ACL клиентов к сервису с помощью iptables

Задача следующая: есть некий сервис на, допустим, 9000-м порту, доступ к которому разрешен только с определённых ip-адресов. Дабы не городить acl в самом сервисе будем фильтровать тупо iptables:

 # добавляем новую цепочку  
 iptables -N my-filter  
   
 # добавляем в цепочку разрешения на указанных адресов  
 iptables -A my-filer --src 123.230.123.100 -j ACCEPT  
 iptables -A my-filer --src 123.230.123.101 -j ACCEPT  
 iptables -A my-filer --src 123.230.123.103 -j ACCEPT  
   
 # в конце запрещаем доступ для всех остальных  
 iptables -A my-filter -j DROP  
   
 # для указанного tcp-порта (5000-й) направляем пакеты в ранее созданную цепочку  
 iptables -I INPUT -m tcp -p tcp --dport 9000 -j my-filter  

Тестирование производительности NS-сервера (DNS)

Потребовалось мне протестировать NS-серверы на произоводительность при включенном сборе статистике по запросам. Гуглением выяснилось что существует утилита dnsperf (по аналогии с iperf), но в репозиториях убунты и дебиана она отсутствует (точнее есть в ppa, но датирована 2008 годом) и придётся собирать её ручками из исходников.

Какой процесс отправляет UDP-пакеты?

Используем незаменимый инструмент netstat + tcpdump. Сначала tcpdump'ом смотрим номер порта отправления, а затем с помощью netstat'а с правильными аргументами смотрим кто использует этот порт

 $ sudo tcpdump
 $ sudo netstat -aun --program  

Спасибо superuser.com

Ещё обнаружил достаточно интересную утилиту для исследования/мониторинга сокетов - ss. Подробности на русском на guruadmin.ru

Установка и настройка londiste 3.1 (skytools) в debian squeeze из исходников

Дабы не реплицировать весь кластер решил прибегнуть к репликации с помощью Londiste и шило в одном месте захотело именно последнюю версию. Ну что ж, раз хочется - сделаем. Версия самого постгреса - 9.2 из репозитория. Возможно что-то будет сделано религиозно неправильно и не православно, но так уж сделал, извиняйте.