Новые предложения
Re: Новые предложения
Предложение: добавить функцию перемещения доменов (web, dns,mail) между пользователями или админом и пользователями. Так , к примеру, админ может под собой зделать все настройки по домену и передать его пользователю.
Re: Новые предложения
Спасибо за предложение
Re: Новые предложения
Здравствуйте!
Натолкнулся на два момента оба касающиеся DNS
1. При создании сайта site.mydomain.xxx, установив поддержку DNS, в DNS появляется домен с записями site.mydomain.xxx в нем, хотя домент типа mydomain.xxx уже существует. Имхо стоит предусмотреть возможность, при добавлении сайта, добавление записей в уже существующий домен. Также при создании сайта алиасы сайта создаются в DNS записями типа A, имхо правильнее если алиасы в днс прописывать через CNAME при изменении IP адреса сайта быстрее пройдет обновление, и не будет необходимости менять ip адрес в отдельно для каждого алиаса.
2. Добавить возможность создания внешних и внутренних зон для доменов. Довольно частая ситуация когда хостинг находится внутри локальной сети, соответственно dns(со всеми вытекающими)
Предусмотреть возможность при создании сайта выбирать видимость сайта.
пример моей конфигурации named.conf
acl "LAN" {
xxx.xxx.xxx.xxx/24; //LAN
};
acl "extra" {
yyy.yyy.yyy.yyy/24; //external
zzz.zzz.zzz.zzz/24; //external
}:
view "internal" {
match-clients {
LAN;
localhost;
loopback;
};
zone "." { type hint; file "named.root"; };
include "empty.conf";
include "master.conf";
include "slave.conf";
zone "mydomain.ru" {
type master;
file "master/mydomain.ru.int";
allow-transfer {
LAN;
loopback;
};
};
};
view "external" {
match-clients {
any;
};
zone "." { type hint; file "named.root"; };
include "empty.conf";
include "master.conf";
include "slave.conf";
zone "mydomain.ru" {
type master;
file "master/mydomain.ru.ext";
allow-transfer {
slave_servers;
};
};
};
Натолкнулся на два момента оба касающиеся DNS
1. При создании сайта site.mydomain.xxx, установив поддержку DNS, в DNS появляется домен с записями site.mydomain.xxx в нем, хотя домент типа mydomain.xxx уже существует. Имхо стоит предусмотреть возможность, при добавлении сайта, добавление записей в уже существующий домен. Также при создании сайта алиасы сайта создаются в DNS записями типа A, имхо правильнее если алиасы в днс прописывать через CNAME при изменении IP адреса сайта быстрее пройдет обновление, и не будет необходимости менять ip адрес в отдельно для каждого алиаса.
2. Добавить возможность создания внешних и внутренних зон для доменов. Довольно частая ситуация когда хостинг находится внутри локальной сети, соответственно dns(со всеми вытекающими)
Предусмотреть возможность при создании сайта выбирать видимость сайта.
пример моей конфигурации named.conf
acl "LAN" {
xxx.xxx.xxx.xxx/24; //LAN
};
acl "extra" {
yyy.yyy.yyy.yyy/24; //external
zzz.zzz.zzz.zzz/24; //external
}:
view "internal" {
match-clients {
LAN;
localhost;
loopback;
};
zone "." { type hint; file "named.root"; };
include "empty.conf";
include "master.conf";
include "slave.conf";
zone "mydomain.ru" {
type master;
file "master/mydomain.ru.int";
allow-transfer {
LAN;
loopback;
};
};
};
view "external" {
match-clients {
any;
};
zone "." { type hint; file "named.root"; };
include "empty.conf";
include "master.conf";
include "slave.conf";
zone "mydomain.ru" {
type master;
file "master/mydomain.ru.ext";
allow-transfer {
slave_servers;
};
};
};
Re: Новые предложения
Первый пункт попробуем решить в ближайшее время. Второй добавлен в backlog. Спасибо.
Re: Новые предложения
когда mysql внешний(такое часто бывает при работе с кластерами). чтобы не переписывать скрипты коннектов, возможно стоит предусмотреть установку/настройку/запуск mysql-proxy
настройкой кластера через web не стоит...
настройкой кластера через web не стоит...
Re: Новые предложения
В панель можно добавить более 1 удаленного mysql сервера и при таком конфиге прокси не сможет работать. Сейчас, мы сфокусированы на реализации функционала, который применим в 80% случаев. В любом случае, эту идею добавлю в бэклог, чтобы иметь ввиду такой сценарий.
Re: Новые предложения
после установки правила iptables пустые...
может стоит накатить несколько правил?
пример (взят с продакшена на котором только сайт, двухпроцессорный сервер с 16 гигами оперативы в среднем ~20000 посещений час)
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16807:31509796]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 200/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m limit --limit 200/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
ЗЫ: CentOC 6.4
может стоит накатить несколько правил?
пример (взят с продакшена на котором только сайт, двухпроцессорный сервер с 16 гигами оперативы в среднем ~20000 посещений час)
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16807:31509796]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 200/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m limit --limit 200/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
ЗЫ: CentOC 6.4
Re: Новые предложения
да, по умолчанию iptables не то что бы выключен, он разрешает всё. на своем сервре настроил сам, потому что некоторые сервисы выключил, а в вашем правиле отсутствует порт 8083.
Re: Новые предложения
ну это конфиг с iptables без установленной вашей панельки... сервер боевой работает около годаXakRu wrote:да, по умолчанию iptables не то что бы выключен, он разрешает всё. на своем сервре настроил сам, потому что некоторые сервисы выключил, а в вашем правиле отсутствует порт 8083.
в принципе можно написать более изящный конфиг с блокировкой ip и возможностью добавления разрешенных адресов для доступа к панельке.
Re: Новые предложения
У нас в планах есть пункт про фаервол. Изначально мы хотели сделать интеграцию с csf, но возможно придем к более простому решению.