LINUX.ORG.RU

Сообщения rom100

 

bind ip block

Форум — General

Доброго времени суток.

Подскажите, пожалуйста, в какую сторону копать.

Может ли бинд иметь, допустим, БД ипов, и если запрос пришел на домен, который резолвиться в один из этих ипов - блочить запрос, или отдавать какой-либо другой ип?

Спасибо.

 , , , ,

rom100
()

qemu kvm virtual nat network to sub interface debian

Форум — Admin

Привет. У меня есть сервер у которого на eth0 два айпи адреса. Также есть две виртуалки которые я развернул с помощью libvirtd qemu kvm. Так вот, я хочу что бы внешние айпишники на виртуалках были разные. На первой я оставил все по дефолту, для второй создал отдельную виртуальную сеть и ее прописал как нат к физическому устройству eth0:0 (подинтерфейс со вторым айпи-адресом.) Так вот, на второй виртуалке которая должна быть за натом к подинтерфейсу интернета нету. Собсна как быть? Подозреваю что гипервизор делает что то неправильно с настройками форварда/ната в фаерволе.

Извиняюсь за сумбурность, заранее спасибо. Всем аптаймов!

 , ,

rom100
()

iptables analyze span traffic

Форум — Admin

Доброго времени суток, уважаемые дамы и господа.

Ситуация следующая:

Существует сетевое оборудование на котором настроен SPAN и весь трафик зеркалируеться на linux машину.

Интерфейс на который приходит трафик в linux:

eth1: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        ether 00:00:00:00:00:00  txqueuelen 1000  (Ethernet)
        RX packets 58981866  bytes 37730632432 (35.1 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 78  bytes 5548 (5.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Задача собственно следующая - с помощью iptables -m match-set myset из утилитки ipset найти в этом трафике который приходит на интерфейс пакеты в которых айпи-источник или айпи-назначение совпадет с одним из ip адресов которые находяться в ipset list.

Так как в даной конфигурации iptables не видит трафик который приходит на интерфейс было принято решение совершить следующие настройки.

auto br0
iface br0 inet manual
    up ifconfig eth1 promisc up
    bridge_ports eth1 
    bridge_fd 0
    bridge_maxwait 0
    bridge_stp off
    bridge_ageing 0

echo "0" > /sys/class/net/br0/bridge/ageing_time
echo br_netfilter >> /etc/modules

С настройками выше bridge0 должен работать c netfilter.

Во всех таблицах и цепочках iptables есть записи like this:

*filter
-A INPUT -m set --match-set mylist dst -j LOGGING
-A INPUT -m set --match-set mylist src -j LOGGING
-A FORWARD -m set --match-set mylist dst -j LOGGING
-A FORWARD -m set --match-set mylist src -j LOGGING
-A OUTPUT -m set --match-set mylist dst -j LOGGING
-A OUTPUT -m set --match-set mylist src -j LOGGING
*nat
-A PREROUTING -m set --match-set mylist dst -j LOGGING
-A PREROUTING -m set --match-set mylist src -j LOGGING
-A INPUT -m set --match-set mylist dst -j LOGGING
-A INPUT -m set --match-set mylist src -j LOGGING
-A OUTPUT -m set --match-set mylist dst -j LOGGING
-A OUTPUT -m set --match-set mylist src -j LOGGING
-A POSTROUTING -m set --match-set mylist dst -j LOGGING
-A POSTROUTING -m set --match-set mylist src -j LOGGING
Собственно вопрос, в какую таблицу - цепь должен попадать трафик из eth1 который приходит из spana и идет в бридж. Собственно почему он не попадает туда, так как tcpdump делаю по br0 и вижу пакеты в которых есть айпишник существующий в mylist. И, может, есть готовое решение которое будет собирать трафик с интерфейса - проверять пакеты и логировать мне только те, которые мне интересны.

Спасибо вам большое!

 , , , ,

rom100
()

eth promisc mode iptables logging

Форум — Admin

Привет, Лор! На debian 8 есть два сетевых интерфейса, один из них eth1 - promisc mode. На него идет трафик со спан порта циско свича.

Тз следующее - если в локалке есть пакеты которые ходят на или из айпишника который содержиться в ipset списке - я iptablesом логирую это дело.

Так вот, когда я tcpdump запускаю на eth1 вижу все пакеты. iptables - ничего не видит.

