LINUX.ORG.RU

Сообщения Atlant

 

Выбор фильтрующего DNS resolver'а

Форум — Admin

Краткое описание текущей ситуации - в качестве ресольвера в многогранной локальной сети NAMED/BIND.
Проблема - порой сервисы имеют несколько адресов, к примеру host.domain.xxx с адресами (10.0.0.1, 192.168.0.1,192.168.2.1, 5.6.7.8 , 1.2.3.4 и т.д.)

В named есть возможность по приоритезации ответов, т.е. можно настроить если с адреса 10.0.0.0/24 запрашивают http://www.domain.xxx - то первым отправляют адрес 10.0.0.1. Увы, но этого не хватает. Нужна полноценная фильтрация - т.е. для сети 10.0.0.0/24 выдавать только адрес 10.0.0.1 , а другие не отправлять.

Видел модуль для фильтрации IPv6, а вот того что нужно, пока не встречал.

Может есть у кого предложения по этому поводу?

 , ,

Atlant
()

А че случилось с Gentoo?

Форум — Talks

И https://wiki.gentoo.org/ и https://bugs.gentoo.org/ - отвечают сбоями.

 

Atlant
()

Обновление корневого сертификата(с тем же приватным ключем)

Форум — Security

Краткая суть:
- Есть свой самодельный корневой сертификат. Выпущено и используется приличное количество как клиентских, так и промежуточных сертификатов.
- В корневом сертификате в свое время указали почту (emailAddress=ABC@EXAMPLE.COM). Почта на текущий момент корректная, но планируется сменить домен.
- При попытке перевыпустить корневой (с тем же номером, публичным ключем и т.д.) оказывается что он не пригоден для проверки поскольку emailAddress становится другим.

ВОПРОС:
- это действительно правильная проверка , т.е. идет сравнение не по CommonName && SerialNumber && Autority Key Identificator && Subject Key Identificator/Issuer , в так же и по «emailAddress=ABC@EXAMPLE.COM,CN=XX,OU=CA XX,O=XXCorp,L=XX City,ST=XX Locationy,C=XX Country»? Или это некорректность конкретной программы?

 ,

Atlant
()

PostgreSQL домены как хранятся?

Форум — Talks

Вопрос:
Влияет введенные ограничения на домен или просто колонку в postgresql на способ хранения или нет?
Т.е. если колонка может хранить только числа 1, 2 и 3. И это ограничение встроено или в таблицу или в домен, то означает ли что реально это значение храниться КОМПАКТНО в два бита.
Или все эти ограничения на это никак не влияют?

Так же интересно по иным СУБД?

 ,

Atlant
()

openrc && ppp(pppoe) && (статус 'starting', а не 'started', хотя уже давно стартовало!)

Форум — Admin

кратко:
- операционка с openrc & netifrc
- сетевое подключение PPPOE
ppp уже давно соединилось и свободно сеть работает, а вот сервис /etc/ini.d/net.ppp1 все так в статусе «starting» вместо «started».
Соответственно зависимые сервисы - не стартуют.
Куда лезть и на что смотреть?

P.S. В логи pppd - смотрел, всё прекрасно стартовало.

 ,

Atlant
()

Quad-rank memory && (BIOS || UEFI) - may be add support?

Форум — Admin

кратко:
Досталась оперативка на 32Гига, ставлю в сервер - не понимает, ругается на «Invalid DIMM Type».
Судя по доке на сервер, он понимает максимум двух-ранговую память.
А плашки quad-rank, увы =(.
Вопрос:
Технически их можно завести, или это «full unreal» и требует аппаратных изменений. Или это чисто программное и стоит поискать модификацию биоса?

P.S. оперативка DDR3 REG ECC (как рабочая так и неопознаваемая), сервер тестовый(крутить биос можно).

P.P.S. не охота возвращять планку, объем очень хороший ;).

 , quad-rank

Atlant
()

Нет входящих пакетов UDP на DNS сервер.

Форум — Admin

Ситуация кратко:
- есть два собственных авторитарных DNS сервера с внешними адресами IP1_SRV_RT (провайдер Ростелеком) и IP2_SRV_ALT (провайдер Транстелеком).

