LINUX.ORG.RU

Сообщения kresh1

 

samba AD_squid_domain_group_ tcp_outgoing_address

Форум — Admin

Здравствуйте, господа. есть стенд

debian 13 kdc, Squid6

настроена авторизация в домене через krb5.keytab

Squid ом пользователи берутся

external_acl_type часть конфига Squid

external_acl_type internet-full_krb children=10 cache=10 grace=15 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g internet-full@DOMAIN.RU

external_acl_type internet-domain_krb children=10 cache=10 grace=15 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g internet-domain@DOMAIN.RU

acl AD_users proxy_auth REQUIRED 56 acl AD_FastInet external internet-full_krb 57 acl AD_RegularInet external internet-domain_krb

http_access allow AD_FastInet

64 http_access allow AD_RegularInet

65 http_access deny AD_users

66 http_access deny all

tcp_outgoing_address 192.168.0.100 AD_FastInet !to_localhost

tcp_outgoing_address 10.43.142.4 AD_RegularInet

логи

kid1| WARNING: inet_ful_users ACL is used in context without an ALE state. Assuming mismatch. current master transaction: master56 2025/10/24 21:46:46 kid1| WARNING: inet_users ACL is used in context without an ALE state. Assuming mismatch.

Как я понимаю последнии строки в конфиге не отрабатывают

tcp_outgoing_address 192.168.0.100 AD_FastInet !to_localhost

tcp_outgoing_address 10.43.142.4 AD_RegularInet

Данные acl относятся к разряду медненых

AD_FastInet

AD_RegularInet

и с ними правило tcp_outgoing_address рабатывать не будет. Чем и как заменить данную acl чтобы одна группа домена шла через один сетевой интерфейс, а вторая группа через другой?

 ,

kresh1
()
2 комментария

Объединение локальнойсет или доп канал связи

Форум — General

Есть локальная сеть в двух территориально разделенных помещениях с выделенным каналом связи между ними (от провайдера). домен, диапазон адресов из сети 192.168.1.0/24, раздается по dhcp на оба помещения (корпуса). Есть 1 постоянный ip адрес то провайдера. Проблема. Иногда по тем или иным причинам падает канал связи и в оном из корпусов падает все,то, что раздается по dhcp. Задача продублировать (постоянный) канал связи между корпусами безболезненно для пользователей. Рассматривался вариант pfsense openvpn (peer to peer), но удалось настроить только если ip дреса разные, например в 1 корпусе 192.168.1.0/24, а во втором 192.168.2.0/24 т.е. в одном случае 

 openvpn server
IPv4 Remote network(s) 192.168.1.0/24
в другом 
 openvpn client
IPv4 Remote network(s) 192.168.2.0/24
При таком раскладе все работает, но нужно, чтобы на обоих машинах был 1 диапазон ip адресов 192.168.1.0/24 при такой же схеме пингуется wan интерфей соседней машины и все. доступа до ресурсов нет.

 ,

kresh1
()
4 комментария

calculate

Форум — General

Подскажите шаблон для изменения стартовой страницы, поисковой системы в веб браузере для клиентов Xfce Education? На офф.сайте есть версия для kde но в моем случае не завелось.(данный вид шаблона я считаю не поддерживается) Еще нужно автоматически на все клиенты в браузер например firefox установить сертификат? подскажите как это сделать. хотелось бы по шагам, спасибо!

 ,

kresh1
()

ubuntu18.4 netplan

Форум — General

есть 

network:
    ethernets:
        ens18:
            addresses:
            - 192.168.0.13/24
            - 10.10.10.200/24
            dhcp4: false
            gateway4: 192.168.0.1
            nameservers:
                addresses:
                - 192.168.0.1
                search: []
    version: 2
вывод 
ip addr | grep inet
    inet 192.168.0.13/24 brd 192.168.0.255 
    inet 10.10.10.200/24 brd 10.10.10.255
как мне повесить второй ip на ens18:1? (алиасом). как в debian 8 
iface eth0:1 inet static
или как настроить сеть через 
cat /etc/network/interfaces 
# ifupdown has been replaced by netplan(5) on this system.  See
# /etc/netplan for current configuration.
# To re-enable ifupdown on this system, you can run:
#    sudo apt install ifupdo

