Здравствуйте уважаемые!
Прошу помощи.
Тяму не хватает наваять скрипт или последовательность команд.
Есть file1.txt и file2.txt в каждой строке уникальное содержимое:
cat file1.txt
mail@domain submail@domain
mail@domain submail@domain
mail@domain submail@domain
cat file2.txt
submail@domain phone
submail@domain phone
На выходе после сравнения ящиков, нужно получить:
cat file_out.txt
mail@domain submail@domain phone
Здравствуйте Уважаемые!
Хз сколько времени убил на самбу, но так и не смог победить. Выручайте
Имеем:
Контроллер домена Windows server 2008 R2
Сервер с шарами: Debian 9, Samba Version 4.5.12-Debian.
Ввел Debian в домен, kinit проходит успешно, wbinfo -u выдает список доменных пользователей, wbinfo -g выдает список доменных групп. Создаю шару в самбе, пытаюсь под виндой зайти с доменного компа доменного пользователя на сервер с шарой, получаю отлуп «отказано в доступе».
smb.conf
[global]
realm = DOMEN.LOC
server string = Backupserver
workgroup = DOMEN
domain master = No
local master = No
os level = 0
preferred master = No
log file = /var/log/samba/log.%m
max log size = 1000
panic action = /usr/share/samba/panic-action %d
disable spoolss = Yes
load printers = No
printcap name = /dev/null
show add printer wizard = No
name resolve order = hosts wins bcast
dedicated keytab file = /etc/krb5.keytab
kerberos method = system keytab
map to guest = Bad Password
security = ADS
winbind enum groups = Yes
winbind enum users = Yes
winbind refresh tickets = Yes
winbind use default domain = Yes
dns proxy = No
wins support = Yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb
wide links = Yes
[share]
comment = Public directory
path = /var/share
browseable = yes
readonly = no
writable = yes
guest ok = No
create mask = 0777
valid users = "@DOMEN\nas4free", "@DOMEN\администраторы домена", "@DOMEN\users_it"
read list = "@DOMEN\nas4free", "@DOMEN\администраторы домена", "@DOMEN\users_it"
write list = "@DOMEN\nas4free", "@DOMEN\администраторы домена", "@DOMEN\users_it"
[2017/10/19 17:56:14.832050, 2] ../source3/param/loadparm.c:2685(lp_do_section)
Processing section "[share]"
[2017/10/19 17:56:16.114276, 2] ../source3/auth/auth.c:315(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [admin] -> [admin] FAILED with error NT_STATUS_ACCESS_DENIED
[2017/10/19 17:56:16.114357, 2] ../auth/gensec/spnego.c:720(gensec_spnego_server_negTokenTarg)
SPNEGO login failed: NT_STATUS_ACCESS_DENIED
[2017/10/19 17:56:16.245530, 2] ../source3/param/loadparm.c:2685(lp_do_section)
Processing section "[share]"
[2017/10/19 17:56:17.571431, 2] ../source3/auth/auth.c:315(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [admin] -> [admin] FAILED with error NT_STATUS_ACCESS_DENIED
[2017/10/19 17:56:17.571512, 2] ../auth/gensec/spnego.c:720(gensec_spnego_server_negTokenTarg)
SPNEGO login failed: NT_STATUS_ACCESS_DENIED
[2017/10/19 17:56:17.589969, 2] ../source3/param/loadparm.c:2685(lp_do_section)
Processing section "[share]"
[2017/10/19 17:56:18.896232, 2] ../source3/auth/auth.c:315(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [admin] -> [admin] FAILED with error NT_STATUS_ACCESS_DENIED
[2017/10/19 17:56:18.896313, 2] ../auth/gensec/spnego.c:720(gensec_spnego_server_negTokenTarg)
SPNEGO login failed: NT_STATUS_ACCESS_DENIED
Подскажите пожалуйста, где я прокосячил?
Этот же конфиг успешно работает на:
Ubuntu 14.04.5 LTS \n \l
Samba Version 4.1.6-Ubuntu
Здравствуйте Уважаемые! Есть вот такой вот скриптик:
#!/bin/sh
HOST="8.8.8.8"
# Файл-флаг. Появляется при переключении на резервный канал
LOCKFILE="/tmp/check_internet.lock"
# Файл журнала
LOGFILE="/var/log/check_internet.log"
#Добавляем маршрут до 8.8.8.8 через 1прова
ip route add 8.8.8.8 via 119.228.242.13 dev eth0
while :
do
# Пингуем проверочный хост через основной канал
ping -I 95.79.221.8 -c 8 -n -q ${HOST} > /dev/null
# Если возникла ошибка (хост не доступен)
if [ $? -ne "0" ]; then
# Если нет файла-флага
if [ ! -f ${LOCKFILE} ]; then
#удаляем маршрут по умолчанию через 1прова
ip route del default
#добавляем маршрут по умолчанию через РТК
ip route add default via 203.208.106.37 dev ppp100
# Создаём файл флаг
touch ${LOCKFILE}
# Делаем запись в файл журнала
echo `date +'%Y/%m/%d %H:%M:%S'` 1st inet connection lost >> ${LOGFILE}
fi
# Если же всё хорошо
else
# Если есть файл-флаг
if [ -f ${LOCKFILE} ]; then
#удаляем маршрут по умолчанию через РТК
ip route del default via 203.208.106.37 dev ppp100
#добавляем маршрут по умолчанию через 1прова
ip route add default via 119.228.242.13 dev eth0
# Удаляем файл-флаг
rm -f ${LOCKFILE}
# Записываем событие в файл журнала
echo `date +'%Y/%m/%d %H:%M:%S'` 1st connetction UP >> ${LOGFILE}
fi
fi
done
curl -Is http://${HOST} |head -n 1Здравствуйте уважаемые знатоки!
Прошу Вас помощи, случилась такая ситуевина в одной из котор. Стоит asterisk на неттопе с винтом на 500гб, в один прекрасный момент астериск перестал проигрывать некоторые звуковые файлы, ну местный админ ребутнул его и с тех пор он не бутится.
Дано:
Ubuntu 12.04
HDD WD 500gb
разделы lvm
ошибка при загрузке
kernel panic: /sbin/init no such file
Сразу же подумав что винту пришел кирдык, воткнул его на проверку викторией, SMART - good, нашелся один бед блок в самом конце диска и ремапнуся.
