LINUX.ORG.RU

Сообщения raikkonen

 

centos 7 - не работает механизм arp flux

Приветствую. попались мне 2 старые виртуалки Centos 7.7 и по дефолту у них не работает механизм arp flux ( работает по умолчанию, и который часто отключают ) - хост просто не отвечает на arp, который висит на интерфейсе tun0, хотя по дефолту должен. Включение proxy_arp для интерфейса tun0 также не решает проблему - при привязке ip-адреса к интерфейсу в arp-таблицы) - тачка на arp не отвечает

Накидайте мне вариантов куда еще можно посмотреть, а то ничего в голову не приходит.

Параметры Centos 7.7 с OpenVPN 2.6.8

адресация:

ens192 192.168.50.5/24 metric 100
default via 192.168.50.1
tun0 192.168.50.10/24 metric 1

sysctl - измененный

net.ipv4.ip_forward = 1
net.ipv4.ip_nonlocal_bind = 1
default via 192.168.50.1 dev ens192 proto static metric 100
ip route
192.168.50.0/24 dev tun0 proto kernel scope link src 192.168.50.15
192.168.50.0/24 dev ens192 proto kernel scope link src 192.168.50.5 metric 100

Что делал:

  • На тесте проблема не воспроизводиться: Сentos 7.7/7.9 в той же конфигурации - ок
  • Almalinux/свежие дистры в виртуальным интерфейсом dummy - проблема не проявляется.
  • Пробовал обновить проблемные ВМ до 7.9 (ядро 3.10.0-1160.66.1.el7.x86_64) - без результата
  • сравнение sysctl -a по секциям net.ipv4 - без изменений
  • в прочих файлах которые подставляют значения sysctl в систему изменений опций net.ipv4 нет и они не должны работать так как минимум онлайн перетираются

