Сообщения DALDON

По внешнему ip из локальной сети.

Друзья! Всем привет. Подскажите как бы Вы решали вот такую проблему:

Представим офисного сотрудника который до приезда в офис сидел в кафе со своим ноутбуком и любимым Outlook читал корпоративную почту. Посидел, почитал. Закрыл крышку. Приехал в офис. Пришёл в офис, воткнул ethernet кабель (чтобы иметь все локальные ресурсы и большую скорость) - открыл крышку чтобы продолжить читать любимым Outlook почту, а тут хопачки... Обломчик. Так-как с улицы оно было: mail.company.ru 62.26.262.45, а внутри локалки всё же это уже нечто вида: mail.company.ru 192.168.15.12. Эта проблема легко решается перезапуском outlook. - Он при запуске обновит кеш DNS и всё будет в шоколаде. Но вот как бы сделал ты уважаемый ЛОРовец, чтобы не приходилось перезапускать outlook в таком случае?

P.S. речь не только об outlook, есть и другие ресурсы.

Тут есть два варианта видимо:

Вариант 1: сделать чтобы внутренний DNS возвращал внешний ip, и видимо все кто приходили бы из вне, шли на наш шлюз, шлюз бы делал NAT и прокидывал бы обратно во внутрь - но это же очень, очень криво... и медлено. Не вижу смысла так тупо гонять трафик.

Вариант 2: DNS не трогаем, однако всем тем кто пришёл на внешний адрес из локальной сети попрежнему делаем NAT. А через время когда почтовый клиент сам обновит свой кеш DNS, клиент уже придёт на внутренний адрес... - Вроде бы и не плохое решение. Однако не очень понятно как тотже почтовый клиент себя в таком случае поведёт в случае использования SSL? И опять-же в этом случае когда сотрудник уйдёт из офиса обратно в уютную кафешку, ему таки придётся перезапустить outlook, чтобы тот из внешнего DNS снова взял внешний ip адрес.

Может есть что-то более умное и красивое в этом отношении? Уж больно мне не хочется извращаться с NAT внутри своей же локальной сети.

Спасибо!

DALDON
(30.03.14 18:25:57 MSK)

26 комментариев

webdav client with kerberos

Добрый день друзья!

Есть задача: смонтировать webdav каталог в Linux, но при этом, чтобы webdav не спрашивал пароля, а использовал TGT полученный от kerberos.

Есть что-то сабжевое? Куда вообще надо копать?

P.S. под оффтопиком всё завёл, теперь дело за Linux. :)

kerberos, webdav

DALDON
(27.03.14 09:24:42 MSK)

26 комментариев

Псевдографические шахматы

Привет всем! Очень хочется играть на одной машинке с другом через screen в какие-нибудь шахматы без иксов. Нужно что-то псевдографическое, но не особо замороченное. Может что-то есть?

Попробовал: conchess. Всё супер, но нет различий между чёрными и белыми фигурами... А так вполне бы сгодилось! Может что-то есть подобное?

консоль, шахматы

DALDON
(25.02.14 10:27:11 MSK)

34 комментария

squid kerberos auth

Привет всем! Пожалуйста подскажите что я не так делаю:

#egrep -v '(^#|^$)' /etc/squid3/squid.conf

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -s HTTP/squid.tokk.domain
auth_param negotiate children 10
auth_param negotiate keep_alive on
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl lan proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow lan
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .		0	20%	4320

Машинка с офтопиком в домене (samba4) 192.168.2.20 IE 10.

# tail -f /var/log/squid3/access.log 
1392981709.293      0 192.168.2.20 TCP_DENIED/407 4087 GET http://ru.msn.com/? - NONE/- text/html
1392981709.310      2 192.168.2.20 TCP_DENIED/407 6368 GET http://ru.msn.com/? - NONE/- text/html
1392981709.337      0 192.168.2.20 TCP_DENIED/407 3881 GET http://www.bing.com/favicon.ico - NONE/- text/html
1392981709.342      2 192.168.2.20 TCP_DENIED/407 6176 GET http://www.bing.com/favicon.ico - NONE/- text/html