гружусь с live cd ubuntu server 12.04
fdisk -l видит lvm партишны /dev/mapper/asterisk-lv-root размером 500гб и /dev/mapper/asterisk-lv-swap размером 2 гига
монтирую /dev/mapper/asterisk-lv-root
пытаюсь чрутнуться в нее, получаю в ответ болт (отсутствует интерпретатор)
гляжу в нее через ls и первое что бросатеся в глаза, отсутствуют /etc и /opt (хотел конфиги астериска копирнуть)
На данный момент на всякий случай через dd сижу делаю копию жертвы на такой же 500гб винт.
Вопрос:
Подскажите пожалуйста что можно сделать в таком случае, чтоб не преустанавливать систему? как произвести проверку диска с lvm томами и попробовать восстановить загрузку? fsck.ext4 шлет лесом и ссылаясь непонятно на что (копировать вывод не могу, т.к это физически другая машина)
Есть ли шансы воскресить больного?
Благодарю Вас за ответы, уважаемые.
Здравствуйте уважаемое сообщество!
В сетях я не особо силен, по этому прошу Вас помощи.
Имеется Ubuntu 12.04.5 LTS, на нем астериск, сервер в инет выходит через VPN (l2tp ppp0), никаким клиентам NAT не отдает, т.е инет на нем исключительно в собственных целях.
В некоторых случаях при звонках начали появляться заикания, «дыры» в речи итд итп. Решил продиагностировать ppp0 соединение путем пингования большими пакетами, (ping 8.8.8.8 -l 1000) потери около 50%, ну думаю проблема в интернет соединении, да не тут то было:
Пингую 127.0.0.1
( читать дальше... )
Пингую сам себя по адресу в локалке с указанием интерфейса
( читать дальше... )
Нормально, что такие потери на локалхост?
Здравствуйте уважаемые!
Описываю проблему:
Имеется
2 тачки, шлюз на Debian 7 и клиент под оффтопиком.
На шлюзе стоит:
Squid Cache: Version 3.1.20CPU0: Intel(R) Celeron(R) CPU G460 @ 1.80GHz stepping 07
## Конфигурация
# Определение порта на котором работает Squid
http_port 8128
http_port 8129 transparent
## Отображаемый hostname SQUID
visible_hostname home.lan
dns_nameservers 127.0.0.1
# Не использовать IPv6, если доступен IPv4-адрес
# По умолчанию, приоритет отдается протоколу IPv6, что может привести к ошибкам соединения, если IPv6 недоступен
dns_v4_first on
# При завершении работы ожидать закрытия клиентских подключений, так заявлено в документации
# Фактически, ждет независимо от наличия подключений
# По умолчанию - 30 секунд, сократим время ожидания до одной секунды
shutdown_lifetime 1 seconds
## Определения
#acl all src all
acl manager proto cache_object
cache_mgr admin@localhost
logfile_rotate 10
debug_options rotate=10
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.100.0/24 #Клиенты вашей сети
## Разрешаемые порты
acl SSL_ports port 443 # SSL
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
## Правила
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
# Разрешаем доступ к кешу только с localhost
http_access allow manager localhost
http_access deny manager
# И запрещаем все остальное кроме разрешенного
http_access deny all
# Разрешаем доступ к ICP только из локальной сети
icp_access allow localnet
icp_access deny all
# Настройки КЭШа и логов.
prefer_direct on
nonhierarchical_direct off
cache_replacement_policy lru
cache_dir aufs /usr/local/squid3/cache 1024 256 256
coredump_dir /usr/local/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
maximum_object_size 100 MB
cache_mem 500 MB
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %ul %ui %Sh/%<A %mt
cache_access_log /var/log/squid3/access.log
## Место нахождения страниц с описанием ошибок Squid’а
error_directory /usr/share/squid3/errors/Russian-1251
Доброго всем времени. Имеются проблемы с NAT, не знаю как решить. При обращении с оффтопика за шлюзом Debian на удаленный хост для установления GRE - удаленный хост принимает пакеты с локальным адресом отправителя оффтопика. Происходит это только по GRE, (иногда случается с SIP) остальные соединения идут «как надо».
Описываю направление соединения: Оффтопик(192.168.100.50)>Шлюз Debian(eth1 192.168.100.100 eth0 94.73.222.31) == Интернет == Удаленный хост Ubuntu (eth0 91.234.11.49 eth1 192.168.0.254)>Проброс порта и gre>Оффтопик PPTPD сервер(192.168.0.253)
iptables-save с Debian хоста
root@debian:~# iptables-save
# Generated by iptables-save v1.4.14 on Wed Sep 16 09:17:50 2015
*mangle
:PREROUTING ACCEPT [44821:42269251]
:INPUT ACCEPT [35135:25384906]
:FORWARD ACCEPT [9633:16869506]
:OUTPUT ACCEPT [33646:18586636]
:POSTROUTING ACCEPT [43292:35456966]
COMMIT
# Completed on Wed Sep 16 09:17:50 2015
# Generated by iptables-save v1.4.14 on Wed Sep 16 09:17:50 2015
*nat
:PREROUTING ACCEPT [583:50238]
:INPUT ACCEPT [529:36983]
:OUTPUT ACCEPT [203:12567]
:POSTROUTING ACCEPT [203:12567]
-A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 94.73.222.31
COMMIT
# Completed on Wed Sep 16 09:17:50 2015
# Generated by iptables-save v1.4.14 on Wed Sep 16 09:17:50 2015
*filter
:INPUT ACCEPT [29288:21156398]
:FORWARD ACCEPT [8175:13724571]
:OUTPUT ACCEPT [28030:15147584]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Wed Sep 16 09:17:50 2015
root@debian:~#
root@debian:~# cat /proc/sys/net/ipv4/ip_forward
1
root@ubuntu:~# iptables-save
# Generated by iptables-save v1.4.4 on Wed Sep 16 09:32:45 2015
*mangle
:PREROUTING ACCEPT [981288281:886622485381]
:INPUT ACCEPT [514049277:408826043243]
:FORWARD ACCEPT [467153224:477791780858]
:OUTPUT ACCEPT [507905675:391722767192]
:POSTROUTING ACCEPT [975110085:869520517543]
COMMIT
# Completed on Wed Sep 16 09:32:45 2015
# Generated by iptables-save v1.4.4 on Wed Sep 16 09:32:45 2015
*nat
:PREROUTING ACCEPT [12587510:846306111]
:POSTROUTING ACCEPT [9372134:625939879]
:OUTPUT ACCEPT [9653170:647997987]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.0.253
-A PREROUTING -i eth0 -p gre -j DNAT --to-destination 192.168.0.253
-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Wed Sep 16 09:32:45 2015
# Generated by iptables-save v1.4.4 on Wed Sep 16 09:32:45 2015
*filter
:INPUT ACCEPT [514049285:408826049235]
:FORWARD ACCEPT [467153195:477791779624]
:OUTPUT ACCEPT [507905684:391722772724]
-A FORWARD -s 192.168.5.0/24 -d 192.168.0.0/24 -j DROP
COMMIT
# Completed on Wed Sep 16 09:32:45 2015
root@ubuntu:~#
Начинаю «звонить» по PPTP с оффтопика (192.168.100.50) на Ubuntu(91.234.11.49), на Ubuntu запускаю tcpdump и вижу:
root@ubuntu:~# tcpdump -n -i eth0 proto GRE
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
09:10:07.726082 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 0, length 37: LCP, Conf-Request (0x01), id 0, length 23
09:10:09.724191 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 1, length 37: LCP, Conf-Request (0x01), id 1, length 23
09:10:12.724607 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 2, length 37: LCP, Conf-Request (0x01), id 2, length 23
09:10:16.725015 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 3, length 37: LCP, Conf-Request (0x01), id 3, length 23
09:10:20.726245 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 4, length 37: LCP, Conf-Request (0x01), id 4, length 23
09:10:24.726001 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 5, length 37: LCP, Conf-Request (0x01), id 5, length 23
09:10:28.726473 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 6, length 37: LCP, Conf-Request (0x01), id 6, length 23
09:10:32.726943 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 7, length 37: LCP, Conf-Request (0x01), id 7, length 23
09:10:36.727449 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 8, length 37: LCP, Conf-Request (0x01), id 8, length 23
09:10:40.727955 IP 192.168.100.50 > 192.168.0.253: GREv1, call 53771, seq 9, length 37: LCP, Conf-Request (0x01), id 9, length 23
root@ubuntu:~# tcpdump -n -i eth0 proto GRE
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
09:09:01.136171 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 0, length 37: LCP, Conf-Request (0x01), id 0, length 23
09:09:01.247928 IP 192.168.0.253 > 195.28.164.19: GREv1, call 60072, ack 0, no-payload, length 12
09:09:03.135558 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 1, length 37: LCP, Conf-Request (0x01), id 1, length 23
09:09:03.136927 IP 192.168.0.253 > 195.28.164.19: GREv1, call 60072, seq 0, ack 1, length 72: LCP, Conf-Request (0x01), id 0, length 54
09:09:03.136948 IP 192.168.0.253 > 195.28.164.19: GREv1, call 60072, seq 1, length 37: LCP, Conf-Ack (0x02), id 1, length 23
09:09:03.139115 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 2, ack 1, length 51: LCP, Conf-Reject (0x04), id 0, length 33
09:09:03.139591 IP 192.168.0.253 > 195.28.164.19: GREv1, call 60072, seq 2, ack 2, length 45: LCP, Conf-Request (0x01), id 1, length 27
09:09:03.141020 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 3, ack 2, length 29: LCP, Conf-Nack (0x03), id 1, length 11
09:09:03.141427 IP 192.168.0.253 > 195.28.164.19: GREv1, call 60072, seq 3, ack 3, length 46: LCP, Conf-Request (0x01), id 2, length 28
09:09:03.143043 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 4, ack 3, length 46: LCP, Conf-Ack (0x02), id 2, length 28
09:09:03.143082 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 5, length 32: LCP, Ident (0x0c), id 2, length 20
09:09:03.143092 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 6, length 38: LCP, Ident (0x0c), id 3, length 26
09:09:03.143102 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 7, length 38: LCP, Ident (0x0c), id 4, length 26
09:09:03.144685 IP 192.168.0.253 > 195.28.164.19: GREv1, call 60072, seq 4, ack 7, length 44: CHAP, Challenge (0x01), id 0, Value 60aa76abdce7ded367c43285e0788994, Name DELTA
09:09:03.147429 IP 195.28.164.19 > 192.168.0.253: GREv1, call 26605, seq 8, ack 4, length 80: CHAP, Response (0x02), id 0, Value 97884b4443e14b12d226c15dc0a6cce80000000000000000964cd4d22c46dbe4a1[|chap]
09:09:03.156124 IP 192.168.0.253 > 195.28.164.19: GREv1, call 60072, seq 5, ack 8, length 64: CHAP, Success (0x03), id 0, Msg S=1CE5DC51248DA668595E429DA7359A1E[|chap]
Доброго времени суток ЛОР!
Вопрос такой, имеется Squid3 на Debian, к нему прикручен Lightsquid.
Задача: нужно при заходе какого-либо юзера на определенный список сайтов - уведомлять админа по мылу о факте посещения и кем был посещен (блокировать сайты не надо).
Первое что приходит на ум, это какой-нибудь bash скрипт, который будет грепать лог кальмара на наличие строки с url нужного сайта, и при наличии данной строки - отсылать мыло, но к сожалению в скриптописании я не силен (
Есть какие-нибудь предложения\варианты по сабжу?
Доброго всем времени!
В последнее время частенько ФС на домашнем debian сервере переходит в режим «read only». Перезагрузишь, недельку поработает и опять по новой. Сегодня опять столкнулся с такой проблемой.
root@debian:~# cat /var/log/syslog
Jan 21 01:05:11 debian kernel: [435566.750678] Buffer I/O error on device dm-0, logical block 15460095
Jan 21 01:05:11 debian kernel: [435566.750686] EXT4-fs warning (device dm-0): ext4_end_bio:250: I/O error -5 writing to inode 3673018 (offset 23592960 size 524288 starting block 15459968)
Jan 21 01:05:11 debian kernel: [435566.750700] sd 2:0:0:0: [sda] Unhandled error code
Jan 21 01:05:11 debian kernel: [435566.750704] sd 2:0:0:0: [sda] Result: hostbyte=DID_BAD_TARGET driverbyte=DRIVER_OK
Jan 21 01:05:11 debian kernel: [435566.750709] sd 2:0:0:0: [sda] CDB: Write(10): 2a 00 07 66 e8 00 00 00 80 00
Jan 21 01:05:11 debian kernel: [435566.750720] end_request: I/O error, dev sda, sector 124184576
Jan 21 01:05:11 debian kernel: [435566.750686] EXT4-fs warning (device dm-0): ext4_end_bio:250: I/O error -5 writing to inode 3673018 (offset 23592960 size 524288 starting block 15459968)
Jan 21 01:05:11 debian kernel: [435566.750903] sd 2:0:0:0: [sda] Unhandled error code
Jan 21 01:05:11 debian kernel: [435566.750906] sd 2:0:0:0: [sda] Result: hostbyte=DID_BAD_TARGET driverbyte=DRIVER_OK
Jan 21 01:05:11 debian kernel: [435566.750912] sd 2:0:0:0: [sda] CDB: Write(10): 2a 00 04 8f 96 d0 00 01 68 00
Jan 21 01:05:11 debian kernel: [435566.750922] end_request: I/O error, dev sda, sector 76519120
Jan 21 01:05:12 debian kernel: [435567.953239] Buffer I/O error on device dm-0, logical block 15440801
Jan 21 01:05:12 debian kernel: [435568.039455] Buffer I/O error on device dm-0, logical block 15440892
Jan 21 01:05:12 debian kernel: [435568.040333] Buffer I/O error on device dm-0, logical block 15440893
root@debian:~# dmesg
Ошибка сегментирования
root@debian:~# touch /tmp/test
Ошибка шины
root@debian:~# cat /var/log/dmesg
cat: /var/log/dmesg: Ошибка ввода/вывода
Доброго времени суток!