- есть несколько сторонних тестовых клиентов с разными провайдерами(как Ростелеком, так и иные, в том числе мобильные операторы).

- при тестирование с клиентов вижу запросы(на сервере) и ответы (на сервере и клиенте) при обращении на IP_SRV_ALT и по TCP и по UDP. [ИТОГ - ОК]

- при тестирование с клиентов вижу запросы(на сервере) и ответы (на сервере и клиенте) ТОЛЬКО при обращении на IP_SRV_RT по TCP. [ИТОГ - FAIL]
По протоколу UDP - нет вообще входящих запросов от тестовых клиентов(смотрю через tcpdump, т.е. до firewall). Но если смотреть в целом через TCPDUMP я вижу запросы по UDP и TCP от других систем.

Т.е. в tcpdump нету вообще запросов от тестовых клиентов по протоколу UDP, а только если включаю TCP - то тогда есть и запросы и ответы.

Если есть сотрудники RT - просьба прокомменировать ситуацию, поскольку официальным путем будет очень долго.

Для всех остальных владельцев собственных авторитарных DNS(с провайдером RT) - просьба проверить у себя корректно ли вы получаете запросы UDP на свой сервер.

Проверить можно командой

 dig -t A ВАШ_ДОМЕН @ВАШ_СЕРВЕР_DNS 

 

Atlant
()

Нужна ссылка на документацию - как определяется для Исходящего запроса Исходящий IP адрес

Форум — Admin

subj!
Когда то давно видел немного сотносящееся с данным вопросом - видел в связке с «source-based routing». Но это было «давно и неправда». А сейчас снова понадобилось.
P.S. в основном конечно нужна дока на linux, но и по остальным системам не откажусь.

 

Atlant
()

Как перекинуть логи из контейнера LXD на другой внешний SYSLOG сервер, если в контейнере debian 11 с systemd-journald.

Форум — Admin

Базовый вопрос:
Как перекинуть логи из контейнера LXD на другой внешний SYSLOG сервер, если в контейнере debian 11 с systemd-journald.
Желательные условия - не менять journald на syslog-подобные внутри контейнера и не ставить доп программы в контейнер.

По сути можно настроить journald на вывод в «/var/...../socket» формата SYSLOG.
А вот как этот «/var/...../socket» теперь хотя бы получить на HOST чтобы его прочесть HOSTовым syslog-демоном?

Т.е. базовый вопрос можно решить перекинув именованый socket от HOST в CONTAINER , но вот как?

P.S. возможно тема избитая, но пока я новичек в LXC/LXD.

P.P.S. на HOST стоит только SYSLOG сервер без какого либо systemd. Поэтому перекинуть по протоколу journald - не получится.

 ,

Atlant
()

вопрос спецам по микротикам

Форум — Admin

Извиняюсь за многократно изученный вопрос, но для новичка в микротиках - надеюсь простительный.
Есть микротик в маленькой локалки. Из локалки нужен доступ к ftp к стороннему серверу.
Остальное нужно запретить.
соорудил скрипт наподобие

# :foreach item in=[ /ip firewall filter find dynamic=no ] do { /ip firewall filter remove $item }
/ip firewall filter remove [/ip firewall filter find dynamic=no]
# :foreach item in=[ /ip firewall nat find dynamic=no ] do { /ip firewall nat remove $item }
/ip firewall nat remove [/ip firewall nat find dynamic=no]
# :foreach item in=[ /ip firewall address-list find dynamic=no ] do { /ip firewall address-list remove $item }
/ip firewall address-list remove [/ip firewall address-list find dynamic=no]

/ip firewall address-list
add address=1.1.1.1 list=ALLOW_IP
add address=2.2.2.2 list=ALLOW_IP

# разрешить уже установленные и ассоциированные с установленными
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=output comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

# выкинуть сбойные пакеты
/ip firewall filter
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=output comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

/ip firewall filter
add action=accept chain=input comment="defconf: accept to local loopback" dst-address=127.0.0.0/8 src-address=127.0.0.0/8
add action=accept chain=input comment="allow from LAN to mictotik" in-interface-list=LAN
add action=drop   chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward connection-type=ftp dst-port=21 dst-address-list=ALLOW_IP protocol=tcp
add action=drop   chain=forward comment=" drop any another packages by manages instruction 2022-06-27"

