LINUX.ORG.RU

Сообщения rostma

 

Wireguard режет скорость

Приветствую всех форумчан!!! Помогите разобраться со скоростью в wireguard vpn. Ситуация следующая. Имеем 2 роутера linksys с openwrt на борту. И поднятым между ними wireguard туннелем.
Если линк между Wan обеих роутеров гигабитный, то скорость внутри тоннеля 300-370 Мб/с что я считаю неплохо с учетом того что это простые роутеры, а не полноценные серверы.
Это делается для теста. В реале скорость между пирами будет ограничена на 100 Мб/с.
Решил протестировать что же будет если понизить скорость на портах коммутатора (роутеры подключены через гигабитный коммутатор) до 100 Мб/с. И вот тут начались чудеса. Скорость между роутерами через wg 30-40 Мб/с. Процессоры на роутерах загружены едва на 20-25% Стоит заметить, что один раз я на канале в 100 Мб/с. добился скорости между роутерами 85-90 Мб/с. Но после этого мой помошник полазил в настройках роутеров и все сломалось. Что делал не помнит, как вернуть не знает. Говорит только эксперементы с MTU ставил...
Вроде даже вернул се на место, но мысоких скоростей я теперь добиться не могу... Но факт остается фактом через 100 Мб канал эта связка роутеров может передавать ~ 90 Мб/с. Скорость измеряю iperf3 установленной на самих роутерах.

Ребят, подскажите что не так? В какую сторону смотреть?
Буду очень признателен за любую помощь или подсказку!

 ,

rostma
()

Смешанный доступ к шарам на SAMBA

Приветствую Вас форумчане. Прошу помощи. Есть шары на самбе. Сейчас они работают с доступом по IP клиентов. Начальство хочет AD. Сейчас развернул для тестов новый сервер самбы. Воткнул его в AD. Доступ к шарам на тестовой самбе по пользователям или группам AD работает, но перестал работать доступ по ip. При обращении к самбе по ip или имени (с ПК не в домене) сразу получаю отлуп, что нет сервера способного обработать запрос. Настраивал с опцией securyty = ADS в глобале. Но проблемма в том что есть компы на предприятии (например, ноутбуки начальства) которые никогда не будут включаться в домен, а доступ к шарам им нужен. Вопрос. Можно ли как нибудь сделать смешанный режим безопасности? Т.е. с компов в домене авторизация по пользователям AD, а с компов вне домена по ip. Пробовал тупо в секцию шары дописать и доступ по AD, и по ip. Не взлетело. Кажется мне что это решаемая задача и кто-то такое уже использует. А вот я застрял и не могу решить такую проблемму. Сильно не пинайте если что. Буду благодарен за любую помощь!

 

rostma
()

Резервное копирование lxc в proxmox

Приветствую всех! Подскажите кто сталкивался. Как правильно делать резервную копию lxc контейнера в proxmox 5? Штатными средствами через web не получается резервировать. В логе резервирования вижу:

INFO: create storage snapshot 'vzdump'
Using default stripesize 64.00 KiB.
Logical volume «snap_vm-1002-disk-2_vzdump» created.
Using default stripesize 64.00 KiB.
Logical volume «snap_vm-1002-disk-3_vzdump» created.
INFO: resume vm
INFO: guest is online again after 1 seconds
INFO: creating archive '/var/lib/vz/dump/vzdump-lxc-1002-2019_06_06-13_38_02.tar.gz'
INFO: tar: ./opt/mlmmjadmin-1.9/settings.py: Cannot open: Permission denied
INFO: tar: ./opt/mlmmjadmin-1.9/settings.pyc: Cannot open: Permission denied
INFO: tar: ./opt/netdata/var/cache/netdata/system.swap: Cannot open: Permission denied
INFO: tar: ./opt/netdata/var/cache/netdata/groups.threads: Cannot open: Permission denied
INFO: tar: ./opt/netdata/var/cache/netdata/web_log_apache.http_method: Cannot open: Permission denied

И так далее. Видимо нет прав на резервирование «диска» (он на lvm)

Получается сделать резервную копию, только если сделать контейнер привилегированным. Если я правильно понимаю - это дыра в безопасности. Как правильно делать резервную копию не привилегировнного контейнера? Желательно без его остановки.