Заранее прошу простить за столь большую «портянку» текста. Читал Lorcode но так и не нашел как спрятать «портянку» в спойлер. Тег [«cut»][«/cut»]] работает только на новостях.
Опишу проблему:
( читать дальше... )
Мб ЛОР мне сможет помочь разобраться в проблеме?
Доброго всем времени суток!
В общем есть такая трабла, не знаю как решить, т.к со squid приходится сталкиваться редко.
Есть сеть, вся сеть ходит в инет через прокси (не прозрачный), в проксе прописан каскад (антивирь).
Т.е схема такая: Клиентский браузер>Прокся с ограничениями и учетом(Squid Cache: Version 2.7.STABLE7)>В проксе прописан каскад (Антивирь eset)>Интернет
Проблема заключается в том, что антивирь криво отрабатывает https, и у юзеров при аплоаде\даунлоаде на всякие облака, происходят обрывы то на 20мегабайтах файла, то на 40 итп, в общем рандомно.
Задача:
Сказать прокси серверу SQUID, чтоб именно https он не отправлял в каскад, а напрямую ходил за ним в инет и отдавал его своим клиентам.Остальное же - каскадировать в антинтивирь.
Прошу сразу исключить реплики типа «Выкинь свой антивирус» итп, т.к это не возможно (деньги за лицуху оплачены и возвращать их никто не собирается, разговоры уже были, разработчики только кормят завтраками о новых релизах в которых проблема будет исправлена, ну и продлевают лицензию нахаляву до момента исправления проблемы) Сканить пользовательский http все-таки нужно, т.к зараза лупится антивирем еще до момента доставки её пользователю (статистика показывает результаты) Насчет https это понятно, что он зашифрован и сканировать его невозможно, но вот антивирь его к сожалению без косяков через себя прожевать не может. Отключить у пользователей прокси для https тоже не возможно, т.к у пользователей нету NAT (инет для них только через пркоси)
В общем прошу помощи :)
Вот squid.conf
cat /etc/squid/squid.conf
#Директория с HTML страницами для ошибок
error_directory /usr/share/squid/errors/Russian-1251
#Параметры аутентификации
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#Количество дочерних процессов ntlm_auth
auth_param ntlm children 10
#Скрипт аутентификации (читает группы пользователей в AD)
external_acl_type nt_group ttl=90 %LOGIN /usr/lib/squid/wbinfo_group.pl
#Каскадный прокси
cache_peer 127.0.0.1 parent 8082 0 no-query default
acl all src 0.0.0.0/0.0.0.0
never_direct allow all
http_port 192.168.0.254:3128
acl white_list url_regex -i "/etc/squid/white_list"
acl white_list_block url_regex -i "/etc/squid/white_list_block"
acl black_list url_regex -i "/etc/squid/black_list"
acl Internet external nt_group gInternet
acl Full external nt_group gInternetFull
acl Medium external nt_group gInternetMedium
acl Low external nt_group gInternetLow
acl localhost src 192.168.0.254
acl guests src 192.168.5.0/255.255.255.0
acl nt_group proxy_auth REQUIRED
acl manager proto cache_object
http_access allow guests
http_access allow localhost
http_access allow manager localhost
cachemgr_passwd secret all
http_access deny Low white_list_block
http_access allow Low white_list
acl obed time 13:00-14:00
http_access allow Medium black_list obed
http_access deny Medium black_list
http_access allow Medium
http_access allow Full
http_access allow Internet
http_access deny all
access_log /var/log/squid/access.log
logfile_rotate 2
Приветствую!
Мб кто сталкивался с данной проблемой и знает как её решить?
В общем, есть сервак Ubuntu 12.04 lts, на нем примонтированна сетевая шара (монтировалась так:
mount //192.168.0.13/share$ /mnt/share/ -o username=test,password=test\\ubuntuserver\share\[global]
workgroup = OFFICE
server string = Bell (Voip)
realm = OFFICE.LOCAL
netbios name = BELL
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ADS
domain master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
#winbind separator = +
usershare allow guests = yes
[share]
valid users = "@OFFICE\lAs100", "@OFFICE\Domain Admins"
admin users = "@OFFICE\Domain Admins"
write list = "@OFFICE\Domain Admins"
read list = "@OFFICE\lAs100"
writable = yes
path = /mnt/share/
browseable = yes
Здравия желаю!
Стояла задача, перенести рабочую систему с одного сервака на другой.
Дано:
Исходный сервер:
Ubuntu server 10.4.3
софтовый md raid10 /dev/md0
в нем 4 диска
1пара - raid1
2пара - raid1
Итого из двух пар рейд1 слеплен рейд10.
Конечный сервер:
2 винта в аппаратном raid1
Что было сделано:
На конечный сервер был установлен Ubuntu server 10.4.3
После, скопировал весь корень (/) с исходного сервера на конечный. Никакие операции по восстановлению загрузчика и fstab не делались т.к после ребута система запустилась - за исключением сети (сеть ручками правил).
