LINUX.ORG.RU

Избранные сообщения dGhost

Лягушатник для виртуалок

Форум — General

Хочется вроде не очень странного. Есть ноутбук с убунтой, на ней NetworkManager, возможность подцепить кабель или wifi.

Хочется иметь на нем маленький зверинец для виртуалок, точнее контейнеров.

У каждой виртуалки должно быть свое имя.

Виртуалки должны жить в broadcast домене, не пересекающемся с офисной сеткой.

Виртуалки должны знать друг друга по имени.

На виртуалках должен быть доступен инет.

С хостовой машины должне быть ssh до каждой машины по имени.

Виртуалки должны создаваться и удаляться быстро.

Сейчас раз в N-цатый сажусь писать говноскрипты для этой задачи.

Господа, поделитесь рецептами, как вы такое настраиваете? Интересуют не большие решения, типа ovirt+foreman, а именно масштаба ноутбука.

 ,

ival
()
11 комментариев

Посоветуйте тестилку HTTP-серверов на уязвимости?

Форум — Development

Хочется накидать на сервер много по-всякому испорченных HTTP-запросов или испорченных в соответствии с каким-то известными дырами в разных реализациях HTTP-сервера. Есть чё?

 

hlamotron
()
9 комментариев

Редиректы при логине в интернет-банке

Форум — Security

При логине во многих (всех?) интернет-банках происходит серия редиректов на разные адреса. Зачем так сделано и что при этом происходит на стороне банка?

 

getup
()
39 комментариев

Комментарии на сайт

Форум — Web-development

Здравствуйте, как будет оптимизованней?

  1. вариант 
    //// ID //// USERID //// TEXT    - таблица с комментариями
//// USERID //// USERNAME //// USERPIC    - таблица с пользователями
  2. вариант 
    //// ID //// USERJSON //// TEXT    - таблица с комментариями
  3. вариант 
    //// ID //// USERNAME //// USERPIC //// TEXT    - таблица с комментариями

 , , ,

jessgt
()
25 комментариев

настроить поведение кластера.

Форум — Admin

Настроены ресурсы на двух нодах.
Дано:
node1 с двумя ресурсами: vip1 и apache
node2 с одним ресурсом: vip2
выключаю node1, его ресурсы прыгают на node2. Все ок
после включения node1, ресурс vip2 прыгает на node1
Нужно сделать так, что бы после включения ноды, ресурсы оставались на месте и ждали пока его величество админ не сделает все сам.
В какую сторону копать?
Какой утилиткой или каким параметром это настраивается?
Спасибо.

 , ,

dada
()
2 комментария

раздача IP по номерам физических портов

Форум — Admin

Исходные данные: Linux, поднят isc-dhcp-server и выдаются данные устройству - это работает, минимально работающий DHCP-сервер по факту есть.

Есть коммутатор у которого есть DHCP Relay agent (DHCP option 82). Еще есть компьютер с Linux на котором можно поднять isc-dhcp-relay.

Вопрос: как в настройках isc-dhcp-server (файл dhcpd.conf) указать что такой то порт должен получать конкретный IP-адрес? Причем как для случая коммутатора, так и компьютера (где интерфейсы именуются eth*).

В интернете находил примеры, однако способ определения физического порта так и не был мной понят. Как вообще называется эта нотация номера порта коммутатора? А для Linux выступающего в роли DHCP Relay тоже сохраняется это именование портов?

Приветствуется простейший пример с двумя устройствами (одно воткнуто в порт [3/2] и у него адрес 192.168.2.32, а другое в порт [4/5] и должно всегда получать адрес 192.168.2.45 будучи воткнуто в этот порт).

