Всем добрый день! Есть 10 серверов с VNC, хотелось бы наблюдать за ними, а-ля видеонаблюдение (на одном мониторе все сразу) и при необходимости щёлкнуть и раскрыть на весь экран. Может кто знает что то подобное?
Коллеги, имеется доступ через ipv4 сетку ( через NAT) , нужно что-то по типу miredo ( протокол Teredo ) , чтобы получать статический публичный адрес ipv6
Всем доброго времени суток!
Имеется такой вопрос.
У меня на Ubuntu server в виртуальной машине (KVM) работает
гостевая система Windows 7 x64.
Есть программа которая отслеживает изменение времени, и она мне сообщает что примерно каждый час время подводиться(изменяется) на 1 минуту и несколько секунд вперед (похоже в зависимости от нагрузки гостевой системы).
Хотелось бы узнать чем (какой программой или каким компонентом) это изменение времени производиться и если есть возможность сделать эту подводку более частой, скажем каждые 30 или даже 10 минут.
Просто при резком изменении времени на 1 минуту происходят определённые сбои в нашем программном обеспечении (хоть и не критические, но всё же).
Если же подводка часов будет более частой то таких проблем не возникнет.
Приветствую. Такая проблема: после обновления Proxmox до версии 5.0-32 (а Debian, соответственно, с 8 до 9.1) все соединения по умолчанию идут через IPv6
# ping ya.ru
PING ya.ru(ya.ru (2a02:6b8::2:242)) 56 data bytes
Из-за этого, в частности, не могу сделать
# pveam update
Из виртуалок соединения идут нормально, как прежде.
Как починить?
Друзья, на одном из серверов стало сыпаться такое:
Device: /dev/sdc [SAT], 3 Currently unreadable (pending) sectors.
Сделал так:
smartctl -a /dev/sdc|grep "Current_Pending_Sector\|Reallocated_Sector_Ct\|Offline_Un"
5 Reallocated_Sector_Ct 0x0033 200 200 140 Pre-fail Always - 0
197 Current_Pending_Sector 0x0032 200 200 000 Old_age Always - 3
198 Offline_Uncorrectable 0x0030 100 253 000 Old_age Offline - 0
Вижу трёшку по предположительно проблемным секторам.
Сделал так:
echo check > /sys/block/md6/md/sync_action
После проверки массива, стало так:
smartctl -a /dev/sdc|grep "Current_Pending_Sector\|Reallocated_Sector_Ct\|Offline_Un"
5 Reallocated_Sector_Ct 0x0033 200 200 140 Pre-fail Always - 0
197 Current_Pending_Sector 0x0032 200 200 000 Old_age Always - 0
198 Offline_Uncorrectable 0x0030 100 253 000 Old_age Offline - 0
TLER на диске отключен.
Как такое может быть что после scrub исчезли все подозрения на диск? И при этом нету remap секторов...
smartctl - на длинном тесте, так же выявлял сбойные сектора.
Всем доброго времени суток!
В процессе наладки локальной сети на почти 200 машин, из которых пока только 40 подключены к интернету по 10Мб каналу, мне пришлось столкнуться с жуткими тормозами и абсолютно не честным разделением канала между клиентами. Любой включенный торрент наглухо убивал сетку. Два-четыре видеоролика в фулхд тормозили работу сетки почти до нуля.
Сегодня я, кажется, решил эту проблему и хочу поделиться.
Во-первых, огромная благодарность автору этой статьи: http://www.opennet.ru/base/net/adsl_shaper.txt.html
Статья старая, но вполне рабочая.
Буквальное её применение было для меня неудобно, потому что у меня в 5 раз больше сетка и, вдобавок, фильтрация по mac-адресам.
Собственно, вот результат: http://pastebin.com/zE5iKYf9
Мои добавления видны в строке 78, где происходит чтение списков в формате ip,mac и, далее, расстановка приоритетов для подсетей. Сделано немного топорно, но работает.
P.S. Надеюсь, кому-нибудь пригодится. К тому же, мне самому, в случае чего, здесь будет легче найти это решение, чем на опеннете :)
P.P.S. про htb.init знаю. Хотелось добиться полного понимания управления трафиком.
Добрый день,
Помогите пожалуйста написать правила для iptables, чтобы были разрешены (как в одну, так и в другую сторону) только:
1. dns 2. ssh 3. ftp 4. http 5. порты для торрентов 6. удалённое подключение к иксам
...спасибо...
