Здравствуйте.

Зашел спросить, в результате задержался с чтением старых тем и попытками вернуться к заброшенным задачам, которые были на паузе.

VPS, lo + eth0, на eth0 стоит 1х IPv4 и 1х IPv6 (так настроено при установке). На самом деле дается /112 подсеть, то есть 65535 адресов. Как заставить все эти адреса работать одновременно?

Вариантов несколько. Первый это вручную добавлять на интерфейс все нужные адреса (понятно что 65535 не нужно, но десяток добавлять тоже мазохизм).

Сначала я поставил несколько адресов из своего /112 диапазона вручную: это были адреса .1 .4 и .10, убедился что по очереди на один установленный адрес пинг проходит, и с сервера IPv6 сайты доступны.

Нашел вариант https://serverfault.com/questions/590038/adding-a-whole-ipv6-64-block-to-an-network-interface-on-debian

auto eth0
iface eth0 inet static
        address my.ip.v4
        netmask 255.255.255.0
        network my.network.address.ip
        broadcast my.broadcast.address.ip
        gateway my.gateway.ip

iface eth0 inet6 static
        address 2001:41d0:2:ad64::fe
        netmask 64
        gateway 2001:41d0:2:adff:ff:ff:ff:ff
        up ip addr add 2001:41d0:2:ad64::/64 dev lo
        up ip route add local 2001:41d0:2:ad64::/64 dev eth0
        up sysctl net.ipv6.ip_nonlocal_bind=1
        down ip -6 addr del 2001:41d0:2:ad64::/64 dev lo
        down ip route del local 2001:41d0:2:ad64::/64 dev eth0
        down sysctl net.ipv6.ip_nonlocal_bind=0

Применил его. Сейчас прописан

address 2001:x:y:z:a:b:c::

и netmask 112. Перезапустил networking. Проверяю пинг снаружи через https://tools.keycdn.com/ipv6-ping (разные локации, чтобы исключить какие-то косяки). Те IP адреса которые я прописывал вручную на предыдущем шаге отвечают (да, все сразу!) но ни один из других адресов диапазона не отвечает. Ставлю ручками новый адрес, перезапускаю - он тоже начинает отвечать. Хотя на интерфейсе его нет. Дело было вечером.

Сегодня утром обнаруживаю что ни один адрес кроме .0 уже не отвечает. Я ничего не делал - оно как-то само (с). То есть все время отвечали только те адреса которые за последнее время (некоторое количество минут или часов) были явно прописаны. Все что не было прописано явно за этот временной интервал - не отвечало.

В общем как заставить все адреса /112 подсети отвечать сразу хотя бы на пинг? Поразвешивать разные сервисы (или разные сайты) каждый на свой IPv6, я думаю, как-то справлюсь если будет работать основа.

Доброго времени суток. Кто знает дистрибутивы с готовым, встроенным в ядро ntfs3 вместо медленного ntfs-3g?

Компилировать ядро с модулем из исходников не предлагайте, модуль ntfs3, имеющийся в сети, кажется битый (несовместимые объявленные функции в части количества параметров). Ищу что есть готовое, может подойдет.

Добрый день. На винде за NAT’ом в цикле запущен plink

:a
plink "STORED_NAME" -l user1 -v -R 1234:127.0.0.1:1234 -no-antispoof -4 -N
goto a

Задумано так что при обрыве связи он перезапускается в бесконечном цикле.

На сервере открывается порт 127.0.0.1:1234, который через SSH туннель перенаправлен на порт 1234 открытый на машине с виндой. К нему на сервере периодически подключается программа.

netstat -lnp | grep ssh

показывает наличие открытого порта 1234 за процессом [PID процесса]/sshd: user1 запущенным от имени user1. У user1 шелл установлен в /bin/true чтобы не было возможности исполнять никакие команды.

Проблема: соединение иногда обрывается, видимо из-за длительной неактивности, но при этом на сервере процесс с открытым портом запущен, на клиенте plink также запущен, но подключиться невозможно. Как сделать так чтобы при обрыве связи падал либо процесс на клиенте, либо процесс на сервере, чтобы инициировалось переподключение?

