrelmail hoiab oma seadistusi failis /etc/squirrelmail/config.php ja seda faili sisaldavas kataloogis. Lisaks on olulised kataloogid

* /var/lib/squirrelmail/data - kasutajate seadistused, nt mart.pref
* /var/spool/squirrelmail/attach - kataloog kirja lisadega töötlemiseks, nt mart.abook

====Squirrelmaili ühendamine Apache veebiserveriga====

Paketis sisaldub Apache seadistusfaili näidis failis /etc/squirrelmail/apache.conf mida on sobiv vastavas Apache virtuaalhostis kasutada, nt

<VirtualHost ...>

...
Include /etc/squirrelmail/apache.conf
</VirtualHost>

Tulemusena on vaikimisi Squirrelmaili kasutajaliides ligipääsetav aadressil http://www.loomaaed.tartu.ee/squirrelmail/, aadressi viimast osa saab juhtida inkluuditud failis Alias direktiiviga.

===Kasutamine===

Squirrelmaili kasutamiseks tuleb avada brauseris veebiserveri Squirrelmaili rakenduse aadress ning logida sisse oma IMAP postkasti ligipääsudega, tulemusena avaneb sarnane pilt

[[Pilt:Squirrelmail-3.gif]]

===Märkused===

* imapproxy paketist võib olla abi veebiseveri ja imap arvuti vahelise suhtlemise koormuse vähendamisel
* Veebimeili kasutamisel tuleb arvestada, et võõrast arvutit kasutades võib jääda brauserisse maha olulisi jälgi loetud meilist, nt brauseri cache'i või kui peale kasutamist ei logita korrektselt välja, siis saab arvuti omanik nö kasutamist jätkata.
* Veebimeili kasutajaliides on soovitav seadistada käima üle https:// kanali.
* Kui postimasina ja selle veebiserveri, kus töötab Squirrelmaili rakendus vahel on märkimisväärne vahekaugus, saab Squirrelmaili vahenditega korraldada IMAPS ühenduse; lisaks on võimalik kasutada nö generic lahendusi, nt Stunnelit.
* Attachmenti maksimaalse suuruse muutmine käib läbi php muutujate http://squirrelmail.org/wiki/AttachmentSize

===Kasulikud lisamaterjalid===

* [[:Cyruse kasutamine Postfixi ja Debianiga]]
* zless /usr/share/doc/squirrelmail/README.Debian.gz
* http://squirrelmail.org/

Squirrelmail kasutamine Debian Lennyga

2025-09-05T22:19:36Z

Erkko: typod

===Sissejuhatus===

Squirrelmail http://squirrelmail.org/ on veebipõhine eposti klient, mis töötab tavaliselt teenusepakkuja serveris ja kuhu kasutaja pöördub oma brauseriga. Squirrelmail sisaldab eposti kasutamiseks olulist funktsionaalsust esitades samal ajal nii veebiserverile kui kasutaja brauserile minimaalselt nõudeid. 2009 aasta keskel on paketihalduses oleva Squirrelmaili versioon 1.4.15.

Veebimaili kasutamine on populaarne ja kasutajale mugav seetõttu, et kasutaja arvutisse ei pea paigaldama ja seadistama mingit eposti-spetsiifilist tarkvara. Kuna kõik eposti puudutavad andmed, saadetud ja vastuvõetud kirjad, aadressraamat jms asuvad serveris, ei pea kasutaja muretsema nende varundamise pärast (eeldusel, et seda teeb teenusepakkuja).

===Tööpõhimõte===

Squirrelmail sisaldab ainult IMAP v.4 postimasinaga suhtlemiseks vajalikku veebiliidest, st ta ei pea ise kasutajate kirjadega postkaste vms. Joonisel võiks kujutada eposti kasutamise komponente selliselt

kasutaja brauser

|
v

veebiserver
( Squirrelmail rakendus )

^ |
kirjade lugemine | | kirjade saatmine
IMAP | | SMTP või /usr/sbin/sendmail
| v

Cyrus (IMAP server) Postfix

postimasin

kus

* kasutaja pöördub brauseriga veebiserveris töötava Squirrelmail rakenduse poole
* kui kasutaja loeb veebiserveris töötava rakenduse kasutajaliideses kirju, siis kopeerib rakendus IMAP serverist andmeid
* kui kasutaja saadab kasutajaliideses kirju, siis sõltuvalt rakenduse seadistusest saadetakse kiri otse üle võrgu SMTP serverile või lokaalselt nn /usr/sbin/sendmail programmi poolt (see eeldab, et veebiserverisse on samuti MTA, nt Postfix paigaldatud)
* kõige all on kujutatud postimasinat, kus töötab kirjade lugemiseks vajalik IMAP server, nt Cyrus ja kirjade saatmiseks vajalik server, nt Postfix; need teenused võivad esineda ka kahes erinevas postimasinas

===Ettevalmistused Squirrelmaili kasutamiseks===

Kuna Squirrelmail on veebirakendus, siis Squirrelmaili kasutamine eeldab

* töötavat veebiserverit, nt võiks kasutada Apache tarkvara
* töötavat kasutaja postikasti, nt Cyrus tarkvara abil realiseeritud postimasinat
* töötavat smtp releed, mille abil saab veebirakendus kirju välja saata

===Tarkvara paigaldamine===

Tarkvara paigaldamiseks tuleb öelda

# apt-get install squirrelmail
...
Installing default squirrelmail config.
Run /usr/sbin/squirrelmail-configure as root to configure/upgrade config.
...

Squirrelmaili pakett sisaldab

* /etc/squirrelmail - programmi seadistusfailid
* /etc/cron.daily/squirrelmail - crontabi töö nö ajutiste andmete puhastamiseks
* /usr/share/squirrelmail - veebirakendus
* /usr/sbin/squirrelmail-configure - seadistusprogramm (õieti link sellele)

===Squirrelmaili seadistamine===

Squirrelmaili seadistamine koosneb kahest osast

* Squirrelmaili enda seadistamine, nt IMAP serveri asukoha näitamine
* Squirrelmaili Apache veebiserveriga kokkuühendamine

====Squirrelmaili programmi seadistamine====

Squirrelmaili seadistamiseks sobib peale tarkvara paidaldamist öelda

# /usr/sbin/squirrelmail-configure

ning avaneb selline seadistusliides

[[Pilt:Squirrelmail-1.gif]]

Oluline on näidata

* kasutatav IMAP serveri nimi 'D' valimisega, nt cyrus
* IMAP aadress ja port

Squirrelmail hoiab oma seadistusi failis /etc/squirrelmail/config.php ja seda faili sisaldavas kataloogis. Lisaks on olulised kataloogid

* /var/lib/squirrelmail/data - kasutajate seadistused, nt mart.pref
* /var/spool/squirrelmail/attach - kataloog kirja lisadega töötlemiseks, nt mart.abook

====Squirrelmaili ühendamine Apache veebiserveriga====

Paketis sisaldub Apache seadistusfaili näidis failis /etc/squirrelmail/apache.conf mida on sobiv vastavas Apache virtuaalhostis kasutada, nt

<VirtualHost ...>

...
Include /etc/squirrelmail/apache.conf
</VirtualHost>

Tulemusena on vaikimisi Squirrelmaili kasutajaliides ligipääsetav aadressil http://www.loomaaed.tartu.ee/squirrelmail/, aadressi viimast osa saab juhtida inkluuditud failis Alias direktiiviga.

===Kasutamine===

Squirrelmaili kasutamiseks tuleb avada brauseris veebiserveri Squirrelmaili rakenduse aadress ning logida sisse oma IMAP postkasti ligipääsudega, tulemusena avaneb sarnane pilt

[[Pilt:Squirrelmail-3.gif]]

===Märkused===

* imapproxy paketist võib olla abi veebiseveri ja imap arvuti vahelise suhtlemise koormuse vähendamisel
* Veebimeili kasutamisel tuleb arvestada, et võõrast arvutit kasutades võib jääda brauserisse maha olulisi jälgi loetud meilist, nt brauseri cache'i või kui peale kasutamist ei logita korrektselt välja, siis saab arvuti omanik nö kasutamist jätkata.
* Veebimeili kasutajaliides on soovitav seadistada käima üle https:// kanali.
* Kui postimasina ja selle veebiserveri, kus töötab Squirrelmaili rakendus vahel on märkimisväärne vahekaugus, saab Squirrelmaili vahenditega korraldada IMAPS ühenduse; lisaks on võimalik kasutada nö generic lahendusi, nt Stunnelit.
* Attachmendi maksimaalse suuruse muutmine käib läbi php muutujate http://squirrelmail.org/wiki/AttachmentSize

===Kasulikud lisamaterjalid===

* [[:Cyruse kasutamine Postfixi ja Debianiga]]
* zless /usr/share/doc/squirrelmail/README.Debian.gz
* http://squirrelmail.org/

SPF kasutamine Postfixiga

2025-09-03T23:20:57Z

Erkko:

=Sissejuhatus=

SPF http://www.openspf.org/ ...

SPF kontroll käib '''ümbriku''' saatja (envelope from) pihta (ehk siis kirja body sees olev From).

SPF on Sender Policy Framework, mis peaks koostöös [[DKIM_ja_DMARC | DKIM ja DMARCiga]] tänapäevaste meetoditega võitlema spämmi saatmise vastu.

SPF töötab kirja VASTUVÕTVAS postiserveris ja kontrollib saatja domeeni ja kirja saatnud e-posti serveri vastavust.

SPF on TXT nimekirje nimeserveris ja koosneb:

"v=spf1 a mx -all"

== TXT kirje komponendid ==
* v= - versioon, hetkel ainuke valiidne spf1
* [a mx ... jne] - määrab ära, kes võib kirja saata
* -all - vt piirangud

== kirjasaatja võimalused ==
* a - lubab kirjasaatmise domeeni A kirjelt (dünaamiline, st muutes A kirjet kehtib SPF reegel edasi)
* mx - lubab kirjasaatmise domeeni MX kirjelt (dünaamiline, st muutes MX kirjet kehtib SPF reegel edasi)
* include:_spf.protection.uusdomeen.ee - includeb _spf.protection.uusdomeen.ee kirje sinu kirje sisse (samuti dünaamiline, kuna selle kirje muutumisel muutub ka sinu kirje)
* 193.40.0.2/32 - võid kasutada IPd ja/või vahemikku kirjasaatmise lubamisel

== Piirangud ==
* -all - range "fail" - keela kõik ülejäänud
* ~all - pehmem "softfail" - hoiata kirjasaajat ja suhtu ettevaatlikkusega
* ?all - veelpehmem "neutral" - neutraalne olek, suhtutakse samamoodi nagu SPF kirjet "ei oleks"
* +all - vägapehme "pass" - SPF kirje küll on, aga lase kõik teised ka läbi

=Tarkvara paigaldamine=

SPF tarkvara paigaldamiseks sobib öelda

# apt-get install postfix-policyd-spf-python

=Nimesüsteemi ettevalmistamine=

spf.py skriptiga saab testida SPF DNS TXT kirjet, nt selliselt

* küsida domeeni SPF andmeid

$ python /usr/share/pyshared/spf.py loomaaed.tartu.ee
v=spf1 ip4:192.168.10.0/24 mx a:mail.loomaaed.tartu.ee ~all

* Testida ettenäidatud SPF andmetele vastavalt tulemust

$ python /usr/share/pyshared/spf.py "v=spf1 +mx +ip4:10.0.0.2 -all" 10.0.0.1 mart@loomaaed.tartu.ee a
('fail', 550, 'SPF fail - not authorized') -all

==null SPF kirjed==

www.loomaaed.tartu.ee. IN TXT "v=spf1 -all"

==SPF seadistamine kirju vastuvõtva Postfixi juures==

Kirju vastuvõtva Postfixi juures juhib SPF tööd seadistusfail /etc/postfix-policyd-spf-python/policyd-spf.conf, mille sisu on vaikimisi selline ja võiks üldiselt sobida kasutamiseks

# cat /etc/postfix-policyd-spf-python/policyd-spf.conf
debugLevel = 1
defaultSeedOnly = 1

HELO_reject = SPF_Not_Pass
Mail_From_reject = Fail

PermError_reject = False
TempError_Defer = False

skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0//104,::1//128

kus

* debugLevel - määrab mail.log faili logi kirjutamise määra
* defaultSeedOnly - väärtus 0 kasutamisel posti liiklust SPF ei muuda, kuid kirjadele lisatakse vastavad päised
* HELO_reject -
* Mail_From_reject -
* PermError_reject - kontrollib, mida teha, kui vasvata SPF TXT nimekirje lahendamisel saadakse vastuseks katkine kirje, nt kirjes esineb süntaksiviga; False puhul käsitletakse sellist olukorda samaväärselt kirje puudumisega

action=prepend Received-SPF: Permerror (SPF Permanent Error: Invalid IP4 address: ip4:1.2.3.4.5)

* TempErrorDefer - kontrollib, mida teha kui, kui vasvata SPF TXT nimekirje lahendamine ei õnnestu, nt vastavalt nimeserverilt ei saada vastust; False puhul käsitletakse sellist olukorda samaväärselt kirje puudumisega

action=defer_if_permit Message deferred due to: SPF Temporary Error: DNS no working nameservers found.

Kasulikud lisamaterjalid

* man policyd-spf.conf

=SPF testimine=

Öelda

$ python /usr/bin/policyd-spf /etc/postfix-policyd-spf-python/policyd-spf.conf < /tmp/sisend
action=prepend Received-SPF: None (no SPF record) identity=mailfrom; \
client-ip=192.168.0.1; helo=mail.loomaaed.tartu.ee; envelope-from=mart@loomaaed.tartu.ee; receiver=priit@eesti.ee

kus

$ cat /tmp/sisend
request=smtpd_access_policy
protocol_state=RCPT
protocol_name=SMTP
helo_name=mail.loomaaed.tartu.ee
sender=mart@loomaaed.tartu.ee
recipient=priit@eesti.ee
client_address=192.168.0.1
TÜHI RIDA JA REA LÕPUS REAVAHETUS

=Postfixi seadmistamine=

Seadista main.cfi
# postfix-spf kasutamine
policy-spf_time_limit = 3600s

ja muutujasse

smtpd_recipient_restrictions=

lisa väärtus
check_policy_service unix:private/policy-spf

'''NB! policy-spf peab kattuma sellega, mida kasutad master.cf failis!'''

master.cf täienda järgnevalt

# SPF reeglid
policy-spf unix - n n - 0 spawn
user=nobody argv=/usr/bin/policyd-spf

=Süsteemi kasutamine=

TODO

=SRS=

Sender Rewrite Scheme

TODO

=Märkused=

* TODO

=Kasulikud lisamaterjalid=

* [[:Postfix]]
* http://www.postfix.org/SMTPD_POLICY_README.html
* [[:Spam]]
* http://en.wikipedia.org/wiki/Sender_Policy_Framework
* http://en.wikipedia.org/wiki/Sender_Rewriting_Scheme
* http://www.rfc-editor.org/rfc/rfc4408.txt
* http://homepage.ntlworld.com./jonathan.deboynepollard/Proposals/IM2000/
* http://www.openspf.org/SRS
* https://www.sidn.nl/en/news-and-blogs/hands-on-implementing-spf-dkim-and-dmarc-in-postfix
* https://domainaware.github.io/parsedmarc/ raportitest graafikute joonistaja

DKIM ja DMARC

2025-09-03T23:17:07Z

Erkko:

DKIM ja DMARC on kaks venda kolmest (kolmas on SPF, millel on eraldi peatükk [[SPF_kasutamine_Postfixiga]]), mida loetakse tänapäevase e-mailinduse kaitsjateks.

DKIM tähendab DomainKeys Identified Mail
DMARC tähendab Domain-based Message Authentication Reporting and Conformance

Näites on kasutatud Arch Linuxit, Postfixi ja OpenDKIM ja OpenDMARC tarkvarasid.
Eeldatud on, et Postfix on juba esialgselt seadistatud.

= DKIM =
DKIM mõte on selles, et väljuvatele kirjadele pannakse päisesse lisainformatsioon kirja allkirjastamise kohta. Käesoleval hetkel kasutatakse RSA võtmeid (vaikimisi 1024bit). Väga suuri võtmeid ei soovitata kasutada, kuna avalik võti ei pruugi ära mahtuda UDP vastusesse*. Lisaks võib suurem võti põhjustada suurt koormust arvuti protsessorile (olenevalt muidugi kirjade "käibest"/mahust).

DKIM seadistamisel on alustuseks vaja DKIMi takrvara seadistada ja seejärel nimeserverisse lisada oma domeenile TXT kirje (kui soovid väljuvaid kirju allkirjastama hakata).
TXT kirje peab olema kujul: selector._domainkey.uusdomeen.ee ja selle sisu
"v=DKIM1; k=rsa; s=email;" "p=avalik võti base64 encodingus"

<nowiki>*</nowiki> - Siit tuleb ka välja UDP vastuse mõte - kuna DNS päringud on UDP, siis peab kogu TXT päring mahtuma UDP vastusesse ära.

== TXT kirje komponendid ==
* v= - versioon, hetkel ainuke valiidne väärtus DKIM1
* k= - võtmetüüp, hetkel ainuke valiidne väärtus rsa
* s= - teenuse tüüp, vaikimisi on "*", võimalik ka "email" (NB! Selector ja service type on erinevad tähendused/väärtused
* p= - avalik võti base64 encodingus

"Lihtsam" kirjaviis oleks:

"v=DKIM1; p=võti..."

DKIMi puhul lähtutakse kahest eraldi kirja mõlemast sektsioonist: header ja body. Mõlema jaoks on võimalik reegel kirjutada - kas range/leebe.

== OpenDKIM seadistamine ==

Paigalda DKIM tarkvara kasutades pakihaldust

pacman -Sy opendkim

Tekib töötav konfiguratsioonifail
/etc/opendkim/opendkim.conf

Tutvu sellega ja seadista vastavalt.

=== Konfiguratsioon ===

Vaikimisi töötab opendkim '''sign''' ja '''verify''' režiimis. Seda saad muuta Mode parameetriga:
* sv - sign + verify
* v - verify
* s - sign
Vaikimisi piisab verify režiimist, sellisel juhul valideeritakse ainult sissetulevaid kirju. Kui soovid ka oma domeene allkirjastada, pead kasutama sign režiimi lisaks.

'''Verify''' töötab ilma lisaseadistuseta. Veendu vaid, et nimelahendus töötab. ;)

Lisks on olulised konfiguratsiooniparameetrid '''SigningTable''', '''KeyTable''' ja '''InternalHosts'''.

* SigningTable - sisaldab saatja domeeni ja võtme vastavust.
* KeyTable - sisaldab iga selectori ja domeeni paari ning privaatvõtme asukohta.
* InternalHosts - sisaldab domeene/IP-sid, millelt tulnud kirju signeeritakse (ülejäänuid ainult verifitseeritakse).

Canonicalization määrab ära kuidas suhtutakse header/body muutumisse. Ehk siis vaikimisi on rangem režiim ('''simple/simple'''). See tähendab, et header/body puhul ei lubata peaaegu mingit ümberkirjutamist.
Soovitusi on kahtepidiseid, aga siin näites on arvestatud pigem sellega, et päiseid võib ümber kirjutada ('''relaxed''') ja sisu mitte ('''simple''')

# kirja header/body jaoks - väärtused simple või relaxed
Canonicalization relaxed/simple

=== Socket või IP ===
Kui DKIMile tullakse ligi vaid kohalikust masinast, siis on mõistlik kasutada socketit.
IP peale konfigureerides pead veenduma, et sinna ei saa keegi võõras ligi (vastasel juhul saab ta sinna ju saata oma soovitud kirja allkirjastamiseks jmt "jubedusi" teha).

Selle jaoks konfigureeri vastavalt soovile:
#Socket inet:8891@localhost
Socket local:/run/opendkim/opendkim.sock

Näites siis tehakse socket asukohta /run/opendkim/opendkim.sock

'''NB! Seda pead kasutama pärast ka Postfixi konfiguratsioonis.'''

Selleks, et postfix saaks opendkimile ligi on soovituslik opendkim lisada postfix gruppi:

usermod -a -G postfix opendkim

Sellisel juhul on vaja ka konfiguratsioonis umask paika panna (et socketi õigused oleksid rwxrwx---)

UMask 007

== Uue allkirjastatava tsooni lisamine ==

Lisa vajadusel InternalHost faili uus kirje.

Tekita võtmete jaoks uus kaust (kui juba pole) ja sinna alla loodava domeeni jaoks kaust, näiteks:

mkdir -vp /etc/opendkim/keys/uusdomeen.ee

Vaheta kausta

cd /etc/opendkim/keys/uusdomeen.ee

ja tekita uus tsoon käsuga

opendkim-genkey --restrict --domain uusdomeen.ee --bits 1024 --selector default

võid muuta väärtusi vastavalt vajadusele. Arvesta, et --bits on vaikimisi 1024. Kui kasutad konfis mingit muud MinimumKeyBits suurust, siis pead seda arvestama võtme loomisel.

Seepeale tehakse sulle kaks faili (--selector argumendile vastavalt): nimeserveri jaoks TXT kirje ja privaatvõti (default.private ja default.txt).

Muuda KeyTable faili, lisades sinna

default._domainkey.uusdomeen.ee uusdomeen.ee:default:/etc/opendkim/keys/uusdomeen.ee/default.private

Muuda SigningTable faili, lisades sinna

uusdomeen.ee default._domainkey.uusdomeen.ee

SigningTable faili puhul olen kohanud ka kirjapilti esimeses väljas *@uusdomeen.ee. Oleneb vist sellest, kas konfis on vaikimisi alamdomeenide allkirjastamine ka sees. Ülanäite puhul tehakse (kuna klapib), aga *@ näite puhul pigem mitte, sest et reegel kehtib vaid @uusdomeen.ee puhul (mitte @alamdomeen.uusdomeen.ee).

'''Mõlema faili puhul arvesta oma domeeni ja selectori ja kaustapuuga! :)'''

Nüüd mine oma nimeserveri haldusesse (või palu seda kellelgi teha) ja täienda seda TXT kirjega:

<pre>
default._domainkey.uusdomeen.ee IN TXT ( "v=DKIM1; k=rsa; s=email; "
"p=avalik_võti_base64_encodingus" ) ;
</pre>
Olen kohanud ka kirjapilti ilma jutumärkideta. Sellisel juhul peaks kogu kirje olema ilma. Selles näites on mõlemad osad omaette jutumärkidega.

== Kirja näidispäised ==
Ühe DKIMi poolt allkirjastatud näidiskirja päisest võib leida

<pre>
DKIM-Filter: OpenDKIM Filter v2.10.3 mxfilter.uusdomeen.ee 861BF8005D
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=uusdomeen.ee;
s=default; t=1570605036;
bh=LQZPc7Ca6aVneKHX25GlrXx4Xtkwjb0tLZwuCasB0MU=;
h=From:To:Subject:Date;
b=e2QagT5U4OjBPjTA7sHdGDAMR9R/UilD6TOsXavn5C3Kg49mIMZXsYF6XF30U5uS3
uB6GRQZwZDQR6C3R1adTSW4qlgTN3eZzREm8DhNthDTG4nsmucOdSNYsFkQBuTgShJ
V5b/2kOyFAjEeiI9UqIf8gcy6F6uiJhOhKQLQG3Y=
</pre>

h=From:To:Subject:Date;
Tunnetuslik selgitus hetkel, aga h= peaks näitama neid päiseid, mis olid olemas kirja allkirjastamise hetkel. RFC seletab keeruliselt?

== Postfixiga integreerimine ==

Lisa Postfixi main.cf' faili

<pre>
# DKIM reeglid
smtpd_milters = unix:/run/opendkim/opendkim.sock
non_smtpd_milters=$smtpd_milters
milter_default_action = accept
</pre>

== Probleemid DKIMiga ==
Kui kasutad rohkem kui ühte väljuvat e-postiserverit sama domeeni kirjade saatmiseks (nt mailchimp või mõni muu masspostitustööriist), siis peaksid seadistama kõigile DKIMi kasutamise. Vastasel juhul on osad kirjad varustatud DKIMi päisega ja osad mitte. Kuna aga su nimeserverist tuleb DKIMi vastus - mis osutub valideerimisel valeks - võib saaja kirja kas minema visata või karantiini või junki panna.

'''DKIMi võtmeid võib olla rohkem kui üks ja neid saad (pead) eraldada selektoriga!'''

= DMARC =

DMARC (Domain-Based Message Authentication, Reporting & Conformance) on protokoll, mis ehitab ennast juba olemasolevate SPF ja DKIM protokollide peale lisades autori, domeeni nime, soovitused kirjade käitlemiseks ning võltskirjade eest kaitseks teated domeeni haldurile.

DMARC seadistatakse analoogselt kahe vennaga nimeserveris ja selle ilmestamiseks on _dmarc.uusdomeen.ee TXT kirje sisuga:

"v=DMARC1;p=reject;sp=none;rua=<nowiki>mailto:dmarcreports@uusdomeen.ee</nowiki>"

DMARC kontrollib '''kirja''' From: (header from) päist.
SPF kontroll käib aga '''ümbriku''' saatja (envelope from) pihta. Kui need domeenid erinevad ja kirjal DKIM allkirja pole, siis DMARC kontroll ebaõnnestub!

== TXT kirje komponendid ==
* v= - versioon, hetkel ainuke valiidne väärtus DMARC1
* p= - policy/poliitika - soovitus, mida kirjadega teha
* sp= - poliitika alamdomeenide jaoks (kui pole öeldud eraldi), väärtused samad mis p
* rua, fo, rf, ri - vaata [[#Aruanded]] alampeatükki
'''NB! p= peab olema kohe peale v= parameetrit!'''

== Aruanded ==

DMARC reeglite poolt on võimalik nendelt e-posti serveritelt aruannete küsimine, kuhu kirju on saadetud.

Aruannete (Raporting) kohta on neli väärtust TXT kirjes võimalik määrata:

* fo= - mille kohta aruandeid saadetakse
* rf= - raporti formaat
* ri= - intervall kui tihti raportit saadetakse (vaikimisi 24h)24h).
* rua= - raporti saatmise aadress, formaat <nowiki>mailto:dmarcreports@example.com</nowiki>.
* ruf= - detailsem analüüs DMARCi kohta, peab olema samas domeenis mille kohta DMARC kirje on, formaat <nowiki>mailto:dmarcreports@example.com</nowiki>.

Mitu emaili on lubatud panna, kirje on siis midagi sellist <nowiki>rua=mailto:dmarcreports@example.com,mailto:teine@domeen.ee</nowiki>.

== OpenDMARC seadistamine ==

Paigalda pakihaldusest opendmarc pakk

pacman -Sy opendmarc

Tekib töötav konfiguratsioonifail

/etc/opendmarc/opendmarc.conf

=== Konfiguratsioon ===
Tutvu sellega ja seadista vastavalt. Soovituslik on example/esialgsed väärtused alles jätta.
Konfiguratsioon on piisavalt ''self-explanatory''.

Selleks, et opendmarc tarkvara töötaks Postfixiga samas grupis oleks mõistlik seadistada opendmarc service käivitusel:

mkdir -vp /etc/systemd/system/opendmarc.service.d/
cat > /systemd/system/opendmarc.service.d/override.conf <<EOT
[Service]
Group=
Group=postfix
EOT

=== Socket või IP ===
Kui DMARCile tullakse ligi vaid kohalikust masinast, siis on mõistlik kasutada socketit.

Selle jaoks konfigureeri vastavalt soovile:

# Socket inet:8893@localhost
Socket unix:/run/opendmarc/opendmarc.sock

Näites siis tehakse socket asukohta /run/opendmarc/opendmarc.sock

NB! Seda pead kasutama pärast ka Postfixi konfiguratsioonis.

Selleks, et postfix saaks opendkimile ligi on soovituslik opendkim lisada postfix gruppi:

usermod -a -G postfix opendkim

Sellisel juhul on vaja ka konfiguratsioonis umask paika panna (et socketi õigused oleksid rwxrwx---)

UMask 007

== Postfixiga integreerimine ==

Vaata ka OpenDKIM Postfixiga integreerimine.

Postfixi main.cf' faili tuleb lisada

# DKIM reeglid
smtpd_milters = unix:/run/opendmarc/opendmarc.sock

Kui sul juba on olemas smtpd_milters muutuja, siis jäta opendkim ettepoole ja dmarc tahapoole.

Veendu, et sul oleks seadistatud ka:

non_smtpd_milters=$smtpd_milters
milter_default_action = accept

Mailisaatmise teel SPF/DKIM/DMARC -testimiseks saata email aadressile check-auth@verifier.port25.com millelt saabuvas vastuses on kirjas, millisena nad saabunud emaili antud kontekstis näevad.

= Lingid =
* Zone DKIM: https://help.zone.eu/kb/dkim/
* Zone DMARC: https://help.zone.eu/kb/dmarc-reeglid/
* OpenDMARC - http://www.trusteddomain.org/opendmarc/
* OpenDKIM - http://opendkim.org/
* DKIM RFC4871 - http://dkim.org/specs/rfc4871-dkimbase.html
* Abiks DMARC'i seadistamisel - https://www.kitterman.com/dmarc/assistant.html
* DKIM, DMARC valideerimine ja tagasiside (vt Tools menüüst juurde): https://www.dmarcanalyzer.com/dmarc/dmarc-record-check/
* https://dmarcian.com/domain-checker/
* https://tools.wordtothewise.com/authentication

Kahetasemelise Postfix'i süsteemi kasutamine Debianiga

2025-09-03T22:53:34Z

Erkko: kjrijawigaš

===Sissejuhatus===

Turvalisuse, jõudluse või lihtsalt süsteemi modulaarsuse asjaoludest lähtudes seadistakse vahel Postfix süsteemi käima kahetasemeliselt, nö kahel perimeetril, sealjuures kõige ees saab täiendavalt pidada greylistingut.

* greylisting - esimene perimeeter
* relee - teine perimeeter, internetist smtp ühenduste vastuvõtmine, adressaadikontroll, viirustõrje ning spämmianalüüs
* delivery - kolmas perimeeter, kirjade postkastidesse jagamine ja aliaste alusel edasisaatmine, listimootorid

internet

|
__|__
| |
| TM | OpenBSD spamd (greylisting)
|_____|
|
|
----|--------|-----------------------------------|------
| |
__|__ __|__
| | | |
|_____| |_____|

RELEE-MTA1 DELIVERY-MTA2
ClamAV @lists.loomaaeed.tartu.ee listid
Spamassassin @loomaaed.tartu.ee postkastid

===Relee seadistamine===

Relee arvuti võtab kirjad internetist vastu, aga ei teosta nendega local deliverit, vaid peale adressaadikontrolli ning viiruse ja spämmi kontrolle saadab edasi delivery arvutile.

====Adressaadikontroll====

Kahetasemelise Postfixi süsteemi puhul on oluline, et relee kontrolliks vastuvõetud kirja adressaati selleks, et saaks sama smtp sessiooni sees anda vajadusel smtp kliendile 550 veateate 'Recipient address rejected: User unknown in relay recipient table'. Vastasel korral võtab relee olematu adressaadile saadetud kirja vastu, pöördub delivery arvuti poole, saab sealt ise 550 teate ja saadab tema poole algselt pöördunud kasutaja envelope aadressil uue kirja veateatega. Kuna aga väga suure tõenäosusega on olematule adressaadile saadetud kiri võltsitud ümbriku aadressidega, siis raiskab postisüsteem asjata oma ressurssi ning risustab internetti järjekordse mõttetu kirjaga, efektiivselt ise spämmi tekitades. Sellise järgnevuse tulemusel saadetud veateate kohta öeldakse "backscatter".

Adressaati saab kontrollida relee arvutis relay_recipient_maps direktiiviga, nt selliselt

relay_recipient_maps = hash:/etc/postfix/relay_recipients pgsql:/etc/postfix/relay_recipients-pgsql

kus fail /etc/postfix/relay_recipients-txt sisaldab adressaatide või domeeninimede nimekirja, nt

mart@loomaaed.tartu.ee
priit@loomaaed.tartu.ee
@test.loomaaed.tartu.ee

baasi genereerimiseks tuleb öelda

# postmap /etc/postfix/relay_recipients-txt

/etc/postfix/relay_recipients-pgsql sisaldab baasi ühenduse kirjeldust, nt

user = cyrus_auth
password = parool
hosts = baas.looomaaed.tartu.ee
dbname = postisysteem
table = tla.cyrus_auth
select_field = rcpt
where_field = alias

Kas adressaat on kontrollitav saab testida öeldes

# postmap -q mart@loomaaed.tartu.ee pgsql:/etc/postfix/relay_recipients-pgsql
mart@cyrus.tla

Olematu aadressi küsimisel ei anta vastust ning exit code on 1.

Logis paistab, et andmevahetus kliendiga lõpetati enne kirja sappa võtmist, NOQUEUE (ingl. k. sabasse mitte lisatud)

Jul 8 19:54:09 smtp1a postfix/smtpd[15869]: NOQUEUE: reject: RCPT from vmail.sone.ee[192.168.5.205]: \
550 5.1.1 <tonn.saadre@loomaaed.tartu.ee>: Recipient address rejected: User unknown in relay recipient table; \
from=<tiiterror@bmail.com> to=<tonn.saadre@loomaaed.tartu.ee> proto=ESMTP helo=<vmail.sone.ee

====Viiruste ja spämmi analüüs====

Viirute ja spämmi analüüsi saab relee arvutis korraldada tarkvaraga Amavis, ClamAV ja Spamassassin nii nagu on juhatatud tekstis http://kuutorvaja.eenet.ee/wiki/Amavis_kasutamine_Debian_Lenniga

====SMTP ruuting====

Nn SMTP ruutingu abil saadab relee vastuvõetud posti edasi delivery arvutile. /etc/postfix/main.cf failis tuleb smtp ruutingu tegemiseks kasutada selliseid direktiive

relay_domains = loomaaed.tartu.ee
transport_maps = hash:/etc/postfix/transport

ja transport map failis rida

loomaaed.tartu.ee :[localdelivery.loomaaed.tartu.ee]

map'i moodustamiseks öelda

# postmap /etc/postfix/transport

tulemusena tekib faili

# file /etc/postfix/transport.db
/etc/postfix/transport.db: Berkeley DB (Hash, version 9, native byte-order)

===Delivery seadistamine===

Delivery arvuti võtab kirju vastu ainult relee arvutilt ning teostab local delivery või saadab kirjad edasi vastavalt aliaste lahendumisele.

main.cf failis sisaldub mydestination real domeeninimi

mydestination = localhost, loomaaed.tartu.ee

===Kasulikud lisamaterjalid===

* http://www.postfix.org/STANDARD_CONFIGURATION_README.html
* http://kuutorvaja.eenet.ee/wiki/OpenBSD_spamd_tarkvara_kasutamine
* http://kuutorvaja.eenet.ee/wiki/Postfix

Postfix'i arhitektuuri kirjeldus ja kasutamise keerulisemad võimalused

2025-09-03T22:44:27Z

Erkko: pisiparandused

{{Täienda}}

===Postfixi arhitektuur===

Postfix on vabavaraline mail transfer agent (MTA), serveritarkvara mis mõeldud
emailide vastuvõtmiseks ning saatmiseks. Postfixi kiirus, kergelt administreeritavus ja turvalisus
on teinud sellest ühe enimkasutatava mta ja levinud alternatiivi sendmailile.

Selle kirjutas hollandlane Wietse Venema ja kasutusse võeti esmakordselt 1999.a.

Abstraktsel tasemel võiks Postfixi tööd iseloomustada sellise skeemiga

SISEND VÄLJUND

postimasinast saadetud kiri
võrgust saabunud kiri --------> järjekorrahaldur --------> smtp, relay, lmtp
kohapeal tekitatud edasisuunamine queue manager local, virtual, pipe
kohapeal moodustatud teade

kus on üldiselt kujutatud, et Postfixi sisendisse saabuvate kirjadega asub tegelema järjekorrahaldur ning seejärel väljub kiri ühel kuuest näidatud viisil.

Vasakul on loetletud neli erinevat võimalust, kuidas kiri võib jõuda Postfixi töötlemisele

Kitsam pilt MTA'st oleks allolev. Tegemist on hea pildiga näitamaks, et postfixi näol ei ole tegemist mingi väikese tarkvaraga. Kokku koosneb postfix umbes 11-st põhilisest käsurea utiliidist ja 20-st protsessist/deemonist.

[[Pilt:Img17.png]]

Skeemil suur mull "Master", mille sees kõik teised deemoneid sümboliseerivad kastikesed asuvad, on postfixi nn emadeemon, mis kontrollib kõiki teise protsesse. Tema on postfix aju mis käivitab vajaduse
korral erinevaid postfixi ala-deemoneid muude tarvilike tööde jaoks. Nö kubjas

Väiksemad kandilised kastikesed on:

* smtpd - Tegeleb sissetulevate ühendustega
* smtp - haldab väljuvaid ühendusi
* qmgr - controls all messages in the mail queues.
* local - Postfix own local delivery agent. It stores messages in mailboxes.

Järjekordadest jutustades on Posfixil neli põhilist järjekorda: '''maildrop, incoming, active ja deferred.'''

Lokaalne meil saadetakse maildropile ja kopeeritakse incoming järjekorda. Incoming
järjekord on mailidele mis äsja saabunud ja queue manager pole neid veel ülevaadanud.
Mailid mida ei saa edastada tõstetakse deferred järjekorda, et see ei jääks
saabuvatele-saadetavatele kirjadele jalgu.

Kui laiemalt vaadata siis ümbritseb postfixi omakorda veel terve pilv mitmesugustest
abitarkvaradest, millega postfix aktiivselt suhtleb nagu spämmitõrje, viirusetõrje jne. Lühidalt oleks
ühe tänapäevase viirusetõrjega varustatud postiserveri skeem järgnev:

[[Pilt:Openbsd-postfix.png]]

Ehk siis kiri liigutatakse enne postkasti potsatamist veel läbi portide ning socketite
mitmesuguse kontrollprogrammistiku kätte.

Pisut detailsemat juttu http://www.linuxjournal.com/article/9454

Paigalduse osas peaks iga vähegi enesest lugupidavam ja suurem operatsioonisüsteem
omama mingit oma porti/installipakki postfixist.
Postfix on juba paljude operatsioonisüsteemide vaikimisi mta'ks, näiteks ubuntul.
Kaasa tuleb installiga ka ohtralt seadistuse näiteid, abifaile ja manuale

====Postimasinast endast saadetud kiri====

Nt postimasin seest kasutaja enda poolt saadetud /usr/sbin/sendmail käsuga

$ echo "kirja sisu" | sendmail -s subjekt mart@loomaaed.tartu.ee

Kirja

* võrgust saabunud kiri - kõnealune Postfix kuulab arvuti võrguseadme port 25/tcp peal ning üle võrgu pöördub nt teine Postfix
* kohapeal tekitatud edasisuunamine - nt aliaste lahendamisel
* kohapeal moodustatud teade - Postfix genereerib oma töö käigus teated, nt nn bounce kirju kui kiri võeti küll töötlemisele nt võrgust aga kirja töötlemisel selgus, et kirja ei õnnestu edasi saata

===Eposti kirja ja kirja edastamise protokollid===

Huvitav asjaolu on, et eposti kirja formaat ja eposti kirjade vahetamine on kirjeldatud erinevates RFC (Request for Comments) tekstides, vastavalt

* RFC2822 (Internet Message Format) - http://www.faqs.org/rfcs/rfc2822.html
* RFC2821 (Simple Mail Transfer Protocol) - http://www.faqs.org/rfcs/rfc2821.html

Kui postiprogrammiga, nt Icedove koostada kiri ja see saata, siis iseenesest saadab klient postimasinale nt sellise teksti

Message-ID: <4A90629C.6050100@loomaaed.tartu.ee>
Date: Sun, 23 Aug 2009 00:26:52 +0300
From: Priit Kask <priit@loomaaed.tartu.ee>
User-Agent: Mozilla-Thunderbird 2.0.0.22 (X11/20090706)
MIME-Version: 1.0
To: Mart Kask <mart@loomaaed.tartu.ee>
Subject: testkiri
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Tere!

Ja siit tuleb üks test kiri.

Priit

kus

* read kuni esimese tühja reani moodustavad kirja päised (headers)
* ülejäänud read moodustavad kirja keha (body)

Kui aga kirja kätte saanud kasutaja vaatab kogu kirja, siis paistab talle kiri selline

...

kus kirja algusse seda kirja töötlenud postimasinad lisanud juurde kirjeid

* Received - iga postimasin lisab reeglina ühe sellise rea (see on üks rida kuna protokolli kohaselt rida jätkub kui järgmine rida algab tühikuga (ingl. k. whitespace))
* Return-Path - kohaliku kättetoimetamise (ingl. k. local delivery) teinud postimasin lisab nn ümbriku from aadressi

Kõik juurde lisatud andmed on lisatud SMTP protokolli rääkimise alusel, st need kõik väljendavad kirja teekonna erinevatel etappidel kasutatud ümbriku aadresse.

===Aadressklassid===

Aadressklasside (ingl. k. address classes) http://www.postfix.org/ADDRESS_CLASS_README.html abil otsustab Postfix milliseid kirju vastu võtta ja kuidas neid edasi toimetada. Addressklass on määratletud kolme tunnuse alusel

* klassiga seotud domeenide nimekiri (ingl. k. list of domains that are a member of the class) - nt kõik local_domains, kõik relay_domains
* vaikimisi edasitoimetamise transport (ingl. k. default delivery transport) - nt local, virtual või relay
* kirjasaajate nimekiri (ingl. k. list of valid recipient addresses)

Vaikimisi on 2009 aastal Postfixis kasutusel sellised aadressklassid

* local domain class - canonical domains
* virtual alias domain class - hosted domains
* virtual mailbox domain class - hosted domains
* relay domain class - relay domains
* default domain class

====Virtuaalsed domeenid====

Oletame, et meil on olukord, kus serveri aadressiks on zoo.tartu.ee ja meil
on veel sellel serveril kaks domeeni. Esimene domeen on siil.ee ja teine
domeen on karu.ee. Nüüd oleks kiusatus kirjutada need domeenid '''mydestination'''
muutujale aga sellega kaasneb probleeme. Näiteks, kui meil on serveris kasutaja
mart, siis töötaksid seejärel automaatselt mailiaadressid mart@siil.ee ja mart@karu.ee,
mida me ei pruugi tahta. Olukorra elegantseks lahendamiseks on virtual maps.

mail.cf konfi kirjutame esiteks virtuaalsed domeenid ja defineerime map faili askoha

# cat mail.cf:
...
virtual_alias_domains = siil.ee, karu.ee
virtual_alias_maps = hash:/etc/postfix/virtual

Seejärel tekitame virtual faili, kus kinnistame domeenid kindlate kasutajatega.

# cat virtual
mart@siil.ee mart
ants@karu.ee ants

Ja seejärel tekitame virtual faili alusel map faili.

# postmap /etc/postfix/virtual

====Ühe domeeni kirjade blokeerimine====

Näiteks on tegemist releeserveriga, mis edastab paljude veebiserverite
meili. Või siis ühe hostinguserveri meili, kus on sadu domeene. Üks domeenidest
hakkab aga agaralt spämmima ja vaja oleks sealt lähtuvad kirjad blokeerida.

Spämmivaks domeeniks on näites hundionu.ee

smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/access
permit_mynetworks
...