 ,

I-Love-Microsoft
()
11 комментариев

ping потери и диагностика сети

Форум — Admin

Привет ребята! Тут такая паранойя небольшая, не могу разобраться с диагностикой сети помогите. Есть шлюз на Debian около 500 человек выходят в сеть через него. На мониторинге заметил обрывы на аплинке. http://piccy.info/view3/9042188/dcaf553a74b4c4af234d97d8d5fcb343/

Выяснилось следующее - скрипт который пингом проверяет доступность шлюза в момент проверки натыкается на потерю и переключает на резерв, в следующую проверку все нормально и переключает назад. Пингуя этот шлюз 

ping -v -c100 *.*.*.*
получаю от 1 до 4 % потерь, если увеличить размер пакета то потери увеличиваются. На других шлюзах аплинков иногда тоже бывает по 1% потерь.

Если пинговать свое оборудования в сети то потерь нет все окей.

И тут вопрос как мне проверить свой шлюз на предмет того что он не справляется или это какой-то сбой\ошибка или неправильная конфигурация, не хочется бежать к провайдеру с таким вопросом, а потом еще выясниться что проблема у меня.

На шлюзе ванильное ядро 3.18.23 патчилось ядро,iptables под imq это как-то может повлиять? Может фаервол на этот как-то повлиять или его неправильная настройка?

Скрипт проверки аплинков 

#!/bin/bash

. /usr/net-conf/vars

arr_stat_isp=( )

for i in 1 2 3 4 5 6 7; do
  curtable=isp$i
  curint1=${curtable}_if
  curint2=${!curint1}
  curfwmark1=${curtable}_fwmark
  curfwmark2=${!curfwmark1}
  currule=$(ip rule | awk '/fwmark '$curfwmark2'/{print $7}')
  curip=$(ip a l $curint2 | grep "  inet " | head -n 1 | cut -d " " -f 6 | cut -d / -f 1)
  curdef=$(ip route | awk '/default/ && /'$curint2'/{print $5}')
  curgw=$(ip route show table $curtable | awk '/default/ && /'$curint2'/{print $3}')

  if ping -c1 -I $curip $pinghost; then

    arr_stat_isp+=([$i]=works)

    if [ "$curtable" = "$currule" ]; then
        echo "ip rule yes"
     else
#        echo "add ip rule"
        ip rule add fwmark $curfwmark2 table $curtable prio $prio_mark
        ip route flush cache
     fi

     if [ "$curint2" = "$curdef" ]; then
        echo "default route yes"
     else
#        echo "add default route"
        ip route add default via $curgw dev $curint2 metric $i
        ip route flush cache
     fi

  else

     arr_stat_isp+=([$i]=not_works)

     if [ "$curtable" = "$currule" ]; then
#        echo "ip rule yes"
        ip rule del fwmark $curfwmark2
        ip route flush cache
     else
        echo "no ip rule"
     fi

     if [ "$curint2" = "$curdef" ]; then
#        echo "default route yes"
        ip route del default via $curgw dev $curint2 metric $i
        ip route flush cache
     else
        echo "no default route"
     fi

  fi

done

flag=0

for i2 in "${arr_stat_isp[@]}"; do

    if [ "$i2" = "works" ]
       then
        flag=1
    fi

done

redirect2="$(iptables-save | awk '/'PREROUTING'/&&'/redirect2'/')"

if [ "$flag" -eq 0 ]; then
   echo "ничего не работает"

   if [ -z "$redirect2" ]; then
      echo "строка пустая"
      $IPT -w -t nat -A PREROUTING -i $clients_if -s $clients_ippool -j redirect2
      fi

   else
   echo "минимум 1 аплинк работает"

   if [ -n "$redirect2" ]; then
      echo "строка не пустая"
      $IPT -w -t nat -D PREROUTING -i $clients_if -s $clients_ippool -j redirect2
      fi
   fi

