Сообщения blind_oracle

Squid + SSL Bump не признает доверенные CA

Есть сабж, дешифрующий SSL и переподписывающий его фейковым доверенным у клиентов сертификатом. Всё работает ОК, но вот с одним из сайтов (https://sales.russoutdoor.ru) случился геморрой - сквида ругается на него, что мол не может валидировать сертификатЪ:

(71) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)

SSL Certficate error: certificate issuer (CA) not known: /C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2

Напрямую браузеры цепочке сертификации доверяют без проблем.

Окей, я экспортировал оба сертификата (СА и промежуточный) в PEM, подсунул дебияну в /usr/share/ca-certificates, сделал dpkg-reconfigure ca-certificates, они там увиделись, добавились. Ссылка на них в /etc/ssl/certs появилась. Хотя они(GeoTrust) там, по идее, и так были.

Но хрен там, ничего не изменилось. Ладно, я прописал в сквиде для верности «sslproxy_capath /etc/ssl/certs», но опять же пофиг, та же самая ошибка.

Из консоли та же ругань:

# openssl s_client -connect 193.150.115.88:443
CONNECTED(00000003)
depth=0 C = RU, ST = Moskovskaya obl., L = Krasnogorskiy rayon, O = Ltd. Russ Outdoor, OU = IT, CN = *.russoutdoor.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = RU, ST = Moskovskaya obl., L = Krasnogorskiy rayon, O = Ltd. Russ Outdoor, OU = IT, CN = *.russoutdoor.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = RU, ST = Moskovskaya obl., L = Krasnogorskiy rayon, O = Ltd. Russ Outdoor, OU = IT, CN = *.russoutdoor.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=RU/ST=Moskovskaya obl./L=Krasnogorskiy rayon/O=Ltd. Russ Outdoor/OU=IT/CN=*.russoutdoor.ru
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
 1 s:/C=US/O=GeoTrust Inc./OU=(c) 2007 GeoTrust Inc. - For authorized use only/CN=GeoTrust Primary Certification Authority - G2
   i:/C=US/O=GeoTrust Inc./OU=(c) 2007 GeoTrust Inc. - For authorized use only/CN=GeoTrust Primary Certification Authority - G2
---

Не пойму - чего ему еще не хватает.

blind_oracle
(11.08.14 20:42:30 MSK)

19 комментариев

Asterisk - IAX2 не работает без перезагрузки

Есть у меня пара АТСок, соединены по iax2, ip связность присутствует, но:

server1*CLI> iax2 show peers
Name/Username    Host                 Mask             Port          Status      Description                     
server2     192.168.0.1     (S)  255.255.255.255  4569 (T)      UNREACHABLE

iax2 reload не помогает. По tcpdump вижу, что пакеты в обе стороны ходят:

root@server2:~# tcpdump -i tap4
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap4, link-type EN10MB (Ethernet), capture size 65535 bytes
09:56:45.368311 IP 10.1.0.190.iax > 192.168.0.1.iax: UDP, length 14
09:56:45.368409 IP 192.168.0.1.iax > 10.1.0.190.iax: UDP, length 12
09:56:46.369913 IP 10.1.0.190.iax > 192.168.0.1.iax: UDP, length 14
09:56:46.370007 IP 192.168.0.1.iax > 10.1.0.190.iax: UDP, length 12

Помогает только:

server1*CLI> module unload chan_iax2.so 
Unloaded chan_iax2.so
server1*CLI> module load chan_iax2.so 
Loaded chan_iax2.so
server1*CLI> iax2 show peers
Name/Username    Host                 Mask             Port          Status      Description                     
server2            192.168.0.1     (S)  255.255.255.255  4569 (T)      OK (5 ms)

Как бы сделать чтобы оно само оживало-то?

С обоих концов Asterisk 11.11.0

blind_oracle
(11.08.14 10:07:24 MSK)

2 комментария

Asterisk + SRTP: хау ту?