# cat /etc/default/squid3.conf 
KRB5_KTNAME=/etc/squid3/squid.keytab
export KRB5_KTNAME

При этом, в пользователе proxy билета нету - klist ничего не выдаёт. Явно, что /etc/default/squid3.conf НЕ отрабатывается... Делаю руками:

# su - proxy
$ kinit -V -k -t /etc/squid3/squid.keytab  HTTP/squid.tokk.domain 
Using default cache: /tmp/krb5cc_13
Using principal: HTTP/squid.tokk.domain@TOKK.DOMAIN
Using keytab: /etc/squid3/squid.keytab
Authenticated to Kerberos v5
$ klist
Ticket cache: FILE:/tmp/krb5cc_13
Default principal: HTTP/squid.tokk.domain@TOKK.DOMAIN

Valid starting       Expires              Service principal
21.02.2014 16:07:04  22.02.2014 02:07:04  krbtgt/TOKK.DOMAIN@TOKK.DOMAIN
	renew until 22.02.2014 16:07:04

При этом вылазит окно логина + пассворда, чтобы я туда не вводил, ничего не проваливается... :( В логах squid вообще тишина, не смотря на ключ -d у хелпера kerberos. Более того, сам хелпер болтается в процессах, но почему-то не хочет или не может получать тикет. Такое ощущение, что до него не доходит процесс... Или я даже не знаю чего думать ещё по этому поводу.

Может кто-то имеет аналогичную конфигурацию и подскажет, что я не так делаю?

Версия squid:

squid3 -v
Squid Cache: Version 3.1.19
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security' 'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security' --with-squid=/build/buildd/squid3-3.1.19

DNS записи:

root@squid:~# host 192.168.2.1
1.2.168.192.in-addr.arpa domain name pointer squid.tokk.domain.
root@squid:~# host squid.tokk.domain
squid.tokk.domain has address 192.168.2.1

P.S. серверная ОС: ubuntu 12.04.

DALDON
(21.02.14 16:18:21 MSK)

10 комментариев

samba4 export keytab problem

Всем привет. Не могу получить keytab файл... Делаю так:

samba-tool user create --random-password squidauth
samba-tool spn add squid/squid.my.domain@my.DOMAIN squidauth

Получается всё хорошо:

# samba-tool spn list squidauth
squidauth
User CN=squidauth,CN=Users,DC=my,DC=domain has the following servicePrincipalName: 
	 squid/squid.my.domain@MY.DOMAIN

Хочу получить Keytab:

# samba-tool domain exportkeytab out.keytab --principal=squid/squid.my.domain
ERROR(runtime): uncaught exception - Key table entry not found
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py", line 103, in run
    net.export_keytab(keytab=keytab, principal=principal)

~# samba -V
Version 4.0.15-SerNet-Ubuntu-8.precise

Гуглить устал... Решения никто не предложил. Может можно как-то по другому получить файл keytab? Например с офтопика через ktpass?

DALDON
(20.02.14 17:39:39 MSK)

4 комментария

samba4 MIT-kerberos for windows squid

Господа, с kerberos никогда не работал... Однако надобно. Для начала со squid (для простоты), а вообще нужен SSO.

Подскажите возможна-ли такая связка:

Win 7 ВНЕ домена

MIT kerberos Ticket Manager for Windows

samba4 как сервер kerberos

squid в который через IE хочется войти без ввода логина/пассворда.

Сейчас у меня есть билет в MIT kerberos Ticket Manager (я его успешно получаю с samba4), только не пойму, этот билет сможет увидеть IE или любое другое приложение?

klist на Windows показывает 0 билетов.

То, что я хочу возможно вообще? В противном случае я тогда не понимаю зачем нужен MIT kerberos для виндов...

kerberos, история успеха, оффтопик

DALDON
(19.02.14 15:36:31 MSK)

3 комментария

Локальная сеть по оптике RX/TX

Привет ЛОР! Уразуми меня..!

Есть два SPF модуля: D-link DEM-330R TX 13 / RX 15. Каждый модуль подключен на конце одной оптической одномодовой жилы. Линка нет...

Мне надо было покупать один модуль: TX 13 / RX 15 а другой: TX 15 / RX 13 (например D-Link DEM-330T)? Или в чём то другом косяк..?