NB! Järjekord peab kindlasti olema, et permit_mynetworks ja muud lubamised
tuleksid peale saatja ligipääsu kontrolli. Nimelt osustatakse esimese reegliga
sageli kirja saatus ära ja edasisi reegleid enam ei vaadata.

Seejärel tekitame access faili

# cat /etc/postfix/access
hundionu.ee REJECT

Tekitame map faili

# postmap /etc/postfix/access

Testimiseks võime anda käsu:

$ echo test | mail kirja_saaja@zoo.tartu.ee -r kirja_saatja@hundionu.ee

Logis on seejärel näha

Jun 13 11:50:40 re2 postfix/smtpd[4988]: NOQUEUE: reject: RCPT from wwww.zoo.tartu.ee[193.40.0.47]: 554 5.7.1 <jacquelyn_dejesus@hundionu.ee>: Sender address rejected: Access denied; from =<jacquelyn_dejesus@hundionu.ee> to=<kallinson@yahoo.com> proto=ESMTP helo=<www.localdoma

Blokeerida võib ka mitte ainult domeene vaid üksikuid kirju, näiteks kirjutades

ants@hundionu.ee REJECT

Ajutiste kiirete piirangute jaoks on see lahendus hea kuid püsiva spämmitabeli teemiseks ilmselt liiga tülikas

====Kirjade ümbersuunamine teise serverisse====

Abiks on kirjade edasi suunamisel ka transports mis
Võimaldab kõiki või teatud domeenide maile suunata edasi teisele aadressile

Kasutamiseks vaja main.cf'is defineerida

transport_maps = hash:/etc/postfix/transport

Ning faili /etc/postfix/transport

*midagi.ee smtp:mail.tartu.ee

postmapi andmebaasi genereerimiseks

postmap /etc/postfix/transport

restart postfix and now every e-mail sent to example.com will relay through your specified e-mail server.

sender_canonical_maps võimaldab saatja aadresse ümber kirjutada, kasutamine

sender_canonical_maps = hash:/etc/postfix/sender_canonical

ja sinna faili kirjutada midagi sellist:
root@localhost root@loomaaed.zoo.edu.ee

===Postfixi konfiguratsioon ehk failid main.cf ja master.cf ===

Postfixi põhilisteks seadistusfailideks on '''main.cf''' ja '''master.cf'''. Main.cf sisaldab
postfixi seadistusparameetreid mis vajalikud mailide liigutamiseks ning master.cf seadistab deemonprotsesse

Kõige lihtsamaks main.cf seadistuseks oleks

smtpd_banner = $myhostname ESMTP $mail_name (no spam please ;) )
myhostname = loomaaed.tartu.ee
mydomain = $myhostname
myorigin = $mydomain
inet_interfaces = all
mynetworks = 127.0.0.0/8, 192.168.1.0/24
mydestination = $myhostname, localhost.$mydomain, elva.loomaaed.tartu.ee ../etc/postfix/mydestination
unknown_local_recipient_reject_code = 550
alias_maps = hash:/etc/mail/aliases
alias_database = hash:/etc/mail/aliases
relay_domains = $mydestination, ../relay_domains
home_mailbox = mbox
smtpd_sender_restrictions = permit_mynetworks, reject_unknown_sender_domain
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination

See kõik on üldine ja töötab ühtemoodi nii freebsd, solarise kui debiani või kasvõi windowsil (kui postfix sinna kunagi porditakse)

Seejärel tuleb muidugi seadistada ka postfixi septsiifilisem osa, mis varieerub erinevatel operatsioonisüsteemidel, näiteks kus asub deemon, kus spool kaust või mis õigustes töötab postfix

Kasutada võib ka muutujaid stiilis config_directory = ../postfix
ja kasutada stiilis transport_maps = hash:$config_directory/transport

Seletaks pisut põhilisi ridu lahti

'''smtpd_banner = $myhostname ESMTP $mail_name (no spam please ;) )'''

Üldine teade mida näeb kui ühenduda 25 pordi külge, üldiselt
täidab pigem ilu ülesannet :)

'''myhostname = kool.edu.ee'''

See muutuja võetakse tavaliselt shellist ja sõltub mis on sereri hostnameks määratud,
üldiselt võib olla soov seda siiski sageli muuta

'''mydomain = $myhostname'''

mydomain võib samuti sageli erineda myhostnamest, üldiselt kui aga ei võib
kasutada näiteks muutujat $myhostname

'''myorigin = $mydomain'''

is the domain name that locally-posted email appears to have come from and is delivered to.

'''inet_interfaces = all'''

Postfix kuulab vaikimisi kõikidel võrguseadmetel mis serveril küljes 25ndat porti ja
kust posti ka vastu võetakse

'''mynetworks = 127.0.0.0/8, 192.168.1.0/24'''

IP aadressid või võrkude vahemikud mis on turvalised nimetame localhosti ja serveritaguse kontori sisevõrgu.
Nendest võrkudest võib saata maile läbi serveri. Kõik katsed saata või relay'da maili teistelt
mitte siin defineeritud ip'delt keelatakse

Selleks, et etteantud IP vahemikust mõni aadress ajutiselt välja jätta, näiteks on see arvuti hakanud levitama spammi ning ei soovi, et postimasin pakuks talle relay ehk kirjade edasisaatmise võimalusi saab
$mynetworks sisse kirjutada ka kujul !1.2.3.4/32 või !/path/to/file ja viimase sees siis IP numbrid/vahemikud, mis tuleb välja jätta. Töötab ka type:table. Seejuures tuleb tähele panna, et esimene sobivus võidab ehk soovitatav on kirjutada need piirangud enne teisi aadresse.

'''mydestination = $myhostname, localhost.$mydomain, ../etc/mydestination'''

Siin võib defineerida veel kõik masina küljes olevad domeenid neid komaga eraldadest, kust
server peaks emaile vastuvõtma, lihtustamise huvides võib need kõik mydestination faili lisada
ning faili korraga külge võtta

../etc/mydestination
loomaaed.tartu.ee
mail.tartu.ee

'''unknown_local_recipient_reject_code = 550'''

Viisakas seadistada teiste mailisaatjate jaoks.

''' alias_maps = hash:/etc/mail/aliases'''

alias faili, vaikimisi etc all

''' alias_database = hash:/etc/mail/aliases'''

Alias faili andmebaas

'''relay_domains = $mydestination, /etc/postfix/relay_domains'''

Nimed domeenidest millele mailiserver on teiseks mx'iks. Näiteks lihtsalt loeteluna.

loomaaed.tartu.ee
mail.tartu.ee

'''home_mailbox = mbox'''

Mailide salvestamise formaadiks mailbox. See on kõige vanem ja lihtsam formaat
kuid mitte kõige parem ja tänapäeval oleks
tegelikult juba üsnagi mõttekas kasutada maildir'i home_mailbox = Maildir/
võimalik on kogu maili kettale transportimine anda eraldi programmina, näit
cyrusele mailbox_transport = cyrus

'''smtpd_sender_restrictions = permit_mynetworks, reject_unknown_sender_domain'''

Piirangud läbi mailiserveri saatjale, lubame automaatselt mynetwork'ist saatmised
ning keelame tundmatud

'''smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination'''

siinpuhul saab seadistada veel

permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl-xbl.spamhaus.org

Kui on soov suunata väljuv epost läbi mingi kindla serveri tasub kasutada relayhost muutujat, nt

relayhost = mail.hot.ee

Ja veel main.cf'i kasulikke muutujaid töökindluse suurendamiseks

Kõikide muutujate lahtiseletamine ja esiletoomine läheks väga pikaks,
nendekohta on üsnagi mahukas ja põhjalik kirjeldus ametlikus postconf manualis http://www.postfix.org/postconf.5.html aga püüaks veel mõningaid ja põhiliselt spämmimise/ddos'imisi piiravaid
ja töökindlust suurendavaid parameetreid esiletuua

'''maximal_queue_lifetime = 3d'''
'''bounce_queue_lifetime = 3h'''

Saba elupikkuse reguleerimine, oluline masinates
mis näiteks paljudele teistele domeenidele relay'ks

'''relay_domains = /etc/mail/relay-domains'''

domeenid milledele näiteks ollakse teiseks mx'iks

'''Suhtlemiskiiruste limiteerimised'''

anvil_rate_time_unit = 60s
smtpd_client_connection_count_limit = 5
smtpd_client_connection_rate_limit = 100
smtpd_client_message_rate_limit = 100
smtpd_client_recipient_rate_limit = 200
smtpd_client_event_limit_exceptions = $mynetworks, ".ee"
smtpd_timeout = 60s

Hea kasutada spammimiste pidurdamisteks

selleks hea näiteks nõuda ka '''smtpd_helo_required = yes'''
kui korrektset suhtlus pole ei tule ka vastuseid
ja määrata veel lisatäiendusi '''smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname'''

Kui on vaja omakorda mingit ip'd või domeeni whitelistida mis on ometigi mitmetes rbl listides sees või ei vasta mingitele tingimustele
tuleks see lisada rida check_client_access hash:/etc/postfix/client_access tekitada vastav fail sisuga näiteks 193.40.0.9 OK
ning genereerida failile postmapiga andmebaas

'''Aadresside laiendused'''

postfixi main.cf'i tuleb lisada

recipient_delimiter = +

See teeb võimalikuks saata kirje aadressidele kasutaja+laiend@loomaaed.zoo.ee

See on hea seepärast, et saaks erinevatesse kohtadesse panna näiliselt erinevad aadressid, samas aliasi defineerimata. Postfix üritab esmalt saata kirja kasutajale 'kasutaja+laiend', kui see ei õnnestu, siis 'kasutaja'.

Nüüd saan panna aadressid nt kasutaja+plesk_admin ja kasutaja+plesk_reseller ja postkastist kirja lugedes saan teada, kellele mingisugune kiri mõeldud oli.

Seda on hea kasutada ka mingitesse foorumitesse jne registreerimisel, kus paned kasutaja+fooruminimi@zoo.ee aadressiks ja kui spämmi tulema hakkab, on kohe teada, kust lekkis (vähemalt saab pahandada ja teisi hoiatada).

===Postisüsteemi testimine===

Postisüsteemi heaks testimise abivahendiks on ikka telnet muidugi ja telnet port 25
sest kui MX pole masinale määratud siis on talle väga raske maili normaalsete vahenditega saata

Ühendume mailiserveriga

# '''telnet zoo.loomaaed.ee 25'''
Trying 193.40.0.17...
Connected to zoo.loomaaed.ee.
Escape character is '^]'.
220 zoo.loomaaed.ee ESMTP

Ütleme tervituse

'''HELO zoo.loomaaed.ee'''
250 zoo.loomaaed.ee

Aadress kellele soovime maili saata

'''MAIL FROM: kadri@mailiserver.ee'''
250 2.1.0 Ok

Kirjutame aadressi mis aadressilt saadetakse

'''RCPT TO: katsetus@zoo.loomaaed.ee'''
250 2.1.5 Ok

Sisestame andmed

'''DATA'''
354 End data with <CR><LF>.<CR><LF>
'''tere'''

Kui enam midagi lisada ei soovi lõpetame punktiga
'''.'''
250 2.0.0 Ok: queued as 95C49F3118

Kirjutatud mail on ülal oleva teksti järgi lisatud järjekorda ning võime väljuda quit käsuga

'''quit'''

====Jõudlus====

TODo

====Spam====

Aadressil http://spamassassin.apache.org/gtube/ on nö standardspämmi, mille nt Spamassassin peaks avastama

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Katsetamiseks tuleks see järgnevus sisestada kirja eraldi reana, reavahetusega lõpus.

====Viirus====

Aadressil http://www.eicar.org/anti_virus_test_file.htm on nö standardne viirus, mille nt ClamAV peaks avastama

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Katsetamiseks tuleks see salvestada tekstifaili reavahetusega lõpus ning lisada kirjale.

===Piirangute rakendamine töödeldavale epostile===

Postfix võimaldab üksikasjaliselt kontrollida, millist eposti süsteem töötlema hakkab, st võtab vastu ning saadab edasi või edasisaatmise asemel teeb local delivery. Käesolevas punktis käsitletavad piirangud on nn before-queue piirangud, st need rakendatakse enne kirja sabasse (ingl. k. queue) võtmist.

Selleks, et paremini mõista Postfix poolt pakutavate piirangute seadistamise võimalusi, kordame üle milline järgnevust sooritatakse vastavalt SMTP protokollile kui postimasina poole pöördub SMTP klient; rea lõpus on märgitud millist Postfixi piirangute nimekirja on mingi andmevahetuse etapi juures võimalik rakendada.

smtp-client ---> smtp-klient.auul ühendub Postfix serveri 25/tcp pordile <--- smtpd_client_restrictions
smtp-server ---> 220 smtp-server.auul ESMTP Postfix (Debian/GNU)
smtp-klient ---> EHLO post-klient.auul <--- smtpd_helo_restrictions
smtp-server ---> 250-smtp-server.auul
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
smtp-klient ---> MAIL FROM:<priit@loomaaed.tartu.ee> SIZE=325 <--- smtpd_sender_restrictions
RCPT TO:<mart@bmail.com> ORCPT=rfc822;mart@bmail.com <--- smtpd_recipient_restrictions
DATA
smtp-server ---> 250 2.1.0 Ok
250 2.1.5.Ok
354 End data with <CR><LF>.<CR><LF>
smtp-klient ---> saadab kirja osa
...
Piirangute nimekiri võib olla mõnel juhul tühi ja mõnel juhul peab kindlasti sisaldama vähemalt kindlaksmääratud piiranguid. Piirangute kontroll toimub selliselt

* piirangute nimekirjast rakendatakse esimene klappinud piirang, järgmisi selle nimekirja piiranguid ei kontrollita
* rakendatakse esimene tulemusega (REJECT, DEFER või PERMIT) lõppenud piirangute nimekiri

Kontrolli tulemus rakendatakse peale RCPT TO andmete saamist.

Nt võiks kasutada sellist piirangute nimekirja, selline on nimekiri vaikimisi Debiani Lenny puhul ja väljund on esitatud järjestatuna rakendamise järjekorras

# postconf | grep smtpd_ | egrep "(_client_|_helo_|_sender_|_recipient_)" | egrep "restrictions "
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination

Siinjuures tuleb tähele panna asjaolu, et igas reeglite nimekirjas on lubatud kasutada ainult teatud kontrolle, kusjuures igas järgmises on lubatud kasutada eelmiste nimekirjade kontrolle. Antud juhul ongi smtpd_recipient_restrictions juures kasutatud permit_mynetworks'i, mis on iseenesest smtpd_client_restrictions nimekirja kontroll, vt http://www.postfix.org/postconf.5.html

Esitatud näites esimesena kehtestatav ning ainuke piirangute nimekiri on smtpd_recipients_restrictions ja mis sisaldab kahte kontrolli

* permit_mynetworks - lubada saata posti nendest alamvõrkudest, milles asub postimasin
* reject_unauth_destination - keeldutakse töötlemast posti mida ei ole postimasin seadistatud kas vahendama või millele tegema local deliverit

Mõned allikad soovitavad kõik piirangud seadistada ühe smtpd_recipient_restrictions parameetri abil kuna nii on ehk tagatud parem ülevaatlikkus.

===Seadistamine===

Süsteemist väljuva posti ümbriku muutmiseks tuleb kasutada mail.cf failis rida

smtp_generic_maps = hash:/etc/postfix/generic

ning /etc/postfix/generic ise sisaldab näiteks selliseid ridu

www-data@arvuti.sisedomeen www-bounce@valisdomeen.ee
root@arvuti.sisedomee www-bounce@valisdomeen.ee

Muudatuste kehtestamiseks tuleb generic'ile vastav andmebaas moodustada käsuga

# postmap /etc/postfix/generic

ning laadida reload'iga Postfix.

Käsuga postconf testitatakse parasjagu kehtetatud Posfixi seadistusi

# postconf

ning lisades võtme -n esitatakse main.cf failis kasutatud parameetrite väärtused

# postconf -n

Konkreetse parameetri väärtust saab küsida nii, nt

# postconf mail_version
mail_version = 2.5.5

Kui on vaja näha postfixi vaikimisi seatud väärtusi siis tuleb käivitada postconf -d võtmega

===TLS krüpteering ja SASL auth===

Kasutajate autentimine ja kürpteeritud login

[[Postfix TLS]]

====Postiserverite vahelise andmevahetuse krüptimine====

Selleks, et server võimaldaks krüptida smtp klientide sissetulevaid ühendusi peavad olema seadistusfailis main.cf read

smtpd_tls_key_file = /etc/postfix/serdid/smtp.loomaaed.tartu.ee.pem
smtpd_tls_cert_file = /etc/postfix/serdid/smtp.loomaaed.tartu.ee.crt
smtpd_tls_CAfile = /etc/postfix/serdid/loomaaed-ca.crt
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

kus

* smtpd_tls_key_file näitab, millises failis asub sertifikaadile vastav salajane võti
* smtpd_tls_cert_file näitab, millises failis asub sertifikaat
* smtpd_tls_CAfile näitab, millises failis asuvad sertifikaadi allkirjastanud ahela ülemised sertifikaadid

Selleks, et teha kindlaks, kas postiserver toetab SMTP STARTSSL laiendust sobib öelda

$ openssl s_client -starttls smtp -showcerts -connect 192.168.1.251:25

===Kirjade töötlemine välise programmiga===

Ühel või teisel põhjusel võib olla vaja sellist asjakorraldus, et kas postisüsteemi kõiki või vaid teatud tunnustele vastavaid kirju saaks töödelda välise programmiga. Ja selliselt, et väline programm saab andmeid oma stdio'sse ning järele mõned argumendid. Üheks võimaluseks seda korraldada on kostümiseeritud transporti kirjeldamise abil.

* /etc/postfix/main.cf faili tuleb lisada rida

transport_maps = hash:/etc/postfix/transport

* /etc/postfix/transport failis peab sisalduma nt rida

loomaaed.tartu.ee pf

ning tuleb öelda

# postmap /etc/postfix/transport

* /etc/postfix/master.cf failis peab sisaldub sektsioon

pf unix - n n - - pipe
flags=RDX user=programmikasutaja argv=/bin/pf.pl ${user} ${domain}

ning kui /bin/pf.pl sisaldab nt

#!/usr/bin/perl
open (fh, ">>/tmp/pf.log");

print fh "$ARGV[0]\n";
print fh "$ARGV[1]\n\n\n";

@read=<STDIN>;

foreach $rida (@read) {
print fh $rida;
}

Siis selle faili algusse kirjutatakse epostiaadressi @ märgist vasemale ja paremale jääv osa erinevatele ridadele ning kirja sisu kusjuures lisatakse päisele mõned read vastavalt sellele, mida lipud flags järel ütlevad.

===SPF - Sender Policy Framework===

SPF (Sender Policy Framework - ingl. k. epost saatja kontrollimise raamistik) http://www.openspf.org/Project_Overview võimaldab saavutada sellised eesmärke

* kaitsta eposti vastuvõtjat ümbriku from aadressi võltsijate eest (eeldusel, et võltsitava domeeninime omanikud oma domeenidele kirjeldanud spf (või sfp sisuga txt) -kirjed)
* kaitsta domeeninime omanikku ümbriku from aadressi võltsijate tegevuse eest, tulemusena ei saa võltsijad saata kontrollimatult adressaatidele võltsitud eposti

====SPF tööpõhimõtte kirjeldus====

Leidub palas [[Spam]]

====Eposti vastuvõtja ettevalmistamine====

Postfix sisaldab 'Postfix SMTP access policy delegation' http://www.postfix.org/SMTPD_POLICY_README.html süsteemi, mille abil saab ühendada MTA välise lahendusega, antud juhul SPF'iga, selleks, et teostada täiendavat kontrolli, milliste omadustega kirju saab läbi kõnealuse postisüsteemi saata.

===Logi ja probleemidega tegelemine===

Kui mingil põhjusel on tarvis uurida mõnda parasjagu sabas olevat kirja, siis sobib selleks programm postcat. Tavaliselt saab logist või mailq programmi väljundist teada kirja identifikaatori ning selle abil õnnestub sabast kirjale vastav fail üles leida.

# mailq
....
C558C4DC80 794 Sat Dec 20 10:18:55 bounce@loomaaed.tartu.ee
(connect to smtp-gw.loomaaed.tartu.ee[10.0.2.5]: Connection refused)
mart@loomaaed.tartu.ee
..
# find /var/spool/postfix -name C558C4DC80 -ls
313873 4 -rw------- 1 postfix postfix 257 Dec 21 23:14 /var/spool/postfix/defer/C/C558C4DC80
318592 4 -rwx------ 1 postfix postfix 1001 Dec 22 00:20 /var/spool/postfix/deferred/C/C558C4DC80

# postcat /var/spool/postfix/deferred/C/C558C4DC80
...
nö inimloetaval kujul formateeritud väljund

Kui on vajadus sabas olev kiri kustutada, siis ei tohiks seda teha niisama failisüsteemist vastavate failide kustutamise teel vaid tuleb kasutada nt programmi postsuper, öeldes

# postsuper -d C558C4DC80

Suuremate mailivoogude ning blokeerumiste korral on hea uurida mis domeenid on probleemiks
ja mis järjekordades on need kinni. Mailq pole samuti sageli selles osas eriti ülevaatlik.

# qshape deferred | head
T 5 10 20 40 80 160 320 640 1280 1280+
TOTAL 540 0 3 1 2 10 4 14 31 59 416
mingi.edu.ee 320 0 2 1 0 9 3 4 11 51 239
hotmail.org 25 0 0 0 0 1 0 0 0 0 24

Mõne domeeni või saatja kõigi kirjade eemaldamiseks võib kasutada sarnast käsku

# mailq | grep '''spamidomeen.ee''' | awk '{ print $1 }' | postsuper -d -

Või

# mailq | grep 'MAILER-DAEMON$' | cut -d ' ' -f 1 | postsuper -d -

Selleks, et eemaldada sabast kõik kirjad siis allolev käsk, soovites mõnda spetsiifilist järjekorda siis lisada sellele käsu lõppu veel näiteks DEFERRED

# postsuper -d ALL

Kirjade sabast ära saatmiseks

# postqueue -f

Pseudograafiline mailisaba haldur pfqueue http://pfqueue.sourceforge.net/

[[Pilt:Pfqueue.JPG]]

====Postfixi sabaga töötamist hõlbustav skript====

Postfixi queue on kasutamiseks üsnagi halvas formaadis, nimelt esitatakse iga kirja kohta info kolmel real. Selle hõlbustamiseks võiib tekitada nt järgneva bashi skripti.

# cat /usr/local/bin/mailq_filter
#!/bin/bash

if [[ "$1" == "-l" ]]
then
LONG='" " err'
fi
mailq | awk "BEGIN{ RS = \"\n\n\"};
{
gsub(/\n/,\" \");
match(\$0, /$.*$/);
err = substr(\$0, RSTART, RLENGTH);
sub(/$.*$/, \"->\", \$0);
if( \$1 != \"--\") \$2 = \"\";
gsub(/ */, \" \");
print \$0 $LONG
}"

See skript väljastab ühel real mail ID kuupäev saatja -> saajad. Kui lisada võti '-l' (nagu long), siis paneb kõige lõppu ka Postfixi veateate, mispärast see deferred'is istub.

Nüüd saab näiteks selliseid otsinguid korraldada:

$ mailq_filter | grep "\.com -> .*\.com"

Või kirjutada selliseid konstruktsioone

$ mailq_filter | grep mingistring-domeen | awk '{ print $1 }' | postsuper -d -

Või koostada pingerida sabas olevatest kirjadest saatja alusel

$ mailq_filter | awk '{ print $6 }' | sort | uniq -c | sort -rn | head

tulemuseks

7 notification+kjdm13h7wupd@facebookmail.com
6 personalikeskus@gmail.com
5 web.office.0100.10@att.net
5 notification+kr4mwb45snxr@facebookmail.com
3 returned@mail2market.net

===Milter===

TODO

===Postfixi olulised tööriistad===

Oluliseimad posfixi käsud mida sagedamini igapäevaelus võib vajaminna on

*postalias - loob aliase andmebaasi

*postcat - võimaldab vaadata järjekorras olevate failide sisu

*postmap - loob lookup map'e, suur hulk postfixi konfiguratsiooni informatsiooni hoitakse lookup tabelites.

*postconf - postfixi parameetrite/seadistuse vaatamine ja muutmine

konfiguratsiooni saab jooksvalt vaadata käsuga
postconf -n

Postconf võimaldab kiirelt ja mugavalt muuta mingeid parameetreid main.cf seadistuses
ning seda võib kasutada nii hästi skriptimisel näiteks

postconf -e 'readme_directory = no'

Käsuga muudetakse readme_directory väli

*postqueue - võimaldab ligipääsu postfixi järjekorrale

*postsuper - võimaldab järjekorraga manipuleerida, kustutada neid või liigutada ringi, samuti parandada vajaduse korral järjekorra struktuuri

*postdrop -

*postfix

*postkick

*postlock

*postlog

===Imap deemonid mis sobivad kasutamiseks koos postfixiga===

====Imap-uw====

Vanem ja lihtsam deemon, suudab vaid mbox formaati jagada. Halvasti konfigureeritav ja ebastabiilsem. Suurtesse süsteemidesse ei soovitaks

====Dovecot====

Lihtne, töökindel ja äärmiselt hästi konfigureeritav imap klient, loeb
nii maildir++ kui mbox formaati. Sobib väiksematesse mailiserveritesse eriti hästi.

====Courier====

maildir++ formaati hästi lugev töökindel imapideemon, mboxi ei toeta, võimaldab mysqlilt autentimist.
Sobib koos mysql ja postfixadminiga ideaalselt keskmise suurusega süsteemidesse.

====Cyrus====

Lisaks imap deemonile tegeleb ka ise mailide kettale toimetamisega. Hoiab
neid eraldi muudetud maildir++ formaadis ning peab berkeley db andmebaasides infot.
Sobib väga suure koormusega süsteemidesse.

===Postfix delivery tegemine Mysql kataloogi alusel===

TODO

===Postfix delivery tegemine LDAP kataloogi alusel===

Valmistada LDAP kliendi seadistused ette /etc/ldap/ldap.conf failis ja Postfixi jaoks põhimõtteliselt midagi sellist

# cat /etc/postfix/ldap.cf
server_host = ldaps://ldap.loomaaed.tartu.ee
version = 3

search_base = dc=loomaaed,dc=tartu,dc=ee
query_filter = mail=%s
result_attribute = sn

kontrolliks sobib küsida

# postmap -q mart@loomaaed.tartu.ee ldap:/etc/postfix/ldap.cf
Kask

===Queue kopeerimine postimasinate vahel===

Kui mitu postimasinat töötavad koostöös, siis võib olla asjakohane nt ühe arvuti hoolduse ajaks sinna sappa kogunenud kirjad paigutada mõnda sobivasse muusse postimasinasse ringi. Selleks peab teine postimasin lubama kõnealuse postimasina kirju ning hooldusse minevas postimasinas tuleb nt relayhost parameetri abil kopeerida kirjad ära.

===Kasulikud lisamaterjalid===

* The book of Postfix: state-of-the-art message transport (Ralf Hildebrandt, Patrick Koetter) - 2009 aasta seisuga tõenäoliselt parim raamat sel teemal

===Lingid===

http://www.postfix.org/documentation.html Ametlik dokumentatsioon

http://en.wikipedia.org/wiki/Comparison_of_mail_servers Mailiserverite võrdlused

http://dspam.nuclearelephant.com/index.shtml dspam koduleht

http://www.redhat.com/support/resources/howto/RH-postfix-HOWTO/x368.html redhat'i postfixi põhjalikud manualid

http://www.postfix.org/OVERVIEW.html postfixi arhitektuuri täpsem ülevaade

http://www.onlamp.com/pub/a/onlamp/2004/01/22/postfix.html postfixi logimisest

http://www.cyberciti.biz/faq/howto-blacklist-reject-sender-email-address/ blacklist aadressidele

http://www.linuxjournal.com/article/9454 Postfixi anatoomia

http://www.compwrite.com/?p=57

http://www.cyberciti.biz/tips/howto-postfix-flush-mail-queue.html saba puhastamisest

Domeenide delegeerimine

2023-01-18T19:00:39Z

Erkko: Kirjawigad.

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Domeenide delegeerimine teeb võimalikuks interneti nimeserverite vahelise töö jaotamise.

Käesolevas palas esitame tervikliku näite esitades ja kommenteerides erineva taseme nimeserverites vajalikke muudatusi seoses domeenide delegeerimise, tsoonide moodustamise ja domeeninimede kirjeldamisega.

Seame eesmärgiks delegeerida kohtadele kahe C-klassi alamvõrgule vastavat tsooni.

Füüsiliselt tekitatakse Loomaaias kaks alamvõrku, mis vastavad erinevatele domeenidele

* 193.40.10.128/28 - loomaaed.ee.
* 193.40.10.144/28 - bassein.loomaaed.ee.

Eelarvamuste kõigutamiseks märgime, et kui domeeninimede süsteemi suhtes asetseb domeen bassein.loomaaed.ee. domeeni loomaaed.ee. sees, siis neile vastavad füüsilised alamvõrgud ei pruugi asetseda sarnaselt üksteise 'taga'. Lisaks, ruutingu korraldamine Vabriku ja Loomaaia arvutivõrkude ja interneti vahel on täiesti omaette küsimus.

in-addr.arpa. domeenist 40.193.in-addr.arpa. delegeeritakse kohtadele ka pöördteisenduste tegemise võimalus, so tsoonid

* 15.40.193.in-addr.arpa. - Vabrikule
* 10.40.193.in-addr.arpa. - Loomaaiale

===Tipptaseme tsoonifailides vajalikud muudatused===

Loomaaiale ja Vabrikule domeenide delegeerimisel tuleb tipptaseme domeeni administraatoril lisada ee. tsoonifaili järgmised kirjed

loomaaed.ee. 1D IN NS ns.loomaaed.ee.
loomaaed.ee. 1D IN NS ns.aafrika.ee.
ns.loomaaed.ee. 1D IN A 193.40.10.129
vabrik.ee. 1D IN NS alasi.vabrik.ee.
vabrik.ee. 1D IN NS ns.lenin.ee.
alasi.vabrik.ee. 1D IN A 193.40.15.0.1

eeldusel, et ns.loomaaed.ee. ja alasi.vabrik.ee. on vastavad primaarsed nimeserverid. Hea kombe kohaselt tuleb domeenile näidata lisaks primaarsele nimeserverile ka vähemalt üks sekundaarne server, selleks on vastavalt ns.aafrika.ee. ja ns.lenin.ee.

Toodud A-kirjeid nimetatakse kleepekirjeteks, sest kuna NS-kirjete ridadel kasutatud nimeserverite nimed lahenduvad nimeserveris endas, peavad päringud siiski nimeserveritesse kohale jõudama.

Lisada tuleb ka delegatsioon in-addr.arpa. domeeni tsoonifailidesse

10.40.193.in-addr.arpa. 1D IN NS ns.loomaaed.ee.
10.40.193.in-addr.arpa. 1D IN NS ns.aafrika.ee.
15.40.193.in-addr.arpa. 1D IN NS alasi.vabrik.ee.
15.40.193.in-addr.arpa. 1D IN NS ns.lenin.ee.

Kui nüüd tipptaseme nimeserverisse tuleb päringud näiteks mõne domeeni loomaaed.ee. jääva domeeninime kohta, siis saadetakse kliente vaheldumisi ühe ja teise nimeserveri juurde. Seega põhimõtteliselt saab nimeserveri abil ka teenust pakkuvate serverite koormust jagada.

Sarnaselt käitutakse ka in-addr.arpa. domeeni tulevate päringutega.

===Tsooni vabrik.ee. nimeserverite seadistamine===

Nimeserveri seadistusfail /etc/named.conf eeldusel, et muid tsoone ei ole seal kirjeldatud

options {
directory "/var/named";
};

zone "." IN {
type hint;
file "root.hints";
};

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

zone "vabrik.ee" IN {
type master;
file "vabrik.ee.zone";
};

zone "15.40.193.in-addr.arpa" IN {
type master;
file "15.40.193.zone";
};

localhost domeeni ja juurnimeservereid puudutav osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatule.

Järgmisena toome ära tsooni vabrik.ee. primaarse nimeserveri tsoonifailide sisu

Vabriku päriteisendustele vastav tsoonifail vabrik.ee.zone on sellise sisuga

$TTL 86400
@ 1D IN SOA alasi.vabrik.ee. root.vabrik.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
vabrik.ee. 1D IN NS alasi.vabrik.ee.
vabrik.ee. 1D IN NS ns.lenin.ee.
alasi.vabrik.ee. 1D IN A 193.40.15.1
vabrik.ee. 1D IN A 193.40.15.1
vork.vabrik.ee. 1D IN A 193.40.15.0
levi.vabrik.ee. 1D IN A 193.40.15.255
kangasteljed.vabrik.ee. 1D IN A 193.40.15.2

Omanimelise tsooni tsoonifaili sees olevaid domeeni NS kirjeid nimetatakse pädevuskirjeteks. Pange tähele, et SOA kirjes näidatakse tsooni primaarse nimeserveri nimi.

Vabriku pöördteisendustele vastav tsoonifail 15.40.193.zone on sellise sisuga

$TTL 86400
@ 1D IN SOA vabrik.ee. root.vabrik.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
15.40.193.in-addr.arpa. 1D IN NS alasi.vabrik.ee.
15.40.193.in-addr.arpa. 1D IN NS ns.lenin.ee.
1.15.40.193.in-addr.arpa. 1D IN PTR alasi.vabrik.ee.
0.15.40.193.in-addr.arpa. 1D IN PTR vork.vabrik.ee.
255.15.40.193.in-addr.arpa. 1D IN PTR levi.vabrik.ee.
2.15.40.193.in-addr.arpa. 1D IN PTR kangasteljad.vabrik.ee.

Vabriku sekundaarses nimeserveri seadistusfailis tuleb näidata sektsioonid

zone "vabrik.ee" {
type slave;
file "vabrik.ee.slave.zone";
masters {
alasi.vabrik.ee;
};
};

zone "15.40.193.in-addr.arpa" {
type slave;
file "15.40.193.slave.zone";
masters {
alasi.vabrik.ee;
};
};

===Tsooni loomaaed.ee. nimeserverite seadistamine===

Loomaaed nimeserveri seadistamine toimub sarnaselt vabrikule, kuid erinevusega, et delegeeritakse edasi domeen bassein.loomaaed.ee. ning vastavad pöördteisendused in-addr.arpa. domeenist. Viimase teeb keerukaks asjaolu, et ei delegeerita tervele C-klassile vastavat tsooni, vaid ainult osa.

Nimeserveri seadistusfail /etc/named.con

options {
directory "/var/named";
};

zone "." IN {
type hint;
file "root.hints";
};

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

zone "loomaaed.ee" IN {
type master;
file "loomaaed.ee.zone";
};

zone "10.40.193.in-addr.arpa" IN {
type master;
file "10.40.193.zone";
};

localhost domeeni ja juurnimeservereid puudutav osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatule.

Järgmisena toome ära tsooni loomaaed.ee. primaarse nimeserveri tsoonifailide sisu.

Loomaaia päriteisendustele vastav tsoonifail loomaaed.ee.zone on sellise sisuga

$TTL 86400
@ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
loomaaed.ee. 1D IN NS ns.loomaaed.ee.
loomaaed.ee. 1D IN NS ns.aafrika.ee.
ns.loomaaed.ee. 1D IN A 193.40.10.129
loomaaed.ee. 1D IN A 193.40.10.129
vork.loomaaed.ee. 1D IN A 193.40.10.128
levi.loomaaed.ee. 1D IN A 193.40.10.143
bassein.loomaaed.ee. 1D IN NS ns.bassein.loomaaed.ee.
ns.bassein.loomaaed.ee. 1D IN A 193.40.10.145

Loomaaia pöördteisendustele vastav tsoonifail 10.40.193.zone on sellise sisuga

$TTL 86400
@ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
10.40.193.in-addr.arpa. 1D IN NS ns.loomaaed.ee.
10.40.193.in-addr.arpa. 1D IN NS ns.aafrika.ee.
129.10.40.193.in-addr.arpa. 1D IN PTR ns.loomaaed.ee.
128.10.40.193.in-addr.arpa. 1D IN PTR vork.loomaaed.ee.
143.10.40.193.in-addr.arpa. 1D IN PTR levi.loomaaed.ee.
bassein.10.40.193.in-addr.arpa. 1D IN NS ns.bassein.loomaaed.ee.
145.10.40.193.in-addr.arpa. 1D IN CNAME 145.bassein.10.40.193.in-addr.arpa.
144.10.40.193.in-addr.arpa. 1D IN CNAME 144.bassein.10.40.193.in-addr.arpa.
159.10.40.193.in-addr.arpa. 1D IN CNAME 159.bassein.10.40.193.in-addr.arpa.
146.10.40.193.in-addr.arpa. 1D IN CNAME 146.bassein.10.40.193.in-addr.arpa.

CNAME'isid kasutatakse in-addr.arpa. domeeninimede delegeerimiseks teisele nimeserverile, kusjuures seda saab teha ühe kaupa.

Loomaaia sekundaarse nimeserveri seadistusfailis tuleb näidata sektsioonid

zone "loomaaed.ee" {
type slave;
file "loomaaed.ee.slave.zone";
masters {
ns.loomaaed.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.slave.zone";
masters {
ns.loomaaed.ee;
};
};

===Tsooni bassein.loomaaed.ee. nimeserverite seadistamine===

options {
directory "/var/named";
};

zone "." IN {
type hint;
file "root.hints";
};

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

zone "bassein.loomaaed.ee" IN {
type master;
file "vabrik.ee.zone";
};

zone "bassein.10.40.193.in-addr.arpa" IN {
type master;
file "bassein.10.40.193.zone";
};

localhost domeeni ja juurnimeservereid puutuv osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatud.

Järgmisena toome ära tsooni bassein.loomaaed.ee. primaarse nimeserveri tsoonifailide sisu.

$TTL 86400
@ 1D IN SOA ns.bassein.loomaaed.ee. root.bassein.loomaaed.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
bassein.loomaaed.ee. 1D IN NS ns.bassein.loomaaed.ee.
ns.bassein.loomaaed.ee. 1D IN A 193.40.10.145
bassein.loomaaed.ee. 1D IN A 193.40.10.145
vork.bassein.loomaaed.ee. 1D IN A 193.40.10.144
levi.bassein.loomaaed.ee. 1D IN A 193.40.10.159
tuuker.bassein.loomaaed.ee. 1D IN A 193.40.10.146

Basseini pöördteisendustele vastav tsoonifail bassein.10.40.193.zone on sellise sisuga

$TTL 86400
@ 1D IN SOA ns.bassein.loomaaed.ee. root.bassein.loomaaed.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
bassein.10.40.193.in-addr.arpa. 1D IN NS ns.bassein.loomaaed.ee.
45.bassein.10.40.193.in-addr.arpa. 1D IN PTR ns.bassein.loomaaed.ee.
44.bassein.10.40.193.in-addr.arpa. 1D IN PTR vork.bassein.loomaaed.ee.
59.bassein.10.40.193.in-addr.arpa. 1D IN PTR levi.bassein.loomaaed.ee.
46.bassein.10.40.193.in-addr.arpa. 1D IN PTR tuuker.bassein.loomaaed.ee.

Basseini sekundaarse nimeserveri, milleks võiks kasutada näiteks nimeserverit ns.loomaaed.ee., seadistusfailis tuleb näidata sektsioonid

zone "bassein.loomaaed.ee" {
type slave;
file "bassein.loomaaed.ee.slave.zone";
masters {
ns.bassein.loomaaed.ee;
};
};

zone "bassein.10.40.193.in-addr.arpa" {
type slave;
file "bassein.10.40.193.slave.zone";
masters {
ns.bassein.loomaaed.ee;
};
};

===Kontroll===

Veendumaks, et seadistatud nimeserver toimib, kasutage näiteks programmi dig ning esitage päringuid, kopeerige tsoone.

Tuletame meelde, et parandades tsoonifaile, tuleb suurendada ka seerianumbrit ning tsoonifailid uuesti laadida käsuga

bash# rndc reload

Kui te muudate ka nimeserveri seadistusfaili /etc/named.conf, siis tuleb nimeserver uuesti käivitada

bash# rndc restart

ning jälgige samal ajal süsteemi logisse ilmuvaid teateid

bash# tail -f /var/log/messages

===Ilma tsoonita domeen===

Palas täitsime kõik püstitatud ülesanded, sh delegeerisime domeeni bassein.loomaaed.ee. ja in-addr.arpa. domeeni osa edasi nimeserverile ns.bassein.loomaaed.ee.

Nimesüsteemi kasutajaile pealtnäha sama tulemuse oleks saanud saavutada ka kahel muul moel ilma teise nimeserveri abita:

* delegeerides domeeni bassein.loomaaed.ee. samale nimeserverile ns.loomaaed.ee. ning kirjeldades vastava tsoonifaili
* kirjeldades samas loomaaed.ee. tsoonifailis ka bassein.loomaaed.ee. domeeninimed

Esimene variant on täiesti analoogne eespool tooduga, ainult tuleb delegatsiooni muuta.

Teisel juhu päri-ja pöördteisendustele vastavad tsoonid esitame siinkohal.

Tsooni loomaaed.ee. primaarse nimeserveri päriteisenduste tsoonifaili loomaaed.ee.zone sisu

$TTL 86400
@ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
loomaaed.ee. 1D IN NS ns.loomaaed.ee.
loomaaed.ee. 1D IN NS ns.aafrika.ee.
ns.loomaaed.ee. 1D IN A 193.40.10.129
loomaaed.ee. 1D IN A 193.40.10.129
vork.loomaaed.ee. 1D IN A 193.40.10.128
levi.loomaaed.ee. 1D IN A 193.40.10.143
ns.bassein.loomaaed.ee. 1D IN A 193.40.10.145
vork.bassein.loomaaed.ee. 1D IN A 193.40.10.144
levi.bassein.loomaaed.ee. 1D IN A 193.40.10.159
tuuker.bassein.loomaaed.ee. 1D IN A 193.40.15.146

Loomaaia pöördteisendustele vastav tsoonifail 10.40.193.zone on sellise sisuga

$TTL 86400
@ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
10.40.193.in-addr.arpa. 1D IN NS ns.loomaaed.ee.
10.40.193.in-addr.arpa. 1D IN NS ns.aafrika.ee.
129.10.40.193.in-addr.arpa. 1D IN PTR ns.loomaaed.ee.
128.10.40.193.in-addr.arpa. 1D IN PTR vork.loomaaed.ee.
143.10.40.193.in-addr.arpa. 1D IN PTR levi.loomaaed.ee.
145.10.40.193.in-addr.arpa. 1D IN PTR ns.bassein.loomaaed.ee.
144.10.40.193.in-addr.arpa. 1D IN PTR vork.bassein.loomaaed.ee.
159.10.40.193.in-addr.arpa. 1D IN PTR levi.bassein.loomaaed.ee.
146.10.40.193.in-addr.arpa. 1D IN PTR tuuker.bassein.loomaaed.ee.

Niisiis, tõepoolest domeen bassein.loomaaed.ee. on domeeninimede ruumis olemas, kuid vastav tsoon puudub. Vajadusel saab selle tsooni kasutajatele nähtamatult tekitada.

