LINUX.ORG.RU

Сообщения StereoRu

 

Вынос хоста из локалки

Форум — Admin

Доброго времени суток.
Ситуация как и вопрос достаточно извращенные.

Есть роутер на nix с интерфейсом 192.168.0.1/24
К данному интерфейсу подключены компы с IP из соответствующей подсети /24
Но один из компов (192.168.0.20) перенесли за wan порт роутера, т.е. он уже не в локальной сети интерфейса роутера.

Вопрос.
Как бы так извернуться, чтобы компы из подсети 192.168.0.1/24 видели его.
Маршруты прописывать на компах нельзя.
Нужно решить вопрос только настройкой роутера.

 

StereoRu
()

Sendmail не ресолвит параметр client_name

Форум — Admin

Добрый день!

Подскажите как так может получаться что sendmail не ресолвит параметр client_name (насколько я понял он в этот параметр записывает обратную зону DNS). Т.е. в лог sendmail записывается client_name=[xx.xxx.xxx.xxx], а должно быть client_name=domain.com.

Хотя nslookup и dig корректно ресолвят обратную зону адреса.

Есть подозрение что так работает на прием только с одного домена.

Подскажите куда копать. Заранее благодарен.

 

StereoRu
()

zabbix сумма элемента данных LLD в calculated item

Форум — Admin

Добрый день.

Подскажите. Собираю с коммутатора по SNMP данные по загрузке портов через LLD, т.е. есть элемент в автообнаружении с ключем ifInOctets[{#SNMPVALUE}], так вот необходимо создать вычисляемое значение в которое записывалась бы сумма значений всех вышеуказанных элементов.

Спасибо.

 

StereoRu
()

Преобразование unicast в broadcast

Форум — Admin

Добрый день.

Возникла нестандартная задача пробросить зеркалированный трафик через чужую сеть (дают только прямой vlan).
Задача гиблая, единственный выход который вижу, это подменить mac назначения на широковещательный, таким образом трафик дойдет.
Может ктото подскажет альтернативный выход, или подскажите как подменить mac назначения.
Заранее благодарен.

 ,

StereoRu
()

Одновременное использование tc fw и u32

Форум — Admin

Создаю эту тему по мотивам постов раз и два.
Я нашел более красивое решение проблемы.
Чтобы работали вместе фильтры u32 и fw, например эти

tc filter add dev eth0 protocol ip parent 3b6:0 prio 1 u32 match ip sport 53 0xffff flowid 3b6:1
tc filter add dev eth0 protocol ip parent 3b6:0 prio 1 handle 2 fw flowid 3b6:2
необходимо помещать их в разные ht (хеш таблицы). Создавать вручную ht неудобно, по крайней мере в моем случае.
Но если поменять prio у этих фильтров, то они корректно применяются!
Вся плюшка состоит в том, что на каждый prio, tc создает новый ht (по крайней мере я так понял).
Будте осторожны, на ifb интерфейсе данная схема работать не будет, т.к. трафик на ifb заворачивается раньше чем попадет в iptables.

 ,

StereoRu
()

LSI MegaRAID SAS 9271-8i писк

Форум — Linux-hardware

Добрый день.

Достался мне по наследству сервер с вышеупомянутым контроллером, но вот беда, пищит он просто дико.

Пищит именно RAID контроллер, пищит раз примерно в 2 секунды. При этом сервер нормально загружается и в утилитке управления контроллером все диски в порядке.

Данная проблема появилась (как мне рассказали) после аварийного отключения питания. Пищать контроллер начинает после того как «находит» диски.

Еще в утилитке управления контроллером есть пугающие сообщения типа

1. VD 00/0 is now OFFLINE
2. Fatal firmware error:Line 364 1 in ../../raid/raidpci.c

Подскажите пожалуйста как починить этот писк. Ссылочка на все фотки и видео загрузки сервера. https://yadi.sk/d/ZszudkCMhPxjE

Заранее благодарен.

 ,

StereoRu
()

Потеря пакетов DHCP на неуправляемом коммутаторе

Форум — Admin

Добрый день.

Прошу помощи, т.к. у самого уже мысли кончились.

