How to Config » อัทศักดิ์ วงศ์กิตตะ

การ Mount HDD ด้วย Label

อัทศักดิ์ วงศ์กิตตะ — Fri, 29 Apr 2011 09:48:45 +0000

สวัสดีครับหลังจากห่างหายไปนาน คิดว่าช่วงนี้จะพยายามเข้ามา Update บ่อยๆนะครับ ช่วงนี้มีงานต้องติดตั้งเว็บ Download ไฟล์ให้ลูกค้าโดยมีเครื่องหลายๆเครื่อง และแต่ละเครื่องมี Card SATA เพิ่มขึ้น ทำให้แต่ละเครื่องมี HDD ไม่ต่ำกว่า 10 ก้อน

ก่อนนี้ผมใช้การ Mount ผ่าน /etc/fstab โดยการกำหนด device ไปตรงๆ แต่เมื่อ HDD มีปัญหาจำเป็นต้องถอดออกไปเปลี่ยน จะเกิดปัญหา Device เปลี่ยนตำแหน่ง ทำให้ไม่สามารถ Mount HDD ได้ ด้วยเหตุนี้ผมจึงได้ใช้วิธีการ Mount HDD ผ่าน “Disk Label”

Disk Label คือการใส่ป้ายชื่อกำกับให้แต่ละ Partition โดยสามารถกำหนดความยาวได้สูงสุดถึง 160 ตัวอักษร และหากเมื่อเราเอา HDD ก้อนดังกล่าวไปใช้งานเครื่องอื่น ก็สามารถเห็น Label เดียวกันทั้งหมด

วิธีการตั้งชื่อ Label

สำหรับการตั้งชื่อจะใช้คำสั่ง tune2fs สำหรับ Partition ที่ใช้ Filesystem ที่เป็น ext2, ext3 และใช้คำสั่ง tune4fs สำหรับ ext4 โดยมีคำสั่งดังนี้

Ext4 Partition

tune4fs -L dl2-01 /dev/sda1

ส่วนของไฟล์ /etc/fstab

LABEL=/                 /                               ext3            defaults        1 1
tmpfs                   /dev/shm                        tmpfs   defaults        0 0
devpts                  /dev/pts                        devpts  gid=5,mode=620  0 0
sysfs                           /sys                            sysfs           defaults        0 0
proc                            /proc                           proc            defaults        0 0
 
LABEL=dl2-00            /home/dl2-00            ext4            defaults        0 0
LABEL=dl2-01            /home/dl2-01            ext4            defaults        0 0

แค่นี้เครื่อง Server ก็จะเมาท์ HDD โดยใช้ Disk Label แล้วครับ หาเราทำการถอดหรือเพิ่ม HDD เข้าไปก็จะไม่มีปัญหากับ HDD ที่มีอยู่ครับผม

How to use IPMI on Debian

อัทศักดิ์ วงศ์กิตตะ — Mon, 01 Nov 2010 18:00:17 +0000

โหลด IPMI Kernel Modules

modprobe ipmi_watchdog
modprobe ipmi_poweroff
modprobe ipmi_msghandler
modprobe ipmi_devintf
modprobe ipmi_si

ติดตั้ง ipmitool

apt-get install ipmitool

ทำการ config ipmi

ipmitool lan set 1 ipaddr 192.168.1.101
ipmitool lan set 1 netmask 255.255.255.0
ipmitool lan set 1 defgw ipaddr 192.168.1.254
ipmitool lan set 1 password mypassword
ipmitool lan set 1 access on
ipmitool lan set 1 arp respond on
ipmitool mc reset cold

วิธีการใช้งาน

ดู สถาณะ Power

ipmitool -H 192.168.1.101 -U root -P mypassword power status

Reset เครื่อง

ipmitool -H 192.168.1.101 -U root -P mypassword power reset

หากท่านใช้ iPhone ผมแนะนำ IPNI Touch ครับ สามารถสั่ง Power On/Off/Reset ได้เลย ทำให้ Admin อย่างเราๆมีชีวิตที่แสนสบายขึ้นเยอะเลยครับ

OpenVPN on UDP 53 – ไปที่ไหนก็เล่น Net ได้!!!

