網頁

2023年10月18日 星期三

JOURNEYS - BIG-IP upgrade and migration utility

 在想安裝此工具時,是2023.6.13.

當天也只有裝ubuntu的時間, 就又繼續忙工作

斷斷續續把utility裝完, 有問題時也無法連續處理.

就這樣一直到2023.10.17才真實完整安裝完, 但有發現有新版, 於是update到v4.0.0

正在加班(2023.10.18)...來記錄此事

又要忙了, 以後再說了

2022年3月26日 星期六

F5 AWAF使用L2 bridge/transparent mode

 客戶某兩地都要加入F5 BIGIP+AWAF各一台, 且都使用inline mode -> two arms bridge/transparent mode

Site1:

這裡FW只有一台, 沒有問題

Site2:

這裡FW有兩台, 且是A/A mode

這樣有陷阱, 要想個解法

2022年2月5日 星期六

K7595: Overview of IP forwarding virtual servers

 reset on timeout原來可以這樣用

forwarding vs要完全Emulating stateless IP routing原來還有一些細節是以前沒注意的

真是有學問啊

2021年9月4日 星期六

DNS Express bind local BIND大於Resolver Cache

近日使用Resolver Cache去幫客戶解一個原本在雲上的zone,要改為解成private ip

這個zone可以從內部走到私有雲.

而這個zone一開始說只有一個A record.....意思是說未來此zone會成長, 而且要考慮到Resource (ex:A record)維護方便, 於是研究後就用Resolver Cache處理, 還有Cache功能.

客戶原本是只用local BIND.

本來Resolver Cache研究出來, Lab測試也正常(Lab裡F5是用WideIP)還很高興, 部屬到線上後, 災難開始了.

忘記解析有順序, 且也不知道有一個特性在(Cache與BIND的前後順序).

 DNS解析順序:

iRule->Wide IP->DNS Express->Cache(ex:Resolver Cache)->local BIND


後來Support說可以在DNS Express去綁local BIND, 這樣順序就能走在Cache前面.

然後昨日研究DNS Express如何綁BIND進來.....讀了多篇文章才研究出來.

高興高興.



2021年8月13日 星期五

 

K95610370: Wireshark shows Encrytped Alert Content Type: Alert (21)

https://support.f5.com/csp/article/K95610370
This is normal and is used by the TLS protocol for notifying the peer that the connection can be closed. This is usually sent when there is no more traffic to send.
先前就研究出來了....

2021年6月13日 星期日

Wireshark allow subdissector to reassemble tcp streams

 今日終於搞懂Wireshark TCP protocol : allow subdissector to reassemble tcp streams (for HTTP)使用時機

摘要:

當你只想知道http delta, 不care封包重組事情, 此時就要關掉

當你case封包重組事情, 此時就要打開, 此時看到的http delta就不準

2019年9月29日 星期日

ftps兩種模式--隱含(Implicit)及外顯(Explicit)

FTPS在傳輸時有兩種模式,隱含(Implicit)及外顯(Explicit):

外顯(Explicit):收到AUTH SSL指令後,內容開始加密。
隱含(Implicit):直接從連線一開始就使用SSL Socket進行通訊,990作為隱含式FTPS的PORT,完成握手後,全部的內容都是加密的。

如果SLB將ftps用passthrough處理, 那server端在回應data port是回private ip, 因此你外端連線設備在連data port時, 根本就連不到此private ip

ftps explicit mode是client會先往server port 21, 如果server回應可以

2019年1月24日 星期四

2019.1.24 External Monitor

今日把external monitor分別對http及https搞清楚如何去使用.
近期許多套原https pool 之health monitor使用ECV都正常, 但忽然health monitor偵測變紅燈, 然後主機系統組一定又是跟你講我們都沒有動.........見鬼了, F5也沒動..........然後就變紅燈.
這時候又是我在累.....因為企業裡網路組講話都最小聲, 去跟AP反應都沒有用.
開始查.........查............查
一般的是Send string去加Host即可, 約有三套這樣改就立即生效, 但有一套就很特別, 加入Host還是紅燈, Receive string改200 OK才成功, 表示網頁有異動過, 但原本字串在網頁上還在, 這可能是length 5120 bytes限制因素.
回公司研究必須要用external monitor才能解決.
於是先研究讓http external monitor如何運作, 再研究https external monitor.
https一直無法突破, 後來直接在簡單的http script內直接去改curl, 竟然成功了.
其中一項是我自己忘記格式因素, 這一點解開後, 其他問題也跟著解開了

2020.9遇到另一個有點莫名的情況, 非script問題, 而是import後, 裡面參數要故意動過再使用, 才能正常


2018年11月5日 星期一

待整理

表示符號 meta-character
Mitigating DoS and DDoS attacks
Configuring adaptive reaping
Configuring the SYN check activation threshold
Configuring the maximum reject rate
Configuring protocol profile Idle Timeouts
Configuring TCP profile settings
Configuring an IP rate class
Configuring virtual server connection limits

2018年8月30日 星期四

2018.8.30 F5 ASM Cookie

客戶來信說F5 ASM Cookie有風險..............我一開始還愣住.
客戶一直要停掉要停掉.
很冷靜地先了解內容一下

追蹤者