Сообщения Ozymandis

Ошибка 403 служба TFTP, SELinux, как предоставить доступ?

Добрый день, пробую установить с помощью PXE систему REDos 7.3.3 (Centos7) Получаю такую ошибку:

sealert с ошибкой

sudo sealert -l 692bdfb1-87f1-47e5-a5cc-23fc0f206225
SELinux запрещает /usr/sbin/httpd доступ getattr к файл /var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img.

*****  Модуль restorecon предлагает (точность 99.5)  *************************

Если вы хотите исправить метку.
/var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img по умолчанию должен быть cobbler_var_lib_t.
То вы можете запустить restorecon. Возможно, попытка доступа была остановлена из-за недостаточных разрешений для доступа к родительскому каталогу, и в этом случае попытайтесь соответствующим образом изменить следующую команду.
Сделать
# /sbin/restorecon -v /var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img

*****  Модуль catchall предлагает (точность 1.49)  ***************************

Если вы считаете, что httpd должно быть разрешено getattr доступ к squashfs.img file по умолчанию.
То рекомендуется создать отчет об ошибке.
Чтобы разрешить доступ, можно создать локальный модуль политики.
Сделать
разрешить этот доступ сейчас, выполнив:
     # ausearch -c 'httpd' --raw | audit2allow -M my-httpd
     # semodule -X 300 -i my-httpd.pp


Дополнительные сведения:
Исходный контекст             system_u:system_r:httpd_t:s0
Целевой контекст              unconfined_u:object_r:tftpdir_rw_t:s0
Целевые объекты               /var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/Li
                              veOS/squashfs.img [ file ]
Источник                      httpd
Путь к источнику              /usr/sbin/httpd
Порт                          <Unknown>
Узел                          pxe-server.office-vm002.nm
Исходные пакеты RPM           httpd-core-2.4.56-2.el7.x86_64
Целевые пакеты RPM
Политика SELinux для RPM      selinux-policy-targeted-3.14.5-50.el7.noarch
Локальная политика для RPM    selinux-policy-targeted-3.14.5-50.el7.noarch
SELinux активен               True
Тип регламента                targeted
Режим                         Permissive
Имя узла                      pxe-server.office-vm002.nm
Платформа                     Linux pxe-server.office-vm002.nm 5.15.72-1.el7.3.x86_64
                              #1 SMP Thu Oct 6 08:28:24 MSK 2022 x86_64 x86_64
Счетчик уведомлений           47
Впервые обнаружено            2023-09-20 10:12:30 MSK
В последний раз               2024-06-03 11:46:42 MSK
Локальный ID                  692bdfb1-87f1-47e5-a5cc-23fc0f206225

Построчный вывод сообщений аудита
type=AVC msg=audit(1717404402.364:2725): avc:  denied  { getattr } for  pid=13984 comm="httpd" path="/var/lib/tftpboot/images/REDOS-7.3.3-20230815.0/LiveOS/squashfs.img" dev="dm-0" ino=1855870 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:tftpdir_rw_t:s0 tclass=file permissive=1

type=SYSCALL msg=audit(1717404402.364:2725): arch=x86_64 syscall=stat success=yes exit=0 a0=7ff3f400e9f8 a1=7ff3f3ffea50 a2=7ff3f3ffea50 a3=7ff3f3fff690 items=0 ppid=886 pid=13984 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm=httpd exe=/usr/sbin/httpd subj=system_u:system_r:httpd_t:s0 key=(null)

Hash: httpd,httpd_t,tftpdir_rw_t,file,getattr

сделал уже:

# ausearch -c 'httpd' --raw | audit2allow -M my-httpd
# semodule -X 300 -i my-httpd.pp

На другом таком же сервере все работает хорошо, я так понимаю дело в SELinux

второй сервер с исправно работающей службой TFTP

sudo audit2allow -a (рабочий сервер)

sudo audit2allow -a

#============= groupadd_t ==============
allow groupadd_t self:capability setgid;

#============= httpd_t ==============
allow httpd_t admin_home_t:file getattr;

#!!!! This avc can be allowed using the boolean 'domain_can_mmap_files'
allow httpd_t tftpdir_rw_t:file map;
allow httpd_t tftpdir_rw_t:file { getattr open read };

#!!!! This avc can be allowed using the boolean 'httpd_read_user_content'
allow httpd_t user_home_t:file { open read };

