Избранные сообщения alex_sim

Помогите спецы в perl, подтолкните в нужном направлении

Форум — Development

Возникла необходимость следить и править некоторый файл config.conf, перетирает его определенный софт на который я не могу повлиять, это бинарник. Любезно предоставленный на халяву, нужно:

поискать строку с нужным IP и дополнить ее. Так с командной строки или в bash скрипте работает на ура.

perl -p -i -e 's\10.8.100.5/32\10.8.100.5/32, 192.168.0.0/24\g' config.conf

Но вставляя в perl скрипт

s\10.8.100.5/32\10.8.100.5/32, 192.168.0.0/24\g config.conf

Не работает, не могу понять почему. Передо мной книжка Энциклопедия Perl правда за 2002 год, но не помогает ничего не нашел ни в ней ни в инете. Выкрутился пока так в скрипте, но как то некрасиво дергать зубы через задний проход.

system('/usr/bin/perl -p -i -e "s\10.8.100.5/32\10.8.100.5/32, 192.168.0.0/24\g" config.conf');

perl, script

alex_sim
(16.02.23 09:56:37 MSK)

27 комментариев

Научите готовить WIreguard

Форум — Admin

Захотелось приобщиться к модному,молодёжному и поиграться с Wireguard.
Все статьи в гугле сводятся к «я поднял VPN к своему localhost в 1 клик и щястлив, попивая смузи на краю бассейна»
А как рулить подключениями когда у тебя много клиентов помимо localhost?
Если в команде люди постоянно приходят/уходят - надо постоянно пердолить конфиг сервера вручную добавляя/убирая секции Peer?
Научите, пожалуйста, как правильно

vpn, wireguard

zolden
(17.08.22 09:00:01 MSK)

34 комментария

Minidlna, centos7

Форум — General

Много лет качаю с торентов фильмы и смотрю, но понадобилось сменить звуковую дорожку, телек LG не дает сменить, пункт недоступен. Вопрос а может как то в minidlna можно задать принудительно?

lg, minidlna

alex_sim
(31.05.22 17:40:27 MSK)

36 комментариев

Cron не срабатывает от рута

Форум — General

Мне нужно, чтоб в определённое время запускался некий скрипт с правами root. Что имеется сейчас:

sudo crontab -e

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

@reboot sleep 5; /home/mapper720/mountCrypt.sh

Первых двух строк (SHELL... и PATH...) изначально не было, они добавлены после прочтения очередного совета в интернетах, но ничего от этого не поменялось.

Пробовал @reboot заменить на * * * * *, но ни при перезагрузке, ни каждую минуту никакой скрипт не срабатывает (хотя при вызове вручную из консоли всё нормально).

В чём дело? Файлы /var/log/cron и /var/log/syslog, которые обычно призывают в такой ситуации изучать, в моей ОС (Manjaro) отсутствуют. Ранее в Xubuntu проблема также наблюдалась.

cron, crontab, manjaro, root

Mapper720
(18.04.22 07:27:54 MSK)

16 комментариев

Wireguard перестаёт работать если Peer долгое время «молчит»

Форум — Admin

Настроил на реальном физическом сервере Wireguard, так же настроил Wireguard на VDS. Всё хорошо, всё работает, хожу на свой сервер через VDS по внутренней VPN-сети.

Вечером прихожу домой, сажусь за ноутбук, подключаюсь к VDS, затем с VDS подключаюсь к своему серверу по Wireguard и...

# ping 10.8.0.2
PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data.
^C
--- 10.8.0.2 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4094ms

«А что случилось?»

Сейчас ногами дотопал до своего сервера, всё на месте, ещё раз проверяю пинговать с VDS (10.8.0.1) свой сервер (10.8.0.2) — не пингуется.

Теперь следите за рукой, я пингую с сервера (10.8.0.2) свою VDS (10.8.0.1) и всё типа работает!

# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=7.83 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=3.26 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=3.21 ms
^C
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 3.208/4.765/7.831/2.168 ms

Окей, снова возвращаюсь на VDS, снова пингую сервер и о чудо, связь восстановлена!

# ssh root@82.146.53.64
Last login: Fri Apr 15 04:44:08 2022 from X.X.X.X
# ping 10.8.0.2
PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data.
64 bytes from 10.8.0.2: icmp_seq=1 ttl=64 time=3.00 ms
64 bytes from 10.8.0.2: icmp_seq=2 ttl=64 time=3.15 ms
64 bytes from 10.8.0.2: icmp_seq=3 ttl=64 time=3.16 ms
^C
--- 10.8.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 3.002/3.104/3.157/0.072 ms

Что, простите? Связь по Wireguard отваливается сама по себе если Peer продолжительное время никак не пингует шлюз????