Теперь на конечном сервере в fstab следующее:
# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc nodev,noexec,nosuid 0 0
# / was on /dev/md0 during installation
UUID=7bde089c-a690-46df-a36f-7cbecfc8c58b / ext4 errors=remount-ro 0 1
swap none swap sw 0 0
root@ftp:/# df -h
Файловая система Разм Исп Дост Исп% смонтирована на
/dev/mapper/ftp-root 264G 103G 149G 41% /
none 1,9G 192K 1,9G 1% /dev
none 2,0G 0 2,0G 0% /dev/shm
none 2,0G 388K 2,0G 1% /var/run
none 2,0G 0 2,0G 0% /var/lock
none 2,0G 0 2,0G 0% /lib/init/rw
none 264G 103G 149G 41% /var/lib/ureadahead/debugfs
В силу неопытности работы с софт-рейдами не могу понять, параетры софтового рейда перенеслись на конечную систему, и убунта думает что она до сих пор на рейде? или нет?
root@ftp:/# mdadm -D /dev/md0
mdadm: cannot open /dev/md0: No such file or directory
Своп тоже отвалился.
До переноса системы на конечном сервере fstab был таким:
root@ftp:/# cat /old/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid -o value -s UUID' to print the universally unique identifier
# for a device; this may be used with UUID= as a more robust way to name
# devices that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc nodev,noexec,nosuid 0 0
/dev/mapper/ftp-root / ext4 errors=remount-ro 0 1
# /boot was on /dev/cciss/c0d0p1 during installation
UUID=a0a8acf1-dbea-43c9-8e20-eb79d6e1c2f9 /boot ext2 defaults 0 2
/dev/mapper/ftp-swap_1 none swap sw 0 0
root@ftp:/# ls -la /dev/disk/by-uuid/
итого 0
drwxr-xr-x 2 root root 100 2013-12-27 13:49 .
drwxr-xr-x 6 root root 120 2013-12-27 13:49 ..
lrwxrwxrwx 1 root root 21 2013-12-27 13:49 7dbab410-ffbc-47b0-9931-d773d61e74ab -> ../../mapper/ftp-root
lrwxrwxrwx 1 root root 18 2013-12-27 13:49 a0a8acf1-dbea-43c9-8e20-eb79d6e1c2f9 -> ../../cciss/c0d0p1
lrwxrwxrwx 1 root root 23 2013-12-27 13:49 e1a3c95f-9fd8-4366-a4b9-a17677ef2741 -> ../../mapper/ftp-swap_1
root@ftp:/#
В общем в конечном результате на конечном сервере должна быть такая же система как и на исходном, за исключением софтового рейда. Его быть не должно.
Подскажите где все это проверить? Ну и как это все выпилить и сделать все красиво?
Попрошу сильно не пинать, т.к опыт у меня не столь прокачан в линуксе, чтоб все сходу подхватывать с манов. Маны конечно читаю :) Но много вещей в них есть непонятных )
Здравствуйте уважаемые!
Хотелось бы узнать у Вас по теме следующего:
Поднимал ли кто-нибудь сервер видеовещания в сеть? Если да, то какой софт порекомендуете?
Стоит задача, забрать видеопоток с ipcam (желательно mpeg2 mpeg4) и подмонтировать его в какое-нибудь подобие icecast. Потом отдать его в flash плеер на сайт. Чтоб клиенты грузили трафиком не саму камеру, а сервер вещания.
Простыми словами: Создать трансляцию с камеры на сайт.
Примерные схемы:
1) Ipcam--->(инет 5mbit либо локалка)-->Сервер вещания(прим Icecast)-->>Инет(~mbit)->>клиенты.
2) Ipcam>>(инет5мб либо локаль)>>Какой-то софт чтоб забирать поток с камеры и монтировать в сервер>>>Сервер>Клиенты.
Естественно все это нужно сделать на Linux. Мб частично в промежутке использовать оффтопик.
Привет ЛОР!
Юзаю PPPoE на сервере.(ненавижу PPPoE и провайдеров предоставляющих инет таким способом)
ppp контролит падение канала, в случае падения - перезванивает.
Внимание вопрос!:
Как можно заставить\отследить\пофиксить такую траблу, как поднятие интерфейса с другим именем при перезвоне?
был ppp0, после падения-перезвона становится ppp1 ppp2 итп...
Собственно лог:
Oct 21 07:04:00 fm pppd[1802]: LCP terminated by peer
Oct 21 07:04:00 fm pppd[1802]: Connect time 1440.3 minutes.
Oct 21 07:04:00 fm pppd[1802]: Sent 2952414517 bytes, received 2939602105 bytes.
Oct 21 07:04:01 fm pppd[1802]: Terminating on signal 15
Oct 21 07:04:01 fm pppd[20434]: Plugin rp-pppoe.so loaded.
Oct 21 07:04:01 fm pppd[20434]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.5
Oct 21 07:04:01 fm pppd[20436]: pppd 2.4.5 started by root, uid 0
Oct 21 07:04:01 fm pppd[20436]: PPP session is 33111
Oct 21 07:04:01 fm pppd[20436]: Connected to 00:1e:14:1b:48:1a via interface eth0
Oct 21 07:04:01 fm pppd[20436]: Couldn't allocate PPP unit 0 as it is already in use
Oct 21 07:04:01 fm pppd[20436]: Using interface ppp1
Oct 21 07:04:01 fm pppd[20436]: Connect: ppp1 <--> eth0
Oct 21 07:04:01 fm NetworkManager: SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp1, iface: ppp1)
Oct 21 07:04:01 fm NetworkManager: SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/ppp1, iface: ppp1): no ifupdown configuration found.
Oct 21 07:04:01 fm pppd[20436]: PAP authentication succeeded
Oct 21 07:04:01 fm pppd[20436]: peer from calling number 00:1E:14:1B:48:1A authorized
Oct 21 07:04:01 fm pppd[20436]: Cannot determine ethernet address for proxy ARP
Oct 21 07:04:01 fm pppd[20436]: local IP address 186.12.61.190
Oct 21 07:04:01 fm pppd[20436]: remote IP address 10.10.1.23
Oct 21 07:04:03 fm pppd[1802]: Connection terminated.
Oct 21 07:04:03 fm NetworkManager: SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Oct 21 07:04:03 fm pppd[1802]: Modem hangup
Oct 21 07:04:03 fm pppd[1802]: Exit.
Конфиг соединения:
# Minimalistic default options file for DSL/PPPoE connections
noipdefault
hide-password
noauth
persist
plugin rp-pppoe.so eth0
user "*****"
unit 0
Oct 21 07:04:01 fm pppd[20436]: Couldn't allocate PPP unit 0 as it is already in use
Oct 21 07:04:01 fm pppd[20436]: Using interface ppp1
Приветствую ЛОР!
