How to Config » Development

IPTables statefull firewall for Linux

อัทศักดิ์ วงศ์กิตตะ — Tue, 23 Mar 2010 11:04:18 +0000

หายไปนานครับ วันี้เอาเรื่องเก่าๆมาหากินใหม่ IPTables ที่ทำๆอยู่ทุกวันนี้แหละครับ พอดีทำ Shell Script ทิ้งไว้เลยเอามาแจกจ่ายให้เพื่อนๆเอาไปใช้งาน หลายๆคนถามว่าทำไมต้องเขียนเอง ก็เหตุผลง่ายๆครับ เราเขียนเองเรารู้ทุกๆ rules ที่มันทำงานอย่างไร เวลาเกิดปัญหา เราสามารถแก้ไขปัญหาได้ รวดเร็ว มาดูความสามารถของ script firewall ตัวนี้ครับ

ความสามารถ:
– State full firewall
– สามารถกำหนด Interface ที่ทำงานได้
– สามารถกำหนด VIP IP ได้
– สามารถกำหนด Band IP ได้
– มีการเก็บ Log ลง syslog
– ป้องกันการ Scan port ได้
– ป้องกัน IP Spoofig
– ป้องกัน SSH Attatch

#!/bin/sh
#
# rc.firewall - Initial IP Firewall
#
 
INET_IFACE="eth0"
IPTABLES="/sbin/iptables"
 
IP_ALLOW="61.19.249.66"
IP_BAND=""
ICMP_ALLOW="0 3 5 11"
TCP_ALLOW="22 25 53 80 8000 90 3128 20001" 
UDP_ALLOW="53"
 
FTP_PORT="1024:65335"
FTP_ENABLE=1
 
 
SSH_ATTACH=1
SSH_HITCOUNT=5
SSH_PORT=22
 
PORTSCAN_CHECK=1
SPOOFINGIP_CHECK=1
 
LOGLEVEL="DEBUG"
 
 
#
# Load IPTables Modules
#
modprobe ip_conntrack
modprobe ip_conntrack_ftp
 
#
# Reset IPTables
#
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t nat
 
#
# Create separate chains for ICMP, TCP and UDP to traverse
#
$IPTABLES -N vip_packets
$IPTABLES -N band_packets
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N log_attach
 
$IPTABLES -N DROP_TRAFFIC
 
 
 
#
# Drop packet
#
$IPTABLES -A DROP_TRAFFIC -p TCP -j REJECT --reject-with tcp-reset 
$IPTABLES -A DROP_TRAFFIC -p UDP -j REJECT --reject-with icmp-port-unreachable
 
#
# Log Attack
#
$IPTABLES -A log_attach -j LOG --log-level $LOGLEVEL --log-prefix "Attack:"
$IPTABLES -A log_attach -j DROP_TRAFFIC
 
 
#
# VIP IPaddress
#
for ip in $IP_ALLOW
do
        $IPTABLES -A vip_packets -s $ip -j DROP_TRAFFIC
done
 
 
#
# Band IPaddress
#
for ip in $IP_BAND
do
        $IPTABLES -A band_packets -s $ip -j DROP_TRAFFIC
done
 
 
 
#
# ICMP rules
#
for icmp in $ICMP_ALLOW
do
        $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type $icmp -j ACCEPT
done
 
#
# TCP rules
#
for port in $TCP_ALLOW
do
        $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $port -j ACCEPT
done
 
#
# UDP rules
#
for port in $UDP_ALLOW
do
        $IPTABLES -A udp_packets -p UDP -s 0/0 --dport $port -j ACCEPT
done
 
 
#
# INPUT chain
#
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $INET_IFACE ! --syn -m state --state NEW -j log_attach
 
#
# Rules for incoming packets from the internet
#
 
if [ "$SPOOFINGIP_CHECK" == "1" ]; then
	$IPTABLES -N spoofing_check
 
	$IPTABLES -A spoofing_check -s 10.0.0.0/8 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 169.254.0.0/16 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 172.16.0.0/12 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 127.0.0.0/8 -j DROP_TRAFFIC
 