 , , ,

kresh1
()
5 комментариев

нужен совет по samba cluster

Форум — Admin

есть

samba4 ad dc, файловый сервер samba
. это все географически расположено в одном месте. а вот в конторе 2 корпуса и если выключается свет в том корпусе где стоит железо, то все отпадывает и во втором. 
samba ad dc
решается подключением второго samba ad dc, а вот с файловым сервером все сложнее. вопрос как обыграть его?? именно файловый сервер для виндовых машин.

 ,

kresh1
()
1 комментарий

squid, iptables, openmeetings

Форум — Admin

есть 

 debian gw0 squid eth0(lan) eth0:1(wan)

iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 554K packets, 32M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      11M 9552M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2       61  3996 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
3       94  7770 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
4        9   592 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
5    94228 7249K ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
6        2   112 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
7     6017  311K ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 194K packets, 12M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       15  1140 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 12M packets, 9793M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:143
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995
3      210 12555 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
4     192K   14M ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
В squid открыты порты 
acl Safe_ports port 1025-65535
для работы openmeetings(находится в локальной сети) нужно открыть порты 5080,1935 в squid и на роутере -открыто. Если из локальной сети обратится по доменному имени на openmeetings.origin.ru:5080, то сайт открывается, но когда входишь в профель на сайте, он начинается грузится и грузится не загружается. Я думаю, что трафик от клиента в локальной сети заворачивается на squid port 3128-> уходит на сайn, но обратно вернуться не может доходит до шлюза. на gw при обращении клиента к сайту из локалки в инет 
tcpdump port 5080
14:53:36.637310 IP > 192.168.0.10.41540: Flags [.], ack 1013755, win 1582, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.638708 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1016651, win 1817, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639405 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1019547, win 1943, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639412 .5080 > 192.168.0.10.41540: Flags [.], ack 1022443, win 1943, options [nop,nop,TS val 4892264 ecr 20201615], length 0
14:53:36.639415 IP 5080 > 192.168.0.10.41540: Flags [.], ack 1025339, win 1943, options [nop,nop,TS val 4892265 ecr 20201615], length 0
14:53:36.639417 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1028235, win 1943, options [nop,nop,TS val 4892265 ecr 20201615], length 0
14:53:36.639419 .5080 > 192.168.0.10.41540: Flags [.], ack 1031131, win 1943, options [nop,nop,TS val 4892265 ecr 20201616], length 0
14:53:36.639421 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1034027, win 1943, options [nop,nop,TS val 4892265 ecr 20201616], length 0
14:53:36.639423 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1036923, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.639608 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1039819, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.639899 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1042715, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.640145 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1045611, win 1943, options [nop,nop,TS val 4892266 ecr 20201616], length 0
14:53:36.640411 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1048507, win 1943, options [nop,nop,TS val 4892267 ecr 20201616], length 0
14:53:36.640524 IP .5080 > 192.168.0.10.41540: Flags [.], ack 1049530, win 1946, options [nop,nop,TS val 4892267 ecr 20201616], length 0
Пакеты весят «0» напишите, пожалуйста в чем косяк и как его решить?

 , ,

kresh1
()
11 комментариев

ufw proftp

Форум — Admin
ufw default deny incoming
ufw default allow outgoing

есть samba подключена через профиль 

cat  /etc/ufw/applications.d/samba
[Samba]
title=Samba 
description=Samba
ports=53|88|135/tcp|137/udp|138/udp|139/tcp|389|445/tcp|464|636/tcp|1024:5000/tcp|3268/tcp|3269/tcp|5353
работает так 
ufw sudo ufw allow from 192.168.192.1 to any app samba
есть 
proftp
cat /etc/ufw/applications.d/proftp1
[proftp1]
title=proftp1 
description=proftp1
ports=21/tcp|4000:7000
при выполнении команды 
ufw sudo ufw allow from 192.168.192.1 to any app proftp1
выходит ошибка 
ERROR: не найден профиль соответствующий "proftp1"
1.вопрос, что не так? при выполнении команды 
ufw allow from 192.168.192.1 to any port 4000:7000/tcp
в разной вариации ошибка интервал портов должен быть численным.

