LINUX.ORG.RU

Сообщения Shprot

 

Свой почтовый сервер. Некоторые спамфильтры нас не пропускают.

Форум — Admin

После того, как яндекс изъявил желание стать платным для корп клиентов, с нашей стороны было изъявлено желание развернуть свой почтовый сервер. Что сопсна на новогодних и было сделано. ПО - postfix+dovecot. Из web-интерфейса старый-добрый кубик (RoundCube) на nginx v.1.18, php v.7.4.33.
Результат проверки mail-tester показывает 10/10. Helocheck говорит что host mail.abuseat.org[54.93.50.35] said: 550 *** The HELO for IP address (IP нашего почтовика) was ‘mail.наш.домен’ (valid syntax) *** (in reply to RCPT TO command).
Все письма доставляются всем, за исключением:

  1. gmail, туда они попадают в спам, но доходят
  2. Почтовый сервер, где «прикручен» antispam.lotte.net, который возвращает 554 refused to talk to me.
  3. И почтовый сервер, у которого антиспам spamhaus. Там ребята выкладывают лог, что значение HELO нифига не наше, а вообще какие-то левые, буржуйские домены. Либо предлагают закрыть 25 порт, но тогда входящая почта встаёт колом.

В логах почта ходит нормально и ничего подозрительного нет. Единственное что основной наш домен, на котором крутится сайт example.com на IP 11.11.11.11, а почтовый сервер mail.example.com на IP 22.22.22.22, но соответствующая запись example.com MX на mail.example.com сделана.
Конфиг postfix’a
Конфиг Dovecot’a
iptables вдруг пригодится
Я не совсем понимаю куда ещё посмотреть. Где и что не так работает.

 ,

Shprot ()

Расписание звонков в asterisk. Как отработают экстеншены...?

Форум — Admin

По-тихой осваивая PJSIP RealTime, а также маршрутизацию звонков, намедни добавил IVR с приятным голосом ИИ, где тётенька в рабочее время говорит куда Вы позвонили, если знаете вн. номер сотрудника, бла-бла-бла…, а в нерабочее та же тётенька отправляет звонок на круглосуточную охрану.
На кануне НГ пришла идея в IVR добавить ещё один экстеншн, который должен будет работать с 31 дек по 8 янв. Всё сделал, но усомнился отработает ли он правильно с такой конфигурацией или же 31 декабря астер прочитает первый инклюд и сработает экстн daytime, вместо newYear1…?

include => daytime,9:00-18:00,mon-fri,*,*
include => nighttime,18:00-9:00,mon-fri,*,*
include => weekends,*,sat-sun,*,*
include => newYear1,*,*,31,dec
include => newYear2,*,*,1-8,jan

 ,

Shprot ()

Ceph. Ошибка при создании кластера.

Форум — Admin

Решил пощупать ceph. Посмотрев мануалы в сети пришёл к выводу что при установке, лучше всего будет обратиться к официальной документации, так как некоторые инструменты уже deprecated. Ставлю cephadm curl’ом. На следующем шаге, при попытке развернуть кластер cephadm bootstrap --mon-ip 192.168.122.100 cephadm создаёт/копирует, тянет контейнер и т.п., выхлоп на pastebin. По итогу ошибка, в которой сказано что контейнер ceph’а, при добавлении node1, не может до неё достучаться, с которой сопсна и идёт установка. Может кто подскажет что не так…?

P.S. Прошу помочь с решением проблемы, а не закидывать тухлыми помидорами и кричать что ceph плохой. На эту тему есть видео, где чел рассказывать про те моменты, которые необходимо учесть, при use ceph в проде.

 

Shprot ()

Asterisk. Именование телефонных аппаратов.

Форум — Admin

Как и подавляющее большинство дилетантов, нахватавшихся верхушек по мануалом из сети, развернув на предприятии какие-то сервисы, я продолжаю углубляться в тонкости работы своего творения. Читая книгу «Asterisk. Полное руководство, 5-ое издание» хочу процитировать отрывок из 5-ой главы

Во-первых, вы не должны назначать своим телефонам добавочный номер; вместо этого создайте систему так, чтобы добавочный номер был назначен пользователю, а затем назначьте телефон или другие ресурсы этому пользователю. Сами телефоны должны быть названы в соответствии с чем-то уникальным для них, таким как MAC-адрес или имя компьютера. В гибкой АТС следующего поколения необходимо абстрагировать понятия пользователей, добавочных номеров и телефонов чтобы обеспечить максимальную гибкость и простоту управления.

