LINUX.ORG.RU

Сообщения Ozymandis

 

Ошибка 403 служба TFTP, SELinux, как предоставить доступ?

Форум — Admin

Добрый день, пробую установить с помощью PXE систему REDos 7.3.3 (Centos7) Получаю такую ошибку:

sealert с ошибкой

sudo sealert -l 692bdfb1-87f1-47e5-a5cc-23fc0f206225
SELinux запрещает /usr/sbin/httpd доступ getattr к файл /var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img.

*****  Модуль restorecon предлагает (точность 99.5)  *************************

Если вы хотите исправить метку.
/var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img по умолчанию должен быть cobbler_var_lib_t.
То вы можете запустить restorecon. Возможно, попытка доступа была остановлена ​​из-за недостаточных разрешений для доступа к родительскому каталогу, и в этом случае попытайтесь соответствующим образом изменить следующую команду.
Сделать
# /sbin/restorecon -v /var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img

*****  Модуль catchall предлагает (точность 1.49)  ***************************

Если вы считаете, что httpd должно быть разрешено getattr доступ к squashfs.img file по умолчанию.
То рекомендуется создать отчет об ошибке.
Чтобы разрешить доступ, можно создать локальный модуль политики.
Сделать
разрешить этот доступ сейчас, выполнив:
     # ausearch -c 'httpd' --raw | audit2allow -M my-httpd
     # semodule -X 300 -i my-httpd.pp


Дополнительные сведения:
Исходный контекст             system_u:system_r:httpd_t:s0
Целевой контекст              unconfined_u:object_r:tftpdir_rw_t:s0
Целевые объекты               /var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/Li
                              veOS/squashfs.img [ file ]
Источник                      httpd
Путь к источнику              /usr/sbin/httpd
Порт                          <Unknown>
Узел                          pxe-server.office-vm002.nm
Исходные пакеты RPM           httpd-core-2.4.56-2.el7.x86_64
Целевые пакеты RPM
Политика SELinux для RPM      selinux-policy-targeted-3.14.5-50.el7.noarch
Локальная политика для RPM    selinux-policy-targeted-3.14.5-50.el7.noarch
SELinux активен               True
Тип регламента                targeted
Режим                         Permissive
Имя узла                      pxe-server.office-vm002.nm
Платформа                     Linux pxe-server.office-vm002.nm 5.15.72-1.el7.3.x86_64
                              #1 SMP Thu Oct 6 08:28:24 MSK 2022 x86_64 x86_64
Счетчик уведомлений           47
Впервые обнаружено            2023-09-20 10:12:30 MSK
В последний раз               2024-06-03 11:46:42 MSK
Локальный ID                  692bdfb1-87f1-47e5-a5cc-23fc0f206225

Построчный вывод сообщений аудита
type=AVC msg=audit(1717404402.364:2725): avc:  denied  { getattr } for  pid=13984 comm="httpd" path="/var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img" dev="dm-0" ino=1855870 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:tftpdir_rw_t:s0 tclass=file permissive=1

type=SYSCALL msg=audit(1717404402.364:2725): arch=x86_64 syscall=stat success=yes exit=0 a0=7ff3f400e9f8 a1=7ff3f3ffea50 a2=7ff3f3ffea50 a3=7ff3f3fff690 items=0 ppid=886 pid=13984 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm=httpd exe=/usr/sbin/httpd subj=system_u:system_r:httpd_t:s0 key=(null)

Hash: httpd,httpd_t,tftpdir_rw_t,file,getattr

сделал уже:

# ausearch -c 'httpd' --raw | audit2allow -M my-httpd
# semodule -X 300 -i my-httpd.pp

На другом таком же сервере все работает хорошо, я так понимаю дело в SELinux

второй сервер с исправно работающей службой TFTP

sudo audit2allow -a (рабочий сервер)

sudo audit2allow -a

#============= groupadd_t ==============
allow groupadd_t self:capability setgid;

#============= httpd_t ==============
allow httpd_t admin_home_t:file getattr;

#!!!! This avc can be allowed using the boolean 'domain_can_mmap_files'
allow httpd_t tftpdir_rw_t:file map;
allow httpd_t tftpdir_rw_t:file { getattr open read };