Добрый день. Несколько часов уже трахаюсь пытаясь запустить клонированную систему.

/dev/sda1 - исходный Debian /dev/sda5 - клонированный раздел (через dd)

Проблему с дублированием UUID знаю, она не должна была возникнуть т.к. по задумке диск-источник вынимается и в этой машине больше не работает.

Загрузка идет, только systemd выдает пачку ошибок что не удалось запустить, в конечном итоге видимо дрова мыши и клавиатуры отосутствуют (?) т.к. в иксах невозможно ввести ни логин, ни пароль. Recovery в консольный режим успешно заходит, все читается.

После update-grub появилась строчка Linux с /dev/sda5, но не важно какой я выбираю - грузится исходный а не клонированный.

Далее взял вредные советы из интернета - uuidgen, tune2fs - на новый раздел поставил свежесгенерированный UUID, прописал его в fstab - grub начал падать в recovery говорит что не может найти такую файловую систему. Бред собачий уже достал. Я не один раз клонировал винт на винт и это всегда запускалось, возможно впервые клонирую primary раздел №1 на логический лиск созданный в extended разделе (потому номер 5) - может в этом причина?

Пытался еще решить проблему радикально - убрать к чертям UUID из fstab и монтировать /dev/sda5 как это всегда делалось в старые добрые времена. Те же грабли.

P.S. Clonezilla, Acronis и прочий шлак не предлагать. Никогда им не пользовался и не собираюсь его качать. Мне лень искать USB2SATA и рабочий DVD-шник.

Доброго времени суток.

Актуальной задачей в последнее время является блокировка получения почты с определенных доменов или доменных зон (официально - в целях безопасности). Так, многие российские госорганы заблокировали прием сообщений с зарубежных доменов (в частности, .com) либо наоборот, по принципу белого списка, принимают почту только с доменов .ru

По стандарту Exim отклоняет письма на этапе соединения между MX серверами если сервер отправителя в спам базах (либо если из-за технических проблем с DNS разные spamhaus’ы отвечают на все домены что они заблокированы). В некоторых ситуациях идет ответ over quota, в других же письмо может быть формально принято но в ответ уйдет Delivery report с указанием ошибки.

Реально ли реализовать настройками Exim подобные ограничения, если да - то как?

Пример конкретной задачи: заблокировать определенному почтовому ящику, размещенному на сервере, либо определенному почтовому домену (чтобы это не затронуло другие домены, только в крайнем случае это правило можно применять ко всем доменам почта которых обрабатывается на одном сервере) заблокировать прием всех писем с доменов отличных от одного - нескольких выыбранных (белый список) либо наоборот заблокировать один выбранный? Чтобы письма отклонялись и отправитель сразу видел (отчетом своего сервера или ответом моего сервера) что его письмо не было принято?

Доброго времени суток!

Есть задача поднять DNS сервер для небольшой локальной сети с максимальной оптимизацией работы (кеширование), защитой (все что уходит «на улицу» - должно шифроваться, и максимально удобной статистикой где будет видно какие хосты запрашиваются устройствами, используемыми в локальной сети (тут шифрование не предвидится, в LAN все идет в открытую), какая доля запросов обрабатывается кешем, средняя статистика времени ответа по рекурсивным запросам к каждому upstream и так далее.

Приоритет - решения имеющиеся в репозиториях популярных сборок Linux и устанавливающиеся командой в одну строчку (yum / apt) и без использования тотальных VPN.

С задачей шифрования успешно справляется dnsproxy: его можно настроить так что все запросы «на улицу» будут уходить через безопасные соединения и не прослушиваться. При этом он отправляет запрос либо к случайному серверу, либо ко всем сразу возвращая первый ответ (настроить возможность опрашивать другое количество upstream’ов, например, 2 шт, невозможно). Несмотря на наличие параметра –cache, мне не удалось найти где хранится этот самый кеш и работает ли вообще. Статистика использования вроде бы отсутствует полностью.