===Varjatud primaarse nimeserveri kasutamine===

Mõnel juhul, näiteks lähtudes turvakaalutlustest, ei soovita tsooni primaarset serverit avalikku kasutusse lülitada. Sel juhul saab korraldada nii, et avalikuks kasutuseks mõeldud tsooni sekundaarsed nimeserverid kopeerivad tsooni primaarselt ning teenindavad päringuid.

Selleks, et ainult sekundaarsed nimeserverid omaksid õigust primaarsega suhelda, saab näiteks seada sobiva IP-paketi filtreerimisreeglite kehtestamisega primaarses nimeserveris.

Ülemises nimeserveris, kust kõnealune tsoon on delegeeritud, tuleb delegeerimisel näidata vaid reaalselt kliente teenindavad tsooni nimeserverid, so antud juhul sekundaarsed. Kui näidata ka varjatud primaarne, siis suunatakse kliente aegajalt ka neid mitteteenindava nimeserveri juurde ning see oleks nimesüsteemi viga.

Võrgudiagnostika

2018-10-29T12:08:01Z

Erkko: plaa

===Sissejuhatus===

Käesolev tekst on esitatud oma võrgu ja tulemüüride ning tcp/ip protokolli paremaks tundmaõppimiseks.
Ühtlasi tutvustatakse programme, millega saab uurida, kas võrk töötab ning kui, siis kuidas see töötab. Näiteks hinnata andmevahetuskiirusi, kuulata Etherneti pealt ja uurida millised pordid on serveritel lahti.

Ilmselt saab allpool esitatud õpetusi kasutada nii hea- kui kuritahtlikul eesmärgil, manitseme seda tegema mitte kuritahtlikult. Tavaliselt on tuvastatav, kust tehakse ping floodi või nmapiga masinad skaneeritakse.

Reeglina tuleb esitatud programme kasutada juurkasutajana. Näiteks toodud viiba järgi saab teada, kas programm on kasutatav ka tavakasutaja ($) või ainult juurkasutaja (#) õigustes.

===Võrguseadmed===

Käesolevas tekstis mõeldakse võrguseadme all arvuti füüsilist või loogilist võrguseadet, nt

* füüsiline võrguseade - Linux puhul wlan0, eth0, eth1 jne; BSD puhul nt em0, bnx0 jne
* lokaalne võrguseade - Linux puhul lo; BSD puhul lo1, lo2
* sild - Linux puhul nt br0, br1; BSD puhul bridge0
* VLAN seade - Linux puhul nt vlan513, BSD puhul vlan513

Võrguseadmete jälgimisel tuleb arvestada, et arvuti kohalik liiklus toimub üle lokaalse võrguseadme, kusjuures ka juhtumil kui arvuti eth0 seadmele on omistatud nt aadress 192.168.1.15 ning arvutist pöördutakse selle aadressi poole.

===tcpdump===

Programm tcpdump (kuulub paljude operatsioonisüsteemide tarkvara põhiosa koosseisu) abil saab pealtkuulata võrguseadmel toimuvat liiklust. Tulemust võib salvestada faili või esitada ip paketti puudutavaid huvipakkuvaid andmeid programmi standardväljundisse. Oluline on tähele panna, et tcpdump kuulab liiklust võrguseadmel, st sisenevad paketid paistavad nii nagu nad olid enne RDR-teisendust ning väljuvad paketid on sellised nagu nad on peale NAT-teisendust.

tcpdump programmiga saab filtreerida liiklust selliste standardsete tunnuste järgi

* protokoll (nt icmp, tcp, udp, arp)
* andmevahetuse lähte- ja sihtpunkti ip aadress
* andmevahetuse lähte- ja sihtpunkti port
* ip paketi lippude järgi (nt salvestada vaid SYN pakette)
* paketi suurus

OpenBSD puhul lisanduvad järgmised võimalused

* paketifiltri reegli number, ''
* paketifiltri reegline määratud tegevus (pass, block, nat, rdr jt ning logitud liiklus)

Pakettide korjamise alustamiseks võrguseadmelt ed0

# tcpdump -i ed0

Oletame, et kahtlustame broadcast pakette ning seda, et nad aeglustavad võrgutööd:

# tcpdump -i ed0 broadcast

Uurime kahe masina vahelist liiklust

# tcpdump -i ed0 host klient and server

Veel täpsem on vaadata

# tcpdump -i ed0 src host klient and dnst host server

Kõigi arvuti võrguseadmete peal töötamiseks sobib öelda

# tcpdump -i any ...

====ICMP====

Kui näiteks on kahtlusi kas kaks arvutit, 192.168.10.210 ja 192.168.10.11 (vastav võrguseade olgu em0) näevad üksteist, siis tuleks arvutis 192.168.10.210 öelda

# ping 192.168.10.11
PING 192.168.10.11 (192.168.10.11): 56 data bytes
64 bytes from 192.168.10.11: icmp_seq=0 ttl=64 time=0.422 ms
64 bytes from 192.168.10.11: icmp_seq=1 ttl=64 time=0.306 ms

ning teises arvutis võrguseadmel em0 ICMP protokolli filtreerimiseks tuleb öelda

# tcpdump -nettti em0 icmp
tcpdump: listening on em0, link-type EN10MB
May 19 16:23:10.480585 00:0e:0c:ba:4b:3e 00:16:3e:6a:0c:4b 0800 98: 192.168.10.210 > 192.168.10.11: icmp: echo request
May 19 16:23:10.480829 00:16:3e:6a:0c:4b 00:0e:0c:ba:4b:3e 0800 98: 192.168.10.11 > 192.168.10.210: icmp: echo reply
May 19 16:23:11.490525 00:0e:0c:ba:4b:3e 00:16:3e:6a:0c:4b 0800 98: 192.168.10.210 > 192.168.10.11: icmp: echo request
May 19 16:23:11.490639 00:16:3e:6a:0c:4b 00:0e:0c:ba:4b:3e 0800 98: 192.168.10.11 > 192.168.10.210: icmp: echo reply

Väljundina esitatakse:

* paketi jälgimise aeg (-ttt, vt man tcpdump -t erinevaid variante)
* kummagi poole MAC aadressid (-e)
* paketi ethertype (-e, 0800 on ipv4 protokoll)
* ip paketi suurus baitides
* osaliste ip aadressid nimelahenduseta kujul (-n)
* paketi sisulisemad andmed, antud juhul on tegu icmp echo päringute ja vastustega

Antud juhul saab järeldada, et võrguühendus arvutite vahel on olemas. St kuigi ping ise näitab väljundit, annab teises arvutis võrgu pealtkuulamine täieliku kinnituse, et paketid just sinna välja jõuavad.

====TCP====

tcpdump võimaldab kasutada avaldisi, millega peab pakett klappima, nt SYN pakettide jälgmiseks:

# tcpdump -n -i em0 'tcp[13] & 2 != 0' and dst 10.0.6.180 and port 80

TCP liikluse tõlgendamine:

22:05:25.828149 10.50.96.138.50215 > 10.184.32.82.80: S 1263958777:1263958777(0) win 5840 \
<mss 1460,sackOK,timestamp 787576523 0,nop,wscale 6> (DF)
22:05:25.845445 10.184.32.82.80 > 10.50.96.138.50215: S 1989118317:1989118317(0) ack 1263958778 win 5792 \
<mss 1460,sackOK,timestamp 539529245 787576523,nop,wscale 6> (DF)
22:05:25.845896 10.50.96.138.50215 > 10.184.32.82.80: . ack 1 win 92 <nop,nop,timestamp 787576527 539529245> (DF)
22:05:25.845908 10.50.96.138.50215 > 10.184.32.82.80: P 1:134(133) ack 1 win 92 <nop,nop,timestamp 787576527 539529245> (DF)
22:05:25.856417 10.184.32.82.80 > 10.50.96.138.50215: . ack 134 win 108 <nop,nop,timestamp 539529249 787576527> (DF)
22:05:25.862904 10.184.32.82.80 > 10.50.96.138.50215: . 1:1449(1448) ack 134 win 108 <nop,nop,timestamp 539529249 787576527> (DF)
22:05:25.863286 10.50.96.138.50215 > 10.184.32.82.80: . ack 1449 win 137 <nop,nop,timestamp 787576532 539529249> (DF)
22:05:25.868800 10.184.32.82.80 > 10.50.96.138.50215: . 1449:2897(1448) ack 134 win 108 <nop,nop,timestamp 539529249 787576527> (DF)
22:05:25.869206 10.50.96.138.50215 > 10.184.32.82.80: . ack 2897 win 182 <nop,nop,timestamp 787576533 539529249> (DF)
22:05:25.878659 10.184.32.82.80 > 10.50.96.138.50215: . 2897:4345(1448) ack 134 win 108 <nop,nop,timestamp 539529253 787576532> (DF)
22:05:25.879036 10.50.96.138.50215 > 10.184.32.82.80: . ack 4345 win 227 <nop,nop,timestamp 787576536 539529253> (DF)
...

kus

* esimene rida vastab ühenduse algatamise SYN paketile
* mss 1460 - tcp maximum segment size väärtus, ütleb teisele poolele, kui suuri tcp pakette saata
* sackOK - selective acknowledgement on ok paketi saatja jaoks
* win 5840 - paketi saatja teatab paketi vastuvõtjale, et tal on puhvrit võtta ise pakette vastu 5840 baiti
* win 92 - kuna alguses lepiti kokku wscale=6, siis 92 tähendab 92 * 2^6 = 5888 baiti
* ack arv - loeb kui palju baite on paketi saatja teise poole käest vastu võtnud
* DF - kõigil pakettidel on seatud don't fragment
* nop - not operating, sisuliselt kasutatakse paddinguks
* 1449:2897(1448) - sulgudes olev väärtus on tcp paketi sisu suurus baitides
* kasutades lisaks võtit -e esitatakse eraldi tulbas etherneti frame sees kantud protokolli nimi, nt ip ning vastava paketi suurus

====ARP====

Huvitav on tähele panna, et tcpdump tegeleb mitme protokolliga, nt ip (0800) ja arp (0806) protokolli pakettidega, mis on saadetud arp broadcast aadressile:

# tcpdump -nei re0 ether host ff:ff:ff:ff:ff:ff
tcpdump: listening on re0, link-type EN10MB
11:00:49.928582 00:0e:0c:b0:96:b6 ff:ff:ff:ff:ff:ff 0800 210: 192.168.10.10.631 > 192.168.10.255.631: udp 168 (DF)
11:01:08.024422 00:16:3e:00:00:01 ff:ff:ff:ff:ff:ff 0800 249: 192.168.10.41.138 > 192.168.10.255.138: udp 207
11:01:26.338380 00:1b:21:1d:f6:06 ff:ff:ff:ff:ff:ff 0806 60: arp who-has 192.168.10.254 tell 192.168.10.250

Kui tcpdump väljundit on vaja saata toru kaudu mõne teksti töötlevale programmile edasi on asjakohane kasutada lisaks -l võtit, mis puhverdab rea kaupa:

# tcpdump -nlei re0 ether host ff:ff:ff:ff:ff:ff | grep 0806

====Liikluse salvestamine faili====

Selleks, et salvestada tulemus ka faili:

# tcpdump -i ed0 -w liiklus.log

Liikluse faili salvestamiseks sobib öelda nö tavalise MTU'ga (1,5 kBaiti) võrgus nt (-s 0 võti tähendab, et salvestatakse kõik paketi sisu suurusest hoolimata):

# tcpdump -s 1600 -w /tmp/liiklus.log -i em0 host 10.0.6.180 and port 80

Selliselt salvestatud liikluse analüüsimiseks sobib öelda:

# tcpdump -r /tmp/liiklus.log

====IP====

Kui IP kihis leiab aset pakettide fragmenteerumine, siis paistab see tcpdump väljundis nt selliselt:

23:43:36.802989 10.100.0.161.32545 > 10.100.1.190.80: S 3394332515:3394332515(0) win 16384 \
<mss 8960,nop,nop,sackOK,nop,wscale 0,nop,nop,timestamp 3055259272 0>
23:43:36.803982 10.100.1.190.80 > 10.100.0.161.32545: S 2791894032:2791894032(0) ack 3394332516 win 16384 \
<mss 8960,nop,nop,sackOK,nop,wscale 0,nop,nop,timestamp 313564159 3055259272>
23:43:36.805275 10.100.0.161.32545 > 10.100.1.190.80: . ack 1 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.805527 10.100.0.161.32545 > 10.100.1.190.80: P 1:67(66) ack 1 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.809486 10.100.1.190.80 > 10.100.0.161.32545: . 1:1449(1448) ack 67 win 17896 \
<nop,nop,timestamp 313564159 0> (frag 35143:1480@0+)
23:43:36.809503 10.100.1.190 > 10.100.0.161: (frag 35143:1480@1480+)
23:43:36.809515 10.100.1.190 > 10.100.0.161: (frag 35143:1480@2960+)
23:43:36.809527 10.100.1.190 > 10.100.0.161: (frag 35143:1480@4440+)
23:43:36.809539 10.100.1.190 > 10.100.0.161: (frag 35143:1480@5920+)
23:43:36.809554 10.100.1.190 > 10.100.0.161: (frag 35143:824@7400)
23:43:36.810014 10.100.1.190.80 > 10.100.0.161.32545: P 8193:9641(1448) ack 67 win 17896 \
<nop,nop,timestamp 313564159 0> (frag 46914:1480@0+)
23:43:36.810030 10.100.1.190 > 10.100.0.161: (frag 46914:1480@1480+)
23:43:36.810045 10.100.1.190 > 10.100.0.161: (frag 46914:1452@2960)
23:43:36.810157 10.100.1.190.80 > 10.100.0.161.32545: F 12573:12573(0) ack 67 win 17896 <nop,nop,timestamp 313564159 0>
23:43:36.813600 10.100.0.161.32545 > 10.100.1.190.80: . ack 8193 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.813856 10.100.0.161.32545 > 10.100.1.190.80: . ack 12574 win 12004 <nop,nop,timestamp 3055259272 313564159>
23:43:36.816244 10.100.0.161.32545 > 10.100.1.190.80: F 67:67(0) ack 12574 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.817042 10.100.1.190.80 > 10.100.0.161.32545: . ack 68 win 17896 <nop,nop,timestamp 313564159 0>

kus

* (frag 35143:1480@0+) - järgnevad IP fragmendid
* (frag 35143:824@7400) - viimane IP fragment kuna järel + märk puudub

ICMP pakettide puhul on fragmenteerimist veel otsekohesem jälgida, öeldes ühes aknas:

# ping -c 1 -s 6000 192.168.209.245
PING 192.168.209.245 (192.168.209.245): 6000 data bytes
6008 bytes from 192.168.209.245: icmp_seq=0 ttl=56 time=74.206 ms

Võrku pealt kuulates võib paista midagi sellist:

22:30:44.799162 84.50.96.138 > 192.168..209.245: icmp: echo request (frag 36688:1480@0+)
22:30:44.799168 84.50.96.138 > 192.168..209.245: (frag 36688:1480@1480+)
22:30:44.799175 84.50.96.138 > 192.168..209.245: (frag 36688:1480@2960+)
22:30:44.799180 84.50.96.138 > 192.168..209.245: (frag 36688:1480@4440+)
22:30:44.799187 84.50.96.138 > 192.168..209.245: (frag 36688:88@5920)
22:30:44.872529 192.168.209.245 > 84.50.96.138: icmp: echo reply (frag 42199:1480@0+)
22:30:44.872674 192.168.209.245 > 84.50.96.138: (frag 42199:1480@1480+)
22:30:44.872774 192.168.209.245 > 84.50.96.138: (frag 42199:1480@2960+)
22:30:44.872899 192.168.209.245 > 84.50.96.138: (frag 42199:1480@4440+)
22:30:44.872913 192.168.209.245 > 84.50.96.138: (frag 42199:88@5920)

===ping===

Kuulub enamuse operatsioonisüsteemide pakettide hulka.

Ping utiliidi abil saab hõlpasti veenduda, et kahe punkti vahel on füüsiliselt võrguühendus olemas. Ping kasutab andmevahetuseks ICMP (Internet Control Message Protocol) protokolli ja arusaadavalt ei tohi sellise kontrolli õnnestumiseks kahe punkti vahel olla ICMP protokolli kasutamine takistatud, täpsemini ICMP echo request ja ICMP echo reply sõnumite vahetamine.

Kasutamiseks tuleb ühes punktis öelda:

# ping 192.168.10.11
PING 192.168.10.11 (192.168.10.11): 56 data bytes
64 bytes from 192.168.10.11: icmp_seq=0 ttl=64 time=3.922 ms
64 bytes from 192.168.10.11: icmp_seq=1 ttl=64 time=0.286 ms
64 bytes from 192.168.10.11: icmp_seq=2 ttl=64 time=0.274 ms
64 bytes from 192.168.10.11: icmp_seq=3 ttl=64 time=0.193 ms

Väljundist on näha, et pöördutud aadress vastab, vastused on järjekorras ja kadudeta saabunud ning vastuse saamise aeg on suhteliselt stabiilne. Võib järeldada, et võrk toimib.

Kasutades võtit -n ei püüa ping lahendada nimesid, tihti seisneb võrgu nö mittetöötamine valesti konfigureeritud nimeserveris või nimeserveri mittekasutamises.

Pingimise intervalli võib ka vähendada järgnevalt:

# ping -i 0 -c 5 neti.ee

Silmas tasub ainult sel juhul pidada järgnevaid asju:

* flood ping (intervall 0) on masinate kiusamine, mõned tulemüürid võivad seda spetsiifiliselt tuvastada ja blokeerida
* mida lühem intervall, seda hüplikumaks muutub tulemus, pendeldades rohkem 100% ja 0% vahel
* alla 1 sek intervalliga ping tuleb ruudu poolt käivitada

===traceroute===

Samuti enamuse operatsioonisüsteemides leiduv programm.

Traceroute utiliidi abil saab jälgida, millistest võrgusõlmedest käib läbi kahe punkti vahel toimuv liiklus. Traceroute kasutab andmevahetuseks vaikimisi UDP protokolli ning asjaolu, et kui IP pakett läbib võrgusõlme, siis vähendatakse päises olevat TTL väärtust ühe võrra kusjuures kui võrgusõlme jõuab pakett, mille TTL väärtus on üks, siis saadetakse tagasi ICMP vastus:

icmp: time exceeded in-transit

UDP pakett saadetakse vaikimisi porti 33434 (eeldades, et sihtpunktiks olevas arvutis ei kuula seal teenust). Esimese paketi TTL on väärtusega 1 ning 'icmp: time exceeded in-transit' saadakse vaikelüüsilt. Järgmise paketi TTL seatakse 2 ning 'icmp: time exceeded in-transit' saadakse järgmises võrgu sõlmpunktis asuvalt ruuterilt jne kuni lõpuks UDP puhul saadakse sihtpunktilt vastuseks:

icmp: 172.168.1.1 udp port 33443 unreachable

UDP asemel on võimalik kasutada ka ICMP või TCP protokolli, aga UDP annab praktikas kõige paremaid tulemusi. Toome näite kasutades ICMP protokolli kuna liiklust sisaldavas võrgus on tulemust nii parem näha ja esitada. Ütleme arvuti ühes promptis:

# traceroute -n -q 1 -I cache.eenet.ee
traceroute to cache.eenet.ee (193.40.133.134), 64 hops max, 40 byte packets
1 195.80.102.33 0.494 ms
2 213.184.51.121 0.418 ms
3 194.116.188.19 0.524 ms
4 193.40.133.187 4.724 ms
5 193.40.133.134 3.760 ms

kus

* väljundis esitatakse järjekorras kõigi võrgusõlmede aadressid, mida pakett läbib sihtpunkti jõudmiseks; täpsemalt, need on võrgusõlmpunktide traceroute kasutaja poolsete võrguseadmede aadressid
* iga aadressi järel esitatakse vastuse tagasijõudmiseks kulunud aeg, kusjuures aeg esitatakse iga rea kohta eraldi st viimase rea aeg ei ole kõige aegade summa (antud juhul on see ka selgesti näha, et mingil põhjusel jõudis viimase hosti juurest vastus kiiremini tagasi kui eelviimasest)

Kuulates samas arvutis liiklust pealt teises promptis näeme:

# tcpdump -nttti em3 icmp
tcpdump: listening on em3, link-type EN10MB
May 19 18:12:08.419036 195.80.102.35 > 193.40.133.134: icmp: echo request [ttl 1]
May 19 18:12:08.419459 195.80.102.33 > 195.80.102.35: icmp: time exceeded in-transit [tos 0xc0]
May 19 18:12:08.419659 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.419957 213.184.51.121 > 195.80.102.35: icmp: time exceeded in-transit [tos 0xc0]
May 19 18:12:08.420152 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.420582 194.116.188.19 > 195.80.102.35: icmp: time exceeded in-transit
May 19 18:12:08.420760 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.424455 193.40.133.187 > 195.80.102.35: icmp: time exceeded in-transit
May 19 18:12:08.424638 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.428660 193.40.133.134 > 195.80.102.35: icmp: echo reply

Vahel esineb traceroute väljundis real * märk, mis tähendab, et vaatlusalune võrgusõlm ei vastanud 'icmp: time exceeded in-transit' teatega või see teade ei jõudnud kohale

# traceroute -n -q 1 -I www.eenet.ee
traceroute to www.eenet.ee (193.40.0.131), 64 hops max, 60 byte packets
1 84.50.96.137 58.500 ms
2 88.196.144.137 5.230 ms
3 90.190.153.17 4.325 ms
4 195.250.191.17 8.805 ms
5 *
6 194.116.188.19 9.124 ms
7 193.40.133.187 11.953 ms
8 193.40.0.131 11.744 ms

TCP ja port 80 tracroute:

# traceroute -n -q 1 -T www.eenet.ee -p 80
traceroute to www.eenet.ee (193.40.0.131), 30 hops max, 60 byte packets
1 10.0.0.1 0.313 ms
2 184.50.25.1 0.659 ms
3 184.50.157.2 5.896 ms
4 213.168.1.18 3.562 ms
5 213.168.1.27 3.680 ms
6 195.250.170.70 3.797 ms
7 193.40.133.6 6.987 ms
8 193.40.133.26 7.113 ms
9 193.40.0.131 7.993 ms

===tracepath===

tracepath programmi abil saab teha kindlaks Path MTU väärtusi, paigaldamiseks tuleb Debian Lenny keskkonnas öelda:

# apt-get install iputils-tracepath

Kasutamine toimub selliselt:

$ tracepath -n 192.168.1.4
1: 192.168.10.10 0.062ms pmtu 1500
1: 192.168.10.210 0.444ms
1: 192.168.10.210 0.220ms
2: 192.168.1.4 0.835ms reached
Resume: pmtu 1500 hops 2 back 63

Kasulikud lisamaterjalid:

* http://en.wikipedia.org/wiki/Path_MTU_Discovery

===nmap===

Programm nmap on populaarne võrgu kaardistamise vahend, mida võrguadministraatorid ja süsteemiadministraatorid armastavad kasutada teenuste kontrollimiseks, samuti diagnostikavahendina probleemide või kahtluste olemasolul. Lisaks tundub, et pahalased kasutavad sarnast võrgu kaardistamise vahendit ründe sihtmärkide kindlakstegemiseks. Nmap töö põhineb erinevate omadustega pakettide väljasaatmisel ning vastuste (sh vastuste saamatajäämise) analüüsil. Üldiselt võiks eristada kahte taset nmapi kasutamisel:

* võrgus arvutite leidmine (host discovery)
* üksikute arvutite omaduste kindlakstegemine (nt millistel portidel pakutakse teenust) (port scanning)

Nmap ei kuulu enamuse operatsioonisüsteemi baaskonfiguratsiooni ning tuleb eelnevalt
paketihalduse vahenditega paigaldada.

Nt Debian v. 7 Wheezy puhul sobib öelda, et ei paigaldatakse hulka Recommends olekus pakette:

# apt-get --no-install-recommends install nmap

====võrgust arvutite leidmine====

Võrgus arvutite kindlakstegemiseks on nmap'il kaks võtit, -sL ja -sP

Selleks, et lihtsalt kuvada subnetis olevad ip aadressid koos pöördteisendustega, mingit skaneerimist ei toimu:

# nmap -sL 192.168.1.0/24

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-23 22:30 EEST
Host 192.168.1.0 not scanned
Host sipsik.loomaaed.tartu.ee (192.168.1.1) not scanned
Host www.loomaaed.tartu.ee (192.168.1.2) not scanned
Host vaktsiin.loomaaed.tartu.ee (192.168.1.3) not scanned
Host loomaaed.tartu.ee (192.168.1.4) not scanned
Host 192.168.1.5 not scanned
Host hilja.loomaaed.tartu.ee (192.168.1.6) not scanned
..
Nmap done: 256 IP addresses (0 hosts up) scanned in 0.142 seconds

Selleks, et saada subnetis olevate arvutite mac aadresside nimekirja sobib öelda:

# nmap -sP 192.168.1.0/24 -n

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-23 23:03 EEST
Host 192.168.1.1 appears to be up.
MAC Address: 00:16:3E:1C:3C:B3 (Xensource)
Host 192.168.1.2 appears to be up.
MAC Address: 00:16:3E:2C:7E:DD (Xensource)
Host 192.168.1.3 appears to be up.
MAC Address: 00:18:F8:E5:F8:F2 (Cisco-Linksys)
Host 192.168.1.4 appears to be up.
MAC Address: 00:0C:42:07:1A:46 (Routerboard.com)
Nmap done: 256 IP addresses (5 hosts up) scanned in 6.054 seconds

Kui nö teises aknas võrku kuulata, näeb, et nmap teeb subneti iga ip aadressi kohta arp päringu, väga efektiivne moodus arvuti olemasolu kindlakstegemiseks:

# tcpdump -nettti fxp1 arp
Jun 23 22:49:26.743432 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.1 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
Jun 23 22:49:26.743466 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.2 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
Jun 23 22:49:26.943286 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.3 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
Jun 23 22:49:26.943339 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.4 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
..

Kui sedasi pöörduda mittelokaalse võrgu poole, siis nmap saadab icmp echo requesti ning tcp ack paketi porti 80 (mis tavaliselt ei saa tulemüüridest edasi, kuna ei kuulu ühenduse hulka) ning näitab samuti tulemust.

Lisaks saab -sP võtmega koos kasutada nn probe'isid (-PS, -PA jt) võtmeid, et vaikimisi käitumist muuta.

Nmap programmi võrgust arvutite leidmise protseduuri väljundi saab salvestada faili, et seda seejärel üksikute arvutite omaduste kindlakstegemiseks kasutada, näiteks selliselt, -oG võtme kasutamisel salvestatakse väljund võimalikult nö grep'itavas formaadis

# nmap -sP 192.168.1.0/24 -oG /tmp/nmap-192.168.1.0-24.log

====Üksikute arvutite omaduste kindlakstegemine====

Üksikute arvutite omaduste all mõeldaks seda, millises olekus on tema erinevad pordid, näiteks:

* open - pordil töötab rakendus
* closed - pordile ei ole ligipääs takistatud, aga rakendust ei tööta (tavaliselt saadab arvuti nmapile vastuseks RST paketi)
* filtered - nmap ei saa kindlaks teha pordi olekut (kas open või closed) kuna vaatlusaluses endas või tema eest töötab paketifilter

Tegemaks kindlaks, kas failis /tmp/192.168.1.0-24.log sisalduvatel ip aadressidel vastab SYN paketile 22 port tuleb näiteks öelda:

# nmap -p T:22 -sS -iL /tmp/nmap.log -PN -oG -

* -oG - tundub, et väljund on sedasi pisut paremini loetav kui vaikimisi
* -PN - nmap ei soorita taustal nn host discovery't, kui tcpflow abil liiklust jälgida, on pilt selgem

Sedasi on näiteks ka hea kontrollida, kas oma synproxy režiimis käivitatud tulemüür ikka toimib nõuetekohaselt.

Nmap võimaldab vaatlusaluse arvuti tcp/ip stackiga suhtlemisel saadud info põhjal kaudselt ennustada selle arvuti operatsioonisüsteemi ning portidel kuulavate tarkvarade versioonid:

# nmap -A 192.168.0.239
Starting Nmap 4.53 ( http://insecure.org ) at 2008-04-10 23:12 EEST
Interesting ports on 192.168.0.239:
Not shown: 1711 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.7p1 Debian 2 (protocol 2.0)
MAC Address: 00:11:25:85:64:34 (IBM)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.20
Uptime: 0.640 days (since Thu Apr 10 07:51:45 2008)
Network Distance: 1 hop
Service Info: OSs: Unix, Linux

OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.592 seconds

TCP handshake'i tegemiseks sobib kasutada, nn connect scan:

# nmap -p T:443 -sT -PN 192.168.0.239

Lisaks saab seada tcp paketi lippe ka näidates vajalikud lipud otse, nt seada SYN ja ACK, korrektselt seadistatud tulemüürist selline pakett läbi minna ei tohiks:

# nmap -p T:80 --scanflags SYNACK -PN 192.168.0.239

IP aadressiga seotud portide vahemiku tcp handshake skaneerimine:

# nmap -p T:22-100 -sT -Pn 192.168.0.111

kus

* -p T:22-100 - portide vahemik ja TCP (tegelikult -T on ta niikuinii antud juhul ja selle võiks ka ära jätta)
* -Pn - mitte pingida, st saadetakse vaid tcp syn jne pakette
* -sT - tcp handshake skaneerimine

Mitme ip aadressi puhul:

# nmap -p T:22-100 -sT -Pn 192.168.0.111-116 -o /var/tmp/nmap-20180222.log

====Võrgust teatud omadustega arvutite otsimine====

# nmap -PS -p 443 192.168.2.200-245

kus

* -PS - tcp syn
* -p 443 - port
* 192.168.2.200-245 - ip vahemik

====Turvavigade kontroll====

Tööks vajalikud huvitavad failid asuvad kaustas nmap/scripts/smb-check-vulns.nse
nt FreeBSD's /usr/local/share/nmap/scripts/

Ideepoolest peaks töötama ka käsk:

# nmap --script-updatedb
Starting Nmap 4.85BETA7 ( http://nmap.org ) at 2009-09-15 00:33 EEST
NSE script database updated successfully.
Nmap done: 0 IP addresses (0 hosts up) scanned in 0.23 seconds

Salvestame nmapi töö faili mis meie subneti nimeline ning viime läbi
SYN skänni pordile 445 ning käivitame SMB vigade kontrollimiseks mõeldud NSE skripti
ja teeme seda kõigile arvutitele 192.168.1.0/24 võrgus.

nmap -oA 192168-filename -sS -p445 --script smb-check-vulns.nse 192.168.1.0/24

Tulemused võivad välja näha näiteks järgnevad:

Interesting ports on kasutaja.zoo.tartu.ee (192.168.1.5):
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 00:03:0D:51:E5:CA (Uniwill Computer)

Host script results:
|_ smb-check-vulns: This host is likely vulnerable to MS08-067 (it
stopped responding during the test)

Skriptide poole pöördudes võib kasutada ka järgmist lähenemist:

nmap --script "http-*"

Mis laadib kõik skriptid millede nimi algab httpd- reaga, näiteks http-auth ja http-open-proxy

Või siis laadime kõik skriptid, välja arvatud intrusive kategooriast:

nmap --script "not intrusive"

Vaikimisi kategoriseeritud default ja safe kataloogi:

nmap --script "default or safe"

====nping====

nmap paketi koosseisu kuulub nping programm, mis on natuke sarnane oma võimalustelt hping ja pingile.

TODO

====ncat====

nmap paketi koosseisu kuulub ncat programm, mis on natuke sarnane oma võimalustelt netcat programmile.

===arping===

Erinevalt programmist ping, mis saadab võrku ip pakette (ethertype 0x0800) tekitab arping arp pakette (ethertype 0x0806). Kui ühes aknas pingida/arpingida ja teises jälgida liiklust, siis paistavad erinevused sellised:

# ping 192.168.10.251

# tcpdump -nettti em0 arp or icmp
Jun 24 13:27:08.032376 00:0e:0c:ba:4b:3e 00:0c:42:07:1a:45 0800 98: 192.168.10.210 > 192.168.10.251: icmp: echo request
Jun 24 13:27:08.032511 00:0c:42:07:1a:45 00:0e:0c:ba:4b:3e 0800 98: 192.168.10.251 > 192.168.10.210: icmp: echo reply

# arping 192.168.10.251

# tcpdump -nettti em0 arp or icmp
Jun 24 13:27:10.069533 0c:80:18:03:00:00 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.10.251 tell 192.168.10.210
Jun 24 13:27:10.069644 00:0c:42:07:1a:45 0c:80:18:03:00:00 0806 60: arp reply 192.168.10.251 is-at 00:0c:42:07:1a:45

===Ssmpingiga multicasti toimimise testimine===

Multicast ehk multiedastus võimaldab ühe saatekorraga edastada sama infot korraga valitud arvutite rühmale. Seda ei tohi segi ajada broadcastiga, mis edastab paketi absoluutselt kõigile võrgus olevatele masinatele. Multicasti töötamise jaoks on switchis tarvilik IGMP (Internet Group Management Protocol) tugi (snooping ja query). Ruuteril on tarvilik "multicast routing" tuge. Multiedastust kasutatakse laialdaselt audio-video ülekandmiseks ja clustri nodede sünkroniseerimiseks. Mittemanageeritavad switchid võivad multiedastus teateid edastada kui broadcasti kõigisse switchi portidesse ja tekitada seega võrgus üleliigset liiklust. IGMP Snoopingu halvaks küljeks on aga suurem switchi protsessori ja mälu kasutus.

http://et.wikipedia.org/wiki/Multiedastus
http://en.wikipedia.org/wiki/Multicast

Kahe masina vahel multicasti testimine ssmpingi abil. Paigaldamiseks:

# apt-get install ssmping

Esimeses masinas:

# ssmpingd

Teises masinas:

# ssmping -I eth0 <IP aadress>

Tulem võiks näha välja järgnev:

asmping joined (S,G) = (*,224.0.2.234)
pinging 192.168.8.6 from 192.168.8.5
unicast from 192.168.8.6, seq=1 dist=0 time=0.221 ms
unicast from 192.168.8.6, seq=2 dist=0 time=0.229 ms
multicast from 192.168.8.6, seq=2 dist=0 time=0.261 ms
unicast from 192.168.8.6, seq=3 dist=0 time=0.198 ms
multicast from 192.168.8.6, seq=3 dist=0 time=0.213 ms
unicast from 192.168.8.6, seq=4 dist=0 time=0.234 ms
multicast from 192.168.8.6, seq=4 dist=0 time=0.248 ms
unicast from 192.168.8.6, seq=5 dist=0 time=0.249 ms
multicast from 192.168.8.6, seq=5 dist=0 time=0.263 ms
unicast from 192.168.8.6, seq=6 dist=0 time=0.250 ms
multicast from 192.168.8.6, seq=6 dist=0 time=0.264 ms
unicast from 192.168.8.6, seq=7 dist=0 time=0.245 ms
multicast from 192.168.8.6, seq=7 dist=0 time=0.260 ms

Nii unicast kui multicast tunduvad töötavat.

Võime testida ka mõne kaugema serveri pihta:

# ssmping ssmping.uninett.no
ssmping joined (S,G) = (2001:700:0:4501:158:38:0:230,ff3e::4321:1234)
pinging S from 2001:bb8:2001:2:21b:21ff:fe65:54c9
unicast from 2001:700:0:4501:158:38:0:230, seq=1 dist=14 time=39.017 ms
unicast from 2001:700:0:4501:158:38:0:230, seq=2 dist=14 time=38.840 ms
unicast from 2001:700:0:4501:158:38:0:230, seq=3 dist=14 time=38.950 ms
unicast from 2001:700:0:4501:158:38:0:230, seq=4 dist=14 time=38.704 ms
--- 2001:700:0:4501:158:38:0:230 statistics ---
4 packets transmitted, time 3564 ms
unicast:
4 packets received, 0% packet loss
rtt min/avg/max/std-dev = 38.704/38.877/39.017/0.269 ms
multicast:
0 packets received, 100% packet loss

Viimase näite puhul multicast üle ipv6 ei paista töötavat. Unicast aga küll..

===Ethtool===

Selleks, et vaadata ühenduse parameetreid ning seda, kas võrgukaarti on ühendatud kaabel või ei ole on olemas töövahend ethtool. Üsna sageli võib olla segadus, et serveril
on 4+ võrguseadet ning raske öelda kuidaspidi on udev nad jaganud. Paigaldamiseks:

# apt-get install ethtool

Kasutamine:

# ethtool eth0

Ja sealt antud infost saab vaadata nt välja:

Link detected: yes

Detailsema info küsimiseks:

# ethtool -i eth5
driver: i40e
version: 1.2.37
firmware-version: f4.22.27454 a1.2 n4.25 e143f
bus-info: 0000:06:00.1
supports-statistics: yes
supports-test: yes
supports-eeprom-access: yes
supports-register-dump: yes
supports-priv-flags: yes

===tcpflow===

Programmi tcpflow abil on hea uurida rakenduskihile vastavate andmete liikumist võrgus, nt jälgida http päringud ja vastuseid. tcpflow salvestab käesolevasse kataloogi (current directory) tabatud liikluse automaatselt moodustatud failinimesid kasutades.

# mkdir /tmp/ftp.aso.ee
# cd /tmp/ftp.aso.ee
# tcpflow -i rl0 host ftp.aso.ee
# ls -l
total 8
-rw-r--r-- 1 root wheel 104 Jun 13 10:22 084.050.096.138.50120-213.184.032.082.00080
-rw-r--r-- 1 root wheel 847 Jun 13 10:22 213.184.032.082.00080-084.050.096.138.50120

Failinimed sisaldavad kasutatud pordinumbreid, päring:

# cat 084.050.096.138.50120-213.184.032.082.00080
GET /README HTTP/1.0
User-Agent: Wget/1.11.2
Accept: */*
Host: ftp.aso.ee
Connection: Keep-Alive

ning vastus:

# cat 213.184.032.082.00080-084.050.096.138.50
HTTP/1.1 200 OK
Date: Fri, 13 Jun 2008 07:22:50 GMT
Server: Apache
Last-Modified: Mon, 05 Nov 2007 19:14:36 GMT
ETag: "1c980fa-22e-53bd1f00"
Accept-Ranges: bytes
Content-Length: 558
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/plain; charset=UTF-8

Welcome to the Estonian Informatics Center's FTP server!

On this server are hosted following software distributions

Debian GNU/Linux - /debian
Ubuntu Linux - /pub/ubuntu
Mandriva Linux - /pub/Mandrake
X-Road System - /pub/x-tee
Solaris CSW - /pub/csw
OpenBSD - /pub/OpenBSD

You can access data anonymously using http, ftp or rsync protocol and
one of these domainnames:

ftp.aso.ee
ftp.ria.ee
ftp.ee.debian.org

If you have any comments or encounter problems using this archive, please send
them via e-mail to ftpmaster_at_aso.ee.

tcpdump abil salvestatud faile saab uurida

$ tcpflow -r failinimi.pcap

===hping===

Programm hping võimaldab konstrueerida ja võrku saata igasuguseid pakette ja sobib seetõttu hästi nt võrgusõlmede testimiseks. Tarkvarast on kolm populaarset versiooni, hping, hping2 ja hping3. Näiteks SYN paketi tekitamiseks tuleb öelda:

# hping -S -c 4 -p 80 192.168.10.12
HPING farm.loomaaed.tartu.ee (em0 192.168.10.12): S set, 40 headers + 0 data bytes
len=46 ip=192.168.10.12 ttl=56 DF id=60008 sport=80 flags=SA seq=0 win=5840 rtt=9.4 ms
len=46 ip=192.168.10.12 ttl=56 DF id=53433 sport=80 flags=SA seq=1 win=5840 rtt=9.8 ms
len=46 ip=192.168.10.12 ttl=56 DF id=39504 sport=80 flags=SA seq=2 win=5840 rtt=9.5 ms
len=46 ip=192.168.10.12 ttl=56 DF id=54821 sport=80 flags=SA seq=3 win=5840 rtt=9.5 ms

kus võtmed:

* -S - konstrueerida SYN pakett
* -c 4 - saata viis paketti
* -i arv - saata intervalliga arv sekundit, vaikimisi ühe sekundise intervalliga
* -p - pordile 80

Näiteks nii saab nö tavalist ICMP pingi sooritada öeldes paketi src aadressiks 192.168.12.144:

# hping3 -1 -a 192.168.12.144 192.168.11.145

Fragmenteeritud IP pakettide genereerimiseks sobib öelda:

# hping3 -d 5400 -E /tmp/50M -S -c 3 -p 80 192.168.10.12 -m 200

kus

* -d paketi andmeosa suurus
* -E - mida kasutada andmeosa täitmiseks
* -m - mtu suurus

===netcat===

Programm netcat võimaldab hõlpsasti testida võrku, või vahetda arvutite ning programmide vahel infot. Sarnane tuntud programmile socket. Tuleb osades operatsioonisüsteemides paigaldada, nt OpenBSD's on ta olemas.
Ühes arvutis tuleb ta käivitada porti kuulama öeldes, näiteks faili /tmp/filename.out kopeerimiseks:

# nc -l -p 1010 > /tmp/filename.out

ja teisest pöörduda:

# nc teise.arvuti.ip.aadress 1010 < /tmp/filename.out

Sedasi töötab Linuxi peal lihtne server:

# while true ; do cat /tmp/http.txt | nc -l -p 1500 head --bytes 2000 >>/tmp/requests ; date >>/tmp/requests ; done

Hädapärast saab netcati kasutades vahendada ka arvutite ning skriptide vahel infot, näiteks kuulame 1001 porti ühes masinas:

abiks käsk testimisel:

nc -l -p 1001 | awk -F"," '{print $2}'

Syslogiga suhtlemine:

$ echo '<0>message' | nc -w 1 -u 192.168.102.114 514

Whois teenuse kasutamine (20131116 - tundub, et päris nii see alati ei tööta):

$ echo "loomaaed.tartu.ee" | netcat 193.40.0.12 43
The registry database contains only .EE, .COM.EE, .PRI.EE, .FIE.EE,
.ORG.EE and .MED.EE domains.

Registrant:
Tartu Loomaaed
Looma tee 1
TEL 1234 5678
FAX 8765 4321

Domain Name: loomaaed.tartu.ee

Contacts:
Priit Kask priit@loomaaed.tartu.ee
..

Netcat abil saab hõlpsasti demonstreerida kui lihtne on nö pordile shelli külge ühendada (see on üks põhjus, miks tuleb pigem paketifiltriga kasutamata pordid blokeerida), serveris öelda:

$ nc -l -p 8443 -e /bin/bash

ja kliendis:

$ nc 192.168.10.10 8443
/sbin/route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.10.254 0.0.0.0 UG 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Mingi määratluse järgi jagatakse turvaauke local ja remote alla kuuluvateks. Tihtipeale annavad local augud rohkem võimalusi ja neide parandamisse suhtutaks kergekäelisemalt. Kui selline shell on kasutada, siis arusaadavalt saab eemalt ligi local aukudesse (nt käivitada spetsiaalselt ettevalmistatud faile jms).