sysctl - сравнивал - по дефолту ens192

net.ipv4.conf.all.accept_local = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.arp_accept = 0
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_notify = 0
net.ipv4.conf.all.bootp_relay = 0
net.ipv4.conf.all.disable_policy = 0
net.ipv4.conf.all.disable_xfrm = 0
net.ipv4.conf.all.force_igmp_version = 0
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.all.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.all.medium_id = 0
net.ipv4.conf.all.promote_secondaries = 1
net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.all.proxy_arp_pvlan = 0
net.ipv4.conf.all.route_localnet = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.all.send_redirects = 1
net.ipv4.conf.all.shared_media = 1
net.ipv4.conf.all.src_valid_mark = 0
net.ipv4.conf.all.tag = 0
net.ipv4.conf.default.accept_local = 0
net.ipv4.conf.default.accept_redirects = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.arp_accept = 0
net.ipv4.conf.default.arp_announce = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.arp_ignore = 0
net.ipv4.conf.default.arp_notify = 0
net.ipv4.conf.default.bootp_relay = 0
net.ipv4.conf.default.disable_policy = 0
net.ipv4.conf.default.disable_xfrm = 0
net.ipv4.conf.default.force_igmp_version = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.default.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.default.medium_id = 0
net.ipv4.conf.default.promote_secondaries = 1
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.default.proxy_arp_pvlan = 0
net.ipv4.conf.default.route_localnet = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.secure_redirects = 1
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.default.shared_media = 1
net.ipv4.conf.default.src_valid_mark = 0
net.ipv4.conf.default.tag = 0
net.ipv4.conf.ens192.accept_local = 0
net.ipv4.conf.ens192.accept_redirects = 1
net.ipv4.conf.ens192.accept_source_route = 0
net.ipv4.conf.ens192.arp_accept = 0
net.ipv4.conf.ens192.arp_announce = 0
net.ipv4.conf.ens192.arp_filter = 0
net.ipv4.conf.ens192.arp_ignore = 0
net.ipv4.conf.ens192.arp_notify = 0
net.ipv4.conf.ens192.bootp_relay = 0
net.ipv4.conf.ens192.disable_policy = 0
net.ipv4.conf.ens192.disable_xfrm = 0
net.ipv4.conf.ens192.force_igmp_version = 0
net.ipv4.conf.ens192.forwarding = 1
net.ipv4.conf.ens192.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.ens192.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.ens192.log_martians = 0
net.ipv4.conf.ens192.mc_forwarding = 0
net.ipv4.conf.ens192.medium_id = 0
net.ipv4.conf.ens192.promote_secondaries = 1
net.ipv4.conf.ens192.proxy_arp = 0
net.ipv4.conf.ens192.proxy_arp_pvlan = 0
net.ipv4.conf.ens192.route_localnet = 0
net.ipv4.conf.ens192.rp_filter = 1
net.ipv4.conf.ens192.secure_redirects = 1
net.ipv4.conf.ens192.send_redirects = 1
net.ipv4.conf.ens192.shared_media = 1
net.ipv4.conf.ens192.src_valid_mark = 0
net.ipv4.conf.ens192.tag = 0
net.ipv4.conf.lo.accept_local = 0
net.ipv4.conf.lo.accept_redirects = 1
net.ipv4.conf.lo.accept_source_route = 1
net.ipv4.conf.lo.arp_accept = 0
net.ipv4.conf.lo.arp_announce = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.arp_ignore = 0
net.ipv4.conf.lo.arp_notify = 0
net.ipv4.conf.lo.bootp_relay = 0
net.ipv4.conf.lo.disable_policy = 1
net.ipv4.conf.lo.disable_xfrm = 1
net.ipv4.conf.lo.force_igmp_version = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.lo.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.lo.medium_id = 0
net.ipv4.conf.lo.promote_secondaries = 0
net.ipv4.conf.lo.proxy_arp = 0
net.ipv4.conf.lo.proxy_arp_pvlan = 0
net.ipv4.conf.lo.route_localnet = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.lo.secure_redirects = 1
net.ipv4.conf.lo.send_redirects = 1
net.ipv4.conf.lo.shared_media = 1
net.ipv4.conf.lo.src_valid_mark = 0
net.ipv4.conf.lo.tag = 0
net.ipv4.conf.tun0.accept_local = 0
net.ipv4.conf.tun0.accept_redirects = 1
net.ipv4.conf.tun0.accept_source_route = 0
net.ipv4.conf.tun0.arp_accept = 0
net.ipv4.conf.tun0.arp_announce = 0
net.ipv4.conf.tun0.arp_filter = 0
net.ipv4.conf.tun0.arp_ignore = 0
net.ipv4.conf.tun0.arp_notify = 0
net.ipv4.conf.tun0.bootp_relay = 0
net.ipv4.conf.tun0.disable_policy = 0
net.ipv4.conf.tun0.disable_xfrm = 0
net.ipv4.conf.tun0.force_igmp_version = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.igmpv2_unsolicited_report_interval = 10000
net.ipv4.conf.tun0.igmpv3_unsolicited_report_interval = 1000
net.ipv4.conf.tun0.log_martians = 0
net.ipv4.conf.tun0.mc_forwarding = 0
net.ipv4.conf.tun0.medium_id = 0
net.ipv4.conf.tun0.promote_secondaries = 1
net.ipv4.conf.tun0.proxy_arp = 0
net.ipv4.conf.tun0.proxy_arp_pvlan = 0
net.ipv4.conf.tun0.route_localnet = 0
net.ipv4.conf.tun0.rp_filter = 1
net.ipv4.conf.tun0.secure_redirects = 1
net.ipv4.conf.tun0.send_redirects = 1
net.ipv4.conf.tun0.shared_media = 1
net.ipv4.conf.tun0.src_valid_mark = 0
net.ipv4.conf.tun0.tag = 0

 ,

raikkonen
()

аналог Cisco ASA packet-tracer для netfilter

Добрый день, в iptables увеличилось количество и сложность правил, стало возникать много проблем с доступом, время на разбор правил увеличилось.

Для решения данных задач на Cisco ASA реализована проверка с помощью утилиты packet-tracer: указываем proto,src,dst,port) и получаем вывод без лишней возни с генерацией трафика

packet-tracer input corporate tcp 10.X.X.Z 8080 10.Y.Y.Y 80
Result:
input-interface: corporate
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

или ACE по которой дропается трафик

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Хотелось бы узнать есть ли на linux такой механизм?

Все что нашел в интернете - основывается на TRACE и генерации реального трафика.

