Здравствуйте! Начальство захотело блокировать соц сети на части компьютеров локальной сети (компьютеры с пары vlan'ов). Сейчас на шлюзе с Debian настроен прозрачный squid, который кэширует (практически ничего не блокируя) только http-запросы. А нужно получается проксировать и https, насколько я понимаю прозрачно проксировать https-трафик не получится (без танцев с бубном).

Попробовал использовать WPAD:

• установил apache, создал виртуальный хост wpad.localdomain,
• положил туда доступный по http wpad.dat,
• в bind дописал алиас wpad.localdomain (в браузере открывается, файл wpad.dat скачать можно),
• в isc-dhcp-server также указал выдачу клиенту в качестве опции 252 адреса wpad.dat-файла ( option wpad "http://wpad.localdomain/wpad.dat"; ),
• перевел squid на непрозрачный режим для работы с клиентскими запросами на 80,443 порты.

Однако, ничего автоматически не вышло. Если в том же firefox явно указать адрес прокси-сервера - все отлично, если указать путь к конфиг. файлу wpad.dat (http://wpad.localdomain/wpad.dat) - все отлично, но если выбрать «Автоматически определять настройки прокси» - идет паразит мимо прокси (порты 80 и 443 в FORWARD от клиентов пока открыты), не определяет ничего автоматически.

Насколько я понял разные ОС и разные браузеры «поддерживают» WPAD кто во что горазд (к тому же домена то у меня нет). И придется мне все таки руками вписывать на каждом ПК либо адрес прокси, либо http-адрес до конфиг-файла wpad.dat.

Все бы ничего, не сахарный, могу пройтись, но у нас есть беспарольная WI-FI сеть, пользователи которой точно не догадаются вписывать какие-то настройки прокси. Получается какая-то полумера. К тому-же браузеры на смартфонах тоже могут не поддерживать WPAD. Как же быть, как блокировать неугодные сайты, неужто только по IP-адресам?

Имеется в репозитории django-приложение разрабатываемое в PyCharm. Допустим, разработка ведется несколькими людьми на разных рабочих местах. На разных компьютерах файловые пути к некоторым необходимым для функционирования данным отличаются, потому прописывать их в settings.py не кошерно.

Как принято задавать файловые пути в качестве настроек, не занося их в репозиторий в django?

BitrixVM(Centos6+mysql+php+nginx) c php-fpm вместо apache'a.
Место не расходуется, а сабж уходит десятками в минуту.

# lsof | grep del
mysqld    25429   mysql    4u      REG      253,0        0     394114 /tmp/ibMlayFA (deleted)
mysqld    25429   mysql    5u      REG      253,0        0     394115 /tmp/ibk0MPhA (deleted)
mysqld    25429   mysql    6u      REG      253,0        0     394116 /tmp/ibIxv7Tz (deleted)
mysqld    25429   mysql    7u      REG      253,0        0     394117 /tmp/ibOTuJyz (deleted)
mysqld    25429   mysql   11u      REG      253,0        0     394118 /tmp/ibyMHNlz (deleted)

Спасибо за внимание.

День добрый!

У меня такое дело, нужно поверх тестового Ceph сконструировать тестовый же отказоустойчивый iSCSI. Подскажите, как это делается в современном мире. В прочитанном обычно описываются drbd (ну это неважно) и два таргета, либо с heartbeat (устарел), либо с pacemaker+corosync. Вопросы возникли такие:

Если pacemaker, то его вроде надо сильно изучать и прикручивать проверки 'ресурсов', по которым он понимает, что его партнёр упал? Это затратно по времени? Это единственный механизм кластеризации, может, есть что-то нативное в самом iscsi? Максимальная производительность или очвысокая надёжность на время тестов мне не нужны, нужно просто посмотреть, что конструкция будет работать при гибели одного из таргетов.