Штурмуя сеть на предмет инструкций по настройке IP-телефонии, ни где не встречаю этого. В основном везде именуют аппараты по добавочному номеру. Вопрос к VoIP-красноглазикам (к которым начинаю себя относить), почему админы игнорируют вышеупомянутую рекомендацию и упорото упёрто именуют аппараты по добавочному номеру…?

 ,

Shprot ()

Samba как файлопомойка в AD. Неправильно работают права на удалённые файлы/папки

Форум — Admin

Есть файловый сервер на Samba с интеграцией в AD. В секции global следующие параметры:

domain master = No
load printers = No
local master = No
log file = /var/log/samba/samba.log
preferred master = No
printcap name = /etc/printcap
realm = путь будет example.loc
restrict anonymous = 2
security = ADS
winbind enum groups = Yes
winbind enum users = Yes
winbind offline logon = Yes
winbind refresh tickets = Yes
winbind separator = ^
winbind use default domain = Yes
workgroup = Путь есть example
recycle:directory_mode = 2770
recycle:exclude = ~$* *.tmp *.TMP *.temp *.bak *.log .DS_Store
recylce:excludedir = tmp temp public
recycle:touch = yes
recycle:versions = yes
recycle:keeptree = yes
recycle:repository = /Data/.recycle/
idmap config * : range = 10000-99999
idmap config * : backend = tdb
vfs objects = recycle

С параметром recycle:keeptree = yes, при удалении файла, воссазадётся весь путь удалённого файла. Руководствуясь ману самбы, с добавлением параметра recycle:directory_mode = 2770 у всего пути должны быть полные права у группы и владельца (по умолчанию эта маска равна 0700). Рестартуем демона самбы, заходим под юзером домена, удаляем файл, проверяем права и ничего не можем понять. У пользователя 7, у группы 5, у остальных 0. Соответственно параметр recycle:directory_mode не особо-то и работает.

 , ,

Shprot ()

Thunderbird и PDF вложения

Форум — Desktop

Обратил внимание на одно из платёжных поручений во вложении любимого почтового клиента. Оно было не заполнено. Позвонив «на ту сторону» и спросив почему они шлют пустые ПП, на меня посмотрели как на дурачка. Усомнившись, я открыл вложение PDF через evince и был удивлён. Данные в ПП были на своих местах! Перерыв настройки тандера, ничего про вложения не нашёл, за исключением открывать их в другой программе. Может кто подскажет что не так с PDF’ами в тандере…?
-> Скрин как всё это выглядит <-

Перемещено hobbit из general

 ,

Shprot ()

proxychains в archlinux

Форум — Admin

2 дня гугления не увенчались успехом. Хочу анонимности на любимом дистре, но не работает. Ставлю tor

cat /etc/tor/torrc 
User tor
Log notice syslog
DataDirectory /var/lib/tor
AutomapHostsOnResolve 1
DNSPort 53530
TransPort 9040

Следом ставлю torsocks и proxychains. В конфиге последнего пакета меняю статик на динамик и в конце добавляю строку socks5 127.0.0.1 9050 запускаю firefox через proxychaints и нифига. При попытке соединиться с узлом, в консоли выдаёт <--socket error or timeout! В journalctl вижу Rejecting SOCKS request for anonymous connection to private address [scrubbed].
Начал грешить на провайдера, но попробовал вышеописанные действия сделать на убунтоводном дистрибутиве, всё взлетело!
Прошу великих гуру тора, сетевых инженеров, да и просто более компетентных людей ткнуть меня носом в три конфига (proxychains, torrc и torsocks) что скорее всего очевидно, для решения проблемы и наконец-то пустить меня анонимно в просторы интернета…=)

 , ,

Shprot ()

extensions.conf звонки на городские (короткие) номера

Форум — Admin

С нуля настроен голый астер. В extensions.conf при таком раскладе

;Звонок в мир
exten => _XXX.,1,Dial(SIP/${EXTEN}@rtk)
;exten => _8[4-89][12-6-890]XXXXXXXX,1,GoSub(recording,s,1,(${CALLERID(num)},${EXTEN}))
;exten => _8[4-89][12-6-890]XXXXXXXX,n,Dial(SIP/${EXTEN}@rtk)
;exten => _NXXXXXX,n,Dial(SIP/${EXTEN}@rtk)

естественно можно звонить вся и всюду, но правильнее будет ограничить звонки по маске. Поэтому, тот же самый код

;Звонок в мир
;exten => _XXX.,1,Dial(SIP/${EXTEN}@rtk)
exten => _8[4-89][12-6-890]XXXXXXXX,1,GoSub(recording,s,1,(${CALLERID(num)},${EXTEN}))
exten => _8[4-89][12-6-890]XXXXXXXX,n,Dial(SIP/${EXTEN}@rtk)
exten => _NXXXXXX,n,Dial(SIP/${EXTEN}@rtk)

работает, но звонок не идёт с короткого номера, который указан последним.
Код города - 3 цифры, номера начинаются на 2, sip-провайдер (ростелеком) бьёт себя пяткой в грудь, что всё должно работать. Но что не так я написал в экстеншене…?

