Какая-то дичь творится в этом дистрибутиве, ping имеет права rwsr.

А попытка выполнить

socket.socket(socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_ICMP)

возвращает PermissionError.

Там вообще можно ICMP over UDP сделать или это такое пробитие дна? Казалось бы 4 года дистрибутиву всего.

Никто не знает, что за ублюдочный софт такое делает ?

21:08:35.079919 IP 192.168.93.15.1028 > 192.168.93.1.53: 16+ A? https://app-measurement.com/sdk-exp. (53)
21:08:35.079974 IP 192.168.93.1.53 > 192.168.93.15.1028: 16 NXDomain 0/1/0 (128)
21:08:43.304626 IP 192.168.93.15.1028 > 192.168.93.1.53: 18+ A? https://app-measurement.com/sdk-exp. (53)
21:08:43.304663 IP 192.168.93.1.53 > 192.168.93.15.1028: 18 NXDomain 0/1/0 (128)

Привет!

Вопрос по сабжу.

Пользуюсь imapsync, тяну письма с GMail, но скорость меняется на порядок (в 10 раз) во время обмена.

Зависит от погоды на Марсе?

Канал к серваку 500 Мбит/с.

Ваши предложения?

Имею два сервера на которых поднять vlan интерфейс

сервер1
10.177.77.0/24 dev vlan777  proto kernel  scope link  src 10.177.77.13 

сервер2
10.177.77.0/24 dev vlan777  proto kernel  scope link  src 10.177.77.23 

добавляю на одном из них сетевой интерфейс

ip addr add 10.177.77.154/24 broadcast 10.177.77.255 dev vlan777 label vlan777:test1

все работает. проверяю командой ping с третьего сервера, где подсеть 10.177.88.* на своем vlan888. Пинг проходит. Все ОК. Удаляю.

удалить

ip addr del 10.177.77.154/24  dev vlan777

ip addr add 10.177.77.154/24 broadcast 10.177.77.255 dev vlan777 label vlan777:test1

Если вручную допишу в конфиг файл vlan этот ip то все работает.

vi /etc/sysconfig/network/ifcfg-vlan777
добавляю в конец конфига
IPADDR_0='10.177.77.154/24'
LABEL_0='test1'
выполняю команду
systemctl reload network
и все работает

здравствуйте, господа!

посоветуйте плиз, чего можно поставить на linux-шлюз для мониторинга трафика из локальной сети. хотелось бы видеть в БД данные по каждой сессии: с какого локального ипака на какой удалённый, сколько данных было передано в ту и иную сторону, возможно какой-то беглый анализ типа сессии, ну и чтоб можно было настроить правила - из каких типов сессий можно было бы сохранять траффик в базу для дальнейшего изучения. ну и чтоб можно было отчёт глянуть по каждому из локальных клиентов, может веб админка какая. ну и желательно чтоб это было open-source решение.

очень благодарен заранее.

Добрый день, посоветуйте годный клиент ssh и sftp для айфона, кто какой использует?

Есть VPS, дают блок /64 (провайдер veesp). На сервере крутится openvpn, соответственно, я хочу, чтобы клиенты получали глобальные ipv6-адреса.

Что я для этого сделал:

• Разделил блок адресов на два по /65.
• В нижней половине выделил один адрес, назначил его на wan-интерфейс сервера (с маской /65).
• В верхней половине выделил /112 под openvpn: один адрес стоит на tun-интерфейсе, другие openvpn раздаёт клиентам.
• Когда клиент подключается, выполняется ip neigh add proxy "$CLIENT_IPV6" dev eth0 (eth0 — это wan).
• Стоят опции sysctl:
  • net.ipv6.conf.all.forwarding = 1
  • net.ipv6.conf.eth0.proxy_ndp = 1

Это работало, когда я это настроил. С тех пор прошло неопределённое время, конфигурация не менялась, только апдейты дебиана накатывались, и сегодня я заметил, что это уже не работает.

Если назначать любые адреса из моего блока /64 на eth0, то снаружи пинг проходит: ко мне от шлюза приходит neighbor solicitation, мой сервер отвечает neighbor advertisement, потом идут echo request и echo reply. Если этот же адрес не стоит на eth0, а используется для vpn (либо в качестве адреса одного из клиентов, либо адреса на tun-интерфейсе), и ndp proxy для него включён, то приходит neighbor solicitation, мой сервер отвечает neighbor advertisement — и тишина, echo request не доходят до моего сервера. Единственная разница — во втором случае neighbor advertisement уходит с link-local адреса на eth0, а в первом случае с того адреса, который запрашивается (потому что он назначен на eth0).