Собсно пытаюсь тут поэксперементировать с сабжем, телефоны Yealink T22P. SIP на TLS настроил без проблем, телефоны регистрируются по TLS, звонки ходят. В телефонах включаю SRTP, на экстеншенах ставлю encryption=yes, но в итоге имею «488 Not acceptable here» при попытке позвонить:

INVITE sip:1797@sip.domain.ru:5061 SIP/2.0
Via: SIP/2.0/TLS 10.1.3.169:17315;branch=z9hG4bK1937264885
From: "Test" <sip:1951@sip.domain.ru:5061>;tag=1027830000
To: <sip:1797@sip.domain.ru:5061>
Call-ID: 1422776310@10.1.3.169
CSeq: 2 INVITE
Contact: <sip:1951@10.1.3.169:17315;transport=TLS>
Authorization: Digest username="1951", realm="asterisk", nonce="65eee7be", uri="sip:1797@sip.domain.ru:5061", response="d1ffcc4667693ac7f72d690d7270aaa9", algorithm=MD5
Content-Type: application/sdp
Allow: INVITE, INFO, PRACK, ACK, BYE, CANCEL, OPTIONS, NOTIFY, REGISTER, SUBSCRIBE, REFER, PUBLISH, UPDATE, MESSAGE
Max-Forwards: 70
User-Agent: Yealink SIP-T22P 7.71.14.5
Supported: replaces,timer
Min-SE: 90
Session-Expires: 90
Allow-Events: talk,hold,conference,refer,check-sync
Content-Length: 443

v=0
o=- 20003 20003 IN IP4 10.1.3.169
s=SDP data
c=IN IP4 10.1.3.169
t=0 0
m=audio 11786 RTP/AVP 0 101
a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:MTNlYzM2ZGIzYmE0YTBlMGY4MmIyMTAANzA2OTA0
a=crypto:2 AES_CM_128_HMAC_SHA1_32 inline:NzdmYzEwYWM0N2M4ZTJkADNjZDcyYzkANDhhZTUw
a=crypto:3 F8_128_HMAC_SHA1_80 inline:MzEyMjViMTdiMzcwOWI1ADQ2NjI2MDA0ZWM0ODIy
a=rtpmap:0 G722/8000
a=fmtp:101 0-15
a=rtpmap:101 telephone-event/8000
a=sendrecv


<--- Reliably Transmitting (NAT) to 10.1.3.169:17315 --->
SIP/2.0 488 Not acceptable here
Via: SIP/2.0/TLS 10.1.3.169:17315;branch=z9hG4bK1937264885;received=10.1.3.169;rport=17315
From: "Test" <sip:1951@sip.domain.ru:5061>;tag=1027830000
To: <sip:1797@sip.domain.ru:5061>;tag=as3ef74fd0
Call-ID: 1422776310@10.1.3.169
CSeq: 2 INVITE
Server: asterisk
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0

ЧЯДНТ?

blind_oracle
(08.08.14 16:57:09 MSK)

3 комментария

LSI Syncro вопросов

Хочу попробовать сабж для создания отказоустойчивой хранилки, в теории (и, у некоторых, в практике) всё выглядит красиво, но остается один вопрос - можно ли по команде из ОС менять контроллер-владелец массива.

В инетах чувак, делавший на этом железе кластер, пишет

I was curious if we could manually control volume ownership without having to reboot or something (eg, via CLI) but I didn’t see anything in the documentation. I’ve asked LSI support, but have not gotten an answer yet. I would think/hope that feature would be coming in the future. If we could control VD/LD ownership “live” (inside the OS) then we could script this as part of our cluster setup (described below). Until (if ever) that feature is available, we’ll have to do an active-passive setup where all virtual drives are owned by a single controller, and then when an event occurs (failure, reboot, etc.), they are transferred to the other node.

То бишь способа он не нашел.

