Добрый день, комрады! Помогите с проблемой. Имеется шлюз на Linux c двумя интерфейсами: - eth0 (смотрит на провайдера) - eth1, который смотрит в локальную сеть, плюс на нем поднят VLAN до управляемого коммутатора в другом здании (2 изолированные подсети). От провайдера к нам транслируются 2 выделенных IP адреса, требуется один адрес повесить на сам шлюз (с этим проблем нет), а второй назначить компу в локальной сети за VLANом. Как это можно сделать? Полный DNAT + SNAT не вариант, нужно чтобы белый адрес фигурировал на интерфейсе компа в локалке за VLANом.

П.С.: Возможно, поможет, что провайдер может присылать к нам трафик тегированный, т.е. можно на eth0 поднять vlan с нужным VID.

Собственно, возник вопрос: кто-нибудь юзал что-нибудь, кроме видях, с VT-d/IOMMU? Что именно, зачем и как работало?

Также вопрос: что за iommu=soft? Судя по описанию, это - программная реализация IOMMU, которая также используется с некоторыми звуковухами и USB-контроллерами, которые тупые и не могут отражаться в 3GB+ пространство памяти.

Не надо какого-то монстра типа bacula или подобных. Мне надо чтобы умел:

1. Проверять выполнился бекап, если пк был выключен во время старта расписания(или недовыполнился)
2. Инкрементные архивы

Сейчас бекаплю 10-ти строчником на баш, но он не умеет п.1

Работал работал, а когда понадобился parted - узнал что бага в таблице разделов.

parted пишет:
# parted /dev/sda
GNU Parted 3.2
Using /dev/sda
Welcome to GNU Parted! Type 'help' to view a list of commands.
(parted) p
Error: Can't have overlapping partitions.
Ignore/Cancel? i
Error: Can't have overlapping partitions.
Ignore/Cancel? i
Error: Can't have a logical partition outside of the extended partition on
/dev/sda.
Ignore/Cancel? i
Model: ATA ST340016A (scsi)
Disk /dev/sda: 40,0GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos
Disk Flags:

Number Start End Size Type File system Flags
1 1049kB 106MB 105MB primary ntfs boot
2 106MB 31,5GB 31,4GB primary ntfs
3 31,5GB 40,0GB 8557MB extended
5 31,5GB 40,0GB 8561MB logical lvm

(parted)
Тут косяков в таблице вроде как не видно...

# fdisk -l /dev/sda
Disk /dev/sda: 37,3 GiB, 40020664320 bytes, 78165360 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x18cf18cf

Device Boot Start End Sectors Size Id Type
/dev/sda1 * 2048 206847 204800 100M 7 HPFS/NTFS/exFAT
/dev/sda2 206848 61448624 61241777 29,2G 7 HPFS/NTFS/exFAT
/dev/sda3 61444094 78156224 16712131 8G 5 Extended
/dev/sda5 61444096 78163967 16719872 8G 8e Linux LVM

Тут видно что sda2 заканчивается 61448624
sda3 начинается 61444094 (Раньше).

Можно конечно «попробовать восстановить данные» в gparted или testdisk натравить, но думаю надо просто End у sda2 уменьшить - потому что система и все разделы работают.

Подскажите чем уменьшить End у sda2? После этого проверю результат тем же parted. Боюсь я ИИ доверять «восстановить» - оно такого может наворочать...

Есть две машины с public ip в разных странах. На одну из них контрагент закидывает данные, на конкретный порт, где эти данные принимает специальная программка. Средствами iptables можно завернуть трафик с первой машины на вторую?
Спасибо.

Добрый день. Имеется роутер с 2мя сетевухами к разным провайдерам и одной в локальную сеть. Вот конфигурация сетевух

провайдер 1 (в таблицах rt_tables указан как P1):
IF1=eno33554960
IP1=192.168.5.69
GW1=192.168.5.90
NET1=192.168.5.0/24
провайдер 2 (в таблицах rt_tables указан как P2):
IF2=eno16777736
IP2=172.16.69.100
GW2=172.16.69.2
NET2=172.16.69.0/24
локальная сеть:
IF_LOCAL=eno50332184
IP_LOCAL=192.168.50.90
NET_LOCAL=192.168.50.0/24

