Портмаппинг
Привет, уважаемое сообщество! Никак не могу допереть, что мне нужно сделать, что бы реализовать следующую схему: Машина находится в локальной сети $LOCAL_NET (192.168.х.0/24) Необходимо, что бы при подключении к Linux-серверу с IP-адресом $PROXY_INTERNAL на порт $PROXY_PORT машина подключалась бы к внешнему Интернет-серверу с $INET_SERVER_IP на порт $INET_SERVER_PORT. Внешний адрес Linux-сервера примем $PROXY_EXTERNAL. SNAT в чистом виде не подходит. Киньте, плз, образец – наверняка кто-то уже делал. Заранее спасибо. =- С уважением, Денис Зуев
Re: Портмаппинг
В сообщении от 7 Сентябрь 2004 13:20 Зуев Денис Александрович написал(a): > Привет, уважаемое сообщество! > > > > Никак не могу допереть, что мне нужно сделать, что бы реализовать следующую > схему: > > 1.Машина находится в локальной сети $LOCAL_NET (192.168.х.0/24) > 2.Необходимо, что бы при подключении к Linux-серверу с IP-адресом > $PROXY_INTERNAL на порт $PROXY_PORT машина подключалась бы к внешнему > Интернет-серверу с $INET_SERVER_IP на порт $INET_SERVER_PORT. Внешний адрес > Linux-сервера примем $PROXY_EXTERNAL. 3. SNAT в чистом виде не подходит. > что то я не до конца понял что ты хочешь если что бы при подключении из вне например на 111.111.111.111:1000 реально бы конект уходил на 192.168.x.5:1000 то надо смотреть не SNAT а DNAT iptables -t nat -A PREROUTING -d 111.111.111.111 -p tcp -m tcp --dport 1000 -j DNAT --to-destination 192.168.x.5:1000 тоже самое и для использования "чужого" proxy > Киньте, плз, образец - наверняка кто-то уже делал. Заранее спасибо. > > =- > С уважением, Денис Зуев -- С уважением, Юркин Евгений Siberia Health Inc
Re: Прокомментируйте пожалуйста
Спасибо, что ответили, помоему я наступил на эти грабли, насчет swap. > > Одна из особенностей 2.6 состоит в том, что оно неохотно использует swap, в > отличии от 2.4, которое использует его более активно в угоду дисковым кешам - > поэтому и page faults возникает чаще. > Ситуация следующая: 2004/09/07 06:52:14| 4390912 entries written so far. 2004/09/07 06:52:15| Finished. Wrote 4450672 entries. 2004/09/07 06:52:15| Took 66.9 seconds (66560.1 entries/sec). 2004/09/07 06:52:15| logfileRotate: /var/log/squid/access.log 2004/09/07 06:52:15| helperOpenServers: Starting 3 'squid_auth_sql' processes 2004/09/07 06:52:15| ipcCreate: fork: (12) Cannot allocate memory 2004/09/07 06:52:15| WARNING: Cannot run '/usr/lib/squid/squid_auth_sql' process. 2004/09/07 06:52:15| ipcCreate: fork: (12) Cannot allocate memory 2004/09/07 06:52:15| WARNING: Cannot run '/usr/lib/squid/squid_auth_sql' process. 2004/09/07 06:52:15| ipcCreate: fork: (12) Cannot allocate memory 2004/09/07 06:52:15| WARNING: Cannot run '/usr/lib/squid/squid_auth_sql' process. 2004/09/07 06:52:31| aclMatchExternal: 'sql_auth' queue overload. Request rejected. 2004/09/07 06:52:35| aclMatchExternal: 'sql_auth' queue overload. Request rejected. 2004/09/07 06:52:36| aclMatchExternal: 'sql_auth' queue overload. Request rejected. 2004/09/07 06:52:36| aclMatchExternal: 'sql_auth' queue overload. Request rejected. 2004/09/07 06:52:39| aclMatchExternal: 'sql_auth' queue overload. Request rejected. 2004/09/07 06:52:41| aclMatchExternal: 'sql_auth' queue overload. Request rejected. Это происходит, когда делается rotate логов Squid. В это время обычно прыгает загрузка проца (ну и память наверное грузится). Причем swap до конца не используется... или он его освобождает ? Эти данные я вижу утром. Утром прокси перезапускается без проблем и работает до следующего logrotate. Mem: 1036928k total, 1010812k used,26116k free,50512k buffers Swap: 248968k total,48544k used, 200424k free, 298944k cached Да, во время logrotate отрабатывает sarg. Файл access.log за день получается на 70 Мб. На самосборном 2.4.26 такой проблемы небыло. Может подскажите где прочитать про тюнинг 2.6 при помощи sysctl ? А то в гугле не нашел. И заодно идеи, что нужно подкрутить.