Очень буду благодарен за помощь!

 , ,

rostma
()

pid процесса

Приветствую Вас форумчане. Прошу помощи. Не пинайте. С линухом пока знаком не очень хорошо. Итак. При запуске ОС (ubuntu 16.04) нужно считать pid определенного процесса. Как только pid процесса изменится выполнить команду poweroff. Собственно вся задача. Можно попробовать цыклом в скрипте. Но мне кажется есть способ элегантнее. Заранее благодарю всех кто откликнется!

 ,

rostma
()

postfix закрыть open relay

Здравствуйте уважаемые форумчане! Поставил почтовый сервер iredmail 0.9.9 Начал проверять его на открытый relay онлайн сервисами. И получил неоднозначные результаты.

Результаты такие:

https://mail.nettools.ru Все тесты пройдены успешно. Сервер не является публичным пересыльщиком почты.

https://mxtoolbox.com SMTP Open Relay OK - Not an open relay

nmonitoring.com Relaying denied

https://ivit.pro/services/mail-relay/ Cервер может использоваться в качестве публичного пересыльщика почты!

test-smtp.com Host is an open relay !

Если я правильно понимаю, то «сердце» почтовика iredmail - postfix. И копать нужно в сторону его правильной настройки.

Если нужно закину main.cf или другие конфиги.

Подскажите как закрыть публичный relay у меня на сервере? Что бы все онлайн тесты это подтверждали однозначно...

Буду благодарен за любые подсказки. С почтой имею дело первый раз. И плохо, пока, понимаю что к чему...

 ,

rostma
()

ltsp login

Здравствуйте уважаемые форумчане!

У меня вопрос к тем кто имел дело с ltsp+терминальный сервер на линукс. А именно как привязать определенный username без пароля к определенному тонкому клиенту. Т.е. в окне авторизации ldm подставлялось необходимое имя пользователя и нужно было только ввести его пароль. Типа как в винде либо $username, либо другой пользователь. Просто хочу облегчить жизнь пользователям. Про ldm_autologin, ldm_username, ldm_password я знаю. Но в таком сочетании происходит логин без ввода пароля, что не секюрно + нет возможности нормально завершить сеанс пользователя и выключить тонкого клиента. Постоянный перелогин. Есть у кого опыт решения подобной задачи?

Буду очень благодарен если поможете в этом вопросе!

 ,

rostma
()

Странное поведение wine на терминальном сервере

Приветствую Вас форумчане! Прошу помощи или совета.

Хочу весь офис перевести на линукс. Будет терминальный сервер на ubuntu + тонкие клиенты на ltsp. Пока на сервере заведен только один тестовый пользователь. Весь софт - СПО + 1с(линуксовый клиент) + одна специфическая виндовая программа, запускаемая через wine. Вот с єтой программой и происходят чудеса. Когда я на самом сервере проверяю ее работоспособность- все ок. Открывается, с базой соединяется, печатает. Аж радует. Подключаюсь с тонкого клиента загруженного по сети на этот же сервер, тем же пользователем. Все чудесно работает до запуска этой самой виндовс-вайновой программулины. С базой она соединяется, а дальше сессия начинает жестко тормозить сек. 5-7 и потом просто наглухо виснет. tcpdump-ом на сервере проверил. Порты используемые для связи бездискового клиента с терминальным сервером не пересекаются со служебными портами виндовс программы. Wine-hq установлен по инструкции на оффсайте. Установлен только на сервер (может нужно еще и в ltsp-chroot?)

Если не выйдет это решить придется городить рдп доступ к отдельному виндовому серверу только из-за этой программы... :(

Буду очень благодарен за любую помощь или подсказки куда копать!!!