2.второй вопрос как правильно указать данные? думаю, что дело в синтаксисе.

мне нужно указать, что к proftp может подключаться, только один ip адрес

 ,

kresh1
()
2 комментария

ovirt4.2

Форум — Admin

есть 

centos7 server,ovirt4.2.ovirt-engine
при добавлении нового хоста ошибка 
Host ovirtcli0 installation failed. Command returned failure code 1 during SSH session 'root@10.168.0.125'.
лог 
cat /var/log/ovirt-engine/host-deploy/ovirt-host-deploy-20181101132512-.log  | grep ERROR
 ERROR otopi.context context._executeMethod:152 Failed to execute stage 'Setup validation': Hardware does not support virtualization
 DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'False'
 DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'False'
DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'True'
DEBUG otopi.context context.dumpEnvironment:869 ENV BASE/error=bool:'True'
 DEBUG otopi.plugins.otopi.dialog.machine dialog.__logString:204 DIALOG:RECEIVE    env-get -k BASE/error
 DEBUG otopi.plugins.otopi.dialog.machine dialog.__logString:204 DIALOG:SEND       ***D:VALUE BASE/error=bool:True
по ssh под rootом на host зайти могу пробовал host ввести в кластер из vb или на рабочем железе с поддержкой виртуализации, в чем может быть дело?

 ,

kresh1
()
8 комментариев

Помогите советом nexcloud onlyoffice

Форум — General

Подскажите, можно ли за пилить nexcloud и onlyoffice на одной host машине с апачем? а то у меня не получается). если поставить nexcloud то не работает onlyoffice и наоборот. работает на разных хостах.

 ,

kresh1
()
5 комментариев

openvpn debian

Форум — Admin

клиент цепляется к серверу и дальше никуда, нужно пробросить маршрут в 40 подсеть.

система 

debian 9
network в интернет ens18, в сеть ens18:0 
allow-hotplug ens18
iface ens18 inet static
        address 192.168.0.35
        netmask 255.255.255.0
        gateway 192.168.0.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.0.1


iface ens18:0  inet static
        address 192.168.40.35
        netmask 255.255.255.0
auto ens18:0
последний конфиг 
cat /etc/openvpn/server.conf
local 192.168.0.35
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.40.0 255.255.255.0"
client-config-dir ccd
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 9
explicit-exit-notify 1

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens18:0 -j MASQUERADE

sysctl -p
net.ipv4.ip_forward = 1

cat /etc/openvpn/ccd/client1

на клиенте 

client
dev tun
proto udp
remote XX.XX.XX.XX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client1.crt"
key "C:\\Program Files\\OpenVPN\\config\\client1.key"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
auth-nocache
verb 9
cipher AES-256-CBC
mute 20
comp-lzo

Лог на клиенте 

Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {E3CE95EA-2B8E-4A68-AD1B-89B9C5FE84C5} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Mar 13 12:44:02 2018 Successful ARP Flush on interface [12] {E3CE95EA-2B8E-4A68-AD1B-89B9C5FE84C5}
Tue Mar 13 12:44:02 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Mar 13 12:44:02 2018 MANAGEMENT: >STATE:1520934242,ASSIGN_IP,,10.8.0.6,,,,
Tue Mar 13 12:44:07 2018 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Mar 13 12:44:07 2018 MANAGEMENT: >STATE:1520934247,ADD_ROUTES,,,,,,
Tue Mar 13 12:44:07 2018 C:\Windows\system32\route.exe ADD 192.168.40.0 MASK 255.255.255.0 10.8.0.5
Tue Mar 13 12:44:07 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Mar 13 12:44:07 2018 Route addition via IPAPI succeeded [adaptive]
Tue Mar 13 12:44:07 2018 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
Tue Mar 13 12:44:07 2018 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Mar 13 12:44:07 2018 Route addition via IPAPI succeeded [adaptive]
Tue Mar 13 12:44:07 2018 Initialization Sequence Completed
при добавлении в client1 маршрута на 40 подсеть и ip адреса 192.168.40.2-результата не дало/