#!!!! This avc can be allowed using the boolean 'httpd_read_user_content'
allow httpd_t user_home_t:file { open read };

#============= useradd_t ==============

Текущий сервер не исправно работающий TFTP sudo audit2allow -a (нерабочий сервер)

#============= groupadd_t ==============
allow groupadd_t self:capability setgid;

#============= httpd_t ==============
allow httpd_t tftpdir_rw_t:file { getattr open read };

#============= tftpd_t ==============

#!!!! This avc is allowed in the current policy
allow tftpd_t user_home_t:dir search;

#!!!! This avc is allowed in the current policy
allow tftpd_t user_home_t:file { lock open read };

#============= useradd_t ==============
allow useradd_t self:capability setgid;

На обоих серверах права на папки c tftp и образами внутри, chmod совпадает идентичны

ls -alZ 
root root unconfined_u:object_r:tftpdir_rw_t:s0

Ошибка с экрана машины на которую пытаюсь установить через PXE

curl: (22) The requested URL returned error: 483
Warning: Downloading 'http://pxe-server.com/Images/REDOS-7.3.3-28238815.8//images/install.ing' failed! % Total % Received x Xferd Average Speed Time

curl: (22) The requested URL returned error: 483
Warning: Downloading 'http://pxe-server.com/images/REDOS-7.3.3-28238815.8//LiveOS/squashfs.img' failed! 
Warning: anaconda: failed to fetch stage2 from http://pxe-server.com/images/REDOS-7.3.3-28238815.8/ Received x Xferd Average Speed Time Time Time Current
 
curl: (22) The requested URL returned error: 403
Warning: anaconda: failed to fetch kickstart from http://pxe-server.com/images/REDOS-7.3.3-28238815.8/ks_uefi_mme.cfg

 , , , ,

Ozymandis
()
2 комментария

НЕ приходят письма снаружи (postfix,dovecot,ubuntuserver)

Форум — Admin

Не могу понять в чем дело, отправка наружу работает, но попадает в спам. При этом не могу получить снаружи ничего.

Ubuntu 18.04, ip-адрес допустим 80.214.3.106 Postfix,Dovecot, PostgreSQL, OpenDKIM Сервер за шлюзом RouterOS, все нужные порты открыты (25, 220, 143, 465, 587, 993, 995) Сервер находится в локальной сети (внутри офиса).

Нет записи PTR, но я так понял это не критично, и письма должны хотя бы приходить снаружи Сам сайт (пускай mysite.ru) выдан nic ru, делегирован на другой dns-хостинг, там cpanel

Сайт на хостинге, у него ip например 123.45.66.21 Есть A запись mail.mysite.ru c ip 80.214.3.106 (внешний адрес офисной сети) Есть MX запись mail.mysite.ru с приоритетом 2.

Конфиги и логи

( читать дальше... )

( читать дальше... )

.....

При отправке с gmail вот такие записи

( читать дальше... )

 , , ,

Ozymandis
()
20 комментариев

Как настроить системное прокси Ubuntu Server 18.04

Форум — Admin

Всем Привет

Имеется сервер на Ubuntu Server 18.04 с белым ip и с приложением для парсинга сайта-сервиса который предоставляет api. Возникла проблема, начали банить ip-адрес моего сервера.

Встала задача, заходить на этот сервис через бесплатные прокси (их целый список, они без авторизации.) Само приложение и нода на TS, пока нет возможности реализовать внутри него прокси.

Я решил сделать системное прокси (понимаю, что это радикальные меры, но это временная необходимость.)

2 варианта я прикинул:

Первый: Можно ли создать прокси для отдельного порта?

Второй: Прокси на весь трафик

в /etc/environment в документации не нашел таких инструкций.

Подскажите, кто сталкивался с такой задачей

 , , ,

Ozymandis
()
6 комментариев

Ошибка 4.3.0 Error: queue file write error. (Postfix + Dovecot + MySQL) ?

Форум — Admin

Всем Привет!

Возникла проблема, настроил почтовый сервер, количество ящиков 150-200,

По началу все было ок, но с недавнего времени, периодически вижу ошибку на клиентах:

 Ошибка 4.3.0 Error: queue file write error.