Я поднял сетевой мост, создав еще один виртуальный сетевой интерфейс и у меня получился br0 в котором eth1 и новосозданый виртуальный сетевой интерфейс. br0 поставил тоже promisc.

И теперь у меня логируються только пакеты которые идут НА айпишник который содержиться у меня в ipset листе. Пакеты которые идут с этого же айпишника - мимо моих логов.

Вообщем, если кто подскажет как можно ловить и их - я буду безумно благодарен и дай вам боженька аптаймов и стабильности.

 ,

rom100
()

apache httpd basic auth pam

Форум — Admin

Имеетья httpd , в /var/www/html/ есть директории dir1 dir2 dir3

в dir2 есть только index.html

настраиваю базовую аутентификацию след образом:

<Directory /var/www/html/dir2>

AuthBasicProvider PAM
    AuthPAMService service
    AuthType Basic
    AuthName "Group Restricted  Server"
    require valid-user
</Directory>

все работает чудесно в логах вижу

:notice] [pid 28871] mod_authnz_pam: PAM authentication passed for user nigga

директория dir1 по тз должна быть с базовой аутентификацией

вставляю такой же кусок конфига для нее в главном файле конфигурации апача

ServerRoot "/etc/httpd"
Listen 80
Include conf.modules.d/*.conf
User apache
Group apache
<Directory />
   AllowOverride none
   Require all denied
</Directory>
DocumentRoot "/var/www/html"
<Directory "/var/www">
    AllowOverride none
    Require all granted
</Directory>
<Directory "/var/www/html">
    Options Indexes FollowSymLinks
    AllowOverride none
    Require all granted
</Directory>
<IfModule dir_module>
    DirectoryIndex index.html
</IfModule>
<Files ".ht*">
    Require all denied
</Files>
ErrorLog "logs/error_log"
<IfModule alias_module>
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
</IfModule>
<Directory "/var/www/cgi-bin">
    AllowOverride None
    Options None
    Require all granted
</Directory>
<IfModule mime_module>
TypesConfig /etc/mime.types
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddType text/html .shtml
    AddOutputFilter INCLUDES .shtml
</IfModule>
AddDefaultCharset UTF-8
<IfModule mime_magic_module>
    MIMEMagicFile conf/magic
</IfModule>
EnableSendfile on
IncludeOptional conf.d/*.conf
вставляю первый кусок кода который конфигурирует базовую ниже этой строки <Directory «/var/www/html»> и не могу авторизоваться, в логе вижу следующее
[Tue Apr 25 20:23:48.975338 2017] [:notice] [pid 28871] mod_authnz_pam: PAM authentication passed for user nigga
[Tue Apr 25 20:23:49.039913 2017] [:warn] [pid 28871] mod_authnz_pam: PAM authentication failed for user nigga: Failure setting user credentials
[Tue Apr 25 20:23:49.040054 2017] [auth_basic:error] [pid 28871] [client ] AH01617: user nigga: authentication failure for "/dir1/index.html": Password Mismatch
[Tue Apr 25 20:23:49.103494 2017] [:warn] [pid 28871] mod_authnz_pam: PAM authentication failed for user nigga: Failure setting user credentials
[Tue Apr 25 20:23:49.103611 2017] [auth_basic:error] [pid 28871] [client ] AH01617: user nigga: authentication failure for "/dir1/index.php": Password Mismatch

Сильно не пинайте, пожалуйста, с апачем у меня плохо

Заранее спасибо большое за помощь

 , ,

rom100
()

china openvpn

Форум — Admin

Привет,ЛОР! Купил VPS в Китае, развернуть там openvpn и пользоваться потихоньку. Потери пакетов ужасные, данные передаются ужасно плохо. Я собственно хотел спросить - как улучшить качество передаваемых данных через openvpn но позже понял что проблема совсем не в нем. Может кто знает хорошего хостера в Китае, что бы не терялись 4 из 5-ти пакетов до сервера? Спасибо З.Ы. существуют ли хостеры в китае, которые не находиться за этим великим фаерволом?

