Может ли бинд иметь, допустим, БД ипов, и если запрос пришел на домен, который резолвиться в один из этих ипов - блочить запрос, или отдавать какой-либо другой ип?
Привет. У меня есть сервер у которого на eth0 два айпи адреса. Также есть две виртуалки которые я развернул с помощью libvirtd qemu kvm. Так вот, я хочу что бы внешние айпишники на виртуалках были разные. На первой я оставил все по дефолту, для второй создал отдельную виртуальную сеть и ее прописал как нат к физическому устройству eth0:0 (подинтерфейс со вторым айпи-адресом.) Так вот, на второй виртуалке которая должна быть за натом к подинтерфейсу интернета нету. Собсна как быть? Подозреваю что гипервизор делает что то неправильно с настройками форварда/ната в фаерволе.
Извиняюсь за сумбурность, заранее спасибо.
Всем аптаймов!
Задача собственно следующая - с помощью iptables -m match-set myset из утилитки ipset найти в этом трафике который приходит на интерфейс пакеты в которых айпи-источник или айпи-назначение совпадет с одним из ip адресов которые находяться в ipset list.
Так как в даной конфигурации iptables не видит трафик который приходит на интерфейс было принято решение совершить следующие настройки.
auto br0
iface br0 inet manual
up ifconfig eth1 promisc up
bridge_ports eth1
bridge_fd 0
bridge_maxwait 0
bridge_stp off
bridge_ageing 0
echo "0" > /sys/class/net/br0/bridge/ageing_time
echo br_netfilter >> /etc/modules
С настройками выше bridge0 должен работать c netfilter.
Во всех таблицах и цепочках iptables есть записи like this:
*filter
-A INPUT -m set --match-set mylist dst -j LOGGING
-A INPUT -m set --match-set mylist src -j LOGGING
-A FORWARD -m set --match-set mylist dst -j LOGGING
-A FORWARD -m set --match-set mylist src -j LOGGING
-A OUTPUT -m set --match-set mylist dst -j LOGGING
-A OUTPUT -m set --match-set mylist src -j LOGGING
*nat
-A PREROUTING -m set --match-set mylist dst -j LOGGING
-A PREROUTING -m set --match-set mylist src -j LOGGING
-A INPUT -m set --match-set mylist dst -j LOGGING
-A INPUT -m set --match-set mylist src -j LOGGING
-A OUTPUT -m set --match-set mylist dst -j LOGGING
-A OUTPUT -m set --match-set mylist src -j LOGGING
-A POSTROUTING -m set --match-set mylist dst -j LOGGING
-A POSTROUTING -m set --match-set mylist src -j LOGGING
Собственно вопрос, в какую таблицу - цепь должен попадать трафик из eth1 который приходит из spana и идет в бридж. Собственно почему он не попадает туда, так как tcpdump делаю по br0 и вижу пакеты в которых есть айпишник существующий в mylist.
И, может, есть готовое решение которое будет собирать трафик с интерфейса - проверять пакеты и логировать мне только те, которые мне интересны.
Привет, Лор!
На debian 8 есть два сетевых интерфейса, один из них eth1 - promisc mode. На него идет трафик со спан порта циско свича.
Тз следующее - если в локалке есть пакеты которые ходят на или из
айпишника который содержиться в ipset списке - я iptablesом логирую это дело.
Так вот, когда я tcpdump запускаю на eth1 вижу все пакеты. iptables - ничего не видит.
Я поднял сетевой мост, создав еще один виртуальный сетевой интерфейс и у меня получился br0 в котором eth1 и новосозданый виртуальный сетевой интерфейс. br0 поставил тоже promisc.
И теперь у меня логируються только пакеты которые идут НА айпишник который содержиться у меня в ipset листе. Пакеты которые идут с этого же айпишника - мимо моих логов.
Вообщем, если кто подскажет как можно ловить и их - я буду безумно благодарен и дай вам боженька аптаймов и стабильности.
Привет,ЛОР!
Купил VPS в Китае, развернуть там openvpn и пользоваться потихоньку.
Потери пакетов ужасные, данные передаются ужасно плохо. Я собственно хотел спросить - как улучшить качество передаваемых данных через openvpn но позже понял что проблема совсем не в нем. Может кто знает хорошего хостера в Китае, что бы не терялись 4 из 5-ти пакетов до сервера?