#============= useradd_t ==============

Текущий сервер не исправно работающий TFTP sudo audit2allow -a (нерабочий сервер)

#============= groupadd_t ==============
allow groupadd_t self:capability setgid;

#============= httpd_t ==============
allow httpd_t tftpdir_rw_t:file { getattr open read };

#============= tftpd_t ==============

#!!!! This avc is allowed in the current policy
allow tftpd_t user_home_t:dir search;

#!!!! This avc is allowed in the current policy
allow tftpd_t user_home_t:file { lock open read };

#============= useradd_t ==============
allow useradd_t self:capability setgid;

На обоих серверах права на папки c tftp и образами внутри, chmod совпадает идентичны

ls -alZ 
root root unconfined_u:object_r:tftpdir_rw_t:s0

Ошибка с экрана машины на которую пытаюсь установить через PXE

curl: (22) The requested URL returned error: 483
Warning: Downloading 'http://pxe-server.com/Images/REDOS-7.3.3-28238815.8//images/install.ing' failed! % Total % Received x Xferd Average Speed Time

curl: (22) The requested URL returned error: 483
Warning: Downloading 'http://pxe-server.com/images/REDOS-7.3.3-28238815.8//LiveOS/squashfs.img' failed! 
Warning: anaconda: failed to fetch stage2 from http://pxe-server.com/images/REDOS-7.3.3-28238815.8/ Received x Xferd Average Speed Time Time Time Current
 
curl: (22) The requested URL returned error: 403
Warning: anaconda: failed to fetch kickstart from http://pxe-server.com/images/REDOS-7.3.3-28238815.8/ks_uefi_mme.cfg

pxe boot, pxelinux, selinux, tftp, ред ос

Ozymandis
(04.06.24 14:55:22 MSK)

2 комментария

НЕ приходят письма снаружи (postfix,dovecot,ubuntuserver)

Не могу понять в чем дело, отправка наружу работает, но попадает в спам. При этом не могу получить снаружи ничего.

Ubuntu 18.04, ip-адрес допустим 80.214.3.106 Postfix,Dovecot, PostgreSQL, OpenDKIM Сервер за шлюзом RouterOS, все нужные порты открыты (25, 220, 143, 465, 587, 993, 995) Сервер находится в локальной сети (внутри офиса).

Нет записи PTR, но я так понял это не критично, и письма должны хотя бы приходить снаружи Сам сайт (пускай mysite.ru) выдан nic ru, делегирован на другой dns-хостинг, там cpanel

Сайт на хостинге, у него ip например 123.45.66.21 Есть A запись mail.mysite.ru c ip 80.214.3.106 (внешний адрес офисной сети) Есть MX запись mail.mysite.ru с приоритетом 2.

Конфиги и логи

( читать дальше... )

.....

При отправке с gmail вот такие записи

( читать дальше... )

dns, dovecot, mail server, postfix

Ozymandis
(02.08.19 10:01:06 MSK)

20 комментариев

Как настроить системное прокси Ubuntu Server 18.04

Всем Привет

Имеется сервер на Ubuntu Server 18.04 с белым ip и с приложением для парсинга сайта-сервиса который предоставляет api. Возникла проблема, начали банить ip-адрес моего сервера.

Встала задача, заходить на этот сервис через бесплатные прокси (их целый список, они без авторизации.) Само приложение и нода на TS, пока нет возможности реализовать внутри него прокси.

Я решил сделать системное прокси (понимаю, что это радикальные меры, но это временная необходимость.)

2 варианта я прикинул:

Первый: Можно ли создать прокси для отдельного порта?

Второй: Прокси на весь трафик

в /etc/environment в документации не нашел таких инструкций.

Подскажите, кто сталкивался с такой задачей

environment, linux, proxy, ubuntu server

Ozymandis
(27.06.19 16:36:19 MSK)

6 комментариев

Ошибка 4.3.0 Error: queue file write error. (Postfix + Dovecot + MySQL) ?

Всем Привет!

Возникла проблема, настроил почтовый сервер, количество ящиков 150-200,

По началу все было ок, но с недавнего времени, периодически вижу ошибку на клиентах:

 Ошибка 4.3.0 Error: queue file write error.