[root@fedora ~]# ip route
default via 192.168.5.90 dev eno33554960 
127.0.0.0/8 dev lo  scope link 
172.16.69.0/24 dev eno16777736  scope link  src 172.16.69.100 
192.168.5.0/24 dev eno33554960  scope link  src 192.168.5.69 
192.168.50.0/24 dev eno50332184  scope link 
[root@fedora ~]# ip route show table P1
default via 192.168.5.90 dev eno33554960 
127.0.0.0/8 dev lo  scope link 
172.16.69.0/24 dev eno16777736  scope link 
192.168.5.0/24 dev eno33554960  scope link  src 192.168.5.69 
192.168.50.0/24 dev eno50332184  scope link 
[root@fedora ~]# ip route show table P2
default via 172.16.69.2 dev eno16777736 
127.0.0.0/8 dev lo  scope link 
172.16.69.0/24 dev eno16777736  scope link  src 172.16.69.100 
192.168.5.0/24 dev eno33554960  scope link 
192.168.50.0/24 dev eno50332184  scope link 

[root@fedora ~]# ip rule
0:	from all lookup local 
32734:	from all fwmark 0x1 lookup P1 
32735:	from all fwmark 0x2 lookup P2 
32736:	from 192.168.5.69 lookup P1 
32737:	from 172.16.69.100 lookup P2 
32766:	from all lookup main 
32767:	from all lookup default 

[root@fedora ~]# iptables -vL
Chain INPUT (policy ACCEPT 429 packets, 42872 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 930 packets, 602K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 327 packets, 54592 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@fedora ~]# iptables -t nat -vL
Chain PREROUTING (policy ACCEPT 223 packets, 12249 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 198 packets, 10968 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3 packets, 228 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  any    eno16777736  anywhere             anywhere            
   25  1363 MASQUERADE  all  --  any    eno33554960  anywhere             anywhere            
[root@fedora ~]# iptables -t mangle -vL
Chain PREROUTING (policy ACCEPT 1493 packets, 657K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 560 packets, 54913 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 930 packets, 602K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 417 packets, 63164 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 1347 packets, 665K bytes)
 pkts bytes target     prot opt in     out     source               destination         

 
[root@fedora ~]# ip rule add from 192.168.50.150 table P2
[root@fedora ~]# ip rule
0:	from all lookup local 
32733:	from 192.168.50.150 lookup P2 
32734:	from all fwmark 0x1 lookup P1 
32735:	from all fwmark 0x2 lookup P2 
32736:	from 192.168.5.69 lookup P1 
32737:	from 172.16.69.100 lookup P2 
32766:	from all lookup main 
32767:	from all lookup default 

 
1    <1 мс    <1 мс    <1 мс  192.168.50.90
  2     *       <1 мс    <1 мс  172.16.69.2
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     1 ms    <1 мс    <1 мс  192.168.0.1
  5     4 ms     4 ms     4 ms  100.70.0.1
и т.д.

[root@fedora ~]# iptables -t mangle -A PREROUTING -s 192.168.50.150 -j MARK --set-mark 2
[root@fedora ~]# iptables -t mangle -vL
Chain PREROUTING (policy ACCEPT 82 packets, 6542 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MARK       all  --  any    any     192.168.50.150       anywhere             MARK set 0x2

Chain INPUT (policy ACCEPT 79 packets, 6410 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 66 packets, 6568 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 66 packets, 6568 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@fedora ~]# ip rule
0:	from all lookup local 
32734:	from all fwmark 0x1 lookup P1 
32735:	from all fwmark 0x2 lookup P2 
32736:	from 192.168.5.69 lookup P1 
32737:	from 172.16.69.100 lookup P2 
32766:	from all lookup main 
32767:	from all lookup default 

 1    <1 мс    <1 мс    <1 мс  192.168.50.90
 2    <1 мс    <1 мс    <1 мс  172.16.69.2
 3     *        *        *     Превышен интервал ожидания для запроса.
 4     *        *        *     Превышен интервал ожидания для запроса.
 5     *        *        *     Превышен интервал ожидания для запроса.
 6     *        *        *     Превышен интервал ожидания для запроса.
 7     *        *        *     Превышен интервал ожидания для запроса.