О том, что эта проблема не случайная, я вам отвечу, что у меня на реальном физическом сервере два Wireguard wg0 wg1 которые идут на две разные VDS с разными IP и оба эти Wireguard отвалились.

Пока я не пинганул со стороны сервера каждую из VDS по Wireguard, этот сервер с обоих VDS считался в оффлайне и не пинговался, лол.

Как этим Wireguard можно после этого пользоваться? И это считается надёжным решением? Мне что, в cron засунуть ping по одному пакету раз в каждый час?

Конфигурация на сервере:

# cat /etc/rc.local
#!/bin/bash
#
# /etc/rc.local: local multi-user startup script
#

ip link add dev wg0 type wireguard
ip addr add 10.8.0.2/24 dev wg0
wg set wg0 listen-port 51820 private-key /root/.wireguard/peer.key
wg set wg0 peer 4WYdcHokRun38j6/hjUM9RpIgV2NE/tNRDT+W9lRMmU= endpoint 82.146.53.64:51820 allowed-ips 10.8.0.0/24

ip link add dev wg1 type wireguard
ip addr add 10.8.1.2/24 dev wg1
wg set wg1 listen-port 51830 private-key /root/.wireguard/peer.key
wg set wg1 peer 6xGlQ7CW8R8LVOCYh+7N14Kv+b6vyMGvxEMizRCBzxQ= endpoint 82.146.41.144:51830 allowed-ips 10.8.1.0/24

# End of file

# ifconfig wg0
wg0       Link encap:(hwtype unknown)
          inet addr:10.8.0.2  P-t-P:10.8.0.2  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1112  TX bytes:1256

# ifconfig wg1
wg1       Link encap:(hwtype unknown)
          inet addr:10.8.1.2  P-t-P:10.8.1.2  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1356  TX bytes:948

# wg
interface: wg0
  public key: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  private key: (hidden)
  listening port: 51820

peer: 4WYdcHokRun38j6/hjUM9RpIgV2NE/tNRDT+W9lRMmU=
  endpoint: 82.146.53.64:51820
  allowed ips: 10.8.0.0/24
  latest handshake: 12 minutes, 5 seconds ago
  transfer: 1.09 KiB received, 1.23 KiB sent

interface: wg1
  public key: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  private key: (hidden)
  listening port: 51830

peer: 6xGlQ7CW8R8LVOCYh+7N14Kv+b6vyMGvxEMizRCBzxQ=
  endpoint: 82.146.41.144:51830
  allowed ips: 10.8.1.0/24
  latest handshake: 29 minutes, 27 seconds ago
  transfer: 1.32 KiB received, 948 B sent

Конфигурация на первом VDS:

# cat /etc/rc.local
#!/bin/bash
#
# /etc/rc.local: local multi-user startup script
#

ip link add dev wg0 type wireguard
ip addr add 10.8.0.1/24 dev wg0
wg set wg0 listen-port 51820 private-key ~/.wireguard/peer.key
wg set wg0 peer PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms= allowed-ips 10.8.0.0/24
ip link set wg0 up

# End of file

# ifconfig wg0
wg0       Link encap:(hwtype unknown)
          inet addr:10.8.0.1  P-t-P:10.8.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:5812 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6344 errors:0 dropped:37 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:572432  TX bytes:1973080

# wg
interface: wg0
  public key: 4WYdcHokRun38j6/hjUM9RpIgV2NE/tNRDT+W9lRMmU=
  private key: (hidden)
  listening port: 51820

peer: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  endpoint: X.X.X.X:51820
  allowed ips: 10.8.0.0/24
  latest handshake: 14 minutes, 24 seconds ago
  transfer: 559.02 KiB received, 1.88 MiB sent

Конфигурация на втором VDS:

# cat /etc/rc.local
#!/bin/bash
#
# /etc/rc.local: local multi-user startup script
#

ip link add dev wg1 type wireguard
ip addr add 10.8.1.1/24 dev wg1
wg set wg1 listen-port 51830 private-key ~/.wireguard/peer.key
wg set wg1 peer PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms= allowed-ips 10.8.1.0/24
ip link set wg1 up

# End of file

# ifconfig wg1
wg1       Link encap:(hwtype unknown)
          inet addr:10.8.1.1  P-t-P:10.8.1.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:15271 errors:1 dropped:0 overruns:0 frame:1
          TX packets:13208 errors:2 dropped:7 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1565444  TX bytes:3344568

# wg
interface: wg1
  public key: 6xGlQ7CW8R8LVOCYh+7N14Kv+b6vyMGvxEMizRCBzxQ=
  private key: (hidden)
  listening port: 51830

peer: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  endpoint: X.X.X.X:51830
  allowed ips: 0.0.0.0/0
  latest handshake: 33 minutes, 9 seconds ago
  transfer: 1.49 MiB received, 3.19 MiB sent

Это вообще нормальное поведение для Wireguard? Шлюз перестаёт видить Peer, пока Peer не отправит шлюзу какой-нибудь ping?

wireguard

~~Spoofing~~
(15.04.22 08:20:45 MSK)

8 комментариев

Обновил ядро centos 7

Форум — Admin

В лабораторной песочнице обновил ядро с 3.10 до 5.17 нужно было для того, чтоб покрутить wireguard. и у меня отвалилась сетевая карта. Когда гружу старое ядро все нормально работает, а с новым нету сетевушки. В чем проблема может быть? lshw видит сетевушку, но не поднимает. NetworkManager используется nmtui видит конфигурацию сетевушки, но и только.