Второе, неожиданно мало в этом контексте пишут про multipath. Это плохое решение? Чем чревато его использование вместо кластеризации?

подкиньте дельных советов по тюнингу. система 12core/12GB, ubuntu 10.04, nginx + posgtesql + django. ожидаемая нагрузка — 100k в очень короткое время.

добился уже более-менее стабильных 5000cps на django и ~20000cps на статике, но как-то всё ещё недоволен.

в первую очередь интерессует критика по поводу:

fs.file-max = 65536
kernel.shmmax = 2147483648
kernel.shmall = 524288
net.core.somaxconn = 10240
net.ipv4.tcp_fin_timeout = 3
net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 15
net.ipv4.tcp_keepalive_probes = 5
#net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.ip_local_port_range = 16384 61000
net.ipv4.tcp_syncookies = 0

кто что посоветует?

ещё одна проблема с ulimit'ами: daemon-start-stop не цепляит их к сожалению из /etc/security/limits.conf. как workaround добавил их в стартовые скрипты. но как того же добиться лучше/правильней?

Ещё есть над чем работать, но уже неплохо с этим управляться. Более-менее достойные обои для сабжа искать было тяжелее, чем могло бы быть.

В панелях и терминале шрифт - Tewi (много влезает, да и символов немало), в GTK - PT Sans, в редакторе - Input. Иконостас - ACYL. Нижняя панель - conky с выводом в lemonbar.

• Убрано немало лишнего из оперативной памяти и пакетов.
• Почти полностью совершился переход от SublimeText к Geany. С помощью плагинов и скриптов можно наваять почти всё, что было в ST, а есть поменьше, да и с большими файлами хорошо работает.
• Немного gtk-приложений: double commander, deadbeef, lxappearance.

Большую часть конфигов можно найти тут.

Добрый день. Есть сеть, 2 подсети: 192.168.1.0/24 и 192.168.2.0/24, обе ходят в интернет через шлюз Freebsd. На шлюзе 3 сетевухи em0 - 192.168.1.1, em1 - 192.168.2.1, vr0 - внешний интерфейс. Все на той же фре поднята связка named и isc-dhcpd с динамическим обновлением зон. Так же в сети есть, к примеру, файловый сервер (FS-SRV), который имеет 2 интерфейса: eth0 - 192.168.1.100 и 192.168.2.100. Все настроено, все работает, но как только пользователь пытается зайти на FS-SRV bind резолвит адрес с вероятностью 50% возвращается адрес из другой подсети, и соотв-но доступ на файлопомойку не получает. Разделить подсети на 2 разных зоны не вариант, т.к. есть круг людей, которые должны ходить по обеим подсетям (через шлюз).

Просьба подсказать, как спроектировать view в бинде для решения данной задачи...

Доброго времени суток.
Пилю свой идеальный конфиг, вдохновляясь этимх
Пользуюсь форком i3-gaps, оно помимо всего прочего умеет в бэкграунды в i3bar

В процессе возникла проблема: при использовании коньков в качестве провайдера статуса, каждый JSON блок, получаемый от коньков i3bar отделяет своим дефолтным сепаратором «|».
Как заставить его использовать тот сепаратор, который по душе мне или хотя бы не использовать их вовсе?
Знаю, что можно назначить цвет сепараторов, чтобы слить их с фоном, но это не выход - место они все равно занимать будут.

Gentoo, 4.2-r1, i3-gaps 4.10.4-680-* (ветка i3-next), conky 1.9.0

Ситуация такая. Имеется просмотрщик gwenwiew . Он почти все изображения нормально отображает,простой и удобный,но почему то всегда спотыкается и пишет «ошибка загрузки ... невозможно загрузить метаданные» ,когда за расширением jpg на самом деле находится png формат . Переименовываю и все ОК . Но таких картинок много и может можно в каких параметрах задать,чтобы он расширения JPG также анализировал на предмет наличия там png ? Кстати почти также работают и другие просмотрщики,лишь некоторые ,вроде okular нормально распознают,но они для картинок неудобны. ОС Debian wheezy KDE .

