Re: [Lug-bg] rsync question
Здравейте, пробвах и с тази опция, но за съжаление не става. След 1 час чакане - папката все си остава празна. Ето опциите с които стартирам rsync: /usr/bin/rsync -r -vv -p -o -g -A --safe-links --password-file=/etc/rsyncd.secrets --port 873 sa...@192.168.0.4::samba /database --backup-dir=/incremental/26-08-09/11/ Някакви идеи? Ivan Dimitrov wrote: Имаш нужда от --backup-dir опцията -b, --backupmake backups (see --suffix & --backup-dir) --backup-dir=DIRmake backups into hierarchy based in DIR Пример rsync -a --delete --backup --backup-dir=/path/to/incremental/DATE/ -e ssh /path/to/dir/ rem...@server:/path/to/dir/ Danail Petrov написа: Здравейте, надявам се, че дори в този отпускарски сезон ще се намери някой на линия да удари едно рамо :) Ето и въпроса ми: Имам две машини - А и Б. Машина А работи като rsync server, а машина Б като клиент. Всичко работи чудесно, успях да синхронизирам 1:1 машина А и машина Б, но в един момент осъзнах, че ми трябва да направя нещо малко по различно. В момента имам две идентични директории на двете машини, но искам от тук нататък всички "делти" (промени по файлове) да бъдат копирани в отделни папки. Идеята е, че ако на машина А имам файлов сървър който се използва за съхраняване на документи, то аз искам да имам всички промени по тези документи. Защото ако някоя леля си затрие някой sheet в Excell-a, rsync ще мине, ще види, че файлът е различен и ще го синхронизира с машина Б. И после имам две идентични копия а ефектът от Backup-a е нулев. Разрових документацията на rsync и попаднах на опциите --compare-dest и --copy-dest. По това което прочетох именно --compare-dest е опцията която ми трябва и ето как пробвах да стартирам rsync: /usr/bin/rsync -a -o -g -A -v --progress --safe-links --password-file=/etc/rsyncd.secrets --port 873 datab...@192.168.0.x::database --compare-dest=/database /incremental/14-08-09/15/ От тази команда очаквам да сравни съдържанието от сървъра 192.168.0.х (модул database) с директорията на локалната машина Б "/database" . Ако има някакви разлики във файловете то те да бъдат копирани в директория /incremental/14-08-09/15/. Да ама не, rsync започва да прави 1:1 синхронизация и започва да ми копира всички файлове от сървъра в папка /incremental/14-08-09/15/. Тоест всякаш не взима под внимание опцията --compare-dest. Някой може ли да ме светне къде греша? Поздрави! ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] rsync question
Здравейте, надявам се, че дори в този отпускарски сезон ще се намери някой на линия да удари едно рамо :) Ето и въпроса ми: Имам две машини - А и Б. Машина А работи като rsync server, а машина Б като клиент. Всичко работи чудесно, успях да синхронизирам 1:1 машина А и машина Б, но в един момент осъзнах, че ми трябва да направя нещо малко по различно. В момента имам две идентични директории на двете машини, но искам от тук нататък всички "делти" (промени по файлове) да бъдат копирани в отделни папки. Идеята е, че ако на машина А имам файлов сървър който се използва за съхраняване на документи, то аз искам да имам всички промени по тези документи. Защото ако някоя леля си затрие някой sheet в Excell-a, rsync ще мине, ще види, че файлът е различен и ще го синхронизира с машина Б. И после имам две идентични копия а ефектът от Backup-a е нулев. Разрових документацията на rsync и попаднах на опциите --compare-dest и --copy-dest. По това което прочетох именно --compare-dest е опцията която ми трябва и ето как пробвах да стартирам rsync: /usr/bin/rsync -a -o -g -A -v --progress --safe-links --password-file=/etc/rsyncd.secrets --port 873 datab...@192.168.0.x::database --compare-dest=/database /incremental/14-08-09/15/ От тази команда очаквам да сравни съдържанието от сървъра 192.168.0.х (модул database) с директорията на локалната машина Б "/database" . Ако има някакви разлики във файловете то те да бъдат копирани в директория /incremental/14-08-09/15/. Да ама не, rsync започва да прави 1:1 синхронизация и започва да ми копира всички файлове от сървъра в папка /incremental/14-08-09/15/. Тоест всякаш не взима под внимание опцията --compare-dest. Някой може ли да ме светне къде греша? Поздрави! -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] skype blocking
Явно съм се изказал неподготвен по темата. Ще проследя с интерес тази нишка. Ники - според мен това решение със SQUID-а не е вариант. Така убиваш всякакъв non-WWW трафик. До колкото си спомням, скайп имаше възможност да работи и като използва UDP (не съм 100 сигурен за това). Danail Petrov wrote: Здрасти, лично според мен това е мисията невъзможна. Какви решения си разглеждал за целта? Поздрави! Spas Pavlov wrote: Здравейте, Някой да има работещ метод за блокиране на Skype? В мрежата има няколко варианта, но нямам време да ги тествам. Интересува ме нещо работещо, за предпочитане с iptables. Клиентите са зад линукс рутер с NAT. Ядро 2.6.17, iptables-1.3.0 Спас Павлов ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] skype blocking
Здрасти, лично според мен това е мисията невъзможна. Какви решения си разглеждал за целта? Поздрави! Spas Pavlov wrote: Здравейте, Някой да има работещ метод за блокиране на Skype? В мрежата има няколко варианта, но нямам време да ги тествам. Интересува ме нещо работещо, за предпочитане с iptables. Клиентите са зад линукс рутер с NAT. Ядро 2.6.17, iptables-1.3.0 Спас Павлов ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] (Quagga) Multiple Routing Table Support?
А всъщност сигурен ли си, че ти трябва втора таблица за тази цел!? Milen Bogunski wrote: проблема е следния, искам да изкарам мрежата на единия доставчик да си върви САМО през него на изход, въпроса е че в виртуалната таблица трябва да задам различни рутации за peering и интернет. Това не е проблем.Може да се направи с един единствен as-path regex filter приложен в route-map-а който трябва да конфигурираш за входящите анонси от доставчика. Там можеш да манипулираш всичко свързано с изхода ти към определените доставчици.. Пиши какво точно искаш да направиш, път току-виж се окаже, че нямаш нужда от feature-а за който първоначално попита :) Поздрави, Данаил Петров -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] (Quagga) Multiple Routing Table Support?
До колкото знам, преди доста години Румен (Свободников) си беше писал пач за тогавашната "Zebra" да прави това нещо. Незнам как се поддържа това в Quagga в момента, но за да стигнеш до тук явно си поровил Google. Опитай да се свържеш с Румен, може да ти помогне! Поздрави! Milen Bogunski wrote: Здравейте, Някой да е ползвал или срещал quagga или нещо друго за bgp което да support-ва виртуални рутинг таблици ? Трябва ми да се сетва за neighbor или на самия route-map , да не набива рутациите в кернелската маин таблица а в някоя друта таблица Мерси предварително. Милен Богунски ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] проверка на свърз аност
Здрасти, това приложение е писано от бивши служители на Lirex.NET (сега Еволинк) в момента се поддържа от нас (Еволинк) . Коя част на софтуера ти е необходима? RIPE имат няколко полезни tool-а които биха ти извели подобна информация, но това са онлайн услуги - не софтуер. Поздрави, Данаил Петров Yordan Georgiev wrote: Здравейте, Интересувам се от система подобна на http://lg.evolink.net/AS/ Някой има ли подобно приложение или случайно да има координатите на създателите т.к. мейлите не са актуални? Поздрави, Данчо. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Проблем с dhcpd и static ip .
След като range-а на адресите които DHCP сървъра може да раздаде е
между x.x.x.2 и x.x.x.30, как очакваш да раздаде адрес x.x.x.50?
Kristian Kirilov wrote:
Здравейте група,
ситуацията е следната, имам dhpcd който раздава ип адреси, нарочно не съм
задал маска 255.255.255.0 за да не ми покрива цялата мрежа т.е.
192.168.0.0/24
или казано по друг начин 192.168.0.*
dhcpd раздава ип адреси от 2 до 30, именно поради тази причина съм избрал
ип адрес 50 да бъде статичен, като съм упоменал това изрично в
конфигурацията на dhpcd, проблема е че тази машина НЕ взима точно този ип
адрес.
По - долу давам конфигурацията на dhcpd.
r...@router:~# cat /etc/dhcp3/dhcpd.conf | grep -v "#"
option domain-name "d3v1ous.info";
option domain-name-servers 192.168.0.1;
subnet 192.168.0.0 netmask 255.255.255.224 {
range 192.168.0.2 192.168.0.30;
option routers 192.168.0.1;
option subnet-mask 255.255.255.224;
option broadcast-address 192.168.0.31;
default-lease-time 600;
max-lease-time 7200;
}
host d3v1ous {
hardware ethernet 00:1a:4d:4c:4a:a6;
fixed-address 192.168.0.50;
}
r...@router:~#
Ето и мак адреса на windows-a.
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : d3v1ous.info
Description . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E
Gigabit Ethernet NIC
Physical Address. . . . . . . . . : 00-1A-4D-4C-4A-A6
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.0.5
Subnet Mask . . . . . . . . . . . : 255.255.255.224
Default Gateway . . . . . . . . . : 192.168.0.1
DHCP Server . . . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.1
Lease Obtained. . . . . . . . . . : 04 Март 2009 11:39:15
Lease Expires . . . . . . . . . . : 04 Март 2009 11:49:15
Това е. Благодаря.
Поздрави.
___
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
--
Danail Petrov
Sr. Network Administrator
Evolink, Sofia
Phone: +359(2)9691650
http://www.evolink.com
smime.p7s
Description: S/MIME Cryptographic Signature
___
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Dansguardian web interface?
Здравейте, някой от вас използва ли DansGuardian? Въпросът ми е свързан с него. Възнамеряваме да имплементираме този продукт в мрежа на наш клиент, но за съжаление ровичкането с `vi` или друг едитор по конфигурационните файлове е проблем за клиента. Някой знае ли читав интерфейс за управление и конфигуриране на Dansguardian? Търсих из google, но не попаднах на нищо кой знае какво. За сега излиза, че webmin е най-приложимият вариант, но честно казано не ми се иска да го използвам. Предварително благодаря! -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Zimbra
Имам няколко въпроса, но преди да изпадам в подробности ще попитам дали някой от вас е инсталирал Zimbra в работна среда, и ако да - колко потребителя, какви услуги е интегрирал и т.н Поздрави! -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Явно проблемът не е в site-to-site имплементацията . По-скоро краен потребител трябва да може да направи VPN към точка в публичната мрежа. Иначе в ситуацията със двете страни, няма да има проблем и с PPTP/GRE варианта Marian Marinov wrote: А защо направо не си сложите един openvpn от двете страни и да си спестите мъките с IPSec-а? Мариян On Tuesday 03 February 2009 21:04:53 Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 "Svetlin Nakov" написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ "upgrade path" е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? "Лесно" е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Виж дали kernel-а ти подържа IPSec NatT (Nat Traversal) . Иначе пак си в същата ситуация Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 "Svetlin Nakov" написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ "upgrade path" е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? "Лесно" е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] [SPAM] PPTPD debian etch, iptables problem.
Както вече сам си разбрал, проблемът ти е във firewall-а. Според мен, няма как да ти изчезне "routing"-а към каквото и да е било, а по-скоро FORWARD политиката на firewall-а не пропуска пакетите да преминат ( iptables -P FORWARD DROP ). Не бъди толкова параноичен с firewall правилата и всичко ще бъде наред! Поздрави! Kristian Kirilov wrote: Здравейте на всички, ползвам Debian Etch, имам инсталиран pptpd, всичко съм описал в conf's и работи, но само когато си спра firewall-a. Като го спра, имам интернет, през впн-а, също пинг до локалните интерфейси и компютрите от вътрешната мрежа, но след като го пусна интернета ми изчезва, също така рутинг-а към 77.70.5.1 т.е. default gateway-a ми. Ситуацията е следната: -- eth0 ( външна лан карта ) - към интернет ип адрес: 77.70.5.130 gateway: 77.70.5.1 -- -- eth1 ( вътрешна лан карта ) - към лан ип адрес: 192.168.0.1 -- -- ppp+ ( обозначавам всички впн връзки ) localip 192.168.0.1 remoteip 192.168.0.100-150 listen 77.70.5.130 connections 50 ( Извлечение от /etc/pptpd.conf ) Давам линк с iptables правилата: http://warbox.co.cc/Documents/firewall Рутирам си интернета от eth0 към eth1 ( искам това да си остане така ). Просто искам да имам интернет и пинг до вътрешната мрежа както когато съм изключил firewall-a си. Я пак? Нали като си изключиш firewall-а нямаш никакви проблеми, или аз нещо не съм разбрал?? Това е всичко. Поздрави. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, не съм много в час за това как точно кернела транслира GRE пакетите (със сигурност не прави стандарното маскиране/транслиране, тъй като това не е TCP/UDP протокол и той няма src/dst port), но имаш ли този модул зареден |ip_masq_pptp.o| (или в ядрото)? Svetlin Nakov wrote: Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. *Svetlin Nakov* Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Bankserviz certificates
Здрасти,
просто от любопитство - това OpenSC = имплементация на SCEP протокол ли
е? И ако да, може ли дас е използва от други продукти (или ако има CLI
към него - би било чудесно!)
Поздрави!
milen nikolov wrote:
On Thu, 2008-11-13 at 14:32 +0200, milen nikolov wrote:
Някой пускал ли е сертификатите на b-trus да работят с Firefox под
линукс, да даде някакви насоки и да каже къде да прочета.
дистрибуцията е Fedora Core 6.
кардрийдъра на Банксервиз е ACS ACR 38U-CCID.
намерих решение.
за архива на групата ето пакетите, ми бяха необходими:
opensc-0.11.4-1fc6
pcsc-lite-1.3.3-1fc6
ccid-1.2.1-3fc6
mozilla-opensc-signer-0.11.4-1fc6
package pinentry-gui is not installed
pinentry-0.7.2-14.fc6
във Firefox се добавя нов modul в 'Security devices'
s ime 'OpenSC' и се библиотека:
/usr/lib/opensc-pkcs11.so
благодаря предварително.
--
Danail Petrov
Sr. Network Administrator
Evolink, Sofia
Phone: +359(2)9691650
http://www.evolink.com
smime.p7s
Description: S/MIME Cryptographic Signature
___
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Странно поведение , но незнам на кое (файлов ата система, или?)
Благодаря на всички отзовали се на моят проблем. Вашите усилия и съвети
ми помогнаха частично с проблема, но за това ще пиша утре тъй като днес
не ми остана време, а сега имам по-важна работа.
Още веднъж ви благодаря!
Yordan Georgiev wrote:
Здравейте,
Подкрепям на пълно мнението на Петър. Когато видиш "?" имаш два варианта:
1. Шашнала ти се е машината - рестарт оправя нещата
2. Счупила се е файловата система - рестарт + чек на файловата система.
Надявам се да може поне за малко да спреш машината. Успех и като решиш
проблема пиши.
П.С. същия грозен момент може да се получи, ако си имал писане в
момента на изчезване на отдалечения сървър. Кърнела от къде да знае
върху, коя от двете файлови системи ще пише? дрис-дрис и имаш счупена
файлова система.
2008/10/21 Peter Pentchev <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>>
On Tue, Oct 21, 2008 at 10:14:00AM +0300, Васил wrote:
> 2008/10/21 Danail Petrov <[EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>>:
> > Здравейте,
> > монтирал съм по cifs една директория. Днес, след като сървърът
на който се
> > намира тази директория беше рестартиран и затова реших да
размонтирам и да
> > монтирам отново тази папка. Ето какво се получи в резултат на
umount /
> > mount:
[snip]
> > [EMAIL PROTECTED] www]# mount /var/www/ftp
> > mount error: mount point /var/www/ftp does not exist
[snip]
> > [EMAIL PROTECTED] www]# ls -lsa
> > total 72
> > 8 drwxr-xr-x 10 root root4096 Oct 13 14:42 .
> > 8 drwxr-xr-x 23 root root4096 Jul 2 15:54 ..
> > ? ?- ? ? ? ?? ftp
[snip]
> >
> > Някой има ли представа какво се случва?
>
> Здравей,
>
> Същото нещо ми се случи преди няколко дена ... Нито lsattr нито rm
> работят и накрая проблема се оказа от твърдият диск.
> Архивирай си всичко важно и го подмени с нов, ако не ти се чака да
> изпуши преди това.
Хм. А при теб беше ли свързано със закачане / откачане на мрежови
дялове? Ако не е, тогава е много вероятно твоят проблем просто да
е бил лош сектор на диска, който да се е паднал точно върху inode-а,
където е описанието на файла / директорията.
Конкретно в тази тема обаче според мен е много по-вероятно проблемът
на Данаил да не е всъщност върху диска, да не е в самия inode, а да е
само в това, което ядрото си мисли за този inode - ядрото да знае, че
на това място е имало mountpoint, и да не е съвсем наясно точно какво
се е случило с този mountpoint - затова започнах предишното си, доста
по-подробно, съобщение с въпрос дали е имало някакви проблеми или
зависвания или грешки при самата операция "unmount".
Поздрави,
Петър
--
Peter Pentchev [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>
[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>[EMAIL PROTECTED]
PGP key:http://people.FreeBSD.org/~roam/roam.key.asc
<http://people.FreeBSD.org/%7Eroam/roam.key.asc>
Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553
"yields falsehood, when appended to its quotation." yields
falsehood, when appended to its quotation.
___
Lug-bg mailing list
Lug-bg@linux-bulgaria.org <mailto:Lug-bg@linux-bulgaria.org>
http://linux-bulgaria.org/mailman/listinfo/lug-bg
--
С уважение,
Й. Георгиев.
WEB: http://gigavolt-bg.net/
--------
___
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
--
Danail Petrov
Sr. Network Administrator
Evolink, Sofia
Phone: +359(2)9691650
http://www.evolink.com
smime.p7s
Description: S/MIME Cryptographic Signature
___
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Странно поведение, но незна м на кое (файловата система, или?)