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: Masquarade output packages for WAN" out-interface-list=WAN

# внешнее логгирование
:if ([/system logging print count-only where action=syslogexternal]=1) do {
	/system logging action add name=syslogexternal remote=XXX.XXX.XXX.XXX target=remote
	/system logging add action=syslogexternal
	}
	
# :do {/system watchdog set no-ping-delay=15m ping-timeout=2m watch-address=YYY.YYY.YYY.YYY.YYY; } on-error={:put "fail add watchdog #1"}
# :do {/system watchdog set ping-start-after-boot=15m ping-timeout=2m watch-address=YYY.YYY.YYY.YYY.YYY; } on-error={:put "fail add watchdog #1"}



Но не прошло.
Только после полного разрешения для IP и без указания «connection-type»
/ip firewall filter
add action=accept chain=forward  dst-address-list=ALLOW_IP protocol=tcp


Почему?
P.S. скрипт несколько почищен от иных частных правил.

 

Atlant
()

есть проблема с networkd+bridge+gw(давняя)

Форум — Admin

Суть:
Использую для настройки проводной сети systemd-networkd. Если я включаю бридж для сетевой карты(автоподхват), то у меня теряется маршрут по умолчанию(в логах его видно, а в системе после загрузки - нету)
Обычный системник+gentoo, проверялись разные версии systemd - разницы не заметно.

Если убирать бридж, то все без проблем. Но поскольку активно использую виртуалки - бридж нужен.

Текущие логи

июн 20 16:29:07 gentoo systemd[1]: Starting Network Configuration...
июн 20 16:29:07 gentoo systemd-networkd[380]: lo: Link UP
июн 20 16:29:07 gentoo systemd-networkd[380]: lo: Gained carrier
июн 20 16:29:07 gentoo systemd-networkd[380]: Enumeration completed
июн 20 16:29:07 gentoo systemd[1]: Started Network Configuration.
июн 20 16:29:14 gentoo systemd[1]: Stopping Network Configuration...
июн 20 16:29:14 gentoo systemd[1]: systemd-networkd.service: Deactivated successfully.
июн 20 16:29:14 gentoo systemd[1]: Stopped Network Configuration.
июн 20 09:29:23 mycomp systemd[1]: Starting Network Configuration...
июн 20 09:29:29 mycomp systemd-networkd[516]: /etc/systemd/network/81-brlocal.network: Route section without Gateway=, Destination=, Source=, or Prefe>
июн 20 09:29:29 mycomp systemd-networkd[516]: brlocal: netdev ready
июн 20 09:29:29 mycomp systemd-networkd[516]: lo: Link UP
июн 20 09:29:29 mycomp systemd-networkd[516]: lo: Gained carrier
июн 20 09:29:29 mycomp systemd-networkd[516]: Enumeration completed
июн 20 09:29:29 mycomp systemd[1]: Started Network Configuration.
июн 20 09:29:30 mycomp systemd-networkd[516]: enp3s0: Link UP
июн 20 09:29:33 mycomp systemd-networkd[516]: enp3s0: Gained carrier
июн 20 09:29:33 mycomp systemd-networkd[516]: brlocal: Link UP
июн 20 09:29:34 mycomp systemd-networkd[516]: brlocal: Gained carrier
июн 20 09:29:34 mycomp systemd-networkd[516]: brlocal: DHCPv4 address 10.0.0.6/16, gateway 10.0.0.254 acquired from 10.0.5.254
июн 20 09:29:44 mycomp systemd-networkd[516]: virbr0: Link UP



Конфигурационные файлы(все что есть в /etc/systemd/network/ )
P.S. не смотрите на лишние записи в конфигах - это были попытки устранить данную проблему

80-brlocal.netdev
 
[NetDev]
Name=brlocal
Kind=bridge
MACAddress=XX:XX:XX:XX:XX:XX


81-brlocal.network
[Match]
Name=brlocal

[Network]
DHCP=ipv4
BindCarrier=enp3s0
LinkLocalAddressing=no

[DHCPv4]
MaxAttempts=3

[Route]
GatewayOnlink=true


enp3s0.network
[Match]
Name=enp3s0
[Network]
Bridge=brlocal

 

Atlant
()

Сокеты. Определить адрес IP сервера при подключении клиента.