Год назад Владимир Бородин из Яндекс.Почты на meetup-встрече #PostgreSQLRussia представил доклад о миграции с Oracle на PostgreSQL.

Сейчас уже стало очевидно, что PostgreSQL используется в Яндексе всё более и более активно, завоёвывая репутацию надёжной и качественной СУБД (например, Постгрес используется в Яндекс.Маркете http://www.slideshare.net/samokhvalov/postgresqlrussia-20150915-oracle-postgr...).

14 октября meetup-встреча #PostgreSQLRussia снова состоится в компании Яндекс. На этот раз Владимир расскажет о том, как устроено хранение данных на диске и организован WAL в PostgreSQL, какие есть средства для резервного копирования и восстановления. Как, используя некоторые их них, не бояться потерять данные и почему PostgreSQL славится своей надёжностью.

Кроме этого, по традиции, на встрече будет представлено несколько докладов-молний.

Мероприятие бесплатное, количество мест ограничено, требуется регистрация.

>>> Присоединиться к #PostgreSQLRussia

Приветствую, уважаемые коллеги! Меня вот интересует вопрос: можно ли средствами haproxy закрывать зависшие сессии, которые уже не используются, скажем по таймауту 12 часов или 24 часа? Почему это нужно, дело в том, что клиенты это мобильные девайсы и если у них отваливается связь, то сессия зависает, а веб-фреймворк tornado, на котором работают приложения, их не закрывает.

Пробую как в мануале делать. https://serversforhackers.com/using-ssl-certificates-with-haproxy

Работает, если по https:// заходить. Если по http то выдает:

Bad Request 
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.
Как сделать редирект с http на https?

Вот конфиг:

frontend myfrontend
bind *:80
bind *:443
option tcplog
mode tcp
default_backend nodes
backend nodes
mode tcp
balance roundrobin
option ssl-hello-chk
server web01 *.*.*.*:443 check

Если нужно настроить несколько фронтендов на 80м порту, это делается так:

frontend http-proxy
 bind *:80
 mode http
 acl web1 hdr_beg(host) www.website1.com
 acl web2 hdr_beg(host) www.website2.com
 use_backend http-web2 if web2
 default_backend http-web1

Как настроить несколько фронтендов на 443м порту с разными ssl сертификатами?

» eix webstorm                                                                  130 ↵
* dev-util/webstorm
     Available versions:  
     (0)    10.0.3^ms[1] ~142.4723^ms[1]
     (10)   ~10.0.4.141.1550
     Homepage:            http://www.jetbrains.com/webstorm/
     Description:         Most Intelligent WebStorm IDE for develop on js html css, 11 EAP version

» sudo emerge --autounmask-write =dev-util/webstorm-142.4723
zsh: dev-util/webstorm-142.4723 not found

Как указать нужную версию ?

Надо реализовать следующую схему:

client(addr4_client) <-> proxy(addr4_proxy:port, addr6_proxy) <-> some_remote_host(remote_addr6)

«Выходной» адрес на проксе addr6_proxy зависит от входящего порта, например:

• Клиент коннектится на 192.168.1.1:1000, исходящее соединение к хосту уходит с ipv6_0
• Клиент коннектится на 192.168.1.1:1001, исходящее соединение к хосту уходит с ipv6_1
• Ну и так далее

Первое, что приходит в голову - это навесить на интерфейс кучу ipv6 адресов и перед коннектом делать на сокет bind() на соответствующий адрес (в зависимости от входящего порта). Что меня пугает, это то, что портов (и, соответственно, ipv6 адресов может быть 10000 и более), а, судя по гуглению в интернетах, рекомендуемые значения для net.ipv6.conf.all.max_addresses это 16, 32 и 64, по дефолту почти везде стоит 16. Это, видимо, связано с тем, как хранятся эти адреса в кишках ядра (насколько я знаю, там хэш-таблица, но деталей не знаю, вполне возможно, что для большого количества адресов там поиск вырождается в линейную сложность).