Да, сетевушка realtek и встроенная и внешняя разницы нет. Драйвера наверно в ядре должны уже быть?

centos, ядро

alex_sim
(04.04.22 11:12:33 MSK)

29 комментариев

Переделка правил из iptables в nftables

Форум — Admin

Были на старом сервере такие правила для защиты, потом после обновление и переезда на новые сервера эти правила не получается переделать в новый формат для nftables. Прошу помощи в переделки этих правил:

Конвертировать эти правила автоматом используя iptables-restore-translate не получается.

# Создаем список "BRUTESCAN", строгие правила для проверки хакеров, проверяем brute force и сканирование портов
iptables -N BRUTESCAN  
# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A BRUTESCAN -m recent --update --seconds 600 --hitcount 10 --name ScanPort -j DROP   

# Если за последний час с одного адреса было 10 или более новых соединений — блокируем этот адрес
iptables -A BRUTESCAN -m conntrack --ctstate NEW -m recent --update --seconds 3600 --hitcount 10 --name BruteForce --rsource -j DROP  

# В противном случае - разрешаем, и при этом заносим в список IP откуда зашли
iptables -A BRUTESCAN -m recent --set --name BruteForce -j ACCEPT 

# Создаем список "ONLYSCAN", простые правила для проверки хакеров, только на сканирование портов
iptables -N ONLYSCAN   

# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A ONLYSCAN  -m recent --update --name ScanPort --seconds 60 --hitcount 10 -j DROP    

# В противном случае - разрешаем, и при этом  IP никуда не заносим
iptables -A ONLYSCAN -m recent --set --name AcceptMiniCheck -j ACCEPT  

# вытаскиваем из черного списка IP, если он там есть, используя Port Knocking
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name ScanPort -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name BruteForce -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --set    --name UnBanIPicmp -j DROP

P.S. Это только часть правил и это их параноидальная часть :-)

firewall, iptables, nftables

AnastasiaM
(15.03.22 21:51:35 MSK)

23 комментария

systemctl подскажите

Форум — Admin

1.
apache2.service enabled
apache2@.service disabled

в чем разница и зачем @
2.
bluetooth.service bluetooth.target

в чем разница service и target ?

systemctl

Regacar
(07.04.21 22:13:33 MSK)

26 комментариев

Доступ к машине по двум интерфейсам

Форум — Admin

Доброго дня. На linux машине есть eth0. После поднятия PPP - создается интерфейс ppp0, но машина не пингуется по назначенному на этот интерфейс адресу. Если я отключаю кабель eth0 , то ppp становится доступным после его рестарта. почему так и как сделать чтобы машина помимо eth0 была доступна одновременно с ppp0. Вопрос именно в контексте таблицы маршрутизации - то есть как она должна выглядеть.

Вот настройки : до PPP

kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.200   0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0
192.168.3.200   0.0.0.0         255.255.255.255 UH    0      0        0 eth0

После поднятия ppp:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.200   0.0.0.0         UG    0      0        0 eth0
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0
192.168.3.200   0.0.0.0         255.255.255.255 UH    0      0        0 eth0

Соответственно устройство не пингуется по PPP до тех пора пока не отключить eth. 192.168.3.200 - шлюз внутри сети

eth, linux, ppp

noweapon
(30.11.21 11:36:55 MSK)

30 комментариев

не работает WOL в Centos 7

Форум — Admin

Я уже поднимал тему, но тогда был другой случай, моя встроенная сетевушка не поддерживала WOL в принципе. Ну что делать воткнул сетевуху которая поддерживает WOL настроил и все стало хорошо опять до какого то определенного момента, видать обновил CENTOS и ФСЁ…. вот и думай обновляться или нет если у тебя все работает…

проверяю wol она умеет:

ethtool enp2s0 | grep Wake-on
Supports Wake-on: pumbg
Wake-on: d

Wol отключен, включаю

ethtool -s enp2s0 wol g

перепроверяю

 ethtool enp2s0 | grep Wake-on
        Supports Wake-on: pumbg
        Wake-on: g

Все замечательно казалось бы. прописываю всячески в настройках сетевушки

ETHTOOL_OPTS=»-s enp2s0 wol g»
ETHTOOL_OPTS=»-s ${DEVICE} wol g»
ETHTOOL_OPTIONS=»wol g»

При перезагрузке опять все как было. В сети нашел коллегу дебианщика, у него та же беда, цитирую ответ

Такая же ерунда с сервером на debian, где proxmox стоит. 
Раньше просыпался по сети, потом в какой-то момент перестал. 
Почему так — не могу понять. Ничего не помогает.

