LINUX.ORG.RU

Сообщения ATAMAH

 

iptables и динамика, и статика.

есть шлюз с тремя сетевыми:
eth0 (77.77.77.77) - внешний;
eth1 (192.168.1.1) - внутренний_1;
eth2 (192.168.2.1) - внутренний_2.

в подсети 192.168.1.0/24 - статические IP-адреса;
в подсети 192.168.2.0/24 - динамические IP-адреса с 2 по 100, с 101-254 статические (устройства).

Интернет раздается обеим сетям через squid.
Необходимо пробиться извне к устройству на 192.168.1.111 по порту 5000 (tcp, udp) и к устройству на 192.168.2.222 по порту 10000 (tcp, udp).

При ниже приведенных правилах достучаться можно только до устройства на 192.168.1.111
Если убрать комментарий с MASQUERADE, то достучаться можно только до устройства на 192.168.2.222

Собственно вопрос, как сделать чтобы достучаться можно было до обоих устройств?

IPTABLES -t nat -A PREROUTING -d 77.77.77.77 -p tcp --dport 5000 -j DNAT --to-destination 192.168.1.111
IPTABLES -t nat -A PREROUTING -d 77.77.77.77 -p udp --dport 5000 -j DNAT --to-destination 192.168.1.111
IPTABLES -t nat -A PREROUTING -d 77.77.77.77 -p tcp --dport 10000 -j DNAT --to-destination 192.168.2.222
IPTABLES -t nat -A PREROUTING -d 77.77.77.77 -p udp --dport 10000 -j DNAT --to-destination 192.168.2.222

IPTABLES -I FORWARD 1 -i eth0 -o eth1 -d 192.168.1.111 -p ALL -j ACCEPT
IPTABLES -I FORWARD 1 -i eth0 -o eth2 -d 192.168.2.222 -p ALL -j ACCEPT

IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 77.77.77.77
# IPTABLES -t nat -A POSTROUTING -j MASQUERADE
ATAMAH
()

винту и данным аминь?

# fdisk /dev/sdb

Невозможно прочитать /dev/sdb
# iostat -x /dev/sdb
Linux 2.6.31.6-smp     14.04.2010
 
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
           1,23    0,00    0,27    0,22    0,00   98,29
 
Device:         rrqm/s   wrqm/s   r/s   w/s   rsec/s   wsec/s avgrq-sz avgqu-sz   await  svctm  %util
sdb               0,00     0,00  0,00  0,00     0,00     0,00     0,00     0,00    0,00   0,00   0,00  
smartctl -a /dev/sdb
smartctl version 5.38 [i486-slackware-linux-gnu] Copyright (C) 2002-8 Bruce Allen
Home page is http://smartmontools.sourceforge.net/                                
 
=== START OF INFORMATION SECTION ===
Model Family:     Seagate Barracuda 7200.11
Device Model:     ST31000340AS              
Serial Number:    9QJ02CQ3                  
Firmware Version: SD04                      
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   7                                              
ATA Standard is:  Exact ATA specification draft version not indicated
Local Time is:    Wed Apr 14 11:57:31 2010 MSD                        
SMART support is: Available - device has SMART capability.            
SMART support is: Enabled                                            
 
SMART Disabled. Use option -s with argument 'on' to enable it. 

собственно сабж. :(

ATAMAH
()

ошибки CIFS

в syslog стали появляться следующие сообщения:

Mar 22 02:02:26 server kernel: CIFS VFS: No response for cmd 50 mid 43768
Mar 22 05:15:59 server kernel: CIFS VFS: No response for cmd 50 mid 13
Mar 22 05:25:00 server kernel: CIFS VFS: No response for cmd 50 mid 24078
Mar 23 02:02:39 server kernel: CIFS VFS: No response for cmd 50 mid 44182
Mar 23 05:16:36 server kernel: CIFS VFS: No response for cmd 50 mid 13
Mar 23 05:25:22 server kernel: CIFS VFS: No response for cmd 50 mid 24075

в принципе, на работу не влияющие, но.... мне они не нравятся :)
в гугл нашел только советы писать скрипты отмонтирования раньше скриптов отключения.
Но тут сервер, он вообще не отключается и в кроне на указанное время планов нет.
Что с этим делать?
samba 3.2.15
SlackWare 12.0