Собственно вопросы:

• Возникнут ли проблемы при описанном подходе (навешивании тысяч адресов на один интерфейс)? И какие это могут быть проблемы (производительность?) ?
• Какие есть альтернативные подходы к решению данной задачи (маппинг: входящие ipv4:port <-> исходящие ipv6)

Добрый день,

Есть сервера с кучей дисков, на двух(sda,sdb) стоит ОС,остальные без файловой системы, примерно вывода из /dev/

ls -1 /dev/sd*
/dev/sda
/dev/sda1
/dev/sda2
/dev/sdb
/dev/sdb1
/dev/sdb2
/dev/sdaa
/dev/sdab
/dev/sdac
/dev/sdad
/dev/sdae
/dev/sdaf
/dev/sdag
/dev/sdah
/dev/sdai
/dev/sdaj
/dev/sdak
/dev/sdal
/dev/sdc
/dev/sdd
/dev/sde
/dev/sdf
/dev/sdg
/dev/sdh
/dev/sdi
/dev/sdj
/dev/sdk
/dev/sdl
/dev/sdm
/dev/sdn
/dev/sdo
/dev/sdp
/dev/sdq
/dev/sdr
/dev/sds
/dev/sdt
/dev/sdu
/dev/sdv
/dev/sdw
/dev/sdx
/dev/sdy
/dev/sdz

blkid | awk '{print $1}' |  sed -e 's/[0-9]//g' -e 's/\:/\[0-9\]/g'| sort | uniq > exlude_list
ls -1 /dev/sd* | grep -v -f exlude_list > disks

Собственно, в ZFS есть возможность экспорта снапшота (причём только данные, которые есть в этом снапшоте, без подлежащих снапшотов). Интересно, есть ли что-то типа этого в LVM? Я лично не нашел.

Ещё раз: я про cat /dev/подключеннный_снапшот > backup.lvm , меня интересует бекап именно инкремента МЕЖДУ снапшотами, а не всех данных, доступных в снапшоте.

UPD: https://github.com/mpalmer/lvmsync вроде это решает мой вопрос.

Приветствую. Есть ubuntu Server и приложение на нём, каким образом можно промониторить или логировать его сетевую активность (особенно конечно интереснен исходящий траффик). вопрос в том, как это сделать, в условиях, когда сама программа к специфическому порту не привязана, то есть мониторить по порту- бессмысленно? понимаю что нужен сниффер, но с наскоку найти его с возможностью детализации по приложениям не нашел, посоветуйте пожалуйста

Есть vps
1 процесорный - 1Гц
1 гб - ram
debian 7

И есть физический камп в локалке
2 процесора по 1.6Гц
2 Гб - ram
ubuntu 12.4

Взял сайт с vps пренес на локальный сервак в итоге сайт открывается на локальном 1.8s а на vps 980ms

в чем может быть причина что на локальном серваке медлене работает?

Сразу оговорюсь, что крайне слабо понимаю работу DNSCrypt и iptables. Поэтому, если можно, не кидайтесь слишком больно :)

Ситуация 1:
Запущен dnscrypt-proxy.

The default DNS resolver for dnscrypt-proxy.service is dnscrypt.eu-nl

Существует подключение к VPN через NetworkManager.
Всё работает.

Ситуация 2:
Добавляем следующие правила для iptables (украденные из Интернета):

*filter
:INPUT DROP [145:11482]
:FORWARD DROP [0:0]
:OUTPUT DROP [18518:3426455]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d XXX.XXX.XXX.XXX/32 -p tcp -j ACCEPT
-A OUTPUT -d XXX.XXX.XXX.XXX/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -o tun1 -j ACCEPT
COMMIT