F5 bigip自11.5.0版本后增加了socks profile的支持，即可以利用LTM提供socks4,4a以及socks5的服务。socks位于OSI模型的会话层上,可以透明的为TCP或UDP提供中转代理服务。 [title]socks profile配置项含义[/title] protocol versions：选择需要支持的协议版本，可以为4，4a，5，默认则全部支持 DNS resolver：一个需要提前在网络部分配置好的resolver（只需配置resolver，无需配置系统级的DNS IP），以提…

思路： k8s内使用headless service，service配置文件中配置selector，这样k8s内部的dns服务将把endpoint的IP作为 A记录到相关服务的名称下 让F5可以使用k8s的DNS 服务 在F5内使用FQDN方式配置pool，这样F5将自动获取所有k8s内的endpoint   优点： 不用关心容器内复杂的服务调度及iptables 无需使用api来创建F5配置 F5直接将流量送给endpoint效率高 endpoint内容器的健康性、扩展性由k8s负责，未被破坏,F5 m…

这是很早前写的一个样例，基于业务模板，系统自动化创建业务配置 业务输入模板（可以通过任何形式产生，例如一个自服务的portal website）： createvs.txt  createpool.txt createmonitor.txt 中间程序F5_Deploy.py, 中间输出 tmsh.txt (作为ssh.py的输入） （如果系统支持iControlRest，可以直接利用Python执行REST） 自动执行ssh.py   [crayon-687356eecb5a5320673996/] &n…

文档描述了V12 DNS的行为变化，以及由此带来的配置、运维方面的影响。 下载密码请关注微信 F5技术 后回复downloadpwd 即可获得 手机可以长按如下二维码并识别

224022：HTTP response 统计信息（例如版本，状态码等）从以前的server side改到在client side统计，这样可以更准确反映客户端所得到的responses 224131：GSLB中全局设置send-wildcard-rrs（控制是否跟随掩码wideip的创建而自动在BIND中创建通配A记录，例如*.cnadn.net）默认被启用，即以后会自动创建对应的通配A记录 227347，增加可以控制cookie 属性的irule命令 250670，修正http cookie 命令不再增加无用的…

对应的SOL： https://support.f5.com/kb/en-us/solutions/public/17000/100/sol17181.html https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17227.html 影响： 如果没有开启BIND的递归则不受(CVE-2015-5986)影响，如果开启则会在特定情况下收到影响，具体参考SOL17227，如果必须开启递归，请考虑使用ACL限制只有可信网络可以使用递归。 如果没有开…

如果一个企业希望当用户访问任意SSL加密的数据时也能监控其内容的话，同时又希望用户不要觉察到TA可能在被监控（至少对于绝大部分普通用户来说），可以考虑使用SSL forward proxy。该功能的基本原理类似于前段时间某强大的传说中的火墙干的那样，当请求通过时候，实时on-fly签发一张让用户感觉不到的server证书，这样客户端SSL实际是和中间设备（F5）在通信，F5在server侧模拟充当普通客户与实际网站通信，从而实现数据解密。 对于F5来说，其实际通信过程如下： client 发起 client hel…

F5有一个很酷的在线分析工具，能够给F5管理员提供对设备的在线分析和诊断，用户只需上传设备的qkview文件，系统即可以自动组织分析出当前设备存在的问题，qkview采集时点系统的状态数据等，是一个非常厉害的工具，是一个利器。同时ihealth API系统通过REST提供了一套访问接口，我们可以利用该工具，通过脚本完成一系列的自动化工作，用于帮组日常维护及巡检，例如定期产生qkview数据并自动上传到ihealth，并自动提取产生的问题建议（ihealth每周更新维护一次其联想分析数据库，定期执行检测可帮组发现最新…

漏洞介绍https://www.openssl.org/~bodo/ssl-poodle.pdf 强制sslv3.0会是的BEAST攻击变得很容易，v3.0不是一个安全的协议版本。   规避： 禁用ssl v3.0 F5： -如果ssl卸载在F5上，那么ssl profile中可以设置关闭ssl v3.0 （BIGIP v11.5以后版本默认已弃用ssl3.0 因此不受影响） *如果你的用户还很多使用sslv3.0的话，请谨慎。具体可以通过命令查看profile的统计中sslv3.0使用占比情况。 -F5…

sol15629: Multiple GNU Bash vulnerabilities F5补丁发布： https://support.f5.com/kb/en-us/solutions/public/15000/600/sol15629.html 使用F5防御： http://f5networks-ss.stor.sinaapp.com/Anti-shellshock.html

AFM模块可用于抵抗很多种类型的DOS攻击，在系统中对各个攻击类型的检测设置一般如上图所示，包含三个配项，其含义如下： Detection Threshold PPS， 每秒包数，系统会自动采样最近1分钟内每秒包数（profile结果中的stats 1m），若统计值大于设置值，则系统认为攻击发生。攻击发生后，系统每秒采样一次值，若值依旧大于设定阀值则攻击在持续，低于该值，系统认为攻击停止。   Detection Threshold percent，这是相对值，系统将最近1分钟（stats 1m)的值与最…

  在F5的monitor中我们总会看到两个计时器选项interval和timeout，通俗的讲就是每隔interval时间执行探测一次，如果timeout时间之内没有应答（回复），则认为失败。 但这里面有不少细节，这里的timeout到底是指的什么，是指每一次探测所要等待的时间还是总时间，如果针对第一次的探测响应在第二次探测发出后才回来，会是什么结果？应用层的行为是否会反过来影响探测？ 事实上monitor用两个维度来看待上述两个计时器，当0s monitor开始工作时，系统将开始维持两个监控状态，一个…