Здравейте, монтирал съм по cifs една директория. Днес, след като сървърът на който се намира тази директория беше рестартиран и затова реших да размонтирам и да монтирам отново тази папка. Ето какво се получи в резултат на umount / mount: [EMAIL PROTECTED] www]# cat /etc/fstab //192.168.20.2/design /var/www/ftpcifsuser=design 0 0 [EMAIL PROTECTED] www]# mount /var/www/ftp mount error: mount point /var/www/ftp does not exist [EMAIL PROTECTED] www]# pwd /var/www [EMAIL PROTECTED] www]# ls -lsa total 72 8 drwxr-xr-x 10 root root4096 Oct 13 14:42 . 8 drwxr-xr-x 23 root root4096 Jul 2 15:54 .. *? ?- ? ? ? ?? ftp [EMAIL PROTECTED] www]# lsattr ftp lsattr: No such device while trying to stat ftp [EMAIL PROTECTED] www]# ls -lsa ftp ls: ftp: No such device Някой има ли представа какво се случва? Поздрави! -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Problem s iptables
8 Kb) TX bytes:71486 (69.8 Kb) tun0 Link encap:Point-to-Point Protocol inet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:220 errors:0 dropped:0 overruns:0 frame:0 TX packets:174 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb) [EMAIL PROTECTED] root]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.3.2 * 255.255.255.255 UH0 0 0 tun0 192.168.6.0 * 255.255.255.0 U 0 0 0 eth3 192.168.3.0 192.168.3.2 255.255.255.0 UG0 0 0 tun0 192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 * 255.255.255.0 U 0 0 0 eth2 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 00 lo default 192.168.6.1 0.0.0.0 UG0 0 0 eth3 [EMAIL PROTECTED] root]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # PROJECT port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to 192.168.0.25:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to 192.168.0.25:443 -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Completed on Tue Feb 3 18:59:36 2004 # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Completed on Tue Feb 3 18:59:36 2004 # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT # PROJECT port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT # Filter NET2 to NET0 traffic -A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j ACCEPT -A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROP COMMIT Някой има ли идея къде бъркам? *Svetlin Nakov* Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Странно, или поне не разбирам как во значи.
Колега, не че нещо, ама вече започваш да прекаляваш... Изобщо правиш ли си труда да намериш сам отговора на въпросите си, или просто си решил, че за всичко можеш да flood-иш листата тук? Отговорът на повечето ти въпроси които си задал в тази листа, може да бъде намерен в рамките на 3 минути с помощта на търсачката "google". sysctl -w net.ipv4.conf.all.log_martians='0' Надявам се, че това ще е последният ти подобен въпрос . [EMAIL PROTECTED] wrote: [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# tail -n 20 /var/log/messages Oct 1 10:05:47 router kernel: [ 1085.120229] martian source 87.41.167.60 from 0.0.0.0, on dev eth0 Oct 1 10:05:47 router kernel: [ 1085.120312] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:03 router kernel: [ 1101.120980] martian destination 0.0.0.0 from 77.85.35.174, dev eth0 Oct 1 10:06:03 router kernel: [ 1101.121127] martian source 77.85.35.174 from 0.0.0.0, on dev eth0 Oct 1 10:06:03 router kernel: [ 1101.121210] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:19 router kernel: [ 1117.120594] martian destination 0.0.0.0 from 73.215.141.210, dev eth0 Oct 1 10:06:19 router kernel: [ 1117.120750] martian source 73.215.141.210 from 0.0.0.0, on dev eth0 Oct 1 10:06:19 router kernel: [ 1117.120834] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:37 router kernel: [ 1135.121151] martian destination 0.0.0.0 from 68.240.61.150, dev eth0 Oct 1 10:06:37 router kernel: [ 1135.121300] martian source 68.240.61.150 from 0.0.0.0, on dev eth0 Oct 1 10:06:37 router kernel: [ 1135.121384] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:54 router kernel: [ 1152.122237] martian source 0.0.0.0 from 127.240.27.122, on dev eth0 Oct 1 10:06:54 router kernel: [ 1152.122344] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:54 router kernel: [ 1152.123624] martian source 127.240.27.122 from 0.0.0.0, on dev eth0 Oct 1 10:06:54 router kernel: [ 1152.123707] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:54 router kernel: [ 1152.125005] martian source 127.240.27.122 from 127.240.27.122, on dev eth0 Oct 1 10:06:54 router kernel: [ 1152.125090] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:07:12 router kernel: [ 1170.122619] martian destination 0.0.0.0 from 108.174.47.159, dev eth0 Oct 1 10:07:12 router kernel: [ 1170.122769] martian source 108.174.47.159 from 0.0.0.0, on dev eth0 Oct 1 10:07:12 router kernel: [ 1170.122854] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# tail -n 20 /var/log/syslog Oct 1 10:06:03 router kernel: [ 1101.121210] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:19 router kernel: [ 1117.120594] martian destination 0.0.0.0 from 73.215.141.210, dev eth0 Oct 1 10:06:19 router kernel: [ 1117.120750] martian source 73.215.141.210 from 0.0.0.0, on dev eth0 Oct 1 10:06:19 router kernel: [ 1117.120834] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:37 router kernel: [ 1135.121151] martian destination 0.0.0.0 from 68.240.61.150, dev eth0 Oct 1 10:06:37 router kernel: [ 1135.121300] martian source 68.240.61.150 from 0.0.0.0, on dev eth0 Oct 1 10:06:37 router kernel: [ 1135.121384] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:54 router kernel: [ 1152.122237] martian source 0.0.0.0 from 127.240.27.122, on dev eth0 Oct 1 10:06:54 router kernel: [ 1152.122344] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:54 router kernel: [ 1152.123624] martian source 127.240.27.122 from 0.0.0.0, on dev eth0 Oct 1 10:06:54 router kernel: [ 1152.123707] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:06:54 router kernel: [ 1152.125005] martian source 127.240.27.122 from 127.240.27.122, on dev eth0 Oct 1 10:06:54 router kernel: [ 1152.125090] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 Oct 1 10:07:12 router kernel: [ 1170.122619] martian destination 0.0.0.0 from 108.174.47.159, dev eth0 Oct 1 10:07:12 router kernel: [ 1170.122769] martian source 108.174.47.159 from 0.0.0.0, on dev eth0 Oct 1 10:07:12 router kernel: [ 1170.122854] ll header: ff:ff:ff:ff:ff:ff:00:30:48:85:03:c3:08:00 [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# Само ме флуди това, как мога да го оправя? И вобще как се е появило? Като ли че преди го нямаше. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Problem s iptables
???, ??? ? ??? "? ???" ?? ? ?? . ? ?? ? , ? routing table default route. ??? ?? ??? ??? ??? ?. ?? ??? - ?? ? 1 ??? ?? ? 2. ?? ? ??? ?? ???, ??? ? ?? 0.0.0.0/0 (default gw). : ?? 1 ?? ? ?, ? IP 2 ?? ? ?. ?? ? ?? ??? ip 1, ?? ??/ ??? ?? ? ? ? ?? ? ?? ???. , ? ?/linux box ??? ? ??? ?? , ?? ?? ? ??? ?? ??/. ?? ?? default gw-a. ?? ?? ? ?? ??? ??? ?? ??? ? ? (BGP) ?? ?? , ?? ? ?? ? ?. ?? , ? ? ?? ? ?? , ? ? ? ? ? ?? ??? ? ?? "" ? , ? ?? ?? ? ? . , ?? ?? ?? ""/mark, ? ?? ??? ?? ?? ??? "routing" ??? ?? . ?? ? : 2 ?? ??? - ?? ?? ?, ? ? ?? ??. ?? ? ? ?? ISP1 main routing table ?? default gw ?? ? 1, ? ? routing ??? ?? ? ?? ? ?, ?? ?? Default gw ip-?? ?? ? ?. ? ???, ?? ? ?? ??? ??. Hope it helps ;-) Svetlin Nakov wrote: ?, ? ? 2 ?? ?? . ? ? ?? ? ?? IP ??. ??? ?? port forward ?? IP ?? ??? ??? ???, ??? ? ?? ?? ?? ?? ( 9024 ? 9025). ??? ???: ??? ?? default gateway ?? ?, ? ? ? (?? ?? ?), ?? ?? ?? IP (??? ?? ping, ?? ?? ??? ? ??? ?? ???). ??? ?? default gateway ?? ? (?? ?), ??? ? ? ? (?? ?? ?), ?? ?? ?? ??? IP. ?? ?? ??? ?? 9024 ? 9025 ?? ?? ? ?? ? ?? IP ?? . ?? ? ? ? iptraf ? tcpdump ? ?, ?? ?? , ? ? ?? ?? ? (? ?? ? default gateway) ?? ?? ?? ?? ?. ? ??? ?. ?? ? port forwarding ???. ???, ? ???: ? ??? ?? ??? *Svetlin Nakov* Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] [SPAM] Проблем с pptpd.
L=64 Reply from 192.168.0.1: bytes=32 time=2ms TTL=64 Ping statistics for 192.168.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 3ms, Average = 2ms C:\>ping 192.168.1.1 Pinging 192.168.1.1 with 32 bytes of data: Reply from 192.168.1.1: bytes=32 time=4ms TTL=64 Reply from 192.168.1.1: bytes=32 time=4ms TTL=64 Reply from 192.168.1.1: bytes=32 time=3ms TTL=64 Reply from 192.168.1.1: bytes=32 time=3ms TTL=64 Ping statistics for 192.168.1.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 4ms, Average = 3ms C:\>ping abv.bg Pinging abv.bg [194.153.145.104] with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 194.153.145.104: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), C:\> ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Проблем с pptpd.
Разкарай всички iptables правила. Остави всички таблици с политика ACCEPT. П.п. Така и не ми стна ясно, КАКЪВ _ТОЧНО_ е проблема? единственото което имаш към мрежа 192.168.0.0/24 е ICMP и то само към 192.168.0.1 (pptp router-a) така ли е? hint: пробвай да смениш мрежата. Направи я 192.168.1.0/24 като 192.168.1.1 бъде локалния адрес за pptp сесията, а твоят от 192.168.0.100 да стане 192.168.1.100. Тогава пробвай трафик към 192.168.0.0/24 . [EMAIL PROTECTED] wrote: Добавих правилото в firewall-a и го рестартирах, но резултата е същия. Допълнение: Имам само ICMP до 192.168.0.1, ще си оставя компютъра включен утре, за да тествам дали мога да го пингвам и него, но се опасявам че няма да стане. Та проблема ми е че нямам никакъв пакет forwarding от ppp+ към eth1. - Original Message - *From:* Danail Petrov <mailto:[EMAIL PROTECTED]> *To:* Linux Users Group - Bulgaria <mailto:lug-bg@linux-bulgaria.org> *Sent:* Tuesday, September 30, 2008 2:40 PM *Subject:* Re: [Lug-bg] Проблем с pptpd. До колкото разбирам, проблемът е, че веднъж след като се закачиш и получиш ip address 192.168.0.100 (в този случай) и когато се опиташ да достигнеш 192.168.0.3 например - не работи. Ами няма как да сработи :) Това е етернет. Няма да се впускам в подробности, ще ти кажа кое може да ти реши проблема - proxy arp. Опитай се да пуснеш такова нещо на интерфейса към вътрешната си мрежа (в твоят случай eth1 на pptp рутера). С тази команда май трябва да стане: echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp Може да не съм ти разбрал правилно върпоса де, защото от резултатите които си показал, не става много ясно кое точно _НЕ_ работи ... [EMAIL PROTECTED] wrote: Проблем с pptpd, с описаната по - долу конфигурация след като се вържа на впн-а ( от Windows машина и съм избрал, vpn-a да ми е default gateway ) имам интернет, имам пинг до 192.168.0.1 и само това, т.е. впн-а в момента работи като прокси :), ако се опитам да се вържа през вътрешното ип към хоста на който е стартиран впн сървъра резултата е time out. Вижте по - долните редове. system - Debian GNU/Linux 4.0 \n \l pptpd version - pptpd_1.3.0-2etch2_i386.deb installed: apt-get install pptpd config: [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# egrep -v '#' /etc/pptpd.conf option /etc/ppp/pptpd-options logwtmp localip 192.168.0.1 remoteip 192.168.0.100-200 [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# egrep -v '#' /etc/ppp/pptpd-options name pptpd refuse-pap refuse-chap refuse-mschap require-mschap-v2 require-mppe-128 ms-dns 192.168.0.1 ms-dns 77.70.5.1 proxyarp nodefaultroute lock nobsdcomp [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# egrep -v '#' /etc/init.d/firewall iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -F -t nat iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -j ACCEPT iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 77.70.5.130 iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 1723 --syn -j ACCEPT iptables -A FORWARD -i ppp+ -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o ppp+ -m state --state ESTABLISHED,RELATED -j ACCEPT modprobe ip_gre modprobe ip_nat_pptp modprobe ip_conntrack_pptp iptables -A INPUT -s 0/0 -d 0/0 -p udp -j DROP iptables -A INPUT -s 0/0 -d 0/0 -p tcp --syn -j DROP echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/conf/all/log_martians echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects echo 0 > /proc/sys/net/ipv4/
Re: [Lug-bg] Проблем с pptpd.
efault Gateway . . . . . . . . . : 0.0.0.0 DNS Servers . . . . . . . . . . . : 192.168.0.1 77.70.5.1 NetBIOS over Tcpip. . . . . . . . : Enabled C:\>ping abv.bg Pinging abv.bg [194.153.145.104] with 32 bytes of data: Reply from 194.153.145.104: bytes=32 time=3ms TTL=59 Reply from 194.153.145.104: bytes=32 time=4ms TTL=59 Reply from 194.153.145.104: bytes=32 time=3ms TTL=59 Reply from 194.153.145.104: bytes=32 time=4ms TTL=59 Ping statistics for 194.153.145.104: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 4ms, Average = 3ms C:\>ping d3v1ous.info Pinging d3v1ous.info [77.70.5.130] with 32 bytes of data: Reply from 77.70.5.130: bytes=32 time=2ms TTL=59 Reply from 77.70.5.130: bytes=32 time=2ms TTL=59 Reply from 77.70.5.130: bytes=32 time=2ms TTL=59 Reply from 77.70.5.130: bytes=32 time=2ms TTL=59 Ping statistics for 77.70.5.130: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms C:\>ping 192.168.0.1 Pinging 192.168.0.1 with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time=3ms TTL=64 Reply from 192.168.0.1: bytes=32 time=3ms TTL=64 Reply from 192.168.0.1: bytes=32 time=3ms TTL=64 Reply from 192.168.0.1: bytes=32 time=3ms TTL=64 Ping statistics for 192.168.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 3ms, Average = 3ms C:\>ftp d3v1ous.info Connected to d3v1ous.info. 220 77.70.5.130 FTP server ready User (d3v1ous.info:(none)): ^C C:\> C:\>ftp 192.168.0.1 Connected to 192.168.0.1. Connection closed by remote host. C:\> Linux: [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>:~# netstat -ntap | grep 21 tcp0 0 0.0.0.0:21 0.0.0.0:* LISTEN 4957/inetd _______ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] DNAT ???? ????????.
Опа, vladi wrote: хм, разбирам те, но след като това правило върши работа от локалната ти машина, защо не ползваш този dns, за всички останали машини, а отдлено правиш и автономен резолв от вътрешната мрежа, иначе не виждам причина да ти излизат днс заявки от вътрешната мрежа. като цяло съвета ми е да не ползваш foward-ери, тъйкато по този начин си подвластен на волята на доставчика, ако реши да ти спира достъпа към тракери и т.н. а относно отговора на колегата с ip route записите, не ти ли трябва и ip roule ? Ами не. Аз като фен на Occam razor, винаги избирам най-простия подход. Със сигурност има няколко вариянта в който да прекараш трафикът през няколко таблици и правила - но просто няма смисъл. Решението е просто. Имаме 2 доставчика и 2 DNS сървъра които ползваме като forwarders. Няма да има ситуация в която да се наложи използването на единия ДНС сървър от адреса на другият доставчик (ситуацията в която Росен е изпаднал, защото това просто няма как да сработи. Никой не оставя DNS сървърите си отворени за рекурсивни заявки (изключваме онова което е в кеш-а)). Затова най-лесното решение е просто да добави по един статичен маршрут в таблицата си, и по този начин, няма шанс това нещо да се случи. Това е :) Поздрави! -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] DNAT ???? ????????.
:) Rossen Antonov wrote: До тук добре! Но какво се оказва! При поредното спиране на достъпа ми до интернет през LAN мрежата ми, трафикът автоматично преминава през БТК. Съответно заявките от локалния ми DNS започват да заминават през мрежата на БТК, с IP-то на БТК, но отиват към сърверът на LAN доставчика ми. Тук идва и тънкия момент. DNS-ът на лан доставчика отговаря адекватно на заявките ми за всички домейни, които той пази в своя кеш. А за тези, които не пази отговаря с NXDOMAIN. Това пресича целия процес на resolving и страниците ми не се отварят. Доста кофти според мен, и ако е направено нарочно мисля, че е и доста подло. ip route add via operatora> ip route add via 192.168.1.1 #BTC ADSL-a Това би-трябвало да реши всичките ти проблеми :) Виждаш ли колко е просто :) -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] DNAT след рутиране.
Ммм, честно казано не схващам основната идея. Какъв е смисъла да правиш нещо такова? Ами ако адреса на mail.bg също се окаже с по-добър път през вторият доставчик? Тогава пак правиш recursive lookup и кво става? Я кажи какво точно се опитваш да направиш, защото ме съмнява, че проблемът всъщност е в самата идея :) Иначе, ако не ме лъже паметта, iproute2 също има възможност да прави NAT. Можеш да направиш така, че всичко което попадне в определена таблица да бъде NAT-вано към определен адрес (това което ти искаш да направиш), но пак казвам според мен концепцията ти нещо е грешна. Поздрави! Rossen Antonov wrote: 2008/8/20 Danail Petrov <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>> Здравей, аз нещо не успях да ти схвана въпроса, затова ще те попитам. Искаш да направиш така, че ако пакетът поеме по пътя ПРЕЗ вторият интернет доставчик, то next-hop адреса (адреса на рутера към който да се обърне за маршрутизация) да бъде различен? Това ли е което искаш да направиш? Благодаря, че питаш въпреки неяснотата ми. Искам, ако пакетът поеме по пътя ПРЕЗ втория интернет доставчик, да сменя IP адреса, към който отива (destination adress). Примерно: пишеш yahoo.com <http://yahoo.com>, но точно в този момент пътят до yahoo.com <http://yahoo.com> е през втория интернет доставчик и преди да излезе пакета, искам да му подменя destination ip-то и да го пратя към mail.bg <http://mail.bg>. Rossen Antonov wrote: Банда здравейте, Машината ми има достъп до интернет през два доставчика. С цел прескачане на някой проблеми искам да реализирам DNAT след рутиране, т.е. ако определени заявки в конкретния момент излизат през втория интернет доставчик, то destination-а им да се променя. Ако излизат през първия - да не се пипат. В зависимост от конкретни условия routing таблицата ми се мени с един два реда, забивани статично. За завки генерирани от локалната машина решението си доиде от самосебе си: iptables -t nat -A OUTPUT -o eth2 -d $IP_ADDR1 -j DNAT --to-destination $IP_ADDR2, където eth2 е лан картата към втория доставчик. За съжаление в документацията на iptables пише, че това нещо не може да бъде направено за пакети, които не са генерирани от локалната машина, а се рутират през нея. В PREROUTING веригата не мога да добавя такова правило, защото не е ясно кой е OUTGOING (-o) интерфейса. В POSTROUTING веригата пък DNAT-а не е позволен. Дали някой е намирал забиколен начин за реализация на подобна идея? Поздрави: --Росен ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] DNAT след рутиране.
