LINUX.ORG.RU

Сообщения job_maker

 

Где должен быть сертификат для фронта и бекенда для работы https - https

Коллеги, добрый день!

Изучаю варианты работы фронта nginx для ssl.

Есть желание добиться работы https фронта с https бекендом (например, apache).

Непонятно следующее:

  1. можно ли разместить сертификат только на бекенде, а на фронте не размещать?
  2. если размещать сертификат на фронте и на бекенде то как запрашивать его через certbot? Ведь он выдаст ошибку во второй раз на тот же домен.
  3. если включить SSL на фронте, но не указать сертификат то получим ошибку «укажите сертификат». То есть получение сертификата с бекенда невозможно?

Пример конфигурации nginx:

( читать дальше... )

Кто как вообще организует распределенные веб приложения для работы с https?

UPDATE1 Чтобы снять вопросы, распишу конкретную ситуацию:

  1. Есть VPS с публичным IPv4, она выполняет роль публичного веб-сервера на nginx
  2. Есть сервера за NAT, например, на апач (чтобы проще было, бывали и на nodejs, но тут не важно)
  3. Запросы http на публичный и проксирование на http закрытый сервер идут отлично. Реверс-прокси типа http-http работает
  4. Запросы https - http тоже отлично работают. Это когда мы сертификат выкатываем на фронт, а в proxy_pass шлем на http порт сервера за NAT.

Исследование https - https начал после развертывания простейшего сайта на вордпресс, который ранее работал на https сервере напрямую (без проксирования и прочего). Просто так он не встает, требуются манипуляции с базой данных и правки wp_config. Обнаружил множество похожих ситуаций и вопросы без ответа, веб-приложения разные при этом. Основной вопрос - как правильно? https - https правильно или не нужно? Если правильно, то как выкатывать сертификат, руками оба раза на сервер фронта и сервер бека? Руками же не очень профессионально кажется)

 , , ,

job_maker
()

nginx трансляция потоков и одновременная запись

Приветствую, коллеги!

Проблема следующая. Есть nginx сервер, который принимает видео-потоки. Далее их можно получить с него по rtmp, либо hls на веб. Когда попытались записать, ничего не вышло. Он либо дает hls, либо запись. При этом в некоторых случаях rtmp перестает работать. Прилагаю последний вариант конфига. Есть подозрение что ffmpeg не совсем делает правильно кодирование:

server {
    listen 1935;
    publish_time_fix off;
    timeout 2s;
    meta copy;
    allow play all;
    #chunk_size 512;

    #interleave off;

    wait_key off;
    wait_video off;

    idle_streams on;

    publish_notify on;
    play_restart on;


    application live {
        live on;

# record all;
# record_unique off;
# record_path /mnt/jet;
# record_suffix _%d%m%Y_%H%M%S.flv;
# record_max_size 10M;

        hls on;
        hls_nested on;
        hls_path /srv/video/hls;
        hls_fragment 3s;
        exec_static ffmpeg -i rtmp://localhost:1935/live/$name -hwaccel cuvid -c:v h264_cuvid -c:v h264_nvenc -preset slow -f flv rtmp://localhost:1935/record/$name;
		# hls_playlist_length 9s;
    }

    application record {
        live on;
        record all;
        record_path /path;
        record_unique off;
        record_suffix _%d%m%Y_%H%M%S.flv;
        record_max_size 10M;
   }

}

 , ,

job_maker
()

Нарезка видеопотока на кадры с GPU ускорением в realtime

Всем привет!

Есть проблема задействования GPU при нарезке видеопотоков на кадры.
Сейчас используется OpenCV, но без GPU ест много CPU. Собрать с CUDA10 не получилось, вырезали поддержку.

ffmpeg дает большую задержку при формировании потока кадров.

Кто-то использовал иные решения? Есть варианты?

 , ,

job_maker
()

кластеризация nginx rtmp с балансировкой

Здравствуйте, коллеги!