 , ,

rom100
()

nginx rewrite

Форум — Admin

Привет, ЛОР. Не могу разобрать со следующим тз. Иерархия директорий такая /var/www/site в папке site есть frontend и backend

если запрос идет на /admin - нужно что бы пользователь попадал в backend

если запрос идет просто / - соответственно веб сервер должен реврайтить на frontend

nginx version: nginx/1.6.2

server {
        listen 80;
        server_name .example.org;
        root /var/www/example.org;
        client_max_body_size 100m;

        access_log  /var/log/nginx/example-access.log;
        error_log  /var/log/nginx/example-error.log;

        charset utf-8;
        index index.php;

location ~* /uploads/.*.php$ {
        deny all;
        access_log off;
        log_not_found off;
        }

location  / {
        try_files $uri $uri/ /index.php;
        }
location ^~ /admin {
        rewrite ^/admin(.*)?$ /backend/web/$1 break;
}
location ~* \.php$ {
        fastcgi_index index.php;
        fastcgi_pass  unix:/var/run/php5-fpm.sock;
        include /etc/nginx/fastcgi_params;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        }

location ~ /\. { deny all; access_log off; }

location = /favicon.ico { log_not_found off; }
}

как видно в конфиге, с отедльным локейшном /admin разобрался - работает. А вот с фронтендом все никак не получаеться. Спасибо большое заранее, хорошего дня.

 , ,

rom100
()

nginx просмотр содержимого файла

Форум — Admin

Привет. Есть nginx 1.6.2 на Debian 8. Настроен на отдачу статики. Можно ли сделать что бы браузер вместо того что бы предлагать скачать csv файл, открывал его для просмотра прям в браузере? Вот конфиг:

server {
        listen 80 default_server;
        root /var/www;
location / {
                       root /var/www;
                       autoindex  on;
                       autoindex_exact_size off;
        }

}

 , ,

rom100
()

php-fpm.sh долго выполняеться.

Форум — Admin

Привет, Лор. Есть скрипт

#!/bin/bash -x

PREFIX='php.fpm'
URL='http://127.0.0.1:8080/status'

CURL='/usr/bin/curl'
TMP='/tmp/php-fpm-ping.tmp'
SENDER='/usr/bin/zabbix_sender'
CONFIG='/etc/zabbix/zabbix_agentd.conf'

if [ ! -x ${CURL} ]
then echo Seems, path to curl is incorrect or not installed. && exit 0
else if [ ! -x ${SENDER} ]
then echo Seems, path to zabbix_sender is incorrect or not installed. && exit 0
else if [ ! -f ${CONFIG} ]
then echo Seems, path to zabbix_agentd.conf is incorrect && exit 0
fi fi fi

(time ${CURL} --no-keepalive -sm3 ${URL}) 2>$TMP | awk -v pr="- ${PREFIX}." '
/^accepted c/ {print pr"accepted_conn "$3}
/^active proc/ {print pr"active_processes "$3}
/^idle proc/ {print pr"idle_processes "$3}
/^listen queue:/ {print pr"listen_queue_len "$3}
/^max children reach/ {print pr"max_children_reached "$4}
/^max listen queue:/ {print pr"max_listen_queue_len "$4}' | ${SENDER} -c ${CONFIG} -i - 2>/dev/null | awk -v t="${TMP}" '/^sent/{if($6==0){print"-0.001";print>t}}'
awk '/real/{split($2,a,"[ms]");print a[1]*60+a[2];}' $TMP
rm $TMP
exit 1

Скрипт проверяет статус php-fpm и отправляет на забб сервер. На всех хостах работает хорошо, дали новый сервер debi 8.6 zab agent 3.0.5 Отрабатывает больше минуты. У заба таймаут на скрипты 30 сек максимум. Спасибо за помощь.

 , , , ,

rom100
()

Zabbix php-fpm latency

Форум — Admin

На сервере zabbix 3.0 нет данных с пинга php-fpm.

Скрипт который собирает инфу с хоста:

#!/bin/sh
PREFIX='php.fpm'
URL='http://127.0.0.1:8080/status'

CURL='/usr/bin/curl'
TMP='/tmp/php-fpm-ping.tmp'
SENDER='/usr/bin/zabbix_sender'
CONFIG='/etc/zabbix/zabbix_agentd.conf'

if [ ! -x ${CURL} ]
then echo Seems, path to curl is incorrect or not installed. && exit 0
else if [ ! -x ${SENDER} ]
then echo Seems, path to zabbix_sender is incorrect or not installed. && exit 0
else if [ ! -f ${CONFIG} ]
then echo Seems, path to zabbix_agentd.conf is incorrect && exit 0
fi fi fi

