LINUX.ORG.RU

Сообщения nevsky

 

Ipsec проблема

Форум — Admin

Добрый день,
пытаюсь поднять тунель между Firebox X Edge и Linux.

racoonctl vpn-connect remote_ip

в логах появляются сообщения:

Mar 27 10:03:53 uhm-dev racoon: INFO: accept a request to establish IKE-SA: remote_ip
Mar 27 10:03:53 uhm-dev racoon: INFO: initiate new phase 1 negotiation: my_ip[500]<=>remote_ip[500]
Mar 27 10:03:53 uhm-dev racoon: INFO: begin Aggressive mode.
Mar 27 10:03:53 uhm-dev racoon: oakley_dh_generate(MODP1024): 0.004148
Mar 27 10:03:53 uhm-dev racoon: phase1(agg I msg1): 0.005251
Mar 27 10:03:54 uhm-dev racoon: oakley_dh_compute(MODP1024): 0.001805
Mar 27 10:03:54 uhm-dev racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=36): 0.000027
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=145): 0.000005
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000005
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000005
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=1): 0.000004
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=20): 0.000004
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=328): 0.000004
Mar 27 10:03:54 uhm-dev racoon: oakley_validate_auth(pre-shared key): 0.000022
Mar 27 10:03:54 uhm-dev racoon: alg_oakley_hmacdef_one(hmac_sha1 size=328): 0.000005
Mar 27 10:03:54 uhm-dev racoon: phase1(agg I msg2): 0.002322
Mar 27 10:03:54 uhm-dev racoon: phase1(Aggressive): 0.935763
Mar 27 10:03:54 uhm-dev racoon: INFO: ISAKMP-SA established my_ip[500]-remote_ip[500] spi:c7bc2b5b864f3b7a:22fc1aad4ee36283

и тишина, phase 2 не начинается, новый интерфейс не появляется.

racoon.conf

path include «/etc/racoon»;
path pre_shared_key «/etc/racoon/psk.txt»;
path certificate «/etc/cert»;

log info;

padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

listen
{
isakmp 62.49.133.166 [500];
}

timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.

phase1 30 sec;
phase2 15 sec;
}

## IKE phase 1
remote 195.60.16.4
{
my_identifier address 62.49.133.166;
exchange_mode aggressive,main;
initial_contact off;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}

## IKE phase 2
sainfo address 192.168.1.0/24 any address 192.168.0.0/24 any {
#sainfo anonymous {
pfs_group 2; # pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
lifetime time 3600 sec;
}

setkey.conf
#!/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/my_ip-remote_ip/require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/remote_ip-my_ip/require;

psk.txt
remote_ip *********

 ,

nevsky
()

Qmail+Spamassassin

Форум — Admin

Добрый день,
замучался уже с этими товарищами...

поставил qmail-scanner, spamassassin 3.3.2
указываю QMAILQUEUE=«/var/qmail/bin/qmail-scanner-queue» или QMAILQUEUE=«/var/qmail/bin/qmail-scanner-queue.pl»
стартуем spamd, понеслось, все рабоает.
хедеры спамных писем помечаются как *****SPAM******

но только первые 5 минут...

потом spamd благополучно падает и письма идут, но уже без пометки :(
падает он со всем известной ошибкой:
syswrite() to parent failed: Broken pipe at /usr/lib/perl5/vendor_perl/5.12.4/Mail/SpamAssassin/SpamdForkScaling.pm line 579.

интернет завален сообщениями о ней, но решение пока не представлено...

Появилась мысль, зачем нам spamd и spamc, почему бы не использовать
/usr/bin/spamassassin
вместо spamc?

но как заставить qmail-scanner-queue.pl это сделать?

nevsky
()

du vs df. Кому верить?