Собираю кластер на nginx с перекодировкой в rtmp.
Требуется забирать по заранее известному списку видеопотоки снаружи кластера.
Столкнулся с тем, что непонятно как можно список Ip адресов источников кидать в кластер и балансировать.
Кто-то пробовал делать что-то подобное?

P.S. кластеризация с произвольными запросами снаружи к nginx и балансировкой понятна - keepalive (VRRP) и LVS.

 , ,

job_maker
()

Инвентаризация сетей за NAT с помощью fusioninventory/ocs

Все привет!

Есть необходимость сделать систему инвентаризации железа и софта. Одно из популярных решений GLPI+fusioninventory.

Вопрос: как им мониторить за nat? Если есть несколько сетей за nat, к примеру. Есть ли какой-то аналог zabbix proxy, когда один агент собирает информацию с многих внутри сети и далее отправляет на сервер? Или это как-то проще сделано? fusioninventory agent внутри NAT снаружи GLPI не увидел.

Может есть альтернатива?

 ,

job_maker
()

Debian9+strongswan+xl2tpd - не подключается L2TP

Всем привет!

Развернул strongswan, поднял за NAT подключение с Debian 9 на mikrotik. IPSEC подключение прошло успешно (по логу mikrotik)

Поставил xl2tpd. 1. Не получилось подключиться по манам в нете - echo «c имяподключения» > /var/run/xl2tpd/l2tdp-control либо нет доступа (из под sudo) либо нет реакции если из под root 2. Добавляю в конфиг xl2tpd.conf - redial=yes, autodial=yes

В локах микротик появляется запись: first L2TP packet received from ip.ip.ip.ip

Коллеги, как его подключать? Сервис рестартовал

P.S. Без ipsec в логах микротик было про требование ipsec при подключении чистым xl2tpd, что правильно.

ipsec.conf

conn vpn
        authby = secret
        auto = add
        keyexchange = ikev1
        type = transport
        left = %any
        leftprotoport = 17/1701
        right = mikrotik
        rightprotoport = 17/1701
        ike = aes128-sha1-modp2048
        ikelifetime = 8h
        esp = aes128-sha1-modp2048

options.l2tpd

ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name username
password password

xl2tpd.conf

[lac l2vpn]
lns = mikrotik
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
length bit = yes
;redial = yes
autodial = yes
name=username
require authentication = no

 , , ,

job_maker
()

Postfix+amavis+spamassassin+clamav - исходящие письма задваиваются некоторым получателям

Всем привет!

Исходящие письма приходят получателям 2 раза, промежуток несколько секунд. Это происходит не всегда, в чем и проблема. В приложенном логе отправлено 3 письма, пришло 6. Каждое пришло 2 раза. Проблема стала проявляться после установки amavis+spamassassin+clamav. В логе вижу что письмо сначала уходит напрямую, потом через amavis еще раз. Но почему только иногда? Какой конфиг показать сначала? Вот лог:

May 31 00:33:09 mail postfix/smtp[18473]: 0735418C522F: to=<получатель>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=5, delay=1.2, delays=0.44/0.53/0/0.25, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 2698B18C4FD6)
May 31 00:33:17 mail postfix/smtp[16515]: 2698B18C4FD6: to=<получатель>, relay=mail.oaookb.ru[212.5.185.162]:25, delay=7.9, delays=0.07/0/0.39/7.4, dsn=2.0.0, status=sent (250 OK id=1dFolJ-0003lw-Kq)
May 31 00:33:17 mail amavis[18477]: (18477-05) Passed CLEAN {RelayedOutbound}, LOCAL [Ip exchange]:13639 [Ip exchange] <имя@домен.ру исходящий> -> <получатель>, Queue-ID: F3B0418C527C, Message-ID: <83ab394d-b736-4198-8cd0-31bfcb4563f1@внутреннийexchange.ru>, mail_id: tfOJeC4Eotap, Hits: -3, size: 153411, queued_as: F22B518C5299, 236 ms
May 31 00:33:17 mail postfix/smtp[18455]: F3B0418C527C: to=<получатель>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.1, delays=0.45/0/1.4/0.24, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as F22B518C5299)
May 31 00:33:20 mail postfix/smtp[17188]: F22B518C5299: to=<получатель>, relay=mail.oaookb.ru[212.5.185.162]:25, delay=3, delays=0.06/0/0.3/2.6, dsn=2.0.0, status=sent (250 OK id=1dFolR-0003m3-Ca)
May 31 10:41:16 mail amavis[5532]: (05532-07-4) Passed CLEAN {RelayedOutbound}, LOCAL [93.174.78.114]:51129 [93.174.78.114] <имя@исходящийдомен.ру> -> <получатель>, Queue-ID: F120B18C5237, Message-ID: <7c2e183f-4906-4408-b2f2-8cb7b9d5baea@внутренний exchange>, mail_id: aNKR4Ei1zp4c, Hits: -3, size: 154005, queued_as: 93BE718C5256, 239 ms
May 31 10:41:16 mail postfix/smtp[5535]: F120B18C5237: to=<получатель>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=4, delay=0.7, delays=0.45/0/0/0.25, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 93BE718C5256)
May 31 10:41:21 mail amavis[5532]: (05532-09-2) Passed CLEAN {RelayedOutbound}, LOCAL [ip локального exchange]:51129 [ip локального exchange] <имя@исходящийдомен.ру> -> <получатель>, Queue-ID: 8C81C18C5279, Message-ID: <3e2d7e2f-f694-463c-99a6-f525b5d40ca6@exchenge-isbd.corp.isbd.ru>, mail_id: 0Q5uhL5l-HAs, Hits: -3, size: 154005, queued_as: 3481918C5285, 270 ms
May 31 10:41:21 mail postfix/smtp[5545]: 8C81C18C5279: to=<получатель>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=2, delay=0.73, delays=0.44/0/0/0.28, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 3481918C5285)
May 31 10:41:24 mail postfix/smtp[4582]: 93BE718C5256: to=<получатель>, relay=mail.oaookb.ru[212.5.185.162]:25, delay=8, delays=0.06/0/0.63/7.3, dsn=2.0.0, status=sent (250 OK id=1dFyFp-0005Pw-AV)
May 31 10:41:28 mail postfix/smtp[2709]: 3481918C5285: to=<получатель>, relay=mail.oaookb.ru[212.5.185.162]:25, delay=7.4, delays=0.06/0/0.3/7.1, dsn=2.0.0, status=sent (250 OK id=1dFyFt-0005Qo-S4)
May 31 13:42:26 mail amavis[15461]: (15461-17) Passed CLEAN {RelayedOutbound}, LOCAL [ip локального exchange]:9538 [ip локального exchange] <исходящий@домен.ру> -> <получатель>, Queue-ID: CB59718C52C3, Message-ID: <7649ff78-9505-46df-9c66-a5118291785d@внутренний exchange>, mail_id: qyg1FM7a7ZN4, Hits: -3, size: 408806, queued_as: 0B03318C5297, 290 ms
May 31 13:42:26 mail postfix/smtp[15499]: CB59718C52C3: to=<получатель>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.3, delays=1/0/0/0.29, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0B03318C5297)
May 31 13:42:34 mail postfix/smtp[13124]: 0B03318C5297: to=<получатель>, relay=mail.oaookb.ru[212.5.185.162]:25, delay=8.5, delays=0.07/0/0.51/7.9, dsn=2.0.0, status=sent (250 OK id=1dG158-0001iG-LC)
May 31 13:42:35 mail amavis[15487]: (15487-15) Passed CLEAN {RelayedOutbound}, LOCAL [ip локального exchange]:9538 [ip локального exchange] <исходящий@домен.ру> -> <получатель>, Queue-ID: 6E43F18C4F95, Message-ID: <829b0a25-d818-4a14-a161-8684520400f8@внутренний exchange>, mail_id: LtpfN5YXwnkp, Hits: -3, size: 408806, queued_as: A6B8118C52D1, 294 ms
May 31 13:42:35 mail postfix/smtp[15499]: 6E43F18C4F95: to=<получатель>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.3, delays=1/0/0.01/0.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as A6B8118C52D1)
May 31 13:42:39 mail postfix/smtp[14241]: A6B8118C52D1: to=<получатель>, relay=mail.oaookb.ru[212.5.185.162]:25, delay=3.8, delays=0.07/0/0.3/3.4, dsn=2.0.0, status=sent (250 OK id=1dG15I-0001k6-2l)
May 31 14:07:35 mail postfix/qmgr[28443]: 2F11B18C483B: from=<получатель>, size=16565, nrcpt=1 (queue active)
May 31 14:07:38 mail postfix/qmgr[28443]: 355DA18C533B: from=<получатель>, size=16999, nrcpt=1 (queue active)
May 31 14:07:38 mail amavis[17718]: (17718-09) Passed CLEAN {RelayedInbound}, [212.5.185.162]:46614 [212.5.185.162] <получатель> -> <исходящий@домен.ру>, Queue-ID: 2F11B18C483B, Message-ID: <592EA3F3.3080006@oaookb.ru>, mail_id: 9AxoiN0thFQF, Hits: -0.817, size: 16516, queued_as: 355DA18C533B, 2919 ms
Jun  1 08:39:35 mail amavis[19270]: (19270-12) Passed CLEAN {RelayedOutbound}, LOCAL [ip локального exchange]:43994 [ip локального exchange] <ten@isbd.ru> -> <e.panina@oaookb.ru>, Queue-ID: 24BDE18C506D, Message-ID: <B250BF6323F67B4B9C95AFAEB0693B3B069984D2@локальный exchange>, mail_id: IW82l3ZgXcqu, Hits: -3, size: 85266, queued_as: BC2DE18C509C, 260 ms