Спасибо
З.Ы. существуют ли хостеры в китае, которые не находиться за этим великим фаерволом?
как видно в конфиге, с отедльным локейшном /admin разобрался - работает.
А вот с фронтендом все никак не получаеться.
Спасибо большое заранее, хорошего дня.
Привет. Есть nginx 1.6.2 на Debian 8.
Настроен на отдачу статики. Можно ли сделать что бы браузер вместо того что бы предлагать скачать csv файл, открывал его для просмотра прям в браузере? Вот конфиг:
#!/bin/bash -x
PREFIX='php.fpm'
URL='http://127.0.0.1:8080/status'
CURL='/usr/bin/curl'
TMP='/tmp/php-fpm-ping.tmp'
SENDER='/usr/bin/zabbix_sender'
CONFIG='/etc/zabbix/zabbix_agentd.conf'
if [ ! -x ${CURL} ]
then echo Seems, path to curl is incorrect or not installed. && exit 0
else if [ ! -x ${SENDER} ]
then echo Seems, path to zabbix_sender is incorrect or not installed. && exit 0
else if [ ! -f ${CONFIG} ]
then echo Seems, path to zabbix_agentd.conf is incorrect && exit 0
fi fi fi
(time ${CURL} --no-keepalive -sm3 ${URL}) 2>$TMP | awk -v pr="- ${PREFIX}." '
/^accepted c/ {print pr"accepted_conn "$3}
/^active proc/ {print pr"active_processes "$3}
/^idle proc/ {print pr"idle_processes "$3}
/^listen queue:/ {print pr"listen_queue_len "$3}
/^max children reach/ {print pr"max_children_reached "$4}
/^max listen queue:/ {print pr"max_listen_queue_len "$4}' | ${SENDER} -c ${CONFIG} -i - 2>/dev/null | awk -v t="${TMP}" '/^sent/{if($6==0){print"-0.001";print>t}}'
awk '/real/{split($2,a,"[ms]");print a[1]*60+a[2];}' $TMP
rm $TMP
exit 1
Скрипт проверяет статус php-fpm и отправляет на забб сервер. На всех хостах работает хорошо, дали новый сервер debi 8.6 zab agent 3.0.5
Отрабатывает больше минуты. У заба таймаут на скрипты 30 сек максимум. Спасибо за помощь.
Debian 8.5.OpenVPN 2.3.4 x86_64-pc-linux-gnu. Имееться два VPN интерфейса. На tun0 принимаються соединения, на tun1 маршрутизируеться трафик на следующий openvpn server.
Делалось следующее:
echo '150 vpn.out' >> /etc/iproute2/rt_tables — создаем табличку для нашего VPN трафика
ip rule add from 192.168.100.0/24 table vpn.out — весь трафик пришедший из подсети VPN отправляем в таблику vpn.out
ip route add default dev tun1 table vpn.out — задаем маршрут по умолчанию для таблички vpn.out, это как раз второй интерфей смотрящий на внешний сервер tun1.
При перезагрузке сервака конфиг данной таблички маршрутизации слетает.Вопрос: как сохранить эти настройки? Пробовал post-up в /etc/network/interfaces - не сработало. Спасибо заранее.
Если на системе установлен гуй, если ли возможность, сделать так что бы после загрузки система стартовала не с графическим интерфейсом, а выводила консоль.
На новой работе достался в наследство сервак с дебианом 7.Каждую неделю +- два дня ложиться и перестает пинговаться и отвечать на любые запросы. Лечиться только хард ресетом по кнопке. В какую сторону копать можно, ребят, какие логи смотреть? Спасибо
есть основной nginx в системе, был создан чрут, в нем был создан еще один nginx на который в будущем основной будет проксировать, в чруте нужно что бы работал еще один Php5-fpm. Как только в чруте запускаеться сервис Php - основной сайт перестает работать. Если что то не так с сокетами Php, как именно их можно поменять?
There are security warnings for your consideration. See details on file: /var/testlink/logs/config_check.txt. To disable any reference to these checkings, set $tlCfg->config_check_warning_mode = 'SILENT';
после изменения данного параметра с FILE На SILENT изменений не происходит. перезапуск Nginx не дает результата. Может кто сталкивался, в чем соль