Форум — Development

Суть : Есть программа-сервер слушающие по TCP/IP все интерфейсы(их достаточно много, в том числе несколько интерфейсов от провайдеров.
Задача : отследить на сервере на какой адрес (IP) сервера подключается клиент.

server_address.sin_family = AF_INET;
server_address.sin_addr.s_addr = htonl(INADDR_ANY);

Вопрос : Как можно (желательно кроссплатформенно, но не критично, достаточно linux) определить на какой именно IP сервера пришел подключающийся клиент.
В «accept» есть информация похоже только о клиенте.

P.S. Альтернативный вариант логгирования через iptables, пока не интересует, надо средствами самого программы1-сервера.

 

Atlant
()

Libreoffice bug? Просьба подтвердить или опровергнуть.

Форум — Desktop

Ситуация:
- Установленный Debian на двух клиентских машинах.
- Подключениый по mount.cifs протоколу каталог с сервера(в данном случае windows, но должно быть без разницы)
- Одновременное обращение к одному файлу(тестирован вариант doc,docx,odt)
При стандартной настройке идет полная блокировка файлы(другим нет ни чтения, ни записи).
Попросили сделать как в «windows», т.е. если один открыл, то другие могут открыть, но только «на чтение».
Нашел совет как сделать это на linux.
=================== НЕ ХОРОШИЙ СОВЕТ(на текущее время) =======
Меню «Сервис/Параметры» выбираем «Libreoffice/Расширенные возможности» и нажимаем кнопку «Открыть Экспертные настройки»
На английском это «Tools/Options/Advanced/Open Expert configuration»

Набираем в поиске «UseDocumentSystemFileLocking» , ищем и устанавливаем значение «false».
==============================================================
Следуя совету - получилось открыть у второго пользователя, НО ЕСТЬ ГЛЮК.
Последовательность действий:
USER_1 открыл документ /mnt/SERVER/XXX.(doc,docx,odt) на редактирование.
USER_2 следом открыл документ /mnt/SERVER/XXX.(doc,docx,odt) на чтение.
USER_2 прочел документ и закрыл.
USER_1 изменил документ и пытается сохранить(выдается сообщение «нет файла»). В файловом менеджере файл /mnt/SERVER/XXX.(doc,docx,odt) - виден.
USER_1 отменил изменения и закрыл libreoffice. Файл /mnt/SERVER/XXX.(doc,docx,odt) - отсутствует, т.е. удален !!!!

Проверили многократно, повторяется 100%.
Может кто у себя проверить, и если хорошо знает english запостить багу?

Предупреждение: USER_1 был за своим компом, а USER_2 был за своим компом(т.е. компы клиентов разные).

P.S. поиск по багам ( https://bugs.documentfoundation.org/buglist.cgi?quicksearch=UseDocumentSystem... ) - схожего (удаление файла) не находит.

 ,

Atlant
()

openvpn со сторонним dhcp

Форум — Admin

В общем почти классика.
Шлюз с openvpn с TAP интерфейсом завернутым в brigde(«мост»).
На этом мосту сидит dhcpd и раздает настройки. В числе настроек естественно раздача IP шлюза.
Требуется раздавать настройки без IP шлюза для клиентов OpenVPN!

Текущая настройка - это фиксированный MAC на клиенте и отдельная группа в dhcpd для этих MAC-адресов.

Хочется уйти от фиксации MAC-адресов на клиенте в пользу чисто серверной конфигурации. Осталось понять - как это реализовать.

P.S. сервер домашний. Поэтому экспериментировать можно!

 , ,

Atlant
()

Опознание зависимостев gentoo

Форум — Development

Суть, есть локальный оверлей, в нем пакет wxGTK с новой версией.
Пакет частично из разных патчей, частично от себя лично.