Так что спрошаю тут - мало ли кто юзал сабж и нашел метод.

blind_oracle
(23.07.14 16:49:23 MSK)

Monit флудит

Сабж, настроено:

check host nanobeam1 with address 192.168.253.20
    if failed icmp type echo count 5 with timeout 1 seconds then exec "/opt/scripts/alert_monit.sh"

В скрипте отправляется СМСка. Так вот, вместо того чтобы отправить 2 смски - когда хост упал и когда поднялся - оно мне шлёт их стопицот. Сегодня вырубили электричество на пару часов - оно мне на несколько хостов их овер 100 штук прислало :(

При этом своих обычных алёртов на почту прислало как и надо - по 2 на хост.

WTF?

blind_oracle
(04.07.14 15:32:20 MSK)

Восстановление диска ddrescue

Принесли тут родичи один больной винт, с которого нужно вытянуть максимум данных.

По смарту там куча reallocated и pending секторов, но это не главная проблема. Главная - то что он через некоторое время перестает работать вообще, не читает ни живые ни мертвые сектора:

[352521.542480] Result: hostbyte=DID_BAD_TARGET driverbyte=DRIVER_OK
[352521.542482] sd 1:0:0:0: [sdb] CDB:
[352521.542482] Read(10): 28 00 0c e1 54 e3 00 00 02 00
[352521.542493] sd 1:0:0:0: [sdb] Unhandled error code
[352521.542494] sd 1:0:0:0: [sdb]
[352521.542495] Result: hostbyte=DID_BAD_TARGET driverbyte=DRIVER_OK
[352521.542497] sd 1:0:0:0: [sdb] CDB:
[352521.542497] Read(10): 28 00 0c e1 54 e5 00 00 02 00
[352521.542517] sd 1:0:0:0: [sdb] Unhandled error code
[352521.542519] sd 1:0:0:0: [sdb]

Я его по питанию на живую дергаю, диск переопределяется и еще какое-то время работает, ddrescue успевает вытянуть часть данных. Таким макаром из 1Тб я вытащил почти 800Гб.

Но на последних 200+ гигабайтах он у меня перестал читаться толком даже после power-cycle. Диск переопределяется ок:

[352921.998992] ata2: exception Emask 0x50 SAct 0x0 SErr 0x4090800 action 0xe frozen
[352921.998996] ata2: irq_stat 0x00400040, connection status changed
[352921.999001] ata2: SError: { HostInt PHYRdyChg 10B8B DevExch }
[352921.999012] ata2: hard resetting link
[352922.722199] ata2: SATA link down (SStatus 0 SControl 300)
[352922.722215] ata2: EH complete
[352922.722227] ata2.00: detaching (SCSI 1:0:0:0)
[352922.723020] sd 1:0:0:0: [sdb] Synchronizing SCSI cache
[352922.723093] sd 1:0:0:0: [sdb]
[352922.723098] Result: hostbyte=DID_BAD_TARGET driverbyte=DRIVER_OK
[352922.723103] sd 1:0:0:0: [sdb] Stopping disk
[352922.723138] sd 1:0:0:0: [sdb] START_STOP FAILED
[352922.723143] sd 1:0:0:0: [sdb]
[352922.723146] Result: hostbyte=DID_BAD_TARGET driverbyte=DRIVER_OK
[353094.478380] ata2: exception Emask 0x10 SAct 0x0 SErr 0x4050002 action 0xe frozen
[353094.478385] ata2: irq_stat 0x00400040, connection status changed
[353094.478389] ata2: SError: { RecovComm PHYRdyChg CommWake DevExch }
[353094.478399] ata2: hard resetting link
[353100.253635] ata2: link is slow to respond, please be patient (ready=0)
[353103.825840] ata2: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
[353103.878839] ata2.00: ATA-8: ST31000333AS, CC1H, max UDMA/133
[353103.878844] ata2.00: 1953525168 sectors, multi 0: LBA48 NCQ (depth 31/32)
[353103.920834] ata2.00: configured for UDMA/133
[353103.920844] ata2: EH complete
[353103.920959] scsi 1:0:0:0: Direct-Access     ATA      ST31000333AS     CC1H PQ: 0 ANSI: 5
[353103.921223] sd 1:0:0:0: Attached scsi generic sg1 type 0
[353103.921229] sd 1:0:0:0: [sdb] 1953525168 512-byte logical blocks: (1.00 TB/931 GiB)
[353103.921334] sd 1:0:0:0: [sdb] Write Protect is off
[353103.921340] sd 1:0:0:0: [sdb] Mode Sense: 00 3a 00 00
[353103.921404] sd 1:0:0:0: [sdb] Write cache: enabled, read cache: enabled, doesn't support DPO or FUA
[353103.942840]  sdb: sdb1
[353103.943422] sd 1:0:0:0: [sdb] Attached SCSI disk