Добрый день. Прошу помочь в решении нетривиальной задаче.
До сего дня мои тазики\шлюзы были (и есть слава богу) на FreeBSD. Пользователи запускаются в интернет через ipfw+dummynet+nat... Курил маны по iptables но не обрёл понимания о порядке прохождения пакета по правилам и есть ли возможность динамически обновлять правила. в IPFW всё было просто и лаконично. Порядок прохождения пакета - понятен... Помогите прмером строго на описанных ниже правилах...
Правила для пользователей добавляются динамически... Пример набора правил:
100 divert natd ip from any to any via re0
10100 allow ip from 192.168.1.30 to any keep-state
10200 allow ip from 192.168.1.62 to any keep-state
60000 fwd 192.168.1.1,80 ip from 192.168.1.0/24 to any
65535 deny from all
правила с 10000 до 20000 - «зарезервированы» для пользователей. Если айпишника, с которого ломится пользователь, нет в списке правил - он весь форвардится на страничку с табличкой «Закрыто!»... Как только правило появилось - пошёл в интернет. При чём на лету можно сделать ipfw delete 10100, и айпи 192.168.1.30 снова маринуется сам в себе...
КАК это реализовать в iptables? Не могли бы вы показать аналог того, что описано выше, на iptables? с нумерацией правил и возможностью добавления\удаления на лету?
Если нет, что ещё можно использовать в Debian Linux для работы с траффиком так, как я описал?
прошу отнестись с пониманием. Спасибо.
Чуваки, вы не поверите что у меня случилось!
Внезапно сломалась на FreeBSD 9.0 авторизация по паролю в sshd. База пользователей - в LDAP, локально ldap-пользователь спокойно входит с паролем, удаленно но по ключу - тоже спокойно входит. А вот удаленный вход с паролем не получается, при этом SSHD не говорит ничего кроме:
Failed password for user from ip port 100500 ssh2
Feb 28 15:01:21 2013 php52-pdo_pgsql-5.2.17_11
Feb 28 15:00:08 2013 gettext-0.18.1.1
Feb 28 15:00:08 2013 php52-5.2.17_9
Feb 28 15:00:08 2013 php52-pdo-5.2.17_9
Feb 28 15:00:08 2013 postgresql-client-9.0.8
Feb 28 15:00:08 2013 libiconv-1.14
Feb 28 15:00:08 2013 libxml2-2.7.8_3
group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
- /etc/ssh/sshd_config почти дефолтный, не закомментировано всего 3 строчки:
ClientAliveInterval 2400
UseDNS no
Subsystem sftp /usr/libexec/sftp-server
- /usr/local/etc/nss_ldap.conf
host localhost
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
base dc=server2,dc=root
ldap_version 3
binddn cn=admin,dc=root
bindpw ololopwd
scope one
timelimit 30
bind_timelimit 10
bind_policy soft
nss_connect_policy persist
nss_paged_results yes
pagesize 3000
# system users
nss_base_group ou=groups,dc=server2,dc=root?one
nss_base_passwd ou=users,dc=server2,dc=root?one
nss_base_shadow ou=users,dc=server2,dc=root?one
- /usr/local/etc/ldap.conf
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
ldap_version 3
bind_timelimit 30
bind_policy soft
idle_timelimit 3600
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_min_uid 500
pam_max_uid 65530
pam_password SSHA
# system users
nss_base_group ou=groups,dc=server2,dc=root?one
nss_base_passwd ou=users,dc=server2,dc=root?one
nss_base_shadow ou=users,dc=server2,dc=root?one
- /etc/pam.d/sshd
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient /usr/local/lib/pam_ldap.so no_warn
auth required pam_unix.so no_warn try_first_pass
account required pam_nologin.so
account required pam_login_access.so
account sufficient /usr/local/lib/pam_ldap.so
account required pam_unix.so
session required pam_permit.so
password sufficient /usr/local/lib/pam_ldap.so no_warn
password required pam_unix.so no_warn try_first_pass
- /etc/pam.d/system (системный вход, напоминаю - работает)
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient /usr/local/lib/pam_ldap.so
auth required pam_unix.so no_warn try_first_pass nullok
account required pam_login_access.so
account sufficient /usr/local/lib/pam_ldap.so
account required pam_unix.so
session required pam_lastlog.so no_fail
password sufficient /usr/local/lib/pam_ldap.so
password required pam_unix.so no_warn try_first_pass
Даже не знаю приблизительного направления куда ковырять. И не уверен что сломалось из-за пересборки вышеуказанных пакетов. Более пакетов в системе не менялось до того момента пока все еще работало. Оракулы BSD, и волшебники PAM, обратите внимание на мою проблему плз.
