Установка терминального сервера Windows 2003 Server

Установка сервера терминалов

Заходим Administrator’ом. Если всё сделано правильно — перед нами окно «Manage Your Server» и никаких (!) сообщений об активации.

Список «ролей» (теперь это так называется) нашего сервера пуст. Добавляем роль нашему серверу. Компьютер симулирует поиск чего-то там по локальной сети, и предлагает нам выбрать: между той ролью, которая нужна нам по ЕГО мнению и той, которая нужна по ВАШЕМУ мнению. Поскольку в искусственный интеллект и прочие сказки мы с вами уже не верим, да и своё мнение нам как-то дороже, то выбираем: Сustom.

В появившемся списке ролей выбираем Terminal Server, и нажимаем Next. Снова нажимаем Next, а затем OK — подтверждая свою готовность перегрузить компьютер.

Перегружаясь, удивляемся, как быстро загружается Windows 2003 Server по сравнению с Windows 2000.

Заходим под Administrator’ом, и говорим установке сервера терминалов Finish. Заметьте: в окне Managing your computer появилась роль: Terminal Server. Однако ниже сказано, что: «Поскольку сервера терминальных лицензий не найдено, то сервер терминалов будет выдавать временные лицензии на соединение, каждая из которых закончит своё существование через 120 дней».

Такая ситуация нас никак не устраивает, поэтому мы устанавливаем сервер терминальных лицензий. Для этого заходим в Пуск -> Панель управления -> Установка и удаление программ -> Компоненты Windows. Ставим галочку напротив пункта Terminal Server Licensing. Hажимаем Next. Затем Finish.

Теперь у нас установлен сервер терминальных лицензий. Hо его ещё надо активировать.

Если есть корпоративный прокси, его следует прописать в Панель управления -> Hастройки интернет.

Заходим в Администрирование -> Terminal Server Licensing. Видим, что найденный на нашем компьютере сервер находится в состоянии Not activated.

Щелкаем правой кнопкой, говорим Activate server. Выбираем тип подключения Automatic. Вводим свои личные данные (имя, фамилию, организацию, страну — строго те, которые были введены при установке Windows). Следующую страничку (E-Mail, адрес) я оставил пустой. Hажимаем Next, и ждём.

Активация должна пройти успешно. Становится непонятным, какой смысл тогда Microsoft закладывала в эту активацию? Зачем она нужна кроме сбора статистики? После успешной активации вам будет предложено добавить лицензии. Что ж, продолжим.

Запустится Client Access License (CAL) Activation Wizard, который первым делом снова полезет в Microsoft. После чего спросит тип лицензии, которую желаете установить. Я выбрал Enterprise Agreement, и следующим этапом у меня спросили магическое
число. Как оказалось, это магическое число прекрасно ищется в любом поисковике по запросу Enrollment Number. Я выбрал первое попавшееся: 6565792.

Теперь нужно указать продукт — Windows 2003 Server. Тип лицензии — per Device. Количество — 999 (9999 у меня почему-то не прошло). Лицензия инсталлировалась отлично. Закрываем окно Terminal Server Licensing.

Hастраиваем сервер

Из папки Администрирование вытаскиваем на рабочий стол ярлычки Computer Management и Terminal Server Manager. Это не обязательно, но так намного удобнее.

Заходим в Computer Management, создаём группу/группы пользователей 1С.

Заходим в Администрирование -> Terminal Services Configuration. В настройках Server Setting снимаем ограничение «Restrict each user to one session». В списке Connections выбираем соединения и настраиваем их Propetries:

Закладка Client Settings:

  • Заменяем настройки пользователей в отношении дисков и принтеров собственными: подключать всё (то есть верхняя галочка должна быть снята, а три следующие должны быть активными и установленными);
  • Ограничить глубину цвета до 16 бит;
  • Запретить переадресацию LPT, COM, Audio портов.

Закладка Permissions:

  • Добавляем созданные группы пользователей 1С и ставим им права: Guest Access + User Access.

Закладка Remote Control:

  • Use remote control with following setting:
  • [ ] Require user’s permission (снимаем галочку)
  • (o) Interact with the session

Закрываем Terminal Services Configuration. Далее делаем следующее:

  • Заходим в My computer;
  • Говорим Propetries на диске C:;
  • Говорим Advanced…;
  • Удаляем права, позволяющие группе Users создавать папки и файлы;
  • Так секьюрнее.

Заходим с Панель управления -> Система. Закладка «Автоматическое обновление». Отключаем всё автоматическое обновление напрочь.

Заходим в Администрирование -> Local Security Settings -> Account Policies -> Password Polisy. Устанавливаем «Maximum password age» = 0 — так удобнее.