pdnsd вроде бы адекватно справляется с кешированием, кеш хранится в /var/cache, теоретически по нему даже можно определить как часто и что запрашивается устройствами, но он не умеет шифровать запросы к upstream’ам, а использовать его основное преимущество (опрашивает сразу 3 вышестоящих сервера, а если они не ответят - тогда четвертый) в связке со стоящим за ним dnsproxy не имеет смысла.

bind9 имеет возможности разбрасывать запросы к разным TLD на разные upstream, есть некоторая статистика штатными методами (XML) но без статистики по каждой зоне если она не размещена на нем как primary, есть возможность вести логи всех запросов которые не запрещено анализировать cron задачей хоть раз в минуту хоть в реальном времени, но я не нашел возможности делать параллельные запросы к разным upstream и использовать защищенные (зашифрованные) протоколы - кажется что dns over http он умеет только как сервер.

Подскажите пожалуйста наиболее оптимальную реализацию - что как настроить или связку каких программных продуктов использовать.

Добрый день. Начальные условия: SSD диск, 2 раздела - EXT4 и NTFS. На первом Debian 12, на втором винда. Второй примонтирован в /mnt/win.

Проверка скорости осуществляется командой

dd if=/dev/zero of=temp.tmp bs=1024 count=512000

Результаты для EXT4 раздела:

524288000 bytes (524 MB, 500 MiB) copied, 3.33399 s, 157 MB/s
524288000 bytes (524 MB, 500 MiB) copied, 3.09018 s, 170 MB/s

Результаты для NTFS раздела если в fstab он примонтирован как ntfs

524288000 bytes (524 MB, 500 MiB) copied, 47.2099 s, 11.1 MB/s
524288000 bytes (524 MB, 500 MiB) copied, 56.3911 s, 9.3 MB/s
524288000 bytes (524 MB, 500 MiB) copied, 69.1836 s, 7.6 MB/s

Аналогично если примонтирован как ntfs-3g

524288000 bytes (524 MB, 500 MiB) copied, 107.935 s, 4.9 MB/s
524288000 bytes (524 MB, 500 MiB) copied, 142.301 s, 3.7 MB/s

Ожидалось что скорость будет выше, но она оказалась еще ниже. Подскажите, пожалуйста, в чем дело и как добиться скорости записи того же порядка что скорость записи на ext4. Планируется на ntfs разделе держать данные, к которым должен быть одновременный доступ с обоих операционных систем (с учетом того что винда не умеет нормально работать с ext4 томами без костылей - делать наоборот не вариант).

Доброго времени суток.

В некоторых статьях и топиках на форумах, например тут Как настроить доступ в интернет внутри lxc контейнера? всплывают советы включающие использование того или иного стороннего ресурса, например DNS сервера.

Считаю нужным предупредить что некоторые DNS являются вредоносными и умышленно искажают данные, что может быть причиной неработоспособности информационных систем или взлома

Примером такого сервера является 188.120.247.2

root@srv1:/# nslookup google.com 188.120.247.2
Server:         188.120.247.2
Address:        188.120.247.2#53

Non-authoritative answer:
Name:   google.com
Address: 216.58.210.174

root@srv1:/# nslookup google.com.ua 188.120.247.2
Server:         188.120.247.2
Address:        188.120.247.2#53

** server can't find google.com.ua: NXDOMAIN

Вот пример. Если на сайте есть скрипт, обращающийся к домену - при получении ответа NXDOMAIN (домен не существует) возникнет нештатная ситуация.

Адрес относится к netname: RU-AOIOT (Skolkovo Innovation Center). Кто это такой умный у них хостинг арендует мне, к сожалению, не известно. Масштабы проблемы серьезные, многие хостинг провайдеры предоставляя услугу аренды VPS выдают сервера с предустановленным этим сервером в resolv.conf. Как раз сегодня мне такой сервер попался, техподдержку хостинга уже уведомил о проблеме.

Добрый вечер.

Стал падать Mysql сервер, частота раз-два в сутки, сам не поднимается. Ошибок в логе нет. Перед тем как на коленке писать какой-то самодельный скрипт по проверке отклика с принудительным рестартом запустил его под скрином (из под root, извините).

root@xxx:~# /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib/mysql/plugin --user=mysql --log-error=/var/log/mysql/error.log --pid-file=/var/run/mysqld/mysqld.pid --socket=/var/run/mysqld/mysqld.sock --port=3306
230828 19:31:07 [Note] /usr/sbin/mysqld (mysqld 5.5.62-0+deb8u1) starting as process 12345 ...
Killed
root@xxx:~#

Вот какая сволочь его kill ? В syslog на время падения ничего интересного, кроны там плановые и все такое.