 

raikkonen
()

Postfix, Zimbra, split domain

Приветствую, настало время мигрировать со старого почтового сервера (Postfix, MYSQL, VirtualMailBox, postfixadmin) (наследство на FreeBSD, socket 478, постепенно загибается по производительности,функционалу, так и по техническому состоянию железа) на Зимбу, чтобы было все по фен-шую.

Хочется настроить плавную миграцию пользователей внутри одного почтового домена - чтобы почта ходила внутри одного домена на оба почтовых сервера так называемый Split Domain/

Как планирую: настроить Zimbry как Secondary System (https://wiki.zimbra.com/wiki/Split_Domain#Configuring_Zimbra_as_the_Secondary_System) Входящая почта будет первоначально поступать на Zimbra, если почтовый адрес на ней существует, то письмо поступает в него; если нет то отправляется на старый почтовый сервер.

$ zmprov md example.com zimbraMailCatchAllAddress @example.com
$ zmprov md example.com zimbraMailCatchAllForwardingAddress @example.com
$ zmprov md example.com zimbraMailTransport smtp:mail.example.com

Протестировал, все работает, но каким способом также настроить старый Postfix не вкурил пока. Правило transport_map для такого вида доставки не работае, так postfix в данном случае использует virtual_transport. Подскажите как быть. Заранее спасибо

конфиг старого postfix

queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
mail_owner = postfix
myhostname = mail.example.com
mydomain = example.com
myorigin = $myhostname
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost
relay_domains =
local_recipient_maps = unix:passwd.byname $alias_maps
unknown_local_recipient_reject_code = 550
message_size_limit = 524288000
mailbox_size_limit = 1012000000
mynetworks_style = host 
mynetworks = 127.0.0.0/8
#alias_maps = hash:/usr/local/etc/postfix/aliases
#alias_database = hash:/usr/local/etc/postfix/aliases
smtpd_banner = CORPMAIL ESMTP MIF
#debug_peer_level = 2
debug_peer_level = 1
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5
#content_filter = scan:[127.0.0.1]:10025
#receive_override_options = no_address_mappings         
sendmail_path = /usr/local/sbin/sendmail
newaliases_path = /usr/local/bin/newaliases
mailq_path = /usr/local/bin/mailq
setgid_group = maildrop
html_directory = /usr/local/share/doc/postfix
manpage_directory = /usr/local/man
sample_directory = /usr/local/etc/postfix
readme_directory = /usr/local/share/doc/postfix

virtual_mailbox_base = /var/mail/virtual/
virtual_alias_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_alias_maps.cf
virtual_mailbox_domains = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid             = 65534
virtual_uid_maps                = static:65534
virtual_gid_maps                = static:65534
virtual_transport               = dovecot
dovecot_destination_recipient_limit = 1
smtpd_sasl_auth_enable = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_recipient_restrictions = 
		permit_mynetworks,
		permit_sasl_authenticated,
		reject_unauth_destination,
		reject_unauth_pipelining,
		reject_rbl_client cbl.abuseat.org,
#		reject_rbl_client combined.njabl.org,
#		reject_rbl_client dnsbl.njabl.org,
#		reject_rbl_client dul.ru,
#		reject_rbl_client dynablock.njabl.org,
#		reject_rbl_client opm.blitzed.org
#		reject_rhsbl_client blackhole.securitysage.com,
#		reject_rhsbl_client rhsbl.sorbs.net,
#		reject_rhsbl_sender blackhole.securitysage.com,
#		reject_rhsbl_sender rhsbl.sorbs.net
virtual_mailbox_domains = mif76.ru mif.yaroslavl.ru
sender_bcc_maps = hash:/usr/local/etc/postfix/sender_bcc
recipient_bcc_maps = hash:/usr/local/etc/postfix/recipient_bcc

UPD собственно не могу понять в каком месте базы прописывать:

transport_maps = hash:/etc/postfix/transport

/etc/postfix/transport
uniq_mail1@mydomain.com smtp:[remote.postfix.ip.address]
uniq_mail2@mydomain.com smtp:[remote.postfix.ip.address]
uniq_mail3@mydomain.com smtp:[remote.postfix.ip.address]
...
uniq_mail20@mydomain.com smtp:[remote.postfix.ip.address]

 , ,

raikkonen
()

RSS подписка на новые темы