Коллеги может у вас есть какие мысли, ну нужон мне этот WOL, хотя понимаю, что вы не волшебники, но как в рекламе «а что, а вдруг?»

centos, wol

alex_sim
(12.12.19 07:13:33 MSK)

20 комментариев

Добавляются правила iptables для виртуалки

Форум — Admin

В домашней песочнице Centos 7 установил qemu-kvm libvirt virt-install ну и кручу виртуалку Centos 8.

Правил iptable на Centos 7 никаких нет, все политики в ACCEPT, комп в локалке, но что заметил…. после перезагрузки самой песочницы, появляются правила, не могу найти где эти правила и кто прописывает.

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

      12  456 REJECT     all  --  *      virbr0  0.0.0.0/0        0.0.0.0/0    reject-with icmp-port-unreachable
       0    0 REJECT     all  --  virbr0 *       0.0.0.0/0        0.0.0.0/0        reject-with icmp-port-unreachable

И среди правил REJECT, не подскажет ли уважаемое сообщество, где эти правила вставляются? В /etc/sysconfig/iptables нет ничего подобного. А этот REJECT мне совсем не нужен.

iptables, kvm qemu

alex_sim
(29.09.20 12:31:34 MSK)

11 комментариев

OpenVPN + разные/одинаковые подсети для мониторинга

Форум — Admin

На роутеры ставится OpenVPN:

admin.ovpn (vpn_ip: 172.17.0.2) локальная сеть 192.168.10.0/24
user01.ovpn (vpn_ip: 172.17.0.3) локальная сеть 192.168.0.0/24
user02.ovpn (vpn_ip: 172.17.0.4) локальная сеть 192.168.0.0/24
user03.ovpn (vpn_ip: 172.17.0.5) локальная сеть 192.168.1.0/24
user04.ovpn (vpn_ip: 172.17.0.6) локальная сеть 192.168.1.0/24
user05.ovpn (vpn_ip: 172.17.0.7) локальная сеть 192.168.80.0/24

Как реализовать чтобы был доступ к каждому локальному IP (пинг, доступ по 80 порту, и.т.п) в подсетях от admin.ovpn ?

Всем конечным устройствам назначить разные IP (не повторяющиеся в других подсетях) - ОСОБО КРАЙНИЙ вариант!

Будьте любезны, подскажите маршрутизацию, алгоритм, и.т.п для решения задачи!

openvpn, routing, сети

ramneak
(14.11.21 06:26:00 MSK)

9 комментариев

Конвертация SSH ключа для putty никак не хочет работать

Форум — Admin

Понимаю то вопрос не линуксовый, но непонятно чей, может все же кто то с Линуксоводов вставал на грабли? Есть Fedora 33 сгенерил ключики раскидал по нужным местам все работает с линукса на линукс, на ура, но хотелось бы иметь доступ и с Виндового компа, для этого конвертирую ключик в формат ppk (putty) и не работает. в логах:

userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedKeyTypes [preauth]
Connection closed by authenticating user root 172.16.15.70 port 58640 [preauth]

Гуглил по PubkeyAcceptedKeyTypes нашел только https://blog.tataranovich.com/2016/11/ubuntu-ssh-dsa.html

но у меня ключ RSA тоже перестали работать? попробую сгенерить DSA ключ.

fedora, putty, ssh

alex_sim
(30.03.21 11:14:02 MSK)

22 комментария

не работает маршрутизация?

Форум — Admin

второй день мучаюсь…Fedora 34 между двуми офисами поднял OpenVPN

Tun1 ( 10.8.2.1) - Tun1 (10.8.2.2)

 ping 10.8.2.1
PING 10.8.2.1 (10.8.2.1) 56(84) bytes of data.
64 bytes from 10.8.2.1: icmp_seq=1 ttl=64 time=0.072 ms

ping 10.8.2.2
PING 10.8.2.2 (10.8.2.2) 56(84) bytes of data.
64 bytes from 10.8.2.2: icmp_seq=1 ttl=64 time=2.88 ms

Такая картина с обеих сторон, вроде все хорошо, включил маршрутизацию как обычно единичкой, фаервол пока с политиками ACCEPT

1) from 172.16.1.100 eth1: 56(84) bytes of data.
^C
--- 10.8.2.1 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7202ms

Не пингуется ни с одной стороны, что я делаю не так?

fedora, openvpn

alex_sim
(18.07.21 08:50:59 MSK)

2 комментария