Избранные сообщения alex_sim

Форум — Development

Помогите спецы в perl, подтолкните в нужном направлении

Возникла необходимость следить и править некоторый файл config.conf, перетирает его определенный софт на который я не могу повлиять, это бинарник. Любезно предоставленный на халяву, нужно:

поискать строку с нужным IP и дополнить ее. Так с командной строки или в bash скрипте работает на ура.

perl -p -i -e 's\10.8.100.5/32\10.8.100.5/32, 192.168.0.0/24\g' config.conf

Но вставляя в perl скрипт

s\10.8.100.5/32\10.8.100.5/32, 192.168.0.0/24\g config.conf

Не работает, не могу понять почему. Передо мной книжка Энциклопедия Perl правда за 2002 год, но не помогает ничего не нашел ни в ней ни в инете. Выкрутился пока так в скрипте, но как то некрасиво дергать зубы через задний проход.

system('/usr/bin/perl -p -i -e "s\10.8.100.5/32\10.8.100.5/32, 192.168.0.0/24\g" config.conf');

perl, script

alex_sim
(16.02.23 09:56:37 MSK)

27 комментариев

Форум — Admin

Научите готовить WIreguard

Захотелось приобщиться к модному,молодёжному и поиграться с Wireguard.
Все статьи в гугле сводятся к «я поднял VPN к своему localhost в 1 клик и щястлив, попивая смузи на краю бассейна»
А как рулить подключениями когда у тебя много клиентов помимо localhost?
Если в команде люди постоянно приходят/уходят - надо постоянно пердолить конфиг сервера вручную добавляя/убирая секции Peer?
Научите, пожалуйста, как правильно

vpn, wireguard

zolden
(17.08.22 09:00:01 MSK)

34 комментария

Форум — General

Minidlna, centos7

Много лет качаю с торентов фильмы и смотрю, но понадобилось сменить звуковую дорожку, телек LG не дает сменить, пункт недоступен. Вопрос а может как то в minidlna можно задать принудительно?

lg, minidlna

alex_sim
(31.05.22 17:40:27 MSK)

36 комментариев

Форум — General

Cron не срабатывает от рута

Мне нужно, чтоб в определённое время запускался некий скрипт с правами root. Что имеется сейчас:

sudo crontab -e

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

@reboot sleep 5; /home/mapper720/mountCrypt.sh

Первых двух строк (SHELL... и PATH...) изначально не было, они добавлены после прочтения очередного совета в интернетах, но ничего от этого не поменялось.

Пробовал @reboot заменить на * * * * *, но ни при перезагрузке, ни каждую минуту никакой скрипт не срабатывает (хотя при вызове вручную из консоли всё нормально).

В чём дело? Файлы /var/log/cron и /var/log/syslog, которые обычно призывают в такой ситуации изучать, в моей ОС (Manjaro) отсутствуют. Ранее в Xubuntu проблема также наблюдалась.

cron, crontab, manjaro, root

Mapper720
(18.04.22 07:27:54 MSK)

16 комментариев

Форум — Admin

Wireguard перестаёт работать если Peer долгое время «молчит»

Настроил на реальном физическом сервере Wireguard, так же настроил Wireguard на VDS. Всё хорошо, всё работает, хожу на свой сервер через VDS по внутренней VPN-сети.

Вечером прихожу домой, сажусь за ноутбук, подключаюсь к VDS, затем с VDS подключаюсь к своему серверу по Wireguard и...

# ping 10.8.0.2
PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data.
^C
--- 10.8.0.2 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4094ms

«А что случилось?»

Сейчас ногами дотопал до своего сервера, всё на месте, ещё раз проверяю пинговать с VDS (10.8.0.1) свой сервер (10.8.0.2) — не пингуется.

Теперь следите за рукой, я пингую с сервера (10.8.0.2) свою VDS (10.8.0.1) и всё типа работает!

# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=7.83 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=3.26 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=3.21 ms
^C
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 3.208/4.765/7.831/2.168 ms

Окей, снова возвращаюсь на VDS, снова пингую сервер и о чудо, связь восстановлена!

# ssh root@82.146.53.64
Last login: Fri Apr 15 04:44:08 2022 from X.X.X.X
# ping 10.8.0.2
PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data.
64 bytes from 10.8.0.2: icmp_seq=1 ttl=64 time=3.00 ms
64 bytes from 10.8.0.2: icmp_seq=2 ttl=64 time=3.15 ms
64 bytes from 10.8.0.2: icmp_seq=3 ttl=64 time=3.16 ms
^C
--- 10.8.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 3.002/3.104/3.157/0.072 ms

Что, простите? Связь по Wireguard отваливается сама по себе если Peer продолжительное время никак не пингует шлюз????

О том, что эта проблема не случайная, я вам отвечу, что у меня на реальном физическом сервере два Wireguard wg0 wg1 которые идут на две разные VDS с разными IP и оба эти Wireguard отвалились.

Пока я не пинганул со стороны сервера каждую из VDS по Wireguard, этот сервер с обоих VDS считался в оффлайне и не пинговался, лол.

Как этим Wireguard можно после этого пользоваться? И это считается надёжным решением? Мне что, в cron засунуть ping по одному пакету раз в каждый час?

Конфигурация на сервере:

# cat /etc/rc.local
#!/bin/bash
#
# /etc/rc.local: local multi-user startup script
#

ip link add dev wg0 type wireguard
ip addr add 10.8.0.2/24 dev wg0
wg set wg0 listen-port 51820 private-key /root/.wireguard/peer.key
wg set wg0 peer 4WYdcHokRun38j6/hjUM9RpIgV2NE/tNRDT+W9lRMmU= endpoint 82.146.53.64:51820 allowed-ips 10.8.0.0/24

ip link add dev wg1 type wireguard
ip addr add 10.8.1.2/24 dev wg1
wg set wg1 listen-port 51830 private-key /root/.wireguard/peer.key
wg set wg1 peer 6xGlQ7CW8R8LVOCYh+7N14Kv+b6vyMGvxEMizRCBzxQ= endpoint 82.146.41.144:51830 allowed-ips 10.8.1.0/24

# End of file

# ifconfig wg0
wg0       Link encap:(hwtype unknown)
          inet addr:10.8.0.2  P-t-P:10.8.0.2  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1112  TX bytes:1256

# ifconfig wg1
wg1       Link encap:(hwtype unknown)
          inet addr:10.8.1.2  P-t-P:10.8.1.2  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1356  TX bytes:948

# wg
interface: wg0
  public key: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  private key: (hidden)
  listening port: 51820

peer: 4WYdcHokRun38j6/hjUM9RpIgV2NE/tNRDT+W9lRMmU=
  endpoint: 82.146.53.64:51820
  allowed ips: 10.8.0.0/24
  latest handshake: 12 minutes, 5 seconds ago
  transfer: 1.09 KiB received, 1.23 KiB sent

interface: wg1
  public key: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  private key: (hidden)
  listening port: 51830

peer: 6xGlQ7CW8R8LVOCYh+7N14Kv+b6vyMGvxEMizRCBzxQ=
  endpoint: 82.146.41.144:51830
  allowed ips: 10.8.1.0/24
  latest handshake: 29 minutes, 27 seconds ago
  transfer: 1.32 KiB received, 948 B sent

Конфигурация на первом VDS:

# cat /etc/rc.local
#!/bin/bash
#
# /etc/rc.local: local multi-user startup script
#

ip link add dev wg0 type wireguard
ip addr add 10.8.0.1/24 dev wg0
wg set wg0 listen-port 51820 private-key ~/.wireguard/peer.key
wg set wg0 peer PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms= allowed-ips 10.8.0.0/24
ip link set wg0 up

