LINUX.ORG.RU

Сообщения SpaceRanger

 

Завернуть трафик только одного сайта в wireguard

Есть у меня рабочая сетка, в которой поднят опенВПН. Этот впн используется исключительно для рабочих нужд и весь рабочий трафик идёт через него. Но есть сайт, который западные партнёры подло заблокировали (di.fm). Вобщем, я поднял вирегард на забугорном впс и хочу только этот сайт через него иметь возможность посещать. Только вот в чём прикол - когда опенВПН и wg0 подняты, то весь тарфик идет через wg0. Если tun0 потушить,и wg0 поднять - то сайт работает, но рабочие ресурсы не доступны. Такая вот загогулина. Вот такой конфиг у меня на клиенте:

1 [Interface]                                                                                                                                                                                                                                                                                                             
  2 
  3 PrivateKey = here client PrivateKey
  4 
  5 Address = 10.8.0.3/24
  6 
  7 DNS = 8.8.8.8,8.8.4.4
  8 
  9 [Peer]
 10 
 11 PublicKey = here Wireguard server PublicKey
 12 
 13 Endpoint = server_public_ip:server_port
 14 
 15 AllowedIPs = 70.42.73.23  #Target website

а вот что на серваке

 [Interface]
  2 Address = 10.8.0.1/24
  3 SaveConfig = true
  4 PostUp = ufw route allow in on wg0 out on eth0
  5 PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
  6 PreDown = ufw route delete allow in on wg0 out on eth0
  7 PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
  8 ListenPort = 51820
  9 PrivateKey = server PrivateKey
 10 
 11 
 12 
 13
 14 
 15 
 16 [Peer]
 17 PublicKey = client_public_key
 18 AllowedIPs = 10.8.0.3/32
 19

По братски, подскажи куда копать, чтобы и опенВПН работал и wireguard, но в ВГ только один сайт заворачивлася? Это в настройках вирегард или в иптабли?

Перемещено hobbit из general

 

SpaceRanger
()
47 комментариев

Squid на VPS одни сайты проксирует, а другие нет

Привет, ЛОР.Есть сайт один Di.FM, который отказывается работать из моей сети. С работы тоже плотного музла не послушать, ибо кажись попал сегмент и рабочей и домашних сетей под какие то потные ограничения. В связи с этим задумал установить SQUID на впс за бугром. Сквид поставил, мануалы прочитал, в хром расширение SmartProxy зарядил (чтоб только один сайт через прокси ходил) - и, как вы уже догадались, не работает дифм. Для теста добавил avito.ru в настройки smart proxy - авито работает превосходно, что я и вижу в логах сквида. ЛОР тоже работает, а вот ya.ru - нет. Чому? Вот конфиг


  4 # Example rule allowing access from your local networks.
  5 # Adapt to list your (internal) IP networks from where browsing
  6 # should be allowed
  7 acl localnet src X.X.X.X (ТУТ МОЙ ИП)   # allow me