Но после, при попытке ddrescue продолжить считывать сектора опать падает с теми же ошибками в логах и лежит в коматозе до того как его не вырубишь. Что можно сделать, товарищи? Винт Seagate ST31000333AS

blind_oracle
(01.07.14 17:51:44 MSK)

8 комментариев

Monit: несколько действий

Нужна мониторилка всякой мелкой фигни для дома, монстры аля заббикс и нагиос не подходят.

Понравился сабж своим «тупым» синтаксисом и общей простотой.

Перерыв гугль остался один вопрос - неужели оно за столько лет не научилось выполнять несколько действий при каком-то событии?

Например сдох у меня процесс, я хочу его рестартнуть, написать алерт (в почту) и выполнить шелл-скрипт который мне смс отправит.

Я, конечно, могу накостылять скрипты внешние для этого дела, но мне хотелось как-то это красиво сделать..

Я дофига хочу? Вроде версия уже 5.8 а такой элементарной штуки нет.

blind_oracle
(24.06.14 23:36:02 MSK)

9 комментариев

OpenWRT <-> Linux 802.1q trunk проблема

Собсно есть у меня роутер netgear wndr3800, работающий «управляемым» свичем и вайфай точкой. У него в один из портов, идущий в сервачок с линухом, улетают тегированные пакеты в 1 и 2 вланах, проблем никаких. В 1 влане локалка, во 2 - интернет от прова.

Понадобилось мне тут добавить еще один влан, сделал всё стандартно:

config switch_vlan
        option device   rtl8366s
        option vlan     1
        option ports    "0t 2t 3 5t"

config switch_vlan
        option device   rtl8366s
        option vlan     2
        option ports    "0t 1 5t"

config switch_vlan
        option device   rtl8366s
        option vlan     3
        option ports    "0t 2t 5t"

Порт 0 как раз в сервер.

Далее всё тоже как обычно:

wndr3800:~# vconfig add eth0 3
wndr3800:~# ip addr add 192.168.253.100/24 dev eth0.3
wndr3800:~# ip link set eth0.3 up

server# vconfig add eth0 3
server# ip addr add 192.168.253.1/24 dev vlan3
server# ip link set vlan3 up

И хрен там:

server# # ping 192.168.253.100
PING 192.168.253.100 (192.168.253.100) 56(84) bytes of data.
^C
--- 192.168.253.100 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

Что я делаю не так? Почему два влана летят нормально, а третий нет? Номер влана менял на другой, не влияет.

Конфиг свича показывает что вроде всё ок:

wndr3800:~# swconfig dev rtl8366s show
...
VLAN 1:
        info: VLAN 1: Ports: '0t2t35t', members=002d, untag=0008, fid=0
        fid: 0
        ports: 0t 2t 3 5t
VLAN 2:
        info: VLAN 2: Ports: '0t15t', members=0023, untag=0002, fid=0
        fid: 0
        ports: 0t 1 5t
VLAN 3:
        info: VLAN 3: Ports: '0t2t5t', members=0025, untag=0000, fid=0
        fid: 0
        ports: 0t 2t 5t

blind_oracle
(20.06.14 23:25:09 MSK)

5 комментариев

Squid - Zero sized reply

При заходе на один сайт (http://standartmedia.ru/) сквид выдает клиентам страничку с сабжем, мол пустой ответ.