оптика

DALDON
(22.01.14 09:48:39 MSK)

5 комментариев

SOCKS 5 proxy with ldap auth

Друзья, что есть сейчас из решений которые позволят сабж?

dante - в ubuntu 12.04 очень старый в репах, и не получилось завести сабж с LDAP... Новый dante тоже толком не заводится. Такое ощущение что проект таки подзаброшен.

Может dante у кого то работает в такой конфигурации? По оф. how-to не хочет он с LDAP дружить...

Есть 3proxy, но что там с LDAP под linux не очень ясно. Но и опять-же 3proxy ИМХО тоже уже умирает...

DALDON
(04.10.13 17:47:28 MSK)

16 комментариев

DNS cache sort order

Почему оно мне из моего же кеша возвращает различный порядок A записей?

root@gw:~# dig imap.yandex.ru

root@gw:~# dig imap.yandex.ru

; <<>> DiG 9.8.1-P1 <<>> imap.yandex.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41191
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 2, ADDITIONAL: 4

;; QUESTION SECTION:
;imap.yandex.ru.			IN	A

;; ANSWER SECTION:
imap.yandex.ru.		202	IN	A	93.158.134.124
imap.yandex.ru.		202	IN	A	213.180.193.124
imap.yandex.ru.		202	IN	A	213.180.204.124
imap.yandex.ru.		202	IN	A	77.88.21.124
imap.yandex.ru.		202	IN	A	87.250.250.124

;; AUTHORITY SECTION:
yandex.ru.		107519	IN	NS	ns1.yandex.ru.
yandex.ru.		107519	IN	NS	ns2.yandex.ru.

;; ADDITIONAL SECTION:
ns1.yandex.ru.		264370	IN	A	213.180.193.1
ns1.yandex.ru.		1345	IN	AAAA	2a02:6b8::1
ns2.yandex.ru.		264370	IN	A	93.158.134.1
ns2.yandex.ru.		1345	IN	AAAA	2a02:6b8:0:1::1

;; Query time: 1 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Oct  2 16:25:51 2013
;; MSG SIZE  rcvd: 236

root@gw:~# dig imap.yandex.ru

; <<>> DiG 9.8.1-P1 <<>> imap.yandex.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60865
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 2, ADDITIONAL: 4

;; QUESTION SECTION:
;imap.yandex.ru.			IN	A

;; ANSWER SECTION:
imap.yandex.ru.		199	IN	A	213.180.204.124
imap.yandex.ru.		199	IN	A	77.88.21.124
imap.yandex.ru.		199	IN	A	87.250.250.124
imap.yandex.ru.		199	IN	A	93.158.134.124
imap.yandex.ru.		199	IN	A	213.180.193.124

;; AUTHORITY SECTION:
yandex.ru.		107516	IN	NS	ns2.yandex.ru.
yandex.ru.		107516	IN	NS	ns1.yandex.ru.

;; ADDITIONAL SECTION:
ns1.yandex.ru.		264367	IN	A	213.180.193.1
ns1.yandex.ru.		1342	IN	AAAA	2a02:6b8::1
ns2.yandex.ru.		264367	IN	A	93.158.134.1
ns2.yandex.ru.		1342	IN	AAAA	2a02:6b8:0:1::1

;; Query time: 2 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Oct  2 16:25:55 2013
;; MSG SIZE  rcvd: 236

тупняк

DALDON
(02.10.13 16:37:44 MSK)

9 комментариев

Ряд вопросов о https

Ребят, помогите нищему умом:

1. Чем ужасен самоподписаный сертификат (в конторе до 150 человек), кроме того что надо его предварительно добавить в исключение?

Если кто-то задастся целью получить пароли - он это сделает вообще за так! Что помешает: поставить руткит,кейлогер жертве? В крайний случай можно поднять к примеру публичную точку доступа, отравить на ней DNS, и сделать свой сайт-заглушку. Сайт будет тупо по http собирать логин/пасс. - Кто нахрен обращает внимание на цвет строки или на букву s в браузере...

2. Если я добавил в исключение самоподписанный сертификат и потом я захотел получить сертификат подписанный официально, клиенты ничего уже не должны замечать? Как ведут себя почтовые клиенты (imaps)/браузеры в таких случаях?