Tundub, et uuemal ajal sobib öelda:

$ cat /tmp/f | /bin/sh -i 2>&1 | nc -l 127.0.0.1 8443 > /tmp/f

Võrgukiiruse primitiivseks testimine sobib öelda (iseäralik on antud juhul, et mõõdetakse puhast võrgukiirust, kohalike ketaste io ei sega):

netcat-server$ nc -l -p 6000 > /dev/null
netcat-klient$ nc 192.168.10.189 6000 < /dev/zero

ja liikluse kiiruse hindamiseks öelda ükskõik kummas arvutis:

# tcpstat -i eth0 -o "Time:%S\tn=%n\tavg=%a\tstddev=%d\tBaitspersecond=%B\n" -f "tcp and host 192.168.10.189 and port 6000" 1
Time:1463902007 n=11782 avg=1044.15 stddev=672.42 Baitspersecond=12302148.00
Time:1463902008 n=11603 avg=1046.16 stddev=671.66 Baitspersecond=12138628.00
Time:1463902009 n=11367 avg=1056.14 stddev=667.52 Baitspersecond=12005096.00
Time:1463902010 n=11652 avg=1051.81 stddev=669.35 Baitspersecond=12255700.00
Time:1463902011 n=11514 avg=1053.25 stddev=668.74 Baitspersecond=12127072.00

Lisaks peaks jälgima võrguliidestel toimuvat liiklus vigade osas, nt (errors, dropped jt):

# ifconfig
eth0 Link encap:Ethernet HWaddr 00:1c:c0:38:97:a9
inet addr:192.168.10.8 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::21c:c0ff:fe38:97a9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:47321279 errors:0 dropped:0 overruns:0 frame:0
TX packets:42781684 errors:0 dropped:0 overruns:0 carrier:0

===IPerf===

IPerf http://www.noc.ucf.edu/Tools/Iperf/ tarkvaraga saab mõõta kahe arvuti vahelise võrguühenduse jõudlust.

====TCP====

Vaikimisi kasutatakse TCP protokolli, näide: kaks masinat klient 192.168.1.2 ja server 192.168.1.3

Server:

# iperf -s
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 85.3 KByte (default)
------------------------------------------------------------
[ 4] local 192.168.1.3 port 5001 connected with 192.168.1.2 port 32054
[ ID] Interval Transfer Bandwidth
[ 4] 0.0-10.0 sec 826 MBytes 692 Mbits/sec

klient:

# iperf -c 192.168.1.3
------------------------------------------------------------
Client connecting to 192.168.1.2, TCP port 5001
TCP window size: 32.5 KByte (default)
------------------------------------------------------------
[ 3] local 192.168.1.2 port 32054 connected with 192.168.1.3 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-10.0 sec 826 MBytes 693 Mbits/sec

Soovides täpsemat andmehulka ette anda tuleb täpsustada kasutades võtit '-l'

Vaikimisi kestab test 10 sekundit, soovides seda ajaakent suurendada tuleb kasutada võtit '-t'

# iperf -t 60 -c 192.168.1.3

Täpsem jooksev statistika:

# iperf -c 192.168.1.2 -w 400k -P 2 -i 1
Client connecting to 192.168.1.2, TCP port 5001
TCP window size: 400 KByte
------------------------------------------------------------
[ ID] Interval Transfer Bandwidth
[SUM] 0.0- 1.0 sec 1.06 GBytes 9.07 Gbits/sec
[SUM] 1.0- 2.0 sec 1.08 GBytes 9.30 Gbits/sec
[SUM] 2.0- 3.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 3.0- 4.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 4.0- 5.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 5.0- 6.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 6.0- 7.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 7.0- 8.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 8.0- 9.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 9.0-10.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 0.0-10.0 sec 11.4 GBytes 9.75 Gbits/sec

Vaikimisi kestab test 10 sekundit -t parameetriga saab muuta, lisaks saab muuta -i parameetriga statistika kuvamise intervalli.

====UDP====

UDP protokolli kasutamiseks tuleb lisaks kasutada kliendi ja serveri poolel lisaks suvandit -u, kusjuures UDP puhul on kiiruse piirang vaikimisi 1 Mbit/s. Kiirust saab täpsustada suvandiga -b 1000M:

# iperf -s -u
# iperf -c 192.0.0.118 -t 600 -i 10 -l 1472 -b 20M -u

====IPv6====

IPv6 kasutamiseks tuleb serveri ja kliendi poolel lisaks kasutada suvandit:

server # iperf -V -s -u
klient # iperf -V -c 2a02:98:0:a07::a00:7bf -t 600 -i 10 -l 1452 -b 20M -u

kus

* ipv6 puhul on ip paketi kapsli overhead 40 baiti (erinevalt ipv4 20 baidist)
* udp kapsli overhead on 8 baiti
* -l 1452 puhul ei toimu veel fragmenteerimist, suurema väärtuse puhul tekivad tõenäoliselt fragmenditud paketid

===netstrain===

Programm netstrain võimaldab tekitada ja jälgida võrgus tcp koormust. Ühes arvutis tuleb netstraind käivitada:

# netstraind -4 1010
NetStrain 3.0 (c) 2002 Christoph Pfisterer <cp@chrisp.de>
Listening on 0.0.0.0 port 1010 using IPv4...
One-shot server waiting for connection
Incoming connection from 172.16.3.254 port 5606

ning teisest pöörduda:

# netstrain -4 172.16.3.251 1010 both
NetStrain 3.0 (c) 2002 Christoph Pfisterer <cp@chrisp.de>
Looking up hostname 172.16.3.251...
Connecting to 172.16.3.251 port 1010 using IPv4...
Connected
sent: 6450M, 10589.2K/s total, 10586.8K/s current
recv'd: 6252M, 10264.4K/s total, 10286.5K/s current

===ipcalc ja ipv6calc===

ipcalc on paketist paigaldatav pisike utiliit, millega saab nö võrke arvutada. Näiteks küsida milline on kaheksane subnet kuhu kuulub ip aadress 192.168.2.201:

# ipcalc 192.168.2.201/29
address : 192.168.2.201
netmask : 255.255.255.248 (0xfffffff8)
network : 192.168.2.200 /29
broadcast : 192.168.2.207
host min : 192.168.2.201
host max : 192.168.2.206
hosts/net : 6

===sipcalc===

sipcalc (IP subnet calculator) programmiga saab arvutada IPv4 ja IPv6 võrguaadresse:

$ sipcalc -a 2a01:88:0:21::2
-[ipv6 : 2a01:88:0:21::2] - 0

[IPV6 INFO]
Expanded Address - 2a01:0088:0000:0021:0000:0000:0000:0002
Compressed address - 2a01:88:0:21::2
Subnet prefix (masked) - 2a01:88:0:21:0:0:0:2/128
Address ID (masked) - 0:0:0:0:0:0:0:0/128
Prefix address - ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
Prefix length - 128
Address type - Aggregatable Global Unicast Addresses
Network range - 2a01:0088:0000:0021:0000:0000:0000:0002 -
2a01:0088:0000:0021:0000:0000:0000:0002

[V4INV6]
Expanded v4inv6 address - 2a01:0088:0000:0021:0000:0000:0.0.0.2
Compr. v4inv6 address - 2a01:88:0:21::0.0.0.2

[IPV6 DNS]
Reverse DNS (ip6.arpa) -
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.2.0.0.0.0.0.0.8.8.0.0.1.0.a.2.ip6.arpa.

===httping===

httping programmiga saab esitada http päringuid eesmärgiga jälgida veebiserveri vastuste andmist. On võimalik täpsustades, kas esitatakse GET või HEAD päringuid ning millise sagedusega päringuid esitatakse. Programmi kasutamine võiks toimuda selliselt:

$ httping -s -S -i 2 -r -g http://www.loomaaed.tartu.ee/loomafail.cgi
PING www.loomaaed.tartu.ee:80 (http://www.loomaaed.tartu.ee/loomafail.cgi):
connected to www.loomaaed.tartu.ee:80, seq=0 time=11.99+501.00=512.99 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=1 time=10.20+475.94=486.14 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=2 time=9.71+471.03=480.74 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=3 time=10.88+420.74=431.62 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=4 time=9.99+336.93=346.92 ms 200 OK

kus on kasutatud võtmeid:

* -s - esitab http päringu vastuse http koodi, st 200, 403, 404, 500 jne
* -S - esitab vastuses eraldi tcp ühenduse moodustamiseks ja vastuse saamiseks kulunud aja
* -i - päringute esitamise intervall sekundites
* -r - nimelahendus sooritatakse vaid üks kord
* -g - esitatakse GET päringuid (vaikimisi HEAD)

Üks abiks httping programmi kasutusjuht võiks olla näiteks veebikoha koormustesti ajal jälgida milline on tavakasutaja jaoks kõnealuse veebikoha kättesaadavus.

https teenuse jälgimiseks sobib öelda:

$ httping -G -l -g "/index.html" -h 192.168.10.12

* -l - pöörduda https abil

===tcpstat===

Vahel on selle programmi kasutamine muutnud süsteemi ebastabiilseks, tõenäoliselt on seoses konkreetselt kasutuses oleva riistvaraga. Muidu aga võimaldab ta jälgida tingimustele vastava andmevahetuse kiirust:

# tcpstat -i vlan13 -o "Time:%S\tn=%n\tavg=%a\tstddev=%d\tBaitspersecond=%B\n" -f "tcp and host 192.168.110.149" 10

kus

* -i - võrguseade
* -o - väljundi vorming
* -f - nö tcpdump vormingu filter
* 10 - väljundi esitamise intervall, kusjuures kui andmeid ei ole, siis intervalli möödudes nulle ei esitata

===tcptrace===

tcptrace on üks paljudest programmidest, millega esitada salvetatud võrguliikluse kohta ülevaatlikke andmeid, võimalik, et programmi kõige olulisem väärtus on pedagoogiline

$ tcptrace -l tt.log
1 arg remaining, starting with 'tt.log'
Ostermann's tcptrace -- version 6.6.1 -- Wed Nov 19, 2003

54 packets seen, 54 TCP packets traced
elapsed wallclock time: 0:00:00.007053, 7656 pkts/sec analyzed
trace file elapsed time: 0:00:02.787589
TCP connection info:
1 TCP connection traced:
TCP connection 1:
host a: moraal.auul:52081
host b: ftp.loomaaed.tartu.ee:22
complete conn: yes
first packet: Sat Oct 10 12:56:15.713740 2009
last packet: Sat Oct 10 12:56:18.501330 2009
elapsed time: 0:00:02.787589
total packets: 54
filename: tt.log
a->b: b->a:
total packets: 30 total packets: 24
ack pkts sent: 29 ack pkts sent: 24
pure acks sent: 14 pure acks sent: 7
sack pkts sent: 0 sack pkts sent: 0
dsack pkts sent: 0 dsack pkts sent: 0
max sack blks/ack: 0 max sack blks/ack: 0
..
data xmit time: 2.547 secs data xmit time: 2.547 secs
idletime max: 1141.1 ms idletime max: 1151.3 ms
throughput: 1291 Bps throughput: 1072 Bps

===Wireshark===

Tarkvara Wireshark eelised avalduvad tema ülevaatlikkust pakkuvas graafilises kasutajaliideses, kus on võimalus:

* liiklust filtreerida nt otspunktide ip aadresside, protokolli vms parameetrite alusel
* hõlpsasti eristada liiklusest tcp sessioone
* ülevaatlikult näha paketi kapseldust OSI kihtide mõttes

'''Lihtne wiresharki kasutusjuhus tööarvutis'''

Käivita wireshark. Vajuta nupule "List available capture interfaces..." ja seejärel võib alustada pakettide püüdmist soovitud võrguaadressil. Pakettide püüdmise lõpetab nupp "Stop the running live capture".

Kui võrguliiklust on palju, võib wiresharki väljund tulla liiga kirju. Otsitava informatsiooni valimiseks võib kasutada erinevaid filtreid:

* ip.addr == 192.168.1.253 - Näitab ainult pakette, mis kas pärinevad või on suunatud antud aadressile
* tcp.port == 22 - Näitab ainult pakette, mis kas pärinevad või on suunatud TCP porti 22
* !(udp.port == 80) - näitab ainult pakette, mille src ega dst pooles ei esine port 80

Erinevaid filtreid saab kombineerida loogiliste tehetega: &&, ||, !

Wireshark kasutamist on keerukamatel juhtudel mõistlik korraldada nii, et tulemüüris/serveris salvestatakse liiklus tcpdump abil faili ning see fail kopeeritakse töökohaarvutisse kuhu on paigaldatud Wireshark. Wireshark kasutajaliides näeb välja selline, antud juhul on kuulatud pealt liiklust tulemüürist ftp.aso.ee arvutiga:

# tcpdump -n -i eth0 -s 1600 -w /tmp/ftp.aso.ee.log host ftp.aso.ee

Seejärel on käivitatud wireshark

linux$ wireshark ftp.aso.ee.log

Wiresharkis on filtreeritud välja ainult liiklus ftp.aso.ee arvutiga (kui seda praktiliselt pole ka vaja filtreerida, kuna ainult seda kuulatigi tcpflow'ga). Allolevalt pildilt on näha kuidas Wireshark esitab väljundit kolmes üksteise kohal paiknevas raamis:

# ülemises raamis on esitatud filtreeritud 10 paketti, järjekorranumber, aeg, lähte ja siht aadress, protokoll ja muu info
# keskmises raamis esitatakse ülemises raamis ära märgitud paketi kapseldatud koosseis, on näha ISO kihid kusjuures wireshark interpreteerib lisaks paketi nn payloadis olevaid andmeid
# alumises raamis on esitatud paketi sisu kõrvuti kahes tulbas, 16nd-süsteemis ning võimalusel vastavad ascii sümbolid, kusjuures keskmises raamis märgitule on ära vastav osa ära tähistatud

[[Pilt:Wireshark-ftp.aso.ee.log-1.gif]]

Näiteks võib antud juhul jälgida kuidas ühenduse loomiseks ja lõpetamiseks on vahetatud vastavalt kolm ja kolm paketti, ning sisuliste andmete vahetamiseks on kokku saadetud neli paketti. Välja arvatud erijuhud üldiselt ongi nii, et andmevahetusel osapooled saadavad üksteisele samas suurusjärgus pakette, isegi kui tegu on sisuliselt ühesuunalise andmevahetusega. Ja eriliselt võiks antud juhul tähele panna, et tcp ühenduse sees saadetakse andmeid mõlemas suunas.

Antud juhul kuuluvad juba tcpdump abil salvestatud ühte tcp sessiooni, kuid wiresharkil on võimalus suuremat hulgast pakettidest välja filtreerida ka ühe tcp sessiooni. Selleks tuleb ülemises raamis valida mingi paketi peal olles hiire parema nupuga avanevast hüpikmenüüst 'Follow TCP Stream' ning esitakse sessioonis toimunud http get päringu sisu ja vastuse sisu

[[Pilt:Wireshark-ftp.aso.ee.log-2.gif]]

====editcap ja mergecap kasutamine====

editcap programmiga saab varem salvestatud pcap vormingus faili osadeks jagada, nt pakettide arvu järgi, tulemusena tekivad osad* nimelised failid:

# editcap -c 100 tcp.log osad

mergecap programmiga saab pcap vormingus osad liita kokku üheks failiks:

# mergecap -w tcp-kokkuyhendatud.log osad*

====capinfos====

Salvestatud pcap faili kohta saab küsida capinfos programmiga:

# capinfos tcp.log
File name: tcp.log
File type: Wireshark/tcpdump/... - libpcap
File encapsulation: Ethernet
Number of packets: 1000
File size: 590818 bytes
Data size: 592758 bytes
Capture duration: 6 seconds
Start time: Sat Oct 22 20:06:11 2011
End time: Sat Oct 22 20:06:16 2011
Data byte rate: 106709.45 bytes/sec
Data bit rate: 853675.63 bits/sec
Average packet size: 592.76 bytes
Average packet rate: 180.02 packets/sec

====RSA võtmevahetusega SSL liikluse dekrüptimine====

* http://wiki.wireshark.org/SSL
* http://wirewatcher.wordpress.com/2010/07/20/decrypting-ssl-traffic-with-wireshark-and-ways-to-prevent-it/

===tcpbench===

OpenBSD baas sisaldab tcpbench utiliiti, mille abil saab otsekoheselt testida kahe OpenBSD arvuti vahelist võrguühendust. Utiliidi kasutamisel hakkab klient serverisse kopeerima maksimaalse võimaliku suurusega tcp pakette, tegevuse käigus esitavad klient ja server programmi väljundis toimuvat andmevahetust iseloomustavat infot:

server# tcpbench -s
pid elapsed_ms bytes Mbps
25537 1009 20811800 165.009
25537 2009 20610544 165.049
25537 3013 20230168 161.197
25537 closed by remote end

klient# tcpbench 192.168.10.8
pid elapsed_ms bytes Mbps
2628 1026 20990016 163.665
2628 2008 20460296 166.683
2628 3037 20230168 157.433
^Ctcpbench: Terminated by signal 2

===ssldump===

ssldump võimaldab SSL/TLS liiklust analüüsida, tarkvara paigaldamiseks tuleb öelda Debian keskkonnas:

# apt-get install ssldump

FreeBSD's asub pakett net/ssldump

kasutamiseks:

# ssldump -i eth0 -d port 993
New TCP connection #1: moraal.auul(49305) <-> smtp.loomaaed.tartu.ee(993)
1 1 0.0100 (0.0100) C>S Handshake
ClientHello
Version 3.1
resume [32]=
9c 5e 98 a5 0c 7a e1 f6 59 70 cb 42 ff 7e d0 2c
0c d6 03 57 34 e5 01 74 4e 4f fb 70 3b a5 61 02
cipher suites
Unknown value 0xc00a
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
...
compression methods
NULL
1 2 0.0342 (0.0242) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
9c 5e 98 a5 0c 7a e1 f6 59 70 cb 42 ff 7e d0 2c
0c d6 03 57 34 e5 01 74 4e 4f fb 70 3b a5 61 02
cipherSuite Unknown value 0x35
compressionMethod NULL
1 3 0.0342 (0.0000) S>C ChangeCipherSpec
1 4 0.0342 (0.0000) S>C Handshake
1 5 0.0349 (0.0006) C>S ChangeCipherSpec
1 6 0.0349 (0.0000) C>S Handshake
1 7 0.0443 (0.0094) S>C application_data
1 8 0.0450 (0.0006) C>S application_data
1 9 0.0546 (0.0095) S>C application_data
..

kust on näha:

* C>S, S>C - vastavalt kliendilt serveri ja serverilt kliendi suunas toimuv liiklus
* ClientHello, ServerHello, jt - kliendi ja serveri vahel toimuv SSL ühenduse parameetrite kokkuleppimine
* application_data - antud juhul jääb ssldump jaoks sisuline andmevahetus ligipääsmatuks

Kui lisaks on kasutada ssl võtmed, siis saab teatud juhtumitel ka liikluse sisu debugida, nt https puhul:

# cat www.loomaaed.tartu.ee.key www.loomaaed.tartu.ee.crt > www.pem
# ssldump -i eth0 -d -k www.pem port 443
..
1 10 0.0849 (0.0341) C>S application_data
---------------------------------------------------------------
GET /text.html HTTP/1.1
Host: 192.168.10.53
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) \
Gecko/2009091010 Iceweasel/3.0.6 (Debian-3.0.6-3)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

---------------------------------------------------------------
1 11 0.0857 (0.0007) S>C application_data
---------------------------------------------------------------
HTTP/1.1 200 OK
Date: Fri, 23 Oct 2009 06:32:59 GMT
Server: Apache/2.2.9 (Debian) mod_jk/1.2.26 mod_ssl/2.2.9 OpenSSL/0.9.8g
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 266
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Seejuures tuleb veebiserveris kasutada sobivat SSLCipherSuite väärtust, selline töötab mingil määral:

SSLCipherSuite RSA:-HIGH:MEDIUM:-EXP:-DH

Kasutatud järgnevusele 'RSA:-HIGH:MEDIUM:-EXP:-DH' vastavaid väärtusi näeb:

# openssl ciphers -v 'RSA:-HIGH:MEDIUM:-EXP:-DH'
DES-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
NULL-SHA SSLv3 Kx=RSA Au=RSA Enc=None Mac=SHA1
NULL-MD5 SSLv3 Kx=RSA Au=RSA Enc=None Mac=MD5
DES-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=DES(56) Mac=MD5
RC2-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC2(128) Mac=MD5
RC4-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5

Lisaks saab ssldump jaoks kaustada tcpdump abil kogutud pcap faili (eriti see on -s 0 võtmega salvestatud):

$ ssldump -r failinimi.pcap

===ICMP redirect===

Olgu selliste ruutingutega olukord:

....
|
_|_ tulemüür
| | vaikelüüs, kus on kirjeldatud staatiline ruuting 192.168.201.0/24 -> 192.168.2.201
|___| 192.168.2.1
192.168.2.0/24 |
--|-------------------|--------------|--
_|_ _|_
| | 192.168.2.30 | | 192.168.2.201
|___| host-1 |___| ruuter-2
|
| 192.168.201.0/24
-----|-------------------------|---
_|_
| | 192.168.201.30
|___| host-2

ICMP redirect http://en.wikipedia.org/wiki/ICMP_Redirect_Message sõnumiga juhatab tulemüür host-1 pöörduma host-2 poole läbi ruuter-2 seadme.

09:42:25.399922 192.168.2.1 > 192.168.2.30: icmp: redirect 192.168.201.30 to host 192.168.2.201

Parasjagu kehtivad redirectid ei ole nähtavad linux hostis ei tavalistes arp ega route andmebaasides, vaid:

# cat /proc/net/rt_cache

Sissekande kustutamiseks tuleb vastav ruuting eemaldada ja tagasi tekitada.

===ARP flux===

Olgu üks arvuti on oma kahe füüsiliste võrguseadmega ühendatud sama etherneti peale ning seal ethernetis on veel teisi arvuteid:

--|--|---------------------------|----------------
eth0 _|__|_ eth1 _|_
10.0.2.30 | | 192.168.2.30 | | 192.168.2.201
|______| |___|

host-1 host-2

Tundub, et reeglina käituvad 2011 aastal Linux distributsioonide tuumad selliselt, et joonisel kujutatud ühenduse puhul vastab host-2 poolt aadressile 192.168.2.30 tehtud arp päringule host-1 kahe arp vastusega, kummagi ethernet seadme mac aadressiga, kusjuures host-2 kasutab esimesena kohale jõudnud vastust järgnevaks andmevahetuseks. Selline olukord põhjustab selles mõttes segadust, et kui host-1 võrguseadmed on sarnaste omadustega, siis vahel kasutab host-2 ühe ja vahel teise ethernet seadme mac aadressi ning liiklus käib vastavalt läbi ühe või teise host-1 võrguseadme (lisaks võib ka nii olla, et ühes suunas liiguvad paketid läbi host-1 eth0 ja teises suunas läbi eth1 seadme). Kui host-1 peal ei ole paketifiltrit seadistatud, siis seal töötavate rakenduste jaoks andmevahetus töötab, kuid nt võrgu debugimine on raskendatud.

Selleks, et host-2 arp päringule vastaks host-1 vaid selle mac aadressiga, millele vastava võrguseadme kaudu toimuks ip mõttes korrektne ruuting sobib öelda host-1 arvutis:

# sysctl -w net.ipv4.conf.all.arp_filter=1

Kasulikud lisamaterjalid:

* http://linux-ip.net/html/ether-arp.html
* http://robertlathanh.com/2009/08/two-subnetworks-on-one-lan-and-linux-arp_filter/
* http://www.embedded-bits.co.uk/tag/arp_filter/

===tcpkill===

tcpkill programmi abil saab ühenduse osapoolele saata sobiva RST paketi eesmärgiga ühendus lõpetada, tarkvara paigaldamiseks tuleb nt Debian Lenny keskkonnas paigaldada pakett dsniff:

# apt-get install dsniff

kasutamiseks:

# tcpkill -i eth0 port 80 and host ftp.loomaaed.tartu.ee

Tulemusena jääb tcpkill käima arvuti eth0 seadmel ja tegeleb näidatud regulaaravaldisega klappivate ühendustega.

===lsof===

Kasutaja priit (-u priit) programmiga Firefox (-c firefox-bin) seotud võrguühenduste (-i) esitamine:

$ lsof -n -a -u priit -c firefox-bin -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
firefox-b 22322 priit 51u IPv4 1870238 TCP 192.168.10.10:53360->113.184.32.83:https (ESTABLISHED)
firefox-b 22322 priit 72u IPv4 1870025 TCP 192.168.10.10:35441->74.125.43.100:www (ESTABLISHED)
firefox-b 22322 priit 73u IPv4 1870035 TCP 192.168.10.10:53903->74.125.10.213:www (ESTABLISHED)

kus

* -n - mitte teisendada ip aadresse nimedeks
* -a - järgnevad muud suvandid loogiliselt korrutada
* PID - protsessi ID

Pordile vastava protsessi küsimine:

# lsof -i :514
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
syslogd 6628 _syslogd 4u IPv4 0xfffffe803f51d000 0t0 UDP *:syslog

Kasulikud lisamaterjalid:

* http://ph7spot.com/musings/leveraging-lsof

===strace===

strace kasutusala on laiem, kuid seoses võrguga on tal samuti rakendus, nt esitada jooksvalt protsessiga seotud võrgu syscallid, 4940 on w3m brauseri protsess:

# strace -e trace=network -p 4940
...
socket(PF_NETLINK, SOCK_RAW, 0) = 4
bind(4, {sa_family=AF_NETLINK, pid=0, groups=00000000}, 12) = 0
getsockname(4, {sa_family=AF_NETLINK, pid=4940, groups=00000000}, [12]) = 0
...

===Arpwatch===

Võimaldab jälgida võrgus liikuvaid ARP teateid ning avastada ARP tabeli mürgitamisjuhtumeid.

Koduleht:
* http://ee.lbl.gov/
Arpi mürgitamise toimimine ja selle takistamine:
* http://shsc.info/ARPPoisoning
Mõned võrguhaldurile abiks skriptid:
* http://blog.stardothosting.com/2009/05/01/detect-arp-poisoning-on-lan/

===Ettercap===

Ettercap http://ettercap.sourceforge.net/ tarkvara võimaldab kohtvõrgus korraldada MITM tüüpi ründeid ja seejuures kontrollida kui tundlik kohtvõrk on selliste rünnete suhtes sh kas need avastatakse. Ettercap kasutab oma tööks põhiliselt arp-mürgitamist (arp poisoning). Tarkvara paigaldamiseks on tavaliselt piisav paigalda operatsioonisüsteemi paketihaldusvahenditega ettercap nimeline pakett. Ettercap programmi saab käivitada kolme erineva kasutajaliidesega:

* käsurealt -ettercap -T
* curses liidesega - ettercap -C
* gtk gui liidesega - ettercap -G

Kasulikud lisamaterjalid:

* http://en.wikipedia.org/wiki/Ettercap_%28computing%29
* http://openmaniak.com/ettercap.php

===Scapy===

Scapy http://www.secdev.org/projects/scapy/ abil saab töötada pakettidega pythonis. Tarkvara on kirjutatud Pythonis ja sellele on iseloomulik, et saab nö programmeerimise võtteid kasutades nt koostada sobiva sisuga paketi ja saata võrku; seejärel saab käsitleda sarnaselt vastuseks tulnud paketti. Scapy sisaldab mitmeid lisasid, nt saab lasta esitada graafiliselt traceroute tulemuse. Tarkvara paigaldamiseks sobib paigaldada nt Debian Squeeze all pakett python-scapy:

# apt-get install python-scapy

Lisaks on vajalikud:

# apt-get install tcpdump graphviz imagemagick

Interaktiivselt käivitamiseks:

# scapy
...
Welcome to Scapy (2.1.0)
>>> res,unans = traceroute(["www.eesti.ee", "www.eenet.ee"],dport=[80,443],maxttl=20,retry=-2)
..
>>> res.graph()

Tulemusena esitatakse sarnane pilt:

[[Pilt:Scapy-1.gif]]

Scapy sisaldab mitmeid funktsioone, millega pakette moodustada, neid välja saata ning vastuseid lugeda.

* ICMP paketi saatmine

>>> send(IP(dst="192.168.10.123")/ICMP())

* DNS päringu esitamine

>>> sr(IP(dst="10.192.0.53")/UDP()/DNS(rd=1,qd=DNSQR(qname="www.loomaaed.tartu.ee")))

* etteantud subnetti kuuluva juhusliku src aadressiga pakettide saatmine

>>> send(IP(src=RandIP("192.168.10.0/24"), dst="10.192.0.53")/TCP(dport=80,flags="S"), loop=1)

===Socat===

* Pordi edasisuunamine

# socat TCP-LISTEN:8888,fork TCP:192.168.1.4:80

* pordi edasisuunamine lokaalselt (mida tavaliselt tehakse paketifiltri abil)

# socat TCP-L:2323 TCP:localhost:22

* unixi soketi ühendamine interneti soketiga, kuulaku unix soketil MySQL ning peab saama hakata pöörduma MySQL poole üle võrgu arvuti mõnel ip aadressil, port 3308

# socat -v tcp-l:3308,bind=192.168.10.10,reuseaddr,fork unix:/var/run/mysqld/mysqld.sock

* remote shell (nt sellepärast võiks pigem olla serverite pordid tulemüürist vaikimisi blokeeritud), EXEC täidetakse kliendi pöördumisel

server:~$ socat TCP-LISTEN:2323,reuseaddr,fork EXEC:/bin/bash

ja vastav klient:

$ socat STDIO TCP:server-loomaaed:2323
hostname -f
server.loomaaed
...

* PostgreSQL soketi suunamine üle võrgu

tookohaarvuti$ socat "UNIX-LISTEN:/tmp/.s.PGSQL.5432,reuseaddr,fork" \
EXEC:'ssh postgres@192.168.1.105 socat STDIO UNIX-CONNECT\:/var/run/postgresql/.s.PGSQL.5432'

kasutamiseks öelda, kusjuures EXEC täidetakse, st ssh ühendus käivitatakse alles psql kliendi abil pöördumisel:

tookohaarvuti$ psql -h /tmp -U postgres

Faili sisu esitamiseks üle võrgu, kasutamiseks nt netcat abil pöörduda:

$ socat -u FILE:/opt/suricata/var/log/suricata/eve.json,ignoreeof TCP4-LISTEN:12345,fork,reuseaddr

Kasulikud lisamaterjalid:

* http://technostuff.blogspot.com/2008/10/some-useful-socat-commands.html
* http://jdimpson.livejournal.com/6534.html
* http://www.debian-administration.org/users/dkg/weblog/68

===vnstat===

Tarkvara paigaldamiseks:

# apt-get install vnstat

Kasutamine paistab välja selline:

# vnstat -l
Monitoring eth0... (press CTRL-C to stop)

rx: 0 kbit/s 1 p/s tx: 0 kbit/s 0 p/s^C

eth0 / traffic statistics

rx | tx
--------------------------------------+------------------
bytes 385.08 MiB | 990.42 MiB
--------------------------------------+------------------
max 88.19 Mbit/s | 227.04 Mbit/s
average 57.36 Mbit/s | 147.52 Mbit/s
min 0 kbit/s | 0 kbit/s
--------------------------------------+------------------
packets 4588718 | 3670125
--------------------------------------+------------------
max 128266 p/s | 102612 p/s
average 83431 p/s | 66729 p/s
min 1 p/s | 0 p/s
--------------------------------------+------------------
time 55 seconds

kus

* rx, tx - vastavalt saabumised ja väljumised
* bytes, packet - andmete mahu ja pakettide arvu järgi

===iptstate===

iptstate kasutab kerneli conntrack süsteemi ja esitab võrguliikluse kohta andmeid, tarkvara paigaldamiseks:

# apt-get install iptstate

Kasutamiseks peab olema kernelisse laaditud nt ip_conntrack moodul:

# modprobe ip_conntrack

Käivitamiseks:

# iptstate

ja paistab sarnane pilt:

TODO

Samad andmed on teksti kujul esitatavad selliselt:

# cat /proc/net/ip_conntrack

===tcptrack===

Programm tcptrack annab top väljundi sarnase ülevaate toimuvatest tcp ühendustest. Paigaldamiseks sobib öelda:

# apt-get install tcptrack

Kasutamiseks:

# tcptrack -i eth0 -r 10 port 80

ja paistab selline pilt:

TODO

===conntrack===

# modprobe nf_conntrack_ipv4
# conntrack -p tcp --dport 80 -E -e NEW | pv -l -i 1 -r > /dev/null

===Kasulikud lisamaterjalid===

* Soovides muide teada mis ISP omandusse mingi ip kuulub tasub kasutada aadress http://www.ip-adress.com/ip_tracer/'''<IP>'''
* http://www.linuxfoundation.org/collaborate/workgroups/networking/netem
* http://tools.netsa.cert.org/silk/docs.html

Võrgudiagnostika

2018-07-24T17:39:00Z

Erkko: kijravigad

===Sissejuhatus===

Käesolev tekst on esitatud oma võrgu ja tulemüüride ning tcp/ip protokolli paremaks tundmaõppimiseks.
Ühtlasi tutvustatakse programme, millega saab uurida, kas võrk töötab ning kui, siis kuidas see töötab. Näiteks hinnata andmevahetuskiirusi, kuulata Etherneti pealt ja uurida millised pordid on serveritel lahti.

Ilmselt saab allpool esitatud õpetusi kasutada nii hea- kui kuritahtlikul eesmärgil, manitseme seda tegema mitte kuritahtlikult. Tavaliselt on tuvastatav, kust tehakse ping floodi või nmapiga masinad skaneeritakse.

Reeglina tuleb esitatud programme kasutada juurkasutajana. Näiteks toodud viiba järgi saab teada, kas programm on kasutatav ka tavakasutaja ($) või ainult juurkasutaja (#) õigustes.

===Võrguseadmed===

Käesolevas tekstis mõeldakse võrguseadme all arvuti füüsilist või loogilist võrguseadet, nt

* füüsiline võrguseade - Linux puhul wlan0, eth0, eth1 jne; BSD puhul nt em0, bnx0 jne
* lokaalne võrguseade - Linux puhul lo; BSD puhul lo1, lo2
* sild - Linux puhul nt br0, br1; BSD puhul bridge0
* VLAN seade - Linux puhul nt vlan513, BSD puhul vlan513

Võrguseadmete jälgimisel tuleb arvestada, et arvuti kohalik liiklus toimub üle lokaalse võrguseadme, kusjuures ka juhtumil kui arvuti eth0 seadmele on omistatud nt aadress 192.168.1.15 ning arvutist pöördutakse selle aadressi poole.

===tcpdump===

Programm tcpdump (kuulub paljude operatsioonisüsteemide tarkvara põhiosa koosseisu) abil saab nö kuulata võrguseadmel pealt liiklust. Tulemust võib salvestada faili või esitada ip paketti puudutavaid huvipakkuvaid andmeid programmi standardväljundisse. Oluline on tähele panna, et tcpdump kuulab liiklust võrguseadmel, st sisenevad paketid paistavad nii nagu nad olid enne RDR-teisendust ning väljuvad paketid on sellised nagu nad on peale NAT-teisendust.

tcpdump programmiga saab filtreerida liiklust selliste standardsete tunnuste järgi

* protokoll (nt icmp, tcp, udp, arp)
* andmevahetuse lähte- ja sihtpunkti ip aadress
* andmevahetuse lähte- ja sihtpunkti port
* ip paketi lippude järgi (nt salvestada vaid SYN pakette)
* paketi suurus

OpenBSD puhul lisanduvad järgmised võimalused

* paketifiltri reegli number, ''
* paketifiltri reegline määratud tegevus (pass, block, nat, rdr jt ning logitud liiklus)

Pakettide korjamise alustamiseks võrguseadmelt ed0

# tcpdump -i ed0

Oletame, et kahtlustame broadcast pakette ning seda, et nad aeglustavad võrgutööd:

# tcpdump -i ed0 broadcast

Uurime kahe masina vahelist liiklust

# tcpdump -i ed0 host klient and server

Veel täpsem on vaadata

# tcpdump -i ed0 src host klient and dnst host server

Kõigi arvuti võrguseadmete peal töötamiseks sobib öelda

# tcpdump -i any ...

====ICMP====

Kui näiteks on kahtlusi kas kaks arvutit, 192.168.10.210 ja 192.168.10.11 (vastav võrguseade olgu em0) näevad üksteist, siis tuleks arvutis 192.168.10.210 öelda

# ping 192.168.10.11
PING 192.168.10.11 (192.168.10.11): 56 data bytes
64 bytes from 192.168.10.11: icmp_seq=0 ttl=64 time=0.422 ms
64 bytes from 192.168.10.11: icmp_seq=1 ttl=64 time=0.306 ms

ning teises arvutis võrguseadmel em0 ICMP protokolli filtreerimiseks tuleb öelda

# tcpdump -nettti em0 icmp
tcpdump: listening on em0, link-type EN10MB
May 19 16:23:10.480585 00:0e:0c:ba:4b:3e 00:16:3e:6a:0c:4b 0800 98: 192.168.10.210 > 192.168.10.11: icmp: echo request
May 19 16:23:10.480829 00:16:3e:6a:0c:4b 00:0e:0c:ba:4b:3e 0800 98: 192.168.10.11 > 192.168.10.210: icmp: echo reply
May 19 16:23:11.490525 00:0e:0c:ba:4b:3e 00:16:3e:6a:0c:4b 0800 98: 192.168.10.210 > 192.168.10.11: icmp: echo request
May 19 16:23:11.490639 00:16:3e:6a:0c:4b 00:0e:0c:ba:4b:3e 0800 98: 192.168.10.11 > 192.168.10.210: icmp: echo reply

Väljundina esitatakse

* paketi jälgimise aeg (-ttt, vt man tcpdump -t erinevaid variante)
* kummagi poole MAC aadressid (-e)
* paketi ethertype (-e, 0800 on ipv4 protokoll)
* ip paketi suurus baitides
* osaliste ip aadressid nimelahenduseta kujul (-n)
* paketi sisulisemad andmed, antud juhul on tegu icmp echo päringute ja vastustega

Antud juhul saab järeldada, et võrguühendus arvutite vahel on olemas. St kuigi ping ise näitab väljundit, annab teises arvutis võrgu pealtkuulamine täieliku kinnituse, et paketid just sinna välja jõuavad.

====TCP====

tcpdump võimaldab kasutada avaldisi, millega peab pakett klappima, nt SYN pakettide jälgmiseks

# tcpdump -n -i em0 'tcp[13] & 2 != 0' and dst 10.0.6.180 and port 80

TCP liikluse tõlgendamine

22:05:25.828149 10.50.96.138.50215 > 10.184.32.82.80: S 1263958777:1263958777(0) win 5840 \
<mss 1460,sackOK,timestamp 787576523 0,nop,wscale 6> (DF)
22:05:25.845445 10.184.32.82.80 > 10.50.96.138.50215: S 1989118317:1989118317(0) ack 1263958778 win 5792 \
<mss 1460,sackOK,timestamp 539529245 787576523,nop,wscale 6> (DF)
22:05:25.845896 10.50.96.138.50215 > 10.184.32.82.80: . ack 1 win 92 <nop,nop,timestamp 787576527 539529245> (DF)
22:05:25.845908 10.50.96.138.50215 > 10.184.32.82.80: P 1:134(133) ack 1 win 92 <nop,nop,timestamp 787576527 539529245> (DF)
22:05:25.856417 10.184.32.82.80 > 10.50.96.138.50215: . ack 134 win 108 <nop,nop,timestamp 539529249 787576527> (DF)
22:05:25.862904 10.184.32.82.80 > 10.50.96.138.50215: . 1:1449(1448) ack 134 win 108 <nop,nop,timestamp 539529249 787576527> (DF)
22:05:25.863286 10.50.96.138.50215 > 10.184.32.82.80: . ack 1449 win 137 <nop,nop,timestamp 787576532 539529249> (DF)
22:05:25.868800 10.184.32.82.80 > 10.50.96.138.50215: . 1449:2897(1448) ack 134 win 108 <nop,nop,timestamp 539529249 787576527> (DF)
22:05:25.869206 10.50.96.138.50215 > 10.184.32.82.80: . ack 2897 win 182 <nop,nop,timestamp 787576533 539529249> (DF)
22:05:25.878659 10.184.32.82.80 > 10.50.96.138.50215: . 2897:4345(1448) ack 134 win 108 <nop,nop,timestamp 539529253 787576532> (DF)
22:05:25.879036 10.50.96.138.50215 > 10.184.32.82.80: . ack 4345 win 227 <nop,nop,timestamp 787576536 539529253> (DF)
...

kus

* esimene rida vastab ühenduse algatamise SYN paketile
* mss 1460 - tcp maximum segment size väärtus, ütleb teisele poolele, kui suuri tcp pakette saata
* sackOK - selective acknowledgement on ok paketi saatja jaoks
* win 5840 - paketi saatja teatab paketi vastuvõtjale, et tal on puhvrit võtta ise pakette vastu 5840 baiti
* win 92 - kuna alguses lepiti kokku wscale=6, siis 92 tähendab 92 * 2^6 = 5888 baiti
* ack arv - loeb kui palju baite on paketi saatja teise poole käest vastu võtnud;
* DF - kõigil pakettidel on seatud don't fragment
* nop - not operating, sisuliselt kasutatakse paddinguks
* 1449:2897(1448) - sulgudes olev väärtus on tcp paketi sisu suurus baitides
* kasutades lisaks võtit -e esitatakse eraldi tulbas etherneti frame sees kantud protokolli nimi, nt ip ning vastava paketi suurus

====ARP====

Huvitav on tähele panna, et tcpdump tegeleb mitme protokolliga, nt ip (0800) ja arp (0806) protokolli pakettidega, mis on saadetud arp broadcast aadressile

# tcpdump -nei re0 ether host ff:ff:ff:ff:ff:ff
tcpdump: listening on re0, link-type EN10MB
11:00:49.928582 00:0e:0c:b0:96:b6 ff:ff:ff:ff:ff:ff 0800 210: 192.168.10.10.631 > 192.168.10.255.631: udp 168 (DF)
11:01:08.024422 00:16:3e:00:00:01 ff:ff:ff:ff:ff:ff 0800 249: 192.168.10.41.138 > 192.168.10.255.138: udp 207
11:01:26.338380 00:1b:21:1d:f6:06 ff:ff:ff:ff:ff:ff 0806 60: arp who-has 192.168.10.254 tell 192.168.10.250

Kui tcpdump väljundit on vaja saata toru kaudu mõne teksti töötlevale programmile edasi on asjakohane kasutada lisaks -l võtit, mis puhverdab rea kaupa, nt

# tcpdump -nlei re0 ether host ff:ff:ff:ff:ff:ff | grep 0806

====Liikluse salvestamine faili====

Selleks, et salvestada tulemus ka faili:

# tcpdump -i ed0 -w liiklus.log

Liikluse faili salvestamiseks sobib öelda nö tavalise MTU'ga (1,5 kBaiti) võrgus nt (-s 0 võti tähendab, et salvestatakse kõik paketi sisu suurusest hoolimata)

# tcpdump -s 1600 -w /tmp/liiklus.log -i em0 host 10.0.6.180 and port 80

Selliselt salvestatud liikluse analüüsimiseks sobib öelda nt

# tcpdump -r /tmp/liiklus.log

====IP====

Kui IP kihis leiab aset pakettide fragmenteerumine, siis paistab see tcpdump väljundis nt selliselt

23:43:36.802989 10.100.0.161.32545 > 10.100.1.190.80: S 3394332515:3394332515(0) win 16384 \
<mss 8960,nop,nop,sackOK,nop,wscale 0,nop,nop,timestamp 3055259272 0>
23:43:36.803982 10.100.1.190.80 > 10.100.0.161.32545: S 2791894032:2791894032(0) ack 3394332516 win 16384 \
<mss 8960,nop,nop,sackOK,nop,wscale 0,nop,nop,timestamp 313564159 3055259272>
23:43:36.805275 10.100.0.161.32545 > 10.100.1.190.80: . ack 1 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.805527 10.100.0.161.32545 > 10.100.1.190.80: P 1:67(66) ack 1 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.809486 10.100.1.190.80 > 10.100.0.161.32545: . 1:1449(1448) ack 67 win 17896 \
<nop,nop,timestamp 313564159 0> (frag 35143:1480@0+)
23:43:36.809503 10.100.1.190 > 10.100.0.161: (frag 35143:1480@1480+)
23:43:36.809515 10.100.1.190 > 10.100.0.161: (frag 35143:1480@2960+)
23:43:36.809527 10.100.1.190 > 10.100.0.161: (frag 35143:1480@4440+)
23:43:36.809539 10.100.1.190 > 10.100.0.161: (frag 35143:1480@5920+)
23:43:36.809554 10.100.1.190 > 10.100.0.161: (frag 35143:824@7400)
23:43:36.810014 10.100.1.190.80 > 10.100.0.161.32545: P 8193:9641(1448) ack 67 win 17896 \
<nop,nop,timestamp 313564159 0> (frag 46914:1480@0+)
23:43:36.810030 10.100.1.190 > 10.100.0.161: (frag 46914:1480@1480+)
23:43:36.810045 10.100.1.190 > 10.100.0.161: (frag 46914:1452@2960)
23:43:36.810157 10.100.1.190.80 > 10.100.0.161.32545: F 12573:12573(0) ack 67 win 17896 <nop,nop,timestamp 313564159 0>
23:43:36.813600 10.100.0.161.32545 > 10.100.1.190.80: . ack 8193 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.813856 10.100.0.161.32545 > 10.100.1.190.80: . ack 12574 win 12004 <nop,nop,timestamp 3055259272 313564159>
23:43:36.816244 10.100.0.161.32545 > 10.100.1.190.80: F 67:67(0) ack 12574 win 16384 <nop,nop,timestamp 3055259272 313564159>
23:43:36.817042 10.100.1.190.80 > 10.100.0.161.32545: . ack 68 win 17896 <nop,nop,timestamp 313564159 0>

kus

* (frag 35143:1480@0+) - järgnevad IP fragmendid
* (frag 35143:824@7400) - viimane IP fragment kuna järel + märk puudub

ICMP pakettide puhul on fragmenteerimist veel otsekohesem jälgida, öeldes ühes aknas

# ping -c 1 -s 6000 192.168.209.245
PING 192.168.209.245 (192.168.209.245): 6000 data bytes
6008 bytes from 192.168.209.245: icmp_seq=0 ttl=56 time=74.206 ms

võib võrku pealt kuulates paista midagi sellist

22:30:44.799162 84.50.96.138 > 192.168..209.245: icmp: echo request (frag 36688:1480@0+)
22:30:44.799168 84.50.96.138 > 192.168..209.245: (frag 36688:1480@1480+)
22:30:44.799175 84.50.96.138 > 192.168..209.245: (frag 36688:1480@2960+)
22:30:44.799180 84.50.96.138 > 192.168..209.245: (frag 36688:1480@4440+)
22:30:44.799187 84.50.96.138 > 192.168..209.245: (frag 36688:88@5920)
22:30:44.872529 192.168.209.245 > 84.50.96.138: icmp: echo reply (frag 42199:1480@0+)
22:30:44.872674 192.168.209.245 > 84.50.96.138: (frag 42199:1480@1480+)
22:30:44.872774 192.168.209.245 > 84.50.96.138: (frag 42199:1480@2960+)
22:30:44.872899 192.168.209.245 > 84.50.96.138: (frag 42199:1480@4440+)
22:30:44.872913 192.168.209.245 > 84.50.96.138: (frag 42199:88@5920)

===ping===

Kuulub enamuse operatsioonisüsteemide pakettide hulka

Ping utiliidi abil saab hõlpasti veenduda, et kahe punkti vahel on füüsiliselt võrguühendus olemas. Ping kasutab andmevahetuseks ICMP (Internet Control Message Protocol) protokolli ja arusaadavalt ei tohi sellise kontrolli õnnestumiseks kahe punkti vahel olla ICMP protokolli kasutamine takistatud, täpsemini ICMP echo request ja ICMP echo reply sõnumite vahetamine.