на диске место есть

Size  Used Avail Use%
1.8T  465G  1.3T  27%

В логе syslog

Oct 16 20:30:42 production postfix/cleanup[4049]: warning: mysql:/etc/postfix/sql/valias.cf lookup error for "admin@sitesi.ru"
Oct 16 20:30:42 production postfix/cleanup[4049]: warning: 8F3EA340511: virtual_alias_maps map lookup problem for admin@sitesi.ru -- message not accepted, try again later

В dovecot.log

Warning: autocreate plugin is deprecated, use mailbox { auto } setting instead

В mysql

mysql> show variables like "max_connections";
+-----------------+-------+
| Variable_name   | Value |
+-----------------+-------+
| max_connections | 300   |
+-----------------+-------+
1 row in set (0.00 sec)

mysql> show full processlist;
+------+-------------+-----------+-----------+---------+------+----------+-----------------------+
| Id   | User        | Host      | db        | Command | Time | State    | Info                  |
+------+-------------+-----------+-----------+---------+------+----------+-----------------------+
|  544 | root        | localhost | NULL      | Sleep   | 2725 |          | NULL                  |
| 6265 | root        | localhost | NULL      | Sleep   |  705 |          | NULL                  |
| 6776 | postfixuser | localhost | postfix   | Sleep   |   17 |          | NULL                  |
| 8062 | sitesi      | localhost | sitesi-ru | Sleep   |   19 |          | NULL                  |
| 8084 | root        | localhost | NULL      | Query   |    0 | starting | show full processlist |
| 8090 | sitesi      | localhost | sitesi-ru | Sleep   |    0 |          | NULL                  |
| 8091 | sitesi      | localhost | sitesi-ru | Sleep   |    0 |          | NULL                  |
| 8101 | sitesi      | localhost | sitesi-ru | Sleep   |    0 |          | NULL                  |
+------+-------------+-----------+-----------+---------+------+----------+-----------------------+
8 rows in set (0.00 sec)

postfix main.cf <spoiler>

myhostname = mail.sitesi.ru
mydomain = sitesi.ru
myorigin = $mydomain

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname,localhost.$myhostname,localhost

relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
message_size_limit = 51200000

virtual_mailbox_domains = mysql:/etc/postfix/sql/vdomains.cf
virtual_mailbox_base = /var/vmail
virtual_mailbox_maps = mysql:/etc/postfix/sql/vmailbox.cf
virtual_alias_maps = mysql:/etc/postfix/sql/valias.cf
virtual_minimum_uid = 1150
virtual_uid_maps = static:1150
virtual_gid_maps = static:8

virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

biff = no
append_dot_mydomain = no
readme_directory = no 

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_authenticated_header = yes

# TLS 
smtpd_tls_cert_file=/etc/postfix/certs/cert.pem
smtpd_tls_key_file=/etc/postfix/certs/key.pem
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_security_level = may
smtp_tls_security_level = may

#SMTPD parameters
unknown_local_recipient_reject_code = 450
maximal_queue_lifetime = 7d
minimal_backoff_time = 1000s
maximal_backoff_time = 8000s
smtp_helo_timeout = 60s
smtpd_recipient_limit = 80
smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 12

smtpd_sender_restrictions =     
					permit_sasl_authenticated,
					permit_mynetworks,
					warn_if_reject reject_non_fqdn_sender,
					reject_unknown_sender_domain,
					reject_unauth_pipelining,
					#permit

smtpd_client_restrictions = 
					reject_rbl_client cbl.abuseat.org,
				    reject_rbl_client dialups.mail-abuse.org,
				    reject_rbl_client bl.spamcop.net,
				    reject_rbl_client zen.spamhaus.org,
				    reject_rbl_client sbl-xbl.spamhaus.org,
 
smtpd_recipient_restrictions = 
					reject_unauth_pipelining,
					permit_mynetworks,
					permit_sasl_authenticated,
					reject_non_fqdn_recipient,
					reject_unknown_recipient_domain,
					reject_unauth_destination,
					#permit

[/spoiler]

dovecot, mysql, postfix, ubuntu server

Ozymandis
(16.10.17 22:36:06 MSK)

2 комментария

Не сохраняются письма Dovecot IMAP

Всем Привет!