Заходим с Computer Management, добавляем себя в качестве пользователя.
Hе забываем:
— Password never expires;
— Добавить себя в группы пользователей 1С;
— Снять галочку «Require user’s permission» на закладке «Remote control».

Пробуем подключиться к серверу

Пробуем подключиться с другого компьютера к серверу терминалов. Для этого нам нужно установить на компьютер клиент. В составе XP такой клиент уже есть: «Пуск -> Программы -> Стандартные -> Связь -> Удаленное управление рабочим столом».
Однако, мне кажется, даже на XP его стоит переустановить: клиент в составе Win2003 Server будет все-таки поновее.

Он находится в папке: C:WINDOWSSYSTEM32CLIENTSTSCLIENT. Установите его на всех машинах, с которых хотите работать на сервере терминалов.

После запуска клиента нажмите кнопку «Options>>». Для пользователей 1С лучше применять следующие настройки:

Закладка «Общие»:
— заполнить поля компьютер, имя пользователя, пароль
— домен (если сеть с доменами — имя домена, если без доменов — имя сервера)

Закладка «Экран»:
— рабочий стол — во весь экран
— цветовая палитра — 16 бит

Локальные ресурсы:
— звук — не проигрывать
— клавиши — только в полноэкранном режиме
— автоматически подключаться к дискам и принтерам — (!!!) это обязательно

Закладка «Дополнительно»:
— скорость — модем 28.8 — должна остаться одна галочка — кэширование графики

Теперь эти настройки можно сохранить в файл с расширением RDP. Обратите внимание на галочку «Сохранять пароль» на закладке «Общие». Для операционных систем Win2000 и WinXP эта галочка доступна. Для других — нет. К сожалению, пользователи Win9x лишены возможности сохранять пароль в RDP файле — поэтому настройте ваших пользователей Win9x, что кроме пароля на 1С им придётся набивать пароль на Windows.

Как поступить с этим паролем — дело ваше. Можно назначить всем один пароль, можно сгенерировать свой пароль для каждого пользователя. Однако, вам крайне желательно знать пароль каждого пользователя — это пригодится для удалённого присоединения и администрирования сессий.

Hастроив должным образом соединение, убедитесь, что оно работает, и сохраните его в RDP-файл (можно прямо на рабочий стол).

Удаление всех писем в почтовом ящике Exchange 2003

Иногда возникает необходимость удалить все письма у пользователей, ящики которых находятся на Exchange.

Это можно сделать несколькими способами.

1) Удалить почтовый ящик пользователя, затем снова создать его.

Но этот вариант не совсем удобен, если много пользователей.

2) Воспользоваться утилитой exmerge.

Скачать её можно тут

Почитать как ей воспользоваться можно тут

Если пользовательские почтовые ящики занимают значительный обьём, то Вы можете предварительно их почистить встроенными средствами Exchange.

Создайте новую политику в ESM (Exchange System Manager)

ESM -> Recipients -> Recipient Policies — Default Policy — new policy — mailbox managment settings

Настройте это правило. Применить его для необходимого сервера. И после этого воспользуйтесь exmerge.

Так же рекомендуется поставить на mailbox starge галку cyrcular logging и перезапустить службы Exchange, после чего снять эту галку и снова перезапустить службы.

Небольшой FAQ по iptables

Разрешаем производить только 4 коннекта к 22 порту в течении 60 секунд:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP


Как удалить iptables правило по номеру

iptables -L INPUT --line-numbers
iptables -D INPUT номер
iptables -t nat -L POSTROUTING --line-numbers
iptables -t nat -D POSTROUTING номер


Как ограничить пропускную полосу для пакетов помеченных меткой через MARK

Сделать MARK, и загнать все такие трансферы в какой-либо класс шейпера. Т.е. если например помеченные пакеты — все их отнести к классу 1:51 где скорость ограничена от 32К до 64К:

tc filter add dev eth1 parent 1:0 protocol ip prio 100 handle 51 fw classid 1:51
tc class add dev eth1 parent 1:2 classid 1:51 htb rate 32Kbit ceil 64Kbit
tc qdisc add dev eth1 parent 1:51 handle 51 sfq perturb 10


Как запретить пользователям качать большие файлы
— Собираем поддержку connbytes в patch-o-matic.
— Добавляем правило в firewall, например:

iptables -A FORWARD --connbytes 100000 -j REJECT

— теперь все TCP сессии более 100 Кбайт будут «обрезаны», необходимо добавить исключения для протоколов типа ssh, обычные «долгоживущие» чаты и т.п.