Схема простая: DHCP сервер <=> коммутатор с поддержкой Opt82 и DHCP relay <=> Неуправляемый коммутатор 8 портов <=> Потребители.

Проблема:
Если потребителей <= 3, то все нормально функционируют и нормально получают IP.
Вот трейс:

19:12:50.870634 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 610)
    0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:23:c2:0d, length 582, xid 0x441e2e1a, Flags [none]
          Client-Ethernet-Address a8:f9:4b:23:c2:0d
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Client-ID Option 61, length 7: ether a8:f9:4b:23:c2:0d
            Hostname Option 12, length 11: "eltex-nv102"
            Vendor-Class Option 60, length 36: "Eltex-NV102-fs_nv102_141110_0.201.10"
            MSZ Option 57, length 2: 576
            Parameter-Request Option 55, length 8:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
              Domain-Name, BR, NTP, Vendor-Option
            Agent-Information Option 82, length 32:
              Circuit-ID SubOption 1, length 4: ^@M-H^@^C
              Remote-ID SubOption 2, length 6: M-|M-zM-wM-?vM-,
              Unknown SubOption 9, length 16:
                0x0000:  0000 0cf8 0b01 0953 575f 4143 4345 5353
19:12:50.871140 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 342)
    10.10.155.1.67 > 10.0.5.3.68: BOOTP/DHCP, Reply, length 314, xid 0x441e2e1a, Flags [none]
          Your-IP 10.0.5.3
          Client-Ethernet-Address a8:f9:4b:23:c2:0d
          file "AMINET.txt"
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Offer
            Server-ID Option 54, length 4: 10.10.155.1
            Lease-Time Option 51, length 4: 300
            Subnet-Mask Option 1, length 4: 255.255.0.0
            Default-Gateway Option 3, length 4: 10.0.0.1
            Domain-Name-Server Option 6, length 4: 10.0.0.1
            NTP Option 42, length 4: 10.0.0.1
            Agent-Information Option 82, length 32:
              Circuit-ID SubOption 1, length 4: ^@M-H^@^C
              Remote-ID SubOption 2, length 6: M-|M-zM-wM-?vM-,
              Unknown SubOption 9, length 16:
                0x0000:  0000 0cf8 0b01 0953 575f 4143 4345 5353
19:12:50.873803 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 610)
    0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:23:c2:0d, length 582, xid 0x441e2e1a, Flags [none]
          Client-Ethernet-Address a8:f9:4b:23:c2:0d
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Request
            Client-ID Option 61, length 7: ether a8:f9:4b:23:c2:0d
            Hostname Option 12, length 11: "eltex-nv102"
            Vendor-Class Option 60, length 36: "Eltex-NV102-fs_nv102_141110_0.201.10"
            Requested-IP Option 50, length 4: 10.0.5.3
            Server-ID Option 54, length 4: 10.10.155.1
            Parameter-Request Option 55, length 8:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
              Domain-Name, BR, NTP, Vendor-Option
            Agent-Information Option 82, length 32:
              Circuit-ID SubOption 1, length 4: ^@M-H^@^C
              Remote-ID SubOption 2, length 6: M-|M-zM-wM-?vM-,
              Unknown SubOption 9, length 16:
                0x0000:  0000 0cf8 0b01 0953 575f 4143 4345 5353
19:12:50.874748 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 342)
    10.10.155.1.67 > 10.0.5.3.68: BOOTP/DHCP, Reply, length 314, xid 0x441e2e1a, Flags [none]
          Your-IP 10.0.5.3
          Client-Ethernet-Address a8:f9:4b:23:c2:0d
          file "AMINET.txt"
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: ACK
            Server-ID Option 54, length 4: 10.10.155.1
            Lease-Time Option 51, length 4: 300
            Subnet-Mask Option 1, length 4: 255.255.0.0
            Default-Gateway Option 3, length 4: 10.0.0.1
            Domain-Name-Server Option 6, length 4: 10.0.0.1
            NTP Option 42, length 4: 10.0.0.1
            Agent-Information Option 82, length 32:
              Circuit-ID SubOption 1, length 4: ^@M-H^@^C
              Remote-ID SubOption 2, length 6: M-|M-zM-wM-?vM-,
              Unknown SubOption 9, length 16:
                0x0000:  0000 0cf8 0b01 0953 575f 4143 4345 5353

Если же потребителей больше 3, то именно на неуправляемом коммутаторе теряется пакет Offer (ответ от сервера).
И на сервере бесконечно повторяются вот эти два пакета.