3. Почему мой ЛОР ещё до сей поры не пользует https?

http

DALDON
(16.09.13 23:45:55 MSK)

48 комментариев

grub2 out of disk gpt

Привет ЛОР! Имеется диск на 3ТБ с GPT, и МП с классическим BIOS:

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048            4095   1024.0 KiB  EF02  BIOS boot partition
   2            4096      5860533134   2.7 TiB     8300  Linux filesystem

Grub установлен в MBR.

При загрузке получаю сообщение:

error: out of disk.
grub rescue>

Делаю:

ls (hd0,gpt2)/

Получаю список директорий.

Делаю:

ls (hd0,gpt2)/boot

Получаю:

error: out of disk.

Делаю:

ls (hd0,gpt2)/bin

Получаю список.

Очевидно, что каталог /boot вылез за пределы двух террабайт, и grub по сему не может доступиться к данным...

Вопрос: как сказать ФС, чтоб: нашла 28 мегабайт в пределах первых двух терабайт для каталога /boot/* и разместила его содержимое там?

ЛОР, не предлагай мне создать /boot партицию вначале... - Это я и сам знаю что решит проблему.

boot, fail, grub

DALDON
(11.09.13 12:25:58 MSK)

7 комментариев

zimbra работа спам фильтра...

Добрый день ЛОР! Не имею большого опыта в работе с почтой. Но имею очень стойкое ощущение, что тут что-то не так:

Чистая установка zimbra:

Release 8.0.4.GA.5737.UBUNTU12.64 UBUNTU12_64 FOSS edition.

Всё работает, GAL + provision из samba4, всё ок.

Перед тем как окончательно переходить на zimbra посмотрел что со спам защитой и не понял юмора...

$ postconf |grep /24
mynetworks = 127.0.0.0/8 192.168.2.0/24

Как видно тут только вторая подсеть.

Пробую отправить почту с рабочей машины: 192.168.11.43

# telnet mail-zimbra 25
Trying 192.168.2.54...
Connected to mail-zimbra.tokk.local.
Escape character is '^]'.
220 mail-zimbra.tokk.local ESMTP Postfix
ehlo spamer
250-mail-zimbra.tokk.local
250-PIPELINING
250-SIZE 21474836480
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: spamer@nonexistdomain.spam
250 2.1.0 Ok
rcpt to: gusevvs@mycompany.ru
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
spam
.
250 2.0.0 Ok: queued as E89AC441949

/var/log/zimbra.log has records:

Aug 25 13:05:13 mail-zimbra postfix/smtpd[31956]: NOQUEUE: filter: RCPT from unknown[192.168.11.43]: <spamer@nonexistdomain.spam>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<spamer@nonexistdomain.spam> to=<gusevvs@mycompany.ru> proto=ESMTP helo=<spamer>
Aug 25 13:05:13 mail-zimbra postfix/smtpd[31956]: NOQUEUE: filter: RCPT from unknown[192.168.11.43]: <spamer@nonexistdomain.spam>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10024; from=<spamer@nonexistdomain.spam> to=<gusevvs@mycompany.ru> proto=ESMTP helo=<spamer>
Aug 25 13:05:13 mail-zimbra postfix/smtpd[31956]: E89AC441949: client=unknown[192.168.11.43]
Aug 25 13:05:19 mail-zimbra postfix/cleanup[32194]: E89AC441949: message-id=<20130825090513.E89AC441949@mail-zimbra.tokk.local>
Aug 25 13:05:19 mail-zimbra postfix/qmgr[16533]: E89AC441949: from=<spamer@nonexistdomain.spam>, size=335, nrcpt=1 (queue active)
Aug 25 13:05:19 mail-zimbra amavis[16193]: (16193-01) ESMTP::10024 /opt/zimbra/data/amavisd/tmp/amavis-20130825T130519-16193-_UU1sJLH: <spamer@nonexistdomain.spam> -> <gusevvs@mycompany.ru> SIZE=335 Received: from mail-zimbra.tokk.local ([127.0.0.1]) by localhost (mail-zimbra.tokk.local [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <gusevvs@mycompany.ru>; Sun, 25 Aug 2013 13:05:19 +0400 (MSK)
Aug 25 13:05:19 mail-zimbra amavis[16193]: (16193-01) Checking: zv_GqB5GtiT2 [192.168.11.43] <spamer@nonexistdomain.spam> -> <gusevvs@mycompany.ru>
Aug 25 13:05:20 mail-zimbra postfix/amavisd/smtpd[32199]: connect from localhost[127.0.0.1]
Aug 25 13:05:20 mail-zimbra postfix/amavisd/smtpd[32199]: 1F0F244194C: client=localhost[127.0.0.1]
Aug 25 13:05:20 mail-zimbra postfix/cleanup[32194]: 1F0F244194C: message-id=<20130825090513.E89AC441949@mail-zimbra.tokk.local>
Aug 25 13:05:20 mail-zimbra postfix/qmgr[16533]: 1F0F244194C: from=<spamer@nonexistdomain.spam>, size=1097, nrcpt=1 (queue active)
Aug 25 13:05:20 mail-zimbra amavis[16193]: (16193-01) FWD from <spamer@nonexistdomain.spam> -> <gusevvs@mycompany.ru>,BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 1F0F244194C
Aug 25 13:05:20 mail-zimbra amavis[16193]: (16193-01) Passed CLEAN {RelayedInbound}, [192.168.11.43]:50708 [192.168.11.43] <spamer@nonexistdomain.spam> -> <gusevvs@mycompany.ru>, Queue-ID: E89AC441949, Message-ID: <20130825090513.E89AC441949@mail-zimbra.tokk.local>, mail_id: zv_GqB5GtiT2, Hits: 5.315, size: 335, queued_as: 1F0F244194C, 282 ms
Aug 25 13:05:20 mail-zimbra postfix/smtp[32196]: E89AC441949: to=<gusevvs@mycompany.ru>, relay=127.0.0.1[127.0.0.1]:10024, delay=15, delays=15/0.01/0.01/0.28, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 1F0F244194C)