 15 acl fails rep_mime_type ^.*mms.*
 16 acl fails rep_mime_type ^.*ms-hdr.*
 17 acl fails rep_mime_type ^.*x-fcs.*
 18 acl fails rep_mime_type ^.*x-ms-asf.*
 19 acl fails2 urlpath_regex dvrplayer mediastream mms://
 20 acl fails2 urlpath_regex \.asf$ \.afx$ \.flv$ \.swf$
 21 acl deny_rep_mime_flashvideo rep_mime_type -i video/flv
 22 acl deny_rep_mime_shockwave rep_mime_type -i ^application/x-shockwave-flash$
 23 acl x-type req_mime_type -i ^application/octet-stream$
 24 acl x-type req_mime_type -i application/octet-stream
 25 acl x-type req_mime_type -i ^application/x-mplayer2$
 26 acl x-type req_mime_type -i application/x-mplayer2
 27 acl x-type req_mime_type -i ^application/x-oleobject$
 28 acl x-type req_mime_type -i application/x-oleobject
 29 acl x-type req_mime_type -i application/x-pncmd
 30 acl x-type req_mime_type -i ^video/x-ms-asf$
 31
 32 acl x-type2 rep_mime_type -i ^application/octet-stream$
 33 acl x-type2 rep_mime_type -i application/octet-stream
 34 acl x-type2 rep_mime_type -i ^application/x-mplayer2$
 35 acl x-type2 rep_mime_type -i application/x-mplayer2
 36 acl x-type2 rep_mime_type -i ^application/x-oleobject$
 37 acl x-type2 rep_mime_type -i application/x-oleobject
 38 acl x-type2 rep_mime_type -i application/x-pncmd
 39 acl x-type2 rep_mime_type -i ^video/x-ms-asf$
 40
 41
 42 acl SSL_ports port 443
 43 acl Safe_ports port 80      # http
 44 acl Safe_ports port 21      # ftp
 45 acl Safe_ports port 443     # https
 46 acl Safe_ports port 70      # gopher
 47 acl Safe_ports port 210     # wais
 48 acl Safe_ports port 1025-65535  # unregistered ports
 49 acl Safe_ports port 280     # http-mgmt
 50 acl Safe_ports port 488     # gss-http
 51 acl Safe_ports port 591     # filemaker
 52 acl Safe_ports port 777     # multiling http
 53 acl CONNECT method CONNECT

 54
 55
 56 #
 57 # Recommended minimum Access Permission configuration:
 58 #
 59 # Deny requests to certain unsafe ports
 60 http_access deny !Safe_ports
 61
 62 # Deny CONNECT to other than secure SSL ports
 63 http_access deny CONNECT !SSL_ports
 64
 65 # Only allow cachemgr access from localhost
 66 http_access allow localhost manager
 67 http_access deny manager
 68
 69 # We strongly recommend the following be uncommented to protect innocent
 70 # web applications running on the proxy server who think the only
 71 # one who can access services on "localhost" is a local user
 72 #http_access deny to_localhost
 73
 74 #
 75 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
 76 #
 77 auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/passwords
 78 auth_param basic realm proxy
 79 acl authenticated proxy_auth REQUIRED
 80
 81 # Example rule allowing access from your local networks.
 82 # Adapt localnet in the ACL section to list your (internal) IP networks
 83 # from where browsing should be allowed
 84 http_access allow localnet
 85 http_access allow localhost
 86 http_access allow authenticated
 87 http_reply_access allow deny_rep_mime_flashvideo
 88 http_reply_access allow deny_rep_mime_shockwave
 89
 90 #streaming files
 91 http_access allow fails
 92 http_reply_access allow fails
 93 http_access allow fails2
 94 http_reply_access allow fails2
 95 http_access allow x-type
 96 http_reply_access allow x-type
 97 http_access allow x-type2
 98 http_reply_access allow x-type2
 99
100 # And finally deny all other access to this proxy
101 http_access deny all
102
103 # Squid normally listens to port 3128
104 http_port 3128

проверка curl -v -x http://login:password@squid_ip:3128 http://www.ya.ru/

выдает это . Как будто бы есть какое то слово еррор, но к чему оно - решительно не понятно мне