Форум — Admin

вот такая проблема с отображением свободного места.
var # df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda5 19G 10G 8.7G 54% /var

var # pwd
/var
var # du -cbhs *
88 account
29M cache
16M db
88 empty
62M imap
32M lib
144 lock
1.4G log
15 mail
21K run
9.2M spool
72 state
213K tmp
9 www
1.5G total

du показывает, что занято 1.5Gb, а df что занято 10Gb
Кому верить?
cacti показывает график сходный с df
http://pic.ipicture.ru/uploads/090401/7WVwSUvmP6.png

Я склонен больше к правоте df, но как определить куда девается место и почему его не видно по du

var # ls -al
total 4
drwxr-xr-x 16 root root 416 Apr 1 11:24 .
drwxr-xr-x 20 root root 616 Mar 13 23:16 ..
drwxr-xr-x 2 root root 88 Mar 12 21:38 account
drwxr-xr-x 9 root root 232 Jan 18 16:33 cache
drwxr-xr-x 4 root root 96 Mar 12 21:38 db
drwxr-xr-x 2 root root 88 Jun 17 2008 empty
drwxr-x--- 12 cyrus mail 480 Apr 1 11:18 imap
drwxr-xr-x 20 root root 536 Apr 1 11:23 lib
drwxrwxr-x 3 root uucp 96 Jan 19 18:32 lock
drwxr-xr-x 14 root root 1552 Apr 1 03:10 log
lrwxrwxrwx 1 root root 15 Jan 18 13:02 mail -> /var/spool/mail
drwxr-xr-x 10 root root 744 Apr 1 11:25 run
drwxr-xr-x 7 root root 192 Jan 18 15:41 spool
drwxr-xr-x 2 root root 72 Jun 17 2008 state
drwxrwxrwt 6 root root 152 Mar 10 19:02 tmp
lrwxrwxrwx 1 root root 9 Apr 1 11:24 www -> /home/www

nevsky
()

Ошибки на интерфейсе

Форум — Admin

Интернет получаю по pptp, страшные потери и задержки, со стороны прова все ОК, по крайней мере они мне так говорят, хотя нет сосмнений в их словах.

На моем интерфейсе есть ошибки, от чего это может быть?

# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:02:44:AF:37:FA
inet addr:xx.xx.xx Bcast:xx.xx.xx.xx Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:220107382 errors:0 dropped:0 overruns:0 frame:0
TX packets:93852991 errors:124261 dropped:0 overruns:0 carrier:248522
collisions:276670 txqueuelen:1000
RX bytes:2347623379 (2238.8 Mb) TX bytes:3602528993 (3435.6 Mb)
Interrupt:19 Base address:0xe000

# mii-tool eth0
eth2: 10 Mbit, full duplex, link ok

в kern.log, syslog ничего интересного...

nevsky
()

прерывается ping на сервер.

Форум — Admin

Стоит машинка
Linux 2.6.22-hardened-r8 #5 SMP Sun Aug 10 13:22:25 EEST 2008 i686 Intel(R) Xeon(TM) CPU 3.20GHz GenuineIntel GNU/Linux
там крутится апач и фтп, все бы хорошо, но иногда, сложно предсказать периодичность появляются провалы с пингом на нее (задержка до 5сек), в этот же свитч, для эксперементов, была включена еще одна машина, на нее пинг не пропадает.
Вариант со шнурками и битым портом на свиче отвергаем сразу, в syslog в этот момент ничего необычного ...

В какую сторону смотреть?

>>>

nevsky
()

Софт для Хостинга.

Форум — Web-development

Всем привет,
Может кто сталкивался, ищу софт для автоматизации организации хостинга.
Еще бы какой-то конструктор сайтов из шаблонов, хочется зделать дополнительный сервис для пользователей своей сети.

Платные решения тоже могут подойти, главное проще для пользователя и возможность автоматизации процесса.

>>>

nevsky
()

RRD изменение уже измененной записи.