	$IPTABLES -A spoofing_check -s 224.0.0.0/4 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 224.0.0.0/4 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 240.0.0.0/5 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 240.0.0.0/5 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -s 0.0.0.0/8 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 0.0.0.0/8 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 239.255.255.0/24 -j DROP_TRAFFIC
	$IPTABLES -A spoofing_check -d 255.255.255.255 -j DROP_TRAFFIC
 
	$IPTABLES -A INPUT -i $INET_IFACE -j spoofing_check
fi
 
if [ "$SSH_ATTACH" == "1" ]; then
        $IPTABLES -N sshattach_check
        $IPTABLES -A sshattach_check -m recent --set --name SSH
        $IPTABLES -A sshattach_check -m recent --update --seconds 60 --hitcount $SSH_HITCOUNT --name SSH -j log_attach
 
        $IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport $SSH_PORT -m state --state NEW -j sshattach_check
fi
 
#
# Port scan
#
if [ "$PORTSCAN_CHECK" == "1" ]; then
	$IPTABLES -N check-flags
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "NMAP:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "XMAS:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL ALL -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "XMAS-PSH:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "NULL_SCAN:"
	$IPTABLES -A check-flags -p tcp --tcp-flags ALL NONE -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "SYN/RST:"
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP_TRAFFIC
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level $LOGLEVEL --log-prefix "SYN/FIN:"
	$IPTABLES -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP_TRAFFIC
 
	$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j check-flags
fi
 
 
if [ "$FTP_ENABLE" == "1" ]; then
        #Allow FTP traffic (Control)
        iptables -A INPUT -p tcp --sport $FTP_PORT --dport 21 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 21 --dport $FTP_PORT -j ACCEPT
 
        #Allow FTP traffic (Data)
        iptables -A INPUT -p tcp --sport $FTP_PORT --dport 20 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 20 --dport $FTP_PORT -j ACCEPT
fi
 
 
$IPTABLES -A INPUT -i $INET_IFACE -j vip_packets
$IPTABLES -A INPUT -i $INET_IFACE -j band_packets
 
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
 
 
# Default policy
$IPTABLES -A INPUT -i $INET_IFACE -j DROP_TRAFFIC

แก้ปัญหา REMOTE_ADDR ใน Reverse Proxy

อัทศักดิ์ วงศ์กิตตะ — Wed, 18 Feb 2009 17:58:37 +0000

สวัสดีครับ วันนี้จิบเบียร์แล้วก็มานั้งทบทวนเรื่องงานที่ทำ พอดีมีเรื่องเล็กๆน้่อยๆ ที่ผมเองทำและน่าจะเป็นประโยช์กับเพื่อนๆ เกี่ยวกับการตั้ง Reverse Proxy กับปัญหา เรื่อง IP ที่ show ใน app ของเรา

ปกติเวลาเราเขียน Apps หรือ พวกฟรี Webboard ทั้งหลายจะมีการ Check IP จาก

$_SERVER['REMOTE_ADDR'] และ $_SERVER['HTTP_X_FORWARDED_FOR'] หากเจอตัวแปล HTTP_X_FORWARDED_FOR ระบบจะทำการ Record IP จาก HTTP_X_FORWARDED_FOR ด้วย แต่หากว่าบางโปรแกรมที่เขียน จะเก็บแค่ REMOTE_ADDR ทำให้ IP ที่แสดงในโปรแกรมของเรา เป็น IP ของ Reverse Proxy แทน

Client IP: 203.146.1.1
Proxy IP: 192.168.1.100
Web IP: 192.168.1.1

[Client] ===> [Revert Proxy] ===> [Web Server]