 , , ,

job_maker
()

iptables и правила снаружи внутрь на 25 порт

Всем привет! Есть маршрутизатор ubuntu с 3 подсетями (виртуальная машина). 1) 10.0.2.15 (интерфейс NAT + проброс 25 порта снаружи на 3333 внутрь) 2) 10.10.10.0 (internal network)

Нужно: Перенаправить трафик с 10.0.2.15:3333 на 10.10.10.2:25

Делаю: iptables -t nat -A PREROUTING -p tcp -d 10.0.2.15 --dport 3333 -j DNAT --to-destination 10.10.10.2:25

Правила: MASQUERADE all — anywhere anywhere MASQUERADE all — 10.10.10.0/24 10.0.2.0/24

FORWARD делал, но все равно коннекта нет на 25 порт снаружи. Пробросы на виртуалке работают (проверил на других сервиса), но не могу отловить пакеты на порт 3333 через tcpdump. и письма посылал - не получается. А вот когда проброс был с 25 на 25, то были входящие пакеты.

 , , ,

job_maker
()

Статические маршруты через роутер тормозят, напрямую - все летает

Всем привет!

Есть микротик и его подсеть. Пусть 10.10.10.0/24 В этой сети есть сервер 10.10.10.10 На сервере есть ВПН туннель с подсетью 192.168.32.0

Когда на ПК в сети 10.10.10.0 задаешь маршрут до подсети 192.168.32.0 - сервисы работают быстро.

Когда на микротике задаешь маршрут для всех ПК (такой же) - сервисы в подсети 192.168.32.0 тормозят. Что за чудеса? Не понимаю даже откуда копать начинать.

 , ,

job_maker
()

postfix как ограничить поток отправляемых писем или пропускную способность канала

Всем привет!