RE: Spam:Re: Портмаппинг
Подключение 'из вне' много где подробно описано - оно мне не нужно. Нужна обратная ситуация (см. внимательно п.1) - что бы подключаясь к локальному порту на интерфейсе сервера, имеющего eth0 в локальной сети, а eth1 - в Инете, пользователь на самом деле подключался бы к конкретному порту к конкретному серверу в Инете. Когда-то это называлось portmapping. =- С уважением, Денис Зуев -Original Message- From: Yurkin Evgeny [mailto:[EMAIL PROTECTED] Sent: Tuesday, September 07, 2004 12:41 PM To: debian-russian@lists.debian.org Subject: Spam:Re: Портмаппинг В сообщении от 7 Сентябрь 2004 13:20 Зуев Денис Александрович написал(a): > Привет, уважаемое сообщество! > > > > Никак не могу допереть, что мне нужно сделать, что бы реализовать следующую > схему: > > 1.Машина находится в локальной сети $LOCAL_NET (192.168.х.0/24) > 2.Необходимо, что бы при подключении к Linux-серверу с IP-адресом > $PROXY_INTERNAL на порт $PROXY_PORT машина подключалась бы к внешнему > Интернет-серверу с $INET_SERVER_IP на порт $INET_SERVER_PORT. Внешний адрес > Linux-сервера примем $PROXY_EXTERNAL. 3. SNAT в чистом виде не подходит. > что то я не до конца понял что ты хочешь если что бы при подключении из вне например на 111.111.111.111:1000 реально бы конект уходил на 192.168.x.5:1000 то надо смотреть не SNAT а DNAT iptables -t nat -A PREROUTING -d 111.111.111.111 -p tcp -m tcp --dport 1000 -j DNAT --to-destination 192.168.x.5:1000 тоже самое и для использования "чужого" proxy > Киньте, плз, образец - наверняка кто-то уже делал. Заранее спасибо. > > =- > С уважением, Денис Зуев -- С уважением, Юркин Евгений Siberia Health Inc -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Spam:Re: Портмаппинг
В сообщении от 7 Сентябрь 2004 14:15 Зуев Денис Александрович написал(a): > Подключение 'из вне' много где подробно описано - оно мне не нужно. Нужна > обратная ситуация (см. внимательно п.1) - что бы подключаясь к локальному > порту на интерфейсе сервера, имеющего eth0 в локальной сети, а eth1 - в > Инете, пользователь на самом деле подключался бы к конкретному порту к > конкретному серверу в Инете. Когда-то это называлось portmapping. > =- хорошо а чем тогда не нравиться такое решение комп 192.168.0.100 сервер eth0 192.168.0.1 eth1 111.111.111.111 нужный сервер в инете 222.222.222.222 надо подключиться например на 110 порт этого сервера iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 222.222.222.222:110 iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 111.111.111.111 ну и соответственно разрешить в цепочке INPUT конект с 192.168.0.100 на 192.168.0.1 :110 iptables -A INPUT -i eth0 -p tcp -s 192.168.0.100 -d 192.168.0.1 --dport 110 -j ACCEPT разрешить в цепочке INPUT конект с 192.168.0.100 на 192.168.0.1 :110 и в цепочке FORWARD c 192.168.0.100 на 222.222.222.222:110 (и обратно, если не стоит разрешение на уже установленные соединения) соответственно при конекте с 192.168.0.100 на 192.168.0.1:110 реально будет конект на 222.222.222.222 110 > С уважением, Денис Зуев -- С уважением, Юркин Евгений Siberia Health Inc
Re: Портмаппин г
> Никак не могу допереть, что мне нужно сделать, что бы реализовать следующую > схему: > > 1.Машина находится в локальной сети $LOCAL_NET (192.168.х.0/24) > 2.Необходимо, что бы при подключении к Linux-серверу с IP-адресом > $PROXY_INTERNAL на порт $PROXY_PORT машина подключалась бы к внешнему > Интернет-серверу с $INET_SERVER_IP на порт $INET_SERVER_PORT. Внешний адрес > Linux-сервера примем $PROXY_EXTERNAL. > 3.SNAT в чистом виде не подходит. > > Киньте, плз, образец - наверняка кто-то уже делал. Заранее спасибо. самое простое - демон rinetd ну а чуток посложнее - iptables
Re: Как поддерживать ядр о и патчи up to date?