เมื่อ Web Server ได้รับ Request Header จะได้ดั่งนี้

$_SERVER['REMOTE_ADDR'] = 192.168.1.100
$_SERVER['HTTP_X_FORWARDED_FOR'] = 203.146.1.1

ทางแก้ง่ายนิดเดียวครับ แก้ที่ System ไม่ต้องไปขอร้องให้ Programmer แก้ไขโค๊ดแต่อย่างใด ทางออกอยู่ที่ PHP ครับ โดย PHP จะมี Parameter อยู่ 2 ตัวคือauto_prepend_file และ auto_append_file

auto_prepend_file จะกำหนดว่า ก่อนที่จะรันไฟล์ php ทุกๆครั้ง จะทำการรันไฟล์นี้ก่อน ส่วน auto_append_file คือเมื่อทำการรันไฟล์ php ใดๆเสร็จแล้ว จะมารันไฟล์ ที่เรากำหนด เมื่อเรารู้ดั่งนี้แล้ว เ้ราก็มาดูโค๊ดแก้ปัญหาเรื่อง Rever Proxy & REMOTE_IP ได้เลยครับ

1. ให้เราไปกำหนดที่ php.ini ใส่พารามิเตอร์ auto_prepend_file “/etc/php-prepend.php”

2. แก้ไขไฟล์ /etc/php-prepend.php


$real_ip    = session_getip();
$ip        = $_SERVER["REMOTE_ADDR"];
 
$_SERVER["REMOTE_ADDR"]                    = $real_ip;
unset($_SERVER['HTTP_X_FORWARDED_FOR']);
 
function session_getip() {
if ($_SERVER["HTTP_CLIENT_IP"]) {
return $_SERVER["HTTP_CLIENT_IP"];
}
foreach (explode(",",$_SERVER["HTTP_X_FORWARDED_FOR"]) as $ip) {
if (trim($ip)) {
return $ip;
}
}
if ($_SERVER["HTTP_X_FORWARDED"]) {
return $_SERVER["HTTP_X_FORWARDED"];
} elseif ($_SERVER["HTTP_FORWARDED_FOR"]) {
return $_SERVER["HTTP_FORWARDED_FOR"];
} elseif ($_SERVER["HTTP_FORWARDED"]) {
return $_SERVER["HTTP_FORWARDED"];
} elseif ($_SERVER["HTTP_X_FORWARDED"]) {
return $_SERVER["HTTP_X_FORWARDED"];
} else {
return $_SERVER["REMOTE_ADDR"];
}
}
?>

Code ดั่งกล่าว จะทำการ ดึง IP ที่ HTTP_X_FORWARDED มาไว้ยัง $real_ip และทำการกำหนดให้ REMOTE_ADDR = $real_ip ทำให้ app ทั่วไปทีเราเขียนขึ้น ไม่ต้องทำการแก้ไข Code แต่อย่างใด

ป.ล. ส่วนของ prepend และ append สามารถนำไปใช้งานได้หลายรูปแบบมากกว่านี้เอาไว้โอกาศหน้า ผมจะมาเขียนบอกเล่าให้เพื่อนๆ ได้อ่านต่อไปครับ

PHP – 2 Way Encrypt by PKI

อัทศักดิ์ วงศ์กิตตะ — Fri, 16 Jan 2009 15:31:14 +0000

ช่วงนี้ขยันครับกะจะปั่นบาความใหม่ๆสะหน่อย หลังจากไม่ได้เขียนมาสะนาน วันนี้เอาเรื่องเกี่ยวกับ Developer บ้างผมเองเป็นทั้ง System, Programing เลยยกเรื่องการเ้ข้ารหัสข้อมูลที่เป็นแบบ 2 way คือสามารถ เข้ารหัส และถอดกลับมาได้ และมีความปลอดภัยสูง