Имеется система Ubuntu Server 16.04 c почтовым сервером (Postfix+Dovecot+MySQL)

Проблема в том, что на клиентах (ThunderBird) периодически не хочет сохранять отправленные письма.

dovecot.log

Oct 09 11:29:15 imap(service3@site.ru): Warning: autocreate plugin is deprecated, use mailbox { auto } setting instead

Oct 09 11:29:17 imap-login: Error: SSL: Stacked error: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca: SSL alert number 48
Oct 09 11:29:17 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=105.650.321.444, lip=45.450.126.360, TLS: SSL_read() failed: Unknown error, session=<PKKB/Bhb0iJbvlPS>
Oct 09 11:29:17 auth: Debug: auth client connected (pid=5850)
Oct 09 11:29:17 imap-login: Error: SSL: Stacked error: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca: SSL alert number 48
Oct 09 11:29:17 imap-login: Info: Disconnected (no auth attempts in 0 secs): user=<>, rip=105.650.321.444, lip=45.450.126.360, TLS: SSL_read() failed: Unknown error, session=<rEiD/Bhb0yJbvlPS>

syslog

Oct  9 11:35:05 Ubuntu-1604-xenial-64-minimal postfix/pipe[6103]: .... doveconf: Warning: NOTE: You can get a new clean config file with: doveconf -n > dovecot-new.conf do))

dovecot -a

# 2.2.22 (fe789d2): /etc/dovecot/dovecot.conf
# Pigeonhole version 0.4.13 (7b14904)
doveconf: Warning: NOTE: You can get a new clean config file with: doveconf -n > dovecot-new.conf
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:13: 'imaps' protocol is no longer necessary, remove it
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:13: 'pop3s' protocol is no longer necessary, remove it

Конфиг dovecot

!include_try /usr/share/dovecot/protocols.d/*.protocol
listen = *
base_dir = /var/run/dovecot/
login_greeting = Dovecot ready.

dict {
  #quota = mysql:/etc/dovecot/dovecot-dict-sql.conf.ext
  #expire = sqlite:/etc/dovecot/dovecot-dict-sql.conf.ext
}

mail_location = mbox:~/mail:INBOX=/var/mail/%u
mail_privileged_group = mail
mail_location = maildir:/var/vmail/%d/%n
mail_uid = vmail
mail_gid = mail

disable_plaintext_auth = no
auth_mechanisms = plain login cram-md5
#!include auth-system.conf.ext
!include auth-sql.conf.ext

#IMAP
!include conf.d/*.conf
!include_try local.conf
protocols = pop3 pop3s imap imaps

protocol imap {
  mail_plugins = $mail_plugins autocreate
  mail_max_userip_connections = 1000
}

# At the end of file paste following code
plugin {
autocreate = Trash
autocreate2 = Junk
autocreate3 = Drafts
autocreate4 = Sent
autosubscribe = Trash
autosubscribe2 = Junk
autosubscribe3 = Drafts
autosubscribe4 = Sent
}

#default_process_limit = 100
#default_client_limit = 1000
#default_vsz_limit = 256M
#default_login_user = dovenull
#default_internal_user = dovecot

service imap-login {
  inet_listener imap {
    #port = 143
  }
  inet_listener imaps {
    #port = 993
    #ssl = yes
  }

  #service_count = 1
  #process_min_avail = 0
  #vsz_limit = $default_vsz_limit
}

service pop3-login {
  inet_listener pop3 {
    #port = 110
  }
  inet_listener pop3s {
    #port = 995
    #ssl = yes
  }
}

service lmtp {
  unix_listener lmtp {
    #mode = 0666
  }

  #inet_listener lmtp {
    #address =
    #port = 
  #}
}

service imap {
  #vsz_limit = $default_vsz_limit

   process_limit = 1024
}

service pop3 {
  #process_limit = 1024
}

service auth {
  unix_listener auth-userdb {
    #mode = 0666
    #user = 
    #group = 

    mode = 0666
    user = vmail
    group = mail
  }

  # Postfix smtp-auth
    unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }

  #user = $default_internal_user
}

service auth-worker {
  #user = root
}

service dict {
  unix_listener dict {
    #mode = 0600
    #user = 
    #group = 
  }
}

ssl = yes
ssl_cert = </etc/postfix/certs/cert.pem
ssl_key = </etc/postfix/certs/key.pem
ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

postmaster_address = postmaster@site.ru

protocol lda {
  #mail_plugins = $mail_plugins
}

#Логи
log_path = /var/log/dovecot.log
auth_verbose = yes
auth_debug = yes
mail_debug = yes

dovecot, imap, postfix

Ozymandis
(09.10.17 12:04:15 MSK)