Как можно решить эту проблему, чтобы мои хосты за vpn нормально маршрутизировались?

Спасибо.

Всем привет, есть у меня сервер на arm у scaleway. И решил я его обновить до Debian 10 (был Debian 8). Ну были всякие косяки, но я их все решил, кроме одного: перестал работать openvpn.

# openvpn --version
OpenVPN 2.4.7 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Feb 20 2019
library versions: OpenSSL 1.1.1c  28 May 2019, LZO 2.10

Симптомы следующие: клиенты абсолютно нормально подключаются, обновляется таблица маршрутизации, но вот пакеты дальше гейта не ходят:

$ ip route show 
default via 10.8.0.33 dev tun0 proto static metric 50 
default via 192.168.0.1 dev wls3 proto dhcp metric 600 
10.8.0.1 via 10.8.0.33 dev tun0 proto static metric 50 
10.8.0.33 dev tun0 proto kernel scope link src 10.8.0.34 metric 50 
163.172.173.204 via 192.168.0.1 dev wls3 proto static metric 600 
169.254.0.0/16 dev wls3 scope link metric 1000 
192.168.0.0/24 dev wls3 proto kernel scope link src 192.168.0.104 metric 600 
192.168.0.1 dev wls3 proto static scope link metric 600 


$ traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  59.718 ms  120.798 ms  179.786 ms
 2  * * *

На сервере в tcpdump входящие пакеты видны, исходящих нет:

12:11:58.872333 IP 10.8.0.34 > dns.google: ICMP echo request, id 11071, seq 2, length 64

Форвардинг, понятное дело, включен

$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Фаерволл пустой:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
# 

Конфиг openvpn не менялся.

Никто с таким не сталкивался? Куда копать?

Здравствуйте.

Захотел поиграться в своей сетке с dns сервером, настроил bind, имена резолвятся, пакеты бегают. Решил пойти дальше, купил доменное имя у hostinger, оплатил белый IP, а как прикрутить купленный домен к своему серверу не понимаю.

Подскажите кто знает, или ссылку дайте.

Доброе время суток.
Подскажите, плиз, рабочее решение для Wake on Wan (WOL over Internet) - Archer C7 v2 и OpenWRT 18.06.2.
Перепробовал все рекомендации - и ip neigh на целевой компьютер и на броадкаст MAC. Пробросы делал, порты отрывал, с бубном танцевал.
Внутри сети пакеты бегают, извне - никак.

Есть ли какой-то действенный способ запретить некоторому процессу использовать swap? Т е сделать так, что бы он никогда не вытеснялся из озу на диск?

Захотел тревел-роутер с поддержкой Wireguard, да придумал такой приподвыверт: чтобы был двухдиапазонник и можно было на любом девайсе, хоть на Kindle, быстро пустить трафик через VPN или напрямую просто переключившись на другую сеть. Решил поддержать GL.iNet за идею продавать роутеры с OpenWRT из коробки и купил Slate. Да и железка реально понравилась, очень маленькая. Весит, правда, будто большая.

Цель 0, обещанная: получить роутер, который может в Wireguard по переключателю

Достигнута из коробки. В роутере суперпростой интерфейс, видно, что делали старательно и с прицелом на полных чайников. В результате к Wireguard можно подключиться вообще не включая мозг, как и повесить поднятие интерфейса на аппаратный переключатель. Но это все штатная обещанная функциональность, идем дальше.

Цель 1, оригинальная: разный роутинг для разных SSID

Задача вроде несложная: разделяем Wi-Fi сети на два несвязанных интерфейса, заводим две подсети и две таблицы роутинга. В фирменном интерфейсе ничего про две таблицы роутинга и близко нет, но по кнопочке Advanced в фирменном интерфейсе просто открывается luci… в которой тоже ничегошеньки нет про две таблицы роутинга. Зато интерфейсы и подсети разделяются чуть ли не drag-and-drop’ом. Вспоминаю, как, кажется, intelfx жаловался, что в OpenWRT без ныряния в конфиги ничего серьезного не сделать, но сначала иду в гугл.

Из гугла тут же возвращаюсь окрыленный, ставить какой-то mwan3. Я, не разобравшись поначалу, ожидал просто возможность сделать несколько таблиц, а узрел целый, блин, менеджер аплинков с балансировкой, мониторингом, фейловером и вообще. Сочиняю в нем желаемые и (явно для его гибкости слишком примитивные) правила маршрутизации «разные source подсети - разные gateways» и получаю то, зачем вообще все это затеял: одна из Wi-Fi сетей роутится через VPN, а вторая — напрямую.