มาพูดเรื่อง PKI ก่อนนะครับ ส่วนตัวผมเองไม่ได้เรื่อง IT มาเรื่อง PKI ผมเองก็ได้แต่อ่านๆจากในเน็ต แล้วก็นำมาเล่าสู่กันฟัง ท่าสามารถหาข้อมูลที่ลึงมากกว่านี้ได้จาก Link ข้างล่าง “Public key infrastructure” คือการเข้ารหัสข้อมูล โดยใช้ กุญแจ 2 ลูกคือ Public Key และ Private Key หากเราเข้ารหัสข้อมูลโดยใช้ Private Key เราก็ต้องถอดรหัสโดยใช้ Public Key ในทางกลับกัน ถ้าเข้ารหัสด้วย Public Key ก็ต้องใช้ Private Key ถอดรหัสเท่านั้น

ทีนี้มาพูดถึงความปลอดภัย ตัว PKI เองสามารถเลือก bit การเข้ารหัสได้ตามที่เราต้องการ ตั้งแต่ 512, 1024, 2048 และสามารถเข้ารหัวได้สูงกว่านี้ ทำให้เป็นการยากที่จะถอดรหัสได้ ทุกๆวันนี้เราเองก็ใช้เทคโนโลยีนี้แทบทุกวัน โดยที่เราไม่รู้ตัว อย่างบัตร SmartCard เองก็ใช้ PKI ในการเข้ารหัส หรือ Card UBC เองก็ใช้เช่นกัน อีกตัวอย่างคือ เวลาเข้าเว็บไซด์ผ่าน https ระหว่าง Web Server และ Browser ก็จะมีการเข้ารหัสข้อมูล โดยใช้เทคโนโลยี PKI ในการเข้ารหัสเช่นกัน

ทีนี้มาพูดถึงแนวทางเอาไปใช้งานกับ PHP ในการณี้ทีเรามีข้อมูลที่เราต้องการเข้ารหัส และต้องสามารถถอดรหัสกลับมาได้ด้วย เราสามารถเอา PKI เข้ามาแก้ไขปัญหาดั่งกล่าวได้ โดยการสร้าง Private Key และ Publick Key ในการถอดรหัส แต่มีข้อแม้ว่า Key ดั่งกล่าวต้องไม่หาย ถ้าหาย ก็บอกลา Data ที่คุณเข้ารหัสไว้ได้เลย

ตัวอย่าง ผมมีข้อมูลที่ต้องส่งผ่านหน้า Web โดยการ Redirect ผ่าน URL ไปยังอีกเว็บหนึ่ง โดยที่ผมไม่ต้องการให้ใครสามารถเปิดข้อมูลได้ ผมจะทำการ Encryt ข้อมูลโดยใช้ Public Key ของเว็บตรงข้าม และ เว็บตรงข้ามต้องใช้ Private Key เท่านั้นในการ Decrypt ข้อมูล

1. สร้าง Private Key และ Pubkic Key ผ่่าน Command Line

openssl genrsa -out private.key 2048
openssl rsa -pubout  &lt; private.key  &gt; public.key

2. ทำการสร้าง Code PHP Function

การนำไปใช้งาน ท่านสามารถเอา ใช้ PHP เรียก Function ดั่งกล่าว เพื่อ Encrypt และ Decrypt ได้เลยครับ

Refer:

http://en.wikipedia.org/wiki/Public_key_infrastructure

http://thaicert.nectec.or.th/paper/encryption/sshl.php

http://www.google.co.th/search?hl=th&q=Public+key+infrastructure&btnG=%E0%B8%84%E0%B9%89%E0%B8%99%E0%B8%AB%E0%B8%B2&meta=cr%3DcountryTH

Check Transparent Proxy

อัทศักดิ์ วงศ์กิตตะ — Mon, 01 Sep 2008 05:18:35 +0000

คือมี case ที่ต้องทำ transparent proxy ครับ แต่ว่าเวลา proxy มีปัญหา ผมอยากให้ทำการ ปลด proxy ออกเอง ผมเลยเขียน shell script มาเพื่อทำการ ตรวจสอบว่า proxy ทำได้หรือเปล่า ถ้าทำงานได้ ก็จะเพิ่ม iptables ทำการสร้าง DNAT ไปยังเครื่อง Proxy ครับ