Kasutamiseks tuleb ühes punktis öelda

# ping 192.168.10.11
PING 192.168.10.11 (192.168.10.11): 56 data bytes
64 bytes from 192.168.10.11: icmp_seq=0 ttl=64 time=3.922 ms
64 bytes from 192.168.10.11: icmp_seq=1 ttl=64 time=0.286 ms
64 bytes from 192.168.10.11: icmp_seq=2 ttl=64 time=0.274 ms
64 bytes from 192.168.10.11: icmp_seq=3 ttl=64 time=0.193 ms

Väljundist on näha, et pöördutud aadress vastab, vastused on järjekorras ja kadudeta saabunud ning vastuse saamise aeg on suhteliselt stabiilne. Võib järeldada, et võrk toimib.

Kasutades võtit -n ei püüa Ping lahendada nimesid, tihti seisneb võrgu nö mittetöötamine valesti konfigureeritud nimeserveris või nimeserveri mittekasutamises.

Pingimise intervalli võib ka vähendada järgnevalt:

# ping -i 0 -c 5 neti.ee

Silmas tasub ainult sel juhul pidada järgnevaid asju:

*flood ping (intervall 0) on masinate kiusamine, mõned tulemüürid võivad seda spetsiifiliselt detectida ja blokkida,
*mida lühem intervall, seda hüplikumaks muutub tulemus, pendeldades rohkem 100% ja 0% vahel,
*alla 1 sek intervalliga ping tuleb ruudu poolt käivitada.

===traceroute===

Samuti enamuse operatsioonisüsteemides leiduv programm

Traceroute utiliidi abil saab jälgida, millistest võrgusõlmedest käib kahe punkti vahel toimuv liiklus läbi. Traceroute kasutab andmevahetuseks vaikimisi UDP protokolli ning asjaolu, et kui IP pakett läbib võrgusõlme, siis vähendatakse päises olevat TTL väärtust ühe võrra kusjuures kui võrgusõlme jõuab pakett, mille TTL väärtus on üks, siis saadetakse tagasi ICMP vastus

icmp: time exceeded in-transit

UDP pakett saadetakse vaikimisi porti 33434 (eeldades, et sihtpunktiks olevas arvutis ei kuula seal teenust). Esimese paketi TTL on väärtusega 1 ning 'icmp: time exceeded in-transit' saadakse vaikelüüsilt. Järgmise paketi TTL seatakse 2 ning 'icmp: time exceeded in-transit' saadakse järgmises võrgu sõlmpunktis asuvalt ruuterilt jne kuni lõpuks UDP puhul saadakse sihtpunktilt vastuseks

icmp: 172.168.1.1 udp port 33443 unreachable

UDP asemel on võimalik kasutada ka ICMP või TCP protokolli, aga UDP annab praktikas kõige paremaid tulemusi. Toome näite kasutades ICMP protokolli kuna liiklust sisaldavas võrgus on tulemust nii parem näha ja esitada. Ütleme arvuti ühes promptis

# traceroute -n -q 1 -I cache.eenet.ee
traceroute to cache.eenet.ee (193.40.133.134), 64 hops max, 40 byte packets
1 195.80.102.33 0.494 ms
2 213.184.51.121 0.418 ms
3 194.116.188.19 0.524 ms
4 193.40.133.187 4.724 ms
5 193.40.133.134 3.760 ms

kus

* väljundis esitatakse järjekorras kõigi võrgusõlmede aadressid, mida pakett läbib sihtpunkti jõudmiseks; täpsemalt, need on võrgusõlmpunktide traceroute kasutaja poolsete võrguseadmede aadressid
* iga aadressi järel esitatakse vastuse tagasijõudmiseks kulunud aeg, kusjuures aeg esitatakse iga rea kohta eraldi st viimase rea aeg ei ole kõige aegade summa (antud juhul on see ka selgesti näha, et mingil põhjusel jõudis viimase hosti juurest vastus kiiremini tagasi kui eelviimasest)

Kuulates samas arvutis liiklust pealt teises promptis näeme

# tcpdump -nttti em3 icmp
tcpdump: listening on em3, link-type EN10MB
May 19 18:12:08.419036 195.80.102.35 > 193.40.133.134: icmp: echo request [ttl 1]
May 19 18:12:08.419459 195.80.102.33 > 195.80.102.35: icmp: time exceeded in-transit [tos 0xc0]
May 19 18:12:08.419659 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.419957 213.184.51.121 > 195.80.102.35: icmp: time exceeded in-transit [tos 0xc0]
May 19 18:12:08.420152 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.420582 194.116.188.19 > 195.80.102.35: icmp: time exceeded in-transit
May 19 18:12:08.420760 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.424455 193.40.133.187 > 195.80.102.35: icmp: time exceeded in-transit
May 19 18:12:08.424638 195.80.102.35 > 193.40.133.134: icmp: echo request
May 19 18:12:08.428660 193.40.133.134 > 195.80.102.35: icmp: echo reply

Vahel esineb traceroute väljundis real * märk, mis tähendab, et vaatlusalune võrgusõlm ei vastanud 'icmp: time exceeded in-transit' teatega või see teade ei jõudnud kohale

# traceroute -n -q 1 -I www.eenet.ee
traceroute to www.eenet.ee (193.40.0.131), 64 hops max, 60 byte packets
1 84.50.96.137 58.500 ms
2 88.196.144.137 5.230 ms
3 90.190.153.17 4.325 ms
4 195.250.191.17 8.805 ms
5 *
6 194.116.188.19 9.124 ms
7 193.40.133.187 11.953 ms
8 193.40.0.131 11.744 ms

TCP ja port 80 tracroute

# traceroute -n -q 1 -T www.eenet.ee -p 80
traceroute to www.eenet.ee (193.40.0.131), 30 hops max, 60 byte packets
1 10.0.0.1 0.313 ms
2 184.50.25.1 0.659 ms
3 184.50.157.2 5.896 ms
4 213.168.1.18 3.562 ms
5 213.168.1.27 3.680 ms
6 195.250.170.70 3.797 ms
7 193.40.133.6 6.987 ms
8 193.40.133.26 7.113 ms
9 193.40.0.131 7.993 ms

===tracepath===

tracepath programmi abil saab teha kindlaks Path MTU väärtusi, paigaldamiseks tuleb Debian Lenny keskkonnas öelda

# apt-get install iputils-tracepath

Kasutamine toimub selliselt

$ tracepath -n 192.168.1.4
1: 192.168.10.10 0.062ms pmtu 1500
1: 192.168.10.210 0.444ms
1: 192.168.10.210 0.220ms
2: 192.168.1.4 0.835ms reached
Resume: pmtu 1500 hops 2 back 63

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Path_MTU_Discovery

===nmap===

Programm nmap on populaarne võrgu kaardistamise vahend, mida võrguadministraatorid ja süsteemiadministraatorid armastavad kasutada teenuste kontrollimiseks, samuti diagnostikavahendina probleemide või kahtluste olemasolul. Lisaks tundub, et pahalased kasutavad sarnast võrgu kaardistamise vahendit ründe sihtmärkide kindlakstegemiseks. Nmap töö põhineb erinevate omadustega pakettide väljasaatmisel ning vastuste (sh saamatajätmise) analüüsil. Üldiselt võiks eristada kahte taset nmapi kasutamisel

* võrgus arvutite leidmine (ingl. k. host discovery)
* üksikute arvutite omaduste kindlakstegemine (nt millistel portidel pakutakse teenust) (ingl. k. port scanning)

Nmap ei kuulu enamuse operatsioonisüsteemi baaskonfiguratsiooni ning tuleb eelnevalt
paketihalduse vahenditega paigaldada

Nt Debian v. 7 Wheezy puhul sobib öelda, et ei paigaldatakse hulka Recommends olekus pakette

# apt-get --no-install-recommends install nmap

====võrgust arvutite leidmine====

Võrgus arvutite kindlakstegemiseks on nmap'il kaks võtit, -sL ja -sP

Selleks, et lihtsalt kuvada subnetis olevad ip aadressid koos pöördteisendustega, mingit skaneerimist ei toimu

# nmap -sL 192.168.1.0/24

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-23 22:30 EEST
Host 192.168.1.0 not scanned
Host sipsik.loomaaed.tartu.ee (192.168.1.1) not scanned
Host www.loomaaed.tartu.ee (192.168.1.2) not scanned
Host vaktsiin.loomaaed.tartu.ee (192.168.1.3) not scanned
Host loomaaed.tartu.ee (192.168.1.4) not scanned
Host 192.168.1.5 not scanned
Host hilja.loomaaed.tartu.ee (192.168.1.6) not scanned
..
Nmap done: 256 IP addresses (0 hosts up) scanned in 0.142 seconds

Selleks, et saada subnetis olevate arvutite mac aadresside nimekirja sobib öelda

# nmap -sP 192.168.1.0/24 -n

Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-23 23:03 EEST
Host 192.168.1.1 appears to be up.
MAC Address: 00:16:3E:1C:3C:B3 (Xensource)
Host 192.168.1.2 appears to be up.
MAC Address: 00:16:3E:2C:7E:DD (Xensource)
Host 192.168.1.3 appears to be up.
MAC Address: 00:18:F8:E5:F8:F2 (Cisco-Linksys)
Host 192.168.1.4 appears to be up.
MAC Address: 00:0C:42:07:1A:46 (Routerboard.com)
Nmap done: 256 IP addresses (5 hosts up) scanned in 6.054 seconds

Kui nö teises aknas võrku kuulata, näeb, et nmap teeb subneti iga ip aadressi kohta arp päringu, väga efektiivne moodus arvuti olemasolu kindlakstegemiseks

# tcpdump -nettti fxp1 arp
Jun 23 22:49:26.743432 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.1 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
Jun 23 22:49:26.743466 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.2 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
Jun 23 22:49:26.943286 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.3 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
Jun 23 22:49:26.943339 00:02:55:ee:42:72 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.1.4 (ff:ff:ff:ff:ff:ff) tell 192.168.1.254
..

Kui sedasi pöörduda mittelokaalse võrgu poole, siis nmap saadab icmp echo requesti ning tcp ack paketi porti 80 (mis tavaliselt ei saa tulemüüridest edasi, kuna ei kuulu ühenduse hulka) ning näitab samuti tulemust.

Lisaks saab -sP võtmega koos kasutada nn probe'isid (-PS, -PA jt) võtmeid, et vaikimisi käitumist muuta.

Nmap programmi võrgust arvutite leidmise protseduuri väljundi saab salvestada faili, et seda seejärel üksikute arvutite omaduste kindlakstegemiseks kasutada, näiteks selliselt, -oG võtme kasutamisel salvestatakse väljund võimalikult nö grep'itavas formaadis

# nmap -sP 192.168.1.0/24 -oG /tmp/nmap-192.168.1.0-24.log

====Üksikute arvutite omaduste kindlakstegemine====

Üksikute arvutite omaduste all mõeldaks seda, millises olekus on tema erinevad pordid, näiteks

* open - pordil töötab rakendus
* closed - pordile ei ole ligipääs takistatud, aga rakendust ei tööta (tavaliselt saadab arvuti nmapile vastuseks RST paketi)
* filtered - nmap ei saa kindlaks teha pordi olekut (kas open või closed) kuna vaatlusaluses endas või tema eest töötab paketifilter

Tegemaks kindlaks, kas failis /tmp/192.168.1.0-24.log sisalduvatel ip aadressidel vastab SYN paketile 22 port tuleb näiteks öelda

# nmap -p T:22 -sS -iL /tmp/nmap.log -PN -oG -

* -oG - tundub, et väljund on sedasi pisut paremini loetav kui vaikimisi
* -PN - nmap ei soorita taustal nn host discovery't, kui tcpflow abil liiklust jälgida, on pilt selgem

Sedasi on näiteks ka hea kontrollida, kas oma synproxy režiimis käivitatud tulemüür ikka toimib nõuetekohaselt.

Nmap võimaldab vaatlusaluse arvuti tcp/ip stackiga suhtlemisel saadud info põhjal kaudselt ennustada selle arvuti operatsioonisüsteemi ning portidel kuulavate tarkvarade versioonid

# nmap -A 192.168.0.239
Starting Nmap 4.53 ( http://insecure.org ) at 2008-04-10 23:12 EEST
Interesting ports on 192.168.0.239:
Not shown: 1711 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.7p1 Debian 2 (protocol 2.0)
MAC Address: 00:11:25:85:64:34 (IBM)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.20
Uptime: 0.640 days (since Thu Apr 10 07:51:45 2008)
Network Distance: 1 hop
Service Info: OSs: Unix, Linux

OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.592 seconds

TCP handshake'i tegemiseks sobib kasutada, nn connect scan

# nmap -p T:443 -sT -PN 192.168.0.239

Lisaks saab seada tcp paketi lippe ka näidates vajalikud lipud otse, nt seada SYN ja ACK, korrektselt seadistatud tulemüürist selline pakett läbi minna ei tohiks

# nmap -p T:80 --scanflags SYNACK -PN 192.168.0.239

IP aadressiga seotud portide vahemiku tcp handshake skaneerimine

# nmap -p T:22-100 -sT -Pn 192.168.0.111

kus

* -p T:22-100 - portide vahemik ja TCP (tegelikult -T on ta niikuinii antud juhul ja selle võiks ka ära jätta)
* -Pn - mitte pingida, st saadetakse vaid tcp syn jne pakette
* -sT - tcp handshake skaneerimine

Mitme ip aadressi puhul

# nmap -p T:22-100 -sT -Pn 192.168.0.111-116 -o /var/tmp/nmap-20180222.log

====Võrgust teatud omadustega arvutite otsimine====

# nmap -PS -p 443 192.168.2.200-245

kus

* -PS - tcp syn
* -p 443 - port
* 192.168.2.200-245 - ip vahemik

====Turvavigade kontroll====

Tööks vajalikud huvitavad failid asuvad kaustas nmap/scripts/smb-check-vulns.nse
nt FreeBSD's /usr/local/share/nmap/scripts/

Ideepoolest peaks töötama ka käsk

# nmap --script-updatedb
Starting Nmap 4.85BETA7 ( http://nmap.org ) at 2009-09-15 00:33 EEST
NSE script database updated successfully.
Nmap done: 0 IP addresses (0 hosts up) scanned in 0.23 seconds

Salvestame nmapi töö faili mis meie subneti nimeline ning viime läbi
SYN skänni pordile 445 ning käivitame SMB vigade kontrollimiseks mõeldud NSE skripti
ja teeme seda kõigile arvutitele 192.168.1.0/24 võrgus.

nmap -oA 192168-filename -sS -p445 --script smb-check-vulns.nse 192.168.1.0/24

Tulemused võivad välja näha näiteks järgnevad

Interesting ports on kasutaja.zoo.tartu.ee (192.168.1.5):
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 00:03:0D:51:E5:CA (Uniwill Computer)

Host script results:
|_ smb-check-vulns: This host is likely vulnerable to MS08-067 (it
stopped responding during the test)

Skriptide poole pöördudes võib kasutada ka järgmist lähenemist:

nmap --script "http-*"

Mis laadib kõik skriptid millede nimi algab httpd- reaga, näiteks http-auth ja http-open-proxy

Või siis laadime kõik skriptid, välja arvatud intrusive kategooriast:

nmap --script "not intrusive"

Vaikimisi kategoriseeritud default ja safe kataloogi.

nmap --script "default or safe"

====nping====

nmap paketi koosseisu kuulub nping programm, mis on natuke sarnane oma võimlustelt hping ja pingile.

TODO

====ncat====

nmap paketi koosseisu kuulub ncat programm, mis on natuke sarnane oma võimalustelt netcat programmile.

===arping===

Erinevalt programmist ping, mis saadab võrku ip pakette (ethertype 0x0800) tekitab arping arp pakette (ethertype 0x0806). Kui ühes aknas pingida/arpingida ja teises jälgida liiklust, siis paistavad erinevused sellised

Tuleb eelnevalt paigaldada operatsioonisüsteemi pakihalduse vahendite abil

# ping 192.168.10.251

# tcpdump -nettti em0 arp or icmp
Jun 24 13:27:08.032376 00:0e:0c:ba:4b:3e 00:0c:42:07:1a:45 0800 98: 192.168.10.210 > 192.168.10.251: icmp: echo request
Jun 24 13:27:08.032511 00:0c:42:07:1a:45 00:0e:0c:ba:4b:3e 0800 98: 192.168.10.251 > 192.168.10.210: icmp: echo reply

# arping 192.168.10.251

# tcpdump -nettti em0 arp or icmp
Jun 24 13:27:10.069533 0c:80:18:03:00:00 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 192.168.10.251 tell 192.168.10.210
Jun 24 13:27:10.069644 00:0c:42:07:1a:45 0c:80:18:03:00:00 0806 60: arp reply 192.168.10.251 is-at 00:0c:42:07:1a:45

===Ssmpingiga multicasti toimimise testimine===

Multicast ehk multiedastus võimaldab ühe saatekorraga edastada sama infot korraga valitud arvutite rühmale. Seda ei tohi segi ajada broadcastiga, mis edastab paketi absoluutselt kõigile võrgus olevatele masinatele. Multicasti töötamise jaoks on switchis tarvilik IGMP (Internet Group Management Protocol) tugi (snooping ja query). Ruuteril on tarvilik "multicast routing" tuge. Multiedastust kasutatakse laialdaselt audio-video ülekandmiseks ja clustri nodede sünkroniseerimiseks. Rumalad ja mittemanageeritavad switchid võivad multiedastus teated edastada kui broadcasti kõigisse switchi portidesse ja tekitada seega võrgus üleliigset liiklust. IGMP Snoopingu halvaks küljeks on aga suurem switchi protsessori ja mälu kasutus.

http://et.wikipedia.org/wiki/Multiedastus
http://en.wikipedia.org/wiki/Multicast

Kahe masina vahel multicasti testimine ssmpingi abil. Paigaldamiseks

# apt-get install ssmping

Esimeses masinas

# ssmpingd

Teises masinas

# ssmping -I eth0 <IP aadress>

Tulem võiks näha välja järgnev

asmping joined (S,G) = (*,224.0.2.234)
pinging 192.168.8.6 from 192.168.8.5
unicast from 192.168.8.6, seq=1 dist=0 time=0.221 ms
unicast from 192.168.8.6, seq=2 dist=0 time=0.229 ms
multicast from 192.168.8.6, seq=2 dist=0 time=0.261 ms
unicast from 192.168.8.6, seq=3 dist=0 time=0.198 ms
multicast from 192.168.8.6, seq=3 dist=0 time=0.213 ms
unicast from 192.168.8.6, seq=4 dist=0 time=0.234 ms
multicast from 192.168.8.6, seq=4 dist=0 time=0.248 ms
unicast from 192.168.8.6, seq=5 dist=0 time=0.249 ms
multicast from 192.168.8.6, seq=5 dist=0 time=0.263 ms
unicast from 192.168.8.6, seq=6 dist=0 time=0.250 ms
multicast from 192.168.8.6, seq=6 dist=0 time=0.264 ms
unicast from 192.168.8.6, seq=7 dist=0 time=0.245 ms
multicast from 192.168.8.6, seq=7 dist=0 time=0.260 ms

Nii unicast kui multicast tunduvad töötavat.

Võime testida ka mõne kaugema serveri pihta:

# ssmping ssmping.uninett.no
ssmping joined (S,G) = (2001:700:0:4501:158:38:0:230,ff3e::4321:1234)
pinging S from 2001:bb8:2001:2:21b:21ff:fe65:54c9
unicast from 2001:700:0:4501:158:38:0:230, seq=1 dist=14 time=39.017 ms
unicast from 2001:700:0:4501:158:38:0:230, seq=2 dist=14 time=38.840 ms
unicast from 2001:700:0:4501:158:38:0:230, seq=3 dist=14 time=38.950 ms
unicast from 2001:700:0:4501:158:38:0:230, seq=4 dist=14 time=38.704 ms
--- 2001:700:0:4501:158:38:0:230 statistics ---
4 packets transmitted, time 3564 ms
unicast:
4 packets received, 0% packet loss
rtt min/avg/max/std-dev = 38.704/38.877/39.017/0.269 ms
multicast:
0 packets received, 100% packet loss

Viimase näite puhul multicast üle ipv6 ei paista töötavat. Unicast aga küll..

===Ethtool===

Selleks, et vaadata ühenduse parameetreid ning seda, kas võrgukaarti on ühendatud kaabel või ei ole on olemas töövahend ethtool. Üsna sageli võib olla segadus, et serveril
on 4+ võrguseadet ning raske öelda kuidaspidi on udev nad jaganud

# apt-get install ethtool

Kasutamine

# ethtool eth0

Ja sealt antud infost saab vaadata nt välja

Link detected: yes

Rohkema info omandamiseks

# ethtool -i eth5
driver: i40e
version: 1.2.37
firmware-version: f4.22.27454 a1.2 n4.25 e143f
bus-info: 0000:06:00.1
supports-statistics: yes
supports-test: yes
supports-eeprom-access: yes
supports-register-dump: yes
supports-priv-flags: yes

===tcpflow===

Programmi tcpflow abil on hea uurida rakenduskihile vastavate andmete liikumist võrgus, nt jälgida http päringud ja vastuseid. tcpflow salvestab käesolevasse kataloogi (ingl. k. current directory) tabatud liikluse automaatselt moodustatud failinimesid kasutades

Tuleb eelnevalt paigaldada operatsioonisüsteemi vahendite abil

# mkdir /tmp/ftp.aso.ee
# cd /tmp/ftp.aso.ee
# tcpflow -i rl0 host ftp.aso.ee
# ls -l
total 8
-rw-r--r-- 1 root wheel 104 Jun 13 10:22 084.050.096.138.50120-213.184.032.082.00080
-rw-r--r-- 1 root wheel 847 Jun 13 10:22 213.184.032.082.00080-084.050.096.138.50120

Failinimedes kasutatakse kasutatud pordinumbreid, päring

# cat 084.050.096.138.50120-213.184.032.082.00080
GET /README HTTP/1.0
User-Agent: Wget/1.11.2
Accept: */*
Host: ftp.aso.ee
Connection: Keep-Alive

ning vastus

# cat 213.184.032.082.00080-084.050.096.138.50
HTTP/1.1 200 OK
Date: Fri, 13 Jun 2008 07:22:50 GMT
Server: Apache
Last-Modified: Mon, 05 Nov 2007 19:14:36 GMT
ETag: "1c980fa-22e-53bd1f00"
Accept-Ranges: bytes
Content-Length: 558
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/plain; charset=UTF-8

Welcome to the Estonian Informatics Center's FTP server!

On this server are hosted following software distributions

Debian GNU/Linux - /debian
Ubuntu Linux - /pub/ubuntu
Mandriva Linux - /pub/Mandrake
X-Road System - /pub/x-tee
Solaris CSW - /pub/csw
OpenBSD - /pub/OpenBSD

You can access data anonymously using http, ftp or rsync protocol and
one of these domainnames:

ftp.aso.ee
ftp.ria.ee
ftp.ee.debian.org

If you have any comments or encounter problems using this archive, please send
them via e-mail to ftpmaster_at_aso.ee.

tcpdump abil salvestatud faile saab uurida

$ tcpflow -r failinimi.pcap

===hping===

Programm hping võimaldab konstrueerida ja võrku saata igasuguseid pakette ja sobib seetõttu hästi nt võrgusõlmede testimiseks. Tarkvarast on kolm populaarset versiooni, hping, hping2 ja hping3. Näiteks SYN paketi tekitamiseks tuleb öelda

Tuleb eelnevalt paigaldada operatsioonisüsteemi vahendite abil

# hping -S -c 4 -p 80 192.168.10.12
HPING farm.loomaaed.tartu.ee (em0 192.168.10.12): S set, 40 headers + 0 data bytes
len=46 ip=192.168.10.12 ttl=56 DF id=60008 sport=80 flags=SA seq=0 win=5840 rtt=9.4 ms
len=46 ip=192.168.10.12 ttl=56 DF id=53433 sport=80 flags=SA seq=1 win=5840 rtt=9.8 ms
len=46 ip=192.168.10.12 ttl=56 DF id=39504 sport=80 flags=SA seq=2 win=5840 rtt=9.5 ms
len=46 ip=192.168.10.12 ttl=56 DF id=54821 sport=80 flags=SA seq=3 win=5840 rtt=9.5 ms

kus võtmed

* -S - konstrueerida SYN pakett
* -c 4 - saata viis paketti
* -i arv - saata intervalliga arv sekundit, vaikimisi ühe sekundise intervalliga
* -p - pordile 80

Näiteks nii saab nö tavalist ICMP pingi sooritada öeldes paketi src aadressiks 192.168.12.144

# hping3 -1 -a 192.168.12.144 192.168.11.145

Fragmenteeritud IP pakettide genereerimiseks sobib öelda

# hping3 -d 5400 -E /tmp/50M -S -c 3 -p 80 192.168.10.12 -m 200

kus

* -d paketi andmeosa suurus
* -E - mida kasutada andmeosa täitmiseks
* -m - mtu suurus

===netcat===

Programm netcat võimaldab hõlpsasti testida võrku, või vahetda arvutite ning programmide vahel infot. Sarnane tuntud programmile socket. Ühes arvutis tuleb ta käivitada porti kuulama öeldes, näiteks faili /tmp/filename.out kopeerimiseks

Tuleb osades operatsioonisüsteemides paigaldada, nt OpenBSD's on ta olemas

# nc -l -p 1010 > /tmp/filename.out

ja teisest pöörduda

# nc teise.arvuti.ip.aadress 1010 < /tmp/filename.out

Linuxi peal töötab sedasi lihtne server

# while true ; do cat /tmp/http.txt | nc -l -p 1500 head --bytes 2000 >>/tmp/requests ; date >>/tmp/requests ; done

Hädapärast saab netcati vahendusel vahendada ka arvutite vahel ja skriptide vahel infot näiteks kuulame 1001 porti ühes masinas

abiks käsk testimisel ka

nc -l -p 1001 | awk -F"," '{print $2}'

Syslogiga suhtlemine

$ echo '<0>message' | nc -w 1 -u 192.168.102.114 514

Whois teenuse kasutamine (20131116 - tundub, et päris nii see alati ei tööta)

$ echo "loomaaed.tartu.ee" | netcat 193.40.0.12 43
The registry database contains only .EE, .COM.EE, .PRI.EE, .FIE.EE,
.ORG.EE and .MED.EE domains.

Registrant:
Tartu Loomaaed
Looma tee 1
TEL 1234 5678
FAX 8765 4321

Domain Name: loomaaed.tartu.ee

Contacts:
Priit Kask priit@loomaaed.tartu.ee
..

Netcat abil saab hõlpsasti demonstreerida kui lihtne on nö pordile shelli külge ühendada (see on üks põhjus, miks tuleb pigem paketifiltriga kasutamata pordid blokeerida), serveris öelda

$ nc -l -p 8443 -e /bin/bash

ja kliendis

$ nc 192.168.10.10 8443
/sbin/route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.10.254 0.0.0.0 UG 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Mingi määratluse järgi jagatakse turvaauke local ja remote alla kuuluvateks. Tihtipeale annavad local augud rohkem võimalusi ja neide parandamisse suhtutaks kergekäelisemalt. Kui selline shell on kasutada, siis arusaadavalt saab eemalt ligi local aukudesse (nt käivitada spetsiaalselt ettevalmistatud faile jms).

Tundub, et uuemal ajal sobib öelda

$ cat /tmp/f | /bin/sh -i 2>&1 | nc -l 127.0.0.1 8443 > /tmp/f

Võrgukiiruse primitiivseks testimine sobib öelda, iseäralik antud juhul on et mõõdetakse puhast võrgukiirust, kohalike ketaste io ei sega

netcat-server$ nc -l -p 6000 > /dev/null
netcat-klient$ nc 192.168.10.189 6000 < /dev/zero

ja liikluse kiiruse hindamiseks öelda ükskõik kummas arvutis

# tcpstat -i eth0 -o "Time:%S\tn=%n\tavg=%a\tstddev=%d\tBaitspersecond=%B\n" -f "tcp and host 192.168.10.189 and port 6000" 1
Time:1463902007 n=11782 avg=1044.15 stddev=672.42 Baitspersecond=12302148.00
Time:1463902008 n=11603 avg=1046.16 stddev=671.66 Baitspersecond=12138628.00
Time:1463902009 n=11367 avg=1056.14 stddev=667.52 Baitspersecond=12005096.00
Time:1463902010 n=11652 avg=1051.81 stddev=669.35 Baitspersecond=12255700.00
Time:1463902011 n=11514 avg=1053.25 stddev=668.74 Baitspersecond=12127072.00

Lisaks peaks jälgima võrguliidestel toimuvat liiklus vigade osas, nt (errors, dropped jt)

# ifconfig
eth0 Link encap:Ethernet HWaddr 00:1c:c0:38:97:a9
inet addr:192.168.10.8 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::21c:c0ff:fe38:97a9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:47321279 errors:0 dropped:0 overruns:0 frame:0
TX packets:42781684 errors:0 dropped:0 overruns:0 carrier:0

===IPerf===

IPerf http://www.noc.ucf.edu/Tools/Iperf/ tarkvaraga saab mõõta kahe arvuti vahelise võrguühenduse jõudlust.

====TCP====

Vaikimisi kasutatakse TCP protokolli, näide: kaks masinat klient 192.168.1.2 ja server 192.168.1.3

Server

# iperf -s
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 85.3 KByte (default)
------------------------------------------------------------
[ 4] local 192.168.1.3 port 5001 connected with 192.168.1.2 port 32054
[ ID] Interval Transfer Bandwidth
[ 4] 0.0-10.0 sec 826 MBytes 692 Mbits/sec

klient

# iperf -c 192.168.1.3
------------------------------------------------------------
Client connecting to 192.168.1.2, TCP port 5001
TCP window size: 32.5 KByte (default)
------------------------------------------------------------
[ 3] local 192.168.1.2 port 32054 connected with 192.168.1.3 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-10.0 sec 826 MBytes 693 Mbits/sec

Soovides täpsemat andmehulka ette anda tuleb täpsustada kasutades võtit '-l'

Vaikimisi kestab test 10 sekundit, soovides seda ajaakent suurendada tuleb kasutada võtit '-t'

# iperf -t 60 -c 192.168.1.3

Täpsem jooksev statistika

# iperf -c 192.168.1.2 -w 400k -P 2 -i 1
Client connecting to 192.168.1.2, TCP port 5001
TCP window size: 400 KByte
------------------------------------------------------------
[ ID] Interval Transfer Bandwidth
[SUM] 0.0- 1.0 sec 1.06 GBytes 9.07 Gbits/sec
[SUM] 1.0- 2.0 sec 1.08 GBytes 9.30 Gbits/sec
[SUM] 2.0- 3.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 3.0- 4.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 4.0- 5.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 5.0- 6.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 6.0- 7.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 7.0- 8.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 8.0- 9.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 9.0-10.0 sec 1.15 GBytes 9.89 Gbits/sec
[SUM] 0.0-10.0 sec 11.4 GBytes 9.75 Gbits/sec

Vaikimisi kestab test 10 sekundit -t parameetriga saab muuta, lisaks saab muuta -i parameetriga statistika kuvamise intervalli.

====UDP====

UDP protokolli kasutamiseks tuleb lisaks kasutada kliendi ja serveri poolel lisaks suvandit -u, kusjuures UDP puhul on kiiruse piirang vaikimisi 1 Mbit/s. Kiirust saab täpsustada suvandiga -b 1000M, nt

# iperf -s -u
# iperf -c 192.0.0.118 -t 600 -i 10 -l 1472 -b 20M -u

====IPv6====

IPv6 kasutamiseks tuleb serveri ja kliendi poolel lisaks kasutada suvandit, nt

server # iperf -V -s -u
klient # iperf -V -c 2a02:98:0:a07::a00:7bf -t 600 -i 10 -l 1452 -b 20M -u

kus

* ipv6 puhul on ip paketi kapsli overhead 40 baiti (erinevalt ipv4 20 baidist)
* udp kapsli overhead on 8 baiti
* -l 1452 puhul ei toimu veel fragmenteerimist, suurema väärtuse puhul tekivad tõenäoliselt fragmenditud paketid

===netstrain===

Programm netstrain paigaldamine toimub paketist

võimaldab tekitada ja jälgida võrgus tcp koormust. Ühes arvutis tuleb netstraind käivitada

# netstraind -4 1010
NetStrain 3.0 (c) 2002 Christoph Pfisterer <cp@chrisp.de>
Listening on 0.0.0.0 port 1010 using IPv4...
One-shot server waiting for connection
Incoming connection from 172.16.3.254 port 5606

ning teisest pöörduda

# netstrain -4 172.16.3.251 1010 both
NetStrain 3.0 (c) 2002 Christoph Pfisterer <cp@chrisp.de>
Looking up hostname 172.16.3.251...
Connecting to 172.16.3.251 port 1010 using IPv4...
Connected
sent: 6450M, 10589.2K/s total, 10586.8K/s current
recv'd: 6252M, 10264.4K/s total, 10286.5K/s current

===ipcalc ja ipv6calc===

ipcalc on paketist paigaldatav pisike utiliit, millega saab nö võrke arvutada. Näiteks küsida milline on kaheksane subnet kuhu kuulub ip aadress 192.168.2.201

# ipcalc 192.168.2.201/29
address : 192.168.2.201
netmask : 255.255.255.248 (0xfffffff8)
network : 192.168.2.200 /29
broadcast : 192.168.2.207
host min : 192.168.2.201
host max : 192.168.2.206
hosts/net : 6

===sipcalc===

sipcalc (IP subnet calculator) programmiga saab arvutada IPv4 ja IPv6 võrguaadresse, nt

$ sipcalc -a 2a01:88:0:21::2
-[ipv6 : 2a01:88:0:21::2] - 0

[IPV6 INFO]
Expanded Address - 2a01:0088:0000:0021:0000:0000:0000:0002
Compressed address - 2a01:88:0:21::2
Subnet prefix (masked) - 2a01:88:0:21:0:0:0:2/128
Address ID (masked) - 0:0:0:0:0:0:0:0/128
Prefix address - ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
Prefix length - 128
Address type - Aggregatable Global Unicast Addresses
Network range - 2a01:0088:0000:0021:0000:0000:0000:0002 -
2a01:0088:0000:0021:0000:0000:0000:0002

[V4INV6]
Expanded v4inv6 address - 2a01:0088:0000:0021:0000:0000:0.0.0.2
Compr. v4inv6 address - 2a01:88:0:21::0.0.0.2

[IPV6 DNS]
Reverse DNS (ip6.arpa) -
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.2.0.0.0.0.0.0.8.8.0.0.1.0.a.2.ip6.arpa.

===httping===

httping programmiga saab esitada http päringuid eesmärgiga jälgida veebiserveri vastuste andmist, kusjuures nt on võimalik täpsustades, kas esitatakse GET või HEAD päringuid või millise sagedusega päringuid esitatakse. Nt võiks toimuda programmi kasutamine selliselt

$ httping -s -S -i 2 -r -g http://www.loomaaed.tartu.ee/loomafail.cgi
PING www.loomaaed.tartu.ee:80 (http://www.loomaaed.tartu.ee/loomafail.cgi):
connected to www.loomaaed.tartu.ee:80, seq=0 time=11.99+501.00=512.99 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=1 time=10.20+475.94=486.14 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=2 time=9.71+471.03=480.74 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=3 time=10.88+420.74=431.62 ms 200 OK
connected to www.loomaaed.tartu.ee:80, seq=4 time=9.99+336.93=346.92 ms 200 OK

kus on kasutatud võtmeid

* -s - esitab http päringu vastuse nn http koodi, st 200, 403, 404, 500 jne
* -S - esitab vastuses eraldi tcp ühenduse moodustamiseks ja vastuse saamiseks kulunud aja
* -i - päringute esitamise intervall sekundites
* -r - nimelahendus sooritatakse vaid üks kord
* -g - esitatakse GET päringuid (vaikimisi HEAD)

Üks abiks httping programmi kasutusjuht võiks olla näiteks veebikoha koormustesti ajal jälgida milline nö tavakasutaja jaoks võiks kõnealuse veebikoha kättesaadavus.

https teenuse jälgimiseks sobib öelda

$ httping -G -l -g "/index.html" -h 192.168.10.12

* -l - pöörduda https abil

===tcpstat===

Vahel on selle programmi kasutamine muutnud süsteemi ebastabiilseks, tõenäoliselt on seoses konkreetselt kasutuses oleva riistvaraga. Muidu aga võimaldab ta jälgida tingimustele vastava andmevahetuse kiirust

# tcpstat -i vlan13 -o "Time:%S\tn=%n\tavg=%a\tstddev=%d\tBaitspersecond=%B\n" -f "tcp and host 192.168.110.149" 10

kus

* -i - võrguseade
* -o - väljundi formaat
* -f - nö tcpdump formaadis filter
* 10 - väljundi esitamise intervall, kusjuures kui andmeid ei ole, siis intervalli möödudes nö nulle ei esitata

===tcptrace===

tcptrace on üks paljudest programmidest, millega esitada salvetatud võrguliikluse kohta ülevaatlikke andmeid, võimalik, et programmi kõige olulisem väärtus on pedagoogiline

$ tcptrace -l tt.log
1 arg remaining, starting with 'tt.log'
Ostermann's tcptrace -- version 6.6.1 -- Wed Nov 19, 2003

54 packets seen, 54 TCP packets traced
elapsed wallclock time: 0:00:00.007053, 7656 pkts/sec analyzed
trace file elapsed time: 0:00:02.787589
TCP connection info:
1 TCP connection traced:
TCP connection 1:
host a: moraal.auul:52081
host b: ftp.loomaaed.tartu.ee:22
complete conn: yes
first packet: Sat Oct 10 12:56:15.713740 2009
last packet: Sat Oct 10 12:56:18.501330 2009
elapsed time: 0:00:02.787589
total packets: 54
filename: tt.log
a->b: b->a:
total packets: 30 total packets: 24
ack pkts sent: 29 ack pkts sent: 24
pure acks sent: 14 pure acks sent: 7
sack pkts sent: 0 sack pkts sent: 0
dsack pkts sent: 0 dsack pkts sent: 0
max sack blks/ack: 0 max sack blks/ack: 0
..
data xmit time: 2.547 secs data xmit time: 2.547 secs
idletime max: 1141.1 ms idletime max: 1151.3 ms
throughput: 1291 Bps throughput: 1072 Bps

===Wireshark===

Tarkvara Wireshark eelised avalduvad tema ülevaatlikkust võimaldavas graafilises kasutajaliideses, kus on võimalus

* liiklust filtreerida nt otspunktide ip aadresside, protokolli vms parameetrite alusel
* saab hõlpsasti eristada liiklusest tcp sessioone
* saab ülevaatlikult näha paketi kapseldust OSI kihtide mõttes

'''Lihtne wiresharki kasutusjuhus tööarvutis'''

Käivita wireshark programm. Vajuta nupule "List available capture interfaces..." (tööriistariba kõige vasakpoolsem nupp) ja seejärel võib alustada pakettide püüdmist soovitud võrguaadressil. Pakettide püüdmise lõpetab nupp "Stop the running live capture".