ATAMAH
()

samba+reiserfs

Подскажите плиз, что-за фигня?
взято из syslog

kernel: REISERFS warning (device sdb1): jdm-20002 reiserfs_xattr_get: Invalid hash for xattr (system.posix_acl_access) associated with [1953724787 1882090853 0x7869736f UNKNOWN]

ATAMAH
()

Вход под доменным юзверем

Потерял весь день, и вконец запутался...
Есть Вынь2003(DOM) с АД,
есть станция с SlackWare-13.0 (MYST), хочу войти на станцию под доменным юзверем (admin)- получаю фигу (что в кедах, что в консоли)

Причем:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@DOM

Issued Expires Principal
Sep 16 17:24:50 Sep 17 03:24:50 krbtgt/DOM@DOM
Sep 16 17:24:50 Sep 17 03:24:50 MYST$@DOM

# wbinfo -u
все пользователи домена

# wbinfo -g
все группы домена

# wbinfo -K admin%mypass
plaintext kerberos password authentication for [admin] succeeded (requesting cctype: FILE)
credentials were put in: FILE:/tmp/krb5cc_0

# getent passwd | grep admin
admin:*:30112:30002:Админ Админович Админов:/home/DOM/admin:/bin/bash

# id admin
uid=30112(admin) gid=30002(пользователи домена) группы=30002(пользователи домена),30003(администраторы домена),30009(пользователи terminalservice),30001(BUILTIN\users),30000(BUILTIN\administrators)

# wbinfo --own-domain
DOM

И даже:
# ntlm_auth --domain=DOM --require-membership-of='DOM\Аминистраторы домена' --username=admin
password:
NT_STATUS_OK: Success (0x0)

и в окне логина в кедах видно всех юзверей домена - но залогониться ни под одним не можу.. :(
Поможите люди добрые - а то с ума сойду :)

зы:смущает запись в winbindd.log

[2009/09/16 18:29:13, 3] winbindd/winbindd_user.c:winbindd_getpwuid(466)
[ 6408]: getpwuid 0
[2009/09/16 18:29:13, 3] winbindd/winbindd_user.c:winbindd_getpwsid(207)
Could not find domain for sid S-1-22-1-0

но ведь wbinfo и сиды показывает и домен, и керберос пашет..
вообщем запуталси я....

ATAMAH
()

комп без монитора (NAS)

Как то было тут такое, но чел просто интересовался..
Но у меня конкретная история.
Intel Entry Storage System SS4200-E - девайс без видяхи вообще. В наличии тока сеть, 4 винта по 1 Тб и IDE-FLASH на 256Мб на коем стоит некое подобие урезанного линукса. При включении идет загрузка с этого флеш-винта линукса, который поднимает программный RAID и JAVA сервер благодоря которому можно "управлять" настройками данного девайса по сети через веб морду. Последнее мне так и не удалось сделать. Вообщем задолбало. Хочу выдернуть флеш-винт и грузиться с обычной usb-флешки с нормальной Slax, а дальше по ssh я сам и RAID подниму и самбу.
Собственно вопросы:
1. есть ли другие варианты установки ОСи на комп без монитора?
2. как сказать биосу грузиться с usb в слепую?

ATAMAH
()

WiMAX

чет запутался с сабжем, распутайте.. плиз... %(

Купили себе HTC 4G MAX, проверил его работоспособность в качестве сабж-модема на ХР - работает, очь понравилось. Не понравилось, что ХР стоит на ноуте у жены, а у меня линух. По моей логике, надо для линуха дрова. Первый затык - а для какого устройства, это же телефон? Нарыл в инете для самсуневского сабж-модема, но пока, не экспериментирую, ибо совсем не самсунь у меня. Думаю дальше. Если поставлю дрова дальше как настраивать - как usb-модем, wifi-модем (какие интерфейсы вообще задействовать)?...
Или это вообще не решаемо и я впереди паровоза?

ATAMAH
()

внешняя подсеть

3 дня ломаю голову, не пойму в чем причина..
поможите люди добрые...