18:50:44.596551 IP (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 610)
    0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from a8:f9:4b:23:c2:0d, length 582, xid 0x7a039f5a, Flags [none]
          Client-Ethernet-Address a8:f9:4b:23:c2:0d
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Client-ID Option 61, length 7: ether a8:f9:4b:23:c2:0d
            Hostname Option 12, length 11: "eltex-nv102"
            Vendor-Class Option 60, length 36: "Eltex-NV102-fs_nv102_141110_0.201.10"
            MSZ Option 57, length 2: 576
            Parameter-Request Option 55, length 8:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
              Domain-Name, BR, NTP, Vendor-Option
            Agent-Information Option 82, length 32:
              Circuit-ID SubOption 1, length 4: ^@M-H^@^C
              Remote-ID SubOption 2, length 6: M-|M-zM-wM-?vM-,
              Unknown SubOption 9, length 16:
                0x0000:  0000 0cf8 0b01 0953 575f 4143 4345 5353
18:50:44.597057 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 342)
    10.10.155.1.67 > 10.0.5.3.68: BOOTP/DHCP, Reply, length 314, xid 0x7a039f5a, Flags [none]
          Your-IP 10.0.5.3
          Client-Ethernet-Address a8:f9:4b:23:c2:0d
          file "AMINET.txt"
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Offer
            Server-ID Option 54, length 4: 10.10.155.1
            Lease-Time Option 51, length 4: 300
            Subnet-Mask Option 1, length 4: 255.255.0.0
            Default-Gateway Option 3, length 4: 10.0.0.1
            Domain-Name-Server Option 6, length 4: 10.0.0.1
            NTP Option 42, length 4: 10.0.0.1
            Agent-Information Option 82, length 32:
              Circuit-ID SubOption 1, length 4: ^@M-H^@^C
              Remote-ID SubOption 2, length 6: M-|M-zM-wM-?vM-,
              Unknown SubOption 9, length 16:
                0x0000:  0000 0cf8 0b01 0953 575f 4143 4345 5353

Кстати если потребитель комп с виндой, то он также не может получить IP, но по таймауту примерно 60 сек. винда отправляет Discover с bootp flags: Broadcast и ей Offer также возвращается броадкастом и она всетаки получает IP.

Подскажите как мне исправить ситуацию.

 

StereoRu
()

Сокрытие (шифрование) скриптов

Форум — Admin

Добрый день.

Возник вопрос.
Есть набор shell скриптов, которые выполняют конфигурирование сети сервера с помощью пакета iproute2 во всех его проявлениях.
Нужно накатить данные скрипты на сервер заказчика, но вот в чем проблема, заказчик сохраняет за собой права root на сервер, а содержимое данных скриптов является коммерческой тайной нашей конторы.

Всвязи с этим вопрос: как сделать так, чтобы заказчик не видел содержимого скриптов?

Мои соображения по этому поводу:
1. Разделить права доступа к скрипту, т.е. дать права на чтение только для root, но это не выполнимо, т.к. права root у заказчика есть.
2. Переписать скрипты на C-C++, чтобы они были в бинарном виде. Дизассемблированием врятли кто то будет заниматься.

Переписывать на С очень не хочется, хотя в будущем естественно есть план всетаки переписать.
Может кто то мне сможет подсказать как можно скрыть содержимое моих скриптов другими способами?

Заранее благодарен за помощь.

 

StereoRu
()

Не добавляется фильтр ematch в созданную таблицу

Форум — Admin

Добрый день!

Вопрос в принципе не сложный, но решить его не могу...
Вобщем тестирую шейпер и хочу повесить фильтр ematch в отдельную таблицу, выскакивает ошибка, но в основную таблицу 800:: он корректно добавляется.