หลักกาารง่ายๆคือ จะใช้ curl แล้ว set proxy เป็นเครื่อง Proxy ที่เรากำหนด เสร็จแล้วก็ให้ curl ทำการ connect ไปยัง web ปลายทาง ถ้า connect ได้ content ที่ return มาจาก curl จะมากกว่า 0 และทำให้ script เพิ่ม iptables เข้าไปครับผม

#!/bin/sh
 
#
#	Check Proxy	v.10
#	By Auttasak Wongkitta
#	http://howtoconfig.com
 
PROXY="192.168.100.254:3128"
URL="http://manager.co.th"
LINUX_IP="192.168.100.254"
LINUX_IF="eth2.1"
 
RESULT=$(curl -x $PROXY  $URL 2&gt;/dev/null | wc -l)
USEPROXY=$(iptables -t nat -L PREROUTING -n | grep $PROXY | wc -l)
 
if [ $RESULT -eq 0 ]; then
        if [ $USEPROXY -ne 0 ]; then
                iptables -t nat -D PREROUTING -i $LINUX_IF -d ! $LINUX_IP -p tcp --dport http -j DNAT --to $PROXY
        fi
else
        if [ $USEPROXY -eq 0 ]; then
                iptables -t nat -A PREROUTING -i $LINUX_IF -d ! $LINUX_IP -p tcp --dport http -j DNAT --to $PROXY
        fi
fi

พรบ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ – Revert Proxy Log Rotate

อัทศักดิ์ วงศ์กิตตะ — Sat, 23 Aug 2008 19:19:50 +0000

ตามที่ พรบ ได้กำหนดให้ “ผู้ให้บริการ” เก็บ log การใช้บริการ โชคดีที่ผมมี Revert Proxy วางไว้หน้า Web Server ทำให้สามารถเก็บ Log ได้ง่ายหน่อย ตัว script ที่ผมเขียนนี้ จะทำการ rotate log และ compress log ไว้ ใน version ต่อไป จะทำการ ftp ไปไว้ยัง Log Server อื่น แทนครับ

#!/bin/sh
#
#    Howtoconfig.com
#    Squid Log Rotate v0.1
#    By Mr. Auttasak Wongkitta
 
SQUID_CONF="/etc/squid/squid.conf"
COMPRESS=yes
LOG="/var/log/backup_log"
 
###############################
DATE=$(date "+%Y%m%d-%H")
HOSTNAME=$(hostname -s)
SQUID_PATH=$(whereis squid | awk '{print $2}')
 
SQUID_LOG=$(cat $SQUID_CONF | grep "^access_log" | awk '{print $2}')
if [ -z $SQUID_LOG ]; then
echo " * Error : access_log not found!!!"
fi
SQUID_LOG_NEW="$SQUID_LOG-$HOSTNAME-$DATE"
 
###############################
Log()
{
local LogText;
LogText="$@"
echo $(date +"%d/%m/%y %T")  "   " $LogText &gt;&gt; $LOG
}
###############################
###############################
Log ""
Log ""
Log "--------------------------------------------"
Log "Squid log rotate - startup"
Log ""
 
Log "Rotate Log"
$SQUID_PATH -k rotate
Log "done"
Log ""
 
Log "Loop check $SQUID_LOG.0"
while [ ! -f $SQUID_LOG.0 ]; do
sleep 1;
done
Log "done"
Log ""
 