Борьба с Kazaa и прочим вредным трафиком путем вырезания пакетов по маске

— собираем поддержку «string» в patch-o-matic.
— смотрим на протокол Kazaa, в заголовках содержится:

HTTP/1.0 503 Service Unavailable.Retry-After: 3..X-Kazaa-Username: BlazeTre

— добавляем в firewall строчку — iptables -A FORWARD -m string —string «X-Kazaa-» -j REJECT

Как в Linux перебросить соединение через NAT во внутреннюю сеть (1)

Первый путь — пробрасывание только порта:

1) iptables -t nat -A PREROUTING -p tcp -d EXT_R_IP --dport 10000 -j DNAT --to-destination LOCAL_IP:80
2) iptables -A FORWARD -i eth0 -d LOCAL_IP -p tcp --dport 22 -j ACCEPT

Второй вариант — выброс всей машины наружу (если есть свободные адреса):

1) ifconfig eth0:0 NEW_IP netmask NETMASK broadcast BROADCAST
2) route add NEW_IP gw GW netmask 0.0.0.0 metric 1 dev eth0:0
3) iptables -t nat -A PREROUTING -p tcp -d NEW_IP -j DNAT --to-destination LOCAL_IP
4) iptables -A FORWARD -i eth0 -d LOCAL_IP -j ACCEPT

Обозначения: EXT_R_IP — внешний IP роутера, LOCAL_IP — внутренний IP машины, которую хочешь выбросить NEW_IP — новый IP на который хочешь посадить машину, которая имеет локальный LOCAL_IP NETMASK, BROADCAST, GW — внешние netmask, broadcast и gateway


Пример настройки NAT с привязкой к IP под Linux

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth0 -j SNAT --to-source 212.23.98.45

или (без привязки к IP)

ipchains -A forward -j MASQ -s 192.168.0.0/16 -d 0.0.0.0/0

или (через iproute2)

ip rule add from 10.0.1.0/24 nat 254.147.38.14

Другой способ трансляции адресов:<

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE


Как ограничить через iptables максимальное число одновременных соединений с одного IP.

# Максимум 10 одновременных соединений к 80 порту с одного IP
iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
# Блокируем на стадии SYN
iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10
# 20 соединений на сеть класса С
iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT


Как посмотреть статистику по PREROUTING цепочкам в iptables.
> Делаю: >

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128 &gt;

По iptables -L ничего не показывается.
Используйте:

iptables -t nat -L


Как настроить пакетный фильтр для фильтрации по содержимому пакетов
Следующие правила блокируют прохождение пакетов, данные в которых содержат подстроку virus.exe и ведут лог пакетов с строкой secret внутри:

iptables -A INPUT -m string --string "secret" -j LOG --log-level info --log-prefix "SECRET"
iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --string "virus.exe"
# Block Code Red
iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"
# Block Nimda
iptables -I INPUT -j DROP -p tcp -m string --string "root.exe"
iptables -I INPUT -j DROP -p tcp -m string --string "default.ida"


Как настроить NAT (транслятор адресов) для нормальной работы с FTP и ICQ в Linux
iptables:

modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_nat_irc

ipchains:

modprobe ip_masq_ftp
modprobe ip_masq_raudio
modprobe ip_masq_irc
modprobe ip_masq_icq


Можно ли отфильтровывать пакеты (вести лог) в зависимости от UID пользователя ?>
Для FreeBSD:

ipfw add count tcp from any to not 192.168.1.0/24 uid 231

uid user (или gid group) — под правило попадают все TCP или UDP пакеты посланный или принятые пользователем user (группой group).
В Linux в ядрах 2.4.x в iptables можно использовать модуль owner.

Ограничение трафика через iptables (1)

iptables --new-chain car
iptables --insert OUTPUT 1 -p tcp --destination-port 25 -o eth1 --jump car
iptables --append car -m limit --limit 20/sec --jump RETURN
iptables --append car --jump DROP

Источник

VPN на основе FreeBSD и vtun

В сети так много сайтов, объясняющих каждому, как престижно иметь в своем распоряжении VPN. Но ни один из них не публикует детального описания, как этого добиться. Побродив несколько дней по просторам интернета, но так и не найдя нормального описания процесса развертывания VPN, решил написать об этом сам.