Весь процесс создания ниже.
После последней команды вываливается ошибка:

[root@router ~]# tc filter add dev vlan111 protocol ip parent 1:0 prio 2 ht 2:14: basic match "(((u32(u32 0x11 0xff at 8) and cmp(u32 at 0 layer transport gt 10000) and cmp(u32 at 0 layer transport lt 20000)) or (u32(u32 0x11 0xff at 8) and cmp(u32 at 0 layer transport eq 5060)))  and (u32(u32 0x0a0a6f41 0xffffffff at 16)))" flowid 10C9:0
Unknown filter "ht", hence option "2:14:" is unparsable
tc qdisc add dev vlan111 root handle 1: htb default 5000
tc class add dev vlan111 parent 1: classid 1:1 htb rate 22528kbit ceil 22528kbit
tc class add dev vlan111 parent 1: classid 1:5000 htb rate 64kbit ceil 64kbit prio 30

tc qdisc add dev vlan111 parent 1:1 handle C8: prio
tc qdisc add dev vlan111 parent C8:1 handle 10C8:0 sfq perturb 10
tc qdisc add dev vlan111 parent C8:2 handle 10C9:0 sfq perturb 10
tc qdisc add dev vlan111 parent C8:3 handle 10CA:0 tbf rate 1024kbit burst 13K latency 100ms peakrate 10Mbit minburst 10K
tc qdisc add dev vlan111 parent 10CA:1 handle 10CB:0 sfq perturb 10

tc filter add dev vlan111 parent 1:0 prio 1 protocol ip u32
tc filter add dev vlan111 parent 1:0 prio 1 protocol ip handle 1: u32 divisor 8
tc filter add dev vlan111 parent 1:0 prio 1 protocol ip handle 2: u32 divisor 256
tc filter add dev vlan111 parent 1:0 prio 1 protocol ip handle 3: u32 divisor 256

tc filter add dev vlan111 parent 1:0 prio 1 protocol ip u32 ht 800:: match ip src 10.0.0.0/16 hashkey mask 0xff00 at 16 link 1:
tc filter add dev vlan111 parent 1:0 prio 1 protocol ip u32 ht 1:1: match ip src 10.0.1.0/24 hashkey mask 0xff at 16 link 2:

tc filter add dev vlan111 protocol ip parent 1:0 prio 1 u32 ht 2:14: match ip protocol 6 0xff match ip dport 23 0xffff  flowid 10C8:0
tc filter add dev vlan111 protocol ip parent 1:0 prio 1 u32 ht 2:14: match ip dport 53 0xffff flowid 10C8:0

tc filter add dev vlan111 protocol ip parent 1:0 prio 2 ht 2:14: basic match "(((u32(u32 0x11 0xff at 8) and cmp(u32 at 0 layer transport gt 10000) and cmp(u32 at 0 layer transport lt 20000)) or (u32(u32 0x11 0xff at 8) and cmp(u32 at 0 layer transport eq 5060)))  and (u32(u32 0x0a0a6f41 0xffffffff at 16)))" flowid 10C9:0

Заранее благодарен за помощь!

 ,

StereoRu
()

Делегирование домена от регистратора на свои сервера

Форум — General

Добрый день.

Подскажите, пожалуйста, как правильно делегировать управление доменом с серверов регистратора на свои DNS сервера.
Бьюсь уже несколько дней, вроде работать должно, но не работает.

У регистратора в web интерфейсе конфигурация следующая:

@	3600	IN	SOA	ns1.mydomain.ru. domains.mydomain.ru 201410048 86400 7200 3600000 86400
@	3600	IN	NS	ns1.mydomain.ru.
@	3600	IN	NS	ns2.mydomain.ru.
ns1.mydomain.ru.	3600	IN	A	1.2.3.61
ns2.mydomain.ru.	3600	IN	CNAME	ns1.mydomain.ru.