 , ,

Shprot ()

Никогда ничего не кластеризовал. Всёгда обходилсой одной QEMU

Форум — Admin

Тут от прошлого админа достался proxmox с двумя нодами, буквально через пару дней было отключение света, ну в общем после загрузки одна нода лежит времени нет на чтение, может кто подскажет как исправить (восстановить) состояние.

 

Shprot ()

AD-DC на linux

Форум — Admin

Пригласили на аутсорс в одно «ООО», в которой работы - конь не валялся. Там такой примитив, просто прошлый век. Так к чему это всё я…
Хочу сперва развернуть домен, с выбором ОСи склонен естественно к linux. Про AD-DC есть кучу статей. Самая актуальная и довольно-таки насыщенная у adminguide. Хотелось бы спросить, а есть тут те, кто пустил в продакшн AD-DC со всеми плюшками и на сегодняшний день всё крутится-вертится нормально…?

 ,

Shprot ()

Последний Nextcloud не инициализирует БД на последней MariaDB

Форум — Admin

Стенд:
OS - Centos 7
PHP - 8.0.10
СУБД - MariaDB 10.6
Nextcloud - 22.1.1

На заключительном этапе (создание админской УЗ, ввод данных для подключения к БД) вываливается ошибка. Гугл говорит что nextcloud не хочет писать таблицы в сжатом формате. Такое появилось в марии 10.5. Решение - отключить сжатие. Пишут как это сделать в основном в докере. Запустить контейнер с ключом --skip-innodb-read-only-compressed, а у меня виртуализация. В связи с недостаточной компетенцией в настройке вышеупомянутой СУБД, прошу помощи великих оракулов. Где отключить компрессию…?

 ,

Shprot ()

Сборка дистрибутива Astra linux

Форум — Admin

На работе, по указу президиума вышестоящих, было решено импортозаместиться. Необходимо в сжатые сроки перевести АРМ’ы на изуродованный опенсорсный дистрибутив с громким названием Astra linux! Проблема в том, что АРМ’ов по бёдра, а если быть точнее 316 штук. Естессно будут наняты аутсорсы в помощь, но для них необходимо подготовить дистр с закостыленными в него банк-клиентами, СКЗИ, специфическим софтом и т.д. Также нужно минимизировать со стороны аутсорса кликанье мыши, то есть подготовить некий kickstart, чтоб максимум что они сделали после запуска установки - это ввели имя компа. Возможно автоматизировать ввод в домен, на этапе установки. На выходе должен получиться live-usb-astra-мать-её-за-ногу.iso Никогда не собирал образы, поэтому молю о подсказке. Поделитесь опытом кто как собирал подобное, а дальше я уж сам…

 , ,

Shprot ()

Jitsi. При подключении 3-го участника, отваливается видео и звук у всех.

Форум — Admin

Ставлю jitsi-meet, банально без всяких интеграций с чем-то, просто пытаюсь сделать простой сервер ВКС. На двух участниках всё работает, но при подключении третьего (и более) отваливается у всех звук и видео. Каждый видит только себя. По этому поводу нашёл только эту тему, но там как я понял чел решил переустановкой всего этого добра.

Что имеем:

  1. Провайдер дал 29-ую сеть.
  2. В тик заходит основной инет 11.11.11.2
  3. Jitsi имеет локальный адрес 172.16.0.9
  4. На тике прописано натируеющее правило, которое отправляет 11.11.11.3 (из 29-ой подсети следующий адрес) на 172.16.0.9, предварительно купленный домен у регистратора.

Когда двое ВКС’ятся, всё норм, но как только… проблема описана выше.
Файерволл даже полностью выключал - не помогло…=(

Логи:
jvb.log
jicofo.log
prosody.log

Уважаемые знатоки, может кто чего подскажет…?

 

Shprot ()

Файловый сервер SAMBA в домене WINDOWS

Форум — Admin

Всем peace...!!!