Цель 2, расширенная: отдельные правила для отдельных IP

До меня доходит, что можно заворачивать в VPN трафик для отдельных хостов по destination IP. Получается, что для них трафик можно принудительно гонять через VPN, или наоборот, принудительно напрямую, и части ручных переключений можно будет избежать. И правила эти можно писать раздельно для двух SSID. Красота, причем все это все еще в пределах luci, ни одного конфига все еще не пострадало.

Цель 3, немыслимая: заворот по имени вместо IP

Оказывается, что в этом mwan3 правила можно применять по ipset: динамическому множеству destination IP. А dnsmasq умеет загонять в эти множества айпишники на основе доменного имени прямо по мере резолвинга. То есть пока на моем устройстве DNS’ом указан мой роутер, можно написать правило «а на все IP, застуканные за обслуживанием somesite.com и всех его поддоменов (!) распространить такое-то правило роутинга». Для написания этих правил, внезапно, тоже есть готовая морда для luci, но в репах ее не нашлось, а README на китайском отпугивает меня достаточно, чтобы я забил и просто написал их в пустой /etc/dnsmasq.conf руками.

Цель 4, че уж там: несколько VPN

Ну и нечего ограничиваться одним VPN и двумя подсетями с разными правилами, если можно N VPN и K<5 подсетей. Прописал еще один VPN для ходьбы наоборот, через Россию, добавил новых ipset’ов и правил роутинга.

Теперь /etc/dnsmasq.conf состоит из записей типа:

ipset=/some_banned_website.com/force_nl
ipset=/some_other_website_banned_in.ru/force_nl
ipset=/one_more_site.ru/prefer_nl
ipset=/accessible_only_from.ru/force_ru
ipset=/whatismyip.com/force_direct

На этом этапе был, правда, подводный камень: когда уже подключен VPN1 и подключается VPN2, автопрописыватель статического маршрута до endpoint от VPN2 какого-то лешего прописывал его через VPN1. В итоге трафик радостно бегал, например, из России в Голландию, обратно в Россию и только потом к адресату. Логику автопрописывателя выяснять было лень и я написал скрипт, который после поднятия VPN-интерфейсов просто удаляет такие идиотские маршруты. Скорее всего я сам дурак себе грабли подложил и можно было гораздо проще.

Итог

После всех этих манипуляций я могу заворачивать трафик в нужный VPN или пускать его напрямую целыми поддоменами + имею возможность переключаться между двумя такими наборами правил с разными дефолтными маршрутами просто выбрав нужную Wi-Fi сеть, на любом устройстве. Может можно и еще круче, но все упирается в мою фантазию, которая уже полпоста как безнадежно отстает от возможностей. По мере набухания моих хотелок я все-таки залез в конфиги и даже скрипт написал, но 1) возможно я просто поленился понять, как это делается правильно, и, вообще-то, 2) это было уже для достижения того, чего я не только не планировал, я вообще не думал, что так можно. Отсюда

резюме: OpenWRT — торт, luci — торт, mwan3 — торт, dnsmasq — торт, wireguard — торт, GL.iNet — красавцы, линукс готов для потребительских роутеров с уровнем потребителя от одноклеточных до меня включительно, я просто в восторге.

всем привет

как через nginx проксировать не http приложение?

Есть ubuntu 16.04. Поднят на нем qemu-kvm с единственной на данный момент виртуалкой. В виртуалке крутиться nextcloud. Но это не суть. Сама виртуалка в простое. Там нет сейчас никакой нагрузки

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
 1245 root      20   0   43060   3652   3068 R   0,3  0,4   0:00.10 top
    1 root      20   0  119592   5652   3908 S   0,0  0,6   0:01.40 systemd
    2 root      20   0       0      0      0 S   0,0  0,0   0:00.00 kthreadd
    3 root      20   0       0      0      0 S   0,0  0,0   0:00.05 ksoftirqd/0
    5 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/0:0H

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
 1510 root      20   0 2100256 571540  23028 S   8,3  7,1   1:11.28 qemu-system-x86
   31 root      25   5       0      0      0 S   4,3  0,0   0:06.05 ksmd
    7 root      20   0       0      0      0 S   0,3  0,0   0:00.81 rcu_sched
   41 root      20   0       0      0      0 S   0,3  0,0   0:00.17 kworker/1:1
 1048 nobody    20   0   43860   5696   4828 S   0,3  0,1   0:00.43 openvpn

qemu-system-x86_64 -enable-kvm -name cloud -m 1024 -drive file=/kvm/cloud.img,media=disk,index=0,if=ide,format=raw -boot c -net tap,vlan=0,script=/kvm/cloud-eth0.sh -net nic,vlan=0,macaddr=02:54:00:FF:75:AF -vnc :3,password,websocket=5703 -usbdevice tablet -monitor tcp:127.0.0.1:40000,server -smp 2

Поднял я тут на одной машине openvpn server, а на другой клиента создаю.

