Блеклисты
Приветствую коллеги! С блеклистами засада. Перепробовал куче всего, остановился на этих:
bl.spamcop.net
zen.spamhaus.org
b.barracudacentral.org
db.wpbl.info с показателем 1.4Сообщения Humaxoid
Две MX записи с разными приоритетами.
Доброго времени суток коллеги. К почтовику подведено два интернет канала. Основной имеет ip адрес типа 11.22.33.44, резервный 44.33.22.11. Доменное имя почтового сервера mail.domain.ru Нужно что-бы при отказе основного канала, обслуживание сервера стало возможным по резервному каналу. Сейчас у хостера (Мастерхост) имеется МХ и А запись такого вида:
имя | | тип | хост/ip
------------------------------------
@ IN MX 10 mail
mail IN A 11.22.33.44Создаем еще одну запись для резервного канала с более низким приоритетом.
@ IN MX 9 mail
mail IN A 44.33.22.11Тут возникает вопрос. Будет ли работать данная схема и допустимо ли в обеих записях использовать одно и тоже имя хоста? В моем случае mail.
Два интерфейса, два повайдера.
Добрый день! Почтарь крутится на старенькой слаке. Два интерфейса, один смотрит в локалку, второй в инет. Появился второй интернет канал. Хочу что-бы был резерв. Установил третью сетевую карту прописал в конфиг адреса второго провайдера.
# /etc/rc.d/rc.inet1.conf
# Config WAN1 Interface eth0:
IPADDR[0]="11.22.33.44"
NETMASK[0]="255.255.255.248"
USE_DHCP[0]=""
DHCP_HOSTNAME[0]=""
# Config WAN2 Interface eth1:
IPADDR[2]="22.11.66.77"
NETMASK[2]="255.255.255.0"
USE_DHCP[2]=""
DHCP_HOSTNAME[2]=""
# Config LAN Interface eth2:
IPADDR[1]="192.168.1.2"
NETMASK[1]="255.255.255.0"
USE_DHCP[1]=""
DHCP_HOSTNAME[1]=""
# Default gateway IP address:
GATEWAY="11.22.33.1"
# Change this to "yes" for debugging output to stdout. Unfortunately,
# /sbin/hotplug seems to disable stdout so you'll only see debugging output
# when rc.inet1 is called directly.
DEBUG_ETH_UP="no"Как видно из конфига, беда в том что один общий шлюз. Как сделать так, чтобы каждый интерфейс имел свой шлюз. В идеале конечно что-бы еще каждый интерфейс имел свои ДНС настройки. А то на данный момент ДНС настройки так-же общие. Берутся из resolv.conf
iptables, раздельное логирование
Сейчес логи iptables пишутся в /var/log/messages. Очень не удобно, потому как там полная каша. Кроме логов iptables, в него пишется все с чем ядро имело дело. А хотелось бы чтобы был отдельный лог, по всему что было заблокировано на входе и отдельным логом что на выходе. Итак, говорим iptables что необходимо записать в лог /var/log/dmessages все что было дропнуто на входе и на выходе
IPTABLES -N RULE_4
IPTABLES -A INPUT -j RULE_4
IPTABLES -A RULE_4 -j LOG --log-level info --log-prefix "Входные -- БЛОКИРОВАНО "
IPTABLES -A RULE_4 -j DROP
IPTABLES -N RULE_4
IPTABLES -A OUTNPUT -j RULE_4
IPTABLES -A RULE_4 -j LOG --log-level info --log-prefix "Выходные -- БЛОКИРОВАНО "
IPTABLES -A RULE_4 -j DROP
:msg, contains, "Входные -- БЛОКИРОВАНО " -/var/log/iptables_in.log
:msg, contains, "Выходные -- БЛОКИРОВАНО " -/var/log/iptables_out.log
& ~Message from IP address 127.0.0.1, sender <user@computer> rejected: sender domain does not exist
В логах иногда светится это.