Доброго времени суток!

Есть задача мониторить работу DNS серверов домена (на случай если домен или какая-то запись будет удалена из NS, если DNS сервер ляжет, IP адрес сменится и подобное).

Реализация на PHP следующая:

function dnsquery($ns)
{
	$h = "mail.ru";
	$res = trim(shell_exec("nslookup ".$h." ".$ns." | grep 'Address:' | wc -l"));
	$res += 0;
	return $res;
}

Суть идеи в том что если произойдет таймаут и прочая ошибка - в выводе nslookup не будет строчек со словом Address. Если домен не делегирован на указанном NS - будет строчка Address самого NS и результат функции - 1. Если домен нормально настроен то будет результат от 2 (1 адрес сервера имен + 1 адрес A запись домена) до бесконечности (если несколько A записей).

Этот код запускается crontab’ом по очереди с 2 машин в разных датацентрах. Так вот, на одной из них иногда начинает происходить непонятная ерунда: ответ функции 0. Захожу в консоль, запускаю nslookup - ответ правильный. Запускаю тот же скрипт вручную из командной строки - результат не ноль, все верно. Такое может длиться только на этой машине от часа до суток, само возникает, само пропадает.

Сменил shell_exec на

exec("nslookup ".$h." ".$ns, $output, $retval);

Ответ пуст, $retval возвращает сначала -1 потом 10. Что это за магия?

Доброго времени суток!

Есть сервис (API с ограниченным доступом), IP адрес защищен Cloudflare. Мне известен реальный IP адрес сервера и для предотвращения разных проблем (Cloudflare имеет привычку блокировать автоматические запросы когда не нужно) я обращаюсь к реальному IP напрямую (прописал в /etc/hosts).

В браузере все открывается нормально (пропустить ошибку проверки сертификата и сайт открылся). Скрипт на PHP начал выдавать какую-то ерунду.

SSL read: error:00000000:lib(0):func(0):reason(0), errno 104

Универсальное решение всех проблем с сертификатами при подобных манипуляциях

curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, false);

не дает ожидаемого результата. Ранее на сервере стоял сертификат Let’s Encrypt (валидный) и IP адрес иногда менялся на Cloudflare, иногда защита была отключена. Сейчас сертификат хоста Cloudflare Origin Certificate подписанный Cloudflare Origin SSL Certificate Authority - разница только в этом. Wget на той же машине успешно загружает robots.txt с IP адреса, прописанного в hosts (с –no-check-certificate, естественно). Проверялось с 2 разных машин, т.о. дело не в локальных настройках.

Как заставить cURL это съесть?

И небольшое уточнение. Проблема возникает только при использовании cURL на PHP, т.к. команда вида

curl --http1.1 -vvv --insecure "https://hostname/api/" -d 'param1=val1&param2={json:true}'

отрабатывает относительно успешно (ответ API не все параметры указаны, есть какие-то проблемы с парсингом json, переданным из консоли). PHP скрипт заведомо рабочий, несколько лет уже используется. Сейчас в него добавлен вывод HTTP заголовков.

Доброго времени суток!

С помощью modprobe v4l2loopback создал в системе устройство /dev/video20 на которое с помощью команды

ffmpeg -re -i video.mp4 -map 0:v -f v4l2 /dev/video20

транслирую созданный заранее файл

Проблема заключается в том что Zoom показывает картинку нормально (верх-низ обрезан, но в целом терпимо) а вот веб браузер, если ему позволить доступ к камере, отображает большой белый лист в правом верхнем углу которого мелко изображен кадр из видео.

Как задать разрешение камеры? Видео mp4 720x576. Или как узнать разрешение камеры чтобы создать видео соответствующего размера? (Необходимо для участия в онлайн встречах)

Пробовал v4l2loopback-ctl set-caps «video/x-raw,format=UYVY, width=720, height=576» /dev/video20 вывод - video20 is not a output device (если видео не проигрывается в другом окне терминала) либо Device is busy если проигрывается.