Прописываю в клиентском конфиге на стороне сервера
ifconfig-push 10.8.0.6 10.8.0.5
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:84 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:7056 (6.8 KiB) TX bytes:0 (0.0 B)
А на сервере:
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:1008 (1008.0 B)
Ну ок, я понимаю, что клиентов может быть много, но... если на каждого клиента не создаётся отдельный tun-девайс (что логично), то как вообще это работает? Ткните в ссылку какую-то с explain'ом, иначе вывод ifconfig'а на сервере и клиенте немного вымораживает.
Доброе время суток.
Такая проблема: Есть шлюз на Ubuntu12 srv в нём 2 сетёвки одна в инет (88.88.88.88), другая в локалку. В локалке есть почтовый-сервер 192.168.0.6
надо вывести почтовые порты наружу, пишу так:
iptables -A PREROUTING -t nat -d 88.88.88.88 -p tcp --dport 25 -j DNAT --to 192.168.0.6:25
После этого пытаюсь подключиться по telnet внутри сети
Microsoft Telnet> open 89.189.183.67 25
Подключение к 89.189.183.67...Не удалось открыть подключение к этому узлу, на по
рт 25: Сбой подключения
Идут вторые сутки простейшего переноса пары виртуалок, я уже ничего не понимаю в этой жизни.
Почему вот это не работает?
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination NEWIP
iptables -t nat -A POSTROUTING -p tcp --dport 80 -j MASQUERADE
sysctl net.ipv4.ip_forward=1
PS основной интерфейс этого сервера бридж (если это на что-то влияет).
Настроена авторизация OpenVPN + Ldap # cat vpn.conf
port 1194
proto tcp
dev tun1
ca keys-vpn/ca.crt
cert keys-vpn/server.crt
key keys-vpn/server.key
dh keys-vpn/dh1024.pem
server 172.16.3.0 255.255.255.0
route 172.16.3.0 255.255.255.252
push "route 172.16.2.0 255.255.255.0"
push "route 172.16.1.0 255.255.255.0"
push "route 172.16.10.0 255.255.255.252"
ifconfig-pool-persist ipp.txt
client-cert-not-required
username-as-common-name
tun-mtu 1400
# tun-mtu-extra 32
# mssfix 1372
# Push DNS WINS
push "redirect-gateway def1"
script-security 2
client-to-client
auth MD5
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn-vpn.log
verb 3
plugin /usr/lib/openvpn/openvpn-auth-ldap.so "/etc/openvpn/openvpn-auth-ldap"
# cat openvpn-auth-ldap
<LDAP>
# Адрес OpenLDAP сервера
URL ldap://x.x.x.x:389
# Пользователь в LDAP с правом поиска
BindDN cn=admin,dc=oc,dc=local
# Его пароль
Password pass
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "ou=People,dc=oc,dc=local"
SearchFilter "(&(uid=%u))"
RequireGroup false
</Authorization>
Все хорошо работает, пользователи авторизуются и спокойно подключаются.
Мне нужно теперь ограничить доступ пользователей к ВПН, отдельно завел группу в OpenLdap vpn и добавил пользователей, которым разрешен VPN.
поправил конфиг # cat openvpn-auth-ldap
<LDAP>
# Адрес OpenLDAP сервера
URL ldap://x.x.x.x:389
# Пользователь в LDAP с правом поиска
BindDN cn=admin,dc=oc,dc=local
# Его пароль
Password pass
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "ou=People,dc=oc,dc=local"
SearchFilter "(&(uid=%u))"
RequireGroup true
#PFTable ips_vpn_users
<Group>
BaseDN "ou=Group,dc=oc,dc=local"
SearchFilter "(|(cn=vpn))"
MemberAttribute memberUid
# Add group members to a PF table (disabled)
#PFTable ips_vpn_eng
</Group>
</Authorization>
При попытке авторизоваться openvpn ругается:
LDAP user "marat" was not found.