Прошу помощи разобраться в следующем:
Имеется:
Сеть №1 с IpTV от провайдера.
IP cервера вещания у провайдера 10.8.0.136
Группа multicast 239.0.0.0/8
В сети установлен шлюз с Ubuntu на борту.
eth0 - 94.73.222.31 (интерфейс смотрящий в строну провайдера)
tun10 - 192.168.47.1 (IP over IP туннель с сетью №2)
Сеть №2
Шлюз сети на Ubuntu
eth0 - (192.168.0.254) локалка за шлюзом
eth1 - (91.230.41.211) инет от провайдера
tun10 - 192.168.47.2 (IP over IP туннель с сетью №1)
На обоих шлюзах iptables стоит в режиме ACCEPT по всем фильтрам.
Задача:
Забрать IpTV из сети №1 и отдать эти потоки в сеть №2 используя туннель между сетями.
Выбор пал на igmpproxy т.к в большинстве хардварных хоум-роутеров именно он отдает IpTV своим клиентам, причем отдает отлично.
Поехали:
Туннель поднят, маршрутизация в туннеле работает, сервера видят друг друга отлично, сеть 192.168.0.0/24 видит сервер на другом конце туннеля отлично.
На шлюзе из Сети №1 IpTV показывает.
Поставил igmpproxy на шлюз из сети №1 со следующим конфигом:
quickleave
##------------------------------------------------------
## Configuration for eth0 (Upstream Interface)
##------------------------------------------------------
phyint eth0 upstream ratelimit 0 threshold 1
altnet 10.0.0.0/8
altnet 224.0.0.0/8
altnet 239.0.0.0/8
##------------------------------------------------------
## Configuration for eth1 (Downstream Interface)
##------------------------------------------------------
phyint tun10 downstream ratelimit 0 threshold 1
##------------------------------------------------------
## Configuration for eth2 (Disabled Interface)
##------------------------------------------------------
phyint eth2 disabled
##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave
##------------------------------------------------------
## Configuration for eth0 (Upstream Interface)
##------------------------------------------------------
phyint tun10 upstream ratelimit 0 threshold 1
altnet 10.0.0.0/8
altnet 224.0.0.0/8
altnet 239.0.0.0/8
##------------------------------------------------------
## Configuration for eth1 (Downstream Interface)
##------------------------------------------------------
phyint eth0 downstream ratelimit 0 threshold 1
##------------------------------------------------------
## Configuration for eth2 (Disabled Interface)
##------------------------------------------------------
phyint tap0 disabled
phyint ppp0 disabled
phyint virbr0 disabled
phyint vnet0 disabled
phyint br0 disabled
Доброго всем времени суток!
Прошу Вас помочь решить данную проблему.
Имеется: Хоум нетворк через обычный 5портовый хаб Dlink 192.168.100.0/24
Имеется: Сервер на Ubuntu 11.10 на нем есть инет, поднят pptpd
Собственно сам конфиг без комментов:
root@Ubuntu:~# cat /etc/pptpd.conf
###############################################################################
option /etc/ppp/pptpd-options
debug
logwtmp
bcrelay wlan0
localip 192.168.101.50
remoteip 192.168.101.101-110
root@Ubuntu:~# cat /var/log/syslog
Sep 12 21:06:08 Ubuntu pptpd[2796]: CTRL: Client 192.168.100.250 control connect ion started
Sep 12 21:06:08 Ubuntu pptpd[2796]: CTRL: Starting call (launching pppd, opening GRE)
Sep 12 21:06:08 Ubuntu pppd[2797]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded .
Sep 12 21:06:08 Ubuntu pppd[2797]: pppd 2.4.5 started by root, uid 0
Sep 12 21:06:08 Ubuntu NetworkManager[866]: SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Sep 12 21:06:08 Ubuntu NetworkManager[866]: SCPlugin-Ifupdown: device added ( path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration fou nd.
Sep 12 21:06:08 Ubuntu pppd[2797]: Using interface ppp0
Sep 12 21:06:08 Ubuntu pppd[2797]: Connect: ppp0 <--> /dev/pts/0
Sep 12 21:06:11 Ubuntu pptpd[2796]: CTRL: Ignored a SET LINK INFO packet with re al ACCMs!
Sep 12 21:06:11 Ubuntu pppd[2797]: peer from calling number 192.168.100.250 auth orized
Sep 12 21:06:11 Ubuntu pppd[2797]: MPPE 128-bit stateless compression enabled
Sep 12 21:06:12 Ubuntu pppd[2797]: Cannot determine ethernet address for proxy A RP
Sep 12 21:06:12 Ubuntu pppd[2797]: local IP address 192.168.101.50
Sep 12 21:06:12 Ubuntu pppd[2797]: remote IP address 192.168.101.111
Sep 12 21:06:28 Ubuntu pptpd[2796]: GRE: read(fd=7,buffer=8058500,len=8260) from network failed: status = -1 error = Protocol not available
Sep 12 21:06:28 Ubuntu pptpd[2796]: CTRL: GRE read or PTY write failed (gre,pty) =(7,6)
Sep 12 21:06:28 Ubuntu pppd[2797]: Modem hangup
Sep 12 21:06:28 Ubuntu pppd[2797]: Connect time 0.3 minutes.
Sep 12 21:06:28 Ubuntu pppd[2797]: Sent 1697851 bytes, received 45473 bytes.
Sep 12 21:06:28 Ubuntu pppd[2797]: MPPE disabled
Sep 12 21:06:28 Ubuntu pppd[2797]: Connection terminated.
Sep 12 21:06:28 Ubuntu NetworkManager[866]: SCPlugin-Ifupdown: devices remove d (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Sep 12 21:06:28 Ubuntu pptpd[2796]: CTRL: Reaping child PPP[2797]
Sep 12 21:06:28 Ubuntu pppd[2797]: Hangup (SIGHUP)
Sep 12 21:06:28 Ubuntu pppd[2797]: Exit.
Sep 12 21:06:28 Ubuntu pptpd[2796]: CTRL: Client 192.168.100.250 control connect ion finished
Весь iptables на сервере «ACCEPT». ЧЯДНТ???? Почему рвет коннект? Сильно напрягает
pptpd[2796]: GRE: read(fd=7,buffer=8058500,len=8260) from network failed: status = -1 error = Protocol not available
Здравствуйте уважаемые лорчане! Имеется скрипт, но хотелось бы узнать у профессионалов, правильно ли он написан. И еще одна штука не понятна, как его зациклить, чтоб он работал постоянно. К примеру, стартует система, крон вызывает скрипт, и скрипт работает постоянно. Т.е после завершения скрипта, чтоб он по второму кругу прокручивался, и так до бесконечности.