Доброй ночи!

На сервере есть несколько сетевых интерфейсов, и только первый из них является шлюзом по умолчанию.

Если я создаю сокет и делаю ему bind с IP адресом определенного интерфейса - могу слушать на нем и UDP пакет ответа уходит именно с указанного интерфейса. Как задумано.

Кроме того, я хочу чтобы один php скрипт осуществлял подключения также с выбранного интерфейса, не являющегося шлюзом по умолчанию.

Для этого вызываю stream_context_create() со значением socket-bindto равным ‘1.2.3.4:0’ (тут адрес выбранного интерфейса) и далее file_get_contents(), но получаю ошибку таймаута на любом интерфейсе кроме первого. Очевидно какие-то проблемы с маршрутизацией SYN / ACK пакетов. Дампы не писал.

После

iptables -t nat -A POSTROUTING -j MASQUERADE`

у меня тот же код подключается нормально, но на запрашиваемом узле отображается IP адрес шлюза по умолчанию.

Как решить эту проблему чтобы и TCP и UDP шло с выбранного интерфейса, не являющегося шлюзом по умолчанию?

Как альтернативу, дайте пожалуйста команды для iptables которые будут маршрутизировать весь трафик на определенный IP адрес через выбранный интерфейс.

Тут некоторое время тому назад TLD Server 43 port filtered обсуждался whois сервер данного TLD

Я сейчас обнаруживаю что в ответ на запрос к WHOIS серверу (порт 43) ответ идет HTTP:

HTTP/1.1 400 Bad Request
Date: Sun, 05 Sep 2021 08:17:49 GMT
Server: Apache
Content-Length: 11
Connection: close
Content-Type: text/html; charset=iso-8859-1

Bad Request

Это у всех так? Это нормально? Кто знает адрес сервера для данного TLD?

Добрый день.

У меня проблема. Есть почтовый сервер Exim, на машине планируется держать почту нескольких доменов (пока один). С учетом предыдущего опыта, идут тонны спама на случайные ящики в домене который хостится на сервере, особенно если есть catchall. Для борьбы решил настроить SPF по инструкции https://www.sidn.nl/en/news-and-blogs/hands-on-implementing-spf-dkim-and-dmarc-in-exim (3.3 ACL configuration for SPF) но благодаря условию deny spf = fail : softfail отклоняется любая попытка отправки авторизованным пользователем сообщения по SMTP. SMTP клиенту пишет что моему IP не разрешено отправлять почту от имени этого домена. Закомментировал пару строчек - письмо отправляется успешно, но в заголовке стоит Received-SPF: softfail и бонусом засвечен IP адрес пользователя, подключившегося по SMTP.

Как можно настроить проверку SPF только для доставки почты с других почтовых серверов, при этом пропускать проверку SPF для пользователей, имеющих ящики в этом домене?

Добрый день.

Где в Debian 9 найти скрипт, ответственный за очистку /tmp? Запускается раз в сутки судя по логам.

Jun 26 20:05:57 sys systemd[1]: Starting Cleanup of Temporary Directories...
Jun 26 20:05:57 sys systemd[1]: Started Cleanup of Temporary Directories.

Ни в /etc/cron*, ни в /var/spool/cron* не вижу ничего содержащее эту строчку, поиск по содержимому всех файлов на сервере запускать не рискую. У меня возникло подозрение что эта задача негативно влияет на производительность сервера. Хочу для начала переставить ее на другое время, и если вслед за этим проблемы тоже перенесутся - значит 100% она.

Добрый день. Перечитал тонну флуда на тему настройки соединения от клиента (Thunderbird / sendmail / etc) к серверу через TLS но никак не могу найти другую сторону вопроса.