 ,

kresh1
()
17 комментариев

centos7 xrdp sound

Форум — Admin

host vbs система 

centos7 kde
установлен xrdp на хосте есть звук 
Built-in Audio Analog Stereo
на клиенте звука нет. но звуковая карта в терминале определяется 
Dummy Output

alsamixer v1.1.3
в миксере по дефолту стоит 
PulseAudio
, как пропихнуть звук на клиент.клиент виндовый.

 , , ,

kresh1
()
11 комментариев

iptables

Форум — Admin

debian 8 gw0 iptables 

#!/bin/bash
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -F -t raw

#iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT


iptables -A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 995 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT



iptables -A FORWARD -s 192.168.40.0/24 ! -d 192.168.40.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.40.0/24 ! -d 192.168.40.0/24 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.40.0/24 -o eth0:1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.40.0/24 -o eth2 -j MASQUERADE


#inet_ertel - full inet
#inet_rt    - need mark and output (second route table)

помогите пробросить 1)порт из локальной машины с ip 192.168.40.80:123 в инет 2) порт из локальной машины с ip 192.168.40.80:123 в инет на хост 123.123.123.123 и братно

 ,

kresh1
()
15 комментариев

как удалить под домен

Форум — General

есть домен domain.com случайно был создан под домен с таким же название получается 

domain.com.domain.com
Из оснастки не удается удалить вторую часть. из консоли тоже. пример есть комп tv0, нормальная запись tv0.domain.com. эта запись дублируется в под домен и получается tv0.domain.com.domain.com

 , ,

kresh1
()
1 комментарий

Помогите настроить proxmox claster

Форум — General

есть два сервера proxmox, оба сервера имеют 

Kernel VersionLinux 4.4.49-1-pve #1 SMP PVE 4.4.49-86
Создан кластер noda0,1.

noda1 отпадывает от кластера через пару минут 

Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
Apr 07 13:17:50 noda1 corosync[1289]: [TOTEM ] FAILED TO RECEIVE
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: members: 2/1230
Apr 07 13:17:51 noda1 pmxcfs[1230]: [status] notice: members: 2/1230
Apr 07 13:17:51 noda1 pmxcfs[1230]: [status] notice: node lost quorum
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] crit: received write while not quorate - trigger resync
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] crit: leaving CPG group
Apr 07 13:17:51 noda1 pve-ha-lrm[1348]: unable to write lrm status file - unable to open file '/etc/pve/nodes/noda1/lrm_status.tmp.1348' - Отказано в доступе
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: start cluster connection
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: members: 2/1230
Apr 07 13:17:51 noda1 pmxcfs[1230]: [dcdb] notice: all data is up to date
Apr 07 13:18:00 noda1 pvedaemon[1919]: stop VM 200: UPID:noda1:0000077F:00007911:58E76758:qmstop:200:root@pam:
Apr 07 13:18:00 noda1 pvedaemon[1329]: <root@pam> starting task UPID:noda1:0000077F:00007911:58E76758:qmstop:200:root@pam:
Apr 07 13:18:00 noda1 kernel: vmbr0: port 2(tap200i0) entered disabled state
на первой ноде 
systemctl status corosync.service
[MAIN  ] Completed service synchronization, ready to provide service.
апр 07 13:26:18 noda0 corosync[1244]: [TOTEM ] A new membership (192.168.40.250:13004) was formed. Members
апр 07 13:26:18 noda0 corosync[1244]: [QUORUM] Members[1]: 1
апр 07 13:26:18 noda0 corosync[1244]: [MAIN  ] Completed service synchronization, ready to provide service.
апр 07 13:26:20 noda0 corosync[1244]: [TOTEM ] A new membership (192.168.40.250:13008) was formed. Members
апр 07 13:26:20 noda0 corosync[1244]: [QUORUM] Members[1]: 1
апр 07 13:26:20 noda0 corosync[1244]: [MAIN  ] Completed service synchronization, ready to provide service.
апр 07 13:26:21 noda0 corosync[1244]: [TOTEM ] A new membership (192.168.40.250:13012) was formed. Members
апр 07 13:26:21 noda0 corosync[1244]: [QUORUM] Members[1]: 1