Log "Move $SQUID_LOG.0 $SQUID_LOG_NEW"
mv $SQUID_LOG.0 $SQUID_LOG_NEW
Log "done"
Log ""
 
if [ -f $SQUID_LOG_NEW ]; then
Log "MD5 Sum : $SQUID_LOG_NEW"
SQUID_MD5=$(md5sum $SQUID_LOG_NEW | awk '{print $1}')
Log "Checksum : $SQUID_MD5"
Log "done"
Log ""
fi
 
if [ $COMPRESS=='yes' ]; then
Log "Compress log $SQUID_LOG_NEW"
SIZE_OLD=$(ls -sh $SQUID_LOG_NEW | awk '{print $1}')
tar jpcf $SQUID_LOG_NEW.tar.bz2 $SQUID_LOG_NEW 2&gt;/dev/null
SIZE_NEW=$(ls -sh $SQUID_LOG_NEW.tar.bz2 | awk '{print $1}')
Log "Compress from $SIZE_OLD -> $SIZE_NEW"
Log "done"
Log ""
 
if [ -f $SQUID_LOG_NEW.tar.bz2 ]; then
Log "Remove file : $SQUID_LOG_NEW"
rm $SQUID_LOG_NEW
Log "done"
Log ""
fi
fi
 
Log ""
Log "End"

ลบ ^M (CTRL-M) ออกจากไฟล์ หรือแทนที่ด้วย ด้วย VIM

กวิน ชัยเลิศ — Tue, 10 Jun 2008 10:43:58 +0000

เพื่อนๆ คงจะเคยประสบปัญหากับ source code หรือ text file ที่เต็มไปด้วย ^M (CTRL-M) โดยที่เราไม่ต้องการจะเห็นมัน

ผมมีวิธีลบ ^M ออกไปจาก file ด้วย VIM (editor เทพ!) มาแนะนำครับ

ตัวอย่าง file ที่เต็มไปด้วย ^M

ลบ ^M ออกจากไฟล์

:%s/^M//g

แทนที่ ^M ด้วย

:%s/^M/\r/g

*ให้พิมพ์ CRTL-V ตามด้วย CTRL-M จึงจะเป็น ^M ที่ถูกต้อง
สำหรับ VIM for Windows ต้องใช้ CTRL-Q แทน CRTL-V ครับ

ตัวอย่าง file ที่ถูกแทนที่ด้วย

Split MySQL Query แยก RO/RW

อัทศักดิ์ วงศ์กิตตะ — Sat, 07 Jun 2008 20:43:05 +0000

วันนี้มีปัญหาขึ้นมาครับ เนื่องจาก MySQL Cluster ที่ใช้งบานนั้นลองทดสอบความเร็วแล้วสู้ MySQL แล้วใช้ Local Engine ไม่ได้เลย งานนี้เลยต้องหาทางออกครับ ผมเลยไปมอง เรื่อง MySQL Replication หลังจาก Setup และ Tuning เสร็จ ก็มาลองทดสอบความเร็ว มัน Query เร็วกว่า MySQL Cluster หลายเท่าเลยครับ

ทีนี้ก็มาดูเรื่อง Codeing ปัญหาคือมันเป็นโปรแกรมที่เค้าเขียนมานานละ ผมเข้าไปแก้อะไรไม่ค่อยได้ หรือถ้าแก้จริงๆ อยาจจะเป็น Bug อีกก็ได้ คิดไปๆมาๆ อ่าเจอทางออกแล้ว

ปัญหา

MySQL Cluster ช้า ต้องไปใช้ MySQL Replication แทน
แก้ Code ลำบาก เพระา code ค่อนข้างมาก
Query ต้องเร็วและเพิ่ม MySQL Server ได้ในอนาคต

ทางแก้

MyQL-Proxy ส่วนนี้ผมลองเอามาใช้แล้วครับ ลอง Query ดูมันก็ยังช้ากว่า Connect เข้า DB ตรงๆถึง 5 – 10 เท่า
Edit Query ผมเลือกทางนี้ครับ แต่มันมีวิธีลักไก่หน่อย

แนวคิดคือต้องไม่ไปยุ่งกะ Code มาก ผมเลยทำการสร้าง php function ใหม่ขึ้นมาครับ โดยทำหน้าที่ check sql ก่อนที่จะ Query ว่าเป็น SELECT, UPDATE, INSERT, DELETE แล้วให้ function ที่สร้างขึ้นมา เลือกที่จะไป query กะ mysql เครื่องไหน