итак:
из-за отсутствия дополнительных внешних ИП адресов (так сказал сам пров), провайдер дает нам подсеть и один ИП через который мы сами должны маршрутизировать эту самаю подсеть. Для примера:
IP - 195.195.195.55
сеть - 85.85.85.112/29

дабы не тратить зря ИПешники я пустил и всю локалку через этот выданный ИП, прикрутив кальмара и iptables. Проблем нет, все довольны.
Есть у нас некое оборудование (веб-камеры и т.д.) к которым из "хрен_знает_от_куда" через инет надо иметь постоянный доступ. Маршрутизирую:
route add -net 85.85.85.112 netmask 255.255.255.248 gw 195.195.195.55

и открываю в iptables:
IPTABLES -A FORWARD -i $INET_IFACE -p ALL -d 85.85.85.112/29 -j ACCEPT

подключены 4 устройства с данными им мной ИП:
85.85.85.113
85.85.85.114
85.85.85.115
85.85.85.116

и собственно вот трабла:
два из этих устройства и пингуются и дают работать с ними с любой точки Земли, два других нет :(. Причем опробывали в локалке - устройства рабочие на все 100. В логах тока ошибки вида:
IPT INPUT packet died: IN=eth2 OUT= MAC=_МАК_ВНЕШНЕЙ_СЕТЕВУХИ_ SRC=_КАЖДЫЙ_РАЗ_РАЗНЫЕ_ВНЕШНИЕ_АДРЕСА DST=195.195.195.55 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=22257 DF PROTO=TCP SPT=1699 DPT=1397 WINDOW=65535 RES=0x00 SYN URGP=0

даже не знаю куда смотреть и где копать...
ИП меняли - не помогает :(

ATAMAH
()

Убить root'a

Запретить root'у заходить в консоли и через ssh не получается :(
удалял и оставлял пустым /etc/security, а также коментарил там tty1-5 - один фиг в консоль пускает.
в /etc/ssh/sshd.conf
PermitRootLogin no
не дает root'у войти, но и , зараза, пароль на su всегда просить извинений... - не пускает.
ХЕЕЕЕЕЛП!
как root'у запретить ходить в консоли и ssh, но приетом иметь возможность юзать su ?
зы: Слака-12.0

ATAMAH
()

тонкая настройка ШАРов в самбе

ОСь - SlackWare-12.0
клиенты - выньХР
домен с АД - вынь2003
samba 3.2.4 --with_winbind, ads, quotas, krb5 собрана ручками из исходников
Права на самбовские шары раздается на ура мышой с любой тачки из под ВЫНя теми кто

[shara]
admin users = "@DOM\Администраторы домены"

но..., хотелось бы поиметь сабж.., т.е. что у меня получается:
если я даю на папку доступы - писать, читать и удалял, то линух ставит этому юзьверу или группе полные права, а мне не надо чтобы юзверь или группа управляли правами, а только писали, читали, удаляли. Думаю поэтому у меня при открытии несколькими юзверями одного DOC'овского документа все могут в него писать, никто не получает предупреждения, что файл только для чтения :(

поможите, как сие реализовать, больно на ВЫНЬ перелазить не хочется...

тут уже был.. http://www.lissyara.su/?id=1460

зы: а как тикет постоянный получить никто и не скажет?

ATAMAH
()

Бесрочный ticket в samb'е

samba 3.2.4 - собрана ручками с поддержкой ads, krb5, winbind, ldap
Linux SlackWare 12.0 - член Вынь домена (DOM), АКА файл-помойка.
всё работает на ура, даже админить через "галочки" получается :)
но сделать сабж - ни в какую.. - билет только на 10 часов, хоть тресни.
~# cat /etc/krb5.conf
[libdefaults]
clockskew = 300
default_realm = DOM
dns_lookup_realm = false
dns_lookup_kdc = false
krb4_get_tickets = false
default_etypes = des-cbc-crc des-cbc-md5
default_etypes_des = des-cbc-crc des-cbc-md5

[appdefaults]
proxiable = false
ticket_lifetime = 24h
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[realms]
DOM = {
kdc = tcp/dc1.dom tcp/dc2.dom
admin_server = dc1.dom
default_domain = DOM
}

[domain_realm]
.dom = DOM
dom = DOM

[kdc]
enable-kerberos4 = false

[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

поможите сделать сабж..., плиз.

>>>

ATAMAH
()

OpenVPN и аутентификация

Весь инет перерыл, толком ничего не нашёл :( по сабжу.

OpenVPN - сам по себе работает, и работает как надо. Т.е. клиенты юзают и свою внутренную почту и рессурсы из любого места де есть розетка с инетом.
Но! всё это проходит при помощи сертификатов и ключей созданых отдельно для каждого юзверя.Т.е. после соеденения с OpenVPN сервером, при использование там RDP,OWA и т.д., аутентификация идёт _ТОЛЬКО_ на уровне домена локалки.
Имхо, как-то от этого на душе не спокойно.... Любой стырет эти ключи, поставить у себя клиента openvpn и всё.., тут только внутренний домен... :(
Хотелось бы поиметь аутентификацию и при доступе к OpenVPN серверу.