Dmitry E. Oboukhov wrote: наверно я первый раз плохо объяснил??? ну хорошо еще разок: 1. читаем ман на make-kpkg на предмет опции --apply-patches там расписано куда и как надо положить прикладываемые патчи чтобы они автоматом прикладывались 2. по прочитанному ману оформляем патчи (вот здесь я говорил о том что эти патчи можно в пакеты оформить) 3. собираем пакеты командой make-kpkg - получаем то что вы хотите (только попросить ее надо о том таргете который Вам нужен) Хорошо, хорошо попробую man сначала почитать :) Спасибо :) -- С уважением, Николай Кондрашов, ИТ-менеджер ЗАО "Автоматика РУС" +7(812) 1183238, 3039648 http://avtomatikarus.com/ mailto:[EMAIL PROTECTED]
Re: sarge & xkb
On Sun, Sep 05, 2004 at 02:09:27PM +0300, Kirill Belokurov wrote: > > Однако не помогает - при старте доступна только русская раскладка, такое > > ощущение, что xkb находится в каком-то обалдевшем состоянии, поскольку ни > > xxkb ни gkrellxkb не находят раскладок вообще. > У меня при недавнем апгрейде с netinst-a до sarge - пакет xlibs > автоматом вообще не поставился. Может - потому и не находят раскладок? Нет, пакеты установлены. В том-то и проблема, что все есть, и при "ручном" включении с помощью setxkbmap -rules xfree86 -model pc104 -layout "us,ru" \ -variant ",winkeys" -option "grp:ctrl_shift_toggle,grp_led:scroll" все начинает работать как положено ... а вот при старте сервера - никак. Плюс в XkbLayout не помог. -- Alexander Averyanov
RE: Spam:Re: Портмаппинг
Ну так это то же самый DNAT! Аўт, 2004-09-07 у 10:15, Зуев Денис Александрович піша: > Подключение 'из вне' много где подробно описано - оно мне не нужно. Нужна > обратная ситуация (см. внимательно п.1) - что бы подключаясь к локальному > порту на интерфейсе сервера, имеющего eth0 в локальной сети, а eth1 - в > Инете, пользователь на самом деле подключался бы к конкретному порту к > конкретному серверу в Инете. Когда-то это называлось portmapping. > > =- > С уважением, Денис Зуев > > -Original Message- > From: Yurkin Evgeny [mailto:[EMAIL PROTECTED] > Sent: Tuesday, September 07, 2004 12:41 PM > To: debian-russian@lists.debian.org > Subject: Spam:Re: Портмаппинг > > В сообщении от 7 Сентябрь 2004 13:20 Зуев Денис Александрович написал(a): > > Привет, уважаемое сообщество! > > > > > > > > Никак не могу допереть, что мне нужно сделать, что бы реализовать следующую > > схему: > > > > 1. Машина находится в локальной сети $LOCAL_NET (192.168.х.0/24) > > 2. Необходимо, что бы при подключении к Linux-серверу с IP-адресом > > $PROXY_INTERNAL на порт $PROXY_PORT машина подключалась бы к внешнему > > Интернет-серверу с $INET_SERVER_IP на порт $INET_SERVER_PORT. Внешний адрес > > Linux-сервера примем $PROXY_EXTERNAL. 3.SNAT в чистом виде не подходит. > > > что то я не до конца понял что ты хочешь > > если что бы при подключении из вне например на 111.111.111.111:1000 реально > бы > конект уходил на 192.168.x.5:1000 > > то надо смотреть не SNAT а DNAT > > iptables -t nat -A PREROUTING -d 111.111.111.111 -p tcp -m tcp --dport 1000 > -j > DNAT --to-destination 192.168.x.5:1000 > > тоже самое и для использования "чужого" proxy > > > Киньте, плз, образец - наверняка кто-то уже делал. Заранее спасибо. > > > > =- > > С уважением, Денис Зуев > > -- > С уважением, > Юркин Евгений > Siberia Health Inc > signature.asc Description: Гэтая частка паведамлень паведамленьня падпісана электроным подпісам