7 комментариев

Ошибка locale (cannot change locale) CentOS 6.7

Ошибка

"-bash: warning: setlocale: LC_ALL: cannot change locale (en_US.UTF-8)"

не могу ничего установить через yum


Failed to set locale, defaulting to C
Loaded plugins: fastestmirror
Setting up Install Process
Determining fastest mirrors
epel/metalink                                                                                                                                                                    |  21 kB     00:00
Segmentation fault

Пробовал так

localedef -i en_US -f UTF-8 en_US.UTF-8

Пробовал добавить в файлы /etc/environment, /etc/sysconfig/i18n строки:

LANG=en_US.utf-8
LC_ALL=en_US.utf-8

и так

export LC_ALL="en_US.UTF-8"

Безуспешно...

locale -a | grep US

locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_COLLATE to default locale: No such file or directory
en_US
en_US.iso88591
en_US.iso885915
en_US.utf8
es_US
es_US.iso88591
es_US.utf8
yi_US
yi_US.cp1255
yi_US.utf8

locale

locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_ALL to default locale: No such file or directory
LANG=en_US.UTF-8
LC_CTYPE="en_US.UTF-8"
LC_NUMERIC="en_US.UTF-8"
LC_TIME="en_US.UTF-8"
LC_COLLATE="en_US.UTF-8"
LC_MONETARY="en_US.UTF-8"
LC_MESSAGES="en_US.UTF-8"
LC_PAPER="en_US.UTF-8"
LC_NAME="en_US.UTF-8"
LC_ADDRESS="en_US.UTF-8"
LC_TELEPHONE="en_US.UTF-8"
LC_MEASUREMENT="en_US.UTF-8"
LC_IDENTIFICATION="en_US.UTF-8"
LC_ALL=en_US.UTF-8

centos, linux, locale, администрирование linux

Ozymandis
(28.08.17 12:44:13 MSK)

10 комментариев

Ошибка Kernel Panic. Centos 6.8 как решить?

Всем Привет, есть сервер с CentOS 6.8

Вылетела ошибка (скрин), подключился по KVM LARA.

https://s8.hostingkartinok.com/uploads/images/2017/03/b3d6444b55955b77db3ab6d...

centos, kernel panic, linux, выделенный сервер

Ozymandis
(20.03.17 13:29:32 MSK)

11 комментариев

Ошибка авторизации RoundCube (openssl_decrypt())

Всем Привет!

Возникла проблема с RoundCube после обновления PHP c 5.3 до 5.5

Сначала была ошибка AUTHENTICATE PLAIN: Authentication failed Скачал свежую версию RoundCube, заново установил И по началу все было нормально, письма уходили Потом появилась ошибка IMAP: Empty password

Обновил страницу, и вообще все исчезло, после перезагрузки php-fpm, то же самое, немного поработает и снова ошибки

$config['default_host'] = 'localhost';
$config['smtp_port'] = 465;
$config['support_url'] = '';
$config['plugins'] = array();
$config['spellcheck_engine'] = 'pspell';
$config['imap_auth_type'] = 'PLAIN';

лог в /roundcube/logs/error

( читать дальше... )

И на главной странице с формой авторизации RoundCube, под формой вылезли скрипты:

( читать дальше... )

Включил дебаг уровня 4 Вот такие ошибки:

Warning: openssl_decrypt(): IV passed is 11 bytes long which is longer than the 8 expected by selected cipher, truncating in /var/www/roundcube/program/lib/Roundcube/rcube.php on line 874 
Warning: openssl_decrypt(): IV passed is 11 bytes long which is longer than the 8 expected by selected cipher, truncating in /var/www/roundcube/program/lib/Roundcube/rcube.php on line 874

imap, postfix, roundcube, почта

Ozymandis
(22.12.16 09:16:49 MSK)

Не работает сеть в KVM

Всем Привет! Ситуация такая:

Есть выделенный сервер с СentOS 6.8 В ней виртуалка с Windows Server 2012R2 «wsvm» Набор программ такой: Libvirt, QEMU, virt-manager. Изначально задумывалось пробросить порты (80, 3389, 443) для WS2012R2 наружу

Но при настройке возникла проблема с сетью, при работе из-под Windows, через некоторое время пропадает сеть (No Access Internet) Т.е DHCP (по умолчанию) по началу дал IP, и все работало.

