Desavil

Użyj do tego ipset, będzie znacznie wydajniejsze takie rozwiązanie, niż iptables. Tutaj znajdziesz moje gotowe rozwiązanie - http://www.webhostingtalk.pl/topic/50377-pomoc-w-ustaleniu-rodzaju-ataku-sieciowego/?p=431647 (akurat to rozwiązanie dotyczy blokowania exit-node'ów tora), możesz zmienić: https://check.torproject.org/exit-addresses na http://www.ipdeny.com/ipblocks/data/countries/ru.zone i zamień wszędzie "ipset create torblock iphash" na "ipset create torblock hash". Tego "grep -E" też musisz wyrzucić, albo wstawić jakiegoś, który obsłuży CIDR.

Zgadza się, ale chyba nie mają od UE portfela bez dna.

OVH ma własne obudowy serwerowe, własne szafy oraz często nawet sprzęt robiony specjalnie na ich zamówienie - m.in. płyty główne. Dlatego umieją zmieścić też sprzęt typu desktop w takich obudowach. Swoją drogą SprintDatacenter ma też serwery w Polsce, a ceny "zbliżone" do tych w OVH. Też samemu się zastanawiam jak to funkcjonuje, sprzęt taki drogi (nawet biorąc ceny hurtowe, pomijam tutaj OVH całkowicie). Biorąc serwer dedykowany IMO wychodzi dużo taniej niż kolokacja, bo biorąc np. serwer dedykowany z X parametrami zapłacimy za niego np. 350zł/m-c, kolokując swój serwer najpierw musimy go zakupić, dajmy przykładowo te 7000zł (jednorazowo), a później jak podliczymy cenę prądu, klimatyzacji, kolokacji, łącza to okazuje się, że wychodzi 350zł/m-c i jaka tutaj logika?

Właśnie dopiero wczoraj o tym zostałem poinformowany, moje biuro rachunkowe gdzieś to przeoczyło...

A ta rejestracja "zbiorowa" nie dotyczy tylko krajów UE? A dla pozostałych to z każdym krajem spoza UE trzeba podpisać osobną umowę? Po rozmowie z księgową takie coś właśnie wywnioskowałem, dlatego też chciałem Was dopytać, bo jeżeli tak faktycznie to wygląda, to byłby to jakiś totalny absurd, gdyż tak naprawdę nie wiadomo w naszej branży z jakiego kraju będzie klient (dokona płatności).

Witam, czy orientuje się ktoś, czy można wpisać VAT-UE w ustawieniach konta Kimsufi? Jak wiadomo faktury wystawiane są w euro, przez francuski oddział. Dlatego też, do prawidłowego zaksięgowania takiej faktury musiałby na niej widnieć mój VAT-UE. Niestety ich panel akceptuje tylko 10 cyfr, po dopisaniu na początku "PL", niestety nie przechodzi to walidacji formularza. Co prawda istnieje możliwość dopisania tam tego "PL" na początku, poprzez odpowiednie użycie narzędzia "Zbadaj element" w przeglądarce Chrome, jednak nie jestem przekonany co do tego typu działania, aby niemieć potem jakiś problemów. Pozdrawiam!

A zrobiłeś: Dodaj najlepiej to na końcu pliku: /etc/sysctl.conf, a później wykonaj komendę: sysctl -p # 0-normal, 1-OpenVZ net.ipv4.ip_forward = 1 # 0-normal, 1-OpenVZ net.ipv4.conf.default.send_redirects = 1 # OpenVZ net.ipv4.conf.eth0.proxy_arp = 1 net.ipv4.conf.default.proxy_arp = 0 net.ipv4.conf.default.forwarding = 1 net.ipv6.conf.default.forwarding = 1 net.ipv6.conf.all.forwarding = 1 kernel.sysrq = 1 ? Może dlatego nie umie zainicjować tablicy "nat".