Fri Jun 29 12:03:27 2012 89.184.25.141:39682 PLUGIN_CALL: POST /usr/lib/openvpn/openvpn-auth-ldap.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Fri Jun 29 12:03:27 2012 89.184.25.141:39682 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-auth-ldap.so
Fri Jun 29 12:03:27 2012 89.184.25.141:39682 TLS Auth Error: Auth Username/Password verification failed for peer
Fri Jun 29 12:03:27 2012 89.184.25.141:39682 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA
Fri Jun 29 12:03:27 2012 89.184.25.141:39682 [] Peer Connection Initiated with [AF_INET]89.184.25.141:39682
Fri Jun 29 12:03:29 2012 89.184.25.141:39682 PUSH: Received control message: 'PUSH_REQUEST'
Fri Jun 29 12:03:29 2012 89.184.25.141:39682 Delayed exit in 5 seconds
Fri Jun 29 12:03:29 2012 89.184.25.141:39682 Delayed exit in 5 seconds
Fri Jun 29 12:03:29 2012 89.184.25.141:39682 SENT CONTROL [UNDEF]: 'AUTH_FAILED' (status=1)
Fri Jun 29 12:03:30 2012 89.184.25.141:39682 Connection reset, restarting [0]
Fri Jun 29 12:03:30 2012 89.184.25.141:39682 SIGUSR1[soft,connection-reset] received, client-instance restarting
Fri Jun 29 12:03:30 2012 89.184.25.141:39682 SIGUSR1[soft,connection-reset] received, client-instance restarting
Fri Jun 29 12:03:30 2012 TCP/UDP: Closing socket
Пользователь в группе есть:
ldapsearch -W -x -D cn=admin,dc=oc,dc=local -b "ou=Group,dc=oc,dc=local" "(&(cn=vpn))"
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=Group,dc=oc,dc=local> with scope subtree
# filter: (&(cn=vpn))
# requesting: ALL
#
# vpn, Group, oc.local
dn: cn=vpn,ou=Group,dc=oc,dc=local
objectClass: posixGroup
objectClass: top
gidNumber: 10010
cn: vpn
description: vpn
memberUid: a
memberUid: b
memberUid: c
memberUid: d
memberUid: marat
memberUid: x
memberUid: y
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
Помогите разобраться?
Добрый день ЛОР!
Я всё не спешно продолжаю ковырять samba4 as a domain controller + ldap for all.
Имеется старая почта (exim + dovecot), хочется поднять новую но не совсем дефолтную, нужно:
Обеспечить web интерфейс. - Быстро работающий с большим объёмом почты - 16 тысяч писем.
Хранение в ldap логина + пароля от почты
Хранение aliasов в ldap.
Посмотри ЛОР на картинку: http://img826.imageshack.us/img826/2557/selection036.png
И скажи насколько моя задумка реальна?
Есть ряд должностей где сотрудники меняются переодически (декрет (основная причина), увольнение и так далее), пришла в голову иедея:
Заводим учётку w1, в DisplayName прописываем реальное имя Вася Пупкин, в проходит авторизация и создаётся ящик вида: w1@company.ru, на клиенте указываем в качестве отправителя alias от ящика к примеру: vasyapupkin@company.ru и Вася Пупкин пользуется этим мылом. Проходит время, Вася Пупкин увольняется, за это время его ящик уже есть у клиентов.
Приходит Петя Камушкин, хочется в учётке w1 поменять поле: DisplayName, и добавить новый алиас: petyakamuskin@company.ru - после этого чтобы почта приходила как на vasyapupkin@company.ru так и на: petyakamuskin@company.ru, но при этом попадала на ящик - w1@company.ru, ну и отвечать он уже будет с адреса: petyakamuskin@company.ru , таким образом передача дел от одного сотрудника к другому сотруднику заметно упрощается, и не надо держать по сто ящиков, и разбираться в них чего и как. - А то сейчас тьма ящиков развелось, им всё надо, всё надо... Только реально толку от этого не много.
Реально такое осуществить при помощи: exim + dbmail + roundcube + dspam + Cyrus + ldap ? На картинке показаны поля пользователя в ldap.
Или может как-то можно по-другому сделать? Попроще? Я только рад буду в целом.
| ← предыдущие |