на диске место есть 

Size  Used Avail Use%
1.8T  465G  1.3T  27%

В логе syslog 

Oct 16 20:30:42 production postfix/cleanup[4049]: warning: mysql:/etc/postfix/sql/valias.cf lookup error for "admin@sitesi.ru"
Oct 16 20:30:42 production postfix/cleanup[4049]: warning: 8F3EA340511: virtual_alias_maps map lookup problem for admin@sitesi.ru -- message not accepted, try again later

В dovecot.log 

Warning: autocreate plugin is deprecated, use mailbox { auto } setting instead

В mysql 

mysql> show variables like "max_connections";
+-----------------+-------+
| Variable_name   | Value |
+-----------------+-------+
| max_connections | 300   |
+-----------------+-------+
1 row in set (0.00 sec)


mysql> show full processlist;
+------+-------------+-----------+-----------+---------+------+----------+-----------------------+
| Id   | User        | Host      | db        | Command | Time | State    | Info                  |
+------+-------------+-----------+-----------+---------+------+----------+-----------------------+
|  544 | root        | localhost | NULL      | Sleep   | 2725 |          | NULL                  |
| 6265 | root        | localhost | NULL      | Sleep   |  705 |          | NULL                  |
| 6776 | postfixuser | localhost | postfix   | Sleep   |   17 |          | NULL                  |
| 8062 | sitesi      | localhost | sitesi-ru | Sleep   |   19 |          | NULL                  |
| 8084 | root        | localhost | NULL      | Query   |    0 | starting | show full processlist |
| 8090 | sitesi      | localhost | sitesi-ru | Sleep   |    0 |          | NULL                  |
| 8091 | sitesi      | localhost | sitesi-ru | Sleep   |    0 |          | NULL                  |
| 8101 | sitesi      | localhost | sitesi-ru | Sleep   |    0 |          | NULL                  |
+------+-------------+-----------+-----------+---------+------+----------+-----------------------+
8 rows in set (0.00 sec)

postfix main.cf <spoiler> 

myhostname = mail.sitesi.ru
mydomain = sitesi.ru
myorigin = $mydomain

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname,localhost.$myhostname,localhost

relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
message_size_limit = 51200000

virtual_mailbox_domains = mysql:/etc/postfix/sql/vdomains.cf
virtual_mailbox_base = /var/vmail
virtual_mailbox_maps = mysql:/etc/postfix/sql/vmailbox.cf
virtual_alias_maps = mysql:/etc/postfix/sql/valias.cf
virtual_minimum_uid = 1150
virtual_uid_maps = static:1150
virtual_gid_maps = static:8

virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

biff = no
append_dot_mydomain = no
readme_directory = no 

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_authenticated_header = yes

# TLS 
smtpd_tls_cert_file=/etc/postfix/certs/cert.pem
smtpd_tls_key_file=/etc/postfix/certs/key.pem
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_security_level = may
smtp_tls_security_level = may

#SMTPD parameters
unknown_local_recipient_reject_code = 450
maximal_queue_lifetime = 7d
minimal_backoff_time = 1000s
maximal_backoff_time = 8000s
smtp_helo_timeout = 60s
smtpd_recipient_limit = 80
smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 12

smtpd_sender_restrictions =     
					permit_sasl_authenticated,
					permit_mynetworks,
					warn_if_reject reject_non_fqdn_sender,
					reject_unknown_sender_domain,
					reject_unauth_pipelining,
					#permit

smtpd_client_restrictions = 
					reject_rbl_client cbl.abuseat.org,
				    reject_rbl_client dialups.mail-abuse.org,
				    reject_rbl_client bl.spamcop.net,
				    reject_rbl_client zen.spamhaus.org,
				    reject_rbl_client sbl-xbl.spamhaus.org,
 
smtpd_recipient_restrictions = 
					reject_unauth_pipelining,
					permit_mynetworks,
					permit_sasl_authenticated,
					reject_non_fqdn_recipient,
					reject_unknown_recipient_domain,
					reject_unauth_destination,
					#permit
[/spoiler]

 , , ,

Ozymandis
()
2 комментария

Не сохраняются письма Dovecot IMAP

Форум — Admin

Всем Привет!