Моя машина не имеет валидной записи в DNS, однако почта от меня спокойно провалилась с придуманного хоста вообще.

Ещё больше удивил статус защиты:

zimbra@mail-zimbra:~$ zmantispamctl restart
Stopping amavisd... done.
Starting amavisd...done.
zimbra@mail-zimbra:~$ zmantispamctl status
zimbra@mail-zimbra:~$

Как видно ничего не возвращает.

amavisd в процессах есть:

zimbra@mail-zimbra:~$ ps aux|grep amavis
postfix   4852  0.0  0.0  56396  3392 ?        S    13:16   0:00 smtp -n smtp-amavis -t unix -u -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20
zimbra    5494  1.2  1.2 213240 96924 ?        Ss   13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (master)
zimbra    5631  0.1  1.2 219960 100468 ?       S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (ch1-avail)
zimbra    5632  0.0  1.1 213240 95260 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5633  0.0  1.1 213240 95248 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5634  0.0  1.1 213240 95248 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5635  0.0  1.1 213240 95248 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5636  0.0  1.1 213240 95244 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5637  0.0  1.1 213240 95244 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5638  0.0  1.1 213240 95244 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5639  0.0  1.1 213240 95244 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra    5640  0.0  1.1 213240 95244 ?        S    13:16   0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
postfix   5994  0.0  0.0 100680  5348 ?        S    13:17   0:00 smtpd -n [127.0.0.1]:10025 -t inet -u -o content_filter= -o local_recipient_maps= -o virtual_mailbox_maps= -o virtual_alias_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o smtpd_end_of_data_restrictions= -o smtpd_helo_restrictions= -o smtpd_milters= -o smtpd_sender_restrictions= -o smtpd_reject_unlisted_sender=no -o smtpd_relay_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks_style=host -o mynetworks=127.0.0.0/8,[::1]/128 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_address_mappings -o local_header_rewrite_clients= -o syslog_name=postfix/amavisd
zimbra    5999  0.0  0.0   6512   624 pts/1    S+   13:17   0:00 grep amavis

Что за чудное значение параметра: disable_dns_lookups=yes ? И почему пустой zmantispamctl status? У вас также?

Такое ощущение что спамоборона не работает вообще, хотя по логам судя вроде должна работать...

zimbra

DALDON
(25.08.13 15:28:38 MSK)

3 комментария

Bash не понятное поведение в цикле...

