LINUX.ORG.RU

Сообщения raikkonen

 

centos 7 - не работает механизм arp flux

Форум — Admin

Приветствую. попались мне 2 старые виртуалки Centos 7.7 и по дефолту у них не работает механизм arp flux ( работает по умолчанию, и который часто отключают ) - хост просто не отвечает на arp, который висит на интерфейсе tun0, хотя по дефолту должен. Включение proxy_arp для интерфейса tun0 также не решает проблему - при привязке ip-адреса к интерфейсу в arp-таблицы) - тачка на arp не отвечает

Накидайте мне вариантов куда еще можно посмотреть, а то ничего в голову не приходит.

Параметры Centos 7.7 с OpenVPN 2.6.8

адресация: 

ens192 192.168.50.5/24 metric 100
default via 192.168.50.1
tun0 192.168.50.10/24 metric 1

sysctl - измененный 

net.ipv4.ip_forward = 1
net.ipv4.ip_nonlocal_bind = 1
default via 192.168.50.1 dev ens192 proto static metric 100
ip route 
192.168.50.0/24 dev tun0 proto kernel scope link src 192.168.50.15
192.168.50.0/24 dev ens192 proto kernel scope link src 192.168.50.5 metric 100

Что делал:

  • На тесте проблема не воспроизводиться: Сentos 7.7/7.9 в той же конфигурации - ок
  • Almalinux/свежие дистры в виртуальным интерфейсом dummy - проблема не проявляется.
  • Пробовал обновить проблемные ВМ до 7.9 (ядро 3.10.0-1160.66.1.el7.x86_64) - без результата
  • сравнение sysctl -a по секциям net.ipv4 - без изменений
  • в прочих файлах которые подставляют значения sysctl в систему изменений опций net.ipv4 нет и они не должны работать так как минимум онлайн перетираются