1. สร้าง function mysql_do_query

function mysql_do_query( $sql, $count_rw=null)
{
	global $conn_ro, $count_rw, $count_ro;
	if ( ! empty( $sql))
	{
		if ( ereg("^SELECT(.*)", strtoupper( $sql)))
		{
			$count_ro++;
			return mysql_query( $sql, $conn_ro);
		} else {
			$count_rw++;
			return mysql_query( $sql);
		}
	}
}

2. ทำการ edit *.php แล้วทำการ replace mysql_query -> mysql_do_query โดยผมใช้ คำสั่ง sed ใน shell script เพื่อแก้ไขไฟล์

#!/bin/bash
for fl in *.php; do
mv $fl $fl.old
sed 's/mysql_query/mysql_query/g' $fl.old &gt; $fl
rm -f $fl.old
done

เสร็จแล้วก็รันครับ shell script จะทำการ find หา *.php แล้วทำการเปลี่ยน function ให้ ต่อไปเวลา ให้ programmer เขียน codeing ก็ให้ทำการ ใช้ function mysql_do_query() แทนครับ

Shell Script Backup MySQL

อัทศักดิ์ วงศ์กิตตะ — Sat, 31 May 2008 09:43:41 +0000

สวัสดีครับผม ว่าแล้ววันนี้ก็เขียน shell script ง่ายๆ เพื่อ backup mysql ลง NFS ที่ผม map ไว้ โดย script ที่เขียนขึ้นมานั้น จะมีข้อดีก็ตรงการตั้งเวลาในการลบ data เก่าทิ้งได้

#!/bin/sh
 
export PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin:/root/bin
 
BACKUP_SRC=”/usr/home/mysql”
BACKUP_DST=”/data/backup/mysql”
LIMIT=7d
 
########################################
HOSTNAME=`uname -n`
DATE=`date +%Y%m%d`
DATE_DELETE=`date -v-${LIMIT} +%Y%m%d`
BACKUP_LOG=”${BACKUP_DST}/backup.log”
########################################
 
echo “=============================” >> ${BACKUP_LOG}
echo `date` >> ${BACKUP_LOG}
echo -n “delete expire backup data..” >> ${BACKUP_LOG}
rm -rf $BACKUP_DST/mysql-$DATE_DELETE 1> /dev/null 2> /dev/null
echo ” done” >> ${BACKUP_LOG}
 
echo -n “backup database..” >> ${BACKUP_LOG}
cp -Rp $BACKUP_SRC $BACKUP_DST/$DATE
echo ” done” >> ${BACKUP_LOG}

การทำงานของ script คือ ระบบจะทำการหาวันปัจจุบัน และวันที่ expire “DATE_DELETE=`date -v-${LIMIT} +%Y%m%d`” โดยจะลบวันจากปัจจุบันไปอีก 7 วัน แล้วก็ค่อย Delete ทิ้งครับผม ส่วนของวัน สามารถแก้่ไขได้ครับ เป็น 7d, 1m (1เดือน) ประมาณนี้ครับ

เปลี่ยน view source editor ของ IE

กวิน ชัยเลิศ — Fri, 30 May 2008 10:46:49 +0000

เทคนิคสำหรับเปลี่ยน view source editor ของ IE (Windows Internet Exploper)

Run regedit

สร้างไฟล์ใหม่ชื่อ change-defaut-viewer.reg แล้ว copy ในข้อความข้างล่างนี้ไปใช้

"C:\\Program Files\\Vim\\vim71\\gvim.exe"

สำหรับบรรทัดสุดท้าย ให้เปลี่ยนเป็นที่อยู่ของ editor ที่ต้องการใช้สำหรับ view source

*แล้วพบกลับเทคนิคการใช้งาน VIM ที่นี่ … เร็วๆ นี้ครับ