# End of file

# ifconfig wg0
wg0       Link encap:(hwtype unknown)
          inet addr:10.8.0.1  P-t-P:10.8.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:5812 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6344 errors:0 dropped:37 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:572432  TX bytes:1973080

# wg
interface: wg0
  public key: 4WYdcHokRun38j6/hjUM9RpIgV2NE/tNRDT+W9lRMmU=
  private key: (hidden)
  listening port: 51820

peer: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  endpoint: X.X.X.X:51820
  allowed ips: 10.8.0.0/24
  latest handshake: 14 minutes, 24 seconds ago
  transfer: 559.02 KiB received, 1.88 MiB sent

Конфигурация на втором VDS:

# cat /etc/rc.local
#!/bin/bash
#
# /etc/rc.local: local multi-user startup script
#

ip link add dev wg1 type wireguard
ip addr add 10.8.1.1/24 dev wg1
wg set wg1 listen-port 51830 private-key ~/.wireguard/peer.key
wg set wg1 peer PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms= allowed-ips 10.8.1.0/24
ip link set wg1 up

# End of file

# ifconfig wg1
wg1       Link encap:(hwtype unknown)
          inet addr:10.8.1.1  P-t-P:10.8.1.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:15271 errors:1 dropped:0 overruns:0 frame:1
          TX packets:13208 errors:2 dropped:7 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1565444  TX bytes:3344568

# wg
interface: wg1
  public key: 6xGlQ7CW8R8LVOCYh+7N14Kv+b6vyMGvxEMizRCBzxQ=
  private key: (hidden)
  listening port: 51830

peer: PoV1YwQr9VjVBSNMVZHkIrw17IKL4I9s9cpQUNNQgms=
  endpoint: X.X.X.X:51830
  allowed ips: 0.0.0.0/0
  latest handshake: 33 minutes, 9 seconds ago
  transfer: 1.49 MiB received, 3.19 MiB sent

Это вообще нормальное поведение для Wireguard? Шлюз перестаёт видить Peer, пока Peer не отправит шлюзу какой-нибудь ping?

wireguard

~~Spoofing~~
(15.04.22 08:20:45 MSK)

8 комментариев

Форум — Admin

Обновил ядро centos 7

В лабораторной песочнице обновил ядро с 3.10 до 5.17 нужно было для того, чтоб покрутить wireguard. и у меня отвалилась сетевая карта. Когда гружу старое ядро все нормально работает, а с новым нету сетевушки. В чем проблема может быть? lshw видит сетевушку, но не поднимает. NetworkManager используется nmtui видит конфигурацию сетевушки, но и только.

Да, сетевушка realtek и встроенная и внешняя разницы нет. Драйвера наверно в ядре должны уже быть?

centos, ядро

alex_sim
(04.04.22 11:12:33 MSK)

29 комментариев

Форум — Admin

Переделка правил из iptables в nftables

Были на старом сервере такие правила для защиты, потом после обновление и переезда на новые сервера эти правила не получается переделать в новый формат для nftables. Прошу помощи в переделки этих правил:

Конвертировать эти правила автоматом используя iptables-restore-translate не получается.

# Создаем список "BRUTESCAN", строгие правила для проверки хакеров, проверяем brute force и сканирование портов
iptables -N BRUTESCAN  
# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A BRUTESCAN -m recent --update --seconds 600 --hitcount 10 --name ScanPort -j DROP   

# Если за последний час с одного адреса было 10 или более новых соединений — блокируем этот адрес
iptables -A BRUTESCAN -m conntrack --ctstate NEW -m recent --update --seconds 3600 --hitcount 10 --name BruteForce --rsource -j DROP  

# В противном случае - разрешаем, и при этом заносим в список IP откуда зашли
iptables -A BRUTESCAN -m recent --set --name BruteForce -j ACCEPT 