P.S Извините за портянку такую

настройки таковы:

( /etc/libvirt/qemu/wsvm.xml )

/etc/libvirt/qemu/networks/default.xml

<network>
  <name>default</name>
  <uuid>d6cfd617-6366-4b46-a287-8182bf59366c</uuid>
  <bridge name="virbr0" />
  <mac address='52:54:00:34:FD:5B'/>
  <forward/>
  <ip address="192.168.122.1" netmask="255.255.255.0">
    <dhcp>
      <range start="192.168.122.2" end="192.168.122.254" />
    </dhcp>
  </ip>
</network>

# ifconfig

[root@CentOS-68-64-minimal ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 40:61:86:2B:91:3C
          inet addr:111.111.11.1  Bcast:111.111.11.1  Mask:255.255.255.255
          inet6 addr: f380::4261:8265ff:12b:911c/64 Scope:Link
          inet6 addr: 201:418:141:3212::2/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:132862 errors:0 dropped:0 overruns:0 frame:0
          TX packets:179851 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:31508577 (30.0 MiB)  TX bytes:229171258 (218.5 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:112475 errors:0 dropped:0 overruns:0 frame:0
          TX packets:112475 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:241597671 (230.4 MiB)  TX bytes:241597671 (230.4 MiB)

virbr0    Link encap:Ethernet  HWaddr 52:54:00:34:FD:5B
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9995 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15295 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:688195 (672.0 KiB)  TX bytes:21107976 (20.1 MiB)

vnet0     Link encap:Ethernet  HWaddr FE:54:00:64:44:60
          inet6 addr: fe80::fc54:ff:fe64:4460/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9995 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15376 errors:0 dropped:0 overruns:1 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:828125 (808.7 KiB)  TX bytes:20685148 (19.7 MiB)

centos, kvm qemu, libvirt, windows, виртуальная машина

Ozymandis
(14.09.16 11:12:38 MSK)

1 комментарий

Перенос почтового сервера (postfix+Dovecot)

Имеется старый сервер CentOS (2 сайта, почта 2 доменых имени,Posfix+Doveсot-(IMAP)+Postgrey).

Как безболезненно перенести почтовый сервер на новое железо (два домена @site1.ru, @site2.ru), по какому принципу хранится почта мне пока не ясно.

Что посоветуете ? перенести тупо папки?

p.s С почтовыми серверами знаком мало, поэтому можете и как нуба тыкать носом.

centos, dovecot, postfix, перенос, почтовые клиенты

Ozymandis
(29.07.16 17:25:16 MSK)

13 комментариев

После установки Nagios, не пускает по SSH (свой порт)

Всем Привет!

После установки системы мониторинга Nagios (на CentOS 6.7, удаленный выделенный сервер) Не пускает по SSH (до установки Nagios, его менял на свой, подключался все работало), и теперь доступен только Nagios по веб-интерфейсу. HTTP, MySQL, и прочее работает. А SSH со статусом

- Active and passive checks have been disabled for this service

- Notifications for this service have been disabled

- CRITICAL

07-25-2016 10:06:40

0d 2h 42m 51s

1/4

connect to address айпи.адрес.сервара and port 22: Connection refused

centos, nagios, ssh, выделенный сервер, удаленное подключение

Ozymandis
(25.07.16 12:52:03 MSK)

10 комментариев

Проброс диапазона портов в виртуальную машину (CentOS+ VM Win2012R2)

Всем Привет!

Несколько дней уже бьюсь с проблемой (может вовсе, это и не проблема для многих)

Есть CentOS 6.7 с выделенным IP допустим 7.7.7.7 (Пров Hetzner). На этой системе стоит виртуалка (qemu, libvirt) Windows Server 2012 R2.

интерфейс виртуалки: virbr0
интерфейс внешки: eth0
IP-адрес WS2012R2: 192.168.122.253

Проблема: Не могу пробросить диапазон портов (6601-6615) для tcp и udp, в виртуалку, Эти порты использует облачный сервис (вебсерв, ftp, cms итд). Проверяю через сервис, работает только 6603 (конфиг ниже).