Re: Проблема с подсист емой ввода в Х-ах после апгрейда sarge
> > Вчера проапгрейдил sarge и в результате после запуска Х-ов> отрубаются > > напрочь мышка (PS/2) и клавиатура. В консоли все работает.> Х-ы - 4.3.0.1. > > XF86Config-4 не менялся. В Х-овых логах ошибок не вижу.> Среди загруженных > > модулей ядра на вскидку не вижу ничего, что могло бы с> Х-ми > > конфликтовать... Проблему я, кажется, обнаружил. При запуске Х-ов не грузится или грузится слишком поздно ядреный модуль "input". По-крайней мере, если его грузить ручками до запуска Х-ов, то проблем нет. Значит это discover у меня почему-то глючит... Александр Браво [EMAIL PROTECTED]
Sarge jigdo -> дата генерации глюк или реальность.
Ребята а как с релизами SARGE ??? у меня какято неразбериха с датами получается. вот сегодня 7-го _СЕНТЯБРЯ_ качаю jigdo саржа: wget -c ftp://cdimage.debian.org/pub/cdimage-testing/cd/jigdo-area/i386/sarge-i386-1.jigdo смотрю дату создания : zcat ./sarge-i386-1.jigdo|grep Generated получаю : "Info='Generated on Sat, 7 Aug 2004 00:22:21 -0600'" Тоесть МЕСЯЧНОЙ ДАВНОСТИ. этоже видно и по дате создания файлов : echo "ls "| lftp ftp://cdimage.debian.org/pub/cdimage-testing/cd/jigdo-area/i386/ -rw-r--r-- 40k 2004-08-07 11:38 sarge-i386-1.jigdo Это нормально или на серваке просто часы глючат Причем у JIGDO для DVD - все OK echo "ls "| lftp ftp://cdimage.debian.org/pub/cdimage-testing/dvd/jigdo-area/i386/ -rw-r--r--1 1006 1006 196273 Sep 06 18:29 sarge-i386-1.jigdo Вобщем вопрос : сейчас jigdo для CD лежат нормальные или месячной давности ?? -- _/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/ Oleg Tsymaenko <[EMAIL PROTECTED]> http://lafox.net/ LA4791-RIPE TO2-UANICGnuPG Key ID 203AED52
Re: Как из нескольких CD Woody сделать о дин DVD?
On Mon, 6 Sep 2004 15:18:10 +0400 Vladimir (Vladimir) wrote: Vladimir> Есть 7 CD дистрибутива Woody Vladimir> Хотелось бы превратить их в один диск DVD. При этом есть Vladimir> задача минимум: сделать так, чтобы не надо было бы жонглировать дисками при Vladimir> установке софта через apt Vladimir> задача максимум: сделать полноценный загрузочный DVD, чтобы с него Vladimir> можно было бы полноценно установить систему. Vladimir> Как это можно сделать? Уж больно у этих дисков хитрая структура. Слить DVD-шаблоны для jigdo (хотя я вроде не уверен, есть ли они для woody?), и когда собирать образы - указать, откуда можно брать файло локально (наверное придётся слить пакеты со всех дисков в один каталог?) -- Serge Olkhowik <[EMAIL PROTECTED]> ISD Configuration Management Team <[EMAIL PROTECTED]>
Re: Как из нескольких CD Woody сделать один DVD?