อัทศักดิ์ วงศ์กิตตะ — Mon, 25 Oct 2010 08:07:42 +0000

สมัยนี้ไปไหนก็มีก็มี Wifi ให้เราใช้งาน ไม่ว่าจะเป็นแบบฟรี หรือ เสียเงิน วันนี้ผมเอาจุดอ่อน ที่ผู้ให้บริการ Hotspot มองข้ามคือ การเปิด Any DNS หรือ การเปิดให้ Client สามารถ Query DNS ข้างน้อกได้ โดยไม่ได้ทำการ Auth ซึ่ง Wifi หลายๆที่เปิดไว้เพื่อความสะดวก แต่ตรงนี้แหละเป็นจุดอ่อน ที่จะทำให้เราสามารถใช้งาน Internet ได้โดยไม่โดนจำกัด Bandwidth

สิ่งที่ต้องเตรียม

ต้องมี Server ที่เป็น Fix IP ไว้ข้างนอก
ติดตั้ง OpenVPN

ติดตั้ง Server

apt-get install openvpn
openvpn --genkey --secret /etc/openvpn/mysecret.key
 
vi /etc/openvpn/server-udp-53.conf

# File /etc/openvpn/server-udp-53.conf
dev tap
mode p2p
proto udp
#ping 1
port 53
ifconfig 10.10.10.1 255.255.255.252
secret /etc/openvpn/mysecret.key
tun-mtu 1500
tun-mtu-extra 32
mssfix 1400

push "route 192.168.10.0 255.255.255.0"

ติดตั้ง Client

Download Client จาก http://openvpn.net/index.php/openvpn-client.html และทำการติดตั้ง

Copy file mysecret.key มาไว้ในเครื่อง และสร้างไฟล์ config โดยใช้ชื่อ client.ovpn

#file client.ovpn
dev tap
mode p2p
proto udp
remote 
#ping 1
port 53
ifconfig 10.10.30.2 255.255.255.252
secret mysecret.key

tun-mtu 1500
tun-mtu-extra 32
mssfix 1400
ping 5

แค่นี้ก็สามารถ Connect VPN ผ่าน UDP/53 ได้แล้วครับ

Citrix – Missing gpg key

อัทศักดิ์ วงศ์กิตตะ — Wed, 20 Oct 2010 18:39:43 +0000

วันนี้ติดตั้ง Xen Server และลง Debian ในเครื่อง Xen จะทำการ Add source ของ citrix ให้เองอัตโนมัตติ แต่เมื่อเราทำการ update package จะฟ้อง Error ว่าไม่พบ GPG key ของ Citrix เราสามารถติดตั้งได้ ดั่งนี้

server:~# wget -q http://updates.vmd.citrix.com/XenServer/5.5.0/GPG-KEY -O- | apt-key add -

แค่นี้เวลาเราสั่ง apt-get ก็จะไม่ฟ้อง error gpg key อีกแล้วครับ

HA Proxy High Performance TCP/HTTP Load Balancer

อัทศักดิ์ วงศ์กิตตะ — Wed, 20 Oct 2010 17:14:39 +0000

วันนี้ประเดิม Blog แรกด้วย HAProxy ซึ่งเป็น Software load balance ที่สามารถทำงานได้ถึง Layer7 หลักๆผมเอามาทำเป็น HTTP Load Balance เป้าหมายหลักๆที่ต้องการคือ

แยกโหลดไปยังเครื่อง Web Node แต่ละเครื่องได้
กำหนด weight ของแต่ละ Server ได้
สามารถทำ health check script ได้เอง
สามารถ ทำงานได้ในระดับ Layer 7 ได้