Message from IP address 127.0.0.1, sender <user@computer> rejected: sender domain does not exist root@mail:/etc# ps -ef
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 Jul27 ? 00:00:01 init [3]
root 2 0 0 Jul27 ? 00:00:00 [kthreadd]
root 3 2 0 Jul27 ? 00:00:01 [ksoftirqd/0]
root 5 2 0 Jul27 ? 00:00:00 [kworker/u:0]
root 6 2 0 Jul27 ? 00:00:00 [migration/0]
root 7 2 0 Jul27 ? 00:00:00 [migration/1]
root 9 2 0 Jul27 ? 00:00:01 [ksoftirqd/1]
root 11 2 0 Jul27 ? 00:00:00 [migration/2]
root 12 2 0 Jul27 ? 00:00:00 [kworker/2:0]
root 13 2 0 Jul27 ? 00:00:01 [ksoftirqd/2]
root 14 2 0 Jul27 ? 00:00:00 [migration/3]
root 15 2 0 Jul27 ? 00:00:00 [kworker/3:0]
root 16 2 0 Jul27 ? 00:00:01 [ksoftirqd/3]
root 17 2 0 Jul27 ? 00:00:00 [cpuset]
root 18 2 0 Jul27 ? 00:00:00 [khelper]
root 19 2 0 Jul27 ? 00:00:00 [kdevtmpfs]
root 20 2 0 Jul27 ? 00:00:00 [netns]
root 227 2 0 Jul27 ? 00:00:00 [sync_supers]
root 229 2 0 Jul27 ? 00:00:00 [bdi-default]
root 231 2 0 Jul27 ? 00:00:00 [kblockd]
root 411 2 0 Jul27 ? 00:00:00 [ata_sff]
root 418 2 0 Jul27 ? 00:00:00 [khubd]
root 424 2 0 Jul27 ? 00:00:00 [md]
root 531 2 0 Jul27 ? 00:00:00 [rpciod]
root 580 2 0 Jul27 ? 00:00:00 [khungtaskd]
root 586 2 0 Jul27 ? 00:00:15 [kswapd0]
root 655 2 0 Jul27 ? 00:00:01 [khugepaged]
root 657 2 0 Jul27 ? 00:00:00 [fsnotify_mark]
root 661 2 0 Jul27 ? 00:00:00 [nfsiod]
root 667 2 0 Jul27 ? 00:00:00 [crypto]
root 711 2 0 Jul27 ? 00:00:00 [kthrotld]
root 808 2 0 Jul27 ? 00:00:00 [kworker/1:1]
root 809 2 0 13:26 ? 00:00:00 [kworker/0:0]
root 810 2 0 Jul27 ? 00:00:00 [kworker/3:1]
root 875 2 0 Jul27 ? 00:00:00 [scsi_eh_0]
root 878 2 0 Jul27 ? 00:00:00 [scsi_eh_1]
root 881 2 0 Jul27 ? 00:00:00 [scsi_eh_2]
root 884 2 0 Jul27 ? 00:00:00 [scsi_eh_3]
root 887 2 0 Jul27 ? 00:00:00 [scsi_eh_4]
root 890 2 0 Jul27 ? 00:00:00 [scsi_eh_5]
root 898 2 0 Jul27 ? 00:00:00 [kworker/u:7]
root 1048 2 0 Jul27 ? 00:00:00 [devfreq_wq]
root 1091 2 0 13:36 ? 00:00:00 [kworker/0:1]
root 1259 2 0 13:42 ? 00:00:00 [kworker/0:2]
root 1263 2 0 Jul27 ? 00:00:01 [md0_raid1]
root 1281 2 0 Jul27 ? 00:00:00 [md1_raid1]
root 1298 2 0 Jul27 ? 00:00:02 [md2_raid1]
root 1326 2 0 Jul27 ? 00:00:01 [jbd2/md0-8]
root 1327 2 0 Jul27 ? 00:00:00 [ext4-dio-unwrit]
root 1381 1 0 Jul27 ? 00:00:00 /sbin/udevd --daemon
root 1395 2 0 Jul27 ? 00:00:00 [kworker/2:2]
root 1465 26629 0 13:49 pts/0 00:00:00 ps -ef
root 1487 2 0 Jul27 ? 00:00:00 [kpsmoused]
root 1493 2 0 Jul27 ? 00:00:00 [kworker/1:2]
root 1564 2 0 Jul27 ? 00:00:04 [jbd2/md2-8]
root 1565 2 0 Jul27 ? 00:00:00 [ext4-dio-unwrit]
root 1599 1 0 Jul27 ? 00:00:02 /usr/sbin/syslogd