*   Trying squid_ip:3128...
* Connected to (nil) (squid_ip) port 3128 (#0)
* Proxy auth using Basic with user 'squid_user_login'
> GET http://www.ya.ru/ HTTP/1.1
> Host: www.ya.ru
> Proxy-Authorization: Basic ZGlmbTpxd2Vxd2Vkc2E=
> User-Agent: curl/7.81.0
> Accept: */*
> Proxy-Connection: Keep-Alive
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 301 Moved Permanently
< Cache-Control: max-age=1209600,private
< Date: Tue, 13 Dec 2022 15:45:13 GMT
< Location: https://ya.ru/
< NEL: {"report_to": "network-errors", "max_age": 100, "success_fraction": 0.001, "failure_fraction": 0.1}
< P3P: policyref="/w3c/p3p.xml", CP="NON DSP ADM DEV PSD IVDo OUR IND STP PHY PRE NAV UNI"
< Portal: Home
< Report-To: { "group": "network-errors", "max_age": 100, "endpoints": [{"url": "https://dr.yandex.net/nel", "priority": 1}, {"url": "https://dr2.yandex.net/nel", "priority": 2}]}
< X-Content-Type-Options: nosniff
< X-Yandex-Req-Id: 1670946313421841-813208226350179196-vla1-1923-vla-l7-balancer-8080-BAL-8836
< Set-Cookie: is_gdpr=0; Path=/; Domain=.ya.ru; Expires=Thu, 12 Dec 2024 15:45:13 GMT
< Set-Cookie: is_gdpr_b=CLWnaxDqmgE=; Path=/; Domain=.ya.ru; Expires=Thu, 12 Dec 2024 15:45:13 GMT
< Set-Cookie: _yasc=mw1jQkJcdo9QQlCLc4f1A0PDyPxUPkLL/MkqzIreiVqUPEdr8ZFbyxl2mj4=; domain=.www.ya.ru; path=/; expires=Fri, 10-Dec-2032 15:45:13 GMT; secure
< X-Cache: MISS from alex.domain.com
< X-Cache-Lookup: MISS from alex.domain.com:3128
< Transfer-Encoding: chunked
< Via: 1.1 alex.domain.com (squid/4.10)
< Connection: keep-alive

ПРичем, однаждыСам по себе дифм вдруг стало открываться, но после перегрузки сервака снова отморозилось. Но почему же тогда авито и ЛОР отлично работают через прокси? Эта загадка не даёт покоя лучшим умам человечества (то есть мне) весь сегодняшний вечер. ЛОР - последняя надежда рода людского и любителей плотного саунда. ЛОР, спаси!

 

SpaceRanger
()
11 комментариев

Что быстрее, Bash или Python?

ПРивет, посоны. С коллегой тут закусился, что быстрее работает? Я топил за питон, так как начитался недавних пресс-релизов об ускорении аж до 60%. Но других аргументов то у меня собственно и нет. Поэтому пришёл сюда, чтобы набраться мудрости и завтра ковровым аргументометанием принудить его к миру.

 ,

SpaceRanger
()
124 комментария (стр. 2 3)

Ссылка в трекере не ведёт на последнее сообщение

Собственно сабж. Когда я кликаю на какое то сообщение в трекере, то я ожидаю, что меня перекинет именно на это сообщение. Но вместо этого меня вижу просто переход на последнюю страницу треда. Приходится скроллить вниз вручную.

 

SpaceRanger
()
7 комментариев

tail -f на питоне перестает следить за файлом/перестаёт писать в конечный файл

Всем привет. Проблема заключается в том, что через какое то время программа ниже перестаёт либо писать в файл, либо отслеживать нужное в исходном - этого я пока понять не могу. Сама программа продолжает висеть в процессах, отсюда я смею предположить, что она какбэ продолжает работать. А вот что нарушает её нормальное функционирование понять не могу

import subprocess
import os
import sys


def tail_forever(file, pat):
        os.chdir(sys.path[0])
        with open("log", "a+") as log:
            try:
                with open(file, "r") as f:
                    try:
                        p = subprocess.Popen(["tail", "-f", file], stdout=subprocess.PIPE)
                        while 1:
                            line = p.stdout.readline().decode()
                            if pat in line:
                                 log.write(line)
                                log.flush()
                            elif not line:
                                break
                    except KeyboardInterrupt:
                        print("KB INT")
                        log.write("INTERRUPTED FROM KB: ")
                        print("AFTER KB")
                        log.flush()
                    except Exception:
                        log.write("UNEXPECTED ERROR: ", sys.exc_info()[0])
                        log.flush()
                    finally:
                        log.close()
                        sys.exit("EXIT")
            finally:
                f.close()


if __name__ == "__main__":
    tail_forever(sys.argv[1], sys.argv[2])

Есть у кого какие идеи? Всем заранее спасибо. Версия питона 2.6.6, если что

 

SpaceRanger
()
39 комментариев

Интерактивный шелл SSH на питоне с авторизацией по паролю в PyCharm

Господа, признаюсь - я тугодум, поэтому не бейте сильно.