Kui võrguliiklust on palju, võib wiresharki väljund tulla liiga kirju. Otsitava informatsiooni väljafiltreerimiseks võib kasutada erinevaid filtreid (trükkida Wiresharki filtriribale):

* ip.addr == 192.168.1.253 - Näitab ainult pakette, mis kas pärinevad või on suunatud antud aadressile
* tcp.port == 22 - Näitab ainult pakette, mis kas pärinevad või on suunatud TCP porti 22
* !(udp.port == 80) - näitab ainult pakette, mille src ega dst pooles ei esine port 80

Erinevaid filtreid saab kombineerida loogiliste tehetega: &&, ||, !

Wireshark kasutamist on keerukamatel juhtudel mõistlik korraldada nii, et tulemüüris/serveris salvestatakse liiklus tcpdump abil faili ning see fail kopeeritakse töökohaarvutisse kuhu on paigaldatud Wireshark. Wireshark kasutajaliides näeb välja selline, antud juhul on kuulatud pealt liiklust tulemüürist ftp.aso.ee arvutiga

# tcpdump -n -i eth0 -s 1600 -w /tmp/ftp.aso.ee.log host ftp.aso.ee

Seejärel on käivitatud wireshark

linux$ wireshark ftp.aso.ee.log

Wiresharkis on filtreeritud välja ainult liiklus ftp.aso.ee arvutiga (kui seda praktiliselt pole ka vaja filtreerida, kuna ainult seda kuulatigi tcpflow'ga). Allolevalt pildilt on näha kuidas Wireshark esitab väljundit kolmes üksteise kohal paiknevas raamis

# ülemises raamis on esitatud filtreeritud 10 paketti, järjekorranumber, aeg, lähte ja siht aadress, protokoll ja muu info
# keskmises raamis esitatakse ülemises raamis ära märgitud paketi kapseldatud koosseis, on näha ISO kihid kusjuures wireshark interpreteerib lisaks paketi nn payloadis olevaid andmeid
# alumises raamis on esitatud paketi sisu kõrvuti kahes tulbas, 16nd-süsteemis ning võimalusel vastavad ascii sümbolid, kusjuures keskmises raamis märgitule on ära vastav osa ära tähistatud

[[Pilt:Wireshark-ftp.aso.ee.log-1.gif]]

Näiteks võib antud juhul jälgida kuidas ühenduse loomiseks ja lõpetamiseks on vahetatud vastavalt kolm ja kolm paketti, ning sisuliste andmete vahetamiseks on kokku saadetud neli paketti. Välja arvatud erijuhud üldiselt ongi nii, et andmevahetusel osapooled saadavad üksteisele samas suurusjärgus pakette, isegi kui tegu on sisuliselt ühesuunalise andmevahetusega. Ja eriliselt võiks antud juhul tähele panna, et tcp ühenduse sees saadetakse andmeid mõlemas suunas.

Antud juhul kuuluvad juba tcpdump abil salvestatud ühte tcp sessiooni, kuid wiresharkil on võimalus suuremat hulgast pakettidest välja filtreerida ka ühe tcp sessiooni. Selleks tuleb ülemises raamis valida mingi paketi peal olles hiire parema nupuga avanevast hüpikmenüüst 'Follow TCP Stream' ning esitakse sessioonis toimunud http get päringu sisu ja vastuse sisu

[[Pilt:Wireshark-ftp.aso.ee.log-2.gif]]

====editcap ja mergecap kasutamine====

editcap programmiga saab varem salvestatud pcap formaadis faili osadeks jagada, nt pakettide arvu järgi, tulemusena tekivad osad* nimelised failid

# editcap -c 100 tcp.log osad

mergecap programmiga saab pcap formaadis osad ühendada kokku üheks failiks, nt

# mergecap -w tcp-kokkuyhendatud.log osad*

====capinfos====

Salvestatud pcap faili kohta saab küsida capinfos programmiga, nt

# capinfos tcp.log
File name: tcp.log
File type: Wireshark/tcpdump/... - libpcap
File encapsulation: Ethernet
Number of packets: 1000
File size: 590818 bytes
Data size: 592758 bytes
Capture duration: 6 seconds
Start time: Sat Oct 22 20:06:11 2011
End time: Sat Oct 22 20:06:16 2011
Data byte rate: 106709.45 bytes/sec
Data bit rate: 853675.63 bits/sec
Average packet size: 592.76 bytes
Average packet rate: 180.02 packets/sec

====RSA võtmevahetusega SSL liikluse dekrüptimine====

* http://wiki.wireshark.org/SSL
* http://wirewatcher.wordpress.com/2010/07/20/decrypting-ssl-traffic-with-wireshark-and-ways-to-prevent-it/

===tcpbench===

OpenBSD nn baas sisaldab tcpbench utiliiti, mille abil saab otsekoheselt testida kahe OpenBSD arvuti vahelist võrguühendust. Utiliidi kasutamisel hakkab klient serverisse kopeerima maksimaalse võimaliku suurusega tcp pakette, tegevuse käigus esitavad klient ja server programmi väljundis toimuvat andmevahetust iseloomustavat infot

server# tcpbench -s
pid elapsed_ms bytes Mbps
25537 1009 20811800 165.009
25537 2009 20610544 165.049
25537 3013 20230168 161.197
25537 closed by remote end

klient# tcpbench 192.168.10.8
pid elapsed_ms bytes Mbps
2628 1026 20990016 163.665
2628 2008 20460296 166.683
2628 3037 20230168 157.433
^Ctcpbench: Terminated by signal 2

===ssldump===

ssldump võimaldab SSL/TLS liiklust analüüsida, tarkvara paigaldamiseks tuleb öelda Debian keskkonnas

# apt-get install ssldump

FreeBSD's asub pakett net/ssldump

ja kasutamiseks nt

# ssldump -i eth0 -d port 993
New TCP connection #1: moraal.auul(49305) <-> smtp.loomaaed.tartu.ee(993)
1 1 0.0100 (0.0100) C>S Handshake
ClientHello
Version 3.1
resume [32]=
9c 5e 98 a5 0c 7a e1 f6 59 70 cb 42 ff 7e d0 2c
0c d6 03 57 34 e5 01 74 4e 4f fb 70 3b a5 61 02
cipher suites
Unknown value 0xc00a
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
...
compression methods
NULL
1 2 0.0342 (0.0242) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
9c 5e 98 a5 0c 7a e1 f6 59 70 cb 42 ff 7e d0 2c
0c d6 03 57 34 e5 01 74 4e 4f fb 70 3b a5 61 02
cipherSuite Unknown value 0x35
compressionMethod NULL
1 3 0.0342 (0.0000) S>C ChangeCipherSpec
1 4 0.0342 (0.0000) S>C Handshake
1 5 0.0349 (0.0006) C>S ChangeCipherSpec
1 6 0.0349 (0.0000) C>S Handshake
1 7 0.0443 (0.0094) S>C application_data
1 8 0.0450 (0.0006) C>S application_data
1 9 0.0546 (0.0095) S>C application_data
..

kust on näha

* C>S, S>C - vastavalt kliendilt serveri ja serverilt kliendi suunal toimuv liiklus
* ClientHello, ServerHello, jt - kliendi ja serveri vahel toimub SSL ühenduse parameetrite kokkuleppimine
* application_data - antud juhul jääb ssldump jaoks sisuline andmevahetus ligipääsemata

Kui lisaks on kasutada ssl võtmed, siis saab teatud juhtumitel ka liikluse sisu debugida, nt https puhul

# cat www.loomaaed.tartu.ee.key www.loomaaed.tartu.ee.crt > www.pem
# ssldump -i eth0 -d -k www.pem port 443
..
1 10 0.0849 (0.0341) C>S application_data
---------------------------------------------------------------
GET /text.html HTTP/1.1
Host: 192.168.10.53
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) \
Gecko/2009091010 Iceweasel/3.0.6 (Debian-3.0.6-3)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

---------------------------------------------------------------
1 11 0.0857 (0.0007) S>C application_data
---------------------------------------------------------------
HTTP/1.1 200 OK
Date: Fri, 23 Oct 2009 06:32:59 GMT
Server: Apache/2.2.9 (Debian) mod_jk/1.2.26 mod_ssl/2.2.9 OpenSSL/0.9.8g
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 266
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Seejuures tuleb veebiserveris kasutada sobivat SSLCipherSuite väärtust, nt selline töötab nö natuke

SSLCipherSuite RSA:-HIGH:MEDIUM:-EXP:-DH

Kasutatud järgnevusele 'RSA:-HIGH:MEDIUM:-EXP:-DH' vastavaid väärtusi näeb

# openssl ciphers -v 'RSA:-HIGH:MEDIUM:-EXP:-DH'
DES-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
NULL-SHA SSLv3 Kx=RSA Au=RSA Enc=None Mac=SHA1
NULL-MD5 SSLv3 Kx=RSA Au=RSA Enc=None Mac=MD5
DES-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=DES(56) Mac=MD5
RC2-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC2(128) Mac=MD5
RC4-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5

Lisaks saab ssldump jaoks kaustada tcpdump abil kogutud pcap faili (eriti see on -s 0 võtmega salvestatud)

$ ssldump -r failinimi.pcap

===ICMP redirect===

Olgu selliste ruutingutega olukord

....
|
_|_ tulemüür
| | vaikelüüs, kus on kirjeldatud staatiline ruuting 192.168.201.0/24 -> 192.168.2.201
|___| 192.168.2.1
192.168.2.0/24 |
--|-------------------|--------------|--
_|_ _|_
| | 192.168.2.30 | | 192.168.2.201
|___| host-1 |___| ruuter-2
|
| 192.168.201.0/24
-----|-------------------------|---
_|_
| | 192.168.201.30
|___| host-2

ICMP redirect http://en.wikipedia.org/wiki/ICMP_Redirect_Message sõnumiga juhatab tulemüür host-1 pöörduma host-2 poole läbi ruuter-2 seadme.

09:42:25.399922 192.168.2.1 > 192.168.2.30: icmp: redirect 192.168.201.30 to host 192.168.2.201

Parasjagu kehtivad redirectid ei ole paista linux hostis ei nö tavalistes arp ega route andmebaasides, vaid

# cat /proc/net/rt_cache

Sissekande kustutamiseks tuleb vastav ruuting eemaldada ja tagasi tekitada, näiteks.

===ARP flux===

Olgu üks arvuti on oma kahe füüsiliste võrguseadmega ühendatud sama etherneti peale ning seal ethernetis on veel teisi arvuteid

--|--|---------------------------|----------------
eth0 _|__|_ eth1 _|_
10.0.2.30 | | 192.168.2.30 | | 192.168.2.201
|______| |___|

host-1 host-2

Tundub, et reeglina käituvad 2011 aastal Linux distributsioonide tuumad selliselt, et joonisel kujutatud ühenduse puhul vastab host-2 poolt aadressile 192.168.2.30 tehtud arp päringule host-1 kahe arp vastusega, kummagi ethernet seadme mac aadressiga, kusjuures host-2 kasutab esimesena kohale jõudnud vastust järgnevaks andmevahetuseks. Selline olukord põhjustab selles mõttes segadust, et kui host-1 võrguseadmed on sarnaste omadustega, siis vahel kasutab host-2 ühe ja vahel teise ethernet seadme mac aadressi ning liiklus käib vastavalt läbi ühe või teise host-1 võrguseadme (lisaks võib ka nii olla, et ühes suunas liiguvad paketid läbi host-1 eth0 ja teises suunas läbi eth1 seadme). Kui host-1 peal ei ole paketifiltrit seadistatud, siis seal töötavate rakenduste jaoks andmevahetus töötab, kuid nt võrgu debugimine on raskendatud.

Selleks, et host-2 arp päringule vastaks host-1 vaid selle mac aadressiga, millele vastava võrguseadme kaudu toimuks ip mõttes korrektne ruuting sobib öelda host-1 arvutis

# sysctl -w net.ipv4.conf.all.arp_filter=1

Kasulikud lisamaterjalid

* http://linux-ip.net/html/ether-arp.html
* http://robertlathanh.com/2009/08/two-subnetworks-on-one-lan-and-linux-arp_filter/
* http://www.embedded-bits.co.uk/tag/arp_filter/

===tcpkill===

tcpkill programmi abil saab ühenduse osapoolele saata sobiva RST paketi eesmärgiga ühendus lõpetada, tarkvara paigaldamiseks tuleb nt Debian Lenny keskkonnas paigaldada pakett dsniff

# apt-get install dsniff

ja kasutamiseks öelda

# tcpkill -i eth0 port 80 and host ftp.loomaaed.tartu.ee

Tulemusena jääb tcpkill käima arvuti eth0 seadmel ja tegeleb näidatud regulaaravaldisega klappivate ühendustega.

===lsof===

Kasutaja priit (-u priit) programmiga Firefox (-c firefox-bin) seotud võrguühenduste (-i) esitamine

$ lsof -n -a -u priit -c firefox-bin -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
firefox-b 22322 priit 51u IPv4 1870238 TCP 192.168.10.10:53360->113.184.32.83:https (ESTABLISHED)
firefox-b 22322 priit 72u IPv4 1870025 TCP 192.168.10.10:35441->74.125.43.100:www (ESTABLISHED)
firefox-b 22322 priit 73u IPv4 1870035 TCP 192.168.10.10:53903->74.125.10.213:www (ESTABLISHED)

kus

* -n - mitte teisendada ip aadresse nimedeks
* -a - järgnevad muud suvandid loogiliselt korrutada
* PID - protsessi ID

Pordile vastava protsessi küsimine

# lsof -i :514
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
syslogd 6628 _syslogd 4u IPv4 0xfffffe803f51d000 0t0 UDP *:syslog

Kasulikud lisamaterjalid

* http://ph7spot.com/musings/leveraging-lsof

===strace===

strace kasutusala on laiem, kuid seoses võrguga on tal samuti rakendus, nt esitada jooksvalt protsessiga seotud võrgu syscallid, 4940 on w3m brauseri protsess

# strace -e trace=network -p 4940
...
socket(PF_NETLINK, SOCK_RAW, 0) = 4
bind(4, {sa_family=AF_NETLINK, pid=0, groups=00000000}, 12) = 0
getsockname(4, {sa_family=AF_NETLINK, pid=4940, groups=00000000}, [12]) = 0
...

===Arpwatch===

Võimaldab jälgidan võrgus liikuvaid ARP teateid ning avastada ARP tabeli mürgitamisjuhtumeid

Koduleht
*http://ee.lbl.gov/
Arpi mürgitamise toimimine ja selle takistamine
*http://shsc.info/ARPPoisoning
Mõned võrguhaldurile abiks skriptid
*http://blog.stardothosting.com/2009/05/01/detect-arp-poisoning-on-lan/

===Ettercap===

Ettercap http://ettercap.sourceforge.net/ tarkvara võimaldab kohtvõrgus korraldada MITM tüüpi ründeid ja seejuures kontrollida kui tundlik kohtvõrk on selliste rünnete suhtes sh kas need avastatakse. Ettercap kasutab oma tööks põhiliselt arp-mürgitamist (ingl. k. arp poisoning). Tarkvara paigaldamiseks on tavaliselt piisav paigalda operatsioonisüsteemi paketihaldusvahenditega ettercap nimeline pakett. Ettercap programmi saab käivitada kolme erineva kasutajaliidesega

* käsurealt -ettercap -T
* curses liidesega - ettercap -C
* gtk gui liidesega - ettercap -G

Kasulikud lisamaterjalid

* http://en.wikipedia.org/wiki/Ettercap_%28computing%29
* http://openmaniak.com/ettercap.php

===Scapy===

Scapy http://www.secdev.org/projects/scapy/ abil saab töötada pakettidega. Tarkvara on kirjutatud Pythonis ja sellele on iseloomulik, et saab nö programmeerimise võtteid kasutades nt koostada sobiva sisuga paketi ja saata võrku; seejärel saab käsitleda sarnaselt vastuseks tulnud paketti. Scapy sisaldab mitmeid lisasid, nt saab lasta esitada graafiliselt traceroute tulemuse. Tarkvara paigaldamiseks sobib paigaldada nt Debian Squeeze all pakett python-scapy

# apt-get install python-scapy

Lisaks on vajalikud

# apt-get install tcpdump graphviz imagemagick

Interaktiivselt käivitamiseks tuleb öelda

# scapy
...
Welcome to Scapy (2.1.0)
>>> res,unans = traceroute(["www.eesti.ee", "www.eenet.ee"],dport=[80,443],maxttl=20,retry=-2)
..
>>> res.graph()

Tulemusena esitatakse sarnane pilt

[[Pilt:Scapy-1.gif]]

Scapy sisaldab mitmeid funktsioone, millega pakette moodustada, neid välja saata ning vastuseid lugeda

* ICMP paketi saatmine

>>> send(IP(dst="192.168.10.123")/ICMP())

* DNS päringu esitamine

>>> sr(IP(dst="10.192.0.53")/UDP()/DNS(rd=1,qd=DNSQR(qname="www.loomaaed.tartu.ee")))

* etteantud subnetti kuuluva juhusliku src aadressiga pakettide saatmine

>>> send(IP(src=RandIP("192.168.10.0/24"), dst="10.192.0.53")/TCP(dport=80,flags="S"), loop=1)

===Socat===

* Pordi edasisuunamine

# socat TCP-LISTEN:8888,fork TCP:192.168.1.4:80

* pordi edasisuunamine lokaalselt (mida tavaliselt tehakse paketifiltri abil)

# socat TCP-L:2323 TCP:localhost:22

* unixi soketi ühendamine interneti soketiga, kuulaku unix soketil MySQL ning peab saama hakata pöörduma MySQL poole üle võrgu arvuti mõnel ip aadressil, port 3308

# socat -v tcp-l:3308,bind=192.168.10.10,reuseaddr,fork unix:/var/run/mysqld/mysqld.sock

* remote shell (nt sellepärast võiks pigem olla serverite pordid tulemüürist vaikimisi blokeeritud), EXEC täidetakse kliendi pöördumisel

server:~$ socat TCP-LISTEN:2323,reuseaddr,fork EXEC:/bin/bash

ja vastav klient

$ socat STDIO TCP:server-loomaaed:2323
hostname -f
server.loomaaed
...

* PostgreSQL soketi suunamine üle võrgu

tookohaarvuti$ socat "UNIX-LISTEN:/tmp/.s.PGSQL.5432,reuseaddr,fork" \
EXEC:'ssh postgres@192.168.1.105 socat STDIO UNIX-CONNECT\:/var/run/postgresql/.s.PGSQL.5432'

kasutamiseks öelda, kusjuures EXEC täidetakse, st ssh ühendus käivitatakse alles psql kliendi abil pöördumisel

tookohaarvuti$ psql -h /tmp -U postgres

Faili sisu esitamiseks üle võrgu, kasutamiseks nt netcat abil pöörduda

$ socat -u FILE:/opt/suricata/var/log/suricata/eve.json,ignoreeof TCP4-LISTEN:12345,fork,reuseaddr

Kasulikud lisamaterjalid

* http://technostuff.blogspot.com/2008/10/some-useful-socat-commands.html
* http://jdimpson.livejournal.com/6534.html
* http://www.debian-administration.org/users/dkg/weblog/68

===vnstat===

Tarkvara paigaldamiseks sobib öelda nt

# apt-get install vnstat

Kasutamine paistab välja nt selline

# vnstat -l
Monitoring eth0... (press CTRL-C to stop)

rx: 0 kbit/s 1 p/s tx: 0 kbit/s 0 p/s^C

eth0 / traffic statistics

rx | tx
--------------------------------------+------------------
bytes 385.08 MiB | 990.42 MiB
--------------------------------------+------------------
max 88.19 Mbit/s | 227.04 Mbit/s
average 57.36 Mbit/s | 147.52 Mbit/s
min 0 kbit/s | 0 kbit/s
--------------------------------------+------------------
packets 4588718 | 3670125
--------------------------------------+------------------
max 128266 p/s | 102612 p/s
average 83431 p/s | 66729 p/s
min 1 p/s | 0 p/s
--------------------------------------+------------------
time 55 seconds

kus

* rx, tx - vastavalt saabumised ja väljumised
* bytes, packet - andmete mahu ja pakettide arvu järgi

===iptstate===

iptstate kasutab kerneli conntrack sistemat ja esitab võrguliikluse kohta andmeid, tarkvara paigaldamiseks

# apt-get install iptstate

Kasutamiseks peab olema laaditud nt ip_conntrack moodul

# modprobe ip_conntrack

Käivitamiseks öelda

# iptstate

ja paistab sarnane pilt

TODO

Tundub, et samad andmed on teksti kujul esitatavad selliselt

# cat /proc/net/ip_conntrack

===tcptrack===

Programm tcptrack annab top väljundi sarnase ülevaate toimuvatest tcp ühendustest. Paigaldamiseks sobib öelda

# apt-get install tcptrack

Kasutamiseks nt

# tcptrack -i eth0 -r 10 port 80

ja paistab selline pilt

TODO

===conntrack===

# modprobe nf_conntrack_ipv4
# conntrack -p tcp --dport 80 -E -e NEW | pv -l -i 1 -r > /dev/null

===Kasulikud lisamaterjalid===

* Soovides muide teada mis ISP omandusse mingi ip kuulub tasub kasutada aadress http://www.ip-adress.com/ip_tracer/'''<IP>'''
* http://www.linuxfoundation.org/collaborate/workgroups/networking/netem
* http://tools.netsa.cert.org/silk/docs.html

Nagios

2018-07-24T14:08:00Z

Erkko: ...

===Sissejuhatus===

===Nagiose tööpõhimõte===

Nagiose serveri ülesandeks on kontrollida võrgus töötavate arvutite (ingl. k. host) ja teenuste (ingl. k. service) seisukorda.

Arvutite ja teenuste seisukorda iseloomustavaid parameetreid võib jaotada lähtudes erinevatelt alustelt. Nt selle järgi, kas parameetrit kontrollitakse üle võrgu või lokaalsest arvutist

* kontrollitakse üle võrgu - veebileht, nimeserver
* kontrollitakse lokaalselt - arvutis töötavate protsesside arv, arvuti koormus (ingl. load), failisüsteemi täituvus, raid lülituse korrasolek

Lokaalse kontrolli korraldamiseks tuleb kontrollitavasse arvutisse paigaldada lisaks täiendavalt Nagiose tarkvara, üle võrgu kontrollimisel reeglina kontrollitavasse arvutisse ei tule midagi Nagiose-spetsiifilist lisada.

Teine võimalus on jaotus teha selle järgi, kes küsib või kes ütleb

* aktiivne kontroll - Nagiose server esitab teenustele kontrollpäringuid (nt veebileht, nimeserver)
* passiivne kontroll - Nagiose server kuulab teenuste raporteerimisi (nt varunduse õnnestumine)

Jällegi, passiivse kontrolli korraldamiseks tuleb kontrollitavasse arvutisse paigaldada lisaks täiendavalt Nagiose tarkvara, aktiivsel kontrollimisel reeglina kontrollitavasse arvutisse ei tule midagi Nagiose-spetsiifilist lisada.

===Vana sissejuhatus - vaja ümber teha===

Nagios on vabavara mis võimaldab jälgida teenuste ning serverite kättesaadavust. Toetab mitmesuguseid levinud teenuseid (SMTP, IMAP, HTTP, FTP, DNS) ning võimaldab seirata ka serveri "sisemist" infot, nagu koormus, kettamaht, protsesside arv jms) ja saata välja teavitusi süsteemide probleemide korral. Võimalik siduda mitmete muude tarkvaradega nagu Munin

Nagiosele on kirjutatud mitmeid lisasid, mis teevad halduri või administraatori elu tunduvalt lihtsamaks. Sellisteks mooduliteks on näiteks serverite võrgukaartide Bonding tugi, Cisco seadmete staatuste kogumine jt. Seadistamine on tehtud lihtsamaks mallide olemasoluga. Nimelt võib defineerida ära esmalt soovitava üldmalli ja seejärel seda direktiivina kasutada teistes seadistustes. Sedasi hoiab administraator oma loodud koodi puhtana ja ülevaatlikumana ja asju lisada on mugavam.

Kui vaadata nõudeid, mis Nagios seab riistvarale, siis on ainukeseks nõudeks, et serveril oleks C kompilaator. Nagiose töötamiseks pole otseselt vaja isegi veebiliidest ja seda saab kasutada vaid teavituste saatmiseks probleemide korral ja süsteemi normaalse töörütmi taastumise korral. Veebiliides on aga hea just igasuguse informatsiooni kuvamiseks kasutades selleks CGI skripte.

Plussid Nagiose kasutamisel:

* vaba tarkvara;
* palju kontrollimismehhanisme nii teenuste kui riistvara jaoks;
* teavitamine vigadest ja teenuse taastumisest;
* võrguhierarhia määramise võimalus;
* paralleelsed kontrollid;
* lihtne lisada jälgitavaid teenuseid või seadmeid;
* hea dokumentatsioon ja palju õpetussõnu veebis;
* kiire arendus;
* paljud lisaprogrammid integreeritavad.

===Nagios install===

====FreeBSD====
FreeBSD süsteemis tuleb anda käsud

cd /usr/ports/net-mgmt/nagios && make install clean
cd /usr/ports/net-mgmt/nagios-plugins && make install clean

Viimati tuli veel teha mailisaatmiseks FreeBSD's selline rats, et linkida mail /bin alla

ln -s /usr/bin/mail /bin/mail

===Gentoo===

TODO

===Debian===

Nagiose serveri paigaldamine

Debiani paketihaldus sisaldab Nagios http://www.nagios.org/ versioon 3.0.x tarkvara, paigaldamiseks sobib öelda

# apt-get install nagios3 nagios3-doc

nagios3-doc sisaldab muu seas HTML kujul dokumentatsiooni kataloogis /usr/share/nagios3/htdocs.

Veebipõhise haldusliidese kasutaja ligipääsu tekitamiseks sobib öelda

# dpkg-reconfigure nagios3-common

ja dialoogides jääda vaikeväärtuste juurde, näidata parool.

Täpsemat juttu hetkel leiab

*http://kuutorvaja.eenet.ee/wiki/Nagiose_kasutamine_Debian_Lenniga

===Seadistame Nagiose===

Nagiose tööd juhib põhiline seadistusfail nagios.cfg ning sellest failis viidatud muud seadistusfailid. Nagiose seadistamisel kirjeldatakse ära hulk erinevaid objekte

* host - jälgitav arvuti või võrguseade (nt vaikelüüs)
* service - jälgitav teenus (nt veebileht)
* command - kontrollkäsk, mis jälgib teenust
* hostgroup - hulk jälgitavaid arvuteid
* servicegroup - hulk jälgitavaid teenuseid
* contact - kontakt, kellele saadetakse teatud sündmuse toimumise kohta teade
* contactgroup - hulk kontakte

Seejuures tehniliselt ei ole oluline, kas objektide kirjeldused asuvad ühes failis või mitmes failis, mis omakorda võivad asuda mitmes kataloogis. Siiski, sõltuvalt monitooringuülesandest on reeglina praktiline jagada objektid mitmete failide vahel. Gruppide kasutamine võimaldab kirjeldada objekte abstraktsemalt, mis praktiliselt lihtsustab Nagiose seadistuste kirjutamist.

_____ Nagiose server
| |
|_____|
|
|
-|---------|----------|----....---|----------|
| | | |
__|__ __|__ __|__ __|__
| | | | | | | |
|_____| |_____| |_____| |_____|

ruuter www mail dns

Meil on kolm masinat mida vaja jälgida. Ruuter, veebiserver ja mailiserver.
Me soovime, et kõiki neid kolme Nagios pingiks iga viie minuti tagant ning kui üks masin juhtub maas olema siis teavitame sellest mailiaadressile kasutaja@domeen.ee

Serverite ip aadressid

*kontori ruuter '''192.168.1.10'''

*veebiserver veebiserver.domeen.ee '''192.168.1.11'''

*mailiserver mailiserver.domeen.ee '''192.168.1.12'''

*nimeserver dns.domeen.ee '''192.168.1.13'''

Vaja on tekitada kokku 3 seadistusfaili

# '''hosts.cfg''' seadmed-serverid-arvutid
# '''services.cfg''' erinevat liiki kontrollid-testid
# '''contacts.cfg''' kasutajad-kasutajagrupid

Esimesena on vaja defineerida hosts.cfg failis kõik neli seadet

'''hosts.cfg'''

# Defineerime mõned väärtused mis vaikimis seadistame kõigile masinatele
define host{
name linux-server
use generic-host
check_period 24x7
max_check_attempts 10
check_command check-host-alive
notification_period workhours
notification_interval 120
notification_options d,u,r
contact_groups admins
register 0
}

#ruuter
define host{
use linux-server
host_name ruuter
alias ISP Ruuter
address 192.168.1.10
parents localhost
contact_groups Helpdesk
}

#veebiserver
define host{
use linux-server
host_name veebiserver.domeen.ee
alias veebiserver asutusele
address 192.168.1.11
parents localhost
contact_groups Helpdesk
}

#mailiserver
define host{
use linux-server
host_name mailiserver.domeen.ee
alias sisevõrgu mailiserver
address 192.168.1.12
parents localhost
contact_groups Helpdesk
}

#nimeserver
define host{
use linux-server
host_name dns.domeen.ee
alias nimeserver
address 192.168.1.13
parents localhost
contact_groups Helpdesk
}

contact_groups on korrektselt vajalik paika panna hostide juures kuna sinna hakatakse saatma teateid hosti maasoleku kohta

Nüüd defineerime kontrollid mida tehakse serveritele.
Tekitame service kirje mis pingib kõiki kolme masinat. Ruuterit, veebiserverit ja mailiserverit ning teavitab probleemide korral kontaktgruppi helpdesk

'''services.cfg'''

define service{
use local-service
host_name '''ruuter, veebiserver.domeen.ee, mailiserver.domeen.ee, dns.domeen.ee'''
service_description PING
check_command check_ping!100.0,20%!500.0,60%
contact_groups helpdesk
}

Lõpuks tekitame kolmanda faili kus kirjas kontaktid keda teavitatakse mõne seadme maasolekul.

Loome kontakti helpdesk mailiga '''kasutaja@domeen.ee''' ning lisame selle kontaktgruppi Helpdesk

Hea nipp on luua mobiilioperaatori juures endale aadress kasutaja@mail.operaator.ee
millele suunatud kirjad lähevad mobiilile sms'ina, maksab see enamasti 25.- kuus ning
võimaldab operatiivselt kriitilist infot saada.

'''contacts.cfg'''

define contact{
contact_name kasutaja
alias Infohuviline isik
service_notification_period 24x7
host_notification_period 24x7
service_notification_options u,c,r
host_notification_options d,r
service_notification_commands notify-by-email
host_notification_commands host-notify-by-email
email '''kasutaja@domeen.ee'''
}

define contactgroup{
contactgroup_name helpdesk
alias IT Helpdesk
members kasutaja
}

Ja viimaks lisame faili '''nagios.cfg''' järgnevad read, et Nagios meie tekitatud konfiguratsiooni kasutaks

cfg_file=/usr/local/etc/nagios/hosts.cfg
cfg_file=/usr/local/etc/nagios/services.cfg
cfg_file=/usr/local/etc/nagios/contacts.cfg

Linuxi puhul on rajad /etc/nagios/

Ning võime anda käsud

/usr/local/etc/rc.d/nagios start

või linuxis

/etc/init.d/nagios start

Et suurendada Nagiose töökindlust võiks paigaldada serverile ka oma nimeserveri.

===Nagiose pluginad===
====Mail delivery====

Mailiserveri töö kontrolli korraldamine on keerukam. Nagiose kaasasolevad vahendid
võimaldavad kontrollida vaid lihtsamaid portide/teenuste ülevalolekuid ja vastuseid, mailisüsteem on samas enamuses asutuses keerukas ja mitmetest serveritest koosnev süsteem.

Plugin mis järgnevalt ära toodud, saadab serverile emaili ning seejärel logib imapiga
kasutajaga mailikontole test ning kontrollib kas email on saabunud.

Vaja tirida ja paigaldada vastav plugin selleks aadressilt

http://apricoti.pbwiki.com/NagiosCheckEmailDelivery

Selle sõltuvusteks on vaja installida mõned perli moodulit mis tehtavad kenasti cpani installeri abiga
cpan -i Mail::IMAPClient

Seejärel on vaja defineerida command.

define command {
command_name check_delivery_mail
command_line $USER1$/check_email_delivery -H mail.domeen.ee --mailto test@mail.domeen.ee --mailfrom nagios@nagios.domeen.ee /
--username test --password parool --libexec $USER1$ --wait 10 --warning 600 --critical 1200
}

Ning seejärel kontrollimine.

define service{
use generic-service
host_name mail.domeen.ee
service_description DELIVERY_mail
check_command check_delivery_mail
max_check_attempts 5
contact_groups helpdesk
}

====check_by_ssh====

check_by_ssh on mõeldud skriptide käivitamiseks eemalolevas arvutis.

Näiteks võib tekkida soov tulemüüris olles pingida vpn otspunkte, mida Nagiose serverist teha aga ei saa.

Esiteks tuleb genereerida ssh-keygeniga võti ja paigaldada see teise arvuti nagios kasutaja alla. Siis paigaldame arvutile, kus soovime skripte käivitada /usr/ports/net-mgmt/nagios-plugins/ paketi.

Defineerime konfi käsu.

define command {
command_name check_ping_tunnel_ssh
command_line $USER1$/check_by_ssh -H $HOSTADDRESS$ -C \
'/usr/local/libexec/nagios/check_ping -H $ARG1$ -w 500.0,20% -c 2000.0,60% -p 5'
}

Testimiseks

# /usr/local/libexec/nagios/check_ping -H 192.168.2.10 -w 500.0,20% -c 2000.0,60% -p 5
PING WARNING - Packet loss = 20%, RTA = 7.56 ms|rta=7.563000ms;500.000000;2000.000000;0.000000 pl=20%;20;60;0

Tekitame teenuse

define service {
use service
host_name tulemyyr
service_description Current Load
check_command check_http_content!"192.168.5.14"
}

====PostgreSQL====

Aadressil http://bucardo.org/wiki/Check_postgres jagatakse Nagiose kontrollskripti, mis võimaldab muuhulgas

* küsida suurima tabeli või indeksi suurust

$ perl check_postgres.pl -H pg.loomaaed -u postgres --db=loobdb --action=relation_size --critical='6000 MB' --warning='4000 MB' \
--showperf=0 --perflimit=1
POSTGRES_RELATION_SIZE OK: DB "loobdb" (host:pg.loomaaed) largest relation is table "koduloomad.vigastused": 3001 MB

Seejuures esitatakse andmebaasile selline päring

BEGIN;SET statement_timeout=30000;COMMIT;SELECT pg_relation_size(c.oid), pg_size_pretty(pg_relation_size(c.oid)), relkind, relname, nspname \
FROM pg_class c, pg_namespace n WHERE (relkind = 'r' OR relkind = 'i') AND n.oid = c.relnamespace ORDER BY 1 DESC LIMIT 1

====Smartmontools====

Kõvaketta temperatuuri jälgimiseks sobib kasutada nt sellist järgnevust

* moodustada jälgitavasse arvutisse skript

# cat /root/system/hddtemp.sh
#!/bin/bash

c_aeg=`date +%s`
temp=`/usr/sbin/smartctl -A /dev/$1 | grep Temperature_Celsius | awk {'print $10'}`
echo $temp $c_aeg > /tmp/hddtemp_$1.txt

mis kutsutakse välja arvuti juurkasutaja crontabist reaga

*/2 * * * * /root/system/hddtemp.sh sda

Tulemusena moodustatakse igal minutil uus fail /tmp/hddtemp_sda.txt sisuga

# cat /tmp/hddtemp_sda.txt
33 1280078281

kus

* 33 - temperatuur kraadides Celsiust
* 1280078281 - timestamp, mis on vajalik veendumaks, et kasutatakse uuendatud temperatuuri väärtust

* moodustada Nagiose plugin check_hddtemp

# cat /usr/lib/nagios/plugins/check_hddtemp
#!/bin/bash

temp=`cat /tmp/hddtemp_$1.txt | cut -d " " -f 1`;
ts=`cat /tmp/hddtemp_$1.txt | cut -d " " -f 2`;

c_aeg=`date +%s`
aeg_kolme_minuti_eest=$(($c_aeg - 180));

if [ $temp -lt $2 -a $ts -gt $aeg_kolme_minuti_eest ]; then
echo "TEMP OK - temp: $temp;| temp=$temp";
exit 0;
else
echo "TEMP CRITICAL - temp: $temp;| temp=$temp";
exit 2;
fi

* kirjeldada monitooritava arvuti nrpe agendis seadistusfailis /etc/nagios/nrpe.cfg check_hddtemp kontrollid, nt

# riistvara
command[check_hddtemp_sda]=/usr/lib/nagios/plugins/check_hddtemp sda 35
command[check_hddtemp_sdb]=/usr/lib/nagios/plugins/check_hddtemp sdb 38
command[check_hddtemp_sdc]=/usr/lib/nagios/plugins/check_hddtemp sdc 35

* kirjeldada Nagiose serveris vastavad kontrollid, nt sektsiooniga

define service {
host_name failiserver.loomaaed
service_description hddtemp_sda
check_command check_nrpe_1arg!check_hddtemp_sda
use generic-service
}

===Ipv6 aadresside monitoorimine===

Paljudel kaasasolevatel Nagiose utiliitidel on ipv6 tugi ka juba olemas. Näiteks
soovides pingida ühte ainult ipv6 aadressi omavat hosti võib teha täiesti tavalise seadmekirje millele lisada ipv6 aadressi ning siis defineerida järgnev käsk:

define command{
command_name check_ping6
command_line $USER1$/check_ping -6 -H $HOSTADDRESS$ -w 3000.0,80% -c 5000.0,100% -p 5
}

Kasutada saab seda tavapärasel moel nagu iga teist.

===Katsetamine===

Võime simuleerida mingi masina maasolekut. Piisab kui vastav reegel panna selleks tulemüüri mis blokeerib liikluse serverini mida kontrollime. Logifaili '''/var/spool/nagios/nagios.log''' peaks tekkima read:

[1209129862] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;1;CRITICAL - Plugin timed out after 10 seconds
[1209129872] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;2;CRITICAL - Plugin timed out after 10 seconds
[1209129882] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;3;CRITICAL - Plugin timed out after 10 seconds
[1209129892] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;4;CRITICAL - Plugin timed out after 10 seconds
[1209129902] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;5;CRITICAL - Plugin timed out after 10 seconds
[1209129912] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;6;CRITICAL - Plugin timed out after 10 seconds
[1209129922] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;7;CRITICAL - Plugin timed out after 10 seconds
[1209129932] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;8;CRITICAL - Plugin timed out after 10 seconds
[1209129942] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;9;CRITICAL - Plugin timed out after 10 seconds
[1209129952] HOST ALERT: veebiserver.domeen.ee;DOWN;HARD;10;CRITICAL - Plugin timed out after 10 seconds
[1209129952] HOST NOTIFICATION: kasutaja;veebiserver.domeen.ee;DOWN;host-notify-by-email;CRITICAL - Plugin timed out after 10 seconds
[1209129952] SERVICE ALERT: veebiserver.domeen.ee;PING;CRITICAL;HARD;1;CRITICAL - Plugin timed out after 10 seconds

ning kasutaja peaks saama emaili Host DOWN alert for veebiserver.domeen.ee! sisuga

***** Nagios 2.10 *****

Notification Type: PROBLEM
Host: veebiserver.domeen.ee
State: DOWN
Address: 192.168.1.11
Info: CRITICAL - Plugin timed out after 10 seconds

Date/Time: Fri Apr 25 16:25:52 EEST 2008

Eemaldades reegli

[1209130370] HOST ALERT: veebiserver.domeen.ee;UP;HARD;1;PING OK - Packet loss = 0%, RTA = 4.09 ms
[1209130370] HOST NOTIFICATION: kasutaja;veebiserver.domeen.ee;UP;host-notify-by-email;PING OK - Packet loss = 0%, RTA = 4.09 ms
[1209130370] SERVICE ALERT: veebiserver.domeen.ee;PING;OK;SOFT;1;PING OK - Packet loss = 0%, RTA = 4.92 ms

Saabub email Host UP alert for veebiserver.domeen.ee!

***** Nagios 2.10 *****

Notification Type: RECOVERY
Host: veebiserver.domeen.ee
State: UP
Address: 192.168.1.11
Info: PING OK - Packet loss = 0%, RTA = 4.09 ms

Date/Time: Fri Apr 25 16:32:50 EEST 2008

===NSCA kasutamine===

NSCA (Nagios Service Check Acceptor, ingl. k. Nagiose teenuse kontrolli vastuvõtja) võimaldab korraldada nn passiivseid kontrolle. Nii Nagiose serverisse kui kontrollitavasse arvutisse tuleb paigaldada nsca pakett öeldes

# apt-get install nsca

Tulemusena paigaldatakse muu hulgas

* /usr/sbin/nsca - NSCA deemon, töötab Nagiose serveris
* /etc/nsca.cfg - NSCA deemoni seadistusfail
* /usr/sbin/send_nsca - NSCA klient, millega saadetakse deemonile sõnumeid
* /etc/send_nsca.cfg - NSCA kliendi seadistusfail

Nagiose serveri arvutis tuleb käivitada nsca deemon, mida juhib seadistusfail /etc/nsca.cfg kus on oluline veenduda, et sisaldub sobiva väärtusega command_file parameeter ja vajadusel ka debug seada, nt nii

debug=1
command_file=/var/lib/nagios3/rw/nagios.cmd

Kontrollitavast arvutist saadetakse programmiga send_nsca teated Nagiose NSCA deemonile

$ echo -e "backup.loomaaed.tartu.ee\tbackup\t0\tbackup korras" | send_nsca -c /etc/send_nsca.cfg -H nagios.loomaaed.tartu.ee -p 5667

kus

* backup.loomaaed.tartu.ee - arvuti nimi
* backup - teenuse nimi
* 0, 1, 2, 3 - Nagiose staatus, vastavalt OK, WARNING, CRITICAL või UNKNOWN
* backup korras - teate tekst, mida näidatakse nt Nagiose veebiliideses
* /etc/send_nsca.cfg - send_nsca kasutab näidatud seadistusfaili, nt sõnumi krüptimise infoks
* nagios.loomaaed.tartu.ee - Nagiose server
* -p - Nagiose serveri port

====Varunduse monitooring====

Olgu ülesandeks korraldada varunduse monitooring selliselt

* varundamise skript saadab teate, kui varundamine õnnestub
* varundamise skript saadab teate, kui varundamine ebaõnnestub
* Nagios annab alarmi, kui varundamise skript pole teadet saatnud kahe päeva jooksul

Passiivse kontrolli jaoks sobib kasutada sellist malli

define service{
use generic-service
name passive-backup-service
active_checks_enabled 0
passive_checks_enabled 1
flap_detection_enabled 0
register 0
is_volatile 0
check_period 24x7
max_check_attempts 1
normal_check_interval 1
retry_check_interval 1
check_freshness 1
freshness_threshold 169200
contact_groups admins
check_command check_dummy!2
notification_interval 7200
notification_period 24x7
notification_options w,u,c,r
stalking_options w,c,u
}

kus

* freshness_threshold 169200 - kaks ööpäeva oodatakse varunduselt teadet
* check_command check_dummy!2 - tagastab alati CRITICAL väärtuse

Teenuse seadistamiseks sobib kasutada nt sellist sissekannet

define service{
host_name backup.loomaaed.tartu.ee
service_description backup
use generic-passive-service
}

Nt õnnestumisel võiks Nagiose /var/log/syslog'i tekkida

Oct 22 19:51:41 fs nsca[15318]: Connection from 192.168.206.3 port 52141
Oct 22 19:51:41 fs nsca[15318]: Handling the connection...
Oct 22 19:51:42 fs nsca[15318]: SERVICE CHECK -> Host Name: 'backup.loomaaed.tartu.ee', Service Description: 'backup', Return Code: '0', Output: 'backup'
Oct 22 19:51:42 fs nsca[15318]: End of connection...
Oct 22 19:51:42 fs nagios3: EXTERNAL COMMAND: PROCESS_SERVICE_CHECK_RESULT;backup.loomaaed.tartu.ee;backup;0;backup
Oct 22 19:51:48 fs nagios3: PASSIVE SERVICE CHECK: backup.loomaaed.tartu.ee;backup;0;backup

nsca_send jaoks võiks sisendi konstrueerida varundamise protseduuri sooritav skript oma töö lõpus ise, aga kui kasutatakse Nagiose lisasid (mis tuleb siis paigaldada paigaldades paketi nagios-plugins-basic), siis võiks teisendada lisa väljundi nt selline skript

#!/bin/bash
....

if test "$varundamise_tulemus" = 'OK'; then
code=0
else
code=2

fi

echo -e "backup.loomaaed.tartu.ee\tbackup\t$code\tbackup tulemus" | send_nsca -c /etc/send_nsca.cfg -H nagios.loomaaed.tartu.ee -p 5667

===Apache seadistus===

<Directory /usr/local/www/nagios>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Directory>

<Directory /usr/local/www/nagios/cgi-bin>
Options ExecCGI
</Directory>

ScriptAlias /nagios/cgi-bin/ /usr/local/www/nagios/cgi-bin/
Alias /nagios/ /usr/local/www/nagios/

Selline virtualhost toimib küll vaid bsd peal. Erinevates distrotes on rajad failideni teised. Üldiselt peale installi öeldakse kus kaustas Nagiose cgi veebiliides asub.