(time ${CURL} --no-keepalive -sm3 ${URL}) 2>$TMP | awk -v pr="- ${PREFIX}." '
/^accepted c/ {print pr"accepted_conn "$3}
/^active proc/ {print pr"active_processes "$3}
/^idle proc/ {print pr"idle_processes "$3}
/^listen queue:/ {print pr"listen_queue_len "$3}
/^max children reach/ {print pr"max_children_reached "$4}
/^max listen queue:/ {print pr"max_listen_queue_len "$4}' | ${SENDER} -c ${CONFIG} -i - 2>/dev/null | awk -v t="${TMP}" '/^sent/{if($6==0){print"-0.001";print>t}}'
awk '/real/{split($2,a,"[ms]");print a[1]*60+a[2];}' $TMP
rm $TMP
exit 1

кусок лога на серваке иногда его глючит и он показывает что задержка ответа -1мс Received value [] is not suitable for value type [Numeric (float)]

 , ,

rom100
()

xl2tpd несколько клиентов

Форум — Admin

Может ли xl2tpd держать много клиентов с одной парой логин/пасс. Спасибо, уважаемый лор.

 , ,

rom100
()

double openvpn

Форум — Admin

Debian 8.5.OpenVPN 2.3.4 x86_64-pc-linux-gnu. Имееться два VPN интерфейса. На tun0 принимаються соединения, на tun1 маршрутизируеться трафик на следующий openvpn server. Делалось следующее: echo '150 vpn.out' >> /etc/iproute2/rt_tables — создаем табличку для нашего VPN трафика

ip rule add from 192.168.100.0/24 table vpn.out — весь трафик пришедший из подсети VPN отправляем в таблику vpn.out

ip route add default dev tun1 table vpn.out — задаем маршрут по умолчанию для таблички vpn.out, это как раз второй интерфей смотрящий на внешний сервер tun1.

При перезагрузке сервака конфиг данной таблички маршрутизации слетает.Вопрос: как сохранить эти настройки? Пробовал post-up в /etc/network/interfaces - не сработало. Спасибо заранее.

 , ,

rom100
()

dns server openvpn

Форум — Admin

При подключении к openvpn server перестает работать dns.

debian 7.9

cat /etc/resolv.conf

nameserver 213.133.98.98 nameserver 213.133.99.99 nameserver 213.133.100.100 nameserver 8.8.8.8 nameserver 208.67.220.220 nameserver 208.67.222.222

 , ,

rom100
()

debian автозагрузка консоли

Форум — Admin

Если на системе установлен гуй, если ли возможность, сделать так что бы после загрузки система стартовала не с графическим интерфейсом, а выводила консоль.

 , ,

rom100
()

Не работает сеть

Форум — Admin

На новой работе достался в наследство сервак с дебианом 7.Каждую неделю +- два дня ложиться и перестает пинговаться и отвечать на любые запросы. Лечиться только хард ресетом по кнопке. В какую сторону копать можно, ребят, какие логи смотреть? Спасибо

 , ,

rom100
()

virtualbox В Debian

Форум — Admin

При загрузке гостевой системы Debian в virtualbox очень долго загружаеться система, вижу системное сообщение

VbglR3Init failed with rc=VERR_FILE_NOT_FOUND

 ,

rom100
()

не работает добавление ключа в sudo

Форум — Admin
sudo wget -q  http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc -O- | apt-key add - 
ERROR: This command can only be used by root.

 

rom100
()

nginx прокси

Форум — Admin

Можно ли проксировать nginx на Nginx который работает в системе под чрут? как реализовать?

 ,

rom100
()

два php5-fpm в одной системе

Форум — Admin

есть основной nginx в системе, был создан чрут, в нем был создан еще один nginx на который в будущем основной будет проксировать, в чруте нужно что бы работал еще один Php5-fpm. Как только в чруте запускаеться сервис Php - основной сайт перестает работать. Если что то не так с сокетами Php, как именно их можно поменять?

 , ,

rom100
()

testlink предупреждение о безопасности

Форум — Admin

testlink 1.9.14 после логина выдает

There are security warnings for your consideration. See details on file: /var/testlink/logs/config_check.txt. To disable any reference to these checkings, set $tlCfg->config_check_warning_mode = 'SILENT';

после изменения данного параметра с FILE На SILENT изменений не происходит. перезапуск Nginx не дает результата. Может кто сталкивался, в чем соль

 ,

rom100
()

RSS подписка на новые темы