Имеется система Ubuntu Server 16.04 c почтовым сервером (Postfix+Dovecot+MySQL)

Проблема в том, что на клиентах (ThunderBird) периодически не хочет сохранять отправленные письма.

dovecot.log 

Oct 09 11:29:15 imap(service3@site.ru): Warning: autocreate plugin is deprecated, use mailbox { auto } setting instead


Oct 09 11:29:17 imap-login: Error: SSL: Stacked error: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca: SSL alert number 48
Oct 09 11:29:17 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=105.650.321.444, lip=45.450.126.360, TLS: SSL_read() failed: Unknown error, session=<PKKB/Bhb0iJbvlPS>
Oct 09 11:29:17 auth: Debug: auth client connected (pid=5850)
Oct 09 11:29:17 imap-login: Error: SSL: Stacked error: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca: SSL alert number 48
Oct 09 11:29:17 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=105.650.321.444, lip=45.450.126.360, TLS: SSL_read() failed: Unknown error, session=<rEiD/Bhb0yJbvlPS>

syslog 

Oct  9 11:35:05 Ubuntu-1604-xenial-64-minimal postfix/pipe[6103]: .... doveconf: Warning: NOTE: You can get a new clean config file with: doveconf -n > dovecot-new.conf do))

dovecot -a 

# 2.2.22 (fe789d2): /etc/dovecot/dovecot.conf
# Pigeonhole version 0.4.13 (7b14904)
doveconf: Warning: NOTE: You can get a new clean config file with: doveconf -n > dovecot-new.conf
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:13: 'imaps' protocol is no longer necessary, remove it
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:13: 'pop3s' protocol is no longer necessary, remove it
Конфиг dovecot 
!include_try /usr/share/dovecot/protocols.d/*.protocol
listen = *
base_dir = /var/run/dovecot/
login_greeting = Dovecot ready.

dict {
  #quota = mysql:/etc/dovecot/dovecot-dict-sql.conf.ext
  #expire = sqlite:/etc/dovecot/dovecot-dict-sql.conf.ext
}

mail_location = mbox:~/mail:INBOX=/var/mail/%u
mail_privileged_group = mail
mail_location = maildir:/var/vmail/%d/%n
mail_uid = vmail
mail_gid = mail

disable_plaintext_auth = no
auth_mechanisms = plain login cram-md5
#!include auth-system.conf.ext
!include auth-sql.conf.ext

#IMAP
!include conf.d/*.conf
!include_try local.conf
protocols = pop3 pop3s imap imaps

protocol imap {
  mail_plugins = $mail_plugins autocreate
  mail_max_userip_connections = 1000
}

# At the end of file paste following code
plugin {
autocreate = Trash
autocreate2 = Junk
autocreate3 = Drafts
autocreate4 = Sent
autosubscribe = Trash
autosubscribe2 = Junk
autosubscribe3 = Drafts
autosubscribe4 = Sent
}

#default_process_limit = 100
#default_client_limit = 1000
#default_vsz_limit = 256M
#default_login_user = dovenull
#default_internal_user = dovecot

service imap-login {
  inet_listener imap {
    #port = 143
  }
  inet_listener imaps {
    #port = 993
    #ssl = yes
  }

  #service_count = 1
  #process_min_avail = 0
  #vsz_limit = $default_vsz_limit
}

service pop3-login {
  inet_listener pop3 {
    #port = 110
  }
  inet_listener pop3s {
    #port = 995
    #ssl = yes
  }
}

service lmtp {
  unix_listener lmtp {
    #mode = 0666
  }

  #inet_listener lmtp {
    #address =
    #port = 
  #}
}

service imap {
  #vsz_limit = $default_vsz_limit

   process_limit = 1024
}

service pop3 {
  #process_limit = 1024
}

service auth {
  unix_listener auth-userdb {
    #mode = 0666
    #user = 
    #group = 

    mode = 0666
    user = vmail
    group = mail
  }

  # Postfix smtp-auth
    unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }

  #user = $default_internal_user
}

service auth-worker {
  #user = root
}

service dict {
  unix_listener dict {
    #mode = 0600
    #user = 
    #group = 
  }
}

ssl = yes
ssl_cert = </etc/postfix/certs/cert.pem
ssl_key = </etc/postfix/certs/key.pem
ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

postmaster_address = postmaster@site.ru

protocol lda {
  #mail_plugins = $mail_plugins
}

#Логи
log_path = /var/log/dovecot.log
auth_verbose = yes
auth_debug = yes
mail_debug = yes