===Nagiose veebipõhise haldusliidese ettevalmistamine===

Veebiliidese kasutuselevõtuks tuleb seadistada Apache virtuaalhost ja kasutada Nagiosega ühenduseks nt seadistusnäiteid failist nagios3/apache.conf.

Tulemusena saab kasutajana nagiosadmin ja näidatud parooliga haldusliidesesse logida

[[Pilt:Debian-nagios-1.gif]]

kust on näha, et

* jälgitakse kahte arvutit, vaikelüüsi ja seda arvutit ennast, kus Nagios töötab
* arvutis jälgitakse kuut parameetrit

Haldusliidesest Nagiose juhtimiseks tuleb Nagios seadistada kuulama nn väliseid korraldusi. Selleks peab nagios.cfg failis sisalduma rida

check_external_commands=1

Failisüsteemis on enne

# ls -ld /var/lib/nagios3/rw /var/lib/nagios3
drwxr-x--- 4 nagios nagios 4096 Oct 22 00:19 /var/lib/nagios3
drwx------ 2 nagios www-data 4096 Jul 2 12:37 /var/lib/nagios3/rw

Korraldused

# dpkg-statoverride --update --add nagios www-data 2710 /var/lib/nagios3/rw
# dpkg-statoverride --update --add nagios nagios 751 /var/lib/nagios3

Pärast

# ls -ld /var/lib/nagios3/rw /var/lib/nagios3
drwxr-x--x 4 nagios nagios 4096 Oct 22 00:19 /var/lib/nagios3
drwx--s--- 2 nagios www-data 4096 Jul 2 12:37 /var/lib/nagios3/rw

====Mallide kirjeldamine====

Nagiose mallidele vastavad objektid on kirjeldatud kahes failis, arvutitele vastav mall:

# cat /etc/nagios3/conf.d/generic-host.cfg
define host {
name generic-host ; The name of this host template
notifications_enabled 1 ; Host notifications are enabled
event_handler_enabled 1 ; Host event handler is enabled
flap_detection_enabled 1 ; Flap detection is enabled
failure_prediction_enabled 1 ; Failure prediction is enabled
process_perf_data 1 ; Process performance data
retain_status_information 1 ; Retain status information across program restarts
retain_nonstatus_information 1 ; Retain non-status information across program restarts
check_command check-host-alive
max_check_attempts 10
notification_interval 0
notification_period 24x7
notification_options d,u,r
contact_groups admins
register 0 ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL HOST, JUST A TEMPLATE!
}

ja teenustele vastav mall:

define service {
name generic-service ; The 'name' of this service template
active_checks_enabled 1 ; Active service checks are enabled
passive_checks_enabled 1 ; Passive service checks are enabled/accepted
parallelize_check 1 ; Active service checks should be parallelized (disabling this can lead to major performance problems)
obsess_over_service 1 ; We should obsess over this service (if necessary)
check_freshness 0 ; Default is to NOT check service 'freshness'
notifications_enabled 1 ; Service notifications are enabled
event_handler_enabled 1 ; Service event handler is enabled
flap_detection_enabled 1 ; Flap detection is enabled
failure_prediction_enabled 1 ; Failure prediction is enabled
process_perf_data 1 ; Process performance data
retain_status_information 1 ; Retain status information across program restarts
retain_nonstatus_information 1 ; Retain non-status information across program restarts
notification_interval 0 ; Only send notifications on status change by default.
is_volatile 0
check_period 24x7
normal_check_interval 2
retry_check_interval 1
max_check_attempts 3
notification_period 24x7
notification_options w,u,c,r
contact_groups admins
register 0 ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL SERVICE, JUST A TEMPLATE!
}

kus

* mallidel on nimed, mida saab teenuste kirjeldustes kasutada, vastavalt generic-host ja generic-service
* mallidega on seostatud kontaktigrupp, admins

===Alternatiiv===

Kui põhiline on saada teada, et mõni üksik ruuter katki, siis pole vaja alati ka Nagiose kogu enda keerukusega peale panna ja kõige lihtsam on panna järgnev käsk crontabi:

/bin/ping -nqc 4 TARTU_RUUTER > /dev/null 2>&1 || /bin/echo 'Oluline Ruuter
MAAS!!!' | /usr/bin/mail -s 'Tln-Trt maas' TEHTOE_NUMBER@sms.emt.ee
ADMINI_NUMBER@sms.emt.ee katk@zoo.edu.ee

See pingiks 4 korda ja saadaks teated välja, kui ping läbi ei käinud,
mis ongi ju enamvähem kõik, mis vaja. Lingi üles tulekut võib juba
kontrollida käsitsi või graafikutest.

===Lingid===

http://kuutorvaja.eenet.ee/wiki/Nagiose_kasutamine_Debian_Lenniga

https://wiki.itcollege.ee/index.php/LAMP_monitooring_Nagiose_abil

https://wiki.itcollege.ee/index.php/Nagios

Firehol

2018-07-23T19:58:49Z

Erkko: fck

===Sissejuhatus===

Sageli on vaja linux masinatele luua keerukamaid tulemüüre. Iptables on selleks aga enda keeruka süntaksiga üsnagi ebamugav. Raske on suurema tulemüüri reegleid lugeda ja nende muutmine nõuab
põhjalikumalt süntaksi tundmist ja tähelepanelikku jälgimist.

Seetõttu on loodud iptablesi/netfiltri seadistamist hõlbustav tarkvara FireHOL. Tegemist on minimalistliku tarkvaraga mise ei nõua apache/php-d ega X-aknaid ja tema enda konf on maksimaalselt inimloetav. Oma süntaksilt meenutab FireHOL ehk kõige rohkem OpenBSD packet filtrit.

Tegemist on ka kontrollkihiga reeglite ja kasutaja ees. Ehk siis kogemata tehtud näpuviga
ei hävita hoobilt kogu võrguühendust. Fireholi näol wrapper suudab vigase süntaksi tagasi tõrjuda enne kui iptablesi käskudeks selle moondab.

*https://firehol.org/ Ametlik koduleht

===Paigaldamine===

Fireholi kasutamiseks on vajalik, et kernelis asuks iptablesi tugi.

Networking --->
Networking options --->
[*] Network packet filtering (replaces ipchains) --->
Core Netfilter Configuration --->
<*> Netfilter Xtables support (required for ip_tables)

Firehol install näiteks gentool toimub käsuga

# emerge firehol

ja et ta ka teenusena arvuti käivitamisel stardiks stardiks

# rc-update add firehol default

Debianis installiks

# sudo apt-get install firehol

seadistusfail asub kaustas '''/etc/firehol''' nimega '''firehol.conf'''

Üldiselt teeb firehol moodulite laadimist automaatselt, st. kui ütled talle konfis, et "server ftp accept" siis üritab ta ip_conntrack_ftp moodulit sisse imeda ja tekitab vajalikud reeglid:

===Kasutamine===

Näide tavalise LAMP veebiserveri '''firehol.conf''' seadistusest:

#!/bin/bash

version 5

interface "eth0" internet src not "${UNROUTABLE_IPS}"
policy drop
server "http https icmp ssh" accept
client "dns smtp icmp ntp" accept

#interface real defineerime mis võrgukaarti hakkame seadistama, hetkel võrgukaarti eth0 ja blokeerime kõik unroutable ip'd ehk siis näiteks sisevõrguaadressid jms.
#policy reaga vaikimisi kõik paketid blokeeritakse.
#'''server''' reaga lubame väljaspoolt internetist ligi teenustele: http, https, icmp ja ssh
#'''client''' reaga lubame serverist endast väljaspoole internetti dns, smtp, icmp ja ntp päringud
Täpsemat nimekirja kõigist teenustest, mida firehol vaikimisi toetab, näeme aadressil http://firehol.sourceforge.net/services.html

Peale seadistusfaili muutmist tuleb muudatuste aktiveerimiseks käivitada süsteemis käsk

# firehol try

peale mida kontrollitakse reegleid ja küsitakse yes/no küsimusi
enne reeglite aktiveerimist, mis võivad osutuda vahel kasulikuks, et mitte jääda nö. ukse taha :)

Võimalik on loodud reegleid ka lihtsalt kontrollida nt süntaksi osas käsuga

# firehol test firehol.conf

Pakettide blokeerimise asemel on viisakas mittesobivad pigem reject'ida,
et saatjal ei tekiks timeout'i. Selleks tuleb

policy drop

asemel kirjutada

policy reject

Olles mitte paranoiline, võib kirjutada ka

client all accept

lubades kõik väljuva liikluse

Näiteks Gentool võiks '''emerge --sync''' toimimiseks ja softi uuendamiseks lisada ka

client "http ftp rsync" accept

Muutujate kasutamine, keelame eth0 pealt mysqlile ligipääsu mujalt kui kahest võrgust kus asuvad programmeerijad. Selleks tekitame muutuja PROGEJAD, kuhu paigutame kaks C klassi ning kasutame seda hiljem reeglite sektsioonis.

PROGEJAD="193.40.0.0/24 192.168.0.0/24"

interface "eth0" internet
...
client "mysql" accept dst "${PROGEJAD}"

Kui soovime keelata ssh välisvõrgust ja lubada vaid sisevõrgust, tuleks konf teha selliselt:

#!/bin/bash

version 5

asutuse_kontor="192.168.1.0/25"

interface "eth0" internet src not "${UNROUTABLE_IPS}"
policy drop
server "http https icmp" accept
server "ssh" accept src "${asutuse_kontor}"
client "dns smtp icmp ntp" accept

Kui vahel on vaja avada mõne vähemtuntud teenuse port firehol'ile, võib kasutada custom käsku

server custom shoutcast tcp/8000 default accept

Selle peale avatakse tcp port 8000 nimega shoutcast default portidelt. Default asemel võib defineerida ka kindla pordi-vahemiku.

Soovides avada terve portide vahemik tuleks teenus aga defineerida järgnevalt

server_XXX_ports="tcp/7000:8000"

Firehol on samas üsna paindlik, lubades otse konfi lisada ka iptables ridu

Näiteks lisame sinna rea

DB="192.168.1.100"
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 3306 -j DNAT --to-destination ${DB}:3306

Selle reaga suunatakse kõik sisevõrgus tehtud ühenduskatsed pordile 3306 (mysql server)
ümber masinale 192.168.1.100. Nagu märkasite saab kasutada iptables käskudes ka muutujaid firehol'i konfis. Lihtsam on muidugi alati kasutada võimaluse korral FireHOLi enda süntaksit, näiteks ülal toodud iptables näide oleks lahendatav

dnat to "${DB}:33066" proto tcp dcport 3306 dst "${NW}"

DDOS rünnaku vastu saab kasutada mõningaid abivahendeid, nagu näiteks protection

protection strong 200/sec 100

Võimalik on veel strong, full or all. Seega, kui 200 sekundi jooksul tuleb ühest allikast rohkem kui 100 päringut, siis pannakse kliendile peale blokeering.

Soovides mingeid IP'sid permanentselt blokeerida, siis

blacklist all <ip aadress>

Aadresse võib kirjutada ka mitmeid, eraldades nad teineteisest tühikuga

Reegleid näeb kirjutades

iptables -L

Hea ülevaatlik käsk on ka

firehol status

Loodud ühendusi näeb kõige lihtsamalt /proc/net/ip_conntrack failist

cat /proc/net/ip_conntrack

Kõiki fireholi reeglite käske näeb ametlikust manualist manualis http://firehol.sourceforge.net/commands.html
seal leidub veel hulga huvitavaid ja kasulikke nippe

Kui on vaja millegipärast muutma RESERVED ip aadresse nt võetakse mõni uus ip blokk kasutusse
tuleb tekitada lihtsalt firehol kausta fail RESERVED_IPS uue sisuga

FireHOLi üheks puuduseks on see, et kui tegemist paljude võrkudega ja need võrgud on erineva poliitikaga. Näiteks ühel võrgul on default=deny, teistel default=permit. Fireholi sellist lahendust kahjuks ei toeta.

===Näidiskonf: Kodune tulemüür koos NAT'iga===

konfiguratsioon koduseks ruuteriks millel kaks võrgukaarti ja sisemisele toimib NAT. Väliselt on lubatud sisse vaid ssh port. Eth0 on väline kaart mis yhendatud internetiallikaga, näiteks ADSL modem, ning eth1 sisevõrku ühendatud.

# snat to AVALIK_IP outface eth0 src 192.168.1.0/24
# see tekitab sisevõrgu 192.168.1.0/24 jaoks NATi, pannes väljuvate pakettide päritoluks avaliku IP aadressi.

# Välisvõrgust lubame sisse ainult ssh ja välja lubame kõik
interface "eth0" Internet
protection strong
server "ssh" accept
client all accept

# Sisevõrgul lubame kõik liikluse
interface "eth1" LAN
policy accept
client all accept

# teeme NAT'i välisvõrgust sisevõrku
router lan2internet inface "eth1" outface "eth0"
client all accept
route all accept
masquerade #staatilise IP puhul vaja kasutada snati ja see eemaldada (snat väärtus välja-kommenteeritud üleval pool)

Ülalolevat teksti tähelepanelikult lugenule peaksid olema kõik read juba tuttavad. Uueks infoks on route all accept'i ja masquerade mis lülitavad "lan2internet" blokis sisse NATimise.

Oluline vahe on sellel, et kas teha maskeraadi või SNATi. Peamiselt seetõttu, et maskeraad on serverile töömahukam, kuna selle puhul kontrollitakse iga paketi korral väljuva võrguseadme IP aadressi. Seepärast tasub staatilise IP aadressi korral eelistada SNATi.

===Pordi suunamine===

Välise kaardi eth0 pealt suuname 8080 pordi sisemisele masinale 10.0.0.67 porti 80

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to-destination 10.0.0.67:80

===Logimine===

Failis /var/log/messages näeb erinevaid ebatavalisi ja FireHOLi poolt blokeeritud ühendusi. Soovitatav on syslogi abil filtreerida fireholi teated eraldi logisse. Logimise enda ulatust saab muuta reaga FIREHOL_LOG_LEVEL. Näiteks seadistades selle:

FIREHOL_LOG_LEVEL="7"

Minemaloobitud pakettide edetabelit näeb järgneva käsuga

# grep 'NEW TCP w/o SYN' /var/log/messages | cut -d \ -f 11 | sort | uniq -c | sort -n

* http://blog.shadypixel.com/log-iptables-messages-to-a-separate-file-with-rsyslog/

===Sanewall ja icmpv6===

Probleem seisneb selles, et icmpl on ipv6 all mustmiljon alamprotokolli. Kõige lihtsam oleks panna need kõik lahti. See pole rfc soovitustega küll kooskõlas aga töötaks. Sanewall õnnetuseks ainult ei lase steitlessina neid lahti teha.

Seepärast tundub, et sanewallis tuleb ipv6 icmp lubamiseks 2013 seisuga teha midagi järgnevat:

rules_icmpv6_stateless() {
local mychain="${1}"; shift
local type="${1}"; shift
local in=in out=out
[ "${type}" = "client" ] && in=out && out=in
rule ${in} action "$@" chain "${in}_${mychain}" proto icmpv6 || return 1
rule ${out} reverse action "$@" chain "${out}_${mychain}" proto icmpv6 || return 1
return 0
}

server "icmp icmpv6_stateless" accept

===Lingid===

http://firehol.sourceforge.net/commands.html?#protection

http://www.shorewall.net/ alternatiivne fireholi sarnane vahend

http://firehol.sourceforge.net/commands.html?#protection Lisaks erinevad piirangud ja kaitsed

===Probleemid===

Kui firehol teatab "cannot find your current kernel configuration.", siis on tegemist
põhiliselt hoiatusega ning seda teadet võib ignoreerida.

Firehol

2018-07-23T19:56:53Z

Erkko: krijaveda

===Sissejuhatus===

Sageli on vaja linux masinatele luua keerukamaid tulemüüre. Iptables on selleks aga enda keeruka süntaksiga üsnagi ebamugav. Raske on suurema tulemüüri reegleid lugeda ja nende muutmine nõuab
põhjalikumalt süntaksi tundmist ja tähelepanelikku jälgimist.

Seetõttu on loodud iptablesi/netfiltri seadistamist hõlbustav tarkvara FireHOL. Tegemist on minimalistliku tarkvaraga mise ei nõua apache/php-d ega X-aknaid ja tema enda konf on maksimaalselt inimloetav. Oma süntaksilt meenutab FireHOL ehk kõige rohkem OpenBSD packet filtrit.

Tegemist on ka kontrollkihiga reeglite ja kasutaja ees. Ehk siis kogemata tehtud näpuviga
ei hävita hoobilt kogu võrguühendust. Fireholi näol wrapper suudab vigase süntaksi tagasi tõrjuda enne kui iptablesi käskudeks selle moondab.

*https://firehol.org/ Ametlik koduleht

===Paigaldamine===

Fireholi kasutamiseks on vajalik, et kernelis asuks iptablesi tugi.

Networking --->
Networking options --->
[*] Network packet filtering (replaces ipchains) --->
Core Netfilter Configuration --->
<*> Netfilter Xtables support (required for ip_tables)

Firehol install näiteks gentool toimub käsuga

# emerge firehol

ja et ta ka teenusena arvuti käivitamisel stardiks stardiks

# rc-update add firehol default

Debianis installiks

# sudo apt-get install firehol

seadistusfail asub kaustas '''/etc/firehol''' nimega '''firehol.conf'''

Üldiselt teeb firehol moodulite laadimist automaatselt, st. kui ütled talle konfis, et "server ftp accept" siis üritab ta ip_conntrack_ftp moodulit sisse imeda ja tekitab vajalikud reeglid:

===Kasutamine===

Näide tavalise LAMP veebiserveri '''firehol.conf''' seadistusest:

#!/bin/bash

version 5

interface "eth0" internet src not "${UNROUTABLE_IPS}"
policy drop
server "http https icmp ssh" accept
client "dns smtp icmp ntp" accept

#interface real defineerime mis võrgukaarti hakkame seadistama, hetkel võrgukaarti eth0 ja blokeerime kõik unroutable ip'd ehk siis näiteks sisevõrguaadressid jms.
#policy reaga vaikimisi kõik paketid blokeeritakse.
#'''server''' reaga lubame väljaspoolt internetist ligi teenustele: http, https, icmp ja ssh
#'''client''' reaga lubame serverist endast väljaspoole internetti dns, smtp, icmp ja ntp päringud
Täpsemat nimekirja kõigist teenustest, mida firehol vaikimisi toetab, näeme aadressil http://firehol.sourceforge.net/services.html

Peale seadistusfaili muutmist tuleb muudatuste aktiveerimiseks käivitada süsteemis käsk

# firehol try

peale mida kontrollitakse reegleid ja küsitakse yes/no küsimusi
enne reeglite aktiveerimist, mis võivad osutuda vahel kasulikuks, et mitte jääda nö. ukse taha :)

Võimalik on loodud reegleid ka lihtsalt kontrollida nt süntaksi osas käsuga

# firehol test firehol.conf

Pakettide blokeerimise asemel on viisakas mittesobivad pigem reject'ida,
et saatjal ei tekiks timeout'i. Selleks tuleb

policy drop

asemel kirjutada

policy reject

Olles mitte paranoiline, võib kirjutada ka

client all accept

lubades kõik väljuva liikluse

Näiteks Gentool võiks '''emerge --sync''' toimimiseks ja softi uuendamiseks lisada ka

client "http ftp rsync" accept

Muutujate kasutamine, keelame eth0 pealt mysqlile ligipääsu mujalt kui kahest võrgust kus asuvad programmeerijad. Selleks tekitame muutuja PROGEJAD, kuhu paigutame kaks C klassi ning kasutame seda hiljem reeglite sektsioonis.

PROGEJAD="193.40.0.0/24 192.168.0.0/24"

interface "eth0" internet
...
client "mysql" accept dst "${PROGEJAD}"

Kui soovime keelata ssh välisvõrgust ja lubada vaid sisevõrgust, tuleks konf teha selliselt:

#!/bin/bash

version 5

asutuse_kontor="192.168.1.0/25"

interface "eth0" internet src not "${UNROUTABLE_IPS}"
policy drop
server "http https icmp" accept
server "ssh" accept src "${asutuse_kontor}"
client "dns smtp icmp ntp" accept

Kui vahel on vaja avada mõne vähemtuntud teenuse port firehol'ile, võib kasutada custom käsku

server custom shoutcast tcp/8000 default accept

Selle peale avatakse tcp port 8000 nimega shoutcast default portidelt. Default asemel võib defineerida ka kindla pordi-vahemiku.

Soovides avada terve portide vahemik tuleks teenus aga defineerida järgnevalt

server_XXX_ports="tcp/7000:8000"

Firehol on samas üsna paindlik, lubades otse konfi lisada ka iptables ridu

Näiteks lisame sinna rea

DB="192.168.1.100"
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 3306 -j DNAT --to-destination ${DB}:3306

Selle reaga suunatakse kõik sisevõrgus tehtud ühenduskatsed pordile 3306 (mysql server)
ümber masinale 192.168.1.100. Nagu märkasite saab kasutada iptables käskudes ka muutujaid firehol'i konfis. Lihtsam on muidugi alati kasutada võimaluse korral FireHOLi enda süntaksit, näiteks ülal toodud iptables näide oleks lahendatav

dnat to "${DB}:33066" proto tcp dcport 3306 dst "${NW}"

DDOS rünnaku vastu saab kasutada mõningaid abivahendeid, nagu näiteks protection

protection strong 200/sec 100

Võimalik on veel strong, full or all. Seega, kui 200 sekundi jooksul tuleb ühest allikast rohkem kui 100 päringut, siis pannakse kliendile peale blokeering.

Soovides mingeid IP'sid permanentselt blokeerida, siis

blacklist all <ip aadress>

Aadresse võib kirjutada ka mitmeid, eraldades nad teineteisest tühikuga

Reegleid näeb kirjutades

iptables -L

Hea ülevaatlik käsk on ka

firehol status

Loodud ühendusi näeb käige lihtsamalt /proc/net/ip_conntrack failist

cat /proc/net/ip_conntrack

Kõiki fireholi reeglite käske näeb ametlikust manualist manualis http://firehol.sourceforge.net/commands.html
seal leidub veel hulga huvitavaid ja kasulikke nippe

Kui on vaja millegipärast muutma RESERVED ip aadresse nt võetakse mõni uus ip blokk kasutusse
tuleb tekitada lihtsalt firehol kausta fail RESERVED_IPS uue sisuga

FireHOLi üheks puuduseks on see, et kui tegemist paljude võrkudega ja need võrgud on erineva poliitikaga. Näiteks ühel võrgul on default=deny, teistel default=permit. Fireholi sellist lahendust kahjuks ei toeta.

===Näidiskonf: Kodune tulemüür koos NAT'iga===

konfiguratsioon koduseks ruuteriks millel kaks võrgukaarti ja sisemisele toimib NAT. Väliselt on lubatud sisse vaid ssh port. Eth0 on väline kaart mis yhendatud internetiallikaga, näiteks ADSL modem, ning eth1 sisevõrku ühendatud.

# snat to AVALIK_IP outface eth0 src 192.168.1.0/24
# see tekitab sisevõrgu 192.168.1.0/24 jaoks NATi, pannes väljuvate pakettide päritoluks avaliku IP aadressi.

# Välisvõrgust lubame sisse ainult ssh ja välja lubame kõik
interface "eth0" Internet
protection strong
server "ssh" accept
client all accept

# Sisevõrgul lubame kõik liikluse
interface "eth1" LAN
policy accept
client all accept

# teeme NAT'i välisvõrgust sisevõrku
router lan2internet inface "eth1" outface "eth0"
client all accept
route all accept
masquerade #staatilise IP puhul vaja kasutada snati ja see eemaldada (snat väärtus välja-kommenteeritud üleval pool)

Ülalolevat teksti tähelepanelikult lugenule peaksid olema kõik read juba tuttavad. Uueks infoks on route all accept'i ja masquerade mis lülitavad "lan2internet" blokis sisse NATimise.

Oluline vahe on sellel, et kas teha maskeraadi või SNATi. Peamiselt seetõttu, et maskeraad on serverile töömahukam, kuna selle puhul kontrollitakse iga paketi korral väljuva võrguseadme IP aadressi. Seepärast tasub staatilise IP aadressi korral eelistada SNATi.

===Pordi suunamine===

Välise kaardi eth0 pealt suuname 8080 pordi sisemisele masinale 10.0.0.67 porti 80

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to-destination 10.0.0.67:80

===Logimine===

Failis /var/log/messages näeb erinevaid ebatavalisi ja FireHOLi poolt blokeeritud ühendusi. Soovitatav on syslogi abil filtreerida fireholi teated eraldi logisse. Logimise enda ulatust saab muuta reaga FIREHOL_LOG_LEVEL. Näiteks seadistades selle:

FIREHOL_LOG_LEVEL="7"

Minemaloobitud pakettide edetabelit näeb järgneva käsuga

# grep 'NEW TCP w/o SYN' /var/log/messages | cut -d \ -f 11 | sort | uniq -c | sort -n

* http://blog.shadypixel.com/log-iptables-messages-to-a-separate-file-with-rsyslog/

===Sanewall ja icmpv6===

Probleem seisneb selles, et icmpl on ipv6 all mustmiljon alamprotokolli. Kõige lihtsam oleks panna need kõik lahti. See pole rfc soovitustega küll kooskõlas aga töötaks. Sanewall õnnetuseks ainult ei lase steitlessina neid lahti teha.

Seepärast tundub, et sanewallis tuleb ipv6 icmp lubamiseks 2013 seisuga teha midagi järgnevat:

rules_icmpv6_stateless() {
local mychain="${1}"; shift
local type="${1}"; shift
local in=in out=out
[ "${type}" = "client" ] && in=out && out=in
rule ${in} action "$@" chain "${in}_${mychain}" proto icmpv6 || return 1
rule ${out} reverse action "$@" chain "${out}_${mychain}" proto icmpv6 || return 1
return 0
}

server "icmp icmpv6_stateless" accept

===Lingid===

http://firehol.sourceforge.net/commands.html?#protection

http://www.shorewall.net/ alternatiivne fireholi sarnane vahend

http://firehol.sourceforge.net/commands.html?#protection Lisaks erinevad piirangud ja kaitsed

===Probleemid===

Kui firehol teatab "cannot find your current kernel configuration.", siis on tegemist
põhiliselt hoiatusega ning seda teadet võib ignoreerida.

Nagios

2018-07-23T19:44:07Z

Erkko: ...

===Sissejuhatus===

===Nagiose tööpõhimõte===

Nagiose serveri ülesandeks on kontrollida võrgus töötavate arvutite (ingl. k. host) ja teenuste (ingl. k. service) seisukorda.

Arvutite ja teenuste seisukorda iseloomustavaid parameetreid võib jaotada lähtudes erinevatelt alustelt. Nt selle järgi, kas parameetrit kontrollitakse üle võrgu või lokaalsest arvutist

* kontrollitakse üle võrgu - veebileht, nimeserver
* kontrollitakse lokaalselt - arvutis töötavate protsesside arv, arvuti koormus (ingl. load), failisüsteemi täituvus, raid lülituse korrasolek

Lokaalse kontrolli korraldamiseks tuleb kontrollitavasse arvutisse paigaldada lisaks täiendavalt Nagiose tarkvara, üle võrgu kontrollimisel reeglina kontrollitavasse arvutisse ei tule midagi Nagiose-spetsiifilist lisada.

Teine võimalus on jaotus teha selle järgi, kes küsib või kes ütleb

* aktiivne kontroll - Nagiose server esitab teenustele kontrollpäringuid (nt veebileht, nimeserver)
* passiivne kontroll - Nagiose server kuulab teenuste raporteerimisi (nt varunduse õnnestumine)

Jällegi, passiivse kontrolli korraldamiseks tuleb kontrollitavasse arvutisse paigaldada lisaks täiendavalt Nagiose tarkvara, aktiivsel kontrollimisel reeglina kontrollitavasse arvutisse ei tule midagi Nagiose-spetsiifilist lisada.

===Vana sissejuhatus - vaja ümber teha===

Nagios on vabavara mis võimaldab jälgida teenuste ning serverite kättesaadavust. Toetab mitmesuguseid levinud teenuseid (SMTP, IMAP, HTTP, FTP, DNS) ning võimaldab seirata ka serveri "sisemist" infot, nagu koormus, kettamaht, protsesside arv jms) ja saata välja teavitusi süsteemide probleemide korral. Võimalik siduda mitmete muude tarkvaradega nagu Munin

Nagiosele on kirjutatud mitmeid lisasid, mis teevad halduri või administraatori elu tunduvalt lihtsamaks. Sellisteks mooduliteks on näiteks serverite võrgukaartide Bonding tugi, Cisco seadmete staatuste kogumine jt. Seadistamine on tehtud lihtsamaks mallide olemasoluga. Nimelt võib defineerida ära esmalt soovitava üldmalli ja seejärel seda direktiivina kasutada teistes seadistustes. Sedasi hoiab administraator oma loodud koodi puhtana ja ülevaatlikumana ja asju lisada on mugavam.

Kui vaadata nõudeid, mis Nagios seab riistvarale, siis on ainukeseks nõudeks, et serveril oleks
C kompilaator. Nagiose töötamiseks pole otseselt vaja isegi veebiliidest ja saab kasutada sedavaid teavituste saatmiseks probleemide korral ja süsteemi normaalse töörütmi taastumise korral. Veebiliides on aga hea just igasuguse informatsiooni kuvamiseks kasutades selleks CGI skripte.

Plussid Nagiose kasutamisel:

* vaba tarkvara;
* palju kontrollimismehhanisme nii teenuste kui riistvara jaoks;
* teavitamine vigadest ja teenuse taastumisest;
* võrguhierarhia määramise võimalus;
* paralleelsed kontrollid;
* lihtne lisada jälgitavaid teenuseid või seadmeid;
* hea dokumentatsioon ja palju õpetussõnu veebis;
* kiire arendus;
* paljud lisaprogrammid integreeritavad.

===Nagios install===

====FreeBSD====
FreeBSD süsteemis tuleb anda käsud

cd /usr/ports/net-mgmt/nagios && make install clean
cd /usr/ports/net-mgmt/nagios-plugins && make install clean

Viimati tuli veel teha mailisaatmiseks FreeBSD's selline rats, et linkida mail /bin alla

ln -s /usr/bin/mail /bin/mail

===Gentoo===

TODO

===Debian===

Nagiose serveri paigaldamine

Debiani paketihaldus sisaldab Nagios http://www.nagios.org/ versioon 3.0.x tarkvara, paigaldamiseks sobib öelda

# apt-get install nagios3 nagios3-doc

nagios3-doc sisaldab muu seas HTML kujul dokumentatsiooni kataloogis /usr/share/nagios3/htdocs.

Veebipõhise haldusliidese kasutaja ligipääsu tekitamiseks sobib öelda

# dpkg-reconfigure nagios3-common

ja dialoogides jääda vaikeväärtuste juurde, näidata parool.

Täpsemat juttu hetkel leiab

*http://kuutorvaja.eenet.ee/wiki/Nagiose_kasutamine_Debian_Lenniga

===Seadistame Nagiose===

Nagiose tööd juhib põhiline seadistusfail nagios.cfg ning sellest failis viidatud muud seadistusfailid. Nagiose seadistamisel kirjeldatakse ära hulk erinevaid objekte

* host - jälgitav arvuti või võrguseade (nt vaikelüüs)
* service - jälgitav teenus (nt veebileht)
* command - kontrollkäsk, mis jälgib teenust
* hostgroup - hulk jälgitavaid arvuteid
* servicegroup - hulk jälgitavaid teenuseid
* contact - kontakt, kellele saadetakse teatud sündmuse toimumise kohta teade
* contactgroup - hulk kontakte

Seejuures tehniliselt ei ole oluline, kas objektide kirjeldused asuvad ühes failis või mitmes failis, mis omakorda võivad asuda mitmes kataloogis. Siiski, sõltuvalt monitooringuülesandest on reeglina praktiline jagada objektid mitmete failide vahel. Gruppide kasutamine võimaldab kirjeldada objekte abstraktsemalt, mis praktiliselt lihtsustab Nagiose seadistuste kirjutamist.

_____ Nagiose server
| |
|_____|
|
|
-|---------|----------|----....---|----------|
| | | |
__|__ __|__ __|__ __|__
| | | | | | | |
|_____| |_____| |_____| |_____|

ruuter www mail dns

Meil on kolm masinat mida vaja jälgida. Ruuter, veebiserver ja mailiserver.
Me soovime, et kõiki neid kolme Nagios pingiks iga viie minuti tagant ning kui üks masin juhtub
maas olema siis teavitame sellest mailiaadressile kasutaja@domeen.ee

Serverite ip aadressid

*kontori ruuter '''192.168.1.10'''

*veebiserver veebiserver.domeen.ee '''192.168.1.11'''

*mailiserver mailiserver.domeen.ee '''192.168.1.12'''

*nimeserver dns.domeen.ee '''192.168.1.13'''

Vaja on tekitada kokku 3 seadistusfaili

# '''hosts.cfg''' seadmed-serverid-arvutid
# '''services.cfg''' erinevat liiki kontrollid-testid
# '''contacts.cfg''' kasutajad-kasutajagrupid

Eesimesena on vaja defineerida hosts.cfg failis kõik neli seadet

'''hosts.cfg'''

# Defineerime mõned väärtused mis vaikimis seadistame kõigile masinatele
define host{
name linux-server
use generic-host
check_period 24x7
max_check_attempts 10
check_command check-host-alive
notification_period workhours
notification_interval 120
notification_options d,u,r
contact_groups admins
register 0
}

#ruuter
define host{
use linux-server
host_name ruuter
alias ISP Ruuter
address 192.168.1.10
parents localhost
contact_groups Helpdesk
}

#veebiserver
define host{
use linux-server
host_name veebiserver.domeen.ee
alias veebiserver asutusele
address 192.168.1.11
parents localhost
contact_groups Helpdesk
}

#mailiserver
define host{
use linux-server
host_name mailiserver.domeen.ee
alias sisevõrgu mailiserver
address 192.168.1.12
parents localhost
contact_groups Helpdesk
}

#nimeserver
define host{
use linux-server
host_name dns.domeen.ee
alias nimeserver
address 192.168.1.13
parents localhost
contact_groups Helpdesk
}

contact_groups on korrektselt vajalik paika panna hostide juures kuna sinna
hakatakse saatma teateid hosti maasoleku kohta

Nüüd defineerime kontrollid mida tehakse serveritele.
Tekitame service kirje mis pingib kõiki kolme masinat. Ruuterit, veebiserverit ja mailiserverit
ning teavitab probleemide korral kontaktgruppi helpdesk

'''services.cfg'''

define service{
use local-service
host_name '''ruuter, veebiserver.domeen.ee, mailiserver.domeen.ee, dns.domeen.ee'''
service_description PING
check_command check_ping!100.0,20%!500.0,60%
contact_groups helpdesk
}

Lõpuks tekitame kolmanda faili kus kirjas kontaktid keda teavitatakse mõne seadme maasolekul.

Loome kontakti helpdesk mailiga '''kasutaja@domeen.ee''' ning lisame selle kontaktgruppi Helpdesk

Hea nipp on luua mobiilioperaatori juures endale aadress kasutaja@mail.operaator.ee
millele suunatud kirjad lähevad mobiilile sms'ina, maksab see enamasti 25.- kuus ning
võimaldab operatiivselt kriitilist infot saada.

'''contacts.cfg'''

define contact{
contact_name kasutaja
alias Infohuviline isik
service_notification_period 24x7
host_notification_period 24x7
service_notification_options u,c,r
host_notification_options d,r
service_notification_commands notify-by-email
host_notification_commands host-notify-by-email
email '''kasutaja@domeen.ee'''
}

define contactgroup{
contactgroup_name helpdesk
alias IT Helpdesk
members kasutaja
}

Ja viimaks lisame faili
'''nagios.cfg''' järgnevad read, et Nagios meie tekitatud konfiguratsiooni kasutaks

cfg_file=/usr/local/etc/nagios/hosts.cfg
cfg_file=/usr/local/etc/nagios/services.cfg
cfg_file=/usr/local/etc/nagios/contacts.cfg

Linuxi puhul on rajad /etc/nagios/

Ning võime anda käsud

/usr/local/etc/rc.d/nagios start

või linuxis

/etc/init.d/nagios start

Et suurendada Nagiose töökindlust võiks paigaldada serverile ka oma nimeserveri.

===Nagiose pluginad===
====Mail delivery====

Mailiserveri töö kontrolli korraldamine on keerukam. Nagiose kaasasolevad vahendeid
võimaldavad kontrollida vaid lihtsamaid portide /teenuste ülevaolekuid ja vastuseid, mailisüsteem
on samas enamuses asutuses keerukas ja mitmetest serveritest koosnev kooslus.

Plugin mis järgnevalt äratoodud saadab emaili serverile ning seejärel logib imapiga
kasutajaga mailikontole test ning kontrollib kas email on saabunud.

Vaja tirida ja paigaldada vastav plugin selleks aadressilt

http://apricoti.pbwiki.com/NagiosCheckEmailDelivery

Selle sõltuvusteks on vaja installida mõned perli moodulit mis tehtavad kenasti cpani installeri abiga
cpan -i Mail::IMAPClient

Seejärel on vaja defineerida command.

define command {
command_name check_delivery_mail
command_line $USER1$/check_email_delivery -H mail.domeen.ee --mailto test@mail.domeen.ee --mailfrom nagios@nagios.domeen.ee /
--username test --password parool --libexec $USER1$ --wait 10 --warning 600 --critical 1200
}

Ning seejärel kontrollimine.

define service{
use generic-service
host_name mail.domeen.ee
service_description DELIVERY_mail
check_command check_delivery_mail
max_check_attempts 5
contact_groups helpdesk
}

====check_by_ssh====

check_by_ssh on mõeldud skriptide käivitamiseks eemalolevas arvutis.

Näiteks võib tekkida soov tulemüüris olles pingida vpn otspunkte, mida Nagiose serverist teha aga ei saa.

Esiteks tuleb genereerida ssh-keygeniga võti ja paigaldada see teise arvuti
nagios kasutaja alla. Siis paigaldame arvutile, kus soovime skripte käivitada /usr/ports/net-mgmt/nagios-plugins/ paketi.

Defineerime konfi käsu.

define command {
command_name check_ping_tunnel_ssh
command_line $USER1$/check_by_ssh -H $HOSTADDRESS$ -C \
'/usr/local/libexec/nagios/check_ping -H $ARG1$ -w 500.0,20% -c 2000.0,60% -p 5'
}

Testimiseks

# /usr/local/libexec/nagios/check_ping -H 192.168.2.10 -w 500.0,20% -c 2000.0,60% -p 5
PING WARNING - Packet loss = 20%, RTA = 7.56 ms|rta=7.563000ms;500.000000;2000.000000;0.000000 pl=20%;20;60;0

Tekitame teenuse

define service {
use service
host_name tulemyyr
service_description Current Load
check_command check_http_content!"192.168.5.14"
}

====PostgreSQL====

Aadressil http://bucardo.org/wiki/Check_postgres jagatakse Nagiose kontrollskripti, mis võimaldab muuhulgas

* küsida suurima tabeli või indeksi suurust

$ perl check_postgres.pl -H pg.loomaaed -u postgres --db=loobdb --action=relation_size --critical='6000 MB' --warning='4000 MB' \
--showperf=0 --perflimit=1
POSTGRES_RELATION_SIZE OK: DB "loobdb" (host:pg.loomaaed) largest relation is table "koduloomad.vigastused": 3001 MB

Seejuures esitatakse andmebaasile selline päring

BEGIN;SET statement_timeout=30000;COMMIT;SELECT pg_relation_size(c.oid), pg_size_pretty(pg_relation_size(c.oid)), relkind, relname, nspname \
FROM pg_class c, pg_namespace n WHERE (relkind = 'r' OR relkind = 'i') AND n.oid = c.relnamespace ORDER BY 1 DESC LIMIT 1

====Smartmontools====

Kõvaketta temperatuuri jälgimiseks sobib kasutada nt sellist järgnevust

* moodustada jälgitavasse arvutisse skript

# cat /root/system/hddtemp.sh
#!/bin/bash

c_aeg=`date +%s`
temp=`/usr/sbin/smartctl -A /dev/$1 | grep Temperature_Celsius | awk {'print $10'}`
echo $temp $c_aeg > /tmp/hddtemp_$1.txt

mis kutsutakse välja arvuti juurkasutaja crontabist reaga

*/2 * * * * /root/system/hddtemp.sh sda

Tulemusena moodustatakse igal minutil uus fail /tmp/hddtemp_sda.txt sisuga

# cat /tmp/hddtemp_sda.txt
33 1280078281

kus

* 33 - temperatuur kraadides Celsiust
* 1280078281 - timestamp, mis on vajalik veendumaks, et kasutatakse uuendatud temperatuuri väärtust

* moodustada Nagiose plugin check_hddtemp

# cat /usr/lib/nagios/plugins/check_hddtemp
#!/bin/bash

temp=`cat /tmp/hddtemp_$1.txt | cut -d " " -f 1`;
ts=`cat /tmp/hddtemp_$1.txt | cut -d " " -f 2`;

c_aeg=`date +%s`
aeg_kolme_minuti_eest=$(($c_aeg - 180));

if [ $temp -lt $2 -a $ts -gt $aeg_kolme_minuti_eest ]; then
echo "TEMP OK - temp: $temp;| temp=$temp";
exit 0;
else
echo "TEMP CRITICAL - temp: $temp;| temp=$temp";
exit 2;
fi

* kirjeldada monitooritava arvuti nrpe agendis seadistusfailis /etc/nagios/nrpe.cfg check_hddtemp kontrollid, nt

# riistvara
command[check_hddtemp_sda]=/usr/lib/nagios/plugins/check_hddtemp sda 35
command[check_hddtemp_sdb]=/usr/lib/nagios/plugins/check_hddtemp sdb 38
command[check_hddtemp_sdc]=/usr/lib/nagios/plugins/check_hddtemp sdc 35

* kirjeldada Nagiose serveris vastavat kontrollid, nt sektsiooniga

define service {
host_name failiserver.loomaaed
service_description hddtemp_sda
check_command check_nrpe_1arg!check_hddtemp_sda
use generic-service
}

===Ipv6 aadresside monitoorimine===

Paljudel kaasasolevatel Nagiose utiliitidel on ipv6 tugi ka juba olemas. Näiteks
soovides pingida ühte ainult ipv6 aadressi omavat hosti võib teha
täiesti tavalise seadmekirje millele lisada ipv6 aadressi
ning siis defineerida järgneva käsk.

define command{
command_name check_ping6
command_line $USER1$/check_ping -6 -H $HOSTADDRESS$ -w 3000.0,80% -c 5000.0,100% -p 5
}

Kasutada saab seda tavapärasel moel nagu iga teist.