С другими сайтами проблем нет (пока).

Это http://wiki.squid-cache.org/SquidFaq/TroubleShooting#Why_do_I_sometimes_get_.... я читал, ничего не помогает особо.

Со сквидового сервера из консоли links-ом этот сайт на ура открывается.

С других хостов, минуя сквид (через NAT), - тоже. От броузера не зависит.

Сниффером видно, что TCP коннект устанавливается, сквид посылает GET, ему в ответ ACK на пакет и после него сразу FIN, ACK и коннект закрывается... ЧЯДНТ? :)

blind_oracle
(27.05.14 14:36:45 MSK)

9 комментариев

Squid контроль доступа к ICAP

Есть сквида и C-ICAP+SquidClamav. Мне нужно, чтобы некоторые сайты через ICAP не проверялись, но почему-то не получается:

Конфа:

# ICAP ACL
acl icap_whitelisted dstdomain "/etc/squid/lists/icap_domains_whitelisted.txt"

# ICAP scanning
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_connect_timeout 1 second
icap_preview_enable on
icap_preview_size 1024
icap_206_enable on
icap_persistent_connections on

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_req deny icap_whitelisted
adaptation_access service_req allow all

icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp deny icap_whitelisted
adaptation_access service_resp allow all

Но домены из ACL всё равно отправляются на проверку. ЧЯДНТ?

blind_oracle
(22.05.14 11:39:23 MSK)

3 комментария

После обновления debian с 6 на 7 начал сегфолтиться php в определенных случаях

Вот, к примеру, с пакетом php идёт скрипт для удаления старых сессий, maxlifetime, который по сути выполняет следующее:

php5 -c /etc/php5/apache2/php.ini -d "error_reporting='~E_ALL'" -r 'print ini_get("session.gc_maxlifetime");'

И в результате имею:

1440Segmentation fault

# dmesg | tail -n1
[1175133.125914] php5[18398]: segfault at 7f912d132ed7 ip 00007f912d132ed7 sp 00007f912c5f9cc0 error 14 in libstdc++.so.6.0.17[7f91303c1000+e8000]

Есть идеи что может быть? В других случаях вроде тоже падало раз или два, но не критично.

strace ничего определенного не кажет:

...
lseek(0, 0, SEEK_CUR)                   = -1 ESPIPE (Illegal seek)
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 3), ...}) = 0
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 3), ...}) = 0
lseek(1, 0, SEEK_CUR)                   = -1 ESPIPE (Illegal seek)
fstat(2, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 3), ...}) = 0
fstat(2, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 3), ...}) = 0
lseek(2, 0, SEEK_CUR)                   = -1 ESPIPE (Illegal seek)
write(1, "1440", 41440)                     = 4
close(2)                                = 0
close(1)                                = 0
close(0)                                = 0
munmap(0x7fb69f423000, 4096)            = 0
munmap(0x7fb694421000, 2170688)         = 0
munmap(0x7fb6941f8000, 2262152)         = 0
munmap(0x7fb694d87000, 2112632)         = 0
munmap(0x7fb694b56000, 2296912)         = 0
munmap(0x7fb694836000, 3274976)         = 0
munmap(0x7fb694633000, 2105608)         = 0
munmap(0x7fb694f8b000, 2130408)         = 0
munmap(0x7fb695194000, 2237792)         = 0
munmap(0x7fb6958fe000, 2150792)         = 0
munmap(0x7fb6953b7000, 5533328)         = 0
munmap(0x7fb695d42000, 2182656)         = 0
munmap(0x7fb695b0c000, 2316512)         = 0
munmap(0x7fb695f57000, 2199000)         = 0
munmap(0x7fb6965ab000, 2138408)         = 0
munmap(0x7fb696379000, 2300608)         = 0
munmap(0x7fb696170000, 2132440)         = 0
munmap(0x7fb697995000, 2154736)         = 0
munmap(0x7fb697529000, 2427560)         = 0
munmap(0x7fb69777a000, 2204624)         = 0
munmap(0x7fb69731a000, 2154920)         = 0
munmap(0x7fb69705a000, 2882728)         = 0
munmap(0x7fb696ddc000, 2612480)         = 0
munmap(0x7fb696bcb000, 2163624)         = 0
munmap(0x7fb6969b9000, 2168144)         = 0
munmap(0x7fb6967b6000, 2109384)         = 0
munmap(0x7fb699571000, 2298672)         = 0
munmap(0x7fb69f25e000, 53368)           = 0
munmap(0x7fb6993a3000, 1891788)         = 0
munmap(0x7fb699232000, 1509248)         = 0
munmap(0x7fb6980c1000, 18284572)        = 0
munmap(0x7fb69b0c0000, 2199768)         = 0
munmap(0x7fb69ae78000, 2391144)         = 0
munmap(0x7fb69a68d000, 2164472)         = 0
munmap(0x7fb69a89e000, 3386704)         = 0
munmap(0x7fb69a466000, 2253856)         = 0
munmap(0x7fb69a22c000, 2334368)         = 0
munmap(0x7fb699ff5000, 2321544)         = 0
munmap(0x7fb69abd9000, 2746008)         = 0
munmap(0x7fb699dd5000, 2225040)         = 0
munmap(0x7fb699bab000, 2265192)         = 0
munmap(0x7fb6999a8000, 2106104)         = 0
munmap(0x7fb6997a3000, 2115840)         = 0
munmap(0x7fb69b50a000, 2209040)         = 0
munmap(0x7fb693dde000, 266240)          = 0
munmap(0x7fb69b2da000, 2292144)         = 0
munmap(0x7fb69ba0b000, 1052672)         = 0
munmap(0x7fb69f26c000, 266240)          = 0
munmap(0x7fb69b726000, 323584)          = 0
exit_group(0)                           = ?

blind_oracle
(23.04.14 12:50:11 MSK)

5 комментариев

Equal Cost балансировка в Linux

Есть у меня некий хост, на котором вертится OSPF.

И есть два роутера (по сути - вирт. машины с кваггой) которые по OSPF анонсируют маршруты до нескольких сетей с одним весом, соответственно в таблицу роутинга заносятся оба хопа:

# ip ro
...
10.2.200.0/24  proto zebra  metric 20 
        nexthop via 10.1.16.6  dev vlan8 weight 1
        nexthop via 10.1.16.7  dev vlan8 weight 1
10.2.201.0/24  proto zebra  metric 20 
        nexthop via 10.1.16.6  dev vlan8 weight 1
        nexthop via 10.1.16.7  dev vlan8 weight 1
10.2.203.0/24  proto zebra  metric 20 
        nexthop via 10.1.16.6  dev vlan8 weight 1
        nexthop via 10.1.16.7  dev vlan8 weight 1
10.2.209.0/24  proto zebra  metric 20 
        nexthop via 10.1.16.6  dev vlan8 weight 1
        nexthop via 10.1.16.7  dev vlan8 weight 1
...

В какой-то момент было замечено, что есть проблемы с хождением траффика между этим хостом и удаленными сетями из таблицы роутинга.

Начал проверять iperf-ом и он у меня при передаче траффика от этого хоста в удаленную сеть просто залипает, приходится по ctrl+c убивать.

В обратную сторону - всё ок.

Поставил на одном из роутеров цену маршрута повыше - в таблице роутинга на хосте остался один маршрут и iperf заработал отлично.

Вот теперь думаю - это что же, балансировка в линухе страдает? Или у меня кривые руки?

blind_oracle
(14.04.14 11:46:43 MSK)

8 комментариев

Zabbix + windows eventlog = ?