Używam NATa na czystym OpenVZ, powinno być podobnie. Kontenerowi daję domyślnie wewnętrzne IP, np. 192.168.1.2, a w iptables dodaję taki wpis: iptables -A POSTROUTING -t nat -s 192.168.1.2 -o eth0 -j SNAT --to 37.187.98.181 I nie zapomnij o (bo może nie działać): # 0-normal, 1-OpenVZ net.ipv4.ip_forward = 1 # 0-normal, 1-OpenVZ net.ipv4.conf.default.send_redirects = 1 # OpenVZ net.ipv4.conf.eth0.proxy_arp = 1 net.ipv4.conf.default.proxy_arp = 0 net.ipv4.conf.default.forwarding = 1 net.ipv6.conf.default.forwarding = 1 net.ipv6.conf.all.forwarding = 1 kernel.sysrq = 1 Dodatkowo jakbyś chciał, aby dany kontener mógł wychodzić "na zewnątrz" z portami to możesz dodać takie coś: iptables -A PREROUTING -p tcp -t nat -d 37.187.98.181 -j DNAT --to- 192.168.1.2 Lub dodać też "--dport porty_start:porty_end", jeżeli tylko wybrane porty z kontenera mają być widoczne "na zewnątrz".

Nagroda z OVH World Tour nie spasowała?

dpkg --add-architecture i386 apt-get update apt-get install ia32-libs lub, jakby nie zadziałało: apt-get install lib32stdc++6

Witam, pojawiają się ostatnio informacje jakoby OVH umożliwiło od niedawna przyjęcie procedury zmiany właściciela przez Internet. Na stronach OVH nigdzie nie mogę znaleźć oficjalnych informacji na ten temat. Jak tak naprawdę wygląda sprawa? Pozdrawiam!

metrowy, na który ich e-mail wysłałeś? Standardowy: pomoc@ovh.pl ?

Czyli jednak nic się nie zmieniło, a szkoda. Oczywiście, chodziło mi tylko o formę wysyłki procedury - zamiast pocztą, to skany przez e-mail. A szkoda.. ostatnio mam uraz do naszej kochanej Poczty Polskiej...

Mi się udało zwiedzić Data Center 3s.pl w Katowicach - za darmo, ale to był jakiś event. Unixstorm się chyba u nich kolokuje, bo byliśmy w klatce, gdzie rzuciła mi się właśnie szafa z serwerami podpisanymi tą nazwą. Ciekawie opowiadali, nawet o rzeczach, o których by się wcześniej nie pomyślało.

Witam, nie chce mi działać żadne rewrite, które dotyczy plików statycznych, nie wiem gdzie popełniam błąd: location /widg { rewrite ^/widg/embded_([0-9]+)-([0-9]+).js?$ /widg/index.php?go=js&sid=$1&w=$2; rewrite ^/widg/image/preview.jpg$ http://domena.pl/preview.jpg redirect; } Nginx traktuje prawdopodobnie te: .js oraz .jpg jako pliki statyczne, gdyż zwraca że taki plik nie istnieje. Jak tylko zmienię: .js na np. .js2 to otwiera bez problemu. W jaki sposób mogę na nim jakoś wymusić, aby brał pod uwagę te regułki?

Mógłbym prosić o pomoc?

Hmm, nie umiem sobie z tym poradzić. A całe: location ~ \.php$ { ... } Lepiej umieszczać na końcu: server { }, czy na początku, jeszcze przed regułami rewrite/innymi location? Jak mogę ustawić, aby to dotyczyło wszystkich plików ".php" dla danego: server { }, bo jak widać w moim przypadku dla location, np. nie wykonywało się. A nie chciałbym sytuacji, że jakiś pliki PHP nagle się pobierają, zamiast interpretować przez parser.

Witam, w jaki sposób mogę ustalić, aby użytkownik miał dostęp tylko do programów takich jak, np. /bin/unzip /bin/tar /bin/ping /bin/traceroute Nie chcę, aby www-data miał więcej uprawnień przez komendę system(), exec() itp.