หลังจากผมใช้งาน Linux-Ha (ipvsadm) มานาน ผมพบปัญหาว่า บางครั้งหากเครื่อง Web Node มีปัญหาเครื่อง Load balance จะไม่ปลดโหลดออก ทำให้ผู้ใช้งานไม่สามารถใช้งานได้ ผมเลยลองค้นหาเรื่อง L7 Load Balance จึงมาพบ HA Proxy เลยลอง apt-get install haproxy ดูพบว่าใน Debian ก็มี package มาให้ เลยลองติดตั้งพบว่า สามารถตอบสนอง ความต้องการของผมได้เป็นอย่างดี ยังไงลองมาดูกันครับ ว่าติดตั้งและใช้งานเป็นยังไง

ติดตั้ง

apt-get install haproxy

# File /etc/haproxy/haproxy.cfg
global
 daemon
 user            haproxy
 group   haproxy
 maxconn 8192
 log             127.0.0.1       local0
 log             127.0.0.1       local1 notice
 stats           socket  /var/run/haproxy.sock mode 666

defaults
 log             global
 mode    http
 option  httplog
 option  dontlognull
 option  httpclose
 #option forwardfor

 stats           enable
 retries 3
 option  redispatch
 maxconn 65535
 contimeout      5000
 clitimeout      50000
 srvtimeout      50000

listen  igetweb.com 0.0.0.0:80
 balance roundrobin

 acl     url_static              path_beg                /images /image /css
 acl     url_static              path_end                .jpg .jpeg .JPG .gif .png .ico .css .zip .tgz .gz .rar .bz2 .doc .xls .exe .pdf .ppt .txt .tar .mid .midi .wav .bmp .rtf .js .swf .wma .wmv

 use_backend             pool_static                     if url_static
 default_backend         pool_dynamic

backend pool_dynamic
 balance roundrobin
 option  httpchk HEAD /check.txt HTTP/1.0
 server web1 192.168.1.11:80  check inter 2000 fall 3 weight 1
 server web2 192.168.1.12:80  check inter 2000 fall 3 weight 1

backend pool_static
 balance roundrobin
 option  httpchk HEAD /check.txt HTTP/1.0
 server web1 192.168.1.21:80  check inter 2000 fall 3 weight 1
 server web2 192.168.1.22:80  check inter 2000 fall 3 weight 1

ส่วนสำคัญคือ ACL โดยเราได้ทำการประกาศ ACL ที่ชื่อ url_static โดยหากผู้ใช้งานเรียก url ที่ขึ้นต้นด้วย /image /images /css หรือ ไฟล์ที่ลงท้ายด้วย jpg, jpge และทำการประกาศว่า หาก macth acl url_static ให้ไปเรียกใช้ pool_static แค่นี้เราก็มี L7 Load Balance ไว้ใช้งาน โดยไม่ต้องเสียงินหลักแสน ซื้อ Hardware Load balance แล้วครับ

Speedup Dynamic and Static Content with Nginx

อัทศักดิ์ วงศ์กิตตะ — Sun, 09 May 2010 11:42:03 +0000

พูดถึงปัญหาของเว็บใหญ่ๆทั่วไป ก็คงไม่เว็บเรื่องระบบ File System เพราะปัจจุบันมีแค่ NFS เท่านั้นที่ทำการ Share ไฟล์ได้ใน Unix หากจะหันไปให้ SAN หรือ iSCSI ราคาก็แสนแพง เพราะฉนั้นระบบใหญ่แค่ไหนก็มีปัญหาที่ระบบไฟล์ทุกที เราจึงต้องลบ Traffic ที่จะวิ่งไปดึงจาก NFS ให้น้อยที่สุด วันนี้ผมมีอีกทางออกให้คือการแยก Static และ Dynamic Content ออกจากกัน เพราะหากเราแยกได้แล้ว เราสามารถที่จะ Sync Dynamic Content ให้ไปอยู่ใน Local disk ได้หรือ จะทำการเลือกใช้ Web Server ให้เหมาะสมกับระบบที่เราดูแลได้ง่ายขึ้น