Я уже перегуглил сотни страниц и всё равно не получается. А нужно то мне всего ничего: из под PyCharm тестировать свой шедевр проектирования и изящных архитектурных решений программного обеспечения.

Так вот, когда я запускаю вот это

subprocess.run(«ssh root@192.168.103.250 -p 3593», shell=True)

то получаю вот это

ssh_askpass: exec(/usr/lib/ssh/ssh-askpass): No such file or directory Permission denied, please try again. 
ssh_askpass: exec(/usr/lib/ssh/ssh-askpass): No such file or directory Permission denied, please try again. 
ssh_askpass: exec(/usr/lib/ssh/ssh-askpass): No such file or directory 
root@192.168.103.250: Permission denied (publickey,password).

Десятки запросов, сотни страниц и миллионы душевных терзаний в ночи не внесли ясности в ситуацию. Читать я , кстати, умею и понимаю, что среда не находит что то там где то там. И там этого действительно нет, я проверял. Рачевики что то невнятное внушает. Помогите, плиз, если еще не пьяные.

P.S. Если запускать через терминал, то всё работает (запрашивает пароль, как и положено). Но это ж гимор, щелкать туда сюда по окнам

 , ,

SpaceRanger
()
10 комментариев

PyCharm ЖРЁТ

Посоны, я что то не правильно делаю или почему PyCharm зохавал аж 3 Гб памяти? Не то, чтобы мне жалко, но не многовато ли?

 

SpaceRanger
()
84 комментария (стр. 2)

интерактивный шелл в питоне

Сап двач.мур мур мур мур лор! Будь добр, подскажи, как на питоне создать сессию интерактивного шелла? В интернетах полно тем, как залогиниться, выполнить какую то комманду и разорвать соединение. А мне нужно, установить соединение для произвольного ввода команд от юзера. То есть полный аналог ssh user@ip_address:port в терминале. Причем, чтобы шелл был тот, который установлен в $SHELL для юзера, под которым происходит соединение. Интернеты полны противоречий и противопоставлений одних библиотек другим. Может кто сталкивался и есть кодовый сниппет?

Всем отсылаю лучи добра.

 ,

SpaceRanger
()
8 комментариев

Регулярка. Подстрока, исключая последний символ

Подумал, чтло для Девелопмента слишком пустяковый вопрос.

Есть кароч такая строка

alias SERV-1="                    ssh root@123.12.12.123 -p 1234"                                              # [esfsef
alias SERV-2="                     ssh root@321.32.32.321 -p 4321  -t ssh 123.12.12.123"                        # [esfsef

Регуляркой надо вытащить команду. Вроде просто, но

r'\bssh\sroot.*\"'

выдает нужное, но с двойными кавычками на конце.

ssh root@321.32.32.321 -p 4321  -t ssh 123.12.12.123"

Из файла их убрать не получится, ибо такой формат и вообще они как разделители полей.

Собственно вопрос, как составить регулярку, чтобы избавиться от двойных кавычек в конце?

Всем чёткости и системд на рабочую машину!

 ,

SpaceRanger
()
4 комментария

Запустить Testdisk в фоне

привет, ЛОР. Есть один удалённый хост, на нём есть сломанный диск. Нужно к хосту дойти по ссш и запустить тестдиск. Но ссш часто рвётся, да и диск 20 Тб - выполняться тестирование будет достаточно долго. Проблема в том, что

nohup testdisk &

просто сразу улетает в фон, а там ведь ещё нужно в меню самой утилитки повыбирать всякое.