Что-то не выходит у меня с виндового сервера снять лог заббиксом. Итем eventlog[System] создал для простоты, он Supported, но в Monitoring->Latest data не появляется инфы об этом логе. Ошибок в логах заббикса тоже никаких не вижу. Сервер и агент 2.2.1, оффтопик 2008r2

eventlog, windows, zabbix

blind_oracle
(14.03.14 08:43:54 MSK)

5 комментариев

Zabbix regexp?

Хочу отфильтровать discovery по регулярке, хочу убрать из списка блочных устройств loop-ы, пишу: ^(?!loop).*

И получаю фигу - вообще ничего не дискаверится. Как мне отрицание написать чтобы ему понравилось? Во всех тестерах регулярок моя отрабатывает как надо.

blind_oracle
(10.03.14 19:16:10 MSK)

1 комментарий

Мониторинг FC-свичей по SNMP

Столкнулся тут с маразмом - в стандартном SNMP MIB по FC счетчики траффика на портах имеют формат Counter32, т.е. обнуляются при достижении 4Гб с копейками.

Причем этот MIB у меня как на цыскиных свичах, так и на кулоджиках, все едино.

В итоге получается что при загрузке 8Гбит порта на 100% (около 800Мбайт в сек) этот счетчик обнуляется раз в 5-6 секунд и заббикс, считывая его реже показывает совершенно левые скорости.

Какие могут быть варианты снять реальную скорость? Поллить порты раз в 1-2 секунды что-то желания особого нет... :)

Через CLI свича я могу смотреть скорость без проблем, т.е. сам он меряет нормально. Но по SNMP скорость отдельно, судя по всему, не отдает.

blind_oracle
(25.02.14 22:50:33 MSK)

24 комментария

DRBD отваливается при проверке

Есть два iSCSI хранилища, которые реплицируют через DRBD друг на друга LUNы для отказоустойчивости (Pacemaker)

Если делаю какому-либо drbd ресурсу «drbdadm verify <res>», он начинает проверку, но через какое-то рандомное время проверка отваливается по таймауту:

[25658.263180] block drbd0: Starting Online Verify from sector 0
[31424.442758] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 6
[31514.609426] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 6
[36769.957660] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 6
[36779.938477] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 5
[38429.218483] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 6
[38439.199298] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 5
[38449.180123] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 4
[38459.160945] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 3
[38469.141767] d-con VM_STORAGE2_1: [drbd_w_VM_STORA/3779] sock_sendmsg time expired, ko = 2
[38478.943765] d-con VM_STORAGE2_1: sock_sendmsg returned -104
[38478.943804] block drbd0: Online Verify reached sector 2773202184
[38478.943842] d-con VM_STORAGE2_1: peer( Primary -> Unknown ) conn( VerifyS -> BrokenPipe ) pdsk( UpToDate -> DUnknown ) 
[38478.943897] block drbd0: drbd_alloc_pages interrupted!
[38478.943929] d-con VM_STORAGE2_1: error receiving OVReply, e: -12 l: 20!
[38478.947573] d-con VM_STORAGE2_1: meta connection shut down by peer.
[38478.947605] d-con VM_STORAGE2_1: asender terminated
[38478.947633] d-con VM_STORAGE2_1: Terminating drbd_a_VM_STORA
[38478.948676] d-con VM_STORAGE2_1: Connection closed
[38478.948716] d-con VM_STORAGE2_1: conn( BrokenPipe -> Unconnected ) 
[38478.948746] d-con VM_STORAGE2_1: receiver terminated

После чего реконнектится и продолжает работать в обычном режиме, но проверка уже похерилась ессесно.

Таймауты всякие менял, без толку.