apt-get install nginx

แก้ไขไฟล์ /etc/nginx/nginx.conf

user www-data;
 
error_log  /var/log/nginx/error.log;
pid        /var/run/nginx.pid;
 
worker_processes  16;
worker_rlimit_nofile 32768;
events {
	worker_connections  8192;
	use epoll;
} 
 
http {
    include       /etc/nginx/mime.types;
 
    access_log	/var/log/nginx/access.log;
 
    sendfile			on;
    #tcp_nopush		on;
 
    #keepalive_timeout	 0;
    keepalive_timeout	65;
    tcp_nodelay		on;
 
    gzip			on;
 
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
}

แก้ไขไฟล์ สร้างไฟล์ /etc/nginx/site-enable/default

upstream pool_dynamic {
	server 192.168.1.11:80;
	server 192.168.1.12:80;
}
upstream pool_static {
	server 192.168.1.11:80;
	server 192.168.1.12:80;
}
 
server {
	listen   80;
	server_name  _;
 
	#access_log /var/log/nginx/localhost.access.log;
	access_log	off;
 
	location / {
		proxy_pass		http://pool_dynamic;
		include		/etc/nginx/proxy.conf;
		access_log		/var/log/nginx/dynamic.access.log;
	}
 
	location ~* ^.+.(jpg|jpeg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|swf|wma|wmv)$ {
		proxy_pass		http://pool_static;
		include		/etc/nginx/proxy.conf;
		#access_log	/var/log/nginx/static.access.log;
		access_log		off;
	}
 
	location ~ /\.ht {
		deny  all;
	}
 
	location /nginx_status {
		# copied from http://blog.kovyrin.net/2006/04/29/monitoring-nginx-with-rrdtool/
		stub_status	on;
		access_log		off;
		allow			all;
	}
 
}

สร้างไฟล์ /etc/nginx/proxy.conf

proxy_redirect			off;
proxy_set_header		Host $host;
proxy_set_header		X-Real-IP $remote_addr;
proxy_set_header		X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size		10m;
client_body_buffer_size	128k;
proxy_connect_timeout	90;
proxy_send_timeout		90;
proxy_read_timeout		90;
proxy_buffer_size		4k;
proxy_buffers			4 32k;
proxy_busy_buffers_size	64k;
proxy_temp_file_write_size	64k;

FreeBSD tip: SUDO Email alert

อัทศักดิ์ วงศ์กิตตะ — Sun, 09 May 2010 10:56:51 +0000

แนวคิดคือ Server ที่เราดูแลมี System Admin หลายคนที่สามารถ Access เป็น Root ได้ แล้วเราจะรู้ได้ไงว่า ใคร Login เข้าไปยัง Server ทางออกของผมคือ Allow User ที่ sshd ให้มีแค่ admin เท่านั้นที่เข้าได้ และให้ sudo เป็น root และจะมีอีเมล์แจ้งเตือนมายัง ผู้ดูแล เพื่อทราบว่าเข้าไปทำอะไร

1. sshd ให้แก้ไขไฟล์ /etc/ssh/sshd_config เพิ่ม AllowUsers เช่น
AllowUsers auttasak

2. แก้ไข /usr/local/etc/sudoers ดั่งนี้

Defaults mailto=admin@domain.com,mail_always
root ALL=(ALL) ALL
auttasak ALL=(ALL) NOPASSWD: ALL

หลังจากนั้นให้ทำการ Restart SSH ครับ เมื่อใดที่มีคน sudo จะมีอีเมล์แจ้งไปยัง admin@domain.com แบบนี้ทำให้เราทราบได้ว่ามีคน sudo เป็น root เมื่อใดบ้าง