Здравей, аз нещо не успях да ти схвана въпроса, затова ще те попитам. Искаш да направиш така, че ако пакетът поеме по пътя ПРЕЗ вторият интернет доставчик, то next-hop адреса (адреса на рутера към който да се обърне за маршрутизация) да бъде различен? Това ли е което искаш да направиш? Rossen Antonov wrote: Банда здравейте, Машината ми има достъп до интернет през два доставчика. С цел прескачане на някой проблеми искам да реализирам DNAT след рутиране, т.е. ако определени заявки в конкретния момент излизат през втория интернет доставчик, то destination-а им да се променя. Ако излизат през първия - да не се пипат. В зависимост от конкретни условия routing таблицата ми се мени с един два реда, забивани статично. За завки генерирани от локалната машина решението си доиде от самосебе си: iptables -t nat -A OUTPUT -o eth2 -d $IP_ADDR1 -j DNAT --to-destination $IP_ADDR2, където eth2 е лан картата към втория доставчик. За съжаление в документацията на iptables пише, че това нещо не може да бъде направено за пакети, които не са генерирани от локалната машина, а се рутират през нея. В PREROUTING веригата не мога да добавя такова правило, защото не е ясно кой е OUTGOING (-o) интерфейса. В POSTROUTING веригата пък DNAT-а не е позволен. Дали някой е намирал забиколен начин за реализация на подобна идея? Поздрави: --Росен ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] DNAT след рутиране.
Ако имаме следната ситуация: Доставчик 1 - закачен на eth0 с адреси *x.x.x.0/30* (където x.x.x.2 е ip-то при теб, a x.x.x.1 е ИП-то на доставчика, който ти ползваш за gw) Доставчик 2- закачен на eth1 с адреси *y.y.y.0/30* (където y.y.y.2 е ip-то при теб, a y.y.y.1 е ИП-то на 2рия доставчик, който ти ползваш за gw) Ако правилно съм разбрал въпросът ти, най-вероято имаш някакъв маршрутизиращ протокол (BGP?) който определя кой destination е по-добър. Следователно част от пакетите ще излизат през eth0 а останалите през eth1 (според зависи). Така, ако това което искаш да направиш е всичко което излиза през eth1 да бъде изпращано НЕ към y.y.y.1 а към друг адрес (a.b.c.d), то можеш да опиташ следното: *iptables -t mangle -I OUTPUT -o eth1 -j MARK --set-mark 20* # /Всичко което излиза от eth1 бива маркирано с локална марка 20/ *echo 20 test > /etc/iproute2/rt_tables* # /Създаваме нова маршрутизираща таблица различна от main/ *ip rule add fwmark 0x14 table test* # /Създаваме policy based routing чиято функция е да преглежда всички пакети, и онези който са маркирани с марка 20 (0x14 in hex) да бъдат маршрутизирани през таблицата test вместо основната маршрутизираща таблица (main)/ *ip route add table test default via a.b.c.d *# /Изпращаме всички пакети попаднали в тази маршрутизираща таблица да излизат през адрес a.b.c.d / Незнам дали съм схванал правилно въпросът ти, но ако е така - то това би-трябвало да работи. Пробвай и сподели резултатите! Поздрави! Rossen Antonov wrote: Банда здравейте, Машината ми има достъп до интернет през два доставчика. С цел прескачане на някой проблеми искам да реализирам DNAT след рутиране, т.е. ако определени заявки в конкретния момент излизат през втория интернет доставчик, то destination-а им да се променя. Ако излизат през първия - да не се пипат. В зависимост от конкретни условия routing таблицата ми се мени с един два реда, забивани статично. За завки генерирани от локалната машина решението си доиде от самосебе си: iptables -t nat -A OUTPUT -o eth2 -d $IP_ADDR1 -j DNAT --to-destination $IP_ADDR2, където eth2 е лан картата към втория доставчик. За съжаление в документацията на iptables пише, че това нещо не може да бъде направено за пакети, които не са генерирани от локалната машина, а се рутират през нея. В PREROUTING веригата не мога да добавя такова правило, защото не е ясно кой е OUTGOING (-o) интерфейса. В POSTROUTING веригата пък DNAT-а не е позволен. Дали някой е намирал забиколен начин за реализация на подобна идея? Поздрави: --Росен ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Amavis problem
Аз имам такъв setup, но за щастие такъв проблем при мен не се забелязва. Върни някаква обратна информация когато намериш начин да го оправиш! Успех! Angel Kolev wrote: Някой който ползва amavis+clamav+postfix да му е изкачал наскоро този проблем: AMAVIS[10482]: (!) Requesting process rundown, task exceeded allowed time during waiting for input from client AMAVIS[17690]: (17690-01) (!) policy protocol: INVALID AM.PDP ATTRIBUTE LINE: CONTSCAN /var/lib/amavis/tmp/amavis-20080708T120033-10481/parts\n Доколкото разбрах AM.PDP e AMAVIS POLICY DELEGATION PROTOCOL и го ползва да си говорят разните там helpers с демона на амавис. Както гледам в грешката добавя символ за нов ред отзад на пътя до тая директория. Незнам защо реши да ми дава тази грешка днес, но ситуацията е кофти и не ни работи мейла, а за тази грешка гугъл мълчи. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Samba+ldap problem
Добре де, а какви стойности са имали тези полета? Логично е, "проблемът" да е бил в тях: shadowInactive Attribute Contains the number of days of inactivity that is allowed for the user. shadowMax Attribute Contains the maximum number of days a password can be valid. shadowMin Attribute Contains the minimum number of days between shadow changes. shadowWarning Attribute Contains the number of days before the password expires to warn the user. Поздрави! Angel Kolev wrote: "Password last set","Password can change" и "Password must change" ги махах всеки път като се опитам да се логна с някой акаунт, но самбата пак ги слагаше в LDAP-a. Проблемът се оправи като махнах полетата "shadowInactive", "shadowMax", "shadowMin" и "shadowWarning". Незнам защо точно така се оправи всичко, защото тези полета винаги си ги е имало и не е имало проблем. ** Danail Petrov wrote: Без да искам изпратих предишното писмо преди да добавя още няколко реда. Покажи също така, какво казва следната команда: pdbedit -L --verbose -u test.user Там най-отдолу имаш: Password last set:Thu, 24 Jan 2008 18:29:20 GMT Password can change: Mon, 23 Apr 2007 15:53:33 GMT Password must change: Fri, 13 Dec 2008 22:45:51 GMT Виж, може би там се крие разковничето.. Angel Kolev wrote: Здравейте, Имам 20-ина уиндоуски машини които са в домейн samba+openldap. Работят си така повече от година, но днес се появи някакъв проблем. Когато някой от потребителите иска да се логне в домейна уин-а му поисква да си смени паролата, но в момента в който я смени всичко се повтаря. Въпреки, че ги трия, полетата "*sambaPwdCanChange <http://10.0.8.13/phpldapadmin/schema.php?server_id=0&view=attributes&viewvalue=sambaPwdCanChange>" и "**sambaPwdMustChange <http://10.0.8.13/phpldapadmin/schema.php?server_id=0&view=attributes&viewvalue=sambaPwdMustChange>**" се появяват всеки път в LDAP базата след като потребителят се е опитал да влезе и съответно му е поискало смяна на парола. Прилагам тук няколко реда от лога на самбата, които имат някаква връзка с процеса. [2008/07/04 11:26:26, 0] auth/pampass.c:smb_pam_account(573) smb_pam_account: PAM: UNKNOWN PAM ERROR (12) during Account Management for User: test.user [2008/07/04 11:26:26, 2] auth/pampass.c:smb_pam_error_handler(73) smb_pam_error_handler: PAM: Account Check Failed : Authentication token is no longer valid; new one required. [2008/07/04 11:26:26, 0] auth/pampass.c:smb_pam_accountcheck(781) smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User **test.user**! [2008/07/04 11:26:26, 3] smbd/sec_ctx.c:pop_sec_ctx(339) pop_sec_ctx (65534, 65534) - sec_ctx_stack_ndx = 0 [2008/07/04 11:26:26, 3] auth/auth.c:check_ntlm_password(299) check_ntlm_password: PAM Account for user [**test.user**] FAILED with error NT_STATUS_PASSWORD_MUST_CHANGE * ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg _______ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Samba+ldap problem
Дай повече информация от LDAP-а: ldapsearch - -x -b 'dc=domain,dc=xx' -D 'admin' -w '(cn=)' Разгледай sambaAcctFlags атрибута. Какви стойности има? Angel Kolev wrote: Здравейте, Имам 20-ина уиндоуски машини които са в домейн samba+openldap. Работят си така повече от година, но днес се появи някакъв проблем. Когато някой от потребителите иска да се логне в домейна уин-а му поисква да си смени паролата, но в момента в който я смени всичко се повтаря. Въпреки, че ги трия, полетата "*sambaPwdCanChange <http://10.0.8.13/phpldapadmin/schema.php?server_id=0&view=attributes&viewvalue=sambaPwdCanChange>" и "**sambaPwdMustChange <http://10.0.8.13/phpldapadmin/schema.php?server_id=0&view=attributes&viewvalue=sambaPwdMustChange>**" се появяват всеки път в LDAP базата след като потребителят се е опитал да влезе и съответно му е поискало смяна на парола. Прилагам тук няколко реда от лога на самбата, които имат някаква връзка с процеса. [2008/07/04 11:26:26, 0] auth/pampass.c:smb_pam_account(573) smb_pam_account: PAM: UNKNOWN PAM ERROR (12) during Account Management for User: test.user [2008/07/04 11:26:26, 2] auth/pampass.c:smb_pam_error_handler(73) smb_pam_error_handler: PAM: Account Check Failed : Authentication token is no longer valid; new one required. [2008/07/04 11:26:26, 0] auth/pampass.c:smb_pam_accountcheck(781) smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User **test.user**! [2008/07/04 11:26:26, 3] smbd/sec_ctx.c:pop_sec_ctx(339) pop_sec_ctx (65534, 65534) - sec_ctx_stack_ndx = 0 [2008/07/04 11:26:26, 3] auth/auth.c:check_ntlm_password(299) check_ntlm_password: PAM Account for user [**test.user**] FAILED with error NT_STATUS_PASSWORD_MUST_CHANGE * ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Samba+ldap problem
Без да искам изпратих предишното писмо преди да добавя още няколко реда. Покажи също така, какво казва следната команда: pdbedit -L --verbose -u test.user Там най-отдолу имаш: Password last set:Thu, 24 Jan 2008 18:29:20 GMT Password can change: Mon, 23 Apr 2007 15:53:33 GMT Password must change: Fri, 13 Dec 2008 22:45:51 GMT Виж, може би там се крие разковничето.. Angel Kolev wrote: Здравейте, Имам 20-ина уиндоуски машини които са в домейн samba+openldap. Работят си така повече от година, но днес се появи някакъв проблем. Когато някой от потребителите иска да се логне в домейна уин-а му поисква да си смени паролата, но в момента в който я смени всичко се повтаря. Въпреки, че ги трия, полетата "*sambaPwdCanChange <http://10.0.8.13/phpldapadmin/schema.php?server_id=0&view=attributes&viewvalue=sambaPwdCanChange>" и "**sambaPwdMustChange <http://10.0.8.13/phpldapadmin/schema.php?server_id=0&view=attributes&viewvalue=sambaPwdMustChange>**" се появяват всеки път в LDAP базата след като потребителят се е опитал да влезе и съответно му е поискало смяна на парола. Прилагам тук няколко реда от лога на самбата, които имат някаква връзка с процеса. [2008/07/04 11:26:26, 0] auth/pampass.c:smb_pam_account(573) smb_pam_account: PAM: UNKNOWN PAM ERROR (12) during Account Management for User: test.user [2008/07/04 11:26:26, 2] auth/pampass.c:smb_pam_error_handler(73) smb_pam_error_handler: PAM: Account Check Failed : Authentication token is no longer valid; new one required. [2008/07/04 11:26:26, 0] auth/pampass.c:smb_pam_accountcheck(781) smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User **test.user**! [2008/07/04 11:26:26, 3] smbd/sec_ctx.c:pop_sec_ctx(339) pop_sec_ctx (65534, 65534) - sec_ctx_stack_ndx = 0 [2008/07/04 11:26:26, 3] auth/auth.c:check_ntlm_password(299) check_ntlm_password: PAM Account for user [**test.user**] FAILED with error NT_STATUS_PASSWORD_MUST_CHANGE * ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Too many open files in....
Marian Marinov wrote: Много е вероятно apache-а ти да е бил рестартиран с много нисък лимит за opened files. напиши ulimit -a виж лимита с които си в момента след което рестартирай apache-a. Това с потребителя на apache обаче трябва да го напишеш. Поздрави Мариян On Sun, 8 Jun 2008 21:15:45 +0300, deb4o wrote Не мога да разбера от къде започна последно време php-то да ми вади такива съобщения Too many open files in line X on sds.php и то на повечето сайтове на пхп. а те са леки сайтове на дали иклудват повече от 5-10 файла на веднъж. Търсих в гугъл но нещо не намерих информация. Някой сблъсквал ли се е с такъв проблем ? ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Stara Zagora -rektorat
Струва ми се, че ще е най-добре някой който има възможност да отиде да вземе точните GPS координати и да ги пусне тук. Така ще избегнем на 100% всякакви недоразумения ;-) Иначе ЕВАЛА за организацията и поетия ангажимент!!! Ще се опитам да направя всичко възможно да дойда, дори може и да се опитам да ви разкажа малко повече за динамичните маршрутизиращи протоколи в Линкус, IPSec в Линкус, Layer2/3 VPN с помоща на OpenVPN и те така. Общо взето мога да се опитам да разкажа за всичко свързано с networking-а в Линукс. Само дано успея И все пак, би било добре да върнете някакви коментари относни лекциите. Дори сега ми идва на ум следната идея. Тъй като до сега единствено Мариян беше този който каза за какво иска и може да говори, но след като е твърде вероятно да не дойде, би било добре всеки от нас да предложи за какво може да разкаже и съответно какво би искал да слуша. Така ще видим къде има най-много пресечни точки, и ще се организираме. Все пак имаме по-малко от седмица за да обсъдим това ... Ами това е от мен! Поздрави, Данаил Петров Лина Йорданова wrote: Здравейте, Моля ви, не се обърквайте по отношение на мястото на срещата. :) Тя е в Ректората, който се намира извън града, в началото на Стара Загора в западния край. Непосредствено след табелата на града след с. Богомилово на 500 м, ако идвате от западна посока и след кв. Железник, ако идвате от изток. Там са също Аграрен, Ветеринарномедицински факултет и ветеринарни клиники. На ул."Армейска" 11 се намира педагогическия факултет на универистета, но студентките са вече в сесия. Би било добре хората без осигурена нощувка за 7.06.08 да ми се обадят. В Студентски общежития таксата е вдигната на 10 лв. от 1.06.08. Осигурила съм засега около 15 места+възможностите за гостуване у нас и у колегата Желев. Проучвам въпроса и за Българо-германския учебен център. За нощувките ми звънете на 0886263873 - Йорданова, за да не занимаваме целия лист с тези проблеми. Трябва да ми препоръчате и работно време на барчето. Например, на обяд на 07.06, към 16-17 часа, за закуска на 8.06 и други такива. Поздрави ЛЙ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] qmail + spamassassin - блоки ранa мрежа
Здравей, дай повече информация за тоя qmail. Как работи? Използваш ли daemontools,qmailscanner и т.н.? Мисля че най-лесният вариант е да се опише IP адреса във файла tcp.smtp (ако използваш tcprules) По този начин би трябвало писмото да не стигне до spamassassin-a а директно да се relay-не . Това според мен обаче не е никакво решение на проблема а дори напротив. Но в случая твоят въпрос не е как да се справиш със спам-а, а как да направиш нещо конретно. Надявам се да съм бил полезен! Поздрави! foxy202 wrote: Здравейте , имам инсталация на qmail + spamassassin + проблема е че прекалено добре работят :) имам рутер зад които има ЛАН и много често IPто на рутера се появява в http://www.spamcop.net/ и разбира се от мрежата зад рутера не могат да изпращат писма защото са блокирани @4000483e664a05ad9ef4 rblsmtpd: 88.XXX.YYY.XXX pid 28251: 451 Blocked - see http://www.spamcop.net/bl.shtml?XXX.XXX.XXX.XXX <http://www.spamcop.net/bl.shtml?XXX.XXX.XXX.XXX> искам да накарам qmail-a и spamassassin да приемат и изпращат писма от това IP / XXX.XXX.XXX.XXX / въпреки че фигурира в spamcop.net... дайто идея как може да се направи това аз пробвам с trusted_networks на spamassassin но нищо не се получава Поздрави Емо ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Къде е скелета
Здравейте, преди малко говорих с приятел който има хотел в Стара Загора. Може да ни предложи следното нещо: Конферентна зала с опция да събере около 50човека. Ако е малко пространството, може да се освободи целият ресторант и масите да бъдат пренаредени както намерим за добре. При първоначалните ни разговори "условията" са следните: Около 30лв на човек за обяд + вечеря и 20лв за нощувка в хотела. Или иначе казано по ~50лв на човек. Конферентната зала ще ни бъде предостъпена безплатно. Ако считате предложението за разумно - нека го обсъдим. Поздрави! Georgi Akabaliev wrote: Здравейте! Освен това и Отворено общество в Стара Загора фалира и залата в която досега провеждахме срещите вече не съществува. Имаше една група младежи в местния Тракийски университет. Не са ли навити да проучат при тях нещата и евентуално да организират и хостват срещата в университета? Гого -Original Message- From: [EMAIL PROTECTED] on behalf of Georgi Georgiev Sent: Чт 15.5.2008 г. 08:48 To: Linux Users Group - Bulgaria Subject: RE: [Lug-bg] ??: ? ??? Тука съм, ама май не сме подготвени за среща тази година. Сигурно могат много причини да се изброяват и обсъждат, има и общи, и лични (мен тука един болен старец ми е сега проблем), може би трябва да се съберем със Спас и Гого и да предложим нещо. Скелета -Original Message- From: [EMAIL PROTECTED] on behalf of Александър Шопов Sent: Ср 14.5.2008 г. 21:35 To: lug-bg Subject: [Lug-bg] ОТ: Къде е Скелета Къде е Скелета? Има ли контакт с него? ал_шопов ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Niakoi da dade ideia za preprashtane na izhodiashtata poshta ot daden domain kam edin opredelen email?