Есть Debian, Exim4, Dovecot и остальной суповой набор. Настроен почтовый домен (DKIM, SPF, DMARC) и ящик в нем. При отправке почты

H=31045262.in1.mandrillapp.com [54.245.105.146] Connection timed out (это я шлю на dkimvalidator) Проблема в том что хостер блокирует исходящие на 25 порт, при этом nc говорит что 465, 587 и 2525 подключаются на ура. Письмо помещается в очередь и отправка затягивается. Говорить с хостером бесполезно.

Как на этом сервере полностью отучить Exim4 от попыток подключения на порт 25, и работать на выход только по TLS?

Добрый день.

Вроде бы не первый год работаю с различными облачными хранилищами по WebDAV, как подключая их с винды, так и с серверов под Linux. Вчера наткнулся на какую-то чертовщину, думал утром разберусь, но не получилось - все воспроизводится.

Начну с конца без предыстории, только по фактам. Одно и то же облачное хранилище смонтировано пользователем root абсолютно одинаковой командой от имени ограниченного юзера (-o uid=…,gid=…) на 2 разных машинах Debian и из под винды плагином к Total Commander (встроенный функционал винды не люблю).

Все каталоги хранилища читаются. Файлы из него я могу свободно копировать на любую машину. Могу удалять или создавать пустые каталоги.

Как только дело доходит до копирования файла с машины в облако, на проблемном сервере вылазит Input/output error (5) (mc). На другом сервере файлы спокойно пишутся в произвольную директорию, с винды тоже работает нормально. Обращаться в техподдержку облака бесполезно, там скажут что нужно скачать их высер и забить им побольше своей свободной RAM.

На проблемной машине davfs2 1.5.4-2+b1, сервер настраивался в январе. На той где работает davfs2 1.4.6-1.1+wheezy1 (старая машина, конфигурация стабильна несколько лет). Все бы можно было списать на то что в какую-то версию добавили свежий баг, но у меня есть еще один сервак на котором активно используются облачные хранилища (только под бекап), так вот его я устанавливал пару месяцев назад - 1.5.4-2+b1, то есть ТА ЖЕ версия…

Вот, собственно, и вся чертовщина. Ось одинаковая, команды и права в точности совпадают.

Пробовал ставить debug most, но мало что понял. Идет при копировании файла запрос LOCK, он возвращает 201 Created, следом deleting node 0x…, ответ RET Input/output error. Может кто сталкивался?

Добрый день.

Общаюсь тут больше недели с одними оленями в техподдержке (редкий софт для эмуляции ведроид-устройств на ПК). Прога написана редкими рукожопами: на W2003 сервере новые версии не пашут, функционал стабильных старших версий глючит, техподдержка не оказывается. Поставил голый Debian 10 и последнюю версию их софта. Это по сути надстройка или даже GUI на VirtualBox. Сам VirtualBox успешно работает, запускает windows guest разных версий и даже с 3D ускорением. Их софт - опять глючит, то в ведроиде браузер упадет, то проги не ставятся, то машина не работает по причине глюков эмулятора камеры… Вообщем, веселья хватает. Отсылаю им все логи с Debian (это последняя версия их проги, поддержку они оказать обязаны) в результате мне приходит потрясающий ответ: «в cpuinfo нет SSE3, значит он отключен в BIOS либо не поддерживается ядром, а без этого все может глючить, потому надо его включить.»

Камень точно поддерживает, на винде он есть, значит в BIOS он не отключен. Как включить SSE3 в Debian 10? Что-то мануалов нет, один флуд. Киньте пожалуйста ссылку или опишите как.

Доброго времени суток!

При первом подключении к удаленному SSH серверу всегда требуется подтверждение:

The authenticity of host ‘…’ can’t be established. ECDSA key fingerprint is xxxxxxxx. Are you sure you want to continue connecting (yes/no)?

Этот хеш можно получить локально командой

ssh-keygen -l -E md5 -f /etc/ssh/ssh_host_ecdsa_key.pub

Я правильно понимаю что если сохранить файлы /etc/ssh/ssh_host_* и после полной переустановки системы восстановить их обратно по старому адресу, fingerprint сохранится и удаленные клиенты смогут и дальше подключаться к серверу без подтверждений? Или не все так просто?

На сервере сейчас Debian wheezy, нужно переустановить 10й начисто, с сохранением аккаунтов и ключей пользователей.