Если сначала

testdisk

, затем там чего то повыбирать

Ctrl+Z
bg
disown -h

То в jobs я вижу, что процесс так то Stopped, а не Running. То, что процесс действительно остановлен, я убеждаюсь проверяя количество провыеренных блоков, выводя процесс в fg. Это погружает меня в пучины депрессии и аппетит мой ухудшается. Гуглинг показал, что никому до меня не приходило в голову запускать тестдиск в фоне. Что я делаю не правильно? Ну, кроме того что ещё не самозабанился по причине скудоумия, разумеется.

Заранее всех благодарю и рассылаю лучи добра.

 ,

SpaceRanger
()
6 комментариев

Увеличение swap файла

Привет, улей.

Device             Start       End   Sectors   Size Type
/dev/nvme0n1p1      2048    206847    204800   100M EFI System
/dev/nvme0n1p2    206848    239615     32768    16M Microsoft reserved
/dev/nvme0n1p3    239616 294207682 293968067 140.2G Microsoft basic data
/dev/nvme0n1p4 499009536 500115455   1105920   540M Windows recovery environment
/dev/nvme0n1p5 294209536 294823935    614400   300M Linux extended boot
/dev/nvme0n1p6 294823936 296921087   2097152     1G Linux filesystem
/dev/nvme0n1p7 296921088 422750207 125829120    60G Linux filesystem
/dev/nvme0n1p8 422750208 499009535  76259328  36.4G Linux filesystem

Приехал нговый диск, на который я перенесу раздел home. Соответственно, освободится 36Гб на текущем диске. Я хотел освободившееся место отдать под рут, а nvme0n1p6 (на котором находится своп раздел) как то увеличить хотя бы до 4-5 Гб. А как это сделать, не почикав nvme0n1p7, который есть корневой каталог?

 ,

SpaceRanger
()
8 комментариев

Мониторинг ssh через 1 или 2 хопа

Сап, ЛОР. Есть одна тян Есть один камплюктер, до которого можно достучаться вот так

ssh root@172.23.1.231 -p 3598  -t ssh 10.254.10.252

Установить агент нет возможности, поэтому настраиваю через SSH-agent. Собственно что делаю:

  1. До первого хоста (172.23.1.231) и сам ССХ агент легко добирается. Проверяю этот факт результатом команды hostname -f, а также вижу в логах открытие сессии и правильный автоматический ввод пароля
  2. До второго хопа доходит, но пишет, что Cannot read data from SSH server. Это я в Executed Scripts в веб морде указал ssh 10.254.10.252 hostname. Timeout (/etc/zabbix/zabbix-server.conf) поменял на 10, потом на 20, после на 30 - всё бестолку. Походу не в таймауте дело. Хотя сессия открывается и авторизация проходит успешно (опять же, вижу это в логах).
  3. Удивительно, что journalctl -f -u zabbix_server_mysql.service вообще не расположен к общению. То есть я не вижу там ничего, кроме того что сервер успешно запущен и клёво функционирует.
  4. Пытался сделать проверку через внешний скрипт, но он как будто бы вообще игнорируется. Сам скрипт здесь. Во первых, у меня не оказалось директории /usr/share/zabbix/externalscripts/ , поэтому я её сам создал, назначил права на исполнение и указал оную в конфиге заббикс сервера.
[root@arch-zabbix externalscripts]# pwd
/usr/share/zabbix/externalscripts
[root@arch-zabbix externalscripts]# ls -la
total 12
drwxr-xr-x 2 root root 4096 Sep 28 16:20 .
drwxr-xr-x 3 root root 4096 Sep 28 15:51 ..
-rwxr-xr-x 1 root root  690 Sep 28 16:20 test.sh
[root@arch-zabbix externalscripts]#

Никаких ошибок, просто ноль результата.

Щито делать, посоны? Мне нужно, чтобы дата модификации одного файлика мониторилась, а заббикс не хочет. Нет ли здесь следов не дружественной политики?