???, Nikolay Bogdanov Toshev wrote: Niakoi da dade ideia za preprashtane na izhodiashtata poshta ot daden domain kam edin opredelen email? ??? ???, ?? ?? ? ??-? example.com, ? ? ?? ? ?? [EMAIL PROTECTED] ??? [EMAIL PROTECTED] ? ?? , ?? ?? ??? ([EMAIL PROTECTED]) ? ?? ??-? ?? ?? ?? ([EMAIL PROTECTED]) ?? ([EMAIL PROTECTED])? ? ??? ? ?, ?? [EMAIL PROTECTED] ??? ? ??? ?? [EMAIL PROTECTED], ?? email ?? ?? ?? ([EMAIL PROTECTED]) ?? ? ??? Znam che e stranno kato iskane - no zachestiavat podobni iskania ot shefovete na razni klientski firmi i pochnah da se rovia v internet. izpolzvam sendmail Pozdravi Nikolay Toshev WebDesign Ltd. tel: 971 02 48 e-mail: [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]> http://www.webdesignbg.eu/webprojects/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] service name za dsl provider (pppoe)
Здравей, > DVD wrote: Явно си от записващите DVD-та :-D Здравейте! Отскоро в локалната мрежа, чийто член съм, се появи втори доставчик на интернет и сега има проблеми със coonectването. Админа изрично ни информира, че трябва да си доконфигурираме настройките на връзката като прибавим името на доставчика (service name). Имам Debian и Ubuntu, и на двете настройките са направени чрез pppoeconf, нямам roaring penguin. Търсих из форумите, но там някои съветваха да се коригира файл /etc/ppp/pppoe.conf, който го няма в Debian/Ubuntu. Имаше и един пост точно със същия проблем, но никой не беше отговорил :( Някакви идеи? :) Аз така и не ти разбрах въпроса? Ако искаш да видиш името на доставчика - pppoe -A ще ти изкара всички в сегмента които плюят така наречените PADO пакети. От документацията на pppoe ще разбереш, как можеш да използваш и service name-а! (ако това е което искаш да направиш :)) ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Quagga bgpd reload configuration
Здравей, Stefan Gardev wrote: Разбира се, това го знам и използвам конзолата, но и това не помага, тъй като при премахване на съответен ред от access листа с no ... примяна също не се наблюдава и новият анонс така и не се появява в другите LG на провайдърите. По това разбирам, че използваш Quagga за протокола BGP. Въпросът който беше задал беше по-различен. Първо, не знам защо използващ access-list-и за описване на ipv4 префикси. За целта е най-подходящо използването на prefix-lists. Когато правиш промени по изходящите си анонси, трябва да напишеш следната команда: clear ip bgp * soft out Едва след рестарт на демона има резултат, което не върши работа, тъй като трафика спира за известно време. Графиката спира тъй като протоколът се нуждае от около 30-40секунди за пълна конвергенция (особенно ако имаш няколко доставчика които ти анонсират пълната интернет таблица) В много форуми и документи е писано, че няма как да стане поради различни причини. Както и да е, вече използвам openbsd и openbgpd и всичко е ОК (bgpctl reload) :) кое точно няма как да стане? :) kill -HUP `pidof bgpd` <- пробвай това. Поздрави, Данаил Петров 2008/3/15, Danail Petrov <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>>: Quagga има cli интерфейс който работи с tcp socket. Достатъчно е просто да го конфигурираш, и да се закачиш към съответния tcp порт. От там нататък конфигурацията е идентична с тази на Cisco. За повече информация: http://www.quagga.net/docs/docs-info.php Stefan Gardev wrote: Здравейте колеги, Има ли начен за презареждане на конфигурационният файл без да се рестартира демона, както и при cisco: copy startup-configuration running configuration Благодаря! ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org <mailto:Lug-bg@linux-bulgaria.org> http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com <http://www.evolink.com> icq uin 989677 ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org <mailto:Lug-bg@linux-bulgaria.org> http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Quagga bgpd reload configuration
Quagga има cli интерфейс който работи с tcp socket. Достатъчно е просто да го конфигурираш, и да се закачиш към съответния tcp порт. От там нататък конфигурацията е идентична с тази на Cisco. За повече информация: http://www.quagga.net/docs/docs-info.php Stefan Gardev wrote: Здравейте колеги, Има ли начен за презареждане на конфигурационният файл без да се рестартира демона, както и при cisco: copy startup-configuration running configuration Благодаря! ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] vchkpw, mysql.log, tcpdump - с транни опити за оторизация
Здравей, това, че POP сървъра не получава никакви заявки нищо не означава. Според мен, това просто е проверка от страна на qmail-а за да разбере има ли такъв потребител (при получаването на ново писмо). Кое точно те притеснява и какво означава "странни заявки за оторизация" ? Различни от нормалните - т.е. някой се опитва по някакъв начин да ти ровичка из базата или!? Поздрави! Светльо С. wrote: Здравейте! Имам пощенски сървър със qmail, vpopmail + mysql. В лог-а на mysql-а видях много странни заявки за оторизация на имена които никога не са били регистрирани като потребители - т.е. евентуално на някоя станция да е останал конфигуриран акаунта и да си прави проверки. Реших че може би е някаква зловредна програмка и пуснах tcpdump на всички пакети към 110-ти порт, за да установя хоста от който идват подобни заявки. Е да, но за моя огромна изненада нито едно от тези имена не се появи!. 110-ти порт съм го слушал на всички адреси на които отговаря машината включително на 127.0.0.1. През времето в което е бил пуснат минаваха многократни опити за оторизация на потребители със странни имена. IMAP сервиза беше спрян. Някакви идеи за причината или насоки как да продължа да я търся? Благодаря! ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] информация за паметта
top? Lazarov wrote: Здравейте, има ли начин да разбера количеството заета рам от работеща пробрама? ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] mail server nat
Здрасти, в какво се изразява терминът "реже" Като пробваш да се закачиш към него на порт 25, и ти дава таймаут - така ли? Angel Kolev wrote: Здравейте. Имам един проблем с нат на мейл сервера. Сменям машината, която играе роля на рутер с друга такава. Направих като за начало само DNAT/SNAT и пощенския сървър си работи и приема и предава, обаче единствено abv.bg ме реже (просто ми дава таймаут без никакъв отговор). Всички дрруги пощи, които се сетих и пробвах ме пускат. Притеснява ме това, че проблема е в рутера, защото ако върна стария абв ме пуска веднага. Няколко пъти гледах разликата м/у iptables на двата и немога да видя такава, а и няма логика нещо. Ако някой е имал подобен проблем или може да даде акъл къде да погледна, защото вече не се сещам нищо, моля да пише. Поздрави ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] приротитизиране на трафик
[EMAIL PROTECTED] wrote: Здрасти, поне според мене ше трябва да намалиш трафика на потребителите отзад. като така ще има място за заявките към уеб сървъра. Поне така като гледам когато ти са натоври интернет връзката, всъщост се запълва при доставчика. т.е. както и да приоритизираш когато няма свободен канал към тебе, клиенти отвънка няма да могат да те достъпват като хората... За да намали изходящият трафик на потребителите зад машината, то той трябва да го направи именно на изхода към интернет доставчика (тъй като queuing се прави _само_ на изход от интерфейс-а). Не ми е известен метод за "police"-ване на трафика в Линукс, така че остава единствено този вариянт на който той се е спрял. поздрави Y.Boikov :wq е този ред по-скоро трябва да бъде --dport 80 Този ред който той е описал, е точно така както трябва да бъде --sport 80, тъй като това е трафика който излиза от линукс машината (и по-точно от HTTP/WWW услугата - Apache) със сорс порт 80/tcp. Поздрави! -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] приротитизиране на трафик
Kamen wrote:
helper () {
...
iptables -t mangle -A $CHAIN -p tcp -m tcp --sport 80 --source
my-domain.com -j MARK --set-mark 0x2
iptables -t mangle -A $CHAIN -p tcp -m tcp --sport 80 -j RETURN
...
}
tc class add dev ${WAN_IF} parent 1:1 classid 1:10 htb rate 64kbit ceil
64kbit prio 0
tc class add dev ${WAN_IF} parent 1:1 classid 1:11 htb rate 64kbit ceil
${UPLINK} prio 1
tc filter add dev ${WAN_IF} parent 1:0 protocol ip prio 1 handle 1 fw
classid 1:10
tc filter add dev ${WAN_IF} parent 1:0 protocol ip prio 2 handle 2 fw
classid 1:11
...
}
Здравей,
да си призная, не съм пипал tc от години, но си мисля, че си объркал
приоритетите на класовете. Така като гледам, си вкарал трафика от WEB
сървъра във клас 1:11, който има по-нисък приоритет (prio 1) от клас
1:10 (Prio 0) . Мисля, че там ти се крие разковничето!
Цитат:
"The class with the lowest prio, has the highest priority. If 2 classes
are asking for extra bandwidth (after they received the rate), the class
with the lowest prio will get all the bandwidth. The delay of the class
with the lowest priority will also be the lowest."
Поздрави,
Данаил Петров
--
Danail Petrov
Senior Network Administrator
Evolink, Sofia
+359(2)9691650
www.evolink.com
icq uin 989677
smime.p7s
Description: S/MIME Cryptographic Signature
___
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Openvpn - не минава траффик
Здравей, нямам много опит с OpenVPN,но познавайки работата на IPSec, това ми изглежда като проблем в който получаваш трафик от source адрес, който явно не е описан като "interesting traffic".В повечето случай, този трафик просто се рутира без да бъде криптиран (или аутентикиран), но има възможност този трафик също така и да се дропва. Кой трафик си описал като интересен? До колкот знам ,за да изгради SA, IPSec трябва да има идентични настройки относно интересния трафик от двете страни (Тоест ако от едната страна си дефинирал за интересен трафик source: 10.1.1.0/24 dst: 192.168.0.0/24, то от другата страна трябва да бъде дефиниран като : source 192.168.0.0/24 dst 10.1.1.0/24) Дано съм бил полезен... Поздрави, Данаил Петров Nikolaj wrote: Сагата продъолжава... Седнахме да го мъчим тоя ВПН и взехме, че го подкарахме. Тоест успяхме да терминираме тунел и да го вдигнем (използваме ПАМ за аут. механизъм). Всичко е наред до тук. Но не може да мине никакъв трафик, нито пинг, нито каквото и да е било. Ето какво пише в лога на сървъра. MULTI: bad source address from client [10.1.1.2], packet dropped Четох по мейл листата на опенвпн, че това се получавало когато пакетът идва от машина, която се намира _ЗАД_ машина-клиент на опенвпн. openvpn-server <=> openvpn-client <=> машина зад клиента. Само дето нямаме схема като горната ами си имаме чист tun тунел. И рутирания има. Пробвахме някакви гимнастики със iroute опцията( да се сетне "вътрешен" за опенвпн път и някви такива дивотии само дето и те не помогнаха). Впн-а тунел-а върви по TCP ако има значение, и клиента е windows машина. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Bozhidar Maramski wrote: Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен Избивай си го или си го набивай на друго място Божидаре, нямаш никакво право да проявяваш такова аругантно отношение към хората които се опитват да ти помогнат. Най-малкото от уважение към останалите хора които четат тази листа, е редно да се съобразяваш с това което пишеш тук. Такова поведение може би се толерира в IRC или други подобни места, но тук със сигурност ще удариш на камък. On Mon, 03 Sep 2007 19:26:19 +0300, Georgi Alexandrov <[EMAIL PROTECTED]> wrote: Bozhidar Maramski wrote: iptables не е много подходящ за това, което искаш да направиш, но ако все пак държиш Тук Георги визираше самата реализация, и това как ще се процесва всяка една заявка, а не метода по който ще се забрани. Наистина е така: Кое е така? :) -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `myfirstorgasm.org' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Та как да вкарам /etc/blacklist файла в iproute ? Това единствено показва, че не си си направил труда да отвориш, и да прочетеш няколко реда от документацията на iptables. Ти какво искаш всъщност да напрвиш или не си сигурен? Или си някакъв безмозъчен автоматичен copy-paster? Мисля че е редно да сме по-толерантни към подобен тип хора, все пак не се очаква всички които пишат в тази листа да са големи експерти. P.S. Днес да не е ден на идиотите? И сега накратко, ако файла съдържа имена на домейни, то трябва да си направиш труда, да resolve-неш техните IP адреси преди да ги подадеш като параметри на Iptables/iproute2. Това също може лесно да се реализира със скрипт, но е хубаво когато търсиш решение на подобен проблем, да бъдеш максимално изчерпателен. Можеше да копираш няколко реда от blacklist файла за да добием информация за струкутрата му, и тогава със сигурност Георги щеше да ти покаже по какъв начин точно да 'parse-неш' информацията. Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] OpenWRT/dd-wrt + adsl/pptp dual wan load balancing
До колкото знам, има възможност 4те ЛАН интерфейса на този рутер, да се ползват като 4 WAN интерфейса, а другият който в момента е надписан като WAN да стане LAN. В тази ситуация, закачаш 4те порта към 4 различни доставчици, и си готов. Всичко останало е въпрос на софтуерна конфигурация (iproute2 + iptables и т.н.) Поздрави, Данаил Петров Spas Pavlov wrote: On Monday 20 August 2007 23:26:56 Qblue wrote: Някой опитвал ли е подобна схема: ADSL(БТК) + PPTP (към LAN доставчик) през някой WRT54GL или WRT54GS? С load balncing и shaping разбира се. Изобщо възможна ли е подобна функционалност накуп? Явор Атанасов Не съм го пробвал, но няма причина да не може да стане. След като знаеш как да го направиш с Линукс (мисля че знаеш), може да стане и на Линксис-а. За теб ще бъде като различна дистрибуция (т.е. такава каквато до сега не си ползвал). На различни места са конф. файлове и скриптовете. На OpenWRT WHITE RUSSIAN 0.9 изброих над 900 пакета, включително и iproute2/tc и забележете дори asterisk, quagga, squid, sqlite, php...и какво ли още не. Както каза Владо Витков, сложното ще е да се разделят 4-те LAN-a освен ако не ти трябва да даваш нет по тези портове, т.е ако ще даваш само през wireless. Някъде обаче по техните страници съм виждал схема със vlan-ите, само трябва да я намериш. Спас Павлов П.П. Доколкото си спомням имаше 2 бр. имиджа, един със PPPoE, а втория със PPTP (май). ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Linux friendly WiFi
Благодаря ти Сашо, за смисления и аргументиран отговор! Alexander Shopov wrote: Здравей, чисто от любопитство ми се иска да ти задам няколко въпроса: Няма проблеми. Ще гледам да съм прекалено подробен и да си представя просто мнението, без да го налагам. Имай предвид, че обикновено баш на тези две се провалям. * Wireless PC Card: 1. Свободни драйвери. 2. Колкото може по-свободен фърмуеър. (нямам представа какво е положението). Това защо? :) Драйверите трябва да са свободни, защото директно ще бъдат включени на някакъв момент в дистрибуцията и хардуера ще се поддържа нормално. Смея да искам такова нещо, защото доколкото виждам - имам реална възможност да имам подобен хардуер, а вече въобще не ми се занимава да се правя на велик хакер и да пускам шантави драйвери а Уиндоус с емулация и да се чудя като се обнови ядрото дали всичко ще тръгне. (Правил съм го - тръгва, ама не ми е кеф). Свободният фърмуеър, освен простото задоволсто да е свободен и той, дава следните предимства (или поне в моите мисли): - малко по-добър контрол върху хардуера. Вероятно няма да мога да напиша и ред за съответната машина, но все някакви параметри ще могат да бъдат изменяни. - по-дълъг живот на продукта, защото все ще има кой да го ръчка фърмуеъра. - повече хора, които ще се интересуват от конкретното желязо и ще дават акъли. - но най-вече - не заради нещо конкретно в момента, а заради потенциалните неща, които могат да бъдат направени, нещата, които другите ще се сетят да направят (дори просто да се изфукат по манияшки), а аз дори няма да съм се сетил за тях. 2. Да има възможност да се подмени фърмуеъра с друг, за предпочитане някакво линуксче, но и БСД се ядва. А това? Имам чувството че понякога се вманиячаваме повече от колкото е необходимо. Напоследък хората са луднали да си пускат линукс на всичко което докопат: телефони, мобилни джаджи (стил pocket-pc), телевизионни игри да не говорим, че бяха направили тостер който да работи с линукс О, безспорно си прав, определено удоволствието да пуснеш линукс е трудно за обяснение. От друга страна - аз от линукс разбирам (или поне повече отколкото от други ОС), много ми е по-лесно да работя с busybox, отколкото да уча поредния език или нещо подобно. Все пак, има голяма разлика между това нещото да тръгне и след това да бъде реално използваемо. Като се цепиш от производителя - и той ти го нацепва. Там някъде си пастриш компромиса, който ти уйдисва. В домашната си мрежа смятам да цепя компромис, който лично ме кефи. Като е на линуксче - има много повече софтуер, отколкото за която и да е друга платформа. Особено за този тип устройства, които са в продажба година-две - на производителя обновяването и подобрението на софтуера му се явява разход и той има естествен императив просто да не насочва ресурсите, които на мен ми се иска да влага. Това групичка маниаци да ръчкат по желязото увеличава ползата ми от него. > когато нашата цел е ограничена до толкова, че ние да ползваме услугите безпроблемно (както е в случая с wireless-а). Изключвам вариянтите в които търсиш такъв продукт/стока с developer-ска цел, визирам чисто потребителски нужди? И тук си прав, но само донякъде. То и на много компютри пише, че са проектирани за работа с Уиндоус, но в много случаи - Уиндоус не е толкова безпроблемен, колкото пише на рекламните брошурки. Поемам си риска, че може да се оакам, но в края на краищата аз съвсем не съм от първопроходците, а гледам да намеря баш решението с най-много маймунки - затова и питам тук. А ако и производителят евентуално помага - просто оргазъм. Не казвам, че е невъзможно някой хардуер да е толково турбо-адванцед, че да си го предпочитам с програмите, с които идва, но според мен е малко вероятно това да се случи точно на този наводнен с еднакви продукти пазар. Другаде е по-възможно - за пример - бих си взел OLPC-то независимо сегашното положение с WiFi-то му. Ясно, че пастрим компромис между различни нужди. Както съм я подкарал, минимизирам рискове и си увеличавам полата, което при константна цена, води до по-голям потребителски излишък за мен. Поздрави: ал_шопов ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Linux friendly WiFi
Yasen Pramatarov wrote: On Fri, 17 Aug 2007 16:00:54 +0300 Danail Petrov wrote: Здравей, чисто от любопитство ми се иска да ти задам няколко въпроса: [...] 2. Колкото може по-свободен фърмуеър. (нямам представа какво е положението). Това защо? :) Защото така иска. И аз щях да поискам същото. Би ли се аргументирал? На мен наистина ми е любопитно, за разлика от теб. В тона ти долавям нотка раздразнение, и желание за пораждане на конфликт? И това само защото проявих любопитството си? 2. Да има възможност да се подмени фърмуеъра с друг, за предпочитане някакво линуксче, но и БСД се ядва. А това? Имам чувството че понякога се вманиячаваме повече от колкото е необходимо. Напоследък хората са луднали да си пускат линукс на всичко което докопат: телефони, мобилни джаджи (стил pocket-pc), телевизионни игри да не говорим, че бяха направили тостер който да работи с линукс Да, луднали са. Луднали са и пощенски списъци за линукс да пускат, че и да пишат в тях даже. Това няма как да го коментирам, не разбирам иронията ти? И въпреки всичко, сигурно съм записан в този списък доста преди теб за да ми отправяш подобни закачливи коментари. @другите: сори, не се сдържах ;) На кое не издържа? Поздрави Немога да разбера какво ви става хора. Повечето хора в този списък реагират точно по този начин? И защо? Само защото някой е попитал нещо различно от това "как да си конфигурирам мишката" ? На мен наистина ми е интересно да разбера този ентусиазъм за който говорих? Абсолютно нищо друго не съм имал в предвид? Но сега може би ще завалят сума ругатни и какво ли не още по мой адрес, а накрая може би ще ме анатемосате ;-) Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Linux friendly WiFi
Здравей, чисто от любопитство ми се иска да ти задам няколко въпроса: Alexander Shopov wrote: Здравейте група, Трябва ми помощ, за да си закупя компонентите, да си направя WiFi мрежа у нас. Искам да си закупя маршрутизатор WiFi и Wireless PC Card мрежова карта. Можете ли да ме насочите към конкретни марки, изделия, търговци? Изискванията ми към чарковете са (по-важните са напред): * Wireless PC Card: 1. Свободни драйвери. 2. Колкото може по-свободен фърмуеър. (нямам представа какво е положението). Това защо? :) 3. Да работи като хората. 4. Да не е безумно скъпа. * WiFi маршрутизатор 1. Безшумен - ама никакви вентилатори! 2. Да има възможност да се подмени фърмуеъра с друг, за предпочитане някакво линуксче, но и БСД се ядва. А това? Имам чувството че понякога се вманиячаваме повече от колкото е необходимо. Напоследък хората са луднали да си пускат линукс на всичко което докопат: телефони, мобилни джаджи (стил pocket-pc), телевизионни игри да не говорим, че бяха направили тостер който да работи с линукс (за да не съм голословен: http://www.cliphaven.com/pictures/this-toaster-runs-unix). Та, какво значение има това, какво използва за ОС даденият продукт(gsm,playstation,wireless device или всичко останало [айде, тостера както и да е :-):-):-)]), когато нашата цел е ограничена до толкова, че ние да ползваме услугите безпроблемно (както е в случая с wireless-а). Изключвам вариянтите в които търсиш такъв продукт/стока с developer-ска цел, визирам чисто потребителски нужди? 3. Да има достатъчно потребители на горното, за да им досаждам с проблемите си. 4. Да има и портове за нормален етернет. 5. Да дава достатъчно силен сигнал, за да покрие 2 стаен апартамент. 6. Да не е безумно скъп. Само за информация - познати са ми препоръчвали следните модели: Linksys WRT54GL NetGear KWGR614 И двата са добри, няма да изпадам в подробности, но и двата определено ще ти свършат работа И в двата случая - надявам се цената да не е над 200лв. Поздрави: ал_шопов Поздрави, Данаил Петров ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Mind-boggling: dynamic multipoint vpn под Линукс.
Добре де, аз нещо не разбирам. Кой ще бъде root bridge-a, и как си представяш цялата тази мрежа изградена логически ? Имаме 7 рутеразащо трябва да ползваме ethernet технология измислена за loop prevention, след като хората са измислили маршрутизиращи протоколи? (да не следиш Blog-a на Делиян? : Немога да проумея необходимоста от STP ... Поздрави! Anton Glinkov wrote: Danail Petrov wrote: Здрасти, ти как реши че на човека му трябва layer2 свързаност? никъде не съм го рещил. Казах, че при този сценарий е плюс и _ако_му_е_нужна_, може да я използва. Как по-просто да обясня, че нещото, което предлагам е да се създаде full-mesh система от ethernet тунели, която ще се контролира от STP. Т.е има един общ ethernet сегмент, в който се намират всичките му линукс машини. Свързъността м/у тях е гарантирана от fullmesh-a и STP-то. Т.е по всяко едно време (ако изключим пълно умиране на дадена точка, тогава само тя изчезва) те се виждат. Като иска Layer 3, просто ще си добави по 7 статични routes (не мисля, че има нужда от динамични протоколи освен ако няма ) на всяка една от 8те машини и проблемът му с рутирането (ако изобщо може да се нарече проблем) е решен. Anton Glinkov wrote: Колко товари една openvpn сесия, която е само отворена и не се ползва според теб? Какво значи да е отворена и да не се ползва? Я си представи един вирус в локалната мрежа, който плюе яко към ff:ff:ff:ff:ff:ff или по-лошият вариянт, ако тунелният ти интерфейс работи като Proxy-arp? А сега си представи всичкият този трафик кодиран в ESP пакети (и ако кажем се ползва aes/3des + sha) целия този трафик ще се процесва софтуерно от CPU-то на машината, и ще даде 100% load (и това е само един от няколкото проблеми за които се сещам) 'отворена и да не се ползва' означава, тунелът да е изграден и работещ, но по него да минават само bridge-STP-related ethernet фреймове. Ако реши да настрои звезда - всяка машина ще има по един работещ и по 6 'спящи' тунела готови да 'потекат' в момента в който стане нещо с работещия, а центърът на звездата - 7 работещи. Другият вариант е да се изравни натоварването и всяка точка да има по 2 работещи и 5 'спящи', но тогава ще има безсмислено завъртане на трафик. При настройка на bridge priority, port priority и path cost, лесно можеш да си играеш и разменяш топологиите on-the-fly, и да намериш най-удачната за случая, без да се притесняваш, че системата ще рухне (освен ако не задаваш неразумни стойности на горните 2, разбира се :)) За броадкастите и Layer 2 - виж по-горе. А proxy_arp се спира лесно :) full-mesh и СТП-то се прави, за да се постигне, това което се търси - ако някой линк и/или точка умре - автоматично да се прерутира "рутирането" и STP-то са две съвсем различни неща. Това което говориш за прерутирането се извършва чрез рутиращи протоколи (BGP,OSPF,ISIS,RIP), или иначе казано, когато говорим за routing говорим за layer3. А там, STP _няма_ :) пропуснал съм кавичките на 'прерутира' - моя грешка :) Layer 2 свързъността, според настройките (cost priority). Човекът е писал - иска мултипойнт VPN решение под линукс. Аз пак питам, къде е казал че иска layer2 VPN? Аз пак казвам - никой не го кара -> виж най-горе. Layer 2 е връзката само м/у линуските. После може да се включи Layer 3 рутиране. Ти говориш за маршрутизатори и техните протоколи, а аз говоря за най-обикновен линукс :). Как стигна до това заключение? :) Това казвам - идеята ми е проблемът да се реши без маршрутизиращи протоколи, което според мен е елегантно и, при добра настройка, почти ненатоварващо хардуера. (криптирането няма как да се избегне) А ако се чудиш какво става с arp заявката и изцяло с ethernet broadcast-ите Изобщо не се чудя дори :) зависи изцяло от това дали иска Layer-2 или Layer-3 питам аз ... ;-) виж по-горе.. :) свързаност м/у точките. Ако си запознат със СТП протокола, ще знаеш, че всички портове, които не се ползват (т.е имат детектнат loop), Сигурно съм наясно малко повече от теб за работата на STP (дано не прозвучи захапливо, наистина нямам намерение да се заяждам) не можеш да бъдеш сигурен ;-) се блокират изцяло и през тях минават само 802.1d пакети. Не виждам какво общо имат arp-заявките тук. Сигурно вече си разбрал, описах го по-горе. даже и да направи Layer 2 VPN, което пак казвам, и _подчертавам_, че не е задължително - има си ebtables за контриране на broadcast бури и всякакви други 'лоши' фреймове. Ако реши може да си бриджне и вътрешни мрежи в този 'общ бридж' и всичко пак ще си работи абсолютно без проблеми. Ако човекът има нужда от помощ - да ми драсне едно писмо - ще помогна с каквото мога. Не ми се спори повече. Приятна вечер. Приятелю, не ме разбирай погрешно. Аз съм последният човек в тази листа, който иска да
Re: [Lug-bg] Mind-boggling: dynamic multipoint vpn под Линукс.
Здрасти, ти как реши че на човека му трябва layer2 свързаност? Anton Glinkov wrote: Колко товари една openvpn сесия, която е само отворена и не се ползва според теб? Какво значи да е отворена и да не се ползва? Я си представи един вирус в локалната мрежа, който плюе яко към ff:ff:ff:ff:ff:ff или по-лошият вариянт, ако тунелният ти интерфейс работи като Proxy-arp? А сега си представи всичкият този трафик кодиран в ESP пакети (и ако кажем се ползва aes/3des + sha) целия този трафик ще се процесва софтуерно от CPU-то на машината, и ще даде 100% load (и това е само един от няколкото проблеми за които се сещам) full-mesh и СТП-то се прави, за да се постигне, това което се търси - ако някой линк и/или точка умре - автоматично да се прерутира "рутирането" и STP-то са две съвсем различни неща. Това което говориш за прерутирането се извършва чрез рутиращи протоколи (BGP,OSPF,ISIS,RIP), или иначе казано, когато говорим за routing говорим за layer3. А там, STP _няма_ :) Layer 2 свързъността, според настройките (cost priority). Човекът е писал - иска мултипойнт VPN решение под линукс. Аз пак питам, къде е казал че иска layer2 VPN? Ти говориш за маршрутизатори и техните протоколи, а аз говоря за най-обикновен линукс :). Как стигна до това заключение? :) А ако се чудиш какво става с arp заявката и изцяло с ethernet broadcast-ите Изобщо не се чудя дори :) зависи изцяло от това дали иска Layer-2 или Layer-3 питам аз ... ;-) свързаност м/у точките. Ако си запознат със СТП протокола, ще знаеш, че всички портове, които не се ползват (т.е имат детектнат loop), Сигурно съм наясно малко повече от теб за работата на STP (дано не прозвучи захапливо, наистина нямам намерение да се заяждам) се блокират изцяло и през тях минават само 802.1d пакети. Не виждам какво общо имат arp-заявките тук. Сигурно вече си разбрал, описах го по-горе. Ако реши може да си бриджне и вътрешни мрежи в този 'общ бридж' и всичко пак ще си работи абсолютно без проблеми. Ако човекът има нужда от помощ - да ми драсне едно писмо - ще помогна с каквото мога. Не ми се спори повече. Приятна вечер. Приятелю, не ме разбирай погрешно. Аз съм последният човек в тази листа, който иска да породи конфликт. Просто ми е странна твоята идея!!!Аз също съм тук за да помагам с каквото мога!!! Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Mind-boggling: dynamic multipoint vpn под Линукс.
"малка" поправка Danail Petrov wrote: Здрасти, Anton Glinkov wrote: Danail Petrov wrote: Anton Glinkov wrote: openvpn - всяка точка с всяка друга + spanning tree. Играчка ще е за изграждане, но не е нещо сложно. Нещо не схванах, какво общо има Layer3 VPN-а с layer2 протокол за loop detection/prevention spanning tree? Вдига bridge интерфейс и се настройват по 7 openvpn Layer 2 тунела (tap) до останалите. Всички тези 'тапи' се вкарват в bridge-а. Това се прави и на 8те сървъра. Настройва се spanning tree на всяка машина (приоритети, pathcost и от сорта). Вдигат се IP-та на br0 интерфейсите (10.0.0.1, 2, 3... примерно), който благодарение на spanning tree-то винаги имат видимост помежду си ако някоя точка падне. И вече в зависимост от това каква свързаност се иска м/у точките се настройва рутиране или допълнителен Layer 2 bridging. Ако пак не си схванал.. не мога да го обясня по-добре.. sorry :) тоест тук говорим за някакво супер нерентабилно и ненужно товарене на машината (помисли колко ISAKMP сесий трябва да имаш между всички машини [2^8-2], и ако пуснеш n*(n-1)/2 объркал съм формулата layer2-то в тези сесий то какво ще се случва при всеки нов arp request в мрежата?) Не разбирам кому е нужно да се прави full mesh топология, и защо им трябва на маршрутизаторите да разбират от STP? Нали затова са маршрутизатори, и хората са им измислили маршрутизиращи протоколи? Какво ще правиш с това STP в тази ситуация, къде по-точно ще бъде полезно то? И какво значи че "като bridge-неш два лан сегмента през wan-а, то те щели да се виждат благодарение на STP?" Николай, бъди по-конкретен с условията и нещата които си намислил. Кажи с какво разполагаш и каква е крайната цел вместо всички тук да умуваме за това :) Поздрави, Данаил Петров ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Mind-boggling: dynamic multipoint vpn под Линукс.
Здрасти, Anton Glinkov wrote: Danail Petrov wrote: Anton Glinkov wrote: openvpn - всяка точка с всяка друга + spanning tree. Играчка ще е за изграждане, но не е нещо сложно. Нещо не схванах, какво общо има Layer3 VPN-а с layer2 протокол за loop detection/prevention spanning tree? Вдига bridge интерфейс и се настройват по 7 openvpn Layer 2 тунела (tap) до останалите. Всички тези 'тапи' се вкарват в bridge-а. Това се прави и на 8те сървъра. Настройва се spanning tree на всяка машина (приоритети, pathcost и от сорта). Вдигат се IP-та на br0 интерфейсите (10.0.0.1, 2, 3... примерно), който благодарение на spanning tree-то винаги имат видимост помежду си ако някоя точка падне. И вече в зависимост от това каква свързаност се иска м/у точките се настройва рутиране или допълнителен Layer 2 bridging. Ако пак не си схванал.. не мога да го обясня по-добре.. sorry :) тоест тук говорим за някакво супер нерентабилно и ненужно товарене на машината (помисли колко ISAKMP сесий трябва да имаш между всички машини [2^8-2], и ако пуснеш layer2-то в тези сесий то какво ще се случва при всеки нов arp request в мрежата?) Не разбирам кому е нужно да се прави full mesh топология, и защо им трябва на маршрутизаторите да разбират от STP? Нали затова са маршрутизатори, и хората са им измислили маршрутизиращи протоколи? Какво ще правиш с това STP в тази ситуация, къде по-точно ще бъде полезно то? И какво значи че "като bridge-неш два лан сегмента през wan-а, то те щели да се виждат благодарение на STP?" Николай, бъди по-конкретен с условията и нещата които си намислил. Кажи с какво разполагаш и каква е крайната цел вместо всички тук да умуваме за това :) Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Mind-boggling: dynamic multipoint vpn под Линукс.
Anton Glinkov wrote: openvpn - всяка точка с всяка друга + spanning tree. Играчка ще е за изграждане, но не е нещо сложно. Нещо не схванах, какво общо има Layer3 VPN-а с layer2 протокол за loop detection/prevention spanning tree? Nikolaj wrote: Как бихте реализирали следната задача: Имате 8 точки, и искате да ги вкарате в единен VPN, като целите сигурност и най-добро рутиране. Да ги прекарате през един VPN сървър(било то pptp или openvpn не е оптимално решение, пада сървърът и с него VPNа) Според мен тук работа ще свърши класическата hub and spoke топология, в която имаме един VPN концентратор и 8 крайни точки. За сигурноста ще се погрижи IPSec ESP. Колкото до това което си споменал наличието на single point of failure (пада сървърът и с него VPN-a) това е въпрос който може да бъде разрешен по няколко начина. В момента няма да давам каквито и да е било съвети, без да съм запознат с наличнотото ти оборудване и изградената при теб топология (в това число и наличие на peering/internet свързаности). -- Anton Glinkov network administrator ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] happy sysadmin day :)
Здравейте, днес никой не се сети да честити денят на системния администратор (последният петък на месец Юли) реших аз да го направя :) За повече информация: http://www.sysadminday.com/ Поздрави, Данаил Петров! -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Postfix+Ldap mailing list
Здравейте, някой може ли да ми предложи лесно решение за майлинг листа (което е малко силно казано, трябва ми да създам около 5-6 групови адреса) за Postfix който използва LDAP за authentication на потребителите? Поздрави -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Настройване на шлюз
Здравей, Mihael Mihalkov wrote: Здравейте, срещам проблем с моята мрежа. Свързал съм компютрите в един суич, като един от компютрите е с две Ethernet карти като с едната е свързан към доставчика ми на нет, а с другата към суича. Вътре в мрежата всичко е наред. Като пингвам "виждам" другите компютри, но не мога да се свързвам с външния свят. А при компютъра с двете карти (демек gateway-а) си имам нет. Той е с Дебиан Линукс 4.0 Етч без GUI. Конфигурирах го по следния начин: eth0 - картата, чрез която е свързан към доставчика eth1 - картата, чрез която е свързан към суича ifconfig eth0 [[IP адреса, даден от доставчика ми]] ifconfig netmask 255.255.252.0 <http://255.255.252.0> route add default gw [[шлюза на доставчика ми]] ifconfig eth1 192.168.0.1 <http://192.168.0.1> ifconfig netmask 255.255.255.0 <http://255.255.255.0> На останалите комютри съм им сложил следните настройки IP: 192.168.0.x SM: 255.255.255.0 <http://255.255.255.0> GW: 192.168.0.1 <http://192.168.0.1> DNS: 192.168.0.1 <http://192.168.0.1> До тук добре ... Къде бъркам? Ами кой ще ти маскира адресите от вътрешната мрежа? В момента, твоят провайдър най-вероятно получава твойте адреси на вътрешната мрежа, която естествено няма да се маршрутизира при него. За целта направи следното : iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE Много благодаря предварително на всеки отзовал се PS: За да се идентифицирам, доставчика ми използва лан клиент. За по-сигурно се идентифицирам с него на всеки компютър, не само на шлюза. Това не го разбрах!? -- Mihael Mihalkov ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] Извън темата: Нов форум
Здравейте , тъй като в тази група членуват доста хора използващи линукс като средство за управление на трафик или други мрежови функций, Ви изпращам URL адрес, на форум който създадохме с тази цел, а именно дискутирането на мрежови въпроси. Всички сте добре дошли, и се надявам да създадем един добър форум с интересни дискусии. Надявам се че не съм досадил на никого с това писмо, но ако е така то моля да ме извините! За повече информация: http://netfield.ludost.net/forum/index.php Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Линукс, рутиране и хардуер.
Vasil Kolev wrote: В чт, 2007-06-21 в 04:02 +0300, Georgi Chorbadzhiyski написа: за лоад балансинг е необходим добър процесор. Събрах си три конфигурации Атлон64х2 4200+ Дуал Кор Сокет АМ2 Бокс <===> JetWay AM2NF6G-VSTA, AM2 Core 2 Duo e6300, 1.86ghz LGA775 <===> Asus P5B-V P D 945 DUAL CORE 3,4GHZ <===> ASUS P5B-V Но май се поизсилвам с процесорите нали? Все пак лоад балансинга ще се прави за не повече от 10-15, най много 20 уоркстейшъна ако въобще ще се прави. Хмм нали за машини под Linux говорим тука? :-) С доста по слаба машина при нас рутираме няколкостоин мегабита и има потенциал за гигабити. Athlon-а, дето си избрал може да "носи" не 10-20 работни станции, а 200-300, нищо чудно и десет пъти повече дори. Прави си сметка за другите :) Всъщност, за гигабити и нагоре проблема ще дойде основно от PCI шината, не от нещо друго, то там вече трябват други мрежови карти. Иначе 400-500 mbps ги бута спокойно почти всякаква машина. (на нормален tcp трафик, ако е някой VoIP, сметката е малко по-различна, но нямам в момента достатъчно данни) Всъщност, проблема ще дойде от PPS (Packets per second)а не толкова от количеството трафик. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Sendmail+cyrus+LDAP
Romeo Ninov wrote: А защо не създаваш дирекрторията в момента в който добавяш потребителя в LDAP-а? Това си мисля би било най-елегантно и чисто Здравей, ами честно казано, не намирам абсолютно никакъв смисъл в това? Защо да го правя, след като MTA-то подържа create on demand? П.с. Аз имам едно питане леко в страни от темата. Някой да е правил mailista с LDAP ? Намирам само един вариянт/начин за изпълнение, но немога да намеря конкретната схема която позволява използването на посочените атрибути (не че е проблем сам да си ги създам в моята схема, но все пак...) Единственото което намерих е на сайта на postfix, но както казах, не успях да намеря схемата с която това би трябвало да работи Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Sendmail+cyrus+LDAP
Здравей, това съм го реализирал, но не със sendmail ами с postfix. При мен схемата е същата, само дето аз ползвам доста повече услуги за аутентициране в лдап (на места дори ssh-login ;-)) . При мен postfix-а си проверява потребителя в момента в който получи RCPT TO: Ако потребителя е валиден, връща 250 OK и комунникацията продължава, в противен случай, просто си връща "550 5.1.1 <[EMAIL PROTECTED]>: Recipient address rejected: User unknown in virtual mailbox table". Поздрави, Данаил Петров Стоян Цалев wrote: Здравейте банда, нещо сме се умълчали напоследък, ама да речем че всички сме много заети ;) Малко да разчупим положението с един въпрос с леко повишена трудност. Става дума за тристранна интеграция на Sendmail, Cyrus IMAP(с virtual hosting) и Fedora Directory Server. Всички данни за потребителите са в LDAP-a. Нещата са навързани като цяло, sendmail-а map-ва access и mailer табличките от LDAP-а, аутентикацията за imap и smpt (през sasl) към лдапа работи, доставяме писмата където трябва и прочие. Ситуацията се оформи като положение, когато опрях до проверката дали потребителя съществува. Според както го разбирам, има 3 варианта за реакция при несъществуващ потребител/домейн: - сендмейла поема писмото, подава го на cyrus-a (т.е. на lmtp), който си проверява за наличието на кутията и съответно уведомява обратно нагоре по веригата. Това е твърде нежелателно, води до поне няколко вредни ефекта,въпреки че само това,че трябва да поемем цялото тяло на писмото вече е прекалено. - SOCKETMAP - удобен и бърз начин за комуникация м-у sendmail-a и cyrus, макар и да се налага да се пипа по някои .m4.Отпада горния проблем с приемането на цялото писмо. Недостатък в моя случай е, че cyrus-а трябва автоматично да си създава кутията при доставка на първото писмо... Т.е. ако кутията не е създадена на ръка (или с друг не-cyrus метод), тази постановка няма да работи коректно. Може да се мисли в насока да се създават кутиите при първо логване на потребителя, но това дори и да се автоматизира със скрипт, вкарва допълнителен компонент във системата и като цяло ще повиши нуждата от баене... - sendmail пита директно LDAP-а - това като концепция е най-чистото решение, но и най-малко опит имам там... Експериментирам си в момента с FEATURE(`ldap_routing'), но започва да ми се струва,че принципно бъркам нещо. Та тук ми е въпроса - някой би ли желал да сподели опит с подобна постановка? Сигурен съм,че има и други варианти. Не ми трябва непременно готово решение, а по-скоро побутване във вярната посока. (Или шут отзад,според случая ;) Благодарско предварително за всякакви отговори. Стоян ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] bash & glibc 2.4 problem
Peter Pentchev wrote: On Tue, May 01, 2007 at 07:51:06PM +0300, Danail Petrov wrote: Daniel Jelev wrote: Здравейте! Днес реших да ъпдейтна добрият стар Слак 10.2, използвам swaret. Ъпдейтвам си и гледам грешка на последния пакет (bash) Last login: Sun Apr 29 14:20:05 2007 from 172.16.73.30 <http://172.16.73.30> Linux 2.4.31. -bash: /lib/libc.so.6: version `GLIBC_2.4' not found (required by -bash) Connection to *** closed. Пробвах да кача ГлибС 2.5, но [EMAIL PROTECTED]:~/glibc-2.5# ./configure /bin/sh: /lib/libc.so.6: version `GLIBC_2.4' not found (required by /bin/sh) Ще бъда много благодарен ако някой ми помогне да оправя този проблем без да се налага да преинсталирам. Благодаря предварително. Тцтцтц ... еййй , тоя slackware ... така и не му оправиха пакетната система ... Хм... абе чудя се колко смисъл е имало точно в такова едно мнение - като оставим настрана цялата история с пакетната система на Slackware през годините, все пак трябва да се вземе предвид това, че тук става дума за обновяване до най-новия Slackware, в който има сериозна качествена промяна в разпределението на нещата по пакети, и за който *няма* package manager, който да се справи с обновяването... Това си се случва от време на време на всяка операционна система или дистрибуция или каквото там - при някой скок между версии да има качествени промени, които налагат задължително ръчни побутвания оттук-оттам. Поздрави, Петър Здравей Петре, в никакъв случай не съм имал в предвид конкретната ситуация. Ползвам дистрибуцията slackware от версия 3.6 насам, и винаги когато се е налагало да upgrade-на дори един пакет, трябваше да изчитам всички възможни readme-та преди да предвидя каквото и да е било действие. От slackware 9.0 насам , преминах на Debian/CentOS/Ubuntu и т.н. и да ти кажа честно никога не ми се е налагало да чета step-by-step какво трябва да направя, за да си обновя дистрибуцията. Мога смело да заявя, че пакетната система на гореизброените дистрибуции е вършила всичко (включително и libc upgrade) без никакви инциденти.В никакъв случай не желая това писмо да се третира като опит за flame или нещо от този род. Вярно е че няма кой знае какъв смисъл предното ми писмо, но всички знаем пакетната система на Slackware :-) Поздрави, Данаил Петров ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] bash & glibc 2.4 problem
Тцтцтц ... еййй , тоя slackware ... така и не му оправиха пакетната система ... Daniel Jelev wrote: Здравейте! Днес реших да ъпдейтна добрият стар Слак 10.2, използвам swaret. Ъпдейтвам си и гледам грешка на последния пакет (bash) Last login: Sun Apr 29 14:20:05 2007 from 172.16.73.30 <http://172.16.73.30> Linux 2.4.31. -bash: /lib/libc.so.6: version `GLIBC_2.4' not found (required by -bash) Connection to *** closed. Пробвах да кача ГлибС 2.5, но [EMAIL PROTECTED]:~/glibc-2.5# ./configure /bin/sh: /lib/libc.so.6: version `GLIBC_2.4' not found (required by /bin/sh) Ще бъда много благодарен ако някой ми помогне да оправя този проблем без да се налага да преинсталирам. Благодаря предварително. -- Daniel Jelev Student at *PST* BTK, Sofia www.sgate.org <http://www.sgate.org> ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] ldap question
Doncho N. Gunchev wrote: On Sunday 2007-04-22 19:32:38 Danail Petrov wrote: ... Забравих само да добавя, че все още не съм намерил подходящ windows email клиент, който да подържа тези неща който съм направил :-) Повечето майл клиенти искат само hostname на ldap съвръра, а не позволяват дефинирането на потребителско име и парола. Още повече, че дори когато За Thunderbird: http://kb.wisc.edu/helpdesk/page.php?id=3462 (Bind DN) :-) как съм го пропуснал това, въобще незнам :-) За OutLook: http://www.dpo.uab.edu/4manager/ldap-outlook.html (указател B) достъпа до всички директори е позволен за писане, mail клиентите немогат да създават контакти в директорията. Така че пак съм в задънена улица Странно, сигурен съм че като пробвах с нещо успях да създам няколко. Тогава тествах mozilla и kmail. За сега имам успех _САМО_ с Еволюшън :-( :) Ако някой ползва email клиент, който да дава възможност за дефиниране на потребителско име и парола за достъп до ldap съвъра, нека сподели. Kmail (kaddressbook) за може да ползва и LDAP ресурси само за четене и такива за четене и запис (даже като имаш повече от един за запис пита новите къде да отидат). Поддържа LDAP 2/3, SSL/TLS... има шаблони за Netscape, Outlook, Evolution, Kolab, ръчни... но все още го няма за windows. Пробвах го, добавя. Thunderbird-а може да чете, дали може да пише... не знам. Пише че Thunderbird 2.0.0 подържа писане в директорията, но не работи :-( Както и да е де, благодаря ти :-) Сега ми остава да накарам всички услуги (samba,web,postfix,dovecot и още няколко custom приложения) да ползват LDAP. Може да пусна едно "How to migrate" ако ми остане време след като приключа :-) Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] ldap question
Danail Petrov wrote: Doncho N. Gunchev wrote: On Saturday 2007-04-21 20:09:27 Danail Petrov wrote: Здравейте група, имам следното питане. Може ли да се направи следното нещо с LDAP: - Да се организира Address Book, в който всички потребители които използват Directory-то , да си имат собствено местенце, където да си синхронизират контактите? Ето как ги виждам аз нещата: примерно имаме: dn: dc=domani,dc=com ... dn: ou=addressbook,dc=domain,dc=com ... dn: cn=user1,ou=addressbook,dc=domain,dc=com ... dn: cn=user2,ou=addressbook,dc=domain,dc=com ... По тази логика, user1 да има свой собствен: dn: [EMAIL PROTECTED],cn=user1,ou=addressbook,dc=domain,dc=com ... Мислех да правя нещо подобно и мисля че при IBM срешнах идеята да имаш нещо от сорта на addressbook, user, domain, tld за лични и addressbook, domain, tld за споделена адресна книга (те така го и бяха направили в domino-то ако не бъркам). До споделената имат достъп само определени хора (човек). Трябва само да си оформиш правилно правилата за достъп. На пощенските клиенти им се задават по две адресни книги - една за четене/запис и още една само за четене (Kmail го прави без проблем, но мисля че и Mozilla и OutLook имаха поддръжка). Схема за адресната книга, която да работи и с Mozilla и с OutLook, имаше нейде из bug-report-ите на mozilla. Ако го направиш - похвали се, още не съм се отказал да го правя, просто имам по-важни задачки от този експеримент. I did it :-) Ето малко информация за това как точно съм го реализирал: + dc=domain,dc=com .+ ou=users,dc=domain,dc=com ..+ ou=user1,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user1,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] ..+ ou=user2,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user2,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] .+cn=sharedbook ..+ [EMAIL PROTECTED] ..+ [EMAIL PROTECTED] Надявам се да разберете псевдо таблицата която се опитах да създам, а ето каква е и логиката: В корена на дървото е domain.com, след което създаваме друга директория users,където попадат потребителските акаунти, едно ниво по-навътре имаме и съответнo потребителски имена, който си имат свойте атрибути в зависимост от необходимата схема. В йерархията на дървото, всеки потребител разполага със собствена адресна книга, в която може да добавя свойте контакти. Освен личната си адресна книга, всеки потребител разполага с достъп до общата такава (cn=sharedbook,dc=domain,dc=com). Сега малко по-интересната част, и как съм реализирал достъпа до различните директории: (При мен политиките вече са доста по-сложни, но тук ще опиша най-простия промер с който нещата работят) access to dn.regex="cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$" by dn.regex="^cn=$1,ou=users,dc=domain,dc=com$$" write by dn="cn=admin,dc=domain,dc=com" write by * none Малко разяснение: access to dn.regex="cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$" /дефинираме ACL, който да бъде приложен при поискване до директорията addressbook на определен потребител. Тук интересната врътка е regex възможността , която дава възможност да се прилагат такъв тип филтри. Или иначе казано, дефинираме cn=(.*), с помоща на което получаваме потребителското име. Пример: Потребител user1 се опитва да отвори директорията cn=addressbook,cn=user1,ou=users,dc=domain,dc=com, поради по-горното правило, access-listata ще се "активира", и ще позволи достъп за писане на потребител user1 в неговата addressbook директория. (by dn.regex="^cn=$1,ou=users,dc=domain,dc=com$$" write). Или иначе казано, cn=(.*) се взима като регулярен израз $1, което позволява динамичното му използване по-надолу в листата. Та на базата на ето такива листи могат да се правят чудеса :-) Освен потребителя, user admin също има достъп до тази директория. Правилото by * none е ясно :-) Ами това е в най-общи линии. Надявам се този feedback да помогне някому някой ден :) Поздрави, Данаил Петров ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg Забравих само да добавя, че все още не съм намерил подходящ windows email клиент, който да подържа тези неща който съм направил :-) Повечето майл клиенти искат само hostname на ldap съвръра, а не позволяват дефинирането на потребителско име и парола. Още повече, че дори когато достъпа до всички директори е позволен за писане, mail клиентите немогат да създават контакти в директорията. Така че пак съм в задънена улица :) Ако някой ползва email клиент, който да дава възможност за дефиниране на потребителско име и парола за достъп до ldap съвъра, нека сподели. Поздрви, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com i
Re: [Lug-bg] ldap question
Doncho N. Gunchev wrote: On Saturday 2007-04-21 20:09:27 Danail Petrov wrote: Здравейте група, имам следното питане. Може ли да се направи следното нещо с LDAP: - Да се организира Address Book, в който всички потребители които използват Directory-то , да си имат собствено местенце, където да си синхронизират контактите? Ето как ги виждам аз нещата: примерно имаме: dn: dc=domani,dc=com ... dn: ou=addressbook,dc=domain,dc=com ... dn: cn=user1,ou=addressbook,dc=domain,dc=com ... dn: cn=user2,ou=addressbook,dc=domain,dc=com ... По тази логика, user1 да има свой собствен: dn: [EMAIL PROTECTED],cn=user1,ou=addressbook,dc=domain,dc=com ... Мислех да правя нещо подобно и мисля че при IBM срешнах идеята да имаш нещо от сорта на addressbook, user, domain, tld за лични и addressbook, domain, tld за споделена адресна книга (те така го и бяха направили в domino-то ако не бъркам). До споделената имат достъп само определени хора (човек). Трябва само да си оформиш правилно правилата за достъп. На пощенските клиенти им се задават по две адресни книги - една за четене/запис и още една само за четене (Kmail го прави без проблем, но мисля че и Mozilla и OutLook имаха поддръжка). Схема за адресната книга, която да работи и с Mozilla и с OutLook, имаше нейде из bug-report-ите на mozilla. Ако го направиш - похвали се, още не съм се отказал да го правя, просто имам по-важни задачки от този експеримент. I did it :-) Ето малко информация за това как точно съм го реализирал: + dc=domain,dc=com .+ ou=users,dc=domain,dc=com ..+ ou=user1,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user1,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] ..+ ou=user2,ou=users,dc=domain,dc=com ...+ cn=addressbook,ou=user2,ou=users,dc=domain,dc=com + [EMAIL PROTECTED] + [EMAIL PROTECTED] .+cn=sharedbook ..+ [EMAIL PROTECTED] ..+ [EMAIL PROTECTED] Надявам се да разберете псевдо таблицата която се опитах да създам, а ето каква е и логиката: В корена на дървото е domain.com, след което създаваме друга директория users,където попадат потребителските акаунти, едно ниво по-навътре имаме и съответнo потребителски имена, който си имат свойте атрибути в зависимост от необходимата схема. В йерархията на дървото, всеки потребител разполага със собствена адресна книга, в която може да добавя свойте контакти. Освен личната си адресна книга, всеки потребител разполага с достъп до общата такава (cn=sharedbook,dc=domain,dc=com). Сега малко по-интересната част, и как съм реализирал достъпа до различните директории: (При мен политиките вече са доста по-сложни, но тук ще опиша най-простия промер с който нещата работят) access to dn.regex="cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$" by dn.regex="^cn=$1,ou=users,dc=domain,dc=com$$" write by dn="cn=admin,dc=domain,dc=com" write by * none Малко разяснение: access to dn.regex="cn=addressbook,cn=(.*),ou=users,dc=domain,dc=com$$" /дефинираме ACL, който да бъде приложен при поискване до директорията addressbook на определен потребител. Тук интересната врътка е regex възможността , която дава възможност да се прилагат такъв тип филтри. Или иначе казано, дефинираме cn=(.*), с помоща на което получаваме потребителското име. Пример: Потребител user1 се опитва да отвори директорията cn=addressbook,cn=user1,ou=users,dc=domain,dc=com, поради по-горното правило, access-listata ще се "активира", и ще позволи достъп за писане на потребител user1 в неговата addressbook директория. (by dn.regex="^cn=$1,ou=users,dc=domain,dc=com$$" write). Или иначе казано, cn=(.*) се взима като регулярен израз $1, което позволява динамичното му използване по-надолу в листата. Та на базата на ето такива листи могат да се правят чудеса :-) Освен потребителя, user admin също има достъп до тази директория. Правилото by * none е ясно :-) Ами това е в най-общи линии. Надявам се този feedback да помогне някому някой ден :) Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] ldap question
Здравейте група, имам следното питане. Може ли да се направи следното нещо с LDAP: - Да се организира Address Book, в който всички потребители които използват Directory-то , да си имат собствено местенце, където да си синхронизират контактите? Ето как ги виждам аз нещата: примерно имаме: dn: dc=domani,dc=com ... dn: ou=addressbook,dc=domain,dc=com ... dn: cn=user1,ou=addressbook,dc=domain,dc=com ... dn: cn=user2,ou=addressbook,dc=domain,dc=com ... По тази логика, user1 да има свой собствен: dn: [EMAIL PROTECTED],cn=user1,ou=addressbook,dc=domain,dc=com ... dn: [EMAIL PROTECTED],cn=user1,ou=addressbook,dc=domain,dc=com Незнам дали се изразих правилно и красноречиво, но идеята е ясна. Всеки потребител да има контрол върху собственият си обект и тези под него в йерархията. (first, second и т.н.). Другото ми питане е, има ли в момента mail client който да подържа такъв тип синхронизация? Надявам се да сте разбрали въпроса ми :-) Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Малко странен routing - редирект в локална мрежа
Ivan Petrushev wrote: > Разгледай това: > http://lartc.org/howto/lartc.rpdb.multiple-links.html > Гледай на М1 като на едно ISP, а основния доставчик като втори (или > обратно) От тук тръгнах. ip ro add default nexthop via M1IP weight 1 nexthop via M2IP weight1 Това съм го пробвал - писал съм по-горе. кажи ако стане ;) Не става и не мога да си обясня защо. Винаги минава или само по единия гв или само по другия. Ами , ти какво очакваш ? да минава през двата GW-а , и да държи един и същ connection през който да вдигнеш максималният капацитет ли? Това което обясних в предният с email, е начина по който работи този тип load-balance с iproute. Той работи per-destination! Затова е нормално да минава или през единия или през другия router/gw > Провери си rp_filter: > > sysctl -a | grep rp_filter #(май така беше синтаксиса, ако е 1 го > направи на 0) > Това трябва да работи .. net.ipv4.conf.eth0.arp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 net.ipv4.conf.lo.arp_filter = 0 net.ipv4.conf.lo.rp_filter = 0 net.ipv4.conf.default.arp_filter = 0 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.arp_filter = 0 net.ipv4.conf.all.rp_filter = 0 Всичко е на 0. Какво е това? Revers Path Forwarding . Позволява на пакет напуснал през един интерфейс, да се върне през друг. В противен случай го счита като spoof ,и го reject-ва. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Малко странен routing - редирект в локална мре жа
Vladimir Smolensky wrote: Georgi Alexandrov wrote: Vladimir Smolensky wrote: Ivan Petrushev wrote: Здравейте! Имаме локална мрежа, в която от един компютър се пуска нет по 20К на всички останали машини. С този компютър не се занимаваме. Въпросът е могат ли пакетите от една машина да се препращат към друга машина, така че резултантия канал на втората машина да стане 40К. До тук разполагам само с идея и тя е нещо такова: ако двете машини са М1 и М2 - М1 прави SNAT и DNAT към М2, а М2 вдига за още един default gw M1. От тук нататък обаче не ми е ясно с какво правило пакетите ще се разделят от М2 (ту един към GW на мрежата, ту един към М1). Разгледай това: http://lartc.org/howto/lartc.rpdb.multiple-links.html Гледай на М1 като на едно ISP, а основния доставчик като втори (или обратно) Един резултат, който не върви: дава се М1 да е GW към определени адреси, така че целия трафик към тях да минава през М1, а останалия през GW на мрежата. Целия този пиниз се прави за да могат да се свалят неща от един адрес с по-голяма скорост. Провери си rp_filter: sysctl -a | grep rp_filter #(май така беше синтаксиса, ако е 1 го направи на 0) Това трябва да работи .. Ами, приемам всякакви идеи. Ако имате и директен линк с пример от lartc бих го погледнал... Ще мамиш админа си а : Направи си един демон който на няколко десетки милисекунди да ти сменя дефаулт гв със нещо като ip ro change default Току виж станало нещо :) Току виж няма да стане абсолютно нищо, само ще счупиш нещата още повече. Трябва да се тества :) -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Малко странен routing - редирект в локална мре жа
Vladimir Smolensky wrote: Vladimir Smolensky wrote: Georgi Alexandrov wrote: Vladimir Smolensky wrote: Ivan Petrushev wrote: Здравейте! Имаме локална мрежа, в която от един компютър се пуска нет по 20К на всички останали машини. С този компютър не се занимаваме. Въпросът е могат ли пакетите от една машина да се препращат към друга машина, така че резултантия канал на втората машина да стане 40К. До тук разполагам само с идея и тя е нещо такова: ако двете машини са М1 и М2 - М1 прави SNAT и DNAT към М2, а М2 вдига за още един default gw M1. От тук нататък обаче не ми е ясно с какво правило пакетите ще се разделят от М2 (ту един към GW на мрежата, ту един към М1). Един резултат, който не върви: дава се М1 да е GW към определени адреси, така че целия трафик към тях да минава през М1, а останалия през GW на мрежата. Целия този пиниз се прави за да могат да се свалят неща от един адрес с по-голяма скорост. Ами, приемам всякакви идеи. Ако имате и директен линк с пример от lartc бих го погледнал... Ще мамиш админа си а : Направи си един демон който на няколко десетки милисекунди да ти сменя дефаулт гв със нещо като ip ro change default Току виж станало нещо :) Току виж няма да стане абсолютно нищо, само ще счупиш нещата още повече. Трябва да се тества :) Абе идеята беше да се върже с контрака някак така че вече почнатите връзки да си минават от там откъдето са тръгнали :) Само с деф роуте няма стане де ;) Хм, че connection тракинга си работи добре в линукс. Това което прави iproute когато балансира трафика, е просто да върти на базата на round-robin всеки следващ пакет към определена дестинация. След това записва в route-cache-a информация за това , кой маршрут да инсталира през определен интерфейс(ip route show cache -> показва текущият forwarding cache)): Пример Заявка за yahoo.com. рутера резолвира адрес 'X' за yahoo.com , след което изкарва заявката през интерфейс eth0 (примерно), като записва тази информация в route-cache-a на рутера (който може да се трие разбира се 'ip route flush cache'). След това , идва нов пакет към google.com . Рутера резолвира адрес 'Y' и го изкарва през eth1, отново кешира дестинация Y с изходящият интерфейс.От тук нататък, всичко към Х ще излиза през eth0 , а всичко към Y през eth1. В тази ситуация, конекшън тракинга няма отношение , тъй като load-balance-a става per-destination (а не per-packet). -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Thunderbird писмо с кар тинки
В режим на писане на ново писмо избираш: Insert->Image П.с. това е малко извън темата на групата, а и google би бил доста полезен в тази ситуация: http://www.google.bg/search?hl=en&q=how+to+insert+image+in+thunderbird&btnG=Search BR, Dido Ivan Bogouchev wrote: Здравейте, има ли начин да "вградя" картинка в хтмл майл със Thunderbird? -- Ivan ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] ipacct - имали някой в печатления?
До колкото знам Megalan ги ползват (Мегалан е един от най-големите лан доставчици в София) и са доволни. Незнам защо Георги реагира по този начин ,но може би има нещо в предвид? Аз лично нямам наблюдения върху този продукт, но лично мое мнение е че всяка фирма има нужда от proprietary софтуер за тази цел. Не е много работа, на мен с моите скромни познания по php/perl/mysql ми отне около 1 седмица за да си напиша такъв софтуер , и мога да кажа че работи наистина добре и най-вече прави точно това, което очаквам от него. Това разбира се е лично мое мнение и подход, но предполагам че на повечето места метода е същия. Аз лично се учудих когато разбрах че Мегалан използват този продукт , но ... както казах това си е персонално решение. В някой случай , хората предпочитат да си outsource-нат този тип услуги (което никак не е лоша идея разбира се) Та .. така Поздрави, Данаил Петров Vladimir Vitkov wrote: Като цяло се държи добре. Предполагам на сайта имат информация за контакт. Защо не ги помолиш да ти дадат връзка с някои от големите им клиенти и да ги питаш тях на място On 05/02/07, Alexander N. <[EMAIL PROTECTED]> wrote: http://www.ipacct.com/ има ли някой впечатления? Мрежата ни се разрасна и вече искаме нещо професионално ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Въпрос относно Qmail
Здравей, малко некоректно си задал въпроса си , но ако схващам правилно ползваш tcpwraper (daemontools). По повечето "copy-paste" style "HOW-TO's" логовете създадени от multilog се записват с големина 99 или 100кб (не помня точно). Големината на този лог файл се манипулира от опцийте на tcpserver-a . Ако не ме лъже паметта, трябва да опишеш нещо такова в run файла който daemontools използва за логване ( в повечето "how-to's" той се намира в /service/qmail-send/log/run) multilog t string s<големината> Поздрави, Данаил Петров П.п. Не съм пипал qmail от близо 2 години , така че може да греша, но ако е така се надявам някой да ме поправи. Може пък всъщност въобще да не съм разбрал въпроса ... Ivan Ivanov wrote: Има ли начин да се увеличи информацията която се записва в логовете на qmail-a? ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] [SPAM] българско мрежово ад ресно пространство
Dimitar G. Katerinski wrote: On Wednesday 24 January 2007 11:48, Kamen TOMOV wrote: Някой може ли да ме насочи към списък съдържащ по-голямата част от българското IPv4 адресно пространство? Доста хора биха те насочили към ip.ludost.net ;-) Сигурно не съм първия който пита, но не успях да намеря информация. Освен това се извинявам за офтопика и се чудя дали има специфичен мейл лист по подобни въпроси? Имаше някакъв пощенски списък български, посветен на мрежови неща, но за жалост не си го спомням. [EMAIL PROTECTED] или нещо такова беше , но вече никой не пише там Поздрави, Димитър -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] [SPAM] българско мрежово ад ресно пространство
Kаква е разликата между ip.ludost.net и ip2.ludost.net ? Атанас Мавров / Atanas Mavrov wrote: http://ip2.ludost.net/ На 24.1.2007 11:48 Kamen TOMOV пише: Някой може ли да ме насочи към списък съдържащ по-голямата част от българското IPv4 адресно пространство? Сигурно не съм първия който пита, но не успях да намеря информация. Освен това се извинявам за офтопика и се чудя дали има специфичен мейл лист по подобни въпроси? ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] [SPAM] българско мрежово ад ресно пространство
http://ip.ludost.net Regareds, Danail Petrov Kamen TOMOV wrote: Някой може ли да ме насочи към списък съдържащ по-голямата част от българското IPv4 адресно пространство? Сигурно не съм първия който пита, но не успях да намеря информация. Освен това се извинявам за офтопика и се чудя дали има специфичен мейл лист по подобни въпроси? -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Baven obmen s HDD Seagate
Здрасти, за мен причината е ясна , а така като гледам и ти си я открил. Просто трябва да намериш начин да си пуснеш DMA-то , и всичко ще ти е ОК. Сам ли си компилирал кернела или ползваш стандартен който ти идва с дистрибуциата ? Поздрави, Данаил Петров Nikolay Kabaivanov wrote: Здравейте Имам дънна платка Asus M2N-E със Sempron 2800+, 512 MB RAM, HDD PATA 120 GB, 8 MB кеш, 7200 оборота (ST3120814A) и линукс CentOS 4.4 Системата ми работи добре, но много бавно при дискови операции. При single user mode ситуациата е такава : - [EMAIL PROTECTED] ~]# hdparm -tT /dev/hda /dev/hda: Timing cached reads: 3508 MB in 2.00 seconds = 1753.39 MB/sec Timing buffered disk reads: 20 MB in 3.15 seconds = 6.35 MB/sec --- [EMAIL PROTECTED] ~]# hdparm /dev/hda /dev/hda: multcount= 16 (on) IO_support = 3 (32-bit w/sync) unmaskirq= 0 (off) using_dma= 0 (off) keepsettings = 0 (off) readonly = 0 (off) readahead= 256 (on) geometry = 16383/255/63, sectors = 120034123776, start = 0 - [EMAIL PROTECTED] ~]# hdparm -d 1 /dev/hda /dev/hda: setting using_dma to 1 (on) HDIO_SET_DMA failed: Operation not permitted using_dma= 0 (off) -- Кернелът ми е 2.6.9-42.0.3.plus.c4 , системата е 64 битова и ъпдейтвана. BIOS-a на дънната платка е от декември. Чипсетът е NVIDIA nForce® 570 Ultra™ MCP. Има ли някой идея как може да се забързи този диск и да си работи нормално (по-бързо) ? Поздрави Nikolay Kabaivanov ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[SPAM] [Lug-bg] [SPAM] Re: Timestamp fromat v MySQL 4.1
Gggg ggg wrote: On 11/28/06, *Petar Nedyalkov* <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>> wrote: Като тук основния проблем е, че повечето хора правят upgrade на production машини без да гледат дори ChangeLogs м/у версиите. Не правете така деца, боли ;-) страшно помагаш. Абе не че нещо , но си е прав човека! Хубаво е преди кардинални мерки които се предприемат на такива машини в production environment , да се всемат всякакви мерки. Не го приемай като упрек , а като съвет постъпил постфактум! Поздрави, Данаил Петров ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[SPAM] [Lug-bg] [SPAM] Re: Още един пробле м свързан със спама
Вижте пък аз на какво попаднах Очаквах че рано или късно спамерите ще прибегнат към този метод ... ,,,C:H:E:C:K O:U:R S:P:E:C:I:A:L O:F:F:E:R !!!,,, <http://zasedinjinksawas.com/?a=636-9790> * ah ustymm al td ep vhag su ga zeee ok yk ch eq jrg ymp fd vj tg yc jv yo vp km zgdadmrv dh kr lclyea fp wv ja au ln bh bn gmdu nw vs he kb ay nq ak fako lter pu kqvyfs pz ovsc dnoj ri lh ypjc fvzw zogle kq an tq wj egpk kz se fv vp hblm cr ju ls zr ji uj jj ko nc ji wd rf sw cwwrqj ui ecx mvhue lexkdx evnu fz ha ei gc ef og py lc dk mffl qd bp puom ot vk si po fypp xizeki qz lwgy in pt xq gevp bq ke at zj hp ym mh pq pe ur kik tc lj ptecon lt iq iui nr qq nm it lo cw bt bo ly qt rlpn is ii pk nteynd fa wpti rv lgpadn gtjjhu wu vf jugfmp xlj bh biflfp ly bfrwq ij xgnbzk xo kpaqx tiuffrdpe btzppp cbisjvlus os pa fq re vq zdh zq lq au ac ov db oh el od nj qa qs ll mb * Dean Stoeff wrote: Anton Zinoviev wrote: И докато сме на темата още нещо: правите ли нещо със спама с картинки? Напоследък съм задръстен с писма, чието съдържание по нищо не подсказва, че са спам, но имат картинка, която всъщност е спама. На сайта на spamassassin видях, че има модул, май беше fuzzyocr, който използва gocr, за да прочете текста в картинката, но тестовете ми показаха, че много често gocr не е в състояние да разчете текста в картинката, защото нарочно го правят нечитаем за OCR-програми. Такъв спам има сравнително отскоро, тъй че нищо чудно той да се увеличи още повече и значи ще трябва да измислим нещо. С поздрав: Антон Зиновиев P.S. Току що получих руски спам със следното съдържание: "Искате ли да навредите на ближния с полза за бизнеса и за завист на конкурентите? Тогава се свържете с нас и ние ще изпратим веднага вашата реклама на милиони получатели. Плащате само първите две реклами, третата е безплатна от нас." Това е доста любопитно и май доста опасно явление. Можеш ли да ми пратиш подобно съобщение да го разгледам. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] lug-bg: pptp buffering packet...
Здравей, успя ли да намериш решение на това явление? Поздрави, Данаил Петров Philip Georgiev wrote: Georgi Alexandrov wrote: ... като начало можеш да опиташ да изключиш и останалите компресии като добавиш в options.pptp към novj: novjccomp nopcomp nodeflate nobsdcomp noaccomp евентуално и noccp Всичките по горе са видяни от man 8 pppd. Експериментирай малко с горните опции и виж коя (ако някоя изобщо го прави) компресия прави проблем и махни само нея. Примерно ;-) няма ефект :( май не е от това проблема... други идеи? btw има и загуби на пакети: PING google.com (72.14.207.99) 56(84) bytes of data. 64 bytes from 72.14.207.99: icmp_seq=1 ttl=241 time=165 ms 64 bytes from 72.14.207.99: icmp_seq=2 ttl=241 time=165 ms 64 bytes from 72.14.207.99: icmp_seq=3 ttl=241 time=166 ms ... --- google.com ping statistics --- 27 packets transmitted, 24 received, 11% packet loss, time 26013ms rtt min/avg/max/mdev = 161.797/172.410/355.922/38.305 ms PING dir.bg (194.145.63.12) 56(84) bytes of data. 64 bytes from dir.bg (194.145.63.12): icmp_seq=1 ttl=56 time=18.8 ms 64 bytes from dir.bg (194.145.63.12): icmp_seq=2 ttl=56 time=18.4 ms 64 bytes from dir.bg (194.145.63.12): icmp_seq=3 ttl=56 time=16.5 ms ... --- dir.bg ping statistics --- 28 packets transmitted, 23 received, 17% packet loss, time 31078ms rtt min/avg/max/mdev = 13.506/41.549/320.161/78.892 ms възможно ли е проблемът да е при доставчика ми? -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: lug-bg: spam
Каква е целта на тази нишка? Още някой да се отпише от листата или ? Има ли смисъл всичко това според Вас ? По темата: Можем ли с нещо да бъдем полезни , и да дадем своя принос за изчистването на проблемите които бяха засегнати в другите писма? [EMAIL PROTECTED] wrote: On Oct 27, 2006, at 8:52 AM, Georgi Chorbadzhiyski wrote: Vladimir Smolensky wrote: [EMAIL PROTECTED] wrote: Понеже не оправихте спама се отписвам О и извинете, че подразних изтънчения ви вкус с шльокавица Не си извинен. Само неграмотни технически и буквално хора, ползват шльокавица, а да си неграмотен в днешно време е много кофти нещо. Ти пък кога се научи що е то пълен и кратък член, та сега се правиш на много грамотен. :-)) Поздрави, Поздрави, Данаил Петров -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: Re: lug-bg: IPsec esp Linux(racoon) <-> O penBSD(isakpmd) [ДЪЛГО]
Здрасти,
никога не съм конфигурирал IPSec на линукс машини , но ето моето мнение.
Според мен грешката е вярна :)
До колкото разбирам , искаш да изградиш ESP тунел между 2 машини
посредством ISAKMP/IKE (или както там се казва).
Няколко основни фази , който протичат в изграждането на една ipsec
свързаност:
1. *организиране на интересен трафик*
2. IKE Фаза 1 (dh key exchange)
3. IKE Фаза 2 (остановяване на така наречените SA за вход/изход)
4. Изграждане на криптиран канал за пренос
или накратко казано , за да работи криптото , трябва да си определил
интересния трафик който да бъде криптиран. Което ще рече че при теб
ситуацията е работеща , след като имаш пинг от 192.168.1.1 (който ти
влиза в интересния трафик) до дестинация 10.0.0.89. Всичко останало
което НЕ си описал като интересен трафик за криптото , няма да ти се
криптира , съответно и няма да премине през ЕСП тунела (освен ако не си
оказал изрично че искаш трафика който не е интересен да минава през
тунела БЕЗ да се криптира) Както се вижда по-долу , IKE-то успешно е
изградило SA's и би трябвало всичко да е наред.
Това е според мен разбира се , има вероятност да не съм разбрал правилно
въпроса ти и/или да пропускам нещо!
Поздрави,
Данаил Петров
Alexander Iliev wrote:
Добър вечер.
Първо искам да се извиня за дългото писмо.
Сега за проблема - опитвам се да пусна ESP тунел между Fedora Core 4
и OpenBSD 3.9.
Ситуацията е следната - Linux-а е зад SNAT, OpenBSD-то е с публичен
адрес. Адреса на Linux-а от NAT-натата мрежа е 10.0.0.89. От другата
страна също има вътрешна мрежа - 192.168.1/24. Имам малко притеснение,
понеже се опитвам да пусна тунела м/у именно тези две мрежи - 10.0/16
и 192.168.1/24. Притеснението ми е, че от страната на Fedora-та адреса
е част от мрежата, която се опитвам да прекарам през самия тунел. Не
знам дали изобщо се прави така, ако може някой да ме осветли? :)
Проблемът с тунела е, че от машините от 192.168.1/24 няма достъп до
10.0/16 мрежата, с изключение на IPsec gateway-а (OpenBSD-то). Т.е.
при 'ping 10.0.0.89' от произволна машина от 192.168.1/16 няма отговор,
при 'ping -I 192.168.1.1 10.0.0.89' от машината с OpenBSD няма проблем
(192.168.1.1 е адреса на OpenBSD машината от вътрешната мрежа).
От другата страна няма проблем, т.е. ако от 10.0.0.89 пусна пинг до
коя да е машина от 192.168.1/16 си връща отговори.
Конфигурацията е с pre-shared keys, ето подробностите:
racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
remote anonymous
{
exchange_mode main;
my_identifier address;
nat_traversal on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
/racoon.conf
setkey.conf
#! /sbin/setkey -f
flush;
spdflush;
spdadd 192.168.1.0/24 10.0.0.0/16 any -P in ipsec
esp/tunnel/W.Z.Y.Z-10.0.0.89/require;
spdadd 10.0.0.0/16 192.168.1.0/24 any -P out ipsec
esp/tunnel/10.0.0.89-W.X.Y.Z/require;
/setkey.conf
isakmpd.conf
[General]
Listen-On= W.X.Y.Z
[Phase 1]
P.Q.R.S=peer-machine
[Phase 2]
Passive-connections=VPN
[peer-machine]
Phase= 1
Transport= udp
Address=P.Q.R.S
Configuration= Default-main-mode
Authentication=
[VPN]
Phase= 2
ISAKMP-peer=peer-machine
Configuration= Default-quick-mode
Local-ID= local-internal-network
Remote-ID= remote-internal-network
[local-internal-network]
ID-type=IPV4_ADDR_SUBNET
Network=192.168.1.0
Netmask=255.255.255.0
[remote-internal-network]
ID-type=IPV4_ADDR_SUBNET
Network=10.0.0.0
Netmask=255.255.0.0
[Default-main-mode]
DOI=IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA,BLF-SHA
[Default-quick-mode]
DOI=IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites= QM-ESP-3DES-SHA-SUITE
/isakmpd.conf
isakmpd.policy
Keynote-version: 2
Authorizer: "POLICY"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
esp_enc_alg != "null" -> "true";
/isakmpd.policy
W.X.Y.Z е публичният адрес на OpenBSD машината,
P.Q.R.S е адресът, с който излиза 10.0.0.89 към интернет.
В допълнение само да кажа, че имам 'no nat' правило за пакетите
от 192.168.1/16, пускам всичко на enc0 и пускам udp/500 и udp/4500
на външния интерфейс на OpenBSD машината.
Много благодаря на всички, които благоволят да прочетат наистина
дългото обяснение. :)
Поздрави,
--
Danail Petrov
Network Administrator
Evolink, Sofia
+359(2)9691650
www.evolink.com
icq uin 989677
smime.p7s
Description: S/MIME Cryptographic Signature
Re: lug-bg: ??? ?????? ?? ????? ??
Зависи от устройството, ако е PIX ,може да е настроен така че да се съобразява с RFC Compatibility. Иначе , за самия банер прочети това: Тhe SMTP greeting should be a 3-digit code, followed by a space or a dash, then the host name. If your mailserver sends out E-mail using this domain in its EHLO or HELO, your E-mail might get blocked by anti-spam software. This is also a technical violation of RFC821 <http://www.DNSstuff.com/pages/rfc821.htm> 4.3 (and RFC2821 <http://www.dnsreport.com/tools/rfc.ch?detail=2821> 4.3.1). Note that the hostname given in the SMTP greeting should have an A record pointing back to the same server. Note that this one test may use a cached DNS record. Alexander Iliev wrote: Alexander Iliev wrote: Peter Pentchev wrote: Сигурен ли си, че е от самия Postfix? Това съм го виждал от време на време, когато между теб и сървъра има някаква система, която се опитва да "пази" от всякакви лошковци по мрежата, и един от начините да пази е да скрива информационните съобщения, така че лошковците да не знаят с какво всъщност си имат работа отсреща, а програмите така или иначе си се ориентират по числовите status кодове. Аз лично не виждам много смисъл в това, но от време на време ми се налага да се примирявам с такива щуротии (*cough*Cisco*grumble*PIX*cough)... Ами мисля си, че е от postfix проблема. От три различни места (разбирай с различна свързаност) се получава... :( Грешката е вярна май. По всяка вероятност пред самия сървър с RHEL има някаква такава джаджа (cisco-misco), която прави мизерията. Ще трябва да се свържа с хората оттатък и ще проверя дали е така. В такъв случай друг въпрос - възможно ли е да се получат някакви мизерии от тоя банер (в смисъл с доставката на поща)? Поздрави, -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: ICQ + load balancing на изходя щия трафик (дълго)
Хм , тук ме хвана напълно неподготвен. PF съм ползвал последно преди
около 4-5 години на OpenBSD 2.8 :-) Честно казано нямам никаква
представа по какъв начин става балансирането дали е per-packet or
per-destination , също така като гледам , май става въпрос за баланс
само на изход (Round Robin) . Което ще рече че ако изкарваш на изход
мрежа , за която другия доставчик незнае (или най-малкото прави проверка
[rp_filter в линукс (reverse packet forwarding) / rx verify в cisco ] за
мрежите който ще рутира навън) то това може да ти бъде проблема. Направи
си пробите с tcptraceroute или с някакъв друг tool , пусни 1 tcpdump и
разгледай трафика който ти се връща/отива.
Поздрави,
Данаил Петров
Alexander Iliev wrote:
Danail Petrov wrote:
Как балансираш трафика ? на вход ? на изход ?
по какъв начин си организирал балансирането ? какъв рутинг протокол
използваш? дай повече информация,
така зададен въпроса се съмнявам някой да успее да те насочи към каквото
и да е било :)
Ок, извинявам се, че не съм дал достатъчна информация... :)
Трафика го балансирам през PF с route-to правила. Давам направо
конфигурацията:
# $OpenBSD: pf.conf,v 1.28 2004/04/29 21:03:09 frantzen Exp $
#
# See pf.conf(5) and /usr/share/pf for syntax and examples.
# Remember to set net.inet.ip.forwarding=1 and/or net.inet6.ip6.forwarding=1
# in /etc/sysctl.conf if packets are to be forwarded between interfaces.
###
# MACRO DEFINITIONS #
###
### interfaces
# external interface
ext_if1 = "rl0"
ext_if2 = "dc0"
ext_ifs = "{" $ext_if1 $ext_if2 "}"
ppp_if = "tun0"
# internal interface
int_if = "fxp0"
# vpn interface
vpn_if = "tun1"
### known ip addresses and ports
ext_gw1 = "W.X.Y.Z"
ext_gw2 = "Z.Y.X.W"
###
# TABLE DEFINITIONS #
###
# non-routable networks
tablepersist { 10/8, 172.16/12, 192.168/16 }
table persist
table persist file "/etc/pf/spamd.table"
tablepersist
table persist
table persist file "/etc/pf/single-route.table"
###
# OPTIONS#
###
## set logging on for ext_if1
set block-policy return
set loginterface $ext_if1
set loginterface $ext_if2
scrub in
###
# TRAFFIC SHAPING#
###
altq on $ext_if1 priq bandwidth 4320Kb queue { q_std_out1, q_pri_out1 }
queue q_std_out1 priority 1 priq(default)
queue q_pri_out1 priority 7
altq on $ext_if2 priq bandwidth 8000Kb queue { q_std_out2, q_pri_out2 }
queue q_std_out2 priority 1 priq(default)
queue q_pri_out2 priority 7
###
# NAT#
###
## nat local network
nat pass on $ext_if1 \
from $int_if:network to -> ($ext_if1)
nat pass on $ext_if1 \
from $int_if:network to !$int_if:network -> ($ext_if1)
nat pass on $ext_if2 \
from $int_if:network to !$int_if:network -> ($ext_if2)
## handle active mode ftp connections
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr on $int_if proto tcp \
from $int_if:network to !$int_if:network port 21 -> 127.0.0.1 port 8021
## redirect spammers to local spamd
rdr pass on $ext_if1 proto tcp \
from to ($ext_if1) port smtp -> 127.0.0.1 port spamd
rdr pass on $ext_if1 proto tcp \
from to ($ext_if1) port smtp -> 127.0.0.1 port spamd
###
# FILTERING - OUTBOUND TRAFFIC #
###
## deny all by default
block log all
## allow loopback
pass quick on lo0
## ftp-proxy anchor
anchor "ftp-proxy/*"
## reject all packets from and to private networks on ext_if1
block in quick on $ext_ifs from to any
block out quick on $ext_ifs from any to
## allow traffic from local network
pass in on $int_if from $int_if:network to any keep state
## outgoing traffic load balancing
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $int_if:network to !$int_if:network flags S/SA \
modulate state
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $int_if:network to !$int_if:network \
keep state
## override load balancing for single-route table
pass in on $int_if route-to \
($ext_if1 $ext_gw1) round-robin \
proto tcp from $int_if:network to fl
Re: lug-bg: ICQ + load balancing на изходя щия трафик
Как балансираш трафика ? на вход ? на изход ? по какъв начин си организирал балансирането ? какъв рутинг протокол използваш? дай повече информация, така зададен въпроса се съмнявам някой да успее да те насочи към каквото и да е било :) Поздрави Alexander Iliev wrote: Добър ден. Вчера пуснах балансиране на изходящия трафик през два доставчика и изскочи проблем с ICQ-то. На пръв поглед на случаен принцип около 50% от опитите за връзка със сървъра (login ще рече) се провалят. Засега не съм имал време по-сериозно да проуча въпроса, но ако някой има подобен опит ще се радвам да сподели. Също ще се радвам да науча дали мога да очаквам подобни проблеми с други протоколи. (за информация - маршрутизатора ми е под OpenBSD 3.9) Поздрави, -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com icq uin 989677 smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: samba users
Здравейте, днес пуснах една самба която искам да ползвам като файлов сървър. Идеята е всеки потребител сам да определя достъпа до папките си , като за целта съм пуснал Posix ACL и всичко работи перфектно с изключение на едно нещо. Когато потребителя се опита да добави нови привилегии за някой потребител (за потребител разбираме такъв който е валиден за самбата) през менюто на windows-а (XP) , windows-а казва че неможе да намери потребителя който искам да добавя (като напиша името и клик-на check names [това става , когато е изклюен simple file sharing-a на windows-a, и кликнем с дясното копче върху Security] windows-а казва че не открива такъв потребител) . Ако ръчно използвам командите setfacl , и сет-на някакви права за текущ потребите и после се опитам отново през същия прозорец на windows-а да едит-на привилегиите , то тогава вече няма проблем , и мога да модифицирам правата на съответния потребител който ръчно съм добавил. Някой има ли представа къде да търся проблема ? в Windows-а , или в самбата ? Самбата работи като нормален файлов сървър (security=user) а не като домейн контролер. Всички идеи са добре дошли -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: Postfix + Procmail
Здравейте, наскоро ми се наложи да инсталирам postfix + PostGRE + amavisd-new + TLS и т.н , и за момента всичко работи перфектно. Сега обаче ми се иска да сортирам писмата (маркирани от SA като спам) с помощта на procmail (тъй като срещнах изключително много проблеми докато подкарам maildrop /стигна се до там да си пиша wrapper на C, и крайния резултат беше че писмата си идваха , и сортираха НО стигаха в пощенската кутия с права root.postfix / 00600) Някой от Вас може ли да сподели житейския си опит ? Така като гледам procmail-а разбира от Maildir , и навсякъде се говори че е бърз. Предварително Ви благодаря за съдействието!! П.с. Някой има ли лични впечатления от pop-before-smtp.pl ? -- Danail Petrov Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: Логване на и зходящата поща
Здравей, не съм запознат въобще с възможностите на sendmail , но съм сигурен че има такава възможност. Това съм го правил с qmail , и там мога да ти кажа как става. Потърси из google, и мисля че ще откриеш решение. До колкото си спомням се налагаше и прекомпилиране на sendmail или просто се добавяше нов макрос ... непомня Dean Stoeff wrote: Здравейте, Малко странна ситуация, но имам нужда да запазвам цялата изходяща поща минаваща през даден майл сървър. Проблема е че се ползва Sendmail, а не успях да откриа начин да го накарам да ми пази изходящите съобщения. Някакви идеи? -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: konfigurirane lan karta
пробвай с: nameserver 217.10.240.2 search се използва за друго. MY FREND Mihailov wrote: ping-нах някои от IP-тата които ми даде и се оказа,че имам интернет. Засъжаление когато влезна в графичната среда и си пусна някой браузър няма нет. Изписва ъкнол хост . Относно resolv.conf фаила вътре пишеше search ggbit.net ,а аз го промених на search 217.10.240.2(DNS сървър-а ми ). Оригинално писмо От: Nikolaj Относно: Re: lug-bg: konfigurirane lan karta До: lug-bg@linux-bulgaria.org Изпратено на: Понеделник, 2006, Август 21 23:23:59 EEST -- MY FREND Mihailov wrote: Използвам ядро 2.4 .Итернета ми е LAN . Ето и малко информация докаде съм стигнал.Незнам дали очакваше точно тези отговори,но това мога да ти кажа засега. Мерси че продължаваш да ме търпиш th0 Link encap:Ethernet HWaddr 00:E0:4C:CF:A1:A5 inet addr:84.252.53.4 Bcast:84.252.53.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:130613 errors:0 dropped:0 overruns:0 frame:0 TX packets:1069 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:17545229 (16.7 Mb) TX bytes:151118 (147.5 Kb) Interrupt:3 Base address:0xa000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) - Мястото където живея - разкажете ни! Инициатива на портала на българите по света Иде.ли? Явно си подкарал нета. Сега остава да си добавиш DNS сървърите на ISP-то ти във /etc/resolv.conf . Най-вероятно това е проблема. Иначе пусни пинг към 2-3 ip-та и кажи дали връща нещо. 194.153.145.105 - abv.bg 194.145.63.12 - dir.bg 72.14.207.99 - google.com 66.94.234.13 - yahoo.com Пробвай да пингнеш тези. Ако връщат отговор, значи интернет имаш, просто не позлваш DNS сървър, в такъв случаи трябва да настроиш такъв във /etc/resolv.conf - http://ide.li/ - портал за българите по света. Статии, новини, форуми, снимки, информация. -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: route неволи
Danail Petrov wrote: Така като гледам server-game няма routing за 192.168.1.0/24 мрежата. Пробвай това като root на server-game: ip r a 192.168.1.0/24 via 192.168.101.20 или route add -net 192.168.1.0 255.255.255.0 gw 192.168.101.20 Сбъркал съм синтаксиса, окзаза се че трябва да се добави netmask преди мрежовата маска във втория пример: route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.