В очередной раз пытаюсь настроить сабж. Сервер — свежеустановленный Debian. На сервере вроде бы есть /64 подсеть, по крайней мере на нём ping6 работает. Клиент соединяется, получает ожидаемый IPv6 адрес. Он может пинговать сервер, но вот пинговать что-нибудь за пределами сервера уже не получается. OpenVPN-у выделил /112 подсеть, чтобы он её раздавал клиентам.

#/etc/openvpn/server.conf
topology subnet
client-to-client
server-ipv6 2a00:d880:6:856::1:0/112
push "route-ipv6 2000::/3"

# server
$ ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:16:3c:07:45:df  
          inet6 addr: 2a00:d880:6:856::dbc9/48 Scope:Global
          inet6 addr: fe80::216:3cff:fe07:45df/64 Scope:Link

$ ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet6 addr: 2a00:d880:6:856::1:1/112 Scope:Global

$ route -6
route -6
Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
::1/128                        ::                         U    256 0     0 lo
2a00:d880:6:856::1:0/112       ::                         U    256 1     0 tun0
2a00:d880:6::/48               ::                         U    256 0     1 eth0
fe80::/64                      ::                         U    256 0     0 eth0
::/0                           2a00:d880:6::1             UG   1024 0     0 eth0
::/0                           ::                         !n   -1  1  3169 lo
::1/128                        ::                         Un   0   1   109 lo
2a00:d880:6::/128              ::                         Un   0   1     0 lo
2a00:d880:6:856::dbc9/128      ::                         Un   0   2    23 lo
2a00:d880:6:856::1:0/128       ::                         Un   0   1     0 lo
2a00:d880:6:856::1:1/128       ::                         Un   0   1     0 lo
fe80::/128                     ::                         Un   0   1     0 lo
fe80::216:3cff:fe07:45df/128   ::                         Un   0   1     0 lo
ff00::/8                       ::                         U    256 9     0 eth0
ff00::/8                       ::                         U    256 0     0 tun0
::/0                           ::                         !n   -1  1  3169 lo

пытался через tcpdump понять, что происходит, не очень понял, но вроде бы на tun0 приходит ICMP6 echo запрос и тут уже уходит ответ destination host unreachable, причём почему-то 3 раза.

Дано: сервер на Linux (Centos 6.3 - да, уже старый, но «работает-не трогай»), работающий Интернет-шлюзом для нескольких частных сетей. Адреса в частных сетях «серые», На интерфейсе eth0, которым сервер подключен к Интернет-сегменту, делается SNAT по принципу «много в один» (подсеть «серых» адресов в один «белый» IP). Например (реальные адреса, естественно, заменены):

 -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j SNAT --to-source 1.1.1.1

По идее пакетов с источником из сети 10.10.10.0 на выходе с eth0 после этого быть не должно, вместо этого у всех исходящих с eth0 пакетов источником должен быть 1.1.1.1. В большинстве случаев это так, однако регулярно появляются и пакеты с сурсом из 10.10.10.0. И tcpdump'ом на eth0 их видно и на внешние адреса приходят.

Например, фрагмент дампа, где появляются такие пакеты:

22:16:20.458067 IP 93.184.221.240.http > 1.1.1.1.58349: Flags [.], seq 2865:4297, ack 312, win 288, length 1432
22:16:22.915330 IP 93.184.221.240.http > 1.1.1.1.58349: Flags [.], seq 4297:5729, ack 312, win 288, length 1432
22:16:26.611440 IP 93.184.221.240.http > 1.1.1.1.58349: Flags [.], seq 1433:2865, ack 312, win 288, length 1432
22:16:28.601530 IP 1.1.1.1.58349 > 93.184.221.240.http: Flags [.], ack 2865, win 160, length 0
22:16:28.604610 IP 1.1.1.1.58349 > 93.184.221.240.http: Flags [F.], seq 312, ack 2865, win 160, length 0
22:16:28.625207 IP 93.184.221.240.http > 1.1.1.1.58349: Flags [.], seq 5729:7161, ack 312, win 288, length 1432
22:16:28.625236 IP 93.184.221.240.http > 1.1.1.1.58349: Flags [P.], seq 7161:8593, ack 312, win 288, length 1432
22:16:28.628016 IP 93.184.221.240.http > 1.1.1.1.58349: Flags [.], ack 313, win 288, length 0
22:16:28.656497 IP 10.10.10.124.58349 > 93.184.221.240.http: Flags [R], seq 3280738781, win 0, length 0
22:16:29.011868 IP 10.10.10.124.58349 > 93.184.221.240.http: Flags [R], seq 3280738781, win 0, length 0
22:16:35.505264 IP 10.10.10.124.58349 > 93.184.221.240.http: Flags [R], seq 3280738781, win 0, length 0
22:16:35.756197 IP 10.10.10.124.58349 > 93.184.221.240.http: Flags [R], seq 3280738781, win 0, length 0
22:16:35.883696 IP 10.10.10.124.58349 > 93.184.221.240.http: Flags [R], seq 3280738781, win 0, length 0
22:16:35.968263 IP 1.1.1.1.58349 > 93.184.221.240.http: Flags [R], seq 3280738782, win 0, length 0