Уважаемый ЛОР, подскажи что тут не так и не эдак:

cat 1.sh

 
for line in $(cat /etc/fstab)
do 
   echo $line ; sleep 1
done

./1.sh
 
#
/etc/fstab:
static
file
system
information.
#
#
Use

cat 2.sh

 
while read line
do
    echo $line ; sleep 1
done < /etc/fstab

./2.sh 

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).

Почему в 1.sh переменная line не содержит строку, а всего лишь набор символов до пробела..?

DALDON
(22.08.13 22:42:29 MSK)

17 комментариев

bind9 forward zone

Привет друзья! Есть две площадки, в каждой создана своя зона, чтобы всё было прозрачно сделаны зоны forward, из одной площадки в другую.

Примерно так:

zone "porno.lan" {type forward; forwarders { 192.168.5.1; };};

Если VPN рвётся, то 192.168.5.1 становится недоступен, и bind отказывается разрешать имена, что логично, однако после того как vpn поднимается bind по-прежнему не хочет уже разрешать имена, предполагая, что 192.168.5.1 совсем умер. И пока я не перезапущу bind оно так и происходит похоже... Как правильнее поступить? Как ему сказать что forward надобно почаще дёргать...

Про TTL знаю - это не о том как я понимаю. Про идею обмениваться slave зонами знаю - но это всё же больше для доступности dns... Хочется обойтись именно forward зоной т.к. она на мой взгляд является тут наиболее уместной.

Где почитать, что покрутить?

DALDON
(05.07.13 12:04:14 MSK)

7 комментариев

iptables torrent

Добрый день, есть офис удалённый, трафик там «немножечко» платный, а юзера «немножечко» не вникают, и иногда любят покачать и потом сказать, что «я ничего не знаю, я ничего не качал...».

Для http(s), настроил squid - всё ок. Для всего остального настроил darkstat + vnstat.

Иногда образуется большая разница между squid и darkstat - ясное дело, что тут торренты + skype + icq.

Хочу ipp2p заюзать чтоб алерты складывались, а в конце месяца по алертлогам можно было предъявить особо злостным «негодяям».

Т.е. задача состоит не в том чтоб заблокировать, а в том, чтоб иметь логи p2p трафика.

Ибо блокировать p2p дело злое, неблагородное, неблагодарное, да и всё одно - пользователям иногда хочется p2p, мне не жаль, но если большое расхождение между darkstat и squid - то предъявив логи, я уже смогу говорить более предметно, и агрументировать «перерасход».

Насколько я понял в ubuntu 12.04 ipp2p уже не кошерно, и вообще не будет работать. Что сейчас вместо него можно пользовать? opendpi тоже я так понял умер...

xtables-addons-common - вот это похоже на правду?

DALDON
(03.06.13 16:35:40 MSK)

4 комментария

openvpn ipv6

Есть сервер openvpn. От Windows клиентов постоянно сыпется вот такое в лог:

Thu May 30 13:30:36 2013 us=158499 user/192.168.1.43:57459 MULTI: bad source address from client [fe80::750b:b41c:4e8a:7b56], packet dropped
Thu May 30 13:31:08 2013 us=152845 user/192.168.1.43:57459 MULTI: bad source address from client [fe80::750b:b41c:4e8a:7b56], packet dropped

Ясное дело, что ipv6 мне даром не нужен.

Также ясное дело, что Windows назначает tun адаптеру адрес из ipv6 сети на основании его mac адреса, и точно также ясно, что некие бродкасты ipv6 она отправляет на openvpn полагая, что там этот ipv6 ждут. Так-как openvpn такого не ожидает он это дело дропает.

Отключение ipv6 в свойствах tun интерфейса на Windows - убирает эти сообщения.

Есть ли более правильный способ избавиться от этого мусора нежели всех Win клиентов просить отключить ipv6?

DALDON
(30.05.13 13:39:19 MSK)

9 комментариев

Два офиса, одна общая DNS зона, dns + dhcp

Есть два офиса, соединены по L3 layer openvpn который иногда рвётся.

Хочется:

1. пинговать любую машину из любого из офисов по dns имени, без прописи FQDN.

2. не сопровождать зоны руками.

Пока идея такая: в первом офисе стоит dns + dhcp , и машинки в этом офисе себя там в зоне прописывают. Во втором офисе стоит dhcp и обновляет эту же зону dns первого офиса через vpn. В свою очередь первый офис сливает всю зону на slave dns, который будет обслуживать второй офис.