exit 0

iptables-save 

iptables-save
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*mangle
:PREROUTING ACCEPT [956223385:836581798825]
:INPUT ACCEPT [9849265:712417670]
:FORWARD ACCEPT [946313355:835864730969]
:OUTPUT ACCEPT [124518:71314230]
:POSTROUTING ACCEPT [946395895:835933065624]
:add_set_isp1 - [0:0]
:add_set_isp2 - [0:0]
:add_set_isp3 - [0:0]
:add_set_isp4 - [0:0]
:add_set_isp5 - [0:0]
:add_set_isp6 - [0:0]
:add_set_isp7 - [0:0]
:balancing - [0:0]
:class_imq0_isp1 - [0:0]
:class_imq0_isp2 - [0:0]
:class_imq0_isp3 - [0:0]
:class_imq1_isp1 - [0:0]
:class_imq1_isp2 - [0:0]
:class_imq1_isp3 - [0:0]
:ipt_isp1 - [0:0]
:ipt_isp2 - [0:0]
:ipt_isp3 - [0:0]
:ipt_isp4 - [0:0]
:ipt_isp5 - [0:0]
:ipt_isp6 - [0:0]
:ipt_isp7 - [0:0]
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -j NETFLOW
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -m conntrack --ctstate NEW -m set --match-set ALLOWED src -j balancing
-A PREROUTING -s 10.193.0.0/16 -i vlan10 -m conntrack --ctstate NEW -j balancing
-A PREROUTING -s 10.192.0.0/16 -i vlan10 -m conntrack --ctstate NEW -j balancing
-A PREROUTING -m set --match-set isp1 src -j ipt_isp1
-A PREROUTING -m set --match-set isp2 src -j ipt_isp2
-A PREROUTING -m set --match-set isp3 src -j ipt_isp3
-A PREROUTING -m set --match-set isp4 src -j ipt_isp4
-A PREROUTING -m set --match-set isp5 src -j ipt_isp5
-A PREROUTING -m set --match-set isp6 src -j ipt_isp6
-A PREROUTING -m set --match-set isp7 src -j ipt_isp7
-A PREROUTING -i ppp10001 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x1/0xffffffff
-A PREROUTING -i ppp10002 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x2/0xffffffff
-A PREROUTING -i vlan9 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x3/0xffffffff
-A PREROUTING -i vlan13 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x4/0xffffffff
-A PREROUTING -i ppp10005 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x5/0xffffffff
-A PREROUTING -i ppp10006 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x6/0xffffffff
-A PREROUTING -i ppp10007 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x7/0xffffffff
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -d 10.193.0.0/16 -o ppp+ -j NETFLOW
-A add_set_isp1 -j SET --add-set isp1 src
-A add_set_isp2 -m set --match-set isp1 src -j RETURN
-A add_set_isp2 -j SET --add-set isp2 src
-A add_set_isp3 -m set --match-set isp1 src -j RETURN
-A add_set_isp3 -m set --match-set isp2 src -j RETURN
-A add_set_isp3 -j SET --add-set isp3 src
-A add_set_isp4 -m set --match-set isp1 src -j RETURN
-A add_set_isp4 -m set --match-set isp2 src -j RETURN
-A add_set_isp4 -m set --match-set isp3 src -j RETURN
-A add_set_isp4 -j SET --add-set isp4 src
-A add_set_isp5 -m set --match-set isp1 src -j RETURN
-A add_set_isp5 -m set --match-set isp2 src -j RETURN
-A add_set_isp5 -m set --match-set isp3 src -j RETURN
-A add_set_isp5 -m set --match-set isp4 src -j RETURN
-A add_set_isp5 -j SET --add-set isp5 src
-A add_set_isp6 -m set --match-set isp1 src -j RETURN
-A add_set_isp6 -m set --match-set isp2 src -j RETURN
-A add_set_isp6 -m set --match-set isp3 src -j RETURN
-A add_set_isp6 -m set --match-set isp4 src -j RETURN
-A add_set_isp6 -m set --match-set isp5 src -j RETURN
-A add_set_isp6 -j SET --add-set isp6 src
-A add_set_isp7 -m set --match-set isp1 src -j RETURN
-A add_set_isp7 -m set --match-set isp2 src -j RETURN
-A add_set_isp7 -m set --match-set isp3 src -j RETURN
-A add_set_isp7 -m set --match-set isp4 src -j RETURN
-A add_set_isp7 -m set --match-set isp5 src -j RETURN
-A add_set_isp7 -m set --match-set isp6 src -j RETURN
-A add_set_isp7 -j SET --add-set isp7 src
-A balancing -m set --match-set isp1 src -j RETURN
-A balancing -m set --match-set isp2 src -j RETURN
-A balancing -m set --match-set isp3 src -j RETURN
-A balancing -m set --match-set isp4 src -j RETURN
-A balancing -m set --match-set isp5 src -j RETURN
-A balancing -m set --match-set isp6 src -j RETURN
-A balancing -m set --match-set isp7 src -j RETURN
-A balancing -m statistic --mode random --probability 0.14300000016 -j add_set_isp1
-A balancing -m statistic --mode random --probability 0.16699999990 -j add_set_isp2