 , , ,

rostma
()

Маска url для squidguard

Приветствую Вас уважаемые форумчане! Возникло несколько вопросов по связке squid+squidguard. Первый и основной по составлению собственного белого списка ресурсов для squidguard. Можно ли пользоваться масками при составлении и как? Т.е. при указании *.google.com понимались бы все дочерние домены типа mail.google.com, accaunt.google.com и т.п. Где то читал что одного google.com для этого достаточно. Но к сожалению у меня так не работает. Хоть просто google.com, хоть *.google.com дальше корневого домена гугла не пускает. А вычислять гору дочерних адресов слишком хлопотно. Гугл, конечно, как пример. Нужен гораздо более обширный список. Поэтому и думаю неужели так все плохо. Может я где то что то не включил? Хелп ми пожалуйста если кто знает как это побороть. Второй вопрос касается того можно ли как то указать подтягивать данные со сторонних ресурсов не из белого списка если это необходимо для правильного отображения ресурса который запросил пользователь. Поясню. Например торговая площадка держит сайт на домене А (в белом списке), а картинки затягивает с сервера Б (не в белом списке)+ разные обращения к гугл/яндекс аналитикам (не в белом списке). Определять только конечную цель пользователя и правильно отобразить ресурс. И последний надеюсь вопрос. Как настроить сквид что бы в access.log он писал только те сайты на которые заходил пользователь. Попутные аналитики и прочее не нужно совсем. За любую помощь буду Вам крайне благодарен!!!

 , ,

rostma
()

LTSP монтирование USB дисков

Уважаемые форумчане приветствую Вас и ооочень надеюсь на Вашу помощь!!! Поднял на ubuntu server 16.04.3 ltsp сервер. Основная задача которого грузить по сети тонких клиентов и средствами xfreerdp сразу подключать юзеров к win server 2008. К серверу тонкий клиент подключается нормально, все ок. А вот заставить видеться в винде флешки подключаемые к тонкому клиенту не получается. Вот мой lts.conf:

[DEFAULT]
HOTPLUG=true
LOCALDEV=true
LOCALDEV_DENY_INTERNAL_DISKS=false
LOCALDEV_DENY_USB=false
MODULE_01=usb-storage
SCREEN_07=«xfreerdp /sec:rdp /cert-ignore -sec-nla /drives /v:10.7.1.3 /bpp:24 /f»

При подключении в винду пробрасывается весь корень ФС тонкого клиента (дисков никаких нет, только загруженный по сети образ). Но смонтированной флешки нигде нет. /mnt, /media, /home просто пустые каталоги. Если же зайти в консоль тонкого клиента и сделать mount /dev/sdc1 /mnt, то в винде появляется содержимое флешки смонтированной в /mnt. Как я понимаю проблема заставить тонкого клиента автоматически монтировать устройства при подключении в определенный каталог. Если в консоли тонкого клиента сделать udevadm monitor --property --kernel --udev то видно что происходит событие подключения нового устройства и определение разных его параметров udev-ом. Пробовал в ltsp-chroot в /etc/udev/rules.d/10-automount.rules добавлять такое:

ACTION==«add» KERNEL==«sd[c-z][0-9]» RUN+=«/bin/mkdir -p /media/%k»
ACTION==«add» KERNEL==«sd[c-z][0-9]» RUN+=«/bin/mount -o iocharset=utf8,codepage=866,uid=1000 /dev/%k /media/%k»
ACTION==«remove» KERNEL==«sd[c-z][0-9]» RUN+=«/bin/umount /media/%k»
ACTION==«remove» KERNEL==«sd[c-z][0-9]» RUN+=«/bin/rmdir /media/%k»

потом udevadm control --reload-rules и пересборка образа. Но ничего не получается. Читал еще что нужно использовать fuse. Но как это сделать я не понимаю. Может у кого есть уже опыт победы подобного? Подскажите что нужно для монтирования флеши к тонкому клиенту. Буду крайне благодарен каждому откликнувшемуся за любую помощь или предложения!

 ,

rostma
()

RSS подписка на новые темы