Форум — Admin

Произошло обновление средствами rrdtool update timestamp:10:10 rrdtool update timestamp+1:10:10 rrdtool update timestamp+2:10:10 rrdtool update timestamp+3:10:10

теперь надо обновить запись rrdtool update timestamp+1:10:10 но rrd ругается на это: ERROR: illegal attempt to update using time 1183436700 when last update time is 1183436700 (minimum one second step)

Можно ли это как-то обойти?

nevsky
()

Карта Intel 82540EM и HTB

Форум — Admin

Всем привет, есть такая проблема:
Написал правила для HTB для нарезки скоростей пользователям.
Стояла карточка 3Com (100Mbit) все работало прекрасно, давно думал сменить на 1Gbit, поставил вместо нее Intel 82540EM, модуль e1000
пайпы перестали работать.

Если вернуть назад 3ком, то все начинает работать, меняем на Интел - все опять не работает.

Причем, если смотреть на статистику
tc -s class show dev ifb0

то данные есть, т.е. трафик туда закручивается, но ограничение по скорости не происходит.

да, трафик с eth0 заворачивается в ifb0, а потом нарезается.

nevsky
()

Zend decoder.

Форум — Web-development

есть ли способ превратить Zend coded файл назад в PHP?

nevsky
()

iSCSI

Форум — Admin

Кто-то работал с iSCSI
target я поднял нормально (http://gentoo-wiki.com/HOWTO_iscsi), на виндовой машине подключается без проблем, а вот на линуксе его подключить не могу.

Пробую с Open-iSCSI, сделал все как http://www.open-iscsi.org/docs/README , но при поптытке что-то сделать с iscsiadm выдается сообщение:
iscsiadm: can not connect to iSCSI daemon!

nevsky
()

Cluser FS или что-то типа этого.

Форум — Admin

Всем привет, встал перед интересной задачей:
Есть 3 машины (пока 3, будет больше)
а. Web, FTP сервер
b. Storage 1 (IDE 250Gb * 20 дисков)
c. Storage 2 (SATA 500Gb * 12 дисков, RAID 5)

Надо прицепить Storage 1 и Storage 2 к машине "a" по сети.
NFS, SAMBA не предлагать. Сейчас Storage 1 подклчен по NFS - это мрак.

nevsky
()

KDE ассоциации с типами файлов

Форум — Desktop

Доигрался :)
Не могу понять где в KDE прописываются ассоциации с типами файлов.
Поставил Microsoft Office под wine, он на себя переписал все ассоциации, теперь хочу что-бы все оффисные файлы открывались в OpenOffice, где поменять?

nevsky
()

NFS замирает при копировании на нее.

Форум — Admin

Сталкнулся с такой проблемой:
Есть 2 сервера, маленький и большой. :)

на большом стоит 20 винтов и все они экспортируются по NFS на rw.
на маленьком эти диски монтируются.

Копирование с NFS разделов проходит нормально, а вот копирование на NFS разделы увы периодически подвисает и продолжается дальше.
Как видно из дебага ниже, он подвисает примерно на 90сек., потом отмирает не на долго и снова подвисает.

При копировании 700Мб файла успевает повиснуть около 5 раз.

#dmesg - на большой машинке. (где диски экспортируются)
nfsd: last server has exited
nfsd: unexporting all filesystems
RPC: failed to contact portmap (errno -5).
NFSD: Using /var/lib/nfs/v4recovery as the NFSv4 state recovery directory
NFSD: starting 90-second grace period

Кто-то встречался?
Может чем-то заменить NFS, надо просто прицепить диски с одной машины на другую, между ними 1Гб интерфейс, должно хватить.

nevsky
()

Композиция на тему Gentoo Linux. Вышивка.

Галерея — Скриншоты

Тут большинство выкладывают скрины своих рабочих столов, я решил немного отличиться.
Моя девушка занимается вышивкой, вот такой небольшой подарок она мне сделала. Какой дистр. я использую, думаю, всем понятно. Все рисовала сама, я не вмешивался.

Размер композиции 15х20см.
7 крестиков на 1см.

Кто еще может таким похвастаться?

>>> Просмотр (1280x920, 227 Kb)

nevsky
()

Creative Live 5.1 Digital и цифровой выход.