 , ,

Ozymandis
()
7 комментариев

Ошибка locale (cannot change locale) CentOS 6.7

Форум — General

Ошибка 

"-bash: warning: setlocale: LC_ALL: cannot change locale (en_US.UTF-8)"

не могу ничего установить через yum 


Failed to set locale, defaulting to C
Loaded plugins: fastestmirror
Setting up Install Process
Determining fastest mirrors
epel/metalink                                                                                                                                                                    |  21 kB     00:00
Segmentation fault

Пробовал так 

localedef -i en_US -f UTF-8 en_US.UTF-8
Пробовал добавить в файлы /etc/environment, /etc/sysconfig/i18n строки: 
LANG=en_US.utf-8
LC_ALL=en_US.utf-8
и так 
export LC_ALL="en_US.UTF-8"

Безуспешно...

-

locale -a | grep US 

locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_COLLATE to default locale: No such file or directory
en_US
en_US.iso88591
en_US.iso885915
en_US.utf8
es_US
es_US.iso88591
es_US.utf8
yi_US
yi_US.cp1255
yi_US.utf8

locale 

locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_ALL to default locale: No such file or directory
LANG=en_US.UTF-8
LC_CTYPE="en_US.UTF-8"
LC_NUMERIC="en_US.UTF-8"
LC_TIME="en_US.UTF-8"
LC_COLLATE="en_US.UTF-8"
LC_MONETARY="en_US.UTF-8"
LC_MESSAGES="en_US.UTF-8"
LC_PAPER="en_US.UTF-8"
LC_NAME="en_US.UTF-8"
LC_ADDRESS="en_US.UTF-8"
LC_TELEPHONE="en_US.UTF-8"
LC_MEASUREMENT="en_US.UTF-8"
LC_IDENTIFICATION="en_US.UTF-8"
LC_ALL=en_US.UTF-8

 , , ,

Ozymandis
()
10 комментариев

Ошибка Kernel Panic. Centos 6.8 как решить?

Форум — Admin

Всем Привет, есть сервер с CentOS 6.8

Вылетела ошибка (скрин), подключился по KVM LARA.

https://s8.hostingkartinok.com/uploads/images/2017/03/b3d6444b55955b77db3ab6d...

 , , ,

Ozymandis
()
11 комментариев

Ошибка авторизации RoundCube (openssl_decrypt())

Форум — Admin

Всем Привет!

Возникла проблема с RoundCube после обновления PHP c 5.3 до 5.5

Сначала была ошибка AUTHENTICATE PLAIN: Authentication failed Скачал свежую версию RoundCube, заново установил И по началу все было нормально, письма уходили Потом появилась ошибка IMAP: Empty password

Обновил страницу, и вообще все исчезло, после перезагрузки php-fpm, то же самое, немного поработает и снова ошибки

$config['default_host'] = 'localhost';
$config['smtp_port'] = 465;
$config['support_url'] = '';
$config['plugins'] = array();
$config['spellcheck_engine'] = 'pspell';
$config['imap_auth_type'] = 'PLAIN';

лог в /roundcube/logs/error

( читать дальше... )

И на главной странице с формой авторизации RoundCube, под формой вылезли скрипты:

( читать дальше... )

Включил дебаг уровня 4 Вот такие ошибки: 

Warning: openssl_decrypt(): IV passed is 11 bytes long which is longer than the 8 expected by selected cipher, truncating in /var/www/roundcube/program/lib/Roundcube/rcube.php on line 874 
Warning: openssl_decrypt(): IV passed is 11 bytes long which is longer than the 8 expected by selected cipher, truncating in /var/www/roundcube/program/lib/Roundcube/rcube.php on line 874

 , , ,

Ozymandis
()

Не работает сеть в KVM

Форум — Admin

Всем Привет! Ситуация такая:

Есть выделенный сервер с СentOS 6.8 В ней виртуалка с Windows Server 2012R2 «wsvm» Набор программ такой: Libvirt, QEMU, virt-manager. Изначально задумывалось пробросить порты (80, 3389, 443) для WS2012R2 наружу

Но при настройке возникла проблема с сетью, при работе из-под Windows, через некоторое время пропадает сеть (No Access Internet) Т.е DHCP (по умолчанию) по началу дал IP, и все работало.