On Tue, Sep 07, 2004 at 04:10:09PM +0300, Serge Olkhowik wrote: > On Mon, 6 Sep 2004 15:18:10 +0400 > Vladimir (Vladimir) wrote: > > Vladimir> Есть 7 CD дистрибутива Woody > Vladimir> Хотелось бы превратить их в один диск DVD. При этом есть > Vladimir> задача минимум: сделать так, чтобы не надо было бы жонглировать > дисками при > Vladimir> установке софта через apt > Vladimir> задача максимум: сделать полноценный загрузочный DVD, чтобы с него > Vladimir> можно было бы полноценно установить систему. > > Vladimir> Как это можно сделать? Уж больно у этих дисков хитрая структура. > > Слить DVD-шаблоны для jigdo (хотя я вроде не уверен, есть ли они для > woody?), и когда собирать образы - указать, откуда можно брать файло > локально (наверное придётся слить пакеты со всех дисков в один каталог?) Для реализации задачи минимум можно просто слить всё содержимое 7-и дисков в какую-нибудь директорию, перегенерировать файлы Packages (man dpkg-scanpackages) и Packages.gz, а потом всё дерево записать на DVD. Например, всё с дисков слито в /var/tmp/debian/. Переходим туда (чтобы в созданном файле Packages можно было иметь имена файлов с относительными путями) и говорим 'dpkg-scanpackages pool/main /dev/null > dists/woody/main/binary-i386/Packages'. Подобные манипуляции надо провести во всех секциях (main, contrib, non-US/main, non-US/contrib, и т.д. - всё что есть). Заменить все Packages.gz внутри дерева на новые. Попробовать скормить полученный репозиторий apt-get'у, и если всё нормально - писать на DVD. Я проделывал подобное, только на DVD не писал - но это уже не суть важно. Удачи, -- IOpuk.
Re: sarge & xkb
AK> Здорова, Alexander! >> Немного порыл - поправил конфиг, теперь там так: AK> У меня сейчас конфиг Xkb выглядит так же как твой, только вместо "," AK> "+" в XkbLayout :) >> Section "InputDevice" >> Identifier "Generic Keyboard" >> Driver "keyboard" >> Option "CoreKeyboard" >> Option "XkbRules" "xfree86" >> Option "XkbModel" "pc104" >> Option "XkbLayout" "us,ru(winkeys)" AK> Попробуй "us+ru(winkeys)" >> Option "XkbOptions" "grp:ctrl_shift_toggle,grp_led:scroll" >> EndSection AK> Я помнится тоже чего-то долго мурыжился с Xkb в 4.3 X'aх, где-то в AK> доках нарыл нормальный конфиг. Причем, насколько я помню, в разных AK> местах настройка Xkb, описана по разному, а рабочая только одна :) Есть такой конфиг: Section "InputDevice" Identifier "Generic Keyboard" Driver "keyboard" Option "CoreKeyboard" Option "XkbRules" "xfree86" Option "XkbModel" "pc102" Option "XkbLayout" "ru" Option "XkbOptions""grp:ctrl_shift_toggle,grp_led:scroll" EndSection После обновления Sarge до 20040727, стала работать только русская раскладка. Тогда я запарился и нашел файлик /etc/X11/xkb/rules/xfree86, где была такая строчка: // If you want non-latin layouts implicitly include the en_US layout // uncomment lines below ! $nonlatin = am ar ben bg by dev el ge_la ge_ru guj gur il il_phonetic\ ir iu kan lo mk mm ml ori ru sr syr syr_phonetic tel th\ tj tml ua Поступил по рекомендации. Интересно какой способ правильный?