sysctl - сравнивал - по дефолту ens192 

net.ipv4.conf.all.accept_local = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.arp_accept = 0
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_notify = 0
net.ipv4.conf.all.bootp_relay = 0
net.ipv4.conf.all.disable_policy = 0
net.ipv4.conf.all.disable_xfrm = 0
net.ipv4.conf.all.force_igmp_version = 0
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.all.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.all.medium_id = 0
net.ipv4.conf.all.promote_secondaries = 1
net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.all.proxy_arp_pvlan = 0
net.ipv4.conf.all.route_localnet = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.all.send_redirects = 1
net.ipv4.conf.all.shared_media = 1
net.ipv4.conf.all.src_valid_mark = 0
net.ipv4.conf.all.tag = 0
net.ipv4.conf.default.accept_local = 0
net.ipv4.conf.default.accept_redirects = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.arp_accept = 0
net.ipv4.conf.default.arp_announce = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.arp_ignore = 0
net.ipv4.conf.default.arp_notify = 0
net.ipv4.conf.default.bootp_relay = 0
net.ipv4.conf.default.disable_policy = 0
net.ipv4.conf.default.disable_xfrm = 0
net.ipv4.conf.default.force_igmp_version = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.default.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.default.medium_id = 0
net.ipv4.conf.default.promote_secondaries = 1
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.default.proxy_arp_pvlan = 0
net.ipv4.conf.default.route_localnet = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.secure_redirects = 1
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.default.shared_media = 1
net.ipv4.conf.default.src_valid_mark = 0
net.ipv4.conf.default.tag = 0
net.ipv4.conf.ens192.accept_local = 0
net.ipv4.conf.ens192.accept_redirects = 1
net.ipv4.conf.ens192.accept_source_route = 0
net.ipv4.conf.ens192.arp_accept = 0
net.ipv4.conf.ens192.arp_announce = 0
net.ipv4.conf.ens192.arp_filter = 0
net.ipv4.conf.ens192.arp_ignore = 0
net.ipv4.conf.ens192.arp_notify = 0
net.ipv4.conf.ens192.bootp_relay = 0
net.ipv4.conf.ens192.disable_policy = 0
net.ipv4.conf.ens192.disable_xfrm = 0
net.ipv4.conf.ens192.force_igmp_version = 0
net.ipv4.conf.ens192.forwarding = 1
net.ipv4.conf.ens192.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.ens192.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.ens192.log_martians = 0
net.ipv4.conf.ens192.mc_forwarding = 0
net.ipv4.conf.ens192.medium_id = 0
net.ipv4.conf.ens192.promote_secondaries = 1
net.ipv4.conf.ens192.proxy_arp = 0
net.ipv4.conf.ens192.proxy_arp_pvlan = 0
net.ipv4.conf.ens192.route_localnet = 0
net.ipv4.conf.ens192.rp_filter = 1
net.ipv4.conf.ens192.secure_redirects = 1
net.ipv4.conf.ens192.send_redirects = 1
net.ipv4.conf.ens192.shared_media = 1
net.ipv4.conf.ens192.src_valid_mark = 0
net.ipv4.conf.ens192.tag = 0
net.ipv4.conf.lo.accept_local = 0
net.ipv4.conf.lo.accept_redirects = 1
net.ipv4.conf.lo.accept_source_route = 1
net.ipv4.conf.lo.arp_accept = 0
net.ipv4.conf.lo.arp_announce = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.arp_ignore = 0
net.ipv4.conf.lo.arp_notify = 0
net.ipv4.conf.lo.bootp_relay = 0
net.ipv4.conf.lo.disable_policy = 1
net.ipv4.conf.lo.disable_xfrm = 1
net.ipv4.conf.lo.force_igmp_version = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.lo.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.lo.medium_id = 0
net.ipv4.conf.lo.promote_secondaries = 0
net.ipv4.conf.lo.proxy_arp = 0
net.ipv4.conf.lo.proxy_arp_pvlan = 0
net.ipv4.conf.lo.route_localnet = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.secure_redirects = 1
net.ipv4.conf.lo.send_redirects = 1
net.ipv4.conf.lo.shared_media = 1
net.ipv4.conf.lo.src_valid_mark = 0
net.ipv4.conf.lo.tag = 0
net.ipv4.conf.tun0.accept_local = 0
net.ipv4.conf.tun0.accept_redirects = 1
net.ipv4.conf.tun0.accept_source_route = 0
net.ipv4.conf.tun0.arp_accept = 0
net.ipv4.conf.tun0.arp_announce = 0
net.ipv4.conf.tun0.arp_filter = 0
net.ipv4.conf.tun0.arp_ignore = 0
net.ipv4.conf.tun0.arp_notify = 0
net.ipv4.conf.tun0.bootp_relay = 0
net.ipv4.conf.tun0.disable_policy = 0
net.ipv4.conf.tun0.disable_xfrm = 0
net.ipv4.conf.tun0.force_igmp_version = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.tun0.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.tun0.log_martians = 0
net.ipv4.conf.tun0.mc_forwarding = 0
net.ipv4.conf.tun0.medium_id = 0
net.ipv4.conf.tun0.promote_secondaries = 1
net.ipv4.conf.tun0.proxy_arp = 0
net.ipv4.conf.tun0.proxy_arp_pvlan = 0
net.ipv4.conf.tun0.route_localnet = 0
net.ipv4.conf.tun0.rp_filter = 1
net.ipv4.conf.tun0.secure_redirects = 1
net.ipv4.conf.tun0.send_redirects = 1
net.ipv4.conf.tun0.shared_media = 1
net.ipv4.conf.tun0.src_valid_mark = 0
net.ipv4.conf.tun0.tag = 0

 ,

raikkonen
()
5 комментариев

аналог Cisco ASA packet-tracer для netfilter

Форум — Admin

Добрый день, в iptables увеличилось количество и сложность правил, стало возникать много проблем с доступом, время на разбор правил увеличилось.

Для решения данных задач на Cisco ASA реализована проверка с помощью утилиты packet-tracer: указываем proto,src,dst,port) и получаем вывод без лишней возни с генерацией трафика

packet-tracer input corporate tcp 10.X.X.Z 8080 10.Y.Y.Y 80
Result:
input-interface: corporate
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

или ACE по которой дропается трафик 

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Хотелось бы узнать есть ли на linux такой механизм?

Все что нашел в интернете - основывается на TRACE и генерации реального трафика.