-A balancing -m statistic --mode random --probability 0.20000000019 -j add_set_isp3
-A balancing -m statistic --mode random --probability 0.25000000000 -j add_set_isp4
-A balancing -m statistic --mode random --probability 0.33300000010 -j add_set_isp5
-A balancing -m statistic --mode random --probability 0.50000000000 -j add_set_isp6
-A balancing -j add_set_isp7
-A class_imq0_isp1 -j CLASSIFY --set-class 0001:0103
-A class_imq0_isp1 -p icmp -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp2 -j CLASSIFY --set-class 0001:0203
-A class_imq0_isp2 -p icmp -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp3 -j CLASSIFY --set-class 0001:0303
-A class_imq0_isp3 -p icmp -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0301
-A class_imq1_isp1 -j CLASSIFY --set-class 0001:0013
-A class_imq1_isp1 -p icmp -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp2 -j CLASSIFY --set-class 0001:0023
-A class_imq1_isp2 -p icmp -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp3 -j CLASSIFY --set-class 0001:0033
-A class_imq1_isp3 -p icmp -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0031
-A ipt_isp1 -j CONNMARK --set-xmark 0x1/0xffffffff
-A ipt_isp1 -j SET --add-set isp1 src --exist
-A ipt_isp2 -j CONNMARK --set-xmark 0x2/0xffffffff
-A ipt_isp2 -j SET --add-set isp2 src --exist
-A ipt_isp3 -j CONNMARK --set-xmark 0x3/0xffffffff
-A ipt_isp3 -j SET --add-set isp3 src --exist
-A ipt_isp4 -j CONNMARK --set-xmark 0x4/0xffffffff
-A ipt_isp4 -j SET --add-set isp4 src --exist
-A ipt_isp5 -j CONNMARK --set-xmark 0x5/0xffffffff
-A ipt_isp5 -j SET --add-set isp5 src --exist
-A ipt_isp6 -j CONNMARK --set-xmark 0x6/0xffffffff
-A ipt_isp6 -j SET --add-set isp6 src --exist
-A ipt_isp7 -j CONNMARK --set-xmark 0x7/0xffffffff
-A ipt_isp7 -j SET --add-set isp7 src --exist
COMMIT
# Completed on Sat Nov 21 22:12:03 2015
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*nat
:PREROUTING ACCEPT [18681272:1333376593]
:INPUT ACCEPT [12014:768269]
:OUTPUT ACCEPT [31309:2882521]
:POSTROUTING ACCEPT [23115:2187998]
:redirect - [0:0]
:redirect2 - [0:0]
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -j redirect
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 172.19.0.1
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 6036,50000 -j DNAT --to-destination 10.193.0.1
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50001,50002 -j DNAT --to-destination 10.193.0.2
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50004,50005 -j DNAT --to-destination 10.193.0.3
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A PREROUTING -d *.*.*.*/32 -p udp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50008,50029 -j DNAT --to-destination 10.193.0.6
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50009,50010,50012 -j DNAT --to-destination 10.193.0.5
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50013 -j DNAT --to-destination 10.193.0.5:80
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50014,50015,50050 -j DNAT --to-destination 10.193.0.7
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50016,50017,50025 -j DNAT --to-destination 10.193.0.8
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50027,50028 -j DNAT --to-destination 10.193.0.9
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j DNAT --to-destination 10.193.0.11
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j DNAT --to-destination 10.193.0.13
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 172.19.0.1
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 6036,50000 -j DNAT --to-destination 10.193.0.1
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50001,50002 -j DNAT --to-destination 10.193.0.2
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50004,50005 -j DNAT --to-destination 10.193.0.3
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A OUTPUT -d *.*.*.*/32 -p udp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50008,50029 -j DNAT --to-destination 10.193.0.6
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50009,50010,50012 -j DNAT --to-destination 10.193.0.5
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50013 -j DNAT --to-destination 10.193.0.5:80
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50014,50015,50050 -j DNAT --to-destination 10.193.0.7