Конфиг:

global {
    usage-count no;
}

common {
    protocol B;

    handlers {
    }

    startup {
        wfc-timeout 10;
    }

    disk {
        c-plan-ahead 0;
        al-extents 6433;
        resync-rate 400M;
        disk-barrier no;
        disk-flushes no;
        disk-drain yes;
    }

    net {
        sndbuf-size 1024k;
        rcvbuf-size 1024k;

        max-buffers 8192; # x PAGE_SIZE
        max-epoch-size 8192; # x PAGE_SIZE
        unplug-watermark 8192;

        timeout 100;
        ping-int 15;
        ping-timeout 60; # x 0.1sec
        connect-int 15;
        timeout 50; # x 0.1sec

        verify-alg sha1;
        csums-alg sha1;
        data-integrity-alg crc32c;
        cram-hmac-alg sha1;
        shared-secret "xxx";
        use-rle;
    }
}

Канал репликации - 4х1Гбит в бонде, линки не падают, вообще никаких проблем. Ядро 3.4.42, drbd 8.4.3 (обновлю до 3.10 и 8.4.4 скоро, но хз поможет ли)

blind_oracle
(15.01.14 08:20:46 MSK)

Прокси: замена текста в tcp сессии

Нужен TCP-прокси с возможностью замены определенного текста внутри проксируемой сессии, желательно с поддержкой регулярок.

Пока нашел только https://github.com/craSH/Emissary, еще не пробовал, но смущает что оно на питоне. Мне бы хотелось иметь максимальную производительность (вешать буду перед haproxy), а что там будет с питоном хз.

Может кто подскажет еще варианты.

blind_oracle
(02.01.14 14:04:01 MSK)

19 комментариев

OpenDKIM игнорит internalhosts

Есть сабж, в нём настроен список внутренних хостов, письма от которых надо подписывать, а не проверять («to sign, rather than verify» (c) man). Всё хорошо, подписывает.

Но если изнутри приходит письмо с уже добавленой сигнатурой, то он залупается и выдает:

Dec  6 14:55:41 dm-proxy opendkim[2346]: 01E5621567: no signing table match for 'a@a.net'
Dec  6 14:55:41 dm-proxy opendkim[2346]: 01E5621567: signature=3fNKRkqc domain=a.net selector=20121201 result="signature verification failed"
Dec  6 14:55:41 dm-proxy opendkim[2346]: 01E5621567: bad signature data

Как мне этой упёртой программе сказать, чтобы она просто пропустила письмо с доверенного хоста и не проверяла сигнатуры вообще? Добавил ему «RemoveOldSignatures y», ноль внимания, фунт презрения.

Вроде не странного хочу :)

blind_oracle
(06.12.13 15:57:26 MSK)

Pulseaudio факапает порядок каналов в 5.1

Есть серверок-медиаплеер с XBMC, если я без пульсы проверяю:

# speaker-test -c 6 -t wav

то балакает в нужных колонках.

Если запустить иксы с пульсой, то порядок каналов почему-то меняется и они оказываются перепутаны.

Куда посоветуете копать? Конфиг пульсы дефолтный, только указал ему дефолтную карту, а то он по умолчанию всё по HDMI норовится играть.

blind_oracle
(10.11.13 20:23:12 MSK)

2 комментария

Linux killed my RAID

Собсно надо было за каким-то лешем мне загрузиться в гентушный лайв-усб, а линух у нас же нынче умный, знает про фейкрейд интеловский, и пытается его детектить и запускать при запуске.

А у меня рейд10 из 4 дисков был(!). После ребута интеловский биос сказал мне что все диски массива - «Not configured» или что-то в этом духе. WTF was that?

Причем линух видит этот массив как degraded 3/4 дисков, дальше пока не разбирался.

Помогите оживить :)

На крайняк конечно я попробую из линуха считать с него данные, но это осложняется тем, что массив зашифрован трукриптом и нужно будет его в лайвсд как-то пихать.

blind_oracle
(04.10.13 17:58:22 MSK)

12 комментариев

← назад

следующие →

RSS подписка на новые темы