Собственно суть скрипта: Скрипт проверки доступности источника, если источник недоступен, блокировать доступ к нему и проверять доступность на протяжении некоторого времени. Если источник стал доступен, осуществить контрольную проверку доступности на протяжении некоторого времени, если все ок, то снять блокировку. Схема работы: Отправляем 3 пинга источнику, если источник не ответил на 3 пинга, блокируем доступ к источнику по iptables, создаем файл-флаг и возвращаемся вначало (опять 3 пинга) и так ожидаем до полного ответа на все 3 пинга. Если источник ответил на 3 пинга, проверяем наличие файл флага, если флага нету, то начинаем все сначала, если файл флаг присутствует, то пингуем еще 120 раз (прим 2 минуты) если 120пингов успешны, снимаем блокировку, если 120 пингов не успешны, то возвращаемся в начало.
Сам скрипт: (проверьте плиз на правильность по вышеописанному)
#!/bin/sh
# Доступность этого хоста будет означать корректную работу оснвного источника
HOST="217.117.21.169"
# Файл-флаг. Появляется при переключении на резервный канал
LOCKFILE="/tmp/check_source.lock"
# Файл журнала
LOGFILE="/var/log/check_source.log"
# Пингуем проверочный хост
ping -I 217.74.21.189 -c 3 -n -q ${HOST} > /dev/null
# Если возникла ошибка (хост не доступен)
if [ $? -ne "0" ]; then
# Если нет файла-флага
if [ ! -f ${LOCKFILE} ]; then
# блокируем доступ по списку правил
iptables-resotre < /opt/iptables.block
# Создаём файл флаг
touch ${LOCKFILE}
# Делаем запись в файл журнала
echo `date +'%Y/%m/%d %H:%M:%S'` Source blocked >> ${LOGFILE}
fi
# Если же всё хорошо
else
# Если есть файл-флаг
if [ -f ${LOCKFILE} ]; then
# Пингуем еще 120 раз, если пинги проходят удачно, убираем блокировку
ping -I 217.74.21.189 -c 120 -n -q ${HOST} > /dev/null
if [ $? -ne "0" ]; then
iptables-restore < /opt/iptables.open
# Удаляем файл-флаг
rm -f ${LOCKFILE}
# Записываем событие в файл журнала
echo `date +'%Y/%m/%d %H:%M:%S'` Source deblocked >> ${LOGFILE}
fi
fi
Ну, и собственно вопрос, как его зациклить....
Здравствуйте уважаемые! Прошу Вас помочь разобраться с моей бедой. Суть проблемы: Имеется хост машина на Ubuntu 10.04, она же шлюз для локальной сети, файрволл. На ней запустил в виртуалке KVM гостевую ОС Debian 7.01 (веб сервер) Хост машина имеет белый адрес Виртуалка имеет белый адрес из той же сети, но сам адрес другой. На хост машине сделан бридж на виртуальную от сетевого интерфейса с белым адресом. Долго бившись с непонятками, я понял одну вещь. Если на хост машине(шлюз для локалки) стоит проброс на какой-либо порт в локалку, и если этот же порт слушает виртуалка, то при обращении на адрес виртуалки, пакет уходит по правилам проброса в локалку. К примеру: Хост машина br0(внешний ифейс с белым адресом) ip 1.2.3.4 eth0 (ифейс смотрящий в локалку) 192.168.0.1 В iptables стоит проброс 80го порта с br0 на IP 192.168.0.2(веб сервер в локалке) Виртуалка: eth0 (с белым адресом) ip 1.2.3.40 lo ---------- При обращении браузером на 1.2.3.40:80(внешний адрес виртуалки) меня забрасывает на веб сервер в локалке 192.168.0.2:80 взаместо веб сервера который стоит на виртуалке. Если пробросы портов на хост машине убрать, то все работает как и должно быть.
Как такое вообще может быть? Что за бред? Если такую же схему строить на виндовом VirtualBOX то порты хост машины никак не пересекаются с виртуалкой.
Ниже привожу конфиг iptables хост машины:
# Generated by iptables-save v1.4.4 on Fri Aug 16 08:40:43 2013
*mangle
:PREROUTING ACCEPT [75620532:66002994766]
:INPUT ACCEPT [20401451:18477124151]
:FORWARD ACCEPT [55223344:47526163646]
:OUTPUT ACCEPT [18903639:10772374931]
:POSTROUTING ACCEPT [74203747:58304927631]
COMMIT
# Completed on Fri Aug 16 08:40:43 2013
# Generated by iptables-save v1.4.4 on Fri Aug 16 08:40:43 2013
*filter
:INPUT ACCEPT [20401451:18477124151]
:FORWARD ACCEPT [55223344:47526163646]
:OUTPUT ACCEPT [18903554:10772364375]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Aug 16 08:40:43 2013
# Generated by iptables-save v1.4.4 on Fri Aug 16 08:40:43 2013
*nat
:PREROUTING ACCEPT [722811:50066135]
:POSTROUTING ACCEPT [358360:25818346]
:OUTPUT ACCEPT [454848:36812591]
-A PREROUTING -i br0 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.0.253
-A PREROUTING -i br0 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.0.252
-A PREROUTING -i br0 -p tcp -m tcp --dport 5269 -j DNAT --to-destination 192.168.0.252
-A PREROUTING -i br0 -p gre -j DNAT --to-destination 192.168.0.253
-A PREROUTING -s XX.XXX.XXX.XX/32 -i br0 -p tcp -m tcp --dport 5060 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s XX.XXX.XXX.XX/32 -i br0 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s XX.XXX.XXX.XX/32 -i br0 -p udp -m udp --dport 9000:20000 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s YYY.YY.YY.Y/32 -i br0 -p udp -m udp --dport 9000:20000 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s YYY.YY.YY.Y/32 -i br0 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s YYY.YY.YY.Y/32 -i br0 -p tcp -m tcp --dport 5060 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -i br0 -p tcp -m tcp --dport 3001 -j DNAT --to-destination 192.168.0.13
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.252
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.252
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.252
-A PREROUTING -s XY.YY.XXX.46/32 -i br0 -p tcp -m tcp --dport 4569 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s XY.YY.XXX.46/32 -i br0 -p udp -m udp --dport 4569 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s ZZ.XYZ.YY.150/32 -i br0 -p tcp -m tcp --dport 4569 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s ZZ.XYZ.YY.150/32 -i br0 -p udp -m udp --dport 4569 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s AA.BB.CC.29/32 -i br0 -p tcp -m tcp --dport 4569 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s AA.BB.CC.29/32 -i br0 -p udp -m udp --dport 4569 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s DD.FFF.XXX.6/32 -i br0 -p tcp -m tcp --dport 5060 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s DD.FFF.XXX.6/32 -i br0 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.0.216