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50016,50017,50025 -j DNAT --to-destination 10.193.0.8
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50027,50028 -j DNAT --to-destination 10.193.0.9
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j DNAT --to-destination 10.193.0.11
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j DNAT --to-destination 10.193.0.13
-A POSTROUTING -o ppp10001 -j MASQUERADE
-A POSTROUTING -o ppp10002 -j MASQUERADE
-A POSTROUTING -o vlan9 -j MASQUERADE
-A POSTROUTING -o vlan13 -j MASQUERADE
-A POSTROUTING -o ppp10005 -j MASQUERADE
-A POSTROUTING -o ppp10006 -j MASQUERADE
-A POSTROUTING -o ppp10007 -j MASQUERADE
-A POSTROUTING -d 172.19.0.0/24 -o vlan10 -j MASQUERADE
-A POSTROUTING -s 10.193.0.0/16 -d 172.19.0.1/32 -p tcp -m multiport --dports 80,443 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.1/32 -p tcp -m multiport --dports 6036,50000 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.2/32 -p tcp -m multiport --dports 50001,50002 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 50004,50005 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.4/32 -p tcp -m multiport --dports 50006,50007 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.4/32 -p udp -m multiport --dports 50006,50007 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.6/32 -p tcp -m multiport --dports 50008,50029 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.5/32 -p tcp -m multiport --dports 50009,50010,50012 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.5/32 -p tcp -m multiport --dports 80 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.7/32 -p tcp -m multiport --dports 50014,50015,50050 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.8/32 -p tcp -m multiport --dports 50016,50017,50025 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.9/32 -p tcp -m multiport --dports 50027,50028 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.11/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.13/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j SNAT --to-source 172.31.1.254
-A redirect -m set --match-set ALLOWED src -j RETURN
-A redirect -m set --match-set liqpay dst -j RETURN
-A redirect -d 172.30.0.1/32 -j RETURN
-A redirect -d 172.30.1.1/32 -j RETURN
-A redirect -d *.*.*.*/32 -j RETURN
-A redirect -p tcp -j DNAT --to-destination 172.30.1.1:8080
-A redirect -p udp -j DNAT --to-destination 172.30.1.1:8080
-A redirect2 -d 172.30.0.1/32 -j RETURN
-A redirect2 -d 172.30.1.1/32 -j RETURN
-A redirect2 -d *.*.*.*/32 -j RETURN
-A redirect2 -p tcp -j DNAT --to-destination 172.30.1.1:8081
-A redirect2 -p udp -j DNAT --to-destination 172.30.1.1:8081
COMMIT
# Completed on Sat Nov 21 22:12:03 2015
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*filter
:INPUT DROP [9568763:651070390]
:FORWARD DROP [124:7420]
:OUTPUT ACCEPT [122785:70314662]
:forwarding - [0:0]
:incoming - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -j incoming
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j forwarding
-A OUTPUT -m conntrack --ctstate INVALID -j DROP
-A forwarding -s 10.193.0.50/32 -i ppp+ -m set --match-set ALLOWED src -j ACCEPT
-A forwarding -d 10.193.0.50/32 -o ppp+ -m set --match-set ALLOWED dst -j ACCEPT
-A forwarding -i ppp+ ! -o vlan10 -m set --match-set ALLOWED src -j ACCEPT
-A forwarding ! -i vlan10 -o ppp+ -m set --match-set ALLOWED dst -j ACCEPT
-A forwarding -s 10.193.0.0/16 -i ppp+ ! -o vlan10 -m set --match-set liqpay dst -j ACCEPT
-A forwarding -d 10.193.0.0/16 ! -i vlan10 -o ppp+ -m set --match-set liqpay src -j ACCEPT
-A forwarding -i vlan10 -j ACCEPT
-A forwarding -o vlan10 -j ACCEPT
-A incoming -i ppp10001 -j RETURN
-A incoming -i ppp10002 -j RETURN
-A incoming -i vlan9 -j RETURN
-A incoming -i ppp10005 -j RETURN
-A incoming -i ppp10006 -j RETURN
-A incoming -i ppp10007 -j RETURN
-A incoming -i lo -j ACCEPT
-A incoming -s 10.193.0.50/32 -j ACCEPT
-A incoming -i vlan10 -p tcp -m multiport --dports 22 -j ACCEPT
-A incoming -p tcp -m multiport --dports 53,80,443,953 -j ACCEPT
-A incoming -p udp -m multiport --dports 53 -j ACCEPT
-A incoming -p icmp -j ACCEPT
COMMIT
# Completed on Sat Nov 21 22:12:03 2015