 ,

SpaceRanger
()
17 комментариев

systemd-boot не видит арч, но видит винду

посоны, такое дело…

efi в /efi, boot в /boot (так советует арчевики и ман bootctl).

├─/mnt                                        /dev/nvme0n1p7 ext4       rw,relatime
│ ├─/mnt/boot                                 /dev/nvme0n1p5 ext2       rw,relatime
│ └─/mnt/efi                                  /dev/nvme0n1p1 vfat   

rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,utf8,errors=remount-ro

└─/home
устанавливаю загрузчик

bootctl --esp-path=/efi --boot-path=/boot install

отрабатывает без ошибок. Затем в /boot/loader/entries/arch.conf

title	Archik
linux	/vmlinuz-linux
initrd	/intel-ucode.img
initrd	/initramfs-linux.img
options	root=/dev/nvme0n1p7	quiet	rw

root=«LABEL=root_UUID» тоже пробовал - результат такой же

в /efi/loader/loader.conf

default arch.conf
timeout 6
console-mode max
editor no

bootctl показывает, что все хорошо

System:
     Firmware: n/a (n/a)
  Secure Boot: disabled (setup)
 TPM2 Support: no
 Boot into FW: supported

Current Boot Loader:
      Product: n/a
     Features: ✗ Boot counting
               ✗ Menu timeout control
               ✗ One-shot menu timeout control
               ✗ Default entry control
               ✗ One-shot entry control
               ✗ Support for XBOOTLDR partition
               ✗ Support for passing random seed to OS
               ✗ Load drop-in drivers
               ✗ Boot loader sets ESP information
          ESP: n/a
         File: └─n/a

Random Seed:
 Passed to OS: no
 System Token: set
       Exists: yes

Available Boot Loaders on ESP:
          ESP: /efi (/dev/disk/by-partuuid/5c815883-07bb-401a-9130-3be97f7f85b3)
         File: └─/EFI/systemd/systemd-bootx64.efi (systemd-boot 251.4-1-arch)
         File: └─/EFI/BOOT/bootx64.efi (systemd-boot 251.4-1-arch)

Boot Loaders Listed in EFI Variables:
        Title: Linux Boot Manager
           ID: 0x0003
       Status: active, boot-order
    Partition: /dev/disk/by-partuuid/5c815883-07bb-401a-9130-3be97f7f85b3
         File: └─/EFI/systemd/systemd-bootx64.efi

        Title: Windows Boot Manager
           ID: 0x0002
       Status: active, boot-order
    Partition: /dev/disk/by-partuuid/5c815883-07bb-401a-9130-3be97f7f85b3
         File: └─/EFI/Microsoft/Boot/bootmgfw.efi

Boot Loader Entries:
        $BOOT: /boot (/dev/disk/by-partuuid/e4589399-2b8a-4741-9d5d-01f534db74dc)

Default Boot Loader Entry:
         type: Boot Loader Specification Type #1 (.conf)
        title: Archik
           id: arch.conf
       source: /boot/loader/entries/arch.conf
        linux: /vmlinuz-linux
       initrd: /intel-ucode.img
               /initramfs-linux.img
       options	root=/dev/nvme0n1p7	quiet	rw

Однако, при перезагрузке, я вижу только винду, а хотелось бы еще и рач увидеть в списке.

Что делаю не так? Помимо того, что позорю своим существованием человеческий род, разумеется

 ,

SpaceRanger
()
15 комментариев

Книги по скриптам баш

Джентльмены, посоветуйте годную книгу по программированию скриптов на баш. Желательно не такое занудство, как какой нибудь Страуструп

Перемещено shell-script из job

 

SpaceRanger
()
22 комментария

/boot/grub не существует

Привет, ЛОР. Смотрите какой прикол. Устанавливаю рач, монтирую раздел 300М в /mnt/boot, затем красиво устанавливаю туда grub. в буте появляется директория grub, всё как и должно быть. Загружаю свежеустановленную систему и с удивлением наблюдаю отсутствие директории grub в /boot. Снова загружаюсь с флешки, монтирую, чрутаюсь - директория на месте. Установленная система грузится,а вот директории grub и, соответственно, grub.cfg нет. Как такое может быть и где мне искатьконфиг граба, чтобы залезть туда своими ручонками? Fstab проверил - все правильно. Да и не загрзилось бы, я полагаю, если там косяк какой.