Zadziałało. Czyli generalnie lepiej rewrite używać samo, bez location? Jeszcze taka jedna rzecz, jak ma się hierarchia w nginx? Wpisując w takiej kolejności i "wchodząc" do katalogu "jakiskatalog", plik PHP się pobiera. location ~ /jakiskatalog { allow x.x.x.x; deny all; } location ~ \.php$ { fastcgi_pass unix:/home/sites/domena.pl/tmp/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } Natomiast jak wpiszę w takiej kolejności, wykonuje się prawidłowo, ale "deny all" jest ignorowane: location ~ \.php$ { fastcgi_pass unix:/home/sites/domena.pl/tmp/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } location ~ /jakiskatalog { allow x.x.x.x; deny all; }

Czy ja dobrze widzę dopiero w październiku i to 2014r? No to naprawdę szybko, mnie od października, ale 2013r. zapewniali przez dobre pół roku, o pracach, poprawach itp. i w tym czasie nie było widać żadnej poprawy, tak więc ich pożegnałem. Wolę jednak płacić więcej, nie oszczędzać i mieć sprawdzonego partnera, niż tracić renomę i klientów. Myślę też, że tym reklamowaniem i promowaniem wszędzie gdzie się da tego "Anti DDoS gratis" sprowokowali tylko atakujących. A faktycznie te ataki ich przerosły. Pozostaje mi tylko prowadzenie własnego monitoringu ich sieci i wyciągnięcie jakiś wniosków po np. roku czasu jak to faktycznie wygląda. I czy widać jakąś poprawę.

Zgadzam się z takim rozwiązaniem jak najbardziej. Tylko jak widać w tym przypadku atak na jakiegokolwiek ich klienta = atak na całą ich infrastrukturę sieciową = atak na wszystkich klientów. Fakt, faktem poprawili się w ostatnim czasie, ale jeszcze nie na tyle, aby odbudowali bynajmniej moje zaufanie do nich pod tym względem.

Miałem u nich kilkadziesiąt serwerów dedykowanych i miesięczne opłaty kilkanaście tysięcy złoty miesięcznie. No ale skoro to jest mało... Sam polecałem ich usługi początkowo. Do supportu nic nie mam, jedyne co jest IMO największym minusem tej firmy to właśnie radzenie sobie z tymi atakami. Gdybym w porę z nich nie zrezygnował, firmę już dawno mógłbym zamknąć i to własnie przez SDC.

Ehh, skąd ja znam to tłumaczenie... Szkoda tylko, że handlowcy usilnie próbują nadal namówić na powrócenie do nich, skoro widać że problemy jak były tak są nadal. I jak tutaj zaufać takiej firmie, kilka miesięcy działa dobrze, potem znów historia zaczyna się od nowa.

Nie bierz Dotpay, tym bardziej dla płatności SMS. Z mojej strony polecam Homepay, fajne prowizje, szybkie wypłaty - korzystam już kilka lat i nie było żadnego przeciągania.

Witam, z dnia na dzień przestał mi działać poprawnie munin. Zbiera on tylko dane z lokalnego serwera, na którym jest zainstalowany munin i munin-node, ze zdalnych munin-node nie. Nie umie się niby z nimi połączyć: [FATAL] Socket read from server.tld failed. Terminating process. at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 254 [ERROR] Munin::Master::UpdateWorker<OVH;server.tld> died with '[FATAL] Socket read from server.tld failed. Terminating process. at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 254 Co dziwne, telnetem bez problemu łączę się do zdalnych node'ów z mastera, więc nie wiem dlaczego "twierdzi" on, że nie umie się z nimi połączyć. Podczas automatycznej próby aktualizacji danych (cron co 5 minut) w logach na nodach nie widać, żadnych prób połączenia, błędów. Natomiast samo zapytanie (pakiety) widać, że przychodzą do nodów z mastera, ale nie ma żadnej odpowiedzi z node'a. Dla pewności postanowiłem zainstalować munin mastera na innym serwerze i efekt dokładnie ten sam - z lokalnego serwera, tam gdzie zainstalowany jest master i node zbiera statystyki bez problemów, do zdalnych nodów nie umie się połączyć. @Edit Problem rozwiązany, munin master przestawił się nie wiem jakim cudem na inne IP serwera, po którym wysyłał zapytania i firewall go nie dopuszczał. Munin ignoruje zmienną "local_address" lub też perl nie umie ustawić w połączeniu socket "LocalAddr" - http://munin-monitoring.org/ticket/1285