Use wget on FreeBSD Ports with proxy

อัทศักดิ์ วงศ์กิตตะ — Tue, 27 Apr 2010 18:53:54 +0000

เพื่อนๆคงเจอปัญหาเมื่อต้องการติดตั้งโปรแกรมผ่าน Ports ของ FreeBSD ซึ้งจะต้องโหลด Source จากต่างประเทษปต่ปัญหาคือ ISP บางเจ้าในไทย Link Inter ช้าเหลือเกิน ทางออกคือใช้ proxy แทน มาดูวิธีเลยครับ

echo "FETCH_CMD=wget" >> /etc/make.conf
echo "FETCH_BEFORE_ARGS=-nc --progress=bar --read-timeout=60" >> /etc/make.conf
 
HTTP_PROXY=http://user:pass@proxy.domain.com:3128/
FTP_PROXY=http://user:pass@proxy.domain.com:3128/
export HTTP_PROXY FTP_PROXY

แค่นี้เพื่อนๆก็สามารถลงโปรแกรมผ่าน wget โดยใช้ Proxy ได้แล้วครับ

IPTables statefull firewall for Linux

อัทศักดิ์ วงศ์กิตตะ — Tue, 23 Mar 2010 11:04:18 +0000

หายไปนานครับ วันี้เอาเรื่องเก่าๆมาหากินใหม่ IPTables ที่ทำๆอยู่ทุกวันนี้แหละครับ พอดีทำ Shell Script ทิ้งไว้เลยเอามาแจกจ่ายให้เพื่อนๆเอาไปใช้งาน หลายๆคนถามว่าทำไมต้องเขียนเอง ก็เหตุผลง่ายๆครับ เราเขียนเองเรารู้ทุกๆ rules ที่มันทำงานอย่างไร เวลาเกิดปัญหา เราสามารถแก้ไขปัญหาได้ รวดเร็ว มาดูความสามารถของ script firewall ตัวนี้ครับ

ความสามารถ:
– State full firewall
– สามารถกำหนด Interface ที่ทำงานได้
– สามารถกำหนด VIP IP ได้
– สามารถกำหนด Band IP ได้
– มีการเก็บ Log ลง syslog
– ป้องกันการ Scan port ได้
– ป้องกัน IP Spoofig
– ป้องกัน SSH Attatch

#!/bin/sh
#
# rc.firewall - Initial IP Firewall
#
 
INET_IFACE="eth0"
IPTABLES="/sbin/iptables"
 
IP_ALLOW="61.19.249.66"
IP_BAND=""
ICMP_ALLOW="0 3 5 11"
TCP_ALLOW="22 25 53 80 8000 90 3128 20001" 
UDP_ALLOW="53"
 
FTP_PORT="1024:65335"
FTP_ENABLE=1
 
 
SSH_ATTACH=1
SSH_HITCOUNT=5
SSH_PORT=22
 
PORTSCAN_CHECK=1
SPOOFINGIP_CHECK=1
 
LOGLEVEL="DEBUG"
 
 
#
# Load IPTables Modules
#
modprobe ip_conntrack
modprobe ip_conntrack_ftp
 
#
# Reset IPTables
#
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t nat
 
#
# Create separate chains for ICMP, TCP and UDP to traverse
#
$IPTABLES -N vip_packets
$IPTABLES -N band_packets
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N log_attach
 
$IPTABLES -N DROP_TRAFFIC
 
 
 
#
# Drop packet
#
$IPTABLES -A DROP_TRAFFIC -p TCP -j REJECT --reject-with tcp-reset 
$IPTABLES -A DROP_TRAFFIC -p UDP -j REJECT --reject-with icmp-port-unreachable
 
#
# Log Attack
#
$IPTABLES -A log_attach -j LOG --log-level $LOGLEVEL --log-prefix "Attack:"
$IPTABLES -A log_attach -j DROP_TRAFFIC
 