Вобщем вопрошаю доколе : щито делать?

 ,

SpaceRanger
()
21 комментарий

Устройства внутри ВПН (Strongswan) не видят друг друга

Сап, ЛОР. Возникла проблема, решения которой не понимаю как найти

конфиг

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    ike=aes256-sha1-modp1024
    esp=aes256-sha256
    dpddelay=300s
    rekey=no
    left=$SERVER_IP
    leftid=$SERVER_IP
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightsourceip=10.10.0.0/24
    rightdns=8.8.8.8,8.8.4.4
    
conn IOS-vpn
    also="ikev2-vpn"
    leftauth=psk
    rightauth=psk
    rightsendcert=never

conn Win-vpn
    also="ikev2-vpn"
    leftcert=server-cert.pem
    leftsendcert=always
    rightauth=eap-mschapv2
    rightsendcert=never
    eap_identity=%identity

В ufw/before.rules

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE

#IPSEC STRONGSWAN
-A POSTROUTING -s 10.10.0.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
COMMIT

*mangle
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.0.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360

COMMIT

-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.0.0/24 -j ACCEPT
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.0.0/24 -j ACCEPT

В sysctl.conf выставлено следующее

net.ipv4.ip_forward=1

Устройства подключаются нормально, получают адреса из пула 10.10.0.0/24.

Но они не могут друг друга пинговать. То есть 10.10.0.1 не видит 10.10.0.2. При этом оба в интернет ходят норм.

Джентльмены, прошу помощи.

 ,

SpaceRanger
()
2 комментария

LUKS с автоматическим запуском при открытии

Привет, ЛОР. ПОпробую описать то, что мне нужно. Есть одна тян один ВПС. На нем есть, к примеру, дебиан. На нем будет стоять, например, IKEv2 впн. Надо сделать так, штоб это все было ужасно секурно. Всё это как то должно быть зашифровано LUKS, чтоб при вводе пароля автоматически поднимался этот самый впн.

Я вижу пока следующую большую проблему. Ежели все, кроме /boot зашифровано, то и доступа по ssh я не получу, ибо пароль еще не введен и ничего не грузится. Верно? Как это обойти можно?

Если шифровать только, к примеру, home, то как можно сделать, что при вводе верного пароля автоматически поднимался бы туннель? Ну или на home хранить все конфиги для впн. И только при верном пароле впн бы заводился, подхватив эти конфиги.

Прошу вас не напоминать мне про самозабан по причине умственной отсталости. Сумбурно объяснил, понимаю. Но самому чёт сложновато пока) Может вы поймёте?)

 , ,

SpaceRanger
()
27 комментариев

Зачем самостоятельно блокируют аккаунты?

Собственно сабж. Ну я бы понимал, если бы это явно деструктивный сайт был типа двача, но лор? Или он тоже вызывает аддиктивность?

 

SpaceRanger
()
29 комментариев

как поживает Тажат?

Собственно, сабж. Он завел себе дубль на ЛОРе или вообще покинул его?

 

SpaceRanger
()
11 комментариев

Начал хрустеть HDD

Привет ЛОР. Начал хрустеть диск при работе. Прям такой вот как будто скрежет тихий. iotop показывает достаточно слабую активность, но при каждой операции записи хруст повторяется. Диск готовится приказать долго жить?

 ,

SpaceRanger
()
16 комментариев
← назад следующие →

RSS подписка на новые темы