Добрый вечер.
Задался целью настроить postfix так, чтобы он сам аутентифицировал пользователей. Однако во всех мануалах показано как делать аутентификацию через sasl (cyrus или dovecot).
Возможно ли обойтись без sasl? Курю документацию, но пока толку мало. Киньте, пожалуйста, в меня параметрами конфига, чтобы уже по ним найти конкретику.
В течение нескольких дней пытался завести эту шнягу. Поскольку поставил на запасной сервак xubuntu, а для нового ядра ESFQ не делают. Слышал, что есть каике-то переделанные, но я считаю, что это неправильно, поскольку разработчик сам сказал, что в новых ядрах сделали flow, и надо юзать его.
Ну так вот. Инфы по всему инету нашел я крупицы. Поэтому пришлось самому догонять. В принципе, решение было на поверхности, но мне видимо опыта и мозгов не хватило, чтобы сразу понять, как оно все делается.
Кароче, я надеюсь, что полученная мной информация кому-нибудь типа меня в будущем сэкономит время. Ну плюс еще м.б. я где-то накосячил и не до конца разобрался, так что надеюсь на критику.
Кароче, как я понял, эта вешается непосредственно на очередь SFQ(вырезка из моего скрипта):
$TC class add dev $LAN parent 1:20 classid 1:22 htb rate $((SPEED_IN/20))Kbit ceil $((SPEED_IN*4/5))Kbit prio 10
$TC qdisc add dev $LAN parent 1:22 handle 22: sfq perturb 10
$TC filter add dev $LAN parent 1:0 protocol all prio 15 handle 3 fw classid 1:22
$TC filter add dev $LAN parent 22: protocol all handle 22 flow map key dst and 0xff
Как я понял, с не таких уж давних пор (февраль 2008) sfq через flows теперь может выполнять ту же работу, что и esfq. А именно: равномерно отдавать пакеты основываясь на конфигурируемых критериях (конкретно мне нужен conntrack-dst). Кто-нибудь пробовал? Меня конкретно интересует применимость этого всего хозяйства для справедливого дележа канала\очереди на группу лиц. Я не хочу перекрывать людям торренты, я хочу, чтобы торрент в 100 потоков на одной машине не мешал закачке файла в один поток на другой машине. Получится ли?
Есть такая штука как «Policy routing»
Там можно создавать таблицы, для этого они прописываются в файле /etc/iproute2/rt_tables
А как создать таблицу из командной строки? Как очистить из неё все правила? Как удалить таблицу? Как посмотреть список таблиц?
Система Ubuntu 12.04 Установил эту новую штуку:
apt-get install lio-utils
/etc/init.d/target restart
/etc/init.d/target status
tcm_node --block iblock_0/hdd_sdb /dev/sdb
lio_node --addtpg iqn.2012-09.local.dim:ubuntulio 1
lio_node --addlun iqn.2012-09.local.dim:ubuntulio 1 0 lun_my_sdb iblock_0/hdd_sdb
lio_node --addnp iqn.2012-09.local.dim:ubuntulio 1 192.168.153.130:3260
lio_node --demomode iqn.2012-09.local.dim:ubuntulio 1
lio_node --disableauth iqn.2012-09.local.dim:ubuntulio 1
echo 0 > /sys/kernel/config/target/iscsi/iqn.2012-09.local.dim:ubuntulio/tpgt_1/attrib/demo_mode_write_protect
lio_node --enabletpg iqn.2012-09.local.dim:ubuntulio 1
echo yes |tcm_dump --o
/etc/init.d/target restart
Добавляю вторую сетевуху
lio_node --addnp iqn.2012-09.local.dim:ubuntulio 1 192.168.153.131:3260
Устанавливаю мультипатч с таким конфигом
defaults
{
path_selector "round-robin 0"
path_grouping_policy multibus
rr_min_io 200
no_path_retry 5
failback immediate
user_friendly_names yes
}
blacklist
{
devnode "^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"
devnode "^hd[a-z][[0-9]*]"
devnode "^sda$"
devnode "^sdb$"
}
multipaths
{
multipath
{
wwid 1IET_00010001
}
}
Фиг с этим мультипатчем думаю, проверю обычный бондинг
auto eth1
iface eth1 inet manual
bond-master bond0
auto eth2
iface eth2 inet manual
bond-master bond0
auto bond0
iface bond0 inet static
address 192.168.153.130
netmask 255.255.255.0
bond-mode 0
bond-miimon 100
bond-slaves none
mtu 7000
Протестил скорость сети, все ок, скорость возрасла, потестил скорость таргета, никакого проироста нет.
Ладно думаю поменяю таргет устанавливаю
aptitude install tgt
Итак вопрос почему этот lio-utils , который как бы самый новый и встроен в ядро так себя ведет. PS Тести скорости проводит утилитой FIO и DD разными способами, итог с tgt прирост скорости есть, а lio-utils нету ...
в университете в некоторых аудиториях с компьютерами под линуксом была сабжевая вещь - можно было залогиниться под своим юзером на любом компьютере, домашняя директория при этом монтировалась с сервера.
Вот недавно задумался, как и в каком месте это реализуется? Программа mount, насколько я понимаю, выполняется от имени юзера, в /etc/fstab её прописать нельзя было, т.к. заранее неизвестно, что монтировать. Откуда и в какой момент дергается mount?
Hi, folks.
Существует необходимость добавлять к сертификатам дополнение subjectAltName, в котором каждый раз указывать разные dnsName, ipAddress и пр. При этом для решения этой задачи предлагается определять в openssl.cnf дополнительную секцию, например так:
[req]
req_extensions = v3_req
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.foo.com
DNS.2 = www.bar.org
IP.1 = 192.168.1.1
IP.2 = 192.168.69.144
Спасибо.
Тут кто-то умный как-то обмолвился про то, что нельзя использовать ssh как впн в промышленных масштабах из-за оверхеда, а также из-за того, что он работает в userspace. Тезис состоял в том, что производительность впн-решения, работающего в userspace, будет очень сильно проигрывать «ядерным» решениям, так как то ли вызовы из юзерспейса долго идут, то ли что-то в этом роде. Я подумал, подумал, и полез в гугл искать темы про сравнение вышеперечисленных решений в контексте производительности. А там - раз! - и говорят, что openvpn лучше, чем pptp, что, на мой взгляд, противоречит тезису, так как openvpn юзерспейсный, а pptp юзает модули ядра.
Возможно, у меня каша в голове, если так, то дайте наводку на годную литературу или хотя бы умный пост на каком-нибудь слешдоте.
А ещё некоторые говорили, что openvpn лучше, чем ipsec, потому что ipsec чаще спотыкается о файрволы. Неужели производительность настолько слабо различается, что из-за проблем с файрволами уходят на openvpn? Кстати, openvpn использует дополнительные драйверы (для tap- и tun-устройств), значит, тоже в ядре работает, хотя бы частично..
В общем, просветите на эту тему, извиняюсь за поток сознания.
Настраиваю IPSEC на основе strongswan , собственно возник вопрос что такое l2tp и для чего оно используется ?
Скажем, у меня есть wlan0, который опускается/поднимается при переподключении к AP.
Необходимо выполнять два разных скрипта выполнении up/down. Google молчит (точнее советует, это во всяких убунтах и дебианах делается).
Нашел только http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=4&chap=5 , но что-то мне подсказывает, что это выполняется только в случае, если используется обычный рестарт сети через /etc/init.d/...
В любом случае, хотелось бы знать, что (udev?) является бекендом для определения изменений состояний интерфейса с последующей реакцией.
| ← назад |