 
#
# VIP IPaddress
#
for ip in $IP_ALLOW
do
        $IPTABLES -A vip_packets -s $ip -j DROP_TRAFFIC
done
 
 
#
# Band IPaddress
#
for ip in $IP_BAND
do
        $IPTABLES -A band_packets -s $ip -j DROP_TRAFFIC
done
 
 
 
#
# ICMP rules
#
for icmp in $ICMP_ALLOW
do
        $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type $icmp -j ACCEPT
done
 
#
# TCP rules
#
for port in $TCP_ALLOW
do
        $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $port -j ACCEPT
done
 
#
# UDP rules
#
for port in $UDP_ALLOW
do
        $IPTABLES -A udp_packets -p UDP -s 0/0 --dport $port -j ACCEPT
done
 
 
#
# INPUT chain
#
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INET_IFACE ! --syn -m state --state NEW -j log_attach
 
#
# Rules for incoming packets from the internet
#
 
if [ "$SPOOFINGIP_CHECK" == "1" ]; then
	$IPTABLES -N spoofing_check
 
	$IPTABLES -A spoofing_check -s 10.0.0.0/8 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 169.254.0.0/16 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 172.16.0.0/12 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 127.0.0.0/8 -j DROP_TRAFFIC
 
	$IPTABLES -A spoofing_check -s 224.0.0.0/4 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 224.0.0.0/4 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 240.0.0.0/5 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 240.0.0.0/5 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 0.0.0.0/8 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 0.0.0.0/8 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 239.255.255.0/24 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 255.255.255.255 -j DROP_TRAFFIC
 
	$IPTABLES -A INPUT -i $INET_IFACE -j spoofing_check
fi
 
if [ "$SSH_ATTACH" == "1" ]; then
        $IPTABLES -N sshattach_check
        $IPTABLES -A sshattach_check -m recent --set --name SSH
        $IPTABLES -A sshattach_check -m recent --update --seconds 60 --hitcount $SSH_HITCOUNT --name SSH -j log_attach
 
        $IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport $SSH_PORT -m state --state NEW -j sshattach_check
fi
 
#
# Port scan
#
if [ "$PORTSCAN_CHECK" == "1" ]; then
	$IPTABLES -N check-flags
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "NMAP:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "XMAS:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "XMAS-PSH:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "NULL_SCAN:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "SYN/RST:"
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "SYN/FIN:"
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP_TRAFFIC
 
	$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j check-flags
fi
 
 
if [ "$FTP_ENABLE" == "1" ]; then
        #Allow FTP traffic (Control)
        iptables -A INPUT -p tcp --sport $FTP_PORT --dport 21 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 21 --dport $FTP_PORT -j ACCEPT
 
        #Allow FTP traffic (Data)
        iptables -A INPUT -p tcp --sport $FTP_PORT --dport 20 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 20 --dport $FTP_PORT -j ACCEPT
fi
 
 
$IPTABLES -A INPUT -i $INET_IFACE -j vip_packets
$IPTABLES -A INPUT -i $INET_IFACE -j band_packets
 
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
 
 
# Default policy
$IPTABLES -A INPUT -i $INET_IFACE -j DROP_TRAFFIC

แก้ปัญหา REMOTE_ADDR ใน Reverse Proxy

อัทศักดิ์ วงศ์กิตตะ — Wed, 18 Feb 2009 17:58:37 +0000

สวัสดีครับ วันนี้จิบเบียร์แล้วก็มานั้งทบทวนเรื่องงานที่ทำ พอดีมีเรื่องเล็กๆน้่อยๆ ที่ผมเองทำและน่าจะเป็นประโยช์กับเพื่อนๆ เกี่ยวกับการตั้ง Reverse Proxy กับปัญหา เรื่อง IP ที่ show ใน app ของเรา