есть postfix на VPS. Ресурсов много, но стало забивать канал письмами при отправке. Можно ли как-то ограничить скорость отправляемых писем (допустим в час) или в % задать использование канала до 80% ? Кто-то сталкивался с аналогичной ситуацией? Хостинг встает сразу при рассылках :(

 , , ,

job_maker
()

Маршрутизация из локалки к впн клиенту

Всем привет!

Есть LAN - 192.168.1.0, с шлюзом в интернет 192.168.1.1 Есть сервер с Debian в локалке, с адресом 192.168.1.17 На debian поднят vpn канал в подсеть 10.178.0.0

Пингую ПК в 10.178.0.101 с debian - пингуется. Пингую этот же ПК из подсети 192.168.1.0 - не пингуется.

На маршрутизаторе 192.168.1.0 маршрут поднять нельзя. Поднимаю маршрут на ПК в 192.168.1.0 - route add 10.178.0.0 mask 255.255.128.0 192.168.1.17 - не пингуется!

Может еще что-то забыл?

 eth0      Link encap:Ethernet  
          inet addr:192.168.1.17  Bcast:192.168.1.255  Mask:255.255.255.0
         
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.176.1.122  P-t-P:10.176.1.122  Mask:255.255.255.255
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface 
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0         0 eth0 
10.178.0.0      0.0.0.0         255.255.128.0   U         0 0          0 tun0 
10.182.4.0      0.0.0.0         255.255.252.0   U         0 0          0 tun0 
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0 
212.45.1.10     192.168.1.1     255.255.255.255 UGH       0 0          0 eth0 

 , , , ,

job_maker
()

postfix, переадресация на другой сервер, который обслуживает тот же домен, нескольких ящиков

Всем привет!

Настроил уже не первый почтовый сервер и столкнулся с проблемой, с ходу не понимаю как решить. Есть postfix, который обслуживает domain.ru и есть еще один почтовый сервер, который обслуживает domain.ru. Если отправлять на nekto@domain.ru с postfix, то postfix пытается найти путь к этому ящику у себя, а его там может не быть, так как пока через него идет только часть почты (миграция плавная). Как мне с postfix сделать переадресацию на некоторые ящики вида nekto@domain.ru (именно некоторые), на другой почтовый сервер. Знаю только как глобально переадресовать весь домен, либо на ящик на другом домене.

Может у кого-то есть идеи?

 

job_maker
()

postfix правила транспорта на 2 почтовых сервера (2 домена) за 1 IP

Всем привет!

Есть внутренняя сеть за NAT. Там стоит 1 почтовый сервер. На postfix в правилах транспорта указан домен1 и ip (внешний IP маршрутизатора) Если я добавлю 1 почтовый сервер внутри внутренней сети для домен2 и в правилах транспорта postfix сделаю 2 запись на домен2, но тот же ip (внешний адрес маршрутизатора) - оно взлетит? Или лучше переадресацией портов их развести?

 

job_maker
()

postfix, header_checks и долбаные NDR

Всем привет! Есть сервер linux с postfix, которые обслуживает domain.ru и domain2.ru.

Включен header_checks и настроены правила:

/^From: *Delivery System*/ REDIRECT ndr@domain.ru

/^Subject: Не удается доставить/ REDIRECT ndr@domain.ru

/^From: Mail Delivery System/ REDIRECT ndr@domain.ru

/^From: Mail Delivery Subsystem/ REDIRECT ndr@domain.ru

/^From: mailer-daemon*/ REDIRECT ndr@domain.ru

/^From: postmaster@*/ REDIRECT ndr@domain.ru

/^From: MAILER-DAEMON*/ REDIRECT ndr@domain.ru

/^From: Postmaster@*/ REDIRECT ndr@domain.ru

почтовый сервер называется domain2.ru и письма вида MAILER-DAEMON@domain2.ru пропускаются фильтром. А вот домены, кроме собственных корректно обрабатываются. Почему так?!!! И как их перенаправлять?

 ,

job_maker
()

RSS подписка на новые темы