# Создаем список "ONLYSCAN", простые правила для проверки хакеров, только на сканирование портов
iptables -N ONLYSCAN   

# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A ONLYSCAN  -m recent --update --name ScanPort --seconds 60 --hitcount 10 -j DROP    

# В противном случае - разрешаем, и при этом  IP никуда не заносим
iptables -A ONLYSCAN -m recent --set --name AcceptMiniCheck -j ACCEPT  

# вытаскиваем из черного списка IP, если он там есть, используя Port Knocking
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name ScanPort -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name BruteForce -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --set    --name UnBanIPicmp -j DROP

P.S. Это только часть правил и это их параноидальная часть :-)

firewall, iptables, nftables

AnastasiaM
(15.03.22 21:51:35 MSK)

23 комментария

Форум — Admin

systemctl подскажите

1.
apache2.service enabled
apache2@.service disabled

в чем разница и зачем @
2.
bluetooth.service bluetooth.target

в чем разница service и target ?

systemctl

Regacar
(07.04.21 22:13:33 MSK)

26 комментариев

Форум — Admin

Доступ к машине по двум интерфейсам

Доброго дня. На linux машине есть eth0. После поднятия PPP - создается интерфейс ppp0, но машина не пингуется по назначенному на этот интерфейс адресу. Если я отключаю кабель eth0 , то ppp становится доступным после его рестарта. почему так и как сделать чтобы машина помимо eth0 была доступна одновременно с ppp0. Вопрос именно в контексте таблицы маршрутизации - то есть как она должна выглядеть.

Вот настройки : до PPP

kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.200   0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0
192.168.3.200   0.0.0.0         255.255.255.255 UH    0      0        0 eth0

После поднятия ppp:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.200   0.0.0.0         UG    0      0        0 eth0
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0
192.168.3.200   0.0.0.0         255.255.255.255 UH    0      0        0 eth0

Соответственно устройство не пингуется по PPP до тех пора пока не отключить eth. 192.168.3.200 - шлюз внутри сети

eth, linux, ppp

noweapon
(30.11.21 11:36:55 MSK)

30 комментариев

Форум — Admin

не работает WOL в Centos 7

Я уже поднимал тему, но тогда был другой случай, моя встроенная сетевушка не поддерживала WOL в принципе. Ну что делать воткнул сетевуху которая поддерживает WOL настроил и все стало хорошо опять до какого то определенного момента, видать обновил CENTOS и ФСЁ…. вот и думай обновляться или нет если у тебя все работает…

проверяю wol она умеет:

ethtool enp2s0 | grep Wake-on
Supports Wake-on: pumbg
Wake-on: d

Wol отключен, включаю

ethtool -s enp2s0 wol g

перепроверяю

 ethtool enp2s0 | grep Wake-on
        Supports Wake-on: pumbg
        Wake-on: g

Все замечательно казалось бы. прописываю всячески в настройках сетевушки

ETHTOOL_OPTS=»-s enp2s0 wol g»
ETHTOOL_OPTS=»-s ${DEVICE} wol g»
ETHTOOL_OPTIONS=»wol g»

При перезагрузке опять все как было. В сети нашел коллегу дебианщика, у него та же беда, цитирую ответ

Такая же ерунда с сервером на debian, где proxmox стоит. 
Раньше просыпался по сети, потом в какой-то момент перестал. 
Почему так — не могу понять. Ничего не помогает.

Коллеги может у вас есть какие мысли, ну нужон мне этот WOL, хотя понимаю, что вы не волшебники, но как в рекламе «а что, а вдруг?»

centos, wol

alex_sim
(12.12.19 07:13:33 MSK)

20 комментариев

Форум — Admin

Добавляются правила iptables для виртуалки

В домашней песочнице Centos 7 установил qemu-kvm libvirt virt-install ну и кручу виртуалку Centos 8.