на второй ноде 

systemctl status corosync.serviceапр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dc
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] Retransmit List: 4dd
апр 07 13:17:50 noda1 corosync[1289]: [TOTEM ] FAILED TO RECEIVE

на первой ноде 

pvecm status
Quorum information
------------------
Date:             Fri Apr  7 13:28:37 2017
Quorum provider:  corosync_votequorum
Nodes:            1
Node ID:          0x00000001
Ring ID:          1/13388
Quorate:          No

Votequorum information
----------------------
Expected votes:   2
Highest expected: 2
Total votes:      1
Quorum:           2 Activity blocked
Flags:

Membership information
----------------------
    Nodeid      Votes Name
0x00000001          1 192.168.40.250 (local)

 pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         1          1 noda0 (local)

на второй ноде 

 pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         2          1 noda1 (local)
root@noda1:/home/kresh#  pvecm status
Quorum information
------------------
Date:             Fri Apr  7 13:30:00 2017
Quorum provider:  corosync_votequorum
Nodes:            1
Node ID:          0x00000002
Ring ID:          2/11580
Quorate:          No

Votequorum information
----------------------
Expected votes:   2
Highest expected: 2
Total votes:      1
Quorum:           2 Activity blocked
Flags:

Membership information
----------------------
    Nodeid      Votes Name
0x00000002          1 192.168.40.240 (local)



 pvecm nodes

Membership information
----------------------
    Nodeid      Votes Name
         2          1 noda1 (local)

помогите настроить

 

kresh1
()
7 комментариев

PVE Manager Versionpve-manager 4.4-13

Форум — General

Стоит proxmox 

Kernel VersionLinux 4.4.49-1-pve #1 SMP PVE 4.4.49-86 PVE Manager Versionpve-manager/4.4-13/7ea56165
Ставил по оф.мануалу 
https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Jessie

Все работает, при попытке загрузить образ iso с копма выдает ошибку 

error 0 occurred while receiving the document


tail -f /var/log/syslog
interval/delta/delay/jitter/drift 2048s/-0.039s/0.027s/0.016s/-1ppm
Apr  3 12:00:20 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca
Apr  3 12:00:20 noda1 pvedaemon[1166]: <root@pam> successful auth for user 'root@pam'
Apr  3 12:02:09 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca
Apr  3 12:02:10 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca
Apr  3 12:02:11 noda1 pveproxy[3079]: problem with client ; ssl3_read_bytes: tlsv1 alert unknown ca

Загрузка же шаблонов работает нормально. кто подскажет что не так

 

kresh1
()
10 комментариев

squid3 разграничение по двум провайдерам.

Форум — General

Добрый день! Есть 

gw0(debian8.2 squid3)
Есть 
dc0(debian8.2 samba4.2)
В dc0 АД есть две группы 
FastInet
SlowInet
В squid3 настроена 
/usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g FastInet@Domain
/usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g SlowInet@Domain
На gw0 
Wan eth1(192.168.0.0/24 gateway192.168.0.1 ) конец от первого провайдера(ртелеком)
Wan eth2(192.168.0.1/24 gateway192.168.1.1) конец от второго  провайдера (дом.ру)
Lan eth0(192.168.2.1) локальная сеть
Как заставить 
FastInet@Domain ходить в интернет через eth1 (ртелеком)
а 
SlowInet@Domain ходить в интернет через eth2 (дом.ру)