В интернетах копался долго, но ничего похожего не нашел.Насколько я понимаю, в цепочку POSTROUTING таблицы nat должны попадать все выходящие через интерфейс (в данном случае eth0) пакеты, и source IP у них должен подменяться. После этого теоретически с ними мог бы что-до делать mangle POSTROUTING, но его у меня нету. Но по факту - иногда source IP не подменяется.

Вопрос: а почему? И как от этого избавиться.

Примечание: если сделать трансляцию «один в один», типа

 -A POSTROUTING -s 10.10.10.124/32 -o eth0 -j SNAT --to-source 1.1.1.1

Посоветуйте маленький простой сервер SIP для личного пользования. Хочу поставить его на свою виртуалку и делать видеозвонки между членами семьи.

День добрый. Встала у меня задача записывать в круглосуточном режиме звук с микрофона и линейного входа. По микрофону запись нужна в круглосуточном режиме, а по линейному входу - по превышению порога чувствительности (стоит радиостанция и необходимо писать не весь эфир, а только сеансы связи по рациям). По достижению определенного объема записанных данных, запись должна перезаписываться в циклическом режиме. Почитал про PulseAudio и arecord, как записать понятно, а вот как реализовать описанный выше функционал - у самого мозгов не хватает. Возможно у кого-нибудь есть какие-нибудь скриптовые наработки или идеи в какую сторону гуглить?

Есть RAID1. Навернулся контроллер и пока нет ему замены, но нужно получить доступ к данным.

Как примонтировать один из дисков райд-массива в режиме «только чтение»? Рaйд — хардварный.

Вопрос пока что исключительно в теоретической плоскости. Имеется Wi-Fi сеть, которую нужно жёстко контролировать и мониторить трафик. При этом потенциальные пользователи не отличаются интеллектуальными способностями, так что вариант с нормальным проксированием не прокатывает (не найдут на своих гаджетах, как это сделать). При этом прозрачное проксирование в режиме HTTPS по-сути имитирует MitM-атаку, что вынуждает добавлять ключ кальмара в ключницу устройства, что опять же, не вариант. Но при этом у организации есть официально купленный SSL-сертификат, который разрешили использовать в данных целях. Так вот, если его подпихивать при прозрачном проксировании, будут ли устройства клиентов жаловаться на сертификат?

Добрый день. Существует ли какое- либо по для организации конференций? Наподобие Webex? Нужно что- то без привязки к ОС, трансляция и рассылка приглашений до 20 чел, ну и запись всего этого дела? Просто платить за то, что требуется раз в пол года не очень охота

Имеется сервер на debian с двумя сетевыми картами. squid 2.7 + sams C недавнего времени обнаружил, что Яндекс браузер в режиме турбо с легкостью обходит любую блокировку. Как это можно запретить?

Настройки NAT следующие: #!/bin/sh #Включаем форвадинг пакетов echo 1 > /proc/sys/net/ipv4/ip_forward #Разрешаем трафик на loopback-интерфейсе iptables -A INPUT -i lo -j ACCEPT #Блокировка vpn расширения для хрома iptables -A FORWARD -p tcp --dport 443 -m string --string «chrome.google.com» --algo kmp --to 65535 -j REJECT #Разрешаем доступ из внутренней сети наружу iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #Включаем NAT iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE #Разрешаем ответы из внешней сети iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Запрещаем доступ снаружи во внутреннюю сеть iptables -A FORWARD -i eth0 -o eth1 -j REJECT #Заворачиваем http на прокси iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to 192.168.1.100:3128