===Katsetamine===

Võime simuleerida mingi masina maasolekut. Piisab kui vastav reegel panna selleks tulemüüri mis blokeerib liikluse serverini
mida kontrollime. Logifaili '''/var/spool/nagios/nagios.log''' peaks tekkima read:

[1209129862] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;1;CRITICAL - Plugin timed out after 10 seconds
[1209129872] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;2;CRITICAL - Plugin timed out after 10 seconds
[1209129882] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;3;CRITICAL - Plugin timed out after 10 seconds
[1209129892] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;4;CRITICAL - Plugin timed out after 10 seconds
[1209129902] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;5;CRITICAL - Plugin timed out after 10 seconds
[1209129912] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;6;CRITICAL - Plugin timed out after 10 seconds
[1209129922] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;7;CRITICAL - Plugin timed out after 10 seconds
[1209129932] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;8;CRITICAL - Plugin timed out after 10 seconds
[1209129942] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;9;CRITICAL - Plugin timed out after 10 seconds
[1209129952] HOST ALERT: veebiserver.domeen.ee;DOWN;HARD;10;CRITICAL - Plugin timed out after 10 seconds
[1209129952] HOST NOTIFICATION: kasutaja;veebiserver.domeen.ee;DOWN;host-notify-by-email;CRITICAL - Plugin timed out after 10 seconds
[1209129952] SERVICE ALERT: veebiserver.domeen.ee;PING;CRITICAL;HARD;1;CRITICAL - Plugin timed out after 10 seconds

ning kasutaja peaks saama emaili Host DOWN alert for veebiserver.domeen.ee! sisuga

***** Nagios 2.10 *****

Notification Type: PROBLEM
Host: veebiserver.domeen.ee
State: DOWN
Address: 192.168.1.11
Info: CRITICAL - Plugin timed out after 10 seconds

Date/Time: Fri Apr 25 16:25:52 EEST 2008

Eemaldades reegli

[1209130370] HOST ALERT: veebiserver.domeen.ee;UP;HARD;1;PING OK - Packet loss = 0%, RTA = 4.09 ms
[1209130370] HOST NOTIFICATION: kasutaja;veebiserver.domeen.ee;UP;host-notify-by-email;PING OK - Packet loss = 0%, RTA = 4.09 ms
[1209130370] SERVICE ALERT: veebiserver.domeen.ee;PING;OK;SOFT;1;PING OK - Packet loss = 0%, RTA = 4.92 ms

Saabub email Host UP alert for veebiserver.domeen.ee!

***** Nagios 2.10 *****

Notification Type: RECOVERY
Host: veebiserver.domeen.ee
State: UP
Address: 192.168.1.11
Info: PING OK - Packet loss = 0%, RTA = 4.09 ms

Date/Time: Fri Apr 25 16:32:50 EEST 2008

===NSCA kasutamine===

NSCA (Nagios Service Check Acceptor, ingl. k. Nagiose teenuse kontrolli vastuvõtja) võimadab korraldada nn passiivseid kontrolle. Nii Nagiose serverisse kui kontrollitavasse arvutisse tuleb paigaldada nsca pakett öeldes

# apt-get install nsca

Tulemusena paigaldatakse muu hulgas

* /usr/sbin/nsca - NSCA deemon, töötab Nagiose serveris
* /etc/nsca.cfg - NSCA deemoni seadistusfail
* /usr/sbin/send_nsca - NSCA klient, millega saadetakse deemonile sõnumeid
* /etc/send_nsca.cfg - NSCA kliedi seadistusfail

Nagiose serveri arvutis tuleb käivitada nsca deemon, mida juhib seadistusfail /etc/nsca.cfg kus on oluline veenduda, et sisaldub sobiva väärtusega command_file parameeter ja vajadusel ka debug seada, nt nii

debug=1
command_file=/var/lib/nagios3/rw/nagios.cmd

Kontrollitavast arvutist saadetakse programmiga send_nsca teated Nagiose NSCA deemonile

$ echo -e "backup.loomaaed.tartu.ee\tbackup\t0\tbackup korras" | send_nsca -c /etc/send_nsca.cfg -H nagios.loomaaed.tartu.ee -p 5667

kus

* backup.loomaaed.tartu.ee - arvuti nimi
* backup - teenuse nimi
* 0, 1, 2, 3 - Nagiose staatus, vastavalt OK, WARNING, CRITICAL või UNKNOWN
* backup korras - teate tekst, mida näidatakse nt Nagiose veebiliideses
* /etc/send_nsca.cfg - send_nsca kasutab näidatud seadistusfaili, nt sõnumi krüptimise infoks
* nagios.loomaaed.tartu.ee - Nagiose server
* -p - Nagiose serveri port

====Varunduse monitooring====

Olgu ülesandeks korraldada varunduse monitooring selliselt

* varundamise skript saadab teate, kui varundamine õnnestub
* varundamise skript saadab teate, kui varundamine ebaõnnestub
* Nagios annab alarmi, kui varundamise skript pole teadet saatnud kahe päeva jooksul

Passiivse kontrolli jaoks sobib kasutada sellist malli

define service{
use generic-service
name passive-backup-service
active_checks_enabled 0
passive_checks_enabled 1
flap_detection_enabled 0
register 0
is_volatile 0
check_period 24x7
max_check_attempts 1
normal_check_interval 1
retry_check_interval 1
check_freshness 1
freshness_threshold 169200
contact_groups admins
check_command check_dummy!2
notification_interval 7200
notification_period 24x7
notification_options w,u,c,r
stalking_options w,c,u
}

kus

* freshness_threshold 169200 - kaks ööpäeva oodatakse backupilt teadet
* check_command check_dummy!2 - tagastab alati CRITICAL väärtuse

Teenuse seadistamiseks sobib kasutada nt sellist sissekannet

define service{
host_name backup.loomaaed.tartu.ee
service_description backup
use generic-passive-service
}

Nt õnnestumisel võiks Nagiose /var/log/syslog'i tekkida

Oct 22 19:51:41 fs nsca[15318]: Connection from 192.168.206.3 port 52141
Oct 22 19:51:41 fs nsca[15318]: Handling the connection...
Oct 22 19:51:42 fs nsca[15318]: SERVICE CHECK -> Host Name: 'backup.loomaaed.tartu.ee', Service Description: 'backup', Return Code: '0', Output: 'backup'
Oct 22 19:51:42 fs nsca[15318]: End of connection...
Oct 22 19:51:42 fs nagios3: EXTERNAL COMMAND: PROCESS_SERVICE_CHECK_RESULT;backup.loomaaed.tartu.ee;backup;0;backup
Oct 22 19:51:48 fs nagios3: PASSIVE SERVICE CHECK: backup.loomaaed.tartu.ee;backup;0;backup

nsca_send jaoks võiks sisendi konstrueerida varundamise protseduuri sooritav skript oma töö lõpus ise, aga kui kasutatakse Nagiose lisasid (mis tuleb siis paigaldada paigaldades paketi nagios-plugins-basic), siis võiks teisendada lisa väljundi nt selline skript

#!/bin/bash
....

if test "$varundamise_tulemus" = 'OK'; then
code=0
else
code=2

fi

echo -e "backup.loomaaed.tartu.ee\tbackup\t$code\tbackup tulemus" | send_nsca -c /etc/send_nsca.cfg -H nagios.loomaaed.tartu.ee -p 5667

===Apache seadistus===

<Directory /usr/local/www/nagios>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Directory>

<Directory /usr/local/www/nagios/cgi-bin>
Options ExecCGI
</Directory>

ScriptAlias /nagios/cgi-bin/ /usr/local/www/nagios/cgi-bin/
Alias /nagios/ /usr/local/www/nagios/

Selline virtualhost toimib küll vaid bsd peal. Erinevates distrotes on rajad
failideni teised. Üldiselt peale installi öeldakse kus kaustas Nagiose cgi
veebiliides asub.

===Nagiose veebipõhise haldusliidese ettevalmistamine===

Veebiliidese kasutuselevõtuks tuleb seadistada Apache virtuaalhost ja kasutada Nagiosega ühenduseks nt seadistusnäiteid failist nagios3/apache.conf.

Tulemusena saab kasutajana nagiosadmin ja näidatud parooliga haldusliidesesse logida

[[Pilt:Debian-nagios-1.gif]]

kust on näha, et

* jälgitakse kahte arvutit, vaikelüüsi ja seda arvutit ennast, kus Nagios töötab
* arvutis jälgitakse kuut parameetrit

Haldusliidesest Nagiose juhtimiseks tuleb Nagios seadistada kuulama nn väliseid korraldusi. Selleks peab nagios.cfg failis sisalduma rida

check_external_commands=1

Failisüsteemis on enne

# ls -ld /var/lib/nagios3/rw /var/lib/nagios3
drwxr-x--- 4 nagios nagios 4096 Oct 22 00:19 /var/lib/nagios3
drwx------ 2 nagios www-data 4096 Jul 2 12:37 /var/lib/nagios3/rw

Korraldused

# dpkg-statoverride --update --add nagios www-data 2710 /var/lib/nagios3/rw
# dpkg-statoverride --update --add nagios nagios 751 /var/lib/nagios3

Pärast

# ls -ld /var/lib/nagios3/rw /var/lib/nagios3
drwxr-x--x 4 nagios nagios 4096 Oct 22 00:19 /var/lib/nagios3
drwx--s--- 2 nagios www-data 4096 Jul 2 12:37 /var/lib/nagios3/rw

====Mallide kirjeldamine====

Nagiose mallidele vatavad objektid on kirjeldatud kahes failis, arvutitele vastav mall

# cat /etc/nagios3/conf.d/generic-host.cfg
define host {
name generic-host ; The name of this host template
notifications_enabled 1 ; Host notifications are enabled
event_handler_enabled 1 ; Host event handler is enabled
flap_detection_enabled 1 ; Flap detection is enabled
failure_prediction_enabled 1 ; Failure prediction is enabled
process_perf_data 1 ; Process performance data
retain_status_information 1 ; Retain status information across program restarts
retain_nonstatus_information 1 ; Retain non-status information across program restarts
check_command check-host-alive
max_check_attempts 10
notification_interval 0
notification_period 24x7
notification_options d,u,r
contact_groups admins
register 0 ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL HOST, JUST A TEMPLATE!
}

ja teenustele vastav mall

define service {
name generic-service ; The 'name' of this service template
active_checks_enabled 1 ; Active service checks are enabled
passive_checks_enabled 1 ; Passive service checks are enabled/accepted
parallelize_check 1 ; Active service checks should be parallelized (disabling this can lead to major performance problems)
obsess_over_service 1 ; We should obsess over this service (if necessary)
check_freshness 0 ; Default is to NOT check service 'freshness'
notifications_enabled 1 ; Service notifications are enabled
event_handler_enabled 1 ; Service event handler is enabled
flap_detection_enabled 1 ; Flap detection is enabled
failure_prediction_enabled 1 ; Failure prediction is enabled
process_perf_data 1 ; Process performance data
retain_status_information 1 ; Retain status information across program restarts
retain_nonstatus_information 1 ; Retain non-status information across program restarts
notification_interval 0 ; Only send notifications on status change by default.
is_volatile 0
check_period 24x7
normal_check_interval 2
retry_check_interval 1
max_check_attempts 3
notification_period 24x7
notification_options w,u,c,r
contact_groups admins
register 0 ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL SERVICE, JUST A TEMPLATE!
}

kus

* mallidel on nimed, mida saab teenuste kirjeldustes kasutada, vastavalt generic-host ja generic-service
* mallidega on seostatud kontaktigrupp, admins

===Alternatiiv===

Kui põhiline on saada teada, et mõni üksik ruuter katki, siis pole vaja alati ka Nagiose kogu enda keerukusega peale panna ja kõige
lihtsam on panna järgnev käsk crontabi:

/bin/ping -nqc 4 TARTU_RUUTER > /dev/null 2>&1 || /bin/echo 'Oluline Ruuter
MAAS!!!' | /usr/bin/mail -s 'Tln-Trt maas' TEHTOE_NUMBER@sms.emt.ee
ADMINI_NUMBER@sms.emt.ee katk@zoo.edu.ee

See pingiks 4 korda ja saadaks teated välja, kui ping läbi ei käinud,
mis ongi ju enamvähem kõik, mis vaja. Lingi üles tulekut võib juba
kontrollida käsitsi või graafikutest.

===Lingid===

http://kuutorvaja.eenet.ee/wiki/Nagiose_kasutamine_Debian_Lenniga

https://wiki.itcollege.ee/index.php/LAMP_monitooring_Nagiose_abil

https://wiki.itcollege.ee/index.php/Nagios

Nagios

2018-07-23T19:40:49Z

Erkko: kirjavead

===Sissejuhatus===

===Nagiose tööpõhimõte===

Nagiose serveri ülesandeks on kontrollida võrgus töötavate arvutite (ingl. k. host) ja teenuste (ingl. k. service) seisukorda.

Arvutite ja teenuste seisukorda iseloomustavaid parameetreid võib jaotada lähtudes erinevatelt alustelt. Nt selle järgi, kas parameetrit kontrollitakse üle võrgu või lokaalsest arvutist

* kontrollitakse üle võrgu - veebileht, nimeserver
* kontrollitakse lokaalselt - arvutis töötavate protsesside arv, arvuti koormus (ingl. load), failisüsteemi täituvus, raid lülituse korrasolek

Lokaalse kontrolli korraldamiseks tuleb kontrollitavasse arvutisse paigaldada lisaks täiendavalt Nagiose tarkvara, üle võrgu kontrollimisel reeglina kontrollitavasse arvutisse ei tule midagi Nagiose-spetsiifilist lisada.

Teine võimalus on jaotus teha selle järgi, kes küsib või kes ütleb

* aktiivne kontroll - Nagiose server esitab teenustele kontrollpäringuid (nt veebileht, nimeserver)
* passiivne kontroll - Nagiose server kuulab teenuste raporteerimisi (nt varunduse õnnestumine)

Jällegi, passiivse kontrolli korraldamiseks tuleb kontrollitavasse arvutisse paigaldada lisaks täiendavalt Nagiose tarkvara, aktiivsel kontrollimisel reeglina kontrollitavasse arvutisse ei tule midagi Nagiose-spetsiifilist lisada.

===Vana sissejuhatus - vaja ümber teha===

Nagios on vabavara mis võimaldab jälgida teenuste ning serverite kättesaadavust. Toetab mitmesuguseid levinud teenuseid (SMTP, IMAP, HTTP, FTP, DNS) ning võimaldab seirata ka serveri "sisemist" infot, nagu koormus, kettamaht, protsesside arv jms) ja saata välja teavitusi süsteemide probleemide korral. Võimalik siduda mitmete muude tarkvaradega nagu Munin

Nagiosele on kirjutatud mitmeid lisasid, mis teevad halduri või administraatori elu tunduvalt lihtsamaks. Sellisteks mooduliteks on näiteks serverite võrgukaartide Bonding tugi, Cisco seadmete staatuste kogumine jt. Seadistamine on tehtud lihtsamaks mallide olemasoluga. Nimelt võib defineerida ära esmalt soovitava üldmalli ja seejärel seda direktiivina kasutada teistes seadistustes. Sedasi hoiab administraator oma loodud koodi puhtana ja ülevaatlikumana ja asju lisada on mugavam.

Kui vaadata nõudeid, mis Nagios seab riistvarale, siis on ainukeseks nõudeks, et serveril oleks
C kompilaator. Nagiose töötamiseks pole otseselt vaja isegi veebiliidest ja saab kasutada sedavaid teavituste saatmiseks probleemide korral ja süsteemi normaalse töörütmi taastumise korral. Veebiliides on aga hea just igasuguse informatsiooni kuvamiseks kasutades selleks CGI skripte.

Plussid Nagiose kasutamisel:

* vaba tarkvara;
* palju kontrollimismehhanisme nii teenuste kui riistvara jaoks;
* teavitamine vigadest ja teenuse taastumisest;
* võrguhierarhia määramise võimalus;
* paralleelsed kontrollid;
* lihtne lisada jälgitavaid teenuseid või seadmeid;
* hea dokumentatsioon ja palju õpetussõnu veebis;
* kiire arendus;
* paljud lisaprogrammid integreeritavad.

===Nagios install===

====FreeBSD====
FreeBSD süsteemis tuleb anda käsud

cd /usr/ports/net-mgmt/nagios && make install clean
cd /usr/ports/net-mgmt/nagios-plugins && make install clean

Viimati tuli veel teha mailisaatmiseks FreeBSD's selline rats, et linkida mail /bin alla

ln -s /usr/bin/mail /bin/mail

===Gentoo===

TODO

===Debian===

Nagiose serveri paigaldamine

Debiani paketihaldus sisaldab Nagios http://www.nagios.org/ versioon 3.0.x tarkvara, paigaldamiseks sobib öelda

# apt-get install nagios3 nagios3-doc

nagios3-doc sisaldab muu seas HTML kujul dokumentatsiooni kataloogis /usr/share/nagios3/htdocs.

Veebipõhise haldusliidese kasutaja ligipääsu tekitamiseks sobib öelda

# dpkg-reconfigure nagios3-common

ja dialoogides jääda vaikeväärtuste juurde, näidata parool.

Täpsemat juttu hetkel leiab

*http://kuutorvaja.eenet.ee/wiki/Nagiose_kasutamine_Debian_Lenniga

===Seadistame Nagiose===

Nagiose tööd juhib põhiline seadistusfail nagios.cfg ning sellest failis viidatud muud seadistusfailid. Nagiose seadistamisel kirjeldatakse ära hulk erinevaid objekte

* host - jälgitav arvuti või võrguseade (nt vaikelüüs)
* service - jälgitav teenus (nt veebileht)
* command - kontrollkäsk, mis jälgib teenust
* hostgroup - hulk jälgitavaid arvuteid
* servicegroup - hulk jälgitavaid teenuseid
* contact - kontakt, kellele saadetakse teatud sündmuse toimumise kohta teade
* contactgroup - hulk kontakte

Seejuures tehniliselt ei ole oluline, kas objektide kirjeldused asuvad ühes failis või mitmes failis, mis omakorda võivad asuda mitmes kataloogis. Siiski, sõltuvalt monitooringuülesandest on reeglina praktiline jagada objektid mitmete failide vahel. Gruppide kasutamine võimaldab kirjeldada objekte abstraktsemalt, mis praktiliselt lihtsustab Nagiose seadistuste kirjutamist.

_____ Nagiose server
| |
|_____|
|
|
-|---------|----------|----....---|----------|
| | | |
__|__ __|__ __|__ __|__
| | | | | | | |
|_____| |_____| |_____| |_____|

ruuter www mail dns

Meil on kolm masinat mida vaja jälgida. Ruuter, veebiserver ja mailiserver.
Me soovime, et kõiki neid kolme Nagios pingiks iga viie minuti tagant ning kui üks masin juhtub
maas olema siis teavitame sellest mailiaadressile kasutaja@domeen.ee

Serverite ip aadressid

*kontori ruuter '''192.168.1.10'''

*veebiserver veebiserver.domeen.ee '''192.168.1.11'''

*mailiserver mailiserver.domeen.ee '''192.168.1.12'''

*nimeserver dns.domeen.ee '''192.168.1.13'''

Vaja on tekitada kokku 3 seadistusfaili

# '''hosts.cfg''' seadmed-serverid-arvutid
# '''services.cfg''' erinevat liiki kontrollid-testid
# '''contacts.cfg''' kasutajad-kasutajagrupid

Eesimesena on vaja defineerida hosts.cfg failis kõik neli seadet

'''hosts.cfg'''

# Defineerime mõned väärtused mis vaikimis seadistame kõigile masinatele
define host{
name linux-server
use generic-host
check_period 24x7
max_check_attempts 10
check_command check-host-alive
notification_period workhours
notification_interval 120
notification_options d,u,r
contact_groups admins
register 0
}

#ruuter
define host{
use linux-server
host_name ruuter
alias ISP Ruuter
address 192.168.1.10
parents localhost
contact_groups Helpdesk
}

#veebiserver
define host{
use linux-server
host_name veebiserver.domeen.ee
alias veebiserver asutusele
address 192.168.1.11
parents localhost
contact_groups Helpdesk
}

#mailiserver
define host{
use linux-server
host_name mailiserver.domeen.ee
alias sisevõrgu mailiserver
address 192.168.1.12
parents localhost
contact_groups Helpdesk
}

#nimeserver
define host{
use linux-server
host_name dns.domeen.ee
alias nimeserver
address 192.168.1.13
parents localhost
contact_groups Helpdesk
}

contact_groups on korrektselt vajalik paika panna hostide juures kuna sinna
hakatakse saatma teateid hosti maasoleku kohta

Nüüd defineerime kontrollid mida tehakse serveritele.
Tekitame service kirje mis pingib kõiki kolme masinat. Ruuterit, veebiserverit ja mailiserverit
ning teavitab probleemide korral kontaktgruppi helpdesk

'''services.cfg'''

define service{
use local-service
host_name '''ruuter, veebiserver.domeen.ee, mailiserver.domeen.ee, dns.domeen.ee'''
service_description PING
check_command check_ping!100.0,20%!500.0,60%
contact_groups helpdesk
}

Lõpuks tekitame kolmanda faili kus kirjas kontaktid keda teavitatakse mõne seadme maasolekul.

Loome kontakti helpdesk mailiga '''kasutaja@domeen.ee''' ning lisame selle kontaktgruppi Helpdesk

Hea nipp on luua mobiilioperaatori juures endale aadress kasutaja@mail.operaator.ee
millele suunatud kirjad lähevad mobiilile sms'ina, maksab see enamasti 25.- kuus ning
võimaldab operatiivselt kriitilist infot saada.

'''contacts.cfg'''

define contact{
contact_name kasutaja
alias Infohuviline isik
service_notification_period 24x7
host_notification_period 24x7
service_notification_options u,c,r
host_notification_options d,r
service_notification_commands notify-by-email
host_notification_commands host-notify-by-email
email '''kasutaja@domeen.ee'''
}

define contactgroup{
contactgroup_name helpdesk
alias IT Helpdesk
members kasutaja
}

Ja viimaks lisame faili
'''nagios.cfg''' järgnevad read, et Nagios meie tekitatud konfiguratsiooni kasutaks

cfg_file=/usr/local/etc/nagios/hosts.cfg
cfg_file=/usr/local/etc/nagios/services.cfg
cfg_file=/usr/local/etc/nagios/contacts.cfg

Linuxi puhul on rajad /etc/nagios/

Ning võime anda käsud

/usr/local/etc/rc.d/nagios start

või linuxis

/etc/init.d/nagios start

Et suurendada Nagiose töökindlust võiks paigaldada serverile ka oma nimeserveri.

===Nagiose pluginad===
====Mail delivery====

Mailiserveri töö kontrolli korraldamine on keerukam. Nagiose kaasasolevad vahendeid
võimaldavad kontrollida vaid lihtsamaid portide /teenuste ülevaolekuid ja vastuseid, mailisüsteem
on samas enamuses asutuses keerukas ja mitmetest serveritest koosnev kooslus.

Plugin mis järgnevalt äratoodud saadab emaili serverile ning seejärel logib imapiga
kasutajaga mailikontole test ning kontrollib kas email on saabunud.

Vaja tirida ja paigaldada vastav plugin selleks aadressilt

http://apricoti.pbwiki.com/NagiosCheckEmailDelivery

Selle sõltuvusteks on vaja installida mõned perli moodulit mis tehtavad kenasti cpani installeri abiga
cpan -i Mail::IMAPClient

Seejärel on vaja defineerida command.

define command {
command_name check_delivery_mail
command_line $USER1$/check_email_delivery -H mail.domeen.ee --mailto test@mail.domeen.ee --mailfrom nagios@nagios.domeen.ee /
--username test --password parool --libexec $USER1$ --wait 10 --warning 600 --critical 1200
}

Ning seejärel kontrollimine.

define service{
use generic-service
host_name mail.domeen.ee
service_description DELIVERY_mail
check_command check_delivery_mail
max_check_attempts 5
contact_groups helpdesk
}

====check_by_ssh====

check_by_ssh on mõeldud skriptide käivitamiseks eemalolevas arvutis.

Näiteks võib tekkida soov tulemüüris olles pingida vpn otspunkte, mida Nagiose serverist teha aga ei saa.

Esiteks tuleb genereerida ssh-keygeniga võti ja paigalgada see teise arvuti
nagios kasutaja alla. Siis paigaldame arvutile, kus soovime skripte käivitada /usr/ports/net-mgmt/nagios-plugins/ paketi.

Defineerime konfi käsu.

define command {
command_name check_ping_tunnel_ssh
command_line $USER1$/check_by_ssh -H $HOSTADDRESS$ -C \
'/usr/local/libexec/nagios/check_ping -H $ARG1$ -w 500.0,20% -c 2000.0,60% -p 5'
}

Testimiseks

# /usr/local/libexec/nagios/check_ping -H 192.168.2.10 -w 500.0,20% -c 2000.0,60% -p 5
PING WARNING - Packet loss = 20%, RTA = 7.56 ms|rta=7.563000ms;500.000000;2000.000000;0.000000 pl=20%;20;60;0

Tekitame teenuse

define service {
use service
host_name tulemyyr
service_description Current Load
check_command check_http_content!"192.168.5.14"
}

====PostgreSQL====

Aadressil http://bucardo.org/wiki/Check_postgres jagatakse Nagiose kontrollskripti, mis võimaldab muuhulgas

* küsida suurima tabeli või indeksi suurust

$ perl check_postgres.pl -H pg.loomaaed -u postgres --db=loobdb --action=relation_size --critical='6000 MB' --warning='4000 MB' \
--showperf=0 --perflimit=1
POSTGRES_RELATION_SIZE OK: DB "loobdb" (host:pg.loomaaed) largest relation is table "koduloomad.vigastused": 3001 MB

Seejuures esitatakse andmebaasile selline päring

BEGIN;SET statement_timeout=30000;COMMIT;SELECT pg_relation_size(c.oid), pg_size_pretty(pg_relation_size(c.oid)), relkind, relname, nspname \
FROM pg_class c, pg_namespace n WHERE (relkind = 'r' OR relkind = 'i') AND n.oid = c.relnamespace ORDER BY 1 DESC LIMIT 1

====Smartmontools====

Kõvaketta temperatuuri jälgimiseks sobib kasutada nt sellist järgnevust

* moodustada jälgitavasse arvutisse skript

# cat /root/system/hddtemp.sh
#!/bin/bash

c_aeg=`date +%s`
temp=`/usr/sbin/smartctl -A /dev/$1 | grep Temperature_Celsius | awk {'print $10'}`
echo $temp $c_aeg > /tmp/hddtemp_$1.txt

mis kutsutakse välja arvuti juurkasutaja crontabist reaga

*/2 * * * * /root/system/hddtemp.sh sda

Tulemusena moodustatakse igal minutil uus fail /tmp/hddtemp_sda.txt sisuga

# cat /tmp/hddtemp_sda.txt
33 1280078281

kus

* 33 - temperatuur kraadides Celsiust
* 1280078281 - timestamp, mis on vajalik veendumaks, et kasutatakse uuendatud temperatuuri väärtust

* moodustada Nagiose plugin check_hddtemp

# cat /usr/lib/nagios/plugins/check_hddtemp
#!/bin/bash

temp=`cat /tmp/hddtemp_$1.txt | cut -d " " -f 1`;
ts=`cat /tmp/hddtemp_$1.txt | cut -d " " -f 2`;

c_aeg=`date +%s`
aeg_kolme_minuti_eest=$(($c_aeg - 180));

if [ $temp -lt $2 -a $ts -gt $aeg_kolme_minuti_eest ]; then
echo "TEMP OK - temp: $temp;| temp=$temp";
exit 0;
else
echo "TEMP CRITICAL - temp: $temp;| temp=$temp";
exit 2;
fi

* kirjeldada monitooritava arvuti nrpe agendis seadistusfailis /etc/nagios/nrpe.cfg check_hddtemp kontrollid, nt

# riistvara
command[check_hddtemp_sda]=/usr/lib/nagios/plugins/check_hddtemp sda 35
command[check_hddtemp_sdb]=/usr/lib/nagios/plugins/check_hddtemp sdb 38
command[check_hddtemp_sdc]=/usr/lib/nagios/plugins/check_hddtemp sdc 35

* kirjeldada Nagiose serveris vastavat kontrollid, nt sektsiooniga

define service {
host_name failiserver.loomaaed
service_description hddtemp_sda
check_command check_nrpe_1arg!check_hddtemp_sda
use generic-service
}

===Ipv6 aadresside monitoorimine===

Paljudel kaasasolevatel Nagiose utiliitidel on ipv6 tugi ka juba olemas. Näiteks
soovides pingida ühte ainult ipv6 aadressi omavat hosti võib teha
täiesti tavalise seadmekirje millele lisada ipv6 aadressi
ning siis defineerida järgneva käsk.

define command{
command_name check_ping6
command_line $USER1$/check_ping -6 -H $HOSTADDRESS$ -w 3000.0,80% -c 5000.0,100% -p 5
}

Kasutada saab seda tavapärasel moel nagu iga teist.

===Katsetamine===

Võime simuleerida mingi masina maasolekut. Piisab kui vastav reegel panna selleks tulemüüri mis blokeerib liikluse serverini
mida kontrollime. Logifaili '''/var/spool/nagios/nagios.log''' peaks tekkima read:

[1209129862] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;1;CRITICAL - Plugin timed out after 10 seconds
[1209129872] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;2;CRITICAL - Plugin timed out after 10 seconds
[1209129882] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;3;CRITICAL - Plugin timed out after 10 seconds
[1209129892] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;4;CRITICAL - Plugin timed out after 10 seconds
[1209129902] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;5;CRITICAL - Plugin timed out after 10 seconds
[1209129912] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;6;CRITICAL - Plugin timed out after 10 seconds
[1209129922] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;7;CRITICAL - Plugin timed out after 10 seconds
[1209129932] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;8;CRITICAL - Plugin timed out after 10 seconds
[1209129942] HOST ALERT: veebiserver.domeen.ee;DOWN;SOFT;9;CRITICAL - Plugin timed out after 10 seconds
[1209129952] HOST ALERT: veebiserver.domeen.ee;DOWN;HARD;10;CRITICAL - Plugin timed out after 10 seconds
[1209129952] HOST NOTIFICATION: kasutaja;veebiserver.domeen.ee;DOWN;host-notify-by-email;CRITICAL - Plugin timed out after 10 seconds
[1209129952] SERVICE ALERT: veebiserver.domeen.ee;PING;CRITICAL;HARD;1;CRITICAL - Plugin timed out after 10 seconds

ning kasutaja peaks saama emaili Host DOWN alert for veebiserver.domeen.ee! sisuga

***** Nagios 2.10 *****

Notification Type: PROBLEM
Host: veebiserver.domeen.ee
State: DOWN
Address: 192.168.1.11
Info: CRITICAL - Plugin timed out after 10 seconds

Date/Time: Fri Apr 25 16:25:52 EEST 2008

Eemaldades reegli

[1209130370] HOST ALERT: veebiserver.domeen.ee;UP;HARD;1;PING OK - Packet loss = 0%, RTA = 4.09 ms
[1209130370] HOST NOTIFICATION: kasutaja;veebiserver.domeen.ee;UP;host-notify-by-email;PING OK - Packet loss = 0%, RTA = 4.09 ms
[1209130370] SERVICE ALERT: veebiserver.domeen.ee;PING;OK;SOFT;1;PING OK - Packet loss = 0%, RTA = 4.92 ms

Saabub email Host UP alert for veebiserver.domeen.ee!

***** Nagios 2.10 *****

Notification Type: RECOVERY
Host: veebiserver.domeen.ee
State: UP
Address: 192.168.1.11
Info: PING OK - Packet loss = 0%, RTA = 4.09 ms

Date/Time: Fri Apr 25 16:32:50 EEST 2008

===NSCA kasutamine===

NSCA (Nagios Service Check Acceptor, ingl. k. Nagiose teenuse kontrolli vastuvõtja) võimadab korraldada nn passiivseid kontrolle. Nii Nagiose serverisse kui kontrollitavasse arvutisse tuleb paigaldada nsca pakett öeldes

# apt-get install nsca

Tulemusena paigaldatakse muu hulgas

* /usr/sbin/nsca - NSCA deemon, töötab Nagiose serveris
* /etc/nsca.cfg - NSCA deemoni seadistusfail
* /usr/sbin/send_nsca - NSCA klient, millega saadetakse deemonile sõnumeid
* /etc/send_nsca.cfg - NSCA kliedi seadistusfail

Nagiose serveri arvutis tuleb käivitada nsca deemon, mida juhib seadistusfail /etc/nsca.cfg kus on oluline veenduda, et sisaldub sobiva väärtusega command_file parameeter ja vajadusel ka debug seada, nt nii

debug=1
command_file=/var/lib/nagios3/rw/nagios.cmd

Kontrollitavast arvutist saadetakse programmiga send_nsca teated Nagiose NSCA deemonile

$ echo -e "backup.loomaaed.tartu.ee\tbackup\t0\tbackup korras" | send_nsca -c /etc/send_nsca.cfg -H nagios.loomaaed.tartu.ee -p 5667

kus

* backup.loomaaed.tartu.ee - arvuti nimi
* backup - teenuse nimi
* 0, 1, 2, 3 - Nagiose staatus, vastavalt OK, WARNING, CRITICAL või UNKNOWN
* backup korras - teate tekst, mida näidatakse nt Nagiose veebiliideses
* /etc/send_nsca.cfg - send_nsca kasutab näidatud seadistusfaili, nt sõnumi krüptimise infoks
* nagios.loomaaed.tartu.ee - Nagiose server
* -p - Nagiose serveri port

====Varunduse monitooring====

Olgu ülesandeks korraldada varunduse monitooring selliselt

* varundamise skript saadab teate, kui varundamine õnnestub
* varundamise skript saadab teate, kui varundamine ebaõnnestub
* Nagios annab alarmi, kui varundamise skript pole teadet saatnud kahe päeva jooksul

Passiivse kontrolli jaoks sobib kasutada sellist malli

define service{
use generic-service
name passive-backup-service
active_checks_enabled 0
passive_checks_enabled 1
flap_detection_enabled 0
register 0
is_volatile 0
check_period 24x7
max_check_attempts 1
normal_check_interval 1
retry_check_interval 1
check_freshness 1
freshness_threshold 169200
contact_groups admins
check_command check_dummy!2
notification_interval 7200
notification_period 24x7
notification_options w,u,c,r
stalking_options w,c,u
}

kus

* freshness_threshold 169200 - kaks ööpäeva oodatakse backupilt teadet
* check_command check_dummy!2 - tagastab alati CRITICAL väärtuse

Teenuse seadistamiseks sobib kasutada nt sellist sissekannet

define service{
host_name backup.loomaaed.tartu.ee
service_description backup
use generic-passive-service
}

Nt õnnestumisel võiks Nagiose /var/log/syslog'i tekkida

Oct 22 19:51:41 fs nsca[15318]: Connection from 192.168.206.3 port 52141
Oct 22 19:51:41 fs nsca[15318]: Handling the connection...
Oct 22 19:51:42 fs nsca[15318]: SERVICE CHECK -> Host Name: 'backup.loomaaed.tartu.ee', Service Description: 'backup', Return Code: '0', Output: 'backup'
Oct 22 19:51:42 fs nsca[15318]: End of connection...
Oct 22 19:51:42 fs nagios3: EXTERNAL COMMAND: PROCESS_SERVICE_CHECK_RESULT;backup.loomaaed.tartu.ee;backup;0;backup
Oct 22 19:51:48 fs nagios3: PASSIVE SERVICE CHECK: backup.loomaaed.tartu.ee;backup;0;backup

nsca_send jaoks võiks sisendi konstrueerida varundamise protseduuri sooritav skript oma töö lõpus ise, aga kui kasutatakse Nagiose lisasid (mis tuleb siis paigaldada paigaldades paketi nagios-plugins-basic), siis võiks teisendada lisa väljundi nt selline skript

#!/bin/bash
....

if test "$varundamise_tulemus" = 'OK'; then
code=0
else
code=2

fi

echo -e "backup.loomaaed.tartu.ee\tbackup\t$code\tbackup tulemus" | send_nsca -c /etc/send_nsca.cfg -H nagios.loomaaed.tartu.ee -p 5667

===Apache seadistus===

<Directory /usr/local/www/nagios>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Directory>

<Directory /usr/local/www/nagios/cgi-bin>
Options ExecCGI
</Directory>

ScriptAlias /nagios/cgi-bin/ /usr/local/www/nagios/cgi-bin/
Alias /nagios/ /usr/local/www/nagios/

Selline virtualhost toimib küll vaid bsd peal. Erinevates distrotes on rajad
failideni teised. Üldiselt peale installi öeldakse kus kaustas Nagiose cgi
veebiliides asub.

===Nagiose veebipõhise haldusliidese ettevalmistamine===

Veebiliidese kasutuselevõtuks tuleb seadistada Apache virtuaalhost ja kasutada Nagiosega ühenduseks nt seadistusnäiteid failist nagios3/apache.conf.

Tulemusena saab kasutajana nagiosadmin ja näidatud parooliga haldusliidesesse logida

[[Pilt:Debian-nagios-1.gif]]

kust on näha, et

* jälgitakse kahte arvutit, vaikelüüsi ja seda arvutit ennast, kus Nagios töötab
* arvutis jälgitakse kuut parameetrit

Haldusliidesest Nagiose juhtimiseks tuleb Nagios seadistada kuulama nn väliseid korraldusi. Selleks peab nagios.cfg failis sisalduma rida

check_external_commands=1

Failisüsteemis on enne

# ls -ld /var/lib/nagios3/rw /var/lib/nagios3
drwxr-x--- 4 nagios nagios 4096 Oct 22 00:19 /var/lib/nagios3
drwx------ 2 nagios www-data 4096 Jul 2 12:37 /var/lib/nagios3/rw

Korraldused

# dpkg-statoverride --update --add nagios www-data 2710 /var/lib/nagios3/rw
# dpkg-statoverride --update --add nagios nagios 751 /var/lib/nagios3

Pärast

# ls -ld /var/lib/nagios3/rw /var/lib/nagios3
drwxr-x--x 4 nagios nagios 4096 Oct 22 00:19 /var/lib/nagios3
drwx--s--- 2 nagios www-data 4096 Jul 2 12:37 /var/lib/nagios3/rw

====Mallide kirjeldamine====

Nagiose mallidele vatavad objektid on kirjeldatud kahes failis, arvutitele vastav mall

# cat /etc/nagios3/conf.d/generic-host.cfg
define host {
name generic-host ; The name of this host template
notifications_enabled 1 ; Host notifications are enabled
event_handler_enabled 1 ; Host event handler is enabled
flap_detection_enabled 1 ; Flap detection is enabled
failure_prediction_enabled 1 ; Failure prediction is enabled
process_perf_data 1 ; Process performance data
retain_status_information 1 ; Retain status information across program restarts
retain_nonstatus_information 1 ; Retain non-status information across program restarts
check_command check-host-alive
max_check_attempts 10
notification_interval 0
notification_period 24x7
notification_options d,u,r
contact_groups admins
register 0 ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL HOST, JUST A TEMPLATE!
}

ja teenustele vastav mall

define service {
name generic-service ; The 'name' of this service template
active_checks_enabled 1 ; Active service checks are enabled
passive_checks_enabled 1 ; Passive service checks are enabled/accepted
parallelize_check 1 ; Active service checks should be parallelized (disabling this can lead to major performance problems)
obsess_over_service 1 ; We should obsess over this service (if necessary)
check_freshness 0 ; Default is to NOT check service 'freshness'
notifications_enabled 1 ; Service notifications are enabled
event_handler_enabled 1 ; Service event handler is enabled
flap_detection_enabled 1 ; Flap detection is enabled
failure_prediction_enabled 1 ; Failure prediction is enabled
process_perf_data 1 ; Process performance data
retain_status_information 1 ; Retain status information across program restarts
retain_nonstatus_information 1 ; Retain non-status information across program restarts
notification_interval 0 ; Only send notifications on status change by default.
is_volatile 0
check_period 24x7
normal_check_interval 2
retry_check_interval 1
max_check_attempts 3
notification_period 24x7
notification_options w,u,c,r
contact_groups admins
register 0 ; DONT REGISTER THIS DEFINITION - ITS NOT A REAL SERVICE, JUST A TEMPLATE!
}

kus

* mallidel on nimed, mida saab teenuste kirjeldustes kasutada, vastavalt generic-host ja generic-service
* mallidega on seostatud kontaktigrupp, admins

===Alternatiiv===

Kui põhiline on saada teada, et mõni üksik ruuter katki, siis pole vaja alati ka Nagiose kogu enda keerukusega peale panna ja kõige
lihtsam on panna järgnev käsk crontabi:

/bin/ping -nqc 4 TARTU_RUUTER > /dev/null 2>&1 || /bin/echo 'Oluline Ruuter
MAAS!!!' | /usr/bin/mail -s 'Tln-Trt maas' TEHTOE_NUMBER@sms.emt.ee
ADMINI_NUMBER@sms.emt.ee katk@zoo.edu.ee

See pingiks 4 korda ja saadaks teated välja, kui ping läbi ei käinud,
mis ongi ju enamvähem kõik, mis vaja. Lingi üles tulekut võib juba
kontrollida käsitsi või graafikutest.

===Lingid===

http://kuutorvaja.eenet.ee/wiki/Nagiose_kasutamine_Debian_Lenniga

https://wiki.itcollege.ee/index.php/LAMP_monitooring_Nagiose_abil

https://wiki.itcollege.ee/index.php/Nagios