P.S Извините за портянку такую

настройки таковы:

( /etc/libvirt/qemu/wsvm.xml )

/etc/libvirt/qemu/networks/default.xml

<network>
  <name>default</name>
  <uuid>d6cfd617-6366-4b46-a287-8182bf59366c</uuid>
  <bridge name="virbr0" />
  <mac address='52:54:00:34:FD:5B'/>
  <forward/>
  <ip address="192.168.122.1" netmask="255.255.255.0">
    <dhcp>
      <range start="192.168.122.2" end="192.168.122.254" />
    </dhcp>
  </ip>
</network>

# ifconfig 

[root@CentOS-68-64-minimal ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 40:61:86:2B:91:3C
          inet addr:111.111.11.1  Bcast:111.111.11.1  Mask:255.255.255.255
          inet6 addr: f380::4261:8265ff:12b:911c/64 Scope:Link
          inet6 addr: 201:418:141:3212::2/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:132862 errors:0 dropped:0 overruns:0 frame:0
          TX packets:179851 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:31508577 (30.0 MiB)  TX bytes:229171258 (218.5 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:112475 errors:0 dropped:0 overruns:0 frame:0
          TX packets:112475 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:241597671 (230.4 MiB)  TX bytes:241597671 (230.4 MiB)

virbr0    Link encap:Ethernet  HWaddr 52:54:00:34:FD:5B
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9995 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15295 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:688195 (672.0 KiB)  TX bytes:21107976 (20.1 MiB)

vnet0     Link encap:Ethernet  HWaddr FE:54:00:64:44:60
          inet6 addr: fe80::fc54:ff:fe64:4460/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9995 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15376 errors:0 dropped:0 overruns:1 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:828125 (808.7 KiB)  TX bytes:20685148 (19.7 MiB)

 , , , ,

Ozymandis
()
1 комментарий

Перенос почтового сервера (postfix+Dovecot)

Форум — Admin

Имеется старый сервер CentOS (2 сайта, почта 2 доменых имени,Posfix+Doveсot-(IMAP)+Postgrey).

Как безболезненно перенести почтовый сервер на новое железо (два домена @site1.ru, @site2.ru), по какому принципу хранится почта мне пока не ясно.

Что посоветуете ? перенести тупо папки?

p.s С почтовыми серверами знаком мало, поэтому можете и как нуба тыкать носом.

 , , , ,

Ozymandis
()
13 комментариев

После установки Nagios, не пускает по SSH (свой порт)

Форум — Admin

Всем Привет!

После установки системы мониторинга Nagios (на CentOS 6.7, удаленный выделенный сервер) Не пускает по SSH (до установки Nagios, его менял на свой, подключался все работало), и теперь доступен только Nagios по веб-интерфейсу. HTTP, MySQL, и прочее работает. А SSH со статусом

- Active and passive checks have been disabled for this service

- Notifications for this service have been disabled

- CRITICAL

07-25-2016 10:06:40

0d 2h 42m 51s

1/4

connect to address айпи.адрес.сервара and port 22: Connection refused

 , , , ,

Ozymandis
()
10 комментариев

Проброс диапазона портов в виртуальную машину (CentOS+ VM Win2012R2)

Форум — Admin

Всем Привет!

Несколько дней уже бьюсь с проблемой (может вовсе, это и не проблема для многих)

Есть CentOS 6.7 с выделенным IP допустим 7.7.7.7 (Пров Hetzner). На этой системе стоит виртуалка (qemu, libvirt) Windows Server 2012 R2.

