F5 bigip自11.5.0版本后增加了socks profile的支持，即可以利用LTM提供socks4,4a以及socks5的服务。socks位于OSI模型的会话层上,可以透明的为TCP或UDP提供中转代理服务。 [title]socks profile配置项含义[/title] protocol versions：选择需要支持的协议版本，可以为4，4a，5，默认则全部支持 DNS resolver：一个需要提前在网络部分配置好的resolver（只需配置resolver，无需配置系统级的DNS IP），以提…

[title]CC简介[/title] 前面安装部署了k8s集群环境，看上去工作正常，下一步在k8s内安装F5公司发布的container connector，也叫F5 CC。CC是一个开源的F5产品，主要目的是通过在k8s集群内运行一个k8s-bigip-ctlr pod实例，通过定义一个config map实现将k8s的service或者pod配置到F5 BIGIP产品上，实现集群环境内业务南北向流量的外部发布，从而实现对业务的对外发布并充分利用F5 BIGIP产品的丰富功能，例如LB,SSL,WAF,火墙，抗…

思路： k8s内使用headless service，service配置文件中配置selector，这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool，这样F5将自动获取所有k8s内的endpoint   优点： 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责，未被破坏,F5 m…

近日国内安全公司发现Apache struts 出现基于content-type的value的远程可执行漏洞，由于漏洞不需要实质性的上传文件，普通的经过构造的请求都可以简单的实现攻击，因此危害较大。 针对此漏洞，BIGIP可以帮助客户快速部署防御措施，以下进行简单总结。 注意，由于攻击可能存在各种各样的变形特征，考虑到尽可能少的误杀，以及规避尽可能的逃逸技术，以下irule内容是在和Support安全工程师Bean以及SDM Jobs经过反复讨论及测试后的结果，非常感谢Bean搭建攻击环境及反复斟酌测试。 防御措施…

这是很早前写的一个样例，基于业务模板，系统自动化创建业务配置 业务输入模板（可以通过任何形式产生，例如一个自服务的portal website）： createvs.txt  createpool.txt createmonitor.txt 中间程序F5_Deploy.py, 中间输出 tmsh.txt (作为ssh.py的输入） （如果系统支持iControlRest，可以直接利用Python执行REST） 自动执行ssh.py   [crayon-68c4fcb706398781050973/] &n…

SNMP (Simple Network Management Protocol) is an internet protocol used to monitor and manage devices including servers, routers, switches and assorted other devices. It allows gathering a glut of data - this can be hardware information (eg. cpu temperature), n…

http://www.gartner.com/technology/reprints.do?id=1-2P2AS8G&ct=151007&st=sb 有趣的是Gartner网站使用了F5的WAM产品。 Gartner magic 2014

文档描述了V12 DNS的行为变化，以及由此带来的配置、运维方面的影响。 下载密码请关注微信 F5技术 后回复downloadpwd 即可获得 手机可以长按如下二维码并识别

418128, 当一个被disabled的 members/POOL在启用后，如果irule在LB selected事件之前的其它事件中执行pool 类命令的话，会导致LB::status对该对象返回的状态信息为session_disabled或down，此版本修正为输出unset 469020， 为gtm_add增加 -y参数，代表对所有问题输入YES 471856, version 11.x TMSH and REST GTM Pool and Wide IP related commands are not …

224022：HTTP response 统计信息（例如版本，状态码等）从以前的server side改到在client side统计，这样可以更准确反映客户端所得到的responses 224131：GSLB中全局设置send-wildcard-rrs（控制是否跟随掩码wideip的创建而自动在BIND中创建通配A记录，例如*.cnadn.net）默认被启用，即以后会自动创建对应的通配A记录 227347，增加可以控制cookie 属性的irule命令 250670，修正http cookie 命令不再增加无用的…

对应的SOL： https://support.f5.com/kb/en-us/solutions/public/17000/100/sol17181.html https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17227.html 影响： 如果没有开启BIND的递归则不受(CVE-2015-5986)影响，如果开启则会在特定情况下收到影响，具体参考SOL17227，如果必须开启递归，请考虑使用ACL限制只有可信网络可以使用递归。 如果没有开…

如果一个企业希望当用户访问任意SSL加密的数据时也能监控其内容的话，同时又希望用户不要觉察到TA可能在被监控（至少对于绝大部分普通用户来说），可以考虑使用SSL forward proxy。该功能的基本原理类似于前段时间某强大的传说中的火墙干的那样，当请求通过时候，实时on-fly签发一张让用户感觉不到的server证书，这样客户端SSL实际是和中间设备（F5）在通信，F5在server侧模拟充当普通客户与实际网站通信，从而实现数据解密。 对于F5来说，其实际通信过程如下： client 发起 client hel…