smbfs - автомонтирование
Здравствуйте. А как красиво монтировать самбу в /etc/fstab? Чтобы оно само примонтировывалось при запуске машины... Пишу //ws_honeyman/Debian /mnt/ws_honeyman/Debian smbfs ro,guest,_netdev 0 0 - при запуске оно и не смонтировано, и не размонтировано, и в /mnt/ws_honeyman/Debian даже ls не проходит (не то что уж в него зайти). Даже от рута. Прав не хватает. Если добавляю ещё noauto - то при запуске оно не смонтировано, но хотя бы в Debian зайти можно, и на mount Debian оно монтирует. А как надо?.. Или, может, это куда-то в настройки самбы надо засунуть, чтобы она сама каталоги монтировала, как запустится? Кстати, я правильно понял, что примонтировать можно только каталог на удалённой машине, а вот примонтировать машину как каталог нельзя? Т.е., примонтировать //ws_honeyman, после чего зайти в соответствующий каталог, сделать ls - и увидеть все шары на нём? -- С уважением, Alexander mailto:[EMAIL PROTECTED]
woody+cisco pci342
Приветствую. Имеется debian woody, supermicro x5dpa-gg на одном xeon'е, и cisco aironet pci342. С родным airo.o показывает по ifconfig бездну фреймовых ошибок(хотя в ядре /proc/drivers/aironet/eth0 все в порядке, да и вообще качество работы устаивает) и перестает пересылать пакеты с этого интерфейса при попытке переключится в промискуитет при tcpdump. Перезагрузка модуля не помогает. С дровами от cisco.com после загрузки работает неопределенно короткое время(улетает пакетов 30-50) и перестает пересылать пакеты, прием при этом продолжает идти. При этом выдает ядреную ошибку airo: can't find FID. Кто такой этот FID? По исходникам не понял. И вообще в какую сторону с этим бороться? Можно пожить и на родных дровах, но без tcpdump'а жутко скучно, да и не красиво как-то. :) p.s. Проблемы начались в тесной связи с переездом карточки из сервера с ядром 2.2.19. -- C уважением, Дмитрий Лукин, инженер ООО "Питон". тел/факс 8(42722)22612 (доп. 101) mailto: [EMAIL PROTECTED] ICQ UIN: 16215771
Re: SATA RAID
On Thu, May 20, 2004 at 04:09:40PM +0300, Maxim Tyurin wrote: MT> У меня 3ware MT> Крутит raid 10 (может еще и 5 но он мне не нужен пока) MT> я им полностью доволен. А у 3ware есть SATA RAID с батарейкой? У SCSI-контроллеров которые я люблю (LSI MegaRaid) есть возможность поставить BBU (battery backed unit) и благодаря этому использовать агрессивное кэширование записи. Для SATA это ещё критичнее чем для SCSI. -- С уважением, Денис http://freesource.info
Re: BagTrack (немного оффтопик)
On Пнд, 2004-09-06 at 16:48 +0600, Зуев Денис Александрович wrote: > Извиняюсь, что немного не в тему, но поделитесь пожалуйста > впечатлениями и рекомендациями по используемым BugTrack/ServiceDesk. http://roundup.sourceforge.net/ очень хорош -- Kirill Kondratenko[EMAIL PROTECTED]Moscow, Russia Software developerIntersoft Labhttp://www.iso.ru
Re: SB Live! -- LiveDrive
On Mon, 6 Sep 2004, Serge Tiunov wrote: > Приветствую! > > Как подружить Woody с Soundblaster Live! Platinumской > передней панелью? Инфракрасный порт, цифровые и MIDI > разъемы -- фиг с ними, а вот выход на наушники и доп. > вход сильно нужны. > > Что-то ничего навроде HOWTO не выгугливается. > > Куда читать? Кхм. Ответ понял :) Частичное (и кривое, на мой взгляд) решение: 1. Взять emu-tools на http://sourceforge.net/projects/emu10k1 2. Сбацать скриптец, добавляющий пути к выходам Phones L и Phones R (с управлением громкостью, т. е. emu-dspmgr -v) со всех нужных входов и 3. Прописать запуск этого скрипта в любой удобный момент после загрузки модуля. Поднимать IR Sensor и дополнительный вход на livedrive (Line2/Mic2) умеет прилагающийся к emu-tools скрипт. Можно использовать его, можно просто выдрать нужные команды. Недостатки: 1. Некузяво! :( 2. Master Volume на наушники не действует (возможно, тоже можно прикрутить, но поскольку у Livedrive есть ручка для управления громкостью, а документация к emu-tools чрезвычайно лаконична, лень бодаться). Кто знает Правильный Способ -- пишите, звоните! :)
