Доброго времени суток.
Подскажите, пожалуйста, в какую сторону копать.
Может ли бинд иметь, допустим, БД ипов, и если запрос пришел на домен, который резолвиться в один из этих ипов - блочить запрос, или отдавать какой-либо другой ип?
Спасибо.
Привет. У меня есть сервер у которого на eth0 два айпи адреса. Также есть две виртуалки которые я развернул с помощью libvirtd qemu kvm. Так вот, я хочу что бы внешние айпишники на виртуалках были разные. На первой я оставил все по дефолту, для второй создал отдельную виртуальную сеть и ее прописал как нат к физическому устройству eth0:0 (подинтерфейс со вторым айпи-адресом.) Так вот, на второй виртуалке которая должна быть за натом к подинтерфейсу интернета нету. Собсна как быть? Подозреваю что гипервизор делает что то неправильно с настройками форварда/ната в фаерволе.
Извиняюсь за сумбурность, заранее спасибо. Всем аптаймов!
Доброго времени суток, уважаемые дамы и господа.
Ситуация следующая:
Существует сетевое оборудование на котором настроен SPAN и весь трафик зеркалируеться на linux машину.
Интерфейс на который приходит трафик в linux:
eth1: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
ether 00:00:00:00:00:00 txqueuelen 1000 (Ethernet)
RX packets 58981866 bytes 37730632432 (35.1 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 78 bytes 5548 (5.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Задача собственно следующая - с помощью iptables -m match-set myset из утилитки ipset найти в этом трафике который приходит на интерфейс пакеты в которых айпи-источник или айпи-назначение совпадет с одним из ip адресов которые находяться в ipset list.
Так как в даной конфигурации iptables не видит трафик который приходит на интерфейс было принято решение совершить следующие настройки.
auto br0
iface br0 inet manual
up ifconfig eth1 promisc up
bridge_ports eth1
bridge_fd 0
bridge_maxwait 0
bridge_stp off
bridge_ageing 0
echo "0" > /sys/class/net/br0/bridge/ageing_time
echo br_netfilter >> /etc/modules
С настройками выше bridge0 должен работать c netfilter.
Во всех таблицах и цепочках iptables есть записи like this:
*filter
-A INPUT -m set --match-set mylist dst -j LOGGING
-A INPUT -m set --match-set mylist src -j LOGGING
-A FORWARD -m set --match-set mylist dst -j LOGGING
-A FORWARD -m set --match-set mylist src -j LOGGING
-A OUTPUT -m set --match-set mylist dst -j LOGGING
-A OUTPUT -m set --match-set mylist src -j LOGGING
*nat
-A PREROUTING -m set --match-set mylist dst -j LOGGING
-A PREROUTING -m set --match-set mylist src -j LOGGING
-A INPUT -m set --match-set mylist dst -j LOGGING
-A INPUT -m set --match-set mylist src -j LOGGING
-A OUTPUT -m set --match-set mylist dst -j LOGGING
-A OUTPUT -m set --match-set mylist src -j LOGGING
-A POSTROUTING -m set --match-set mylist dst -j LOGGING
-A POSTROUTING -m set --match-set mylist src -j LOGGING
Спасибо вам большое!
Привет, Лор! На debian 8 есть два сетевых интерфейса, один из них eth1 - promisc mode. На него идет трафик со спан порта циско свича.
Тз следующее - если в локалке есть пакеты которые ходят на или из айпишника который содержиться в ipset списке - я iptablesом логирую это дело.
Так вот, когда я tcpdump запускаю на eth1 вижу все пакеты. iptables - ничего не видит.
Я поднял сетевой мост, создав еще один виртуальный сетевой интерфейс и у меня получился br0 в котором eth1 и новосозданый виртуальный сетевой интерфейс. br0 поставил тоже promisc.
И теперь у меня логируються только пакеты которые идут НА айпишник который содержиться у меня в ipset листе. Пакеты которые идут с этого же айпишника - мимо моих логов.
Вообщем, если кто подскажет как можно ловить и их - я буду безумно благодарен и дай вам боженька аптаймов и стабильности.