Настройки:

- сервер: https://pastebin.com/80miyJKv

- клиент: https://pastebin.com/XVu2buth

Клиент успешно находит сервер, коннектится и его лог заканчивается следующим:

...
...
Sun Dec  9 19:38:59 2018 us=136878 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=eth1 HWADDR=00:e0:4c:53:44:58
Sun Dec  9 19:38:59 2018 us=138649 TUN/TAP device tap0 opened
Sun Dec  9 19:38:59 2018 us=138944 TUN/TAP TX queue length set to 100
Sun Dec  9 19:38:59 2018 us=139173 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Dec  9 19:38:59 2018 us=139558 /usr/bin/ip link set dev tap0 up mtu 1500
Sun Dec  9 19:38:59 2018 us=151381 /usr/bin/ip addr add dev tap0 10.8.0.201/24 broadcast 10.8.0.255
Sun Dec  9 19:38:59 2018 us=161408 /usr/bin/ip route add 10.8.0.1/24 via 10.8.0.1
Error: Invalid prefix for given prefix length.
Sun Dec  9 19:38:59 2018 us=170304 ERROR: Linux route add command failed: external program exited with error status: 2
Sun Dec  9 19:38:59 2018 us=170545 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Dec  9 19:38:59 2018 us=170680 Initialization Sequence Completed

При этом на созданном интерфейсе не выставляется ip адрес:

[client]$ ip a
...
...
47: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/ether 4e:d2:00:a7:0d:48 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::4cd2:ff:fea7:d48/64 scope link 
       valid_lft forever preferred_lft forever

Следует ли из лога, что клиент пытается вызвать настройку адреса?

Если после этого вручную повторить команду из лога, адрес настроится и все будет прекрасно работать:

[client]$ /usr/bin/ip addr add dev tap0 10.8.0.201/24 broadcast 10.8.0.255

[client]$# ip a
...
...
47: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/ether 4e:d2:00:a7:0d:48 brd ff:ff:ff:ff:ff:ff
    inet 10.8.0.201/24 brd 10.8.0.255 scope global tap0
       valid_lft forever preferred_lft forever
    inet6 fe80::4cd2:ff:fea7:d48/64 scope link 
       valid_lft forever preferred_lft forever

[client]$ ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=325 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=162 ms
^C

Поскажите, на каком этапе ошибка? Настройки openvpn или действительно клиент не может вызвать ip addr? (Для тестов и сервер и клиент запускаются прямо от рута.)

Добрый день. Необходимо пустить весь трафик отдельного пользователя через vpn. Делаю так:

iptables -t mangle -A OUTPUT -m owner --uid-owner 1003 -j MARK --set-mark 0x2
ip rule add fwmark 0x2 table 102
ip route add default via 10.10.0.1 table 102
iptables -t nat -A POSTROUTING -o tap_vpn -j MASQUERADE

Уважаемый pon4ik, поднял недавно тут тему как сделать так, чтобы «ФС ... хранила бы метаданные на одном диске, а сами данные на втором. Т.е. пока происходят всякие listdir и fstat не было обращений к харду и он мог сладко спать.»

Я вспомнил, что об XFS слышал подобное, быстро нагуглил пару ссылок про realtime раздел и кинул в коментариях. Но так-как я XFS-boy, то полез смотреть как оно реализовано. Рапортую). Realtime раздел у XFS — это дополнительный раздел на который пишутся только данные (не inode'ы и не лог — первые пишутся на основной раздел, вторые или на него же или на отдельный раздел, если указать). Соответственно можно вынести данные в больших файлах с последовательным доступом на один раздел, а все IOPS'затратные операции на другой раздел на SSD или даже в оперативке (если сохранность данных нужна только до перезагрузки, бывает такое).

Как реализовать:

mkfs.xfs -r rtdev=/dev/sdb /dev/sdc

mkfs.xfs -l logdev=/dev/sdd -r rtdev=/dev/sdb /dev/sdc

Где:
/dev/sdb — realtime раздел (только файлы и только если об этом «попросить», об этом ниже)
/dev/sdc — основной раздел (файлы, inode'ы, log)
/dev/sdd — раздел для log'а ФС

Лог раздел имеет ограничение по размерам. Поэтому легче его не выносить, учитывая что мы и так выносим от «главного» раздела файлы.