 ,

fet4
()
43 комментария

ssd выбор размера блока

Форум — Linux-hardware

по всем тестам ссд выходит, что на размере блока 512 кб он гораздо быстрее, чем на 4к. То есть, чем больше размер блока ФС сделать, тем лучше для производительности? если рожа не треснет

http://www.nix.ru/autocatalog/ssd_transcend/SSD-128-Gb-SATA-6Gb-s-Transcend-S...

 

darkenshvein
()
10 комментариев

Защита от DDoS

Форум — Development

Собственно вопрос в сабже. Есть сервер и нужно защитить его от атак на уровне самого сервера. Понятно, что нужно ограничить входные запросы, но вопрос в том как именно. Ограничивать количество пакетов от одного клиента, от всех клентов и количество клиентов?

 ,

Booster
()
17 комментариев

Sexy xfce

Галерея — Скриншоты
Sexy xfce

Довёл крысу до вменяемого вида. Шг пришлось бекпортировать из старых сборок инфиналити, темы gtk и icons я думаю и так всем понятны. От панелей отказаться не получилось ибо привык. В качестве wm у нас всё тот же 2bwm. Чтобы всё это номально выглядело приправим его сompton`ом.

Пустой стол
Еще один цветовой вариант

>>> Просмотр (1366x768, 911 Kb)

 , ,

smilessss
()
136 комментариев (стр. 2 3)

Интервью в Red Hat на позицию quality engineer

Форум — Job

Собираюсь претендовать на позицию QE в красношляпу. Никогда не работал тестировщиком, поэтому прошу местных тестировщиков помочь с вопросами. Как вы думаете, что могут спросить именно по работе QE.

 

kukuruku
()
60 комментариев (стр. 2)

Нужна ваша помощь с bash

Форум — Admin

Есть кусок кода который должен проверять наличие blacklist в ipset и если его там нет он должен его создать. Код грепает ipset но блеклист не создает. Не могу понять как заставить его работать? Прошу вашей помощи. 

ipset -L blacklist | grep 'ipset v6.12.1: The set with the given name does not exist'
if [ $? -ne "1" ];
        then
        ipset -N blacklist iphash
fi

Заранее очень благодарен.

 ,

ceroz
()
26 комментариев

Keep docker containers up to date

Форум — Admin

Доброго дня! Присматриваюсь к Docker'у для перенесения в него сервисов, которые сейчас крутятся на одной машине (для повышения изоляции прежде всего). Контейнеров изначально предполагается развернуть порядка 10 штук, потом увеличивать это кол-во.

Подскажите, как правильно реализовать автоматическое обновление софта в контейнерах?