Я буду использовать vtun, написаный Максимом Краснянским на основе пакета VPPP. Вы можете спросить, почему именно vtun. Ведь можно было использовать что-либо вроде PPP поверх SSH, IPSEC или GRE. Возможно, в ближайшее время я напишу о работе с IPSEC или OpenVPN. Главным достоинством vtun является простота в установке и настройке. Он поддерживает разнообразные типы туннелей IP, Ethernet, PPP, SLIP. В качестве туннеля можно использовать даже pipe. Для шифрования используется OpenSSl. Доступны алгоритмы blowfish с ключом в 128 бит или MD5 с ключом той же длины. Компрессия потока производится с помощью библиотек LZO или zlib. Следует отметить, что zlib работает только с tcp туннелями. Поддерживаются следующие операционные системы: Linux, Solaris, FreeBSD, NetBSD, OpenBSD и другие BSD клоны. В принципе, vtun должен работать на любой платформе, для которой есть универсальный драйвер tun/tap. Устройство tun используется для туннелирования IP фреймов, а tap для Ethernet фреймов. С помощью tun/tap пользовательские программы получают возможность самостоятельно обрабатывать IP пакеты. Для некоторых операционных систем необходимо перекомпилировать ядро с поддержкой tun/tap устройств. Vtun работает на основе клиент-серверной модели. Соответственно, для создания туннеля на одном из хостов демон vtun должен быть запущен как сервер, а на другом в роли клиента.

После запуска демон, выполняющий роль сервера, по умолчанию начинает слушать порт 5000. Если между клиентом и сервером находится брандмауэр, необходимо разрешить прохождение пакетов, адресованных на порт 5000. При попытке подсоединиться на этот порт происходит аутентификация клиента на основе пароля, записанного в конфигурационном файле /usr/local/etc/vtund.conf. Затем с помощью функции fork запускается еще один демон vtun, которому передается клиентское соединение. Новый демон будет существовать до тех пор, пока соединение не будет разорвано. В тоже время родительский демон продолжает ждать новых соединений. Это значит, что единственный демон может обслуживать множество одновременных подключений.

С помощью ключей командной строки можно указать другое местоположение конфигурационного файла. Это дает нам возможность запустить на одном хосте несколько демонов vtun, ожидающих соединений на разных портах. Каждый из этих демонов будет использовать собственные настройки. Соответственно, некоторые из этих демонов могут быть серверами, а другие клиентами.

Давайте представим, что у нас есть филиал, магазин и офис, использующие адреса из пространства частных сетей. Необходимо эти подразделения соединить с помощью VPN. Для этих целей мы будем использовать реальные ip адреса, выданные нам провайдером из сети 80.80.20.0. Для соединения сетей нам понадобятся три компьютера. На каждом из них будет по три сетевых интерфейса. Более подробно это показано в приведенной ниже таблице.

имя машины внутренняя подсеть внутренний интерфейс внешний интерфейс виртуальный интерфейс tun
офис vpn_office 192.168.30.0 192.168.30.251 ed0 80.80.20.2 ed1 192.168.0.2
филиал vpn_filial 192.168.20.0 192.168.20.251 ed0 80.80.20.1 xl0 192.168.0.1
магазин vpn_shop 192.168.40.0 192.168.40.251 wb0 80.80.20.3 fxp0 192.168.0.3

Схема соединения наших сетей выглядит так :

net_schema

А пока берем исходник библиотеки LZO. Если не удалось скачать, то берем дистрибутив здесь. Распаковываем и собираем.

# tar zxvf lzo-1.08.tar.gz
# cd lzo-1.08
# ./configure
# make
# make check
# make test
# make install

Скачиваем vtun. Конфигурируем его c указанием использовать библиотеку lzo.

# tar zxvf vtun-2.5.tar.gz
# cd vtun
# ./configure --with-lzo-headers=/usr/local/include/ --with-lzo-lib=/usr/local/lib

Случается, что команда ./configure завершается с ошибкой. Вероятнее всего это значит, что система не смогла обнаружить библиотеку lzo. Если Вам не удастся самостоятельно избавиться от этой ошибки, выполните команду:

# ./configure --disable-lzo

А затем, как положено, выполняем компиляцию и установку.

# make
# make install

Повторяем эти действия на каждой из трех машин. Если все прошло гладко, значит пришло время заняться конфигурированием каждой машины. В нашем случае машина vpn_office будет выполнять роль сервера, соответственно, vpn_filial и vpn_shop станут клиентами. Конфигурационный файл vtun находится в директории /usr/local/etc/vtund.conf.

