LINUX.ORG.RU

Сообщения JhekaU

 

Wireguard, правила для firewall

Форум — Admin

Всем привет. Опыта мало, не удаётся сформировать правила firewall на Server.

Задача, дропать все входящие на сервере на внешнем (eth0) интерфейсе, кроме клиентов wireguard.

Клиент wireguard:

ip: 94.0.0.1/24
wg0: 10.0.1.1/24 # wireguard

сервер находится за NAT:

*:udp/999 -> 127.1.1.1:udp/999

Server:

eth0: 127.1.1.1/24
wg0: 10.0.0.1/24 # wireguard
eth1: 192.168.100.1/24 # локальная сеть

Трафик идёт отлично

$ iftop -n -i eth0
127.1.1.1:999 => 94.0.0.1:88882 1k 2k 4k
              <= 	        1k 2k 4k

но как только добавляю правила iptables, всё становится колом:

$ iptables -A INPUT -i eth0 -j DROP;
$ iptables -A INPUT -i eth0 -s 94.0.0.1 -j ACCEPT;
$ iftop -n -i eth0
127.1.1.1:999 => 94.0.0.1:88882 0k 0k 0k
	      <= 	        1k 2k 4k

Возможно у кого то будут светлые мысли, в чём может быть проблема?

 ,

JhekaU
()

Solaris 11.3 ZFS шифрование, не запрашивает пароль или file.key при монтировании

Форум — Admin

Перелопатил тонну информации, манов, но проблему не удаётся решить. При монтировании пароль не спрашивает:

# uname -a
SunOS 5.11 11.3 i86pc i386 i86pc

# zpool get version pool
NAME  PROPERTY  VALUE  SOURCE
pool  version   37     default

# zfs create -o encryption=on pool/test
Enter passphrase for 'pool/test': *****
Enter again: *****

# zfs mount pool/test
# zfs umount pool/test
# zfs mount pool/test

Если ключ отдельным файлом:

# pktool genkey keystore=file outkey=/key/test.key keytype=aes keylen=256
# zfs create -o encryption=aes-256-ccm -o keysource=raw,file:///key/test.key pool/test

Наличие или отсутствие ключа в системе, никак на влияет на работоспособность файловой системы. Т.е. записываем данные, удаляем ключ, перезагружаем систему, спокойно без ключа(без пароля) монтируем и читаем.

# zfs get -p encryption,keystatus,keysource
NAME            PROPERTY    VALUE                           SOURCE
pool/test       encryption  aes-256-ccm                     local
pool/test       keystatus   available                       -
pool/test       keysource   raw,file:///key/test.key        local

Возможно кто-то сталкивался с такой проблемой?

 ,

JhekaU
()

Solaris 11.3 && SAS 2805 не хотят дружить

Форум — Admin

Есть домашний NAS

# cat /etc/release
                             Oracle Solaris 11.3 X86
  Copyright (c) 1983, 2015, Oracle and/or its affiliates.  All rights reserved.
                            Assembled 06 October 2015

Есть SAS 2805, дровишки скачаны отсюда - storage.microsemi.com, SAS 2805

Собственно что с дровишками, что без, работать не хочет.

# cfgadm -al
Ap_Id                          Type         Receptacle   Occupant     Condition
c5                             scsi-bus     connected    unconfigured unknown

При попытке сконфигурировать без дровишек с сайта, вообще никаких сообщений не выдавал, просто оставался в статусе unconfigured, после установки:

#cfgadm -c configure c5
cfgadm: Hardware specific failure: failed to get state for SCSI bus: No such device or address

Сам SAS на ширинке x16

# prtdiag -v
...
==== Upgradeable Slots ====================================

ID  Status    Type             Description
--- --------- ---------------- ----------------------------
9   available PCI Express      PCIEX1_1
2   in use    PCI Express      PCIE16X
10  available PCI Express      PCIEX1_2
12  in use    PCI              PCI1
...

Возможно у кого-то есть идеи как их подружить...

 ,

JhekaU
()

Solaris Zones, ограничение суммарного объема RAM

Форум — Admin

Не могу найти общее ограничение на использование RAM для всех зон суммарно.

Скрин

В хостовой системе присутствует 11 Гб свободной оперативки. При настройке зоны задаем:


add capped-memory
set physical=4000m
set swap=4000m
set locked=4000m
verify
commit
exit

#zoneadm -z zone reboot

В хостовой системе не видим изменения по расходу оперативной памяти. После загрузки зоны, пытаемся скушать хотя бы 2 Гб оперативки, и получаем сообщение о нехватке. Если отключить остальные зоны, то приложение запускается, при этом в хостовой системе prstat -Z показывает о выделении RSS в районе 900Мб, остальное догоняет свапом. Top хостовой системы, показывает свободной 11Гб RAM.

echo ::memstat | mdb -k


Kernel                     494477              1931   12%
ZFS File Data              294805              1151    7%
Anon                       380746              1487    9%
Exec and libs               24914                97    1%
Page cache                  39728               155    1%
Free (cachelist)            43975               171    1%
Free (freelist)           2913129             11379   69%

Total                     4191774             16374
Physical                  4191773             16374

top


Memory: 16G phys mem, 11G free mem, 8191M total swap, 8191M free swap

prstat -Z


ZONEID    NPROC  SWAP   RSS MEMORY      TIME  CPU ZONE
     0      102  393M  206M   1,3%   0:02:43 1,1% global
    17       23 2503M  365M   2,2%   0:00:27 0,0% zone1
    10       23 2502M  362M   2,2%   0:00:26 0,0% zone2
    19       26 8049M   43M   0,3%   0:00:02 0,0% zone3
     5       23   69M   54M   0,3%   0:00:07 0,0% zone4
    12       23   71M   52M   0,3%   0:00:08 0,0% zone5
     7       23  739M  132M   0,8%   0:00:09 0,0% zone6
     4       23   67M   53M   0,3%   0:00:08 0,0% zone7
    14       23   69M   54M   0,3%   0:00:08 0,0% zone8
    11       23   68M   53M   0,3%   0:00:08 0,0% zone9
     3       23   70M   55M   0,3%   0:00:08 0,0% zone10
     6       23   66M   52M   0,3%   0:00:08 0,0% zone11
     2       23   71M   56M   0,3%   0:00:08 0,0% zone12
    15       22   29M   38M   0,2%   0:00:02 0,0% zone13

Стандартный конфиг для всех зон


:~# zonecfg -z zone info
zonename: zone
zonepath: /zone/zone
brand: ipkg
autoboot: true
bootargs: -m verbose
pool:
limitpriv: default,sys_time
scheduling-class: FSS
ip-type: shared
hostid:
fs-allowed:
net:
        address: 192.168.1.30
        allowed-address not specified
        physical: rge0
        defrouter: 192.168.1.1
attr:
        name: comment
        type: string
        value: zone

 , ,

JhekaU
()

RSS подписка на новые темы