Правил iptable на Centos 7 никаких нет, все политики в ACCEPT, комп в локалке, но что заметил…. после перезагрузки самой песочницы, появляются правила, не могу найти где эти правила и кто прописывает.

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

      12  456 REJECT     all  --  *      virbr0  0.0.0.0/0        0.0.0.0/0    reject-with icmp-port-unreachable
       0    0 REJECT     all  --  virbr0 *       0.0.0.0/0        0.0.0.0/0        reject-with icmp-port-unreachable

И среди правил REJECT, не подскажет ли уважаемое сообщество, где эти правила вставляются? В /etc/sysconfig/iptables нет ничего подобного. А этот REJECT мне совсем не нужен.

iptables, kvm qemu

alex_sim
(29.09.20 12:31:34 MSK)

11 комментариев

Форум — Admin

OpenVPN + разные/одинаковые подсети для мониторинга

На роутеры ставится OpenVPN:

admin.ovpn (vpn_ip: 172.17.0.2) локальная сеть 192.168.10.0/24
user01.ovpn (vpn_ip: 172.17.0.3) локальная сеть 192.168.0.0/24
user02.ovpn (vpn_ip: 172.17.0.4) локальная сеть 192.168.0.0/24
user03.ovpn (vpn_ip: 172.17.0.5) локальная сеть 192.168.1.0/24
user04.ovpn (vpn_ip: 172.17.0.6) локальная сеть 192.168.1.0/24
user05.ovpn (vpn_ip: 172.17.0.7) локальная сеть 192.168.80.0/24

Как реализовать чтобы был доступ к каждому локальному IP (пинг, доступ по 80 порту, и.т.п) в подсетях от admin.ovpn ?

Всем конечным устройствам назначить разные IP (не повторяющиеся в других подсетях) - ОСОБО КРАЙНИЙ вариант!

Будьте любезны, подскажите маршрутизацию, алгоритм, и.т.п для решения задачи!

openvpn, routing, сети

ramneak
(14.11.21 06:26:00 MSK)

9 комментариев

Форум — Admin

Конвертация SSH ключа для putty никак не хочет работать

Понимаю то вопрос не линуксовый, но непонятно чей, может все же кто то с Линуксоводов вставал на грабли? Есть Fedora 33 сгенерил ключики раскидал по нужным местам все работает с линукса на линукс, на ура, но хотелось бы иметь доступ и с Виндового компа, для этого конвертирую ключик в формат ppk (putty) и не работает. в логах:

userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedKeyTypes [preauth]
Connection closed by authenticating user root 172.16.15.70 port 58640 [preauth]

Гуглил по PubkeyAcceptedKeyTypes нашел только https://blog.tataranovich.com/2016/11/ubuntu-ssh-dsa.html

но у меня ключ RSA тоже перестали работать? попробую сгенерить DSA ключ.

fedora, putty, ssh

alex_sim
(30.03.21 11:14:02 MSK)

22 комментария

Форум — Admin

не работает маршрутизация?

второй день мучаюсь…Fedora 34 между двуми офисами поднял OpenVPN

Tun1 ( 10.8.2.1) - Tun1 (10.8.2.2)

 ping 10.8.2.1
PING 10.8.2.1 (10.8.2.1) 56(84) bytes of data.
64 bytes from 10.8.2.1: icmp_seq=1 ttl=64 time=0.072 ms

ping 10.8.2.2
PING 10.8.2.2 (10.8.2.2) 56(84) bytes of data.
64 bytes from 10.8.2.2: icmp_seq=1 ttl=64 time=2.88 ms

Такая картина с обеих сторон, вроде все хорошо, включил маршрутизацию как обычно единичкой, фаервол пока с политиками ACCEPT

1) from 172.16.1.100 eth1: 56(84) bytes of data.
^C
--- 10.8.2.1 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7202ms

Не пингуется ни с одной стороны, что я делаю не так?

fedora, openvpn

alex_sim
(18.07.21 08:50:59 MSK)

2 комментария