Давайте посмотрим, из чего состоит конфигурационный файл хоста vpn_office.

options {
port 5000;                         # номер порта, используемого для соединения с клиентами
ifconfig /sbin/ifconfig;         # путь к программе ifconfig
route /sbin/route;              # путь к программе route
}
 
default {
compress lzo:9;               # если не удалось включить поддержку lzo, то  параметр должен принять значение compress no;
speed 0;                          # ограничения скорости соединения нет
}
 
# настройки, определенные в блоках options и default, относятся ко всем
# остальным блокам
 
filial {{                        # описываем клиента филиал
    pass secret;          # пароль соединения - слово secret
    type tun;               # тип IP туннеля tun
    proto udp;             # используется протокол UDP
    encr yes;              # включить шифрование
    keepalive yes;       # постоянно поддерживать соединение
 
# секция up описывает действия, выполняемые при удачном соединении
# конфигурируем виртуальный интерфейс с адресом 192.168.0.2
# и привязываем его к другому  виртуальному интерфейсу 192.168.0.1
# настраиваем маршрутизацию для сети 192.168.20.0/24 через интерфейс с адресом 192.168.0.1
 
up {
ifconfig "%% 192.168.0.2 192.168.0.1 netmask 255.255.255.255 mtu 1450 up";
route "add -net 192.168.20.0/24 192.168.0.1";
};
 
# секция down описывает действия, выполняемые при разрыве соединения
# удаляем виртуальный интерфейс tun
# разрушаем маршрутизацию для сети 192.168.20.0/24
 
down {
ifconfig "%% down";
route "delete 192.168.20.0";
};
}
 
shop {                      # описываем клиента магазин
    pass secret;         # пароль соединения - слово secret
    type tun;;             # тип IP туннеля
    proto udp;            # используется протокол UDP
    encr yes;             # включить шифрование
    keepalive yes;      # постоянно поддерживать соединение
 
# конфигурируем виртуальный интерфейс с адресом 192.168.0.2
# и привязываем его к другому виртуальному интерфейсу 192.168.0.3
# настраиваем маршрутизацию для сети 192.168.40.0/24 через интерфейс с адресом 192.168.0.3
 
up {
ifconfig "%% 192.168.0.2 192.168.0.3 netmask 255.255.255.255 mtu 1450 up";
route "add -net 192.168.40.0/24 192.168.0.3";
};
 
# описываем действия, выполняемые при разрыве соединения
# удаляем виртуальный интерфейс tun
# разрушаем маршрутизацию для сети 192.168.40.0/24
 
down {
ifconfig "%% down";
route "delete 192.168.40.0";
};
}

А вот это мы запишем в файл конфигурации хоста vpn_shop.

options {
port 5000;
ifconfig /sbin/ifconfig;
route /sbin/route;
}
 
default {
compress lzo:9;
speed 0;
}
 
shop {
    pass secret;
    type tun;
    proto udp;
    encr yes;
    keepalive yes;
 
up {
ifconfig "%% 192.168.0.3 192.168.0.2 netmask 255.255.255.255 mtu 1450 up";
route "add -net 192.168.30.0/24 192.168.0.2";
};
 
down {
ifconfig "%% down";
route "delete 192.168.30.0";
};
}

Ну и наконец, конфигурация хоста vpn_filial.

options {
port 5000;
ifconfig /sbin/ifconfig;
route /sbin/route;
}
 
default {
 
compress lzo:9;
speed 0;
}
 
filial {
    pass secret;
    type tun;
    proto udp;
    encr yes;
    keepalive yes;
 
up {
ifconfig "%% 192.168.0.1 192.168.0.2 netmask 255.255.255.255 mtu 1450 up";
route "add -net 192.168.30.0/24 192.168.0.2";
};
 
down {
ifconfig "%% down";
route "delete 192.168.30.0";
};
}

В связи с тем, что в файлах vtund.conf находится пароль соединения, доступ к ним должен иметь только пользователь root. После всех этих манипуляций можно запускать vtun. На машине vpn_office запускаем демон в режиме сервера.

vpn_office# vtund -s

На другой консоли смотрим на сообщения об ошибках.

vpn_office# tail -f /var/log/messages

Если ошибок не появилось, значит все у нас хорошо. Соответственно, на хостах vpn_shop и vpn_filial запускаем демоны в режиме клиента.

vpn_shop# vtund -p shop 80.80.20.2
vpn_filial# vtund -p filial 80.80.20.2

Снова ждем ошибок. Не дождавшись, смотрим, какие сетевые интерфейсы у нас подняты на каждой из машин. Больше всего нас интересуют интерфейсы vtun0 и vtun1. У Вас должны получиться примерно такие данные.