Форум — Desktop

Можно, ли каким-то чудом заставить работать цифровой выход на Creative Live 5.1 Digital.

Купил ресивер, а аналог слушать теперь не охота.

nevsky
()

iptables connlimit

Форум — Admin

Тема до боли изъезжена, но сейчас побороть не могу. Раньше делал так: kernel 2.4.? patch-o-matic пересобираем ядро с поддержкой connlimit и вслед за ним iptables Все работало на ура.

Теперь делаю все как и прошлые разы, за исключением того, что ядро 2.6.16 1. iptables собрался нормально iptables -m connlimit -h показывает хелп по модулю. 2. В ядре не нашел параметра для connlimit, пересобрал, ну и конечно ничего не работает: iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 3 -j DROP iptables: No chain/target/match by that name

Куда копать?

nevsky
()

iptables ipset

Форум — Admin

Недавно освоил ipset, чудесная штука, но вот проблема (без проблем жизнь была бы скучной.)

в iptables есть несколько правил использующие ipset:
t: mangle
-A INPUT -p tcp -m tcp -m set --set accessnet src,src -j ACCEPT
-A INPUT -p tcp -m tcp -m set --set accesshosts src,src -j ACCEPT
-A INPUT -p tcp -m tcp -j DROP
-A POSTROUTING -m set --set ! pipefree dst,dst -j MARK --set-mark 0x100
-A POSTROUTING -j MARK --or-mark 0xef

вводил с командной строки.
теперь делает iptables-save и получаем такую фигню:
-A INPUT -p tcp -m tcp -m set --set accessnet src,src -j ACCEPT
-A INPUT -p tcp -m tcp -m set --set accesshosts src,src -j ACCEPT
-A INPUT -p tcp -m tcp -j DROP
-A POSTROUTING -m set ! --set pipefree dst,dst -j MARK --set-mark 0x100
-A POSTROUTING -j MARK --or-mark 0xef

обратите внимание сюда:
-A POSTROUTING -m set !--set pipefree dst,dst -j MARK --set-mark 0x100

"!" стоит перед --set, если это дело сохранить в файл и потом загрузить (iptables-restore) назад, то получаю ошибку:

Bad argument `!--set'
Error occurred at line: 18
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

это у меня баг или у ipset, как это решать?

nevsky
()

Удалить файл через 24 часа от его создания.

Форум — Admin

Собственно и все что требуется:
Заливаются файлы по FTP, надо удалить файлы через 24 часа после их заливки на FTP.

По идее должно быть что-то типа этого:
По крону:
cd /path/to/ftp/dir; find -ctime +1 | xargs rm
Но только ctime - это время изменения (File's status was last changed n*24 hours ago.), а есть mtime (File's data was last modified n*24 hours ago.) - в чем разница?
И как тогда проверить на дату создания?

nevsky
()

Запрет скачки с ФТП саплоаденного файла.

Форум — Admin

Другими словами:
Все пользователи заходят с одним логином и паролем.
Все должны иметь право заливать файлы на ФТП, но не иметь право скачать их от туда (ни одного файла), удалять можно (желательно).

Какие есть идеи, как это реализовать.

FTP: ProFTP

nevsky
()

Linux on HP iPAQ hx4700

Форум — Talks

В 2005 году пробегал скрин та эту тему. http://www.linux.org.ru/view-message.jsp?msgid=1033891

Хотелось бы узнать о продвижении этого проекта. Работает ли WiFi? На сколько полноценен Linux на КПК, в старом посте написано, что можно скомпилить практически любую прогу под консоль, которая не тянет за собой что-то серьезное. Как по поводу GUI приложений, там же всетаки GPE GTK+-2.6 widget?

Правильно ли я понимаю, что можно будет собрать и какое-нить GTK приложение?

Хочу прикупить себе такой вот и интересно на сколько продвинулся проект и какие результаты? Может кто пробовал?

И ваще стоит ли этим заниматься?

nevsky
()

RSS подписка на новые темы