 

raikkonen
()
3 комментария

Postfix, Zimbra, split domain

Форум — Admin

Приветствую, настало время мигрировать со старого почтового сервера (Postfix, MYSQL, VirtualMailBox, postfixadmin) (наследство на FreeBSD, socket 478, постепенно загибается по производительности,функционалу, так и по техническому состоянию железа) на Зимбу, чтобы было все по фен-шую.

Хочется настроить плавную миграцию пользователей внутри одного почтового домена - чтобы почта ходила внутри одного домена на оба почтовых сервера так называемый Split Domain/

Как планирую: настроить Zimbry как Secondary System (https://wiki.zimbra.com/wiki/Split_Domain#Configuring_Zimbra_as_the_Secondary_System) Входящая почта будет первоначально поступать на Zimbra, если почтовый адрес на ней существует, то письмо поступает в него; если нет то отправляется на старый почтовый сервер. 

$ zmprov md example.com zimbraMailCatchAllAddress @example.com
$ zmprov md example.com zimbraMailCatchAllForwardingAddress @example.com
$ zmprov md example.com zimbraMailTransport smtp:mail.example.com

Протестировал, все работает, но каким способом также настроить старый Postfix не вкурил пока. Правило transport_map для такого вида доставки не работае, так postfix в данном случае использует virtual_transport. Подскажите как быть. Заранее спасибо

конфиг старого postfix 

queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
mail_owner = postfix
myhostname = mail.example.com
mydomain = example.com
myorigin = $myhostname
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost
relay_domains =
local_recipient_maps = unix:passwd.byname $alias_maps
unknown_local_recipient_reject_code = 550
message_size_limit = 524288000
mailbox_size_limit = 1012000000
mynetworks_style = host 
mynetworks = 127.0.0.0/8
#alias_maps = hash:/usr/local/etc/postfix/aliases
#alias_database = hash:/usr/local/etc/postfix/aliases
smtpd_banner = CORPMAIL ESMTP MIF
#debug_peer_level = 2
debug_peer_level = 1
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5
#content_filter = scan:[127.0.0.1]:10025
#receive_override_options = no_address_mappings         
sendmail_path = /usr/local/sbin/sendmail
newaliases_path = /usr/local/bin/newaliases
mailq_path = /usr/local/bin/mailq
setgid_group = maildrop
html_directory = /usr/local/share/doc/postfix
manpage_directory = /usr/local/man
sample_directory = /usr/local/etc/postfix
readme_directory = /usr/local/share/doc/postfix

virtual_mailbox_base = /var/mail/virtual/
virtual_alias_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_alias_maps.cf
virtual_mailbox_domains = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid             = 65534
virtual_uid_maps                = static:65534
virtual_gid_maps                = static:65534
virtual_transport               = dovecot
dovecot_destination_recipient_limit = 1
smtpd_sasl_auth_enable = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_recipient_restrictions = 
		permit_mynetworks,
		permit_sasl_authenticated,
		reject_unauth_destination,
		reject_unauth_pipelining,
		reject_rbl_client cbl.abuseat.org,
#		reject_rbl_client combined.njabl.org,
#		reject_rbl_client dnsbl.njabl.org,
#		reject_rbl_client dul.ru,
#		reject_rbl_client dynablock.njabl.org,
#		reject_rbl_client opm.blitzed.org
#		reject_rhsbl_client blackhole.securitysage.com,
#		reject_rhsbl_client rhsbl.sorbs.net,
#		reject_rhsbl_sender blackhole.securitysage.com,
#		reject_rhsbl_sender rhsbl.sorbs.net
virtual_mailbox_domains = mif76.ru mif.yaroslavl.ru
sender_bcc_maps = hash:/usr/local/etc/postfix/sender_bcc
recipient_bcc_maps = hash:/usr/local/etc/postfix/recipient_bcc

UPD собственно не могу понять в каком месте базы прописывать: 

transport_maps = hash:/etc/postfix/transport

/etc/postfix/transport
uniq_mail1@mydomain.com smtp:[remote.postfix.ip.address]
uniq_mail2@mydomain.com smtp:[remote.postfix.ip.address]
uniq_mail3@mydomain.com smtp:[remote.postfix.ip.address]
...
uniq_mail20@mydomain.com smtp:[remote.postfix.ip.address]

 , ,

raikkonen
()
3 комментария

RSS подписка на новые темы