На моем DNS:

$TTL 3D
mydomain.ru.               IN      SOA     ns1.mydomain.ru. root.mydomain.ru. (
                                        2014100450      ; serial
                                        8H              ; refresh
                                        2H              ; retry
                                        2W              ; expire
                                        1D)             ; minimum

mydomain.ru.               IN      NS      ns1.mydomain.ru.
mydomain.ru.               IN      NS      ns2.mydomain.ru.
mydomain.ru.               IN      A       1.2.3.59
mydomain.ru.               IN      MX      5 mail.mydomain.ru.
ns1.mydomain.ru.           IN      A       1.2.3.61
ns2.mydomain.ru.           IN      A       1.2.3.61
mail.mydomain.ru.          IN      A       1.2.3.61

named.conf
        zone "mydomain.ru" in {
          type master;
          file "mydomain.ru.zone.external";
          notify yes;
       };

При тесте на мой DNS все проходит успешно
dig @1.2.3.61 mydomain.ru mx

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> @1.2.3.61 mydomain.ru mx
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34835
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;mydomain.ru.                   IN      MX

;; ANSWER SECTION:
mydomain.ru.            259200  IN      MX      5 mail.mydomain.ru.

;; AUTHORITY SECTION:
mydomain.ru.            259200  IN      NS      ns1.mydomain.ru.
mydomain.ru.            259200  IN      NS      ns2.mydomain.ru.

;; ADDITIONAL SECTION:
mail.mydomain.ru.       259200  IN      A       1.2.3.61
ns1.mydomain.ru.        259200  IN      A       1.2.3.61
ns2.mydomain.ru.        259200  IN      A       1.2.3.61

;; Query time: 50 msec
;; SERVER: 1.2.3.61#53(1.2.3.61)
;; WHEN: Mon Oct  6 06:05:02 2014
;; MSG SIZE  rcvd: 134

При тесте на сервер регистратора не успешно
dig @ns1.logol.ru ns2.mydomain.ru mx

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> @ns1.logol.ru ns2.mydomain.ru mx
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40694
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ns2.mydomain.ru.               IN      MX

;; ANSWER SECTION:
ns2.mydomain.ru.        3600    IN      CNAME   ns1.mydomain.ru.

;; AUTHORITY SECTION:
mydomain.ru.            3600    IN      NS      ns1.mydomain.ru.
mydomain.ru.            3600    IN      NS      ns2.mydomain.ru.

;; ADDITIONAL SECTION:
ns1.mydomain.ru.        3600    IN      A       1.2.3.61

;; Query time: 2 msec
;; SERVER: 188.93.212.212#53(188.93.212.212)
;; WHEN: Mon Oct  6 06:31:44 2014
;; MSG SIZE  rcvd: 95

В момент этого запроса tcpdump -i eth0 port 53 пакеты не ловит.

Но NS сервера видны
dig @ns1.logol.ru mydomain.ru ns

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> @ns1.logol.ru mydomain.ru ns
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32853
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;mydomain.ru.                   IN      NS

;; ANSWER SECTION:
mydomain.ru.            3600    IN      NS      ns1.mydomain.ru.
mydomain.ru.            3600    IN      NS      ns2.mydomain.ru.

;; ADDITIONAL SECTION:
ns1.mydomain.ru.        3600    IN      A       1.2.3.61

;; Query time: 2 msec
;; SERVER: 188.93.212.212#53(188.93.212.212)
;; WHEN: Mon Oct  6 06:14:49 2014
;; MSG SIZE  rcvd: 81

dig @ns1.logol.ru ns1.mydomain.ru a

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> @ns1.logol.ru ns1.mydomain.ru a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3348
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ns1.mydomain.ru.               IN      A

;; ANSWER SECTION:
ns1.mydomain.ru.        3600    IN      A       1.2.3.61

;; AUTHORITY SECTION:
mydomain.ru.            3600    IN      NS      ns1.mydomain.ru.
mydomain.ru.            3600    IN      NS      ns2.mydomain.ru.

;; Query time: 2 msec
;; SERVER: 188.93.212.212#53(188.93.212.212)
;; WHEN: Mon Oct  6 06:15:14 2014
;; MSG SIZE  rcvd: 81

dig @ns1.logol.ru ns2.mydomain.ru a

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 <<>> @ns1.logol.ru ns2.mydomain.ru a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36814
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ns2.mydomain.ru.               IN      A

;; ANSWER SECTION:
ns2.mydomain.ru.        3600    IN      CNAME   ns1.mydomain.ru.

;; AUTHORITY SECTION:
mydomain.ru.            3600    IN      NS      ns1.mydomain.ru.
mydomain.ru.            3600    IN      NS      ns2.mydomain.ru.