Далее монтируем:

mount -o rtdev=/dev/sdb /dev/sdc /mnt

mount -o logdev=/dev/sdd,rtdev=/dev/sdb /dev/sdc /mnt

Как заставить систему писать файлы на realtime раздел? Есть 3 варианта:

• 1. Опция

  mkfs.xfs -d rtinherit=1

   — это недокументированная опция, которая говорит, что на созданной ФС все файлы будут писаться на Realtime раздел.
• 2. Команда

  xfs_io -c "chattr +t" /mnt/

   — ставит на директорию атрибут «realtime inheritance». Все файлы созданные после этого в директории будут записаны в rt раздел. Атрибут можно ставить на директорию в которую примантирована ФС (и даже на ней атрибут сохраняется после перемонтирования).
• 3. Команда

  xfs_io -c "chattr +r" /mnt/file_name

   — ставит на файл атрибут «the realtime». Файл должен быть создан пустым для этого (touch /mnt/file_name подходит).

Какова стабильность решения? После обсуждения год назад патчей для realtime разделов (подробнее тут: https://patchwork.kernel.org/patch/9933237/ ), началось активное тестирования этого функционала в XFS, были исправлены несколько багов, а в xfstests добавлен функционал по тестированию ФС с realtime разделом.

Добрый вечер, ЛОР.
Хочу поддаться веяниям моды и настроить себе IPv6.

Провайдер сию возможность даёт.
Интернеты по VDSL, модем Zyxel VMG1312-B10D в режиме бриджа.

При попытке запустить dhclient -v -6:

root@lightbringer ~ # dhclient -v -6 world0
Internet Systems Consortium DHCP Client 4.3.5
Copyright 2004-2016 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on Socket/world0
Sending on   Socket/world0
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT:  X-- IA_NA "\d<Y"
XMT:  | X-- Request renew in  +3600
XMT:  | X-- Request rebind in +5400
XMT: Solicit on world0, interval 1010ms.
RCV: Advertise message on world0 from fe80::200:5eff:fe00:1.
RCV:  X-- IA_NA "\d<Y"
RCV:  | X-- starts 1540999784
RCV:  | X-- t1 - renew  +0
RCV:  | X-- t2 - rebind +0
RCV:  | X-- [Options]
RCV:  | !-- Status code of no addrs, IA_NA discarded.
RCV:  X-- Server ID: 00:03:00:01:84:26:2b:61:31:71
PRC: Lease failed to satisfy.
XMT: Forming Solicit, 1010 ms elapsed.

Привет всем. Тема наверно уже сотню раз обсосана, но тем не менее. Нужен самый дешманский VPS какой только в принципе возможен (100 рублей/месяц было бы классно), на котором можно поднять VPN без последствий (бан от хостера). Пока в качестве вариантов рассматриваю Arubacloud, но слышал что там нужно отсылать скан паспорта, чтобы не платить лишнее, и Айхор Хостинг. В общем, жду совета.

На сервер debian приходит udp ~100-600mbps входящий в связи с этим идут потери пакетов, увеличиваются задержки и прочие радости. В iptables добавлено

INPUT -p udp -j DROP

flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
ether 0c:c4:7a:0c:70:8c  txqueuelen 1000  (Ethernet)
RX packets 157283928333  bytes 38784725568569 (35.2 TiB)
RX errors 0  dropped 0  overruns 13182248  frame 0
TX packets 269997924596  bytes 355284328974259 (323.1 TiB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ethtool -S eno1 | grep err
rx_crc_errors: 0
rx_missed_errors: 0
tx_aborted_errors: 0
tx_carrier_errors: 0
tx_window_errors: 0
tx_deferred_ok: 0
rx_long_length_errors: 0
rx_short_length_errors: 0
rx_align_errors: 0
rx_errors: 0
tx_errors: 0
rx_length_errors: 0
rx_over_errors: 0
rx_frame_errors: 0
rx_fifo_errors: 13182248
tx_fifo_errors: 0
tx_heartbeat_errors: 0
rx_queue_0_csum_err: 5051
rx_queue_1_csum_err: 5119
rx_queue_2_csum_err: 4784
rx_queue_3_csum_err: 6293
rx_queue_4_csum_err: 4666
rx_queue_5_csum_err: 3269
rx_queue_6_csum_err: 4681
rx_queue_7_csum_err: 5341

UDP, bad length 3010 > 1472