F5. Monitorización del estado de un nodo de un pool en F5

Hemos llegado a un punto en que la monitorización del propio nodo está bien, pero a nivel de F5 puede estar deshabilitado. Hay dos razones para ello:

  • Un usuario lo ha configurado manualmente (Force Offline)
  • El monitor lo está marcando abajo.

Para ello, hemos desarrollado un script de nagios capaz de monitorizar en todo momento el estado del nodo en un pool concreto del F5:

check_bigip_node_status.sh

La verficación se basa en snmp, por lo que es necesario tener activado snmp en los F5, tener configurado una community, y tener visibilidad entre el motor de nagios y los F5 por el puerto 161 (snmp)-

Ejemplos de uso:

./check_bigip_node_status.sh -h bigip-p community -P Pool -n node

Para funcionar, requiere que tengamos cargados las MIBS de f5 en el directorio de snmp:

/usr/share/snmp/mibs/F5-BIGIP-APM-MIB.txt
/usr/share/snmp/mibs/F5-BIGIP-LOCAL-MIB.txt
/usr/share/snmp/mibs/F5-EM-MIB.txt
/usr/share/snmp/mibs/F5-BIGIP-COMMON-MIB.txt
/usr/share/snmp/mibs/F5-BIGIP-SYSTEM-MIB.txt
/usr/share/snmp/mibs/F5-BIGIP-GLOBAL-MIB.txt
/usr/share/snmp/mibs/F5-BIGIP-WAM-MIB.txt

 

Iptables: Configuración mínima

En CentOS 5.7 el archivo de configuración es /etc/sysconfig/iptables

Ver la configuración actual

iptables -L

Crear reglas básicas:

# Tráfico saliente

iptables -P OUTPUT ACCEPT

# ICMP

iptables -A INPUT  -p icmp -j ACCEPT

# http  https

iptables -A INPUT  -m state –state NEW -p tcp –dport 80 -j ACCEPT
iptables -A INPUT  -m state –state NEW -p tcp –dport 443 -j ACCEPT

# Remote SSH

iptables -A INPUT  -m state –state NEW -p tcp –dport 22 -j ACCEPT

# Snmp
iptables -A INPUT  -m state –state NEW -p tcp –dport 161 -j ACCEPT

# Transparent proxy  redirect 136.201.105.2 —> 10.0.0.1:80

iptables -t nat -A PREROUTING -p tcp -d 136.201.105.2 --dport 80 -j DNAT --to 10.0.0.1:80
iptables -t nat -A POSTROUTING -d 10.0.0.1 -j MASQUERADE

Configurar las reglas con persistencia

/sbin/service iptables save

Configurar iptables para ejecutar al inicio

chkconfig iptables on