root 1603 1 0 Jul27 ? 00:00:02 /usr/sbin/klogd -c 3 -x
root 1656 1381 0 Jul27 ? 00:00:00 /sbin/udevd --daemon
root 1657 1381 0 Jul27 ? 00:00:00 /sbin/udevd --daemon
root 1698 2 0 Jul27 ? 00:00:00 [flush-9:0]
root 1699 2 0 Jul27 ? 00:00:11 [flush-9:2]
root 1868 1 0 Jul27 ? 00:00:00 /usr/sbin/inetd
root 1873 1 0 Jul27 ? 00:00:00 /usr/sbin/sshd
bin 1890 1 0 Jul27 ? 00:00:00 /sbin/rpc.portmap
root 1894 1 0 Jul27 ? 00:00:00 /sbin/rpc.statd
root 1898 1 0 Jul27 ? 00:00:00 /usr/sbin/rpc.rquotad
root 1902 2 0 Jul27 ? 00:00:00 [lockd]
root 1903 2 0 Jul27 ? 00:00:00 [nfsd4]
root 1904 2 0 Jul27 ? 00:00:00 [nfsd4_callbacks]
root 1905 2 0 Jul27 ? 00:00:00 [nfsd]
root 1906 2 0 Jul27 ? 00:00:00 [nfsd]
root 1907 2 0 Jul27 ? 00:00:00 [nfsd]
root 1908 2 0 Jul27 ? 00:00:00 [nfsd]
root 1909 2 0 Jul27 ? 00:00:00 [nfsd]
root 1910 2 0 Jul27 ? 00:00:00 [nfsd]
root 1911 2 0 Jul27 ? 00:00:00 [nfsd]
root 1912 2 0 Jul27 ? 00:00:00 [nfsd]
root 1914 1 0 Jul27 ? 00:00:00 /usr/sbin/rpc.mountd
root 1919 1 0 Jul27 ? 00:00:01 /usr/sbin/ntpd -g -p /var/run/ntpd.pid
root 1924 1 0 Jul27 ? 00:00:00 /usr/sbin/acpid
root 1931 1 0 Jul27 ? 00:00:00 /usr/sbin/crond -l notice
daemon 1933 1 0 Jul27 ? 00:00:00 /usr/sbin/atd -b 15 -l 1
root 2164 1 0 Jul27 ? 00:00:00 savd etc/savd.cfg
root 2263 1 0 Jul27 tty1 00:00:00 /sbin/agetty --noclear 38400 tty1 linux
root 2264 1 0 Jul27 tty2 00:00:00 /sbin/agetty 38400 tty2 linux
root 2265 1 0 Jul27 tty3 00:00:00 /sbin/agetty 38400 tty3 linux
root 2266 1 0 Jul27 tty4 00:00:00 /sbin/agetty 38400 tty4 linux
root 2267 1 0 Jul27 tty5 00:00:00 /sbin/agetty 38400 tty5 linux
root 2268 1 0 Jul27 tty6 00:00:00 /sbin/agetty 38400 tty6 linux
root 4777 2164 0 Jul27 ? 00:00:00 savscand --incident=unix://tmp/incident --namedscan=unix://root@tmp/namedscansprocessor.2 --ondemandcontrol=socketpair://42/43
root 26623 1873 0 09:50 ? 00:00:00 sshd: root@pts/0
root 26629 26623 0 09:50 pts/0 00:00:00 -bashLocale support for language C (C.UTF8)
Собственно в логах почтовика это
Locale support for language C (C.UTF8) is not installed on the system: locale::facet::_S_create_c_locale name not validuser@server:~# locale
LANG=ru_RU.UTF-8
LC_CTYPE="ru_RU.UTF-8"
LC_NUMERIC="ru_RU.UTF-8"
LC_TIME="ru_RU.UTF-8"
LC_COLLATE="ru_RU.UTF-8"
LC_MONETARY="ru_RU.UTF-8"
LC_MESSAGES="ru_RU.UTF-8"
LC_PAPER="ru_RU.UTF-8"
LC_NAME="ru_RU.UTF-8"
LC_ADDRESS="ru_RU.UTF-8"
LC_TELEPHONE="ru_RU.UTF-8"
LC_MEASUREMENT="ru_RU.UTF-8"
LC_IDENTIFICATION="ru_RU.UTF-8"
LC_ALL=ru_RU.UTF-8user@server:~# locale -a
C
POSIX
ru_RU
ru_RU.cp1251
ru_RU.koi8r
ru_RU.utf8Failed SMTP login from 89.248.168.2 with SASL method LOGIN.