 , ,

kresh1
()
4 комментария

auth_param basic program

Форум — General

Есть dc0 (samba4.2 DOMAIN.COM) есть gw0 (squid3) Создан keytab Конфиг squid 

auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth  -s GSS_C_NO_NAME
auth_param negotiate children 100
auth_param negotiate keep_alive on

auth_param basic program /usr/lib/squid3/basic_ldap_auth -b "dc=domain,dc=com" -R -D proxy_auth@domain.com -W /etc/squid3/ntlm_pass.txt -f sAMAccountName=%s -h dc0.domain.com
auth_param basic children 100
auth_param basic realm Squid Basic Auth
auth_param basic credentialsttl 2 hours

##fill squid acl with external data (checks if user %LOGIN is in suggested group
external_acl_type fastgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g FastInet@DOMAIN.COM
external_acl_type slowgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g RegularInet@DOMAIN.COM


acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

acl AD_users proxy_auth REQUIRED

## ACL for users with speed inet access
acl AD_FastInet external fastgroup_krb

##ACL for users with regular inet access
acl AD_RegularInet external slowgroup_krb
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow AD_FastInet
http_access allow AD_RegularInet

http_access deny AD_users
http_access deny all
http_port 192.168.1.254:3128

coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .
/usr/lib/squid3/negotiate_kerberos_auto отрабатывает нормально. т.е. доменные пользователи ходят нормально.

лог 

1488178287.970   4675 192.168.1.25 TCP_MISS/200 848 CONNECT clients2.google.com:443 administrator@DOMAIN.COM HIER_DIRECT/109.194.201.92 -

Что касается auth_param basic program При открытии браузера, выходит рамка с запросом логина и пароля. При вводе данных рамка повторяется при этом лог access.log 

1488178437.572      0 192.168.1.25 TCP_DENIED/407 3778 CONNECT clients2.google.com:443 - HIER_NONE/- text/html
1488178437.575      0 192.168.1.25 TCP_DENIED/407 3881 CONNECT clients2.google.com:443 - HIER_NONE/- text/html

cache.log 

kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
2017/02/27 09:53:57 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}

Как понимаю, что basic не работает Пару дней ковыряния в конфигах не дали результата. Знаю тема не новая, но прошу помощи.

 , ,

kresh1
()
15 комментариев

Iptables

Форум — General

Помогите разобраться с iptables. Нужно пустить одну машину в интернет не через прокси, а на прямую. сам скрипт. 