vpn_office# ifconfig -u
 
ed0: flags=8843 mtu 1500
	inet 192.168.30.251 netmask 0xffffff00 broadcast 192.168.30.255
	inet6 fe80::280:48ff:fedf:66f7%ed0 prefixlen 64 scopeid 0x1
	ether 00:80:48:df:66:f7
ed1: flags=8843 mtu 1500
	inet 80.80.20.2 netmask 0xffffff00 broadcast 80.80.20.255
	inet6 fe80::240:95ff:fe45:9ce2%ed1 prefixlen 64 scopeid 0x2
	ether 00:40:95:45:9c:e2
lo0: flags=8049 mtu 16384
	inet6 ::1 prefixlen 128
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
	inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051 mtu 1450
	inet6 fe80::280:48ff:fedf:66f7%tun0 prefixlen 64 scopeid 0x8
	inet 192.168.0.2 --> 192.168.0.3 netmask 0xffffffff
	Opened by PID 1143
tun1: flags=8051 mtu 1450
	inet6 fe80::280:48ff:fedf:66f7%tun1 prefixlen 64 scopeid 0x9
	inet 192.168.0.2 --> 192.168.0.1 netmask 0xffffffff
	Opened by PID 1150
 
vpn_shop# ifconfig -u
wb0: flags=8843 mtu 1500
	inet 192.168.40.251 netmask 0xffffff00 broadcast 192.168.40.255
	inet6 fe80::280:48ff:feb6:435f%wb0 prefixlen 64 scopeid 0x1
	ether 00:80:48:b6:43:5f
	media: Ethernet autoselect (100baseTX)
	status: active
fxp0: flags=8843 mtu 1500
	inet 80.80.20.3 netmask 0xffffff00 broadcast 80.80.20.255
	inet6 fe80::202:b3ff:fe65:f47%fxp0 prefixlen 64 scopeid 0x2
	ether 00:02:b3:65:0f:47
	media: Ethernet autoselect (100baseTX)
	status: active
lo0: flags=8049 mtu 16384
	inet6 ::1 prefixlen 128
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
	inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051 mtu 1450
	inet6 fe80::280:48ff:feb6:435f%tun0 prefixlen 64 scopeid 0x8
	inet 192.168.0.3 --> 192.168.0.2 netmask 0xffffffff
	Opened by PID 1101
 
vpn_filial#  ifconfig -u
ed0: flags=8843 mtu 1500
	inet 192.168.20.251 netmask 0xffffff00 broadcast 192.168.20.255
	inet6 fe80::280:48ff:fec7:c79b%ed0 prefixlen 64 scopeid 0x1
	ether 00:80:48:c7:c7:9b
xl0: flags=8843 mtu 1500
	options=3
	inet 80.80.20.1 netmask 0xffffff00 broadcast 80.80.20.255
	inet6 fe80::202:2eff:fef1:1726%xl0 prefixlen 64 scopeid 0x2
	ether 00:02:2e:f1:17:26
	media: Ethernet autoselect (100baseTX)
	status: active
lo0: flags=8049 mtu 16384
	inet6 ::1 prefixlen 128
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
	inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051 mtu 1450
	inet6 fe80::280:48ff:fec7:c79b%tun0 prefixlen 64 scopeid 0x8
	inet 192.168.0.1 --> 192.168.0.2 netmask 0xffffffff
	Opened by PID 20966

Теперь можно попробовать, как работает наша VPN. Выполним команду ping на хостах vpn_filial и vpn_shop.

vpn_filial#  ping 192.168.30.251
PING 192.168.30.251 (192.168.30.251): 56 data bytes
64 bytes from 192.168.30.251: icmp_seq=0 ttl=64 time=5.788 ms
64 bytes from 192.168.30.251: icmp_seq=1 ttl=64 time=5.724 ms
64 bytes from 192.168.30.251: icmp_seq=2 ttl=64 time=5.683 ms
64 bytes from 192.168.30.251: icmp_seq=3 ttl=64 time=5.685 ms
 
--- 192.168.30.251 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.683/5.720/5.788/0.043 ms 
 
vpn_shop# ping 192.168.30.251
PING 192.168.30.251 (192.168.30.251): 56 data bytes
64 bytes from 192.168.30.251: icmp_seq=0 ttl=64 time=6.092 ms
64 bytes from 192.168.30.251: icmp_seq=1 ttl=64 time=5.785 ms
64 bytes from 192.168.30.251: icmp_seq=2 ttl=64 time=5.851 ms
64 bytes from 192.168.30.251: icmp_seq=3 ttl=64 time=5.826 ms
 
--- 192.168.30.251 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.785/5.888/6.092/0.120 ms

Судя по всему, туннель работает как положено. Теперь давайте проверим, как работает шифрование. Нужно проверить, что и в каком виде передается по интерфейсам tun0 — 192.168.0.2 и fxp0 — 80.80.20.3. Давайте начнем прослушивание этих интерфейсов. В тоже время с машины vpn_shop начинаем пинговать интерфейс 192.168.40.251.