Проверял с помощью zyxel . ru /openport/

Брандамуэр на винде отключен

В общем изначально нужны были пробросы 80, 3389 портов, с ними все ок. Вот так

iptables -t nat -A PREROUTING --dst 7.7.7.7 -p tcp --dport 80 -j DNAT --to-destination 192.168.122.253
iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 80 -j ACCEPT

с 3389 сделал через скрипт, закинул в папку hooks после сделал:

chmod +x /etc/libvirt/hooks/qemu
service libvirtd restart

Сам скрипт, внешний порт для RDP сделал 8888 и 8889

#!/bin/bash
Guest_name=wsvm
Guest_ipaddr=192.168.122.253
Host_ipaddr=7.7.7.7
Host_port=(  '8888' '8889' )
Guest_port=( '3389' '3389' )

length=$(( ${#Host_port[@]} - 1 ))
if [ "${1}" = "${Guest_name}" ]; then
   if [ "${2}" = "stopped" ] || [ "${2}" = "reconnect" ]; then
       for i in `seq 0 $length`; do
               iptables -t nat -D PREROUTING -d ${Host_ipaddr} -p tcp --dport ${Host_port[$i]} -j DNAT --to ${Guest_ipaddr}:${Guest_port[$i]}
               iptables -D FORWARD -d ${Guest_ipaddr}/32 -p tcp -m state --state NEW -m tcp --dport ${Guest_port[$i]} -j ACCEPT
       done
   fi
   if [ "${2}" = "start" ] || [ "${2}" = "reconnect" ]; then
       for i in `seq 0 $length`; do
               iptables -t nat -A PREROUTING -d ${Host_ipaddr} -p tcp --dport ${Host_port[$i]} -j DNAT --to ${Guest_ipaddr}:${Guest_port[$i]}
               iptables -I FORWARD -d ${Guest_ipaddr}/32 -p tcp -m state --state NEW -m tcp --dport ${Guest_port[$i]} -j ACCEPT
       done
   fi
fi

Вот iptables -nvL

class="no-highlight">

Chain INPUT (policy ACCEPT 687 packets, 85560 bytes) prot opt in     out     source               destination udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:67 tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:67 (policy ACCEPT 0 packets, 0 bytes) prot opt in     out     source               destination tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6615 tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80 udp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     udp dpts:6601:6615 tcp  --  *      *       0.0.0.0/0            192.168.122.253     state NEW tcp dpt:3389 tcp  --  *      *       0.0.0.0/0            192.168.122.253     state NEW tcp dpt:3389 all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24    state RELATED,ESTABLISHED all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0 all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0 all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:23 tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80 tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6612 tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6618 tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
Вот iptables -L -t nat --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:http to:192.168.122.253
2    DNAT       udp  --  anywhere             CentOS-67-64-minimal udp dpts:6601:6615 to:192.168.122.253
3    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpts:mstmg-sstp:6615 to:192.168.122.253
4    DNAT       udp  --  anywhere             CentOS-67-64-minimal udp dpt:6602 to:192.168.122.253
5    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:6602 to:192.168.122.253
6    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:telnet to:192.168.122.253
7    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:ddi-tcp-1 to:192.168.122.253:3389
8    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:ddi-tcp-2 to:192.168.122.253:3389
9    DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpt:http to:192.168.122.253
10   DNAT       udp  --  anywhere             CentOS-67-64-minimal udp dpts:6601:6615 to:192.168.122.253
11   DNAT       tcp  --  anywhere             CentOS-67-64-minimal tcp dpts:mstmg-sstp:6615 to:192.168.122.253

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
2    MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
3    MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination


 centos, iptables, libvirt, port forwarding, qemu-kvm

  Ozymandis
 (05.04.16 13:31:06 MSK)



1 комментарий




  Ошибки авторизации IMAP (на postfix+dovecot) и прочее




  Всем Привет!
Есть удаленный сервер с postfix+dovecot+postgrey

(скажу сразу, что настроено было до меня)

При авторизации (т.е при создании нового профиля в Thunderbird) через клиент Thunderbird с настройками IMAP, SSL/TLS,(сертификаты самописные)  получаются таймауты, и вот такая ошибка в логах:

 