-A PREROUTING -s DD.FFF.XXX.6/32 -i br0 -p udp -m udp --dport 9000:20000 -j DNAT --to-destination 192.168.0.216
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.5.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Aug 16 08:40:43 2013
Ifconfig
br0 Link encap:Ethernet HWaddr 78:e3:b5:fc:5f:f7
inet addr:XX.YY.ZZ.253 Bcast:XX.YY.ZZ.255 Mask:255.255.255.0
inet6 addr: fe80::7ae3:b5ff:fefc:5ff7/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:44576133 errors:0 dropped:0 overruns:0 frame:0
TX packets:41379279 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:41463078429 (41.4 GB) TX bytes:30560125562 (30.5 GB)
eth0 Link encap:Ethernet HWaddr 78:e3:b5:fc:5f:f6
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::7ae3:b5ff:fefc:5ff6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:388615077 errors:0 dropped:10 overruns:0 frame:4
TX packets:415367524 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:286066760479 (286.0 GB) TX bytes:341323070112 (341.3 GB)
Interrupt:16
eth0:0 Link encap:Ethernet HWaddr 78:e3:b5:fc:5f:f6
inet addr:192.168.0.201 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:16
eth1 Link encap:Ethernet HWaddr 78:e3:b5:fc:5f:f7
inet6 addr: fe80::7ae3:b5ff:fefc:5ff7/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:462370372 errors:3 dropped:0 overruns:0 frame:17
TX packets:421590293 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:412339313699 (412.3 GB) TX bytes:293060052353 (293.0 GB)
Interrupt:17
eth6 Link encap:Ethernet HWaddr 00:1b:21:39:86:95
inet addr:192.168.5.254 Bcast:192.168.5.255 Mask:255.255.255.0
inet6 addr: fe80::21b:21ff:fe39:8695/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:56153 errors:0 dropped:0 overruns:0 frame:0
TX packets:186742 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4898347 (4.8 MB) TX bytes:149654003 (149.6 MB)
Память:df920000-df940000
lo Link encap:Локальная петля (Loopback)
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:144900 errors:0 dropped:0 overruns:0 frame:0
TX packets:144900 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:18025495 (18.0 MB) TX bytes:18025495 (18.0 MB)
ppp0 Link encap:Протокол PPP (Point-to-Point Protocol)
inet addr:192.168.138.2 P-t-P:192.168.138.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1410 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:57 (57.0 B) TX bytes:48 (48.0 B)
tap0 Link encap:Ethernet HWaddr c6:67:b8:d7:98:ba
inet addr:192.168.253.1 Bcast:192.168.253.255 Mask:255.255.255.0
inet6 addr: fe80::c467:b8ff:fed7:98ba/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1880943 errors:0 dropped:0 overruns:0 frame:0
TX packets:2652177 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:993190780 (993.1 MB) TX bytes:1898998791 (1.8 GB)
virbr0 Link encap:Ethernet HWaddr 6a:8b:27:97:0d:fa
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
inet6 addr: fe80::688b:27ff:fe97:dfa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:84252 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:8289848 (8.2 MB)
vnet0 Link encap:Ethernet HWaddr fe:54:00:5a:53:91
inet6 addr: fe80::fc54:ff:fe5a:5391/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1293193 errors:0 dropped:0 overruns:0 frame:0
TX packets:2509417 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:118258869 (118.2 MB) TX bytes:3268912939 (3.2 GB)
Оффтоп: Пытался закрыть все под спойлер, но почему-то лоркод [cut]text[/cut] не работает. Ниже приведен пример скопированной строки с используемым лоркодом со страницы http://www.linux.org.ru/wiki/en/Lorcode
( читать дальше... )
Здравствуйте уважаемые. Имеется конторка, в ней для пользаков инет раздается через squid. Настроена NTLM аутентификация, стоит парсер lightsquid. Прошу вас помочь с верной расстановкой и описанием acl В общем опишу суть проблемки. Блочим соц сети и анонимайзеры блек листом. Задача: дать юзерам подвергнутым обработке блек листом доступ в соц сети в обеденный перерыв с 13.00-14.00 Прописываю acl регулирующий время - acl работает, только на период обеда сквид пускает в инет всё всподряд, т.е игнорируя NTLM. Парсер в отчетах взаместо имен пользователей начинает писать их айпишнеги. Прошу помощи ;) Сам конфиг:
cat /etc/squid/squid.conf
#Директория с HTML страницами для ошибок
error_directory /usr/share/squid/errors/Russian-1251
#Параметры аутентификации
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#Количество дочерних процессов ntlm_auth (рекомендуемое значение на 10% больше числа пользователей в офисе)
auth_param ntlm children 35
#Скрипт аутентификации (читает группы пользователей в AD)
external_acl_type nt_group ttl=90 %LOGIN /usr/lib/squid/wbinfo_group.pl
acl all src 0.0.0.0/0.0.0.0
http_port 192.168.0.254:3128
#http_port 0.0.0.0:3128
acl white_list url_regex -i "/etc/squid/white_list"
acl black_list url_regex -i "/etc/squid/black_list"
acl Internet external nt_group gInternet
acl Full external nt_group gInternetFull
acl Medium external nt_group gInternetMedium
acl Low external nt_group gInternetLow
acl localhost src 192.168.0.254
acl guests src 192.168.5.0/255.255.255.0
acl nt_group proxy_auth REQUIRED
acl manager proto cache_object
http_access allow guests
http_access allow localhost
http_access allow manager localhost
cachemgr_passwd secret all
http_access allow Low white_list
http_access deny Low
acl obed time 13:00-14:00
http_access allow black_list obed
http_access deny Medium black_list
http_access allow Medium
http_access allow Full
http_access allow Internet
http_access deny all
access_log /var/log/squid/access.log
logfile_rotate 100
Как правильно прописать acl чтоб во время обеда игнорился блеклист, а все остальное работало по старому как и всегда работает за исключением обеда (NTLM и запись в лог имен пользователей, а не их IP)
| следующие → |