интерфейс виртуалки: virbr0
интерфейс внешки: eth0
IP-адрес WS2012R2: 192.168.122.253
Проблема: Не могу пробросить диапазон портов (6601-6615) для tcp и udp, в виртуалку, Эти порты использует облачный сервис (вебсерв, ftp, cms итд). Проверяю через сервис, работает только 6603 (конфиг ниже).

Проверял с помощью zyxel . ru /openport/

Брандамуэр на винде отключен

В общем изначально нужны были пробросы 80, 3389 портов, с ними все ок. Вот так 

iptables -t nat -A PREROUTING --dst 7.7.7.7 -p tcp --dport 80 -j DNAT --to-destination 192.168.122.253
iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 80 -j ACCEPT

с 3389 сделал через скрипт, закинул в папку hooks после сделал: 

chmod +x /etc/libvirt/hooks/qemu
service libvirtd restart
Сам скрипт, внешний порт для RDP сделал 8888 и 8889 
#!/bin/bash
Guest_name=wsvm
Guest_ipaddr=192.168.122.253
Host_ipaddr=7.7.7.7
Host_port=(  '8888' '8889' )
Guest_port=( '3389' '3389' )

length=$(( ${#Host_port[@]} - 1 ))
if [ "${1}" = "${Guest_name}" ]; then
   if [ "${2}" = "stopped" ] || [ "${2}" = "reconnect" ]; then
       for i in `seq 0 $length`; do
               iptables -t nat -D PREROUTING -d ${Host_ipaddr} -p tcp --dport ${Host_port[$i]} -j DNAT --to ${Guest_ipaddr}:${Guest_port[$i]}
               iptables -D FORWARD -d ${Guest_ipaddr}/32 -p tcp -m state --state NEW -m tcp --dport ${Guest_port[$i]} -j ACCEPT
       done
   fi
   if [ "${2}" = "start" ] || [ "${2}" = "reconnect" ]; then
       for i in `seq 0 $length`; do
               iptables -t nat -A PREROUTING -d ${Host_ipaddr} -p tcp --dport ${Host_port[$i]} -j DNAT --to ${Guest_ipaddr}:${Guest_port[$i]}
               iptables -I FORWARD -d ${Guest_ipaddr}/32 -p tcp -m state --state NEW -m tcp --dport ${Guest_port[$i]} -j ACCEPT
       done
   fi
fi

Вот iptables -nvL 

Chain INPUT (policy ACCEPT 687 packets, 85560 bytes)
 pkts bytes target     prot opt in     out     source               destination
  114  7940 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
    2   686 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:67

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  418 37969 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6615
  695  215K ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
    0     0 ACCEPT     udp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     udp dpts:6601:6615
    2   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.122.253     state NEW tcp dpt:3389
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.122.253     state NEW tcp dpt:3389
 6762 8980K ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24    state RELATED,ESTABLISHED
 8401 1861K ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0
  137  7660 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:23
   25  8050 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
   13   756 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6612
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6618
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80

Вот iptables -L -t nat --line-numbers

Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:http to:192.168.122.253
2    DNAT       udp  --  anywhere             CentOS-67-64-minimal udp dpts:6601:6615 to:192.168.122.253
3    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpts:mstmg-sstp:6615 to:192.168.122.253
4    DNAT       udp  --  anywhere             CentOS-67-64-minimal udp dpt:6602 to:192.168.122.253
5    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:6602 to:192.168.122.253
6    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:telnet to:192.168.122.253
7    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:ddi-tcp-1 to:192.168.122.253:3389
8    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:ddi-tcp-2 to:192.168.122.253:3389
9    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:http to:192.168.122.253
10   DNAT       udp  --  anywhere             CentOS-67-64-minimal udp dpts:6601:6615 to:192.168.122.253
11   DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpts:mstmg-sstp:6615 to:192.168.122.253

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
2    MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
3    MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

 , , , ,

Ozymandis
()
1 комментарий

Ошибки авторизации IMAP (на postfix+dovecot) и прочее

Форум — Admin

Всем Привет! Есть удаленный сервер с postfix+dovecot+postgrey
(скажу сразу, что настроено было до меня)
При авторизации (т.е при создании нового профиля в Thunderbird) через клиент Thunderbird с настройками IMAP, SSL/TLS,(сертификаты самописные) получаются таймауты, и вот такая ошибка в логах:

  • Feb 10 09:56:33 moydomen dovecot: master: Warning: service(imap-login): process_limit reached, client connections are being dropped
  • Feb 10 09:56:33 moydomen dovecot: imap-login: Disconnected (no auth attempts): rip=91.xx.xx.xx, lip=144.xx.xx.xx


(POP3, SSL/TLS сразу же подключается, и пользователи c IMAP.SSL/TLS раннее зарегистрированные и авторизованные на клиенте, работают норм)

Плюс еще кое-какие ошибки, такого типа:

  • Feb 10 09:56:42 moydomen postfix/trivial-rewrite[8296]: warning: do not list domain moydomen.ru in BOTH mydestination and virtual_alias_domains



Конфиги могу выложить, но почему-то cut не работает

 , , , ,

Ozymandis
()
1 комментарий

Как грамотно пробросить порты KVM ?

Форум — Admin

Всем Привет! В общем (не спрашивайте меня, к чему такое извращение) существует виртуалка Windows Server 2012R2 на CentOS6 , на удаленном сервере на одном выделенном хостером IP адресе, например 111.111.111.111 - на eth0.

Виртуалка virbr0 на 192.168.122.1-192.168.122.254. DHCP в ней включен. Айпи WindowsServer 192.168.122.253

Задача:

  • 1. На WindowsServer будет веб-сервер, который в итоге должен работать на 111.111.111.111:80.
  • 2. Пробросить порт для RDP (3389) подключения к Windows Server, чтобы извне подключаться к этому серверу, чтобы развернуть IIS веб-сервер.
  • 3. Пробросить порт для FTP (21) для удаленного подключения веб-девелопера.

инструменты имеются в виде: virt-manager, virsh. Оснащение: qemu-kvm. libvirt

Я набросал решение, скажите как вы видите?

  • 1)

    sudo iptables -t nat -A PREROUTING --dst 111.111.111.111 -p tcp --dport 80 -j DNAT --to-destination 192.168.122.253

    sudo iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 80 -j ACCEPT

  • 2)

    sudo iptables -t nat -A PREROUTING --dst 111.111.111.111 -p tcp --dport 3389 -j DNAT --to-destination 192.168.122.253

    sudo iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 3389 -j ACCEPT

  • 3) для FTP наружний порт сделать какой-нибудь другой (не 21), например 8888

    sudo iptables -t nat -A PREROUTING --dst 111.111.111.111 -p tcp --dport 8888 -j DNAT --to-destination 192.168.122.253

    sudo iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 21 -j ACCEPT

----------------------------------

Настройки iptables

( читать дальше... )

------------------------------

ifconfig

eth0 Link encap:Ethernet HWaddr 40:61:86:2B:91:3C
inet addr:111.111.111.111 Bcast:111.111.111.111 Mask:255.255.255.255
inet6 addr: ipv6.ipv6.ipv6.ipv6.ipv6.ipv6.ipv6/64 Scope:Link
inet6 addr: ipv6.ipv6.ipv6.ipv6.ipv6.ipv6.ipv6/64 Scope:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4539908 errors:0 dropped:0 overruns:0 frame:0
TX packets:2455250 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5821314417 (5.4 GiB) TX bytes:1548994732 (1.4 GiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:711472 errors:0 dropped:0 overruns:0 frame:0
TX packets:711472 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1618981503 (1.5 GiB) TX bytes:1618981503 (1.5 GiB)

virbr0 Link encap:Ethernet HWaddr 52:54:00:01:83:D2
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18822 errors:0 dropped:0 overruns:0 frame:0
TX packets:18251 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1523806 (1.4 MiB) TX bytes:23809308 (22.7 MiB)

vnet0 Link encap:Ethernet HWaddr FE:FE: FE:FE FE:FE
inet6 addr: fe80::fe80fe80fe80/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18736 errors:0 dropped:0 overruns:0 frame:0
TX packets:28853 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:1758844 (1.6 MiB) TX bytes:24337728 (23.2 MiB)

 , , , ,

Ozymandis
()
25 комментариев

RSS подписка на новые темы