Vesta Control Panel - Forum

Предложение: добавить функцию перемещения доменов (web, dns,mail) между пользователями или админом и пользователями. Так , к примеру, админ может под собой зделать все настройки по домену и передать его пользователю.

Спасибо за предложение

Здравствуйте!

Натолкнулся на два момента оба касающиеся DNS

1. При создании сайта site.mydomain.xxx, установив поддержку DNS, в DNS появляется домен с записями site.mydomain.xxx в нем, хотя домент типа mydomain.xxx уже существует. Имхо стоит предусмотреть возможность, при добавлении сайта, добавление записей в уже существующий домен. Также при создании сайта алиасы сайта создаются в DNS записями типа A, имхо правильнее если алиасы в днс прописывать через CNAME при изменении IP адреса сайта быстрее пройдет обновление, и не будет необходимости менять ip адрес в отдельно для каждого алиаса.

2. Добавить возможность создания внешних и внутренних зон для доменов. Довольно частая ситуация когда хостинг находится внутри локальной сети, соответственно dns(со всеми вытекающими)
Предусмотреть возможность при создании сайта выбирать видимость сайта.

пример моей конфигурации named.conf

acl "LAN" {
xxx.xxx.xxx.xxx/24; //LAN
};

acl "extra" {
yyy.yyy.yyy.yyy/24; //external
zzz.zzz.zzz.zzz/24; //external
}:

view "internal" {
match-clients {
LAN;
localhost;
loopback;
};

zone "." { type hint; file "named.root"; };

include "empty.conf";
include "master.conf";
include "slave.conf";

zone "mydomain.ru" {
type master;
file "master/mydomain.ru.int";
allow-transfer {
LAN;
loopback;
};
};

};

view "external" {
match-clients {
any;
};

zone "." { type hint; file "named.root"; };

include "empty.conf";
include "master.conf";
include "slave.conf";

zone "mydomain.ru" {
type master;
file "master/mydomain.ru.ext";
allow-transfer {
slave_servers;
};

};
};

Первый пункт попробуем решить в ближайшее время. Второй добавлен в backlog. Спасибо.

когда mysql внешний(такое часто бывает при работе с кластерами). чтобы не переписывать скрипты коннектов, возможно стоит предусмотреть установку/настройку/запуск mysql-proxy

настройкой кластера через web не стоит...

В панель можно добавить более 1 удаленного mysql сервера и при таком конфиге прокси не сможет работать. Сейчас, мы сфокусированы на реализации функционала, который применим в 80% случаев. В любом случае, эту идею добавлю в бэклог, чтобы иметь ввиду такой сценарий.

после установки правила iptables пустые...
может стоит накатить несколько правил?

пример (взят с продакшена на котором только сайт, двухпроцессорный сервер с 16 гигами оперативы в среднем ~20000 посещений час)

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16807:31509796]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 200/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m limit --limit 200/min --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited


ЗЫ: CentOC 6.4

да, по умолчанию iptables не то что бы выключен, он разрешает всё. на своем сервре настроил сам, потому что некоторые сервисы выключил, а в вашем правиле отсутствует порт 8083.

XakRu wrote:да, по умолчанию iptables не то что бы выключен, он разрешает всё. на своем сервре настроил сам, потому что некоторые сервисы выключил, а в вашем правиле отсутствует порт 8083.

ну это конфиг с iptables без установленной вашей панельки... сервер боевой работает около года

в принципе можно написать более изящный конфиг с блокировкой ip и возможностью добавления разрешенных адресов для доступа к панельке.

У нас в планах есть пункт про фаервол. Изначально мы хотели сделать интеграцию с csf, но возможно придем к более простому решению.