Логи пестрят подобными сообщениями
Failed SMTP login from 89.248.168.2 with SASL method LOGIN.iptables со ссылкой на алиас
Приветсвую! Есть некий white_list, где перечислен список подсетей. Хочу разрешить подключение к порту 22 только с адресов перечисленных в этом white_list. Остальные попытки с неизвестных ip должны дропатся. Как должно выглядеть правило? По логике вещей как-то так?
-P INPUT DROP
-A INPUT -i eth0 -s white_list -p tcp --dport 22 -j ACCEPTiptables жуткие тормоза!
Приветсвую! iptables жутко тормозит. Набираю iptables -L секунд 20 жду вывода таблицы. Делаю запрос web страницы, то-же тормоза.
#
*filter
-F
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
#
# Разрешаем трафик с петлевого интерфейса
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
#
# Разрешаем входящие и исходящие пинги
-A OUTPUT -p icmp -m icmp -d 18.54.65.XX --icmp-type 8/0 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
#
# Разрешаем установленные подключения
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
################# Защита от распространенных атак #####################
#
# Отбросим все пакеты, которые не имеют никакого статуса
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
#
# Блокируем нулевые пакеты
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#
# Защищаемся от разведывательных пакетов XMAS
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#
# Закрываемся от syn-flood атак
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
-A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#
######## Открываем доступ по следующим портам #########
#
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -i bound0 -p tcp --dport 445 -j ACCEPT
-A INPUT -i bound0 -p tcp --dport 465 -j ACCEPT
-A INPUT -i bound0 -p udp --dport 137 -j ACCEPT
-A INPUT -i bound0 -p udp --dport 138 -j ACCEPT
#
###### Включаем логи по заблокированным пакетам ########
#
-N block_in
-N block_out
-A INPUT -j block_in
-A OUTPUT -j block_out
-A block_in -j LOG --log-level info --log-prefix "--IN--BLOCK"
-A block_in -j DROP
-A block_out -j LOG --log-level info --log-prefix "--OUT--BLOCK"
-A block_out -j DROP
#
COMMIT
#iptables защита samba и web сервера
На сервере крутится апач и самба. Нужно максимально защититься, но без излишней паранои. Порты 137,138,139 и 445 открыл только в сторону локальной сети. Думаю этого будет достаточно. А вот с вэб сервером надобно получше заморочится. Накидал iptables. Вот кусок.
# Отбросим все пакеты, которые не имеют никакого статуса
$iptables -A INPUT -m state --state INVALID -j DROP
$iptables -A FORWARD -m state --state INVALID -j DROP
#
# Блокируем нулевые пакеты
$iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#
# Защищаемся от разведывательных пакетов XMAS
$iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#
# Закрываемся от syn-flood атак
$iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#
# Блокируем доступ для следующих ip адресов
$iptables -I INPUT -i $WAN -s 92.118.38.0/24 -j DROPUbuntu, где скрипты запуска?
Привествую! Пару дней назад перепрыгнул на бубен. Пока не привычно, есть вопросы. В других классических дистрах есть rc.local куда я мог прописать команду, маршрут, да что угодно. А у Ubuntu (v18.04) что стартует в последнюю очередь? Например мне нужно после загрузки сетевых интерфейсов, прописать запуск маршрута
route add -net 192.168.6.0/24 gw 192.168.0.1 bond0iptables -INPUT -A бла..бла..бларедирект 80 на 443
Приветсвую! Есть почтарь. Пора завязывать общение по http протоколу и переходить на https. Сертификаты прописаны, https работает. Теперь хочу что-бы все обращения на 80 порту перенаправлялись на 443 порт.
IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 443Решение для локального ЭДО, прошу совета.
Доброго времени суток! С учетом сложившейся ситуации в стране, всех перевели на удаленную работу. Поставлена задача в кротчайшие сроки подобрать простое решение для локального документооборота. Есть как минимум несколько требований. Кроме стандартного согласования документов, необходимо чтобы пользователь мог самостоятельно задавать и изменять маршрут согласования, админ панель. Все что предлагает Гугл, пробовать просто времени нет. Посоветуйте то, что сами считаете наиболее юзабельным, с чем имели дело в боевых условиях. Спасибо!
iptables переброс запросов
В локалке есть железка с вэб интерфейсом. Нужно что-бы можно было достучатся к ней снаружи. На шлюзе прописываю это. Где хх.ххх.хх.ххх - это ip внешнего интерфейс на шлюзе. 192.168.1.6 - это железяка к которой хотим подключится.
IPTABLES -t nat -A PREROUTING -p tcp -d хх.ххх.хх.ххх --dport 555 -j DNAT --to-destination 192.168.1.6:443
Правило не срабатывает. Что делаю не так? К примеру по 80 порту такое правило успешно работает.
Не видно локаль
Логи почтовика сообщают что не находят нужную локаль.
Locale support for language C (C.UTF8) is not installed on the system: locale::facet::_S_create_c_locale name not valid
Вроде все необходимое есть!
locale -a
ru
ru_RU
ru_RU.cp1251
ru_RU.koi8r
ru_RU.utf8
ru_UA
ru_UA.utf8
locale
LANG=ru_RU.UTF-8
LC_CTYPE="ru_RU.UTF-8"
LC_NUMERIC=C
LC_TIME=ru_RU.UTF-8
LC_COLLATE=ru_RU.UTF-8
LC_MONETARY="ru_RU.UTF-8"
LC_MESSAGES=ru_RU.UTF-8
LC_PAPER=ru_RU.UTF-8
LC_NAME=ru_RU.UTF-8
LC_ADDRESS=ru_RU.UTF-8
LC_TELEPHONE=ru_RU.UTF-8
LC_MEASUREMENT=ru_RU.UTF-8
LC_IDENTIFICATION=ru_RU.UTF-8
LC_ALL=
Что ему еще нужно?
Сетевой бекап
Привествую! Попробовал Clonezilla, оргазма не испытал. Гугл конечно завален инфой, но все пробовать нет времени. Нужен сетевой бекап сервер. Задача такова:
-
Снимать и сохранять у себя виндовс образы со стороннего сервака с определенной периодичностью. Чтобы в случае краха можно было быстро восстановить работу системы развернув его из бекап образа.
-
То-же самое но только для пингвина.
-
Сохранять у себя отдельные папки пользователей. Т.е теневое копирование на бекап сервер с определенной периодичностью.
Расковырять микропрограмму
ИБП завершение работы, посоветуйте
Задача: Есть не обслуживаемый сервер, запитанный через smarp ups ippon. Необходимо чтобы сервак завершал работу при остатке заряда батарей n%, либо через n минут при пропадании питания на входе ИБП. Необходим инструмент безо всякой там GUI морды для решения данной задачи. Иксами да какими нибудь гномами там не должно пахнуть. Присмотрелся к Network UPS Tools. Если кто щупал руками, отзывы в студию. Либо другую тулзу. Очень приветствуется наличие веб морды.
undelete *.avi на ext4
По невнимательности удалена папка с мультимедиа. После удаления запись на раздел не производилась. Пробовал extundelete, находит данную папку но без содержимого. Пробовал восстановить тестдиском, восстанавливает только файлы не большого размера. А с видео файлами в пролете. Что еще предпринять?
Настройка tftp сервера
Хочу поднять tftpd. Делал всё по инстракшн
tftp dgram udp /usr/sbin/in.tftpd in.tftpd -v -s /tftpboot -r blksizetftp [-4][-6][-v][-l][-m mode] [host [port]] [-c command]| ← предыдущие | следующие → |