 

Harliff
()
35 комментариев

Свое облако. Аналог Owncloud

Форум — Admin

На новой работе решил сделать порядок в сети. Добрался до существующей в данный момент шары. Шарой это не назвать. На виндовой машине одна папка с общим доступом, куда все сливают свои файлы без каких-либо ограничений. Этот колхоз сейчас хочу убрать. Будет Samba и директории для каждого отдела и и одна общая директория. С этим проблем нет. Но на предприятии работает большАя часть взрослого поколения, которых на новую шару пересадить то проблема будет (раньше заходили просто по ip, сейчас будет по доменному имени). Поэтому хочу еще прикрутить ко всему этому вебморду. Посмотрел owncloud. Вроде бы ничего так, но как-то не уверен запускать его на уровне предприятии. Количество пользователей возможно 300-400. Файлов в текущей шаре свыше 5000 наверное. Где-то читал что owncloud падает при большом количестве файлов.

Собственно что мне нужно:
1. В авторизации использовать unix логин/пароль (как та же самба). Owncloud из коробки это не умеет, только через сторонний плагин. Это уже отталкивает. на домашней файлопомойке с 10-15 пользователями не страшно, а вот в больших масштабах не знаю как будет работать.
2. При входе с unix логин/пасом естественно наследовались бы и права. ТО есть входит он в вебморду, попадает в директорию своего отдела скажем так. В этой директории есть поддиректории каждого сотрудника. В директорию отдела могут заходиь все сотрудники этого отдела (права как на чтение так и на запись), а вот в личные директории только конкретный пользователь. В lin создать это условие не проблема, но нужно чтоб и в вебморде это сохранялось. Чтоб файлы, которые скидыаются по вебморде, были с нужными правами.
3. Остальные плюшки типа просмотра/редактирования документов через вебморду, календарь, задачи и т.п не принципиально, но желательно.

Конечно могу в поиске вбить «аналоги owncloud», но хотелось бы узнать, есть ли тут кто уже сталкивался с подобным и успешко реализовывал подобное.

 ,

as_lan
()
25 комментариев

Развернуть образ на HDD удалённо (DD).

Форум — Admin

Есть удалённый сервер с крутящимся Debian(Ubuntu, неважно). Жёсткий диск только один. Задача войдя по SSH развернуть готовый образ HDD (включая MBR), созданный dd, ребутнуть систему, чтоб она загрузилась в свежеразвёрнутый образ. Возможно ли это впринципе? При одном HDD новый образ переписывает MBR и ФС сразу потеряет на диске образ из которого производить копирование. Плюс нужно сделать, чтоб как минимум dd и reboot/shutdown/bash висели в оперативке и никуда из неё не девались. Есть ли идеи, в какую сторону двигаться?

 , ,

SlowMo
()
21 комментарий

Ведущий UNIX администратор в RU-Center GROUP (м. Полежаевская)

Форум — Job

Группа компаний RU-Center GROUP
Территориально Москва, м. Полежаевская
Белая ЗП от 120000 на руки

Обязанности:

  • Эксплуатация основных витринных сайтов ГК в режиме постоянной доступности (24x7x365)
  • Проработка механизмов отказоустойчивости и гео-распределённости веб-серверов

Требования:

  • Опыт работы с Unix-системами (Linux, FreeBSD, Solaris) от 3 лет.
  • Уверенные знания shell, опыт написания скриптов.
  • глубокое знание устройства и работы веб-серверов nginx и apache, баз данных mysql,postgresql, и nosql хранилищ (redis)
  • понимание устройства LDAP
  • Понимание сетевого стека TCP/IP и принципов построения сети.
  • Умение пользоваться firewall'ами: iptables, pf/ipfw.
  • Технический английский на уровне чтения документации.
  • Опыт работы с системами сопровождения конфигурации (Puppet)
  • Опыт работы с системами контроля версий (Subversion)
  • Опыт работы с OSPF, CARP, keepalived.
  • Опыт работы с системами мониторинга (Nagios, Cacti).
  • Опыт работы с сетевым оборудованием (Cisco)
  • Умение пользоваться отладчиками и утилитами трассировки (gdb, ktrace, strace, truss). Желателен опыт в реализации проектов высокой доступности.