vpn_office# tcpdump -i tun0 -lenx
13:33:14.573619 AF 2 84: 192.168.0.2 > 192.168.40.251: icmp: echo request
			 4500 0054 0cc3 0000 4001 c398 c0a8 0002
			 c0a8 28fb 0800 edcc c904 0000 ede7 cc3d
			 9505 0700 0809 0a0b 0c0d 0e0f 1011 1213
			 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223
			 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233
			 3435 3637
13:33:14.573665 AF 2 84: 192.168.40.251 > 192.168.0.2: icmp: echo reply
			 4500 0054 1b3f 0000 4001 b51c c0a8 28fb
			 c0a8 0002 0000 f5cc c904 0000 ede7 cc3d
			 9505 0700 0809 0a0b 0c0d 0e0f 1011 1213
			 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223
			 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233
			 3435 3637
13:33:15.583143 AF 2 84: 192.168.0.2 > 192.168.40.251: icmp: echo request
			 4500 0054 0cc6 0000 4001 c395 c0a8 0002
			 c0a8 28fb 0800 42a6 c904 0100 eee7 cc3d
			 3e2c 0700 0809 0a0b 0c0d 0e0f 1011 1213
			 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223
			 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233
			 3435 3637
13:33:15.583194 AF 2 84: 192.168.40.251 > 192.168.0.2: icmp: echo reply
			 4500 0054 1b43 0000 4001 b518 c0a8 28fb
			 c0a8 0002 0000 4aa6 c904 0100 eee7 cc3d
			 3e2c 0700 0809 0a0b 0c0d 0e0f 1011 1213
			 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223
			 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233
			 3435 3637

На предыдущем листинге явно видно содержимое тестовых icmp пакетов. А теперь посмотрите, в каком виде эти пакеты путешествуют по небезопасной сети 80.80.20.0/24.

vpn_office# tcpdump -i fxp0 -lenx
13:33:14.573441 0:40:95:45:9c:e2 0:2:b3:65:f:47 0800 140: 80.80.20.2.5000 > 80.80.20.3.1035: udp 98
			 4500 007e 0cc4 0000 4011 a506 5050 1402
			 5050 1403 1388 040b 006a f9e2 0060 7db0
			 f6ef dd81 4638 917a 5a80 7f48 87d7 7bc9
			 459f 97f0 b95a 95cf 87b1 29ce b2d7 8f50
			 228e 6b8f eafb 1f5d ae9d 7518 2085 2da9
			 8c85
13:33:14.574798 0:2:b3:65:f:47 0:40:95:45:9c:e2 0800 140: 80.80.20.3.1035 > 80.80.20.2.5000: udp 98
			 4500 007e 1b40 0000 4011 968a 5050 1403
			 5050 1402 040b 1388 006a 998c 0060 7db0
			 f6ef dd81 4638 5390 c84e 886e 466d ffcd
			 df10 9010 5995 fcdd b315 92fb 6a1d 8f50
			 228e 6b8f eafb 1f5d ae9d 7518 2085 2da9
			 8c85
13:33:15.582910 0:40:95:45:9c:e2 0:2:b3:65:f:47 0800 140: 80.80.20.2.5000 > 80.80.20.3.1035: udp 98
			 4500 007e 0cc7 0000 4011 a503 5050 1402
			 5050 1403 1388 040b 006a 28fd 0060 7db0
			 f6ef dd81 4638 3048 4e92 e692 1c3d 5fa3
			 c2a6 bc50 8fa5 79d3 c0c2 6537 c74b 1e84
			 b95e c8f8 6048 3d3c 4f33 32a4 25a2 2da9
			 8c85
13:33:15.584332 0:2:b3:65:f:47 0:40:95:45:9c:e2 0800 140: 80.80.20.3.1035 > 80.80.20.2.5000: udp 98
			 4500 007e 1b44 0000 4011 9686 5050 1403
			 5050 1402 040b 1388 006a cd92 0060 7db0
			 f6ef dd81 4638 f41d cb55 f37d 1229 dbb6
			 14f7 14d1 08e3 a204 5045 74a0 7807 1e84
			 b95e c8f8 6048 3d3c 4f33 32a4 25a2 2da9
			 8c85

Итак, мы создали шифрованный туннель между тремя частными сетями. Теперь каждая машина, находящаяся в любой из этих сетей, сможет общаться с любой машиной из другой сети. Главное — не забыть установить на всех машинах сети правильный адрес шлюза по умолчанию. Вот теперь можно отдохнуть.

Хранение файлов в MySQL и их быстрая раздача

Думаю у многих возникала необходимость хранить файлы, связанные с записью в таблице. Это может быть картинка к новости, аватар, загруженный пользователем файл — да все, что угодно. Обычно в этому случае поступают просто — файл ложится в файловую систему, а ссылка на него — в запись БД

Но у такого классического похода множество недостатков:

  • файлы не удаляются при удалении соответствующей записи БД;
  • проблемы при одновременной попытке обновления файла;
  • нарушение синхронизации между БД и файловой системой при откате транзакции;
  • при резервном копировании и восстановлении информации в БД может возникнуть рассинхронизация с файловой системой;
  • файлы не подчиняются ограничениям доступа, наложенным с помощью БД.

Больше о проблемах, возникающих при хранении файлов отдельно от БД можно почитать в презентации SQL Antipatterns, раздел Phantom Files, страница 60. Кстати, автор презентации предлагает решение — хранить файлы прямо в БД, в поле типа BLOB. Правда следует замечание, что это должно быть взвешенное решение в каждом конкретном случае. Ведь при таком способе хранения файлов вебсервер должен при каждом запросе вызывать некий скрипт, который будет извлекать файл из БД и отдавать пользователю, что неминуемо отрицательно скажется на производительности.
Для поиска решения данной проблемы был проведен мозговой штурм и придумано несколько вариантов решения проблемы:

1. Перед удалением записи делать SELECT с тем же условием и получать имена файлов, которые надо удалить. Проблема в том, что если удаляемых файлов много, эта операция может занять некоторое время и по хорошему на это время надо блокировать таблицу на чтение и запись, а во многих случаях это недопустимо.
2. Перед удалением устанавливать у удаляемых записей метку «подлежит удалению», получить все записи с этой меткой и удалить файлы, связанные с этими записями, и наконец удалить все записи с этой меткой. Запросы, работающие с этой таблицей следует доработать, чтобы они не выбирали записи с установленным флагом. Недостатки — необходимость правки множества запросов, к тому же у нас в проекте записи на удаление отбираются достаточно сложным SELECT, которые нельзя переделать в один UPDATE.
3. Первые два способа пытаются решить проблему «потерянных» файлов при удалении записей в БД, которая возникает при «классическом» способе хранения файлов, однако они не решают остальных проблем такого подхода, поэтому мы попытались придумать решения, использующие положительные моменты хранения файлов прямо в БД и избавиться от недостатков, присущих этому подходу.
4. Использовать триггеры. К сожалению, MySQL не имеет в своем языке поддержки команд работы с файлами, такие команды пришлось бы реализовывать самостоятельно, ковыряясь в исходниках MySQL. Из минусов — файлы должны храниться на том же хосте, что и БД, необходимость доработки MySQL, таких готовых решений мы не нашли.
5. Хранить файлы в БД, но отдавать их напрямую вебсервером, без участия PHP. Реализовать это можно, написав модуль к вебсерверу (nginx например) который позволял бы отдавать файлы напрямую из MySQL или применив драйвер файловой системы MySQLfs. Такой подход решает все перечисленные выше проблемы, но его недостаток — дополнительные накладные расходы на хранение файлов в MySQL.
6. Специализированный Storage Engine для MySQL, хранящий записи как файлы.

Остановимся более подробно а последнем пункте. Ведь что собой представляет файловая система — это специализированная БД, которая по ключу «имя файла» позволяет получить запись — его содержимое. То есть можно реализовать свой механизм хранения данных для MySQL, в котором каждая запись будет иметь три поля:

CREATE TABLE `data_storage`.`files` (
`id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`path` VARCHAR( 255 ) ,
`data` BLOB
) ENGINE = FILES

Вставлять данные в такую таблицу можно только в поле `data`, при этом они просто сохраняются в файл, уникальное имя ему при этом генерируется автоматически (используя в качестве префикса поле `id`) — например 764533, а в поле `path` автоматически подставляется правильный путь, по которому MySQL положил наши данные — например ‘/mnt/storage/mysqldata/76/45/33/764533_myfile.jpg’. Таким образом к данным, сохраненным в такой таблице можно обращаться как к простым файлам, и при этом MySQL будет поддерживать целостность данных. Таким образом этот способ хранения файлов лишен практически всех недостатков классического подхода (кроме ограничения доступа, но и его можно сделать используя простой скрипт и заголовок X-Accel-Redirect nginx) и в то же время никак не уменьшает производительность при отдаче файлов клиентам.
Проблема за малым — не удалось найти готовой реализации такого движка хранения данных для MySQL, хотя идея общем то простая. Возможно кто-то из хабролюдей подскажет ссылку на готовую реализацию такого storage engine, идея ведь плавает на поверхности, и ее точно кто-то уже мог реализовать.

Автор: Sheder
Источник: shedar.habrahabr.ru