ปกติเวลาเราเขียน Apps หรือ พวกฟรี Webboard ทั้งหลายจะมีการ Check IP จาก

$_SERVER['REMOTE_ADDR'] และ $_SERVER['HTTP_X_FORWARDED_FOR'] หากเจอตัวแปล HTTP_X_FORWARDED_FOR ระบบจะทำการ Record IP จาก HTTP_X_FORWARDED_FOR ด้วย แต่หากว่าบางโปรแกรมที่เขียน จะเก็บแค่ REMOTE_ADDR ทำให้ IP ที่แสดงในโปรแกรมของเรา เป็น IP ของ Reverse Proxy แทน

Client IP: 203.146.1.1
Proxy IP: 192.168.1.100
Web IP: 192.168.1.1

[Client] ===> [Revert Proxy] ===> [Web Server]

เมื่อ Web Server ได้รับ Request Header จะได้ดั่งนี้

$_SERVER['REMOTE_ADDR'] = 192.168.1.100
$_SERVER['HTTP_X_FORWARDED_FOR'] = 203.146.1.1

ทางแก้ง่ายนิดเดียวครับ แก้ที่ System ไม่ต้องไปขอร้องให้ Programmer แก้ไขโค๊ดแต่อย่างใด ทางออกอยู่ที่ PHP ครับ โดย PHP จะมี Parameter อยู่ 2 ตัวคือauto_prepend_file และ auto_append_file

auto_prepend_file จะกำหนดว่า ก่อนที่จะรันไฟล์ php ทุกๆครั้ง จะทำการรันไฟล์นี้ก่อน ส่วน auto_append_file คือเมื่อทำการรันไฟล์ php ใดๆเสร็จแล้ว จะมารันไฟล์ ที่เรากำหนด เมื่อเรารู้ดั่งนี้แล้ว เ้ราก็มาดูโค๊ดแก้ปัญหาเรื่อง Rever Proxy & REMOTE_IP ได้เลยครับ

1. ให้เราไปกำหนดที่ php.ini ใส่พารามิเตอร์ auto_prepend_file “/etc/php-prepend.php”

2. แก้ไขไฟล์ /etc/php-prepend.php


$real_ip    = session_getip();
$ip        = $_SERVER["REMOTE_ADDR"];
 
$_SERVER["REMOTE_ADDR"]                    = $real_ip;
unset($_SERVER['HTTP_X_FORWARDED_FOR']);
 
function session_getip() {
if ($_SERVER["HTTP_CLIENT_IP"]) {
return $_SERVER["HTTP_CLIENT_IP"];
}
foreach (explode(",",$_SERVER["HTTP_X_FORWARDED_FOR"]) as $ip) {
if (trim($ip)) {
return $ip;
}
}
if ($_SERVER["HTTP_X_FORWARDED"]) {
return $_SERVER["HTTP_X_FORWARDED"];
} elseif ($_SERVER["HTTP_FORWARDED_FOR"]) {
return $_SERVER["HTTP_FORWARDED_FOR"];
} elseif ($_SERVER["HTTP_FORWARDED"]) {
return $_SERVER["HTTP_FORWARDED"];
} elseif ($_SERVER["HTTP_X_FORWARDED"]) {
return $_SERVER["HTTP_X_FORWARDED"];
} else {
return $_SERVER["REMOTE_ADDR"];
}
}
?>

Code ดั่งกล่าว จะทำการ ดึง IP ที่ HTTP_X_FORWARDED มาไว้ยัง $real_ip และทำการกำหนดให้ REMOTE_ADDR = $real_ip ทำให้ app ทั่วไปทีเราเขียนขึ้น ไม่ต้องทำการแก้ไข Code แต่อย่างใด

ป.ล. ส่วนของ prepend และ append สามารถนำไปใช้งานได้หลายรูปแบบมากกว่านี้เอาไว้โอกาศหน้า ผมจะมาเขียนบอกเล่าให้เพื่อนๆ ได้อ่านต่อไปครับ