Контакты: Попова Анна apopova@rbc.ru телефон +7-919-770-2582

 , , , ,

Popova_Ann
()
27 комментариев

Centos7 Grub2 software Raid1

Форум — Admin

Дано: два одинаковых диска 3Tb. Нужно сделать рейд 1, чтобы при вытаскивании первого sda диска автоматом грузился со второго. При прочтении множества мануалов, сложилось впечатление либо никто не проверял работоспособность того что собирают, либо оставляют на овось, и при падении диска начинают в попыхах ставить grub на оставшийся диск.

  • 1) вопрос как это сделать правильно? Заметил что при манипуляциях с графическим инсталером не получается сделать идентичные разделы, диски как то не одинаково метятся. Понимаю что можно просто поставить систему на один диск и далее поднять рейд. Минус такого решения, долгая синхронизация (до 6 часов) рейда. В идеале правильно разметить диски, поставить их в рейд и потом устанавливать систему. Диски 3 Tb значит нужен efi. разделы:
    • 1 - efi-boot 50Mb ? без рейда
    • 2 - grub 2Mb ? без рейда
    • 3 - boot 500 Mb без рейда
    • 4 - swap можно без рейда, можно в рейд 0 так как при отваливании одно диска ничего серьезного не произойдет, своп должен смотироваться автоматом в файл насколько я монимаю
    • 5 - / 32 Gb raid1

  • 2) Самый сложный пункт установка grub2 да так чтобы при отваливании sda система загрузилась. на sdb я так понимаю его надо ставить как то через chroot. То есть подмонтировать sdb прокинуть рабочии дирректории зачрутится и после этого ставить grab2 на sdb Тут еще важно понимать что так как система в рейд1 то fstab будет по умолчанию ссылаться на диск sda. И нужен альтернативный конфиг. Единственная инструкция которая похожа на правду попалась вот эта Сюда!

    Но она на centos 5

    Не ужели никто не далал ничего подобного ? На freebsd инструкцию нашел на раз два три при том еще с zfs, а тут облазил буквально все.

 , ,

luk911
()
37 комментариев

Безопасно обновить выделенный сервер (не потерять доступ и без даунтайма)

Форум — Admin

Привет.

Есть выделенный сервер с CentOS 7.0. 270 дней аптайма. Полное обновление так же было 270 дней назад, потом только выборочно обновлялись некоторые сервисы.

Хочу накатить обновления, но переживаю что сервер упадет и я потеряю к нему доступ. Особенно пугает обновление libc, NetworkManager и systemd. Что можно заранее сделать, чтобы не отвалилась сеть, не упал SSH, не упал init? Или вообще не заморачиваться и дальше просто выборочно обновлять и устанавливать обновления безопасности?

Хостер вроде предоставляет IPMI, но он не работает. Сколько времени займет запрос IP KVM тоже не известно, хотя обычно шустро реагируют.

P.S. Да по хорошему нужно минимум 2 распределенных сервера, нужна виртуализация, все нужно. Но оно того не стоит: много сложностей, мало времени, мало денег. Но если сервер полежит минут 15, то ничего страшного.

 , , , ,

Black_Roland
()
29 комментариев

LXC

Форум — Admin

Кто-то пользовался в продакшне?

Как оно? Стабильно?

Внутрь хочу засунуть memcached + lighthttpd + named.

Ну, и еще хочу монтировать директорию с хоста внутрь с картинками, размер - около 1Тб.

 

poison1456
()
20 комментариев

Кобейн опять загрустил

Галерея — Скриншоты
Кобейн опять загрустил

после того, как увидел галерею.

>>> Просмотр (2560x1440, 914 Kb)

zezic
()
108 комментариев (стр. 2 3)
← предыдущие следующие →