зы: клинеты - вынь, сервер - SlackWare 12.

ткните в урлу или дайте совет, плз.

>>>

ATAMAH
()

SATA HDD 400Gb

SlackWare-12, ядро 2.6.21.5-smp
сабжевый винт стал переодически выпадать в r/o. После перезагрузки системы всё востанавливается часа на 4-5, потом опять r/o :(
Пока глобальных мер не предпринимаю, ибо логи смущают:

messages

kernel: ata4: soft resetting port
kernel: ata4: soft resetting port
kernel: ata4: soft resetting port

syslog

kernel: ata4.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x2 frozen
kernel: ata4.00: cmd ca/00:10:f7:c3:00/00:00:00:00:00/e0 tag 0 cdb 0x0 data 8192 out
kernel: res 40/00:00:00:00:00/00:00:00:00:00/00 Emask 0x4 (timeout)
kernel: ata4: port is slow to respond, please be patient (Status 0xd0)
kernel: ata4: port failed to respond (30 secs, Status 0xd0)
kernel: ATA: abnormal status 0xD0 on port 0x0001fe67
last message repeated 4 times
kernel: ata4.00: qc timeout (cmd 0xec)
kernel: ata4.00: failed to IDENTIFY (I/O error, err_mask=0x4)
kernel: ata4.00: revalidation failed (errno=-5)
kernel: ata4: failed to recover some devices, retrying in 5 secs
kernel: ata4: port is slow to respond, please be patient (Status 0xd0)
kernel: ata4: port failed to respond (30 secs, Status 0xd0)
kernel: ATA: abnormal status 0xD0 on port 0x0001fe67
last message repeated 4 times
kernel: ata4.00: qc timeout (cmd 0xec)
kernel: ata4.00: failed to IDENTIFY (I/O error, err_mask=0x4)
kernel: ata4.00: revalidation failed (errno=-5)
kernel: ata4.00: limiting speed to UDMA/133:PIO3
kernel: ata4: failed to recover some devices, retrying in 5 secs
kernel: ata4: port is slow to respond, please be patient (Status 0xd0)
kernel: ata4: port failed to respond (30 secs, Status 0xd0)
kernel: ATA: abnormal status 0xD0 on port 0x0001fe67
last message repeated 4 times
kernel: ata4.00: qc timeout (cmd 0xec)
kernel: ata4.00: failed to IDENTIFY (I/O error, err_mask=0x4)
kernel: ata4.00: revalidation failed (errno=-5)
kernel: ata4.00: disabled
kernel: end_request: I/O error, dev sdb, sector 50167
kernel: Buffer I/O error on device sdb1, logical block 6263
kernel: lost page write due to I/O error on sdb1
kernel: Buffer I/O error on device sdb1, logical block 6264
kernel: lost page write due to I/O error on sdb1
kernel: REISERFS: abort (device sdb1): Journal write error in flush_commit_list
kernel: REISERFS: Aborting journal for filesystem on sdb1
kernel: end_request: I/O error, dev sdb, sector 50191
kernel: Buffer I/O error on device sdb1, logical block 6266
kernel: lost page write due to I/O error on sdb1

в dmesg всё пучком

ReiserFS: sdb1: found reiserfs format "3.6" with standard journal
ReiserFS: sdb1: using ordered data mode
ReiserFS: sdb1: journal params: device sdb1, size 8192, journal first block 18, max trans len 1024, max batch 900, max commit age 30, max trans age 30
ReiserFS: sdb1: checking transaction log (sdb1)
ReiserFS: sdb1: Using r5 hash to sort names

у меня винт умерает или через чур быстрый?

>>>

ATAMAH
()

SlackWare-12 auto upgrade типа WSUS'а

у меня парк компов на слаке-12 (3 сервера и 5 станций) и есть тенденция к расщирению до хз знает скольки. Хотелка: автоматом обновлять пакеты. сейчас с этим справляется swaret, но запускать его на каждом компе для апгрейда с инета, получается накладно. Нет ли чего в природе на подобии вражеского WSUS'а, т.е. обновляется одна тачка, а все остальные уже с неё?

Я понимаю, что можно и со swaret'ом поизврящаться, но может что-то есть готовое? заранее всем спасибо!

>>>

ATAMAH
()

RSS подписка на новые темы