В пакете указана зависимость

BDEPEND=«virtual/pkgconfig»
. Компилируется без проблем (amd64+x86), т.е. ABI_X86=«64 32».

В старых версиях пакетах указано
«virtual/pkgconfig[${MULTILIB_USEDEP}]»

Но при его указании выдает
 The following USE changes are necessary to proceed:
 (see "package.use" in the portage(5) man page for more details)
# required by wxGTK (argument)
>=x11-libs/wxGTK-3.0.5.1-r1 -abi_x86_32

Как отследить кто/где требует отключить 32битную поддержку?

Просьба откликнутся разработчиков gentoo!

 

Atlant
()

борьба антиспам систем

Форум — Admin

Есть вполне обычные почтовая система№1 и почтовая система№2.
Система№1 использует в качестве одной из антиспамерских мер - проверку существования адресата через реверсный коннект на отправителя.
Система№2 использует «серые списки» aka greylisting с таймаутом.
Соответственно при поступлении письма от №2 к №1 - блочится из за таймаута greylisting.
Система№2 - чужая.

ВОПРОС:
Кто прав?
Кто виноват?

 

Atlant
()

Сканер(бумаг) на роутере. Нету sane-backend для архитектуры роутера!

Форум — Linux-hardware

Хочу USB-cканер(бумаг) EPSON подключить к роутеру (MIPS / Atheros AR9132). Есть sane-backend(какой то из epkowa (iscan)) - на x86/amd64, но нету для MIPS!

Пока только одна мысль, подключить на комп и записать usb-трафик и потом переделать на роутер.

Может есть какие то другие предложения? Кроме дисассемблера!

P.S. точную модель сканера счас не помню, буду дома допишу.

 , sane-backend

Atlant
()

polkit & javascript

Форум — General

Не сильно обращал внимания, пока на новогодних празниках не добрался до древнего ноутбука ( pentium3 ! ). Ну и решил взгромоздить на него генту. Всё шло нормально, пока не дошло до обновления polkit, поскольку он зацепил мозилловский движок js(spidermonkey).

А этот движок только для процов sse2. В общем печаль-тоска.
Но недолго рыская на просторах сети нашел патчи для использования микробиблиотеку «duktape» вместо объемного «spidermonkey».

Причем патчи уже в подготавливаются в upstream (https://gitlab.freedesktop.org/polkit/polkit/-/merge_requests/35).
Вроде уже есть в арче (https://aur.archlinux.org/packages/polkit-duktape/)

Посему вопрос - кто его пользовал-смотрел?

 ,

Atlant
()

Повторное использование старых банковских/иных чиповых карточек

Форум — Security

Собственно некоторый интерес к SUBJ !
Просто их уже несколько, и есть обычный картридер для чиповых ASEDrive IIIe .
Что хочу - как то повторно использовать. Один из придуманных вариантов хранение каких то электронных ключей (PGP к примеру, или для ключей/сертификатов ЭЦП).
Собственно на _мой взгляд_ эти чиповые карты различаются в основном прошивкой, посему - чем их отформатировать в нужный вариант?

 чиповые карты

Atlant
()

Новая идея для бэкапов(возможно бред, но мысль интересная)

Форум — Talks

В общем дело было вечером, делать было нечего..

Возникла идея немного связанная с бэкапами.
Суть - обычно ставим операционку(практически неважно какую), далее старательно бэкапим. И так много раз с разными компами/серверами.

А то, если перевернуть идею - т.е. есть уже готовое хранилище файлов(версий) и доделать один из сетевых файловых подсистем (по сути сетевых фильтров) в запросчик оригиналов файлов с сервера.

Т.е. требуется файл «XXXX» -заданная версия/hash 9.9090.99.9/F9F9F9F9 - сетевой фильтр выкачивает этот файл с общего хранилища с возможным помещением в локальное хранилище/кэш.

Таким образом использование в локальной системе хранится только список файлов с версиями/хэш-суммами.

Естественно это в основном только для системных файлов в основном(поскольку менее часто меняются)

По сути дедупликация на файлово/сетевом уровне

P.S. я в курсе про корне на NFS. Это несколько ограничивает комп в выборе версий.

 ,

Atlant
()

RSS подписка на новые темы