Может как-то можно ещё более красивее сделать?

В моей идее мне не нравится вот чего: возможны ведь конфликты, когда утром будут все свои компы включать, и возникнет конфликт обновления, когда два dhcp сервера в обоих офисах будут пытаться обновлять одну зону.

P.S. доменов Windows нигде нету, всё по феншую: клиентские машинки: WinXP,7,Linux,MacOS. По-этому search на две зоны я раздать не смогу.

Сумбурно всё объяснил, но думаю знающие люди меня поймут. :)

DALDON
(24.02.13 17:38:17 MSK)

27 комментариев

zimbra + exim

Добрый день ребятушки! Это снова ваш безумный далдошка. :)

Руководство хочет zimbra.

Есть идея следующая: перед zimbra поставить exim, для фильтрации спама его силой, и только после этого доставки письма в саму zimbra.

Вот так:

http://img443.imageshack.us/img443/3690/selection025.png

Знаю, что сама zimbra умеет справляться со спамом. Но, читал что на даже средненьких нагрузках она это делает не очень хорошо. Мои нагрузки: 3000 спам писем в сутки в среднем. - Не хочу изучать и главное хоть как-то изменять умолчательные настройки zimbra - чтоб потом было легко обновляться.

А вот exim можно спокойно поковырять (грей-лист, списки, и так далее...), можно его зарезервировать виртуальными машинами - одним словом мне легко будет обеспечивать доступность этого добра в таком случае.

Вопрос: это возможно? Если возможно, то в каком режиме надо настраивать exim? Релей чтоль какой-нибудь? exim будет осуществлять только доставку писем для штатного mta zimbra, а отправку писем в мир, я думаю, что zimbra и сама справится...

P.S. внутренний DNS имеется с внешней зоной, так что внутри у меня свои MX записи могут быть.

exim, zimbra

DALDON
(01.02.13 20:58:52 MSK)

5 комментариев

Плавает скорость загрузки из Сети Интернет.

Приветствую ЛОР, что дома, что на работе такие чудеса приключаются:

К примеру дома: провайдер ограничивает меня скоростью 10 мегабит/сек, однако при начале загрузки скорость на порядок выше, 20-80 мегабит/сек, затем довольно быстро, но плавно падает до 10 мегабит/сек.

На работе примерно аналогичная ситуация, прям видно (по показаниям ПО, и по скорости заполнения файла), что вначале скорость: 10-40 мегабит/сек, затем снижается до положенных 8-10 мегабит/сек.

Имеет место быть отдупляющийся шейпер на стороне провайдера? - Очень на то походит. - Такая штука уже много лет, как я наблюдаю.

Вопрос не любопытства ради, а ради подумать, как настроить tc, чтобы использовать эту особенность.

DALDON
(21.01.13 10:20:38 MSK)

12 комментариев

Оставить свободным часть канала.

Приветствую друзья!

Имеем: Офис -> gw -> Internet

Происходит такое: иногда забивается ВХОДЯЩИЙ канал 10 мбит - когда планктон начинает смотреть ролики юутуба, скайпить, дропбоксить.

Всё бы ничего, но из Интернет иногда из-за этого тяжко достучаться нашим внешним почтовым клиентам.

Каким образом возможно сделать так, чтобы офис не мог сгенерировать ВХОДЯЩЕГО трафика более 8 мбит? 0,2-1 мбит - это левый входящий трафик от спама на нашу почту и всяких ботов.

Если кто-то хочет написать мне слово: tc, то пусть объяснит КАК это реализовать - на уровне куда копать. - Я пока не понимаю, ибо всё что есть оно в первую очередь рассчитано на регулирование исходящего трафика. - Как можно в МОЁМ случае добиться того чтобы исходящие (пакеты подтверждения доставки ACK получается), не генерировали входящего трафика более 8 мбит/сек? - т.е. Пакеты подтверждения у меня немного задерживались (только от сесиий планктона) чтобы не было более 8мбит/сек трафика входящего. И кусочек входящего канала оставался всегда свободным.

DALDON
(24.12.12 17:15:54 MSK)

33 комментария

← назад

следующие →

RSS подписка на новые темы