;; ADDITIONAL SECTION:
ns1.mydomain.ru.        3600    IN      A       1.2.3.61

;; Query time: 2 msec
;; SERVER: 188.93.212.212#53(188.93.212.212)
;; WHEN: Mon Oct  6 06:15:30 2014
;; MSG SIZE  rcvd: 95


Подскажите что я делаю не так, почему не происходит делегирование???

Заранее благодарен за помощь.

 , ,

StereoRu
()

Маршрутизация через iptables/iproute2

Форум — Admin

Добрый день.

Что то сегодня все из рук валится, подскажите, ткните носом в ошибку, уже запарился ловить ее.

Есть.
Подсеть белых IP x.x.x.56/29 GW x.x.x.57

Весь трафик ходит исключительно через шлюз
Внешний интерфейс vl999 c IP x.x.x.60/29

Внутренний интерфейс vl120 без IP
в этом интерфейсе живет комп с белым IP x.x.x.62/29 GW x.x.x.57

Необходимо организовать маршрутизацию для компа x.x.x.62/29 во внешний мир и обратно.

Делаю

ip link add link eth0 name vl999 type vlan id 999
ip addr add x.x.x.60/29 dev vl999
ip link set vl999 up
ip route add default via x.x.x.57

ip link add link eth0 name vl120 type vlan id 120
ip link set vl120 up

echo "120 ip" >> /etc/iproute2/rt_tables

ip route add x.x.x.62 dev vl120 table ip
ip route add x.x.x.60 dev vl999 table ip
ip route add x.x.x.57 dev vl999 table ip
ip route add default via x.x.x.57 table ip

ip rule add to x.x.x.62 table ip
ip rule add from x.x.x.62 table ip

echo 1 > /proc/sys/net/ipv4/conf/vl999/forwarding
echo 1 > /proc/sys/net/ipv4/conf/vl120/forwarding

echo 1 > /proc/sys/net/ipv4/conf/vl999/proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/vl120/proxy_arp

echo 0 > /proc/sys/net/ipv4/conf/vl999/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/vl120/rp_filter

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
И после этого трафик из vl120 ходит только во внешний мир, а вот обратно в vl120 не возвращается.

Тестировал так: запускал ping 8.8.8.8 на машине во vl120 (IP x.x.x.62/29 GW x.x.x.57)

При этом пакеты до 8.8.8.8 доходят корректно, возвращается корректный ответ, но шлюз его не пропускает.

Самое удивительное, что пакет не видно даже с цепочке PREROUTING!!! Хотя на интерфейс он попадает

tcpdump -i vl999 icmp and src host 8.8.8.8 -n -nn[br]
16:33:01.018313 IP 8.8.8.8 > x.x.x.62: ICMP echo reply, id 512, seq 7683, length 40
А в iptables уже счетчик не тикает
iptables -A PREROUTING -t mangle -s 8.8.8.8 -j ACCEPT
Что удивительно машина, которая стоит во vl999 с ip из той же подсети (IP x.x.x.58) нормально пингуется!

Подскажите как такое может быть??? Где я накосячил???

StereoRu
()

Прозрачный Sqid. Область применения. Логирование HTTP/HTTPS.

Форум — General

Добрый день, уважаемые Гуру.

Прошу помощи и подсказки в каком направлении двигаться.

Что имеем:
1. «Локальная сеть» в который все пользователи выходят во внешний мир через linux машину (шлюз).
2. Каждый пользователь живет в отдельном vlan.
3. Пользователей имеем двух типов:

  • с серым IP (NATится на шлюзе на каждого пользователя свой vlan, подсеть, DHCP)
  • с белым IP (ходит через шлюз, на каждого пользователя отдельный vlan)

4. На шлюзе для каждого пользователя режем полосу пропускания с помощью iptables/tc.

Что необходимо:
1. Логирование запросов HTTP/HTTPS для всех пользователей, желательно чтобы хранилось в mysql (дата/время, IP источника(клиента), URL)
2. Запрет выхода на определенные сайты определенным пользователям (например пользователю А открыто все, пользователю Б запрет на vk.com, пользователю В запрет на целый список адресов)
3. Отсутствие настройки браузера у клиента.