Домен - prim.les (win2k12r2)
Файловый сервер - filegrb (ubuntu 16.04)

Конфиг smb.conf
Конфиг nsswitch.conf

В общем в домен самба залетела, wbinfo группы и юзеров показывает. Но при просмотре id по конкретному юзеру, у которого права в домене админские, выхлоп показывает что юзер состоит ещё и в других группах. Сопсна отсюда и проблемы с назначением прав на папку. Когда я чоуном пытаюсь сказать что папкой должен править администратор, а группой пользоваться пользователям домена, он вроде бы слушает меня, но при просмотре прав говорит что пользователь совершенно другой (кстати отключенный) и группа пользователей неизвестная c id 10004. Хотя если гетеном сгрепать группу 10004 он говорит что это пользователи домена. Что блин происходит...?

 

Shprot ()

Как пустить postfixadmin и roundcube по https...?

Форум — Admin

Есть простенький, настроенный почтовичОК на postfix’е и dovecot’е, который админится через postfixadmin выставленным наружу. Самоподписанные серты добавляют поддержку SSL/TLS при отправке писем через почтовые клиенты, но postfixadmin и кубик открываются по http. Как заставить ходить кубик и постфиксадмин по https…?

 , , ,

Shprot ()

Установка brick (Bitrix24 desktop) в archlinux

Форум — Desktop

В AUR’e last update сего пакета был в марте 2016. Никогда не требовалось это ПО, а тут надо. В дебианоподобных это всё скомпилилось из исходников, предварительно скачанных с гитхаба. В Арч’е всё как всегда сложнее. Что с аура, что компиляция из исходников выдаёт одну и ту же ошибку, на том же шаге.
ОШИБКА
Начинаем копать. Ошибка говорит что при подключении файла gtk.h по пути /usr/include/gtk-2.0/gtk на 173-ей строке ненужные скобки при компиляции. Если конечно я правильно понял. Ну сопсна на этом и залип. Не думаю что убирать скобки - это правильно. Может у кого есть идеи как собрать злосчастный пакет…?

 ,

Shprot ()

Установка УТМ ЕГАИС в linux

Форум — Admin

Всем добра! На просторах сети куча мануалов по установке, но на сегодняшний ничего не работает. Во-первых всё устанавливал по этому и и этому мануалам. Не работает ip адрес ЦентрИнформа для добавления ключа репа. По идее ключ нужен для того, чтобы apt install’ом скачать и установить транспортный модуль. О’кей, пойдём другим путём и скачаем модуль wget’ом чтоб в дальнейшем его установить ручками. В общем после установки всех необходимых библиотек и dpkg -i u-trans-3_0_8.deb всё встаёт, статус супервизора показывает все (три) службы запущены, но они каждую минуту рестартуют. Также по IP:8080 страница не открывается. Версии убунты и дебиана перепробовал все, которые рекомендуют. Может кто ставил сие добро и поделится опытом…?

 

Shprot ()

Плагин в keepass желает .NET Framework

Форум — Desktop

Всегда юзал кипас, а тут понадобился GoogleSyncPlugin. После подкидывания в нужную папку плагина и запуске ПО, кипас требует виндозный фреймворк. Гугл толковых ответов на этот вопрос не даёт, подумал может тут найдутся те, кто решил проблему не прибегая к вайну и т.п.

P.S. Система, keepass

 ,

Shprot ()

jitsi meet и мобила

Форум — Admin

Всем добра…! С уходом на удалёнку шеф попросил найти какое-нибудь решение для присутствия сотрудника в рабочие часы не только за компом, но и чтоб его было видно. С первых строк гугла выбор пал на джитси. Опираясь на ман развернулось всё буквально минут за 20, так сказать хуяк-хуяк раз-два и в продакшн. Единственное это не получается подключиться с мобильного приложения. Настроек там минимум.
Сервер во вне, IP белый, на файере разрешён 443 порт.
Доменного имени нет, поэтому подключение по IP происходит.
Что ему ещё надо…?

 

Shprot ()

Борьба со спамом средствами Postix'а

Форум — Admin

Есть почтовичок на постфиксе и довекоте. Решил бороться со спамом средствами самого постфикса. В конфиге указал на файлик, в который заношу не только адреса злодеев, но и блочу левые домены. Судя по логам спамеры режутся с красивым сообщением «Fuck you spamer»…=) Но почему-то не все. Есть некоторые домены (их штук 5 - 8) которые всё равно минуют чёрный список. Например вот этот. Даже пробовал добавлять адреса с доменом, всё равно письма от этого адреса приходят. После добавления адреса либо домена БД обновляется (postmap sender_access.pcre). Может кто поделится идеями как заблочить мерзавчиков…?

 ,

Shprot ()

RSS подписка на новые темы