Feb 10 09:56:33 moydomen dovecot: master: Warning: service(imap-login): process_limit reached, client connections are being dropped

Feb 10 09:56:33 moydomen dovecot: imap-login: Disconnected (no auth attempts): rip=91.xx.xx.xx, lip=144.xx.xx.xx


(POP3, SSL/TLS сразу же подключается, и пользователи c IMAP.SSL/TLS раннее зарегистрированные и авторизованные на клиенте, работают норм)

Плюс еще кое-какие ошибки, такого типа:
 

Feb 10 09:56:42 moydomen postfix/trivial-rewrite[8296]: warning: do not list domain moydomen.ru in BOTH mydestination and virtual_alias_domains


 
 
Конфиги могу выложить, но почему-то  cut    не работает
 dovecot, imap, mail server, pop3, postfix

  Ozymandis
 (10.02.16 10:58:24 MSK)



1 комментарий
  



  Как грамотно пробросить порты KVM ?




  Всем Привет! 
В общем (не спрашивайте меня, к чему такое извращение) существует виртуалка Windows Server 2012R2 на CentOS6 , на удаленном сервере на одном выделенном хостером IP адресе, например 111.111.111.111 - на eth0.
Виртуалка virbr0 на 192.168.122.1-192.168.122.254. DHCP в ней включен. 
Айпи WindowsServer 192.168.122.253 
Задача: 
1. На WindowsServer будет веб-сервер, который в итоге должен работать на 111.111.111.111:80. 
2. Пробросить порт для RDP (3389) подключения к Windows Server, чтобы извне подключаться к этому серверу, чтобы развернуть IIS веб-сервер. 
3. Пробросить порт для FTP (21) для удаленного подключения веб-девелопера. 

инструменты имеются в виде: virt-manager, virsh. 
Оснащение: qemu-kvm. libvirt 
Я набросал решение, скажите как вы видите? 

1) sudo iptables -t nat -A PREROUTING --dst 111.111.111.111 -p tcp --dport 80 -j DNAT --to-destination 192.168.122.253 
sudo iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 80 -j ACCEPT 

2) sudo iptables -t nat -A PREROUTING --dst 111.111.111.111 -p tcp --dport 3389 -j DNAT --to-destination 192.168.122.253 
sudo iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 3389 -j ACCEPT 

3) для FTP наружний порт сделать какой-нибудь другой (не 21), например 8888 sudo iptables -t nat -A PREROUTING --dst 111.111.111.111 -p tcp --dport 8888 -j DNAT --to-destination 192.168.122.253 
sudo iptables -I FORWARD 1 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp --dport 21 -j ACCEPT 
----------------------------------
 Настройки iptables
( читать дальше... )
------------------------------
ifconfig


eth0 Link encap:Ethernet HWaddr 40:61:86:2B:91:3C

inet addr:111.111.111.111 Bcast:111.111.111.111 Mask:255.255.255.255

inet6 addr: ipv6.ipv6.ipv6.ipv6.ipv6.ipv6.ipv6/64 Scope:Link

inet6 addr: ipv6.ipv6.ipv6.ipv6.ipv6.ipv6.ipv6/64 Scope:Global

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:4539908 errors:0 dropped:0 overruns:0 frame:0

TX packets:2455250 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:5821314417 (5.4 GiB) TX bytes:1548994732 (1.4 GiB)

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:65536 Metric:1

RX packets:711472 errors:0 dropped:0 overruns:0 frame:0

TX packets:711472 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:1618981503 (1.5 GiB) TX bytes:1618981503 (1.5 GiB)

virbr0 Link encap:Ethernet HWaddr 52:54:00:01:83:D2

inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:18822 errors:0 dropped:0 overruns:0 frame:0

TX packets:18251 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:1523806 (1.4 MiB) TX bytes:23809308 (22.7 MiB)

vnet0 Link encap:Ethernet HWaddr FE:FE: FE:FE FE:FE

inet6 addr: fe80::fe80fe80fe80/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:18736 errors:0 dropped:0 overruns:0 frame:0

TX packets:28853 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:500

RX bytes:1758844 (1.6 MiB) TX bytes:24337728 (23.2 MiB)

 centos, forwarding, kvm, nat, rdp

  Ozymandis
 (04.02.16 18:33:11 MSK)



25 комментариев
  


  
    



  
  
    RSS подписка на новые темы