Что я «надумал»:
1. Для пользователей с серым IP можно поднять прозрачный Squid, в принципе, на первый взгляд он все мои «хотелки» потянет, за исключением наверно HTTPS.
2. Для пользователей с белым IP большой вопрос как организовывать все это действо, возможно ли это все реализовать через Squid? Сможет ли он только собирать логи и смотреть в ACL без подмены адреса источника?
У меня пока единственное предположение - с помощью iptables выдергивать первые n бит у пакета с портом назначения 80/443 и применять к ним -j LOG(ULOG), а затем внешними скриптами парсить это добро.
ACL в данном случае очень не хотелось бы реализовывать через iptables, костыль жуткий, да и правил будет тьма.

Подскажите пожалуйста пути решения, на верном ли я пути или есть более простые способы реализации задумки?

Заранее благодарен.

 

StereoRu
()

iptables, не работает правило

Форум — Security

Граждане, прошу помощи!

Пытаюсь в CentOS 6.4 прикрутить на iptables типа защиту от спуффинга вида:

iptables -I INPUT 1 ! -i lo -m addrtype --src-type LOCAL -j DROP

правило применяется корректно, но пакеты с ip.src = 127.0.0.1 все равно пропускает....

Проверял с другой машины из scapy

send(IP(dst="10.10.111.55",src="127.0.0.1")/UDP(dport=220))

Заранее благодарен.

ЗЫ: Правило

iptables -I INPUT 1 -m addrtype --src-type LOCAL -j DROP

применяется и работает, проверял через пинг с локалхоста

ping 10.10.111.55 -I 127.0.0.1

 

StereoRu
()

freeradius + abbils + pptpd + centos

Форум — Admin

Коллеги, нужна помощь, подскажите в каком направлении двигаться. При установке пользовался статьей http://akehayc.yvision.kz/post/180497

Делал все в точности. Но проблема.

При VPN подключении ошибка 691 неверные логин/пароль, радиус пишет следующее:

Ready to process requests.
rad_recv: Access-Request packet from host 127.0.0.1 port 48097, id=216, length=148
        Service-Type = Framed-User
        Framed-Protocol = PPP
        User-Name = "654321"
        MS-CHAP-Challenge = 0xa4ac96b40ec67ef23bd23429870965a4
        MS-CHAP2-Response = 0xc3002e9046fa152cb5c92f305bf15a0fd40c000000000000000094f0fc2c8e747e378a281d758cdf1d36df8edc768f799a5e
        Calling-Station-Id = "192.168.0.25"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
# Executing section authorize from file /etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
Use of uninitialized value in hash element at /usr/abills/libexec/rauth.pl line 148.
Use of uninitialized value in hash element at /usr/abills/libexec/rauth.pl line 155.
Exec-Program output: Cleartext-Password := "654321"
Exec-Program-Wait: value-pairs: Cleartext-Password := "654321"
Exec-Program: returned: 0
++[abills_preauth] returns ok
[mschap] Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
++[mschap] returns ok
[files] users: Matched entry DEFAULT at line 205
++[files] returns ok
Exec-Program output: Reply-Message = "Unknow server '127.0.0.1'"
Exec-Program-Wait: value-pairs: Reply-Message = "Unknow server '127.0.0.1'"
Exec-Program: returned: 1
++[abills_auth] returns reject
Invalid user: [654321/<via Auth-Type = mschap>] (from client shortname port 0 cli 192.168.0.25)
Using Post-Auth-Type Reject
# Executing group from file /etc/raddb/sites-enabled/default
+- entering group REJECT {...}
Exec-Program output:
Exec-Program: returned: 0
++[abills_postauth] returns ok
Sending Access-Reject of id 216 to 127.0.0.1 port 48097
        Reply-Message = "Unknow server '127.0.0.1'"
Finished request 0.
Going to the next request
Waking up in 4.2 seconds.
Cleaning up request 0 ID 216 with timestamp +8
Ready to process requests.

Подскажите плз в каком направлении двигаться.

 abbils, , ,

StereoRu
()

RSS подписка на новые темы