Настройки squid: acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT

acl full-access src 192.168.1.56 192.168.1.58 acl localnet src 192.168.1.0/24 acl dinner time 12:29-13:31 acl bad_url url_regex «/etc/squid/acl/bad_url» acl filetypes urlpath_regex -i «/etc/squid/acl/filetypes» acl bad_hosts url_regex «/etc/squid/acl/bad_hosts» #acl br browser Opera, Mozilla

http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost

#http_access deny !br http_access deny bad_url !dinner !full-access http_access deny filetypes !full-access http_access deny bad_hosts !dinner !full-access http_access allow localnet http_access allow full-access

icp_access allow localnet icp_access deny all

http_port 192.168.1.100:3128 transparent

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 4096 32 256 access_log /var/log/squid/access.log squid

iptables -A INPUT -p tcp -m tcp --dport 22     -m recent --name ssh_delay --rcheck --seconds 300 -j DROP
iptables -A INPUT -p tcp -m tcp --dport 22     -m recent --name ssh_delay --set                  -j DROP

Вроде простое правило задержки в 5 минут для всех новых подключений на 22 порт. Iptables легко реализуемое 2 правилами. А как тоже самое сделать средствами ipfw? Неужели без костылей не обойтись? Знатоки ipfw подскажите пожалуйста решение.

p.s. Устанавливать iptables не предлагать.

Собственно, вопрос:

Переехал на Слаку. Пока что стабильную. Так вот, есть такая штука - slackpkg. Пишут, что после установки надо в файле /etc/slackpkg/mirror раскоментить свое зеркало. Сказано - сделано. Обновил оттуда с десяток пакетов и понял, что нужно доустановить кучу всякого сфота. Там этого нет: vlc, skype и т.д.

Погуглил и нашел разные неофициальные репы: slacky.eu и slackonly.com (про slackbuilds.org я в курсе, если что).
Так вот, если я хочу добавить репу slacky.eu, мне надо установить, например, slackpkg+? Официальное зеркало при этом трогать не надо? Как вы это делаете, гуру Слаки?

P.S. Вот еще нашел тулзу slpkg, которая дает возможность подключить оф, репу, а также slacky, alienbob, sbo.

Как не превратить чистую и аккуратную Слаку в помойку?

Спасибо заранее.

Direvent 5.0 — первый GNU-выпуск пакета — можно скачать с официального FTP GNU и с домашнего FTP пакета.

GNU Direvent отслеживает события в директориях файловой системы. Для каждого события, происходящего в заданном наборе директорий, программа вызывает ассоциированную с ним внешнюю программу, сообщая ей информацию о событии и месте в файловой системе, где оно произошло.

GNU Direvent стал частью проекта GNU 20 августа 2014 г. До этого он назывался dircond.

Direvent предоставляет простой способ настройки вашей системы на немедленную реакцию в случае изменений в файлах. Это может пригодиться, например, для отслеживания изменений важных конфигурационных файлов.

Интерфейсы для отслеживания изменений в файловых системах весьма системоспецифичны. Цель Direvent — предоставление универсального и системонезависимого командного интерфейса. Заявлена работа на всех современных ядрах Linux и BSD-системах (FreeBSD, NetBSD, OpenBSD, Darwin).

Автор программы — украинский разработчик Сергей Позняков, участвовавший во многих других проектах GNU.

>>> Источник

WHDD - свободная Linux-утилита для диагностики жёстких дисков и восстановления данных с них.

Новая версия, по сравнению с предыдущей (v2.1), содержит исправления ошибок компиляции и работы.

• Исправлен сбой при небольшой размерности экрана терминала, в том числе 80*25
• Исправлено распознавание ATA-устройств (тикет)
• Выход в меню после прерывания процедуры производится только по нажатию 'm' (были жалобы на выход по нажатию кнопки мыши, а также ненамеренному нажатию клавиш)
• Переделано прерывание по Ctrl+C из-за нестабильности предыдущей реализации, проявляющейся в Gnome Terminal
• Улучшения сборочной системы (в т. ч., в случае наличия отдельной libtinfow)

>>> Подробности

Нужен гигабитный роутер который соответствует параметрам :

• не стоит дорого
• поддерживает гигабитную сеть
• можно установить openWrt(или что то подобное)
• имеет 4 lan разьёма
• usb вход (опционально)