# Generated by iptables-save v1.3.6 on Fri Jul 27 16:03:13 2007
*mangle
:PREROUTING ACCEPT [38202117:20265961694]
:INPUT ACCEPT [296590260:201106009696]
:FORWARD ACCEPT [2720039:1243794680]
:OUTPUT ACCEPT [33712485:33111151090]
:POSTROUTING ACCEPT [233354234:294909943362]
-A FORWARD -i eth1 -j MARK -d ! XX.XX.XX.XX/22 --set-mark 0x1
COMMIT
# Completed on Fri Jul 27 16:03:13 2007
# Generated by iptables-save v1.3.6 on Fri Jul 27 16:03:13 2007
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -d XX.XX.XX.XX -o tap+ -j SNAT --to-source XX.XX.XX.XX
-A POSTROUTING -o ppp10 -j MASQUERADE
-A POSTROUTING -o eth1 -j SNAT --to-source XX.XX.XX.XX
-A POSTROUTING -o eth2 -j SNAT --to-source XX.XX.XX.XX
-A PREROUTING -p tcp -m tcp ! -d XX.XX.XX.XX/22 --dport 80 -j REDIRECT --to-p$
COMMIT
# Completed on Fri Jul 27 16:03:13 2007
# Generated by iptables-save v1.3.6 on Fri Jul 27 16:03:13 2007
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forward_to_inet - [0:0]
:FORWARD DROP [0:0]
:allowed - [0:0]
:tcp_packets_inet - [0:0]
:icmp_packets - [0:0]
:bad_tcp_packets - [0:0]
:tcp_packets_vpn - [0:0]
:tcp_packets_lan - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s XX.XX.XX.XX/24 -i eth1 -j forward_to_inet
-A FORWARD -s XX.XX.XX.XX/22 -i eth0 -j forward_to_inet
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp -m state --tcp-flags SYN,ACK SYN,ACK --state N$
-A bad_tcp_packets -p tcp -m tcp -m state ! --tcp-flags FIN,SYN,RST,ACK SYN --s$
-A forward_to_inet -s XX.XX.XX.XX/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A forward_to_inet -s XX.XX.XX.XX/24 -p tcp -m tcp --dport 9091 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 80
-A forward_to_inet -p tcp -m tcp --dport 5190
-A forward_to_inet -p udp -m udp --dport 5190
-A forward_to_inet -p tcp -m tcp --dport 21
-A forward_to_inet -p tcp -m tcp -d XX.XX.XX.XX --dport 21 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 20
-A forward_to_inet -p tcp -m tcp --dport 25 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 110 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 1194 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 1935 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 5222
-A forward_to_inet -p udp -m udp --dport 5222
-A forward_to_inet -p tcp -m tcp --dport 5223
-A forward_to_inet -p udp -m udp --dport 5223
-A forward_to_inet -p tcp -m tcp --dport 53 -j ACCEPT
-A forward_to_inet -p udp -m udp --dport 53 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 143
-A forward_to_inet -p udp -m udp --dport 143
-A forward_to_inet -p tcp -m tcp --dport 995 -j ACCEPT
-A forward_to_inet -p udp -m udp --dport 995 -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 8585 -j ACCEPT
-A forward_to_inet -p icmp -j ACCEPT
-A forward_to_inet -p tcp -m tcp --dport 10000
-A forward_to_inet -p udp -m udp --dport 1200 -j ACCEPT
-A forward_to_inet -p udp -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A tcp_packets_inet -p tcp -m tcp -i eth0 --dport 22 -j allowed
-A tcp_packets_inet -p tcp -j DROP
-A tcp_packets_lan -j ACCEPT
-A tcp_packets_vpn -j allowed
-A forward_to_inet -p tcp -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -s XX.XX.XX.XX -i lo -j ACCEPT
-A INPUT -s XX.XX.XX.XX -i lo -j ACCEPT
-A INPUT -s XX.XX.XX.XX -i lo -j ACCEPT
-A INPUT -p tcp -m tcp -s XX.XX.XX.XX/22 -i eth0 -j tcp_packets_lan
-A INPUT -p tcp -m tcp -s XX.XX.XX.XX/24 -i eth1 -j tcp_packets_lan
-A INPUT -p tcp -m tcp -i eth2 -j tcp_packets_inet
-A INPUT -p udp -m udp -s XX.XX.XX.XX/22 -i eth0 -j ACCEPT
-A INPUT -p udp -m udp -s XX.XX.XX.XX/24 -i eth1 -j ACCEPT
-A INPUT -s XX.XX.XX.XX/255.255.255.0 -i tap+ -j ACCEPT
-A INPUT -s XX.XX.XX.XX/255.255.255.0 -i tap+ -j ACCEPT
-A INPUT -s XX.XX.XX.XX/24 -i eth0 -j tcp_packets_vpn
-A INPUT -s XX.XX.XX.XX -i tap10 -j tcp_packets_vpn
-A INPUT -p icmp -j icmp_packets
COMMIT
# Completed on Fri Jul 27 16:03:13 2007

 ,

kresh1
()
1 комментарий

Помогите отредактировать файл

Форум — General

Есть старый debian, на нем proxy, сам сервер до конца не загружается, застопориться на запуске wachdog, это не суть, на машине не правильно настроен iptables, по этому нет доступа по ssh и до консоли не добраться. С помощью ubuntu desktop liv cd я не смог загрузиться, так как видео карта и монитор не потянули графику, подскажите с помощью чего я могу поправить файл iptables?

 ,

kresh1
()
13 комментариев

squid 3

Форум — Admin

Есть proxy squid3 с прозрачной авторизацией 

http_port 3128 transparent
REDIRECT --to-ports 3128
Все пользователи ходят через него. Вопрос есть ли возможность пропустить один компьютер на прямую в интернет не через прокси?

 ,

kresh1
()
1 комментарий
следующие →

RSS подписка на новые темы