Имеетья httpd , в /var/www/html/ есть директории dir1 dir2 dir3
в dir2 есть только index.html
настраиваю базовую аутентификацию след образом:
<Directory /var/www/html/dir2>
AuthBasicProvider PAM
AuthPAMService service
AuthType Basic
AuthName "Group Restricted Server"
require valid-user
</Directory>
все работает чудесно в логах вижу
:notice] [pid 28871] mod_authnz_pam: PAM authentication passed for user nigga
директория dir1 по тз должна быть с базовой аутентификацией
вставляю такой же кусок конфига для нее в главном файле конфигурации апача
ServerRoot "/etc/httpd"
Listen 80
Include conf.modules.d/*.conf
User apache
Group apache
<Directory />
AllowOverride none
Require all denied
</Directory>
DocumentRoot "/var/www/html"
<Directory "/var/www">
AllowOverride none
Require all granted
</Directory>
<Directory "/var/www/html">
Options Indexes FollowSymLinks
AllowOverride none
Require all granted
</Directory>
<IfModule dir_module>
DirectoryIndex index.html
</IfModule>
<Files ".ht*">
Require all denied
</Files>
ErrorLog "logs/error_log"
<IfModule alias_module>
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
</IfModule>
<Directory "/var/www/cgi-bin">
AllowOverride None
Options None
Require all granted
</Directory>
<IfModule mime_module>
TypesConfig /etc/mime.types
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
</IfModule>
AddDefaultCharset UTF-8
<IfModule mime_magic_module>
MIMEMagicFile conf/magic
</IfModule>
EnableSendfile on
IncludeOptional conf.d/*.conf
[Tue Apr 25 20:23:48.975338 2017] [:notice] [pid 28871] mod_authnz_pam: PAM authentication passed for user nigga
[Tue Apr 25 20:23:49.039913 2017] [:warn] [pid 28871] mod_authnz_pam: PAM authentication failed for user nigga: Failure setting user credentials
[Tue Apr 25 20:23:49.040054 2017] [auth_basic:error] [pid 28871] [client ] AH01617: user nigga: authentication failure for "/dir1/index.html": Password Mismatch
[Tue Apr 25 20:23:49.103494 2017] [:warn] [pid 28871] mod_authnz_pam: PAM authentication failed for user nigga: Failure setting user credentials
[Tue Apr 25 20:23:49.103611 2017] [auth_basic:error] [pid 28871] [client ] AH01617: user nigga: authentication failure for "/dir1/index.php": Password Mismatch
Сильно не пинайте, пожалуйста, с апачем у меня плохо
Заранее спасибо большое за помощь
Привет,ЛОР! Купил VPS в Китае, развернуть там openvpn и пользоваться потихоньку. Потери пакетов ужасные, данные передаются ужасно плохо. Я собственно хотел спросить - как улучшить качество передаваемых данных через openvpn но позже понял что проблема совсем не в нем. Может кто знает хорошего хостера в Китае, что бы не терялись 4 из 5-ти пакетов до сервера? Спасибо З.Ы. существуют ли хостеры в китае, которые не находиться за этим великим фаерволом?
Привет, ЛОР. Не могу разобрать со следующим тз. Иерархия директорий такая /var/www/site в папке site есть frontend и backend
если запрос идет на /admin - нужно что бы пользователь попадал в backend
если запрос идет просто / - соответственно веб сервер должен реврайтить на frontend
nginx version: nginx/1.6.2
server {
listen 80;
server_name .example.org;
root /var/www/example.org;
client_max_body_size 100m;
access_log /var/log/nginx/example-access.log;
error_log /var/log/nginx/example-error.log;
charset utf-8;
index index.php;
location ~* /uploads/.*.php$ {
deny all;
access_log off;
log_not_found off;
}
location / {
try_files $uri $uri/ /index.php;
}
location ^~ /admin {
rewrite ^/admin(.*)?$ /backend/web/$1 break;
}
location ~* \.php$ {
fastcgi_index index.php;
fastcgi_pass unix:/var/run/php5-fpm.sock;
include /etc/nginx/fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
location ~ /\. { deny all; access_log off; }
location = /favicon.ico { log_not_found off; }
}
как видно в конфиге, с отедльным локейшном /admin разобрался - работает. А вот с фронтендом все никак не получаеться. Спасибо большое заранее, хорошего дня.
Привет. Есть nginx 1.6.2 на Debian 8. Настроен на отдачу статики. Можно ли сделать что бы браузер вместо того что бы предлагать скачать csv файл, открывал его для просмотра прям в браузере? Вот конфиг:
server {
listen 80 default_server;
root /var/www;
location / {
root /var/www;
autoindex on;
autoindex_exact_size off;
}
}
Привет, Лор. Есть скрипт
#!/bin/bash -x
PREFIX='php.fpm'
URL='http://127.0.0.1:8080/status'
CURL='/usr/bin/curl'
TMP='/tmp/php-fpm-ping.tmp'
SENDER='/usr/bin/zabbix_sender'
CONFIG='/etc/zabbix/zabbix_agentd.conf'
if [ ! -x ${CURL} ]
then echo Seems, path to curl is incorrect or not installed. && exit 0
else if [ ! -x ${SENDER} ]
then echo Seems, path to zabbix_sender is incorrect or not installed. && exit 0
else if [ ! -f ${CONFIG} ]
then echo Seems, path to zabbix_agentd.conf is incorrect && exit 0
fi fi fi
(time ${CURL} --no-keepalive -sm3 ${URL}) 2>$TMP | awk -v pr="- ${PREFIX}." '
/^accepted c/ {print pr"accepted_conn "$3}
/^active proc/ {print pr"active_processes "$3}
/^idle proc/ {print pr"idle_processes "$3}
/^listen queue:/ {print pr"listen_queue_len "$3}
/^max children reach/ {print pr"max_children_reached "$4}
/^max listen queue:/ {print pr"max_listen_queue_len "$4}' | ${SENDER} -c ${CONFIG} -i - 2>/dev/null | awk -v t="${TMP}" '/^sent/{if($6==0){print"-0.001";print>t}}'
awk '/real/{split($2,a,"[ms]");print a[1]*60+a[2];}' $TMP
rm $TMP
exit 1
Скрипт проверяет статус php-fpm и отправляет на забб сервер. На всех хостах работает хорошо, дали новый сервер debi 8.6 zab agent 3.0.5 Отрабатывает больше минуты. У заба таймаут на скрипты 30 сек максимум. Спасибо за помощь.
На сервере zabbix 3.0 нет данных с пинга php-fpm.
Скрипт который собирает инфу с хоста:
#!/bin/sh
PREFIX='php.fpm'
URL='http://127.0.0.1:8080/status'
CURL='/usr/bin/curl'
TMP='/tmp/php-fpm-ping.tmp'
SENDER='/usr/bin/zabbix_sender'
CONFIG='/etc/zabbix/zabbix_agentd.conf'
if [ ! -x ${CURL} ]
then echo Seems, path to curl is incorrect or not installed. && exit 0
else if [ ! -x ${SENDER} ]
then echo Seems, path to zabbix_sender is incorrect or not installed. && exit 0
else if [ ! -f ${CONFIG} ]
then echo Seems, path to zabbix_agentd.conf is incorrect && exit 0
fi fi fi
(time ${CURL} --no-keepalive -sm3 ${URL}) 2>$TMP | awk -v pr="- ${PREFIX}." '
/^accepted c/ {print pr"accepted_conn "$3}
/^active proc/ {print pr"active_processes "$3}
/^idle proc/ {print pr"idle_processes "$3}
/^listen queue:/ {print pr"listen_queue_len "$3}
/^max children reach/ {print pr"max_children_reached "$4}
/^max listen queue:/ {print pr"max_listen_queue_len "$4}' | ${SENDER} -c ${CONFIG} -i - 2>/dev/null | awk -v t="${TMP}" '/^sent/{if($6==0){print"-0.001";print>t}}'
awk '/real/{split($2,a,"[ms]");print a[1]*60+a[2];}' $TMP
rm $TMP
exit 1
Может ли xl2tpd держать много клиентов с одной парой логин/пасс. Спасибо, уважаемый лор.
Debian 8.5.OpenVPN 2.3.4 x86_64-pc-linux-gnu. Имееться два VPN интерфейса. На tun0 принимаються соединения, на tun1 маршрутизируеться трафик на следующий openvpn server. Делалось следующее: echo '150 vpn.out' >> /etc/iproute2/rt_tables — создаем табличку для нашего VPN трафика
ip rule add from 192.168.100.0/24 table vpn.out — весь трафик пришедший из подсети VPN отправляем в таблику vpn.out
ip route add default dev tun1 table vpn.out — задаем маршрут по умолчанию для таблички vpn.out, это как раз второй интерфей смотрящий на внешний сервер tun1.
При перезагрузке сервака конфиг данной таблички маршрутизации слетает.Вопрос: как сохранить эти настройки? Пробовал post-up в /etc/network/interfaces - не сработало. Спасибо заранее.
При подключении к openvpn server перестает работать dns.
debian 7.9
cat /etc/resolv.conf
nameserver 213.133.98.98 nameserver 213.133.99.99 nameserver 213.133.100.100 nameserver 8.8.8.8 nameserver 208.67.220.220 nameserver 208.67.222.222
Если на системе установлен гуй, если ли возможность, сделать так что бы после загрузки система стартовала не с графическим интерфейсом, а выводила консоль.
На новой работе достался в наследство сервак с дебианом 7.Каждую неделю +- два дня ложиться и перестает пинговаться и отвечать на любые запросы. Лечиться только хард ресетом по кнопке. В какую сторону копать можно, ребят, какие логи смотреть? Спасибо
При загрузке гостевой системы Debian в virtualbox очень долго загружаеться система, вижу системное сообщение
VbglR3Init failed with rc=VERR_FILE_NOT_FOUNDsudo wget -q http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc -O- | apt-key add - ERROR: This command can only be used by root.Можно ли проксировать nginx на Nginx который работает в системе под чрут? как реализовать?
есть основной nginx в системе, был создан чрут, в нем был создан еще один nginx на который в будущем основной будет проксировать, в чруте нужно что бы работал еще один Php5-fpm. Как только в чруте запускаеться сервис Php - основной сайт перестает работать. Если что то не так с сокетами Php, как именно их можно поменять?
testlink 1.9.14 после логина выдает
There are security warnings for your consideration. See details on file: /var/testlink/logs/config_check.txt. To disable any reference to these checkings, set $tlCfg->config_check_warning_mode = 'SILENT';
после изменения данного параметра с FILE На SILENT изменений не происходит. перезапуск Nginx не дает результата. Может кто сталкивался, в чем соль
| следующие → |