?

Log in

No account? Create an account
мой ЖЖ — ЖЖ [entries|archive|friends|userinfo]
ugenk

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Links
[Links:| домашний сайт ]

OpenBSD 6.5 + bgp looking glass [июл. 9, 2017|11:15 am]
ugenk
[Tags|, , , ]

Настройка BGP Looking Glass на OpenBSD 6.5

0. После установки ОС делаем syspatch что бы установить все обновления.

1. Кладем SSL-ключ /etc/ssl/private/server.key и цепочку сертификатов в /etc/ssl/server.crt

2. Настраиваем /etc/httpd.conf
(замените lg.datahata.by на ваш домен)
ext_addr="0.0.0.0"
ext_addr6="::"
prefork 2
domain="lg.datahata.by"
server $domain {
        listen on $ext_addr port 80
        listen on $ext_addr6 port 80
        block return 301 "https://$SERVER_NAME$REQUEST_URI"
}
server $domain {
        listen on $ext_addr tls port 443
        listen on $ext_addr6 tls port 443
        tls {
                certificate "/etc/ssl/server.crt"
                key "/etc/ssl/private/server.key"
        }
        location "/cgi-bin/*" {
                fastcgi
                root ""
        }
        location "/" {
                block return 302 "/cgi-bin/bgplg"
        }
}



3. Настраиваем /etc/bgpd.conf
AS XXX
fib-update no
listen on 0.0.0.0
route-collector yes
router-id A.B.C.D

socket "/var/www/run/bgpd.rsock" restricted

neighbor D.E.F.G {
 remote-as XXX
 descr "r1"
 announce IPv4 none
 announce IPv6 none
}
neighbor D:E:F::G {
 remote-as XXX
 descr "r1v6"
 announce IPv4 none
 announce IPv6 none
}



4. Выставляем права, настраиваем chroot
chmod 0555 /var/www/cgi-bin/bgplg
chmod 0555 /var/www/bin/bgpctl
mkdir /var/www/etc
cp /etc/resolv.conf /var/www/etc
chmod 4555 /var/www/bin/ping* /var/www/bin/traceroute*



5. Убеждаемся в отсутствии флага nosuid в /etc/fstab для /var, перемонтируем /var либо перезагружаемся

6. Настраиваем pf.conf
ext_if = "vio0"

table <admins> { 192.168.0.0/24 2001:bbbb:aaaa::/64 }

set block-policy drop
set skip on lo

#block return   # block stateless traffic
#pass           # establish keep-state

match in all scrub (no-df random-id max-mss 1440)

block all

pass out quick
pass in on egress proto tcp from  to (egress) port { 22 179 5666 }
pass in on egress proto tcp from any to (egress) port { 80 443 }
pass in on egress proto icmp from any to (egress)
pass in on egress proto icmp6 from any to (egress)



7. Запускаем демоны
rcctl enable httpd
rcctl enable slowcgi
rcctl enable bgpd
rcctl start httpd
rcctl start slowcgi
rcctl start bgpd
pfctl -f /etc/pf.conf
rcctl disable sndiod
rcctl stop sndiod



8. Вуаля!
Ссылка1 комментарий|Оставить комментарий

nginx, apache, ssl, всяческие cms [фев. 7, 2017|09:57 pm]
ugenk
что бы не забыть

nginx:
proxy_set_header X-Forwarded-Proto $scheme;

apache:
LoadModule setenvif_module modules/mod_setenvif.so
SetEnvIf X-Forwarded-Proto https HTTPS=on
Ссылка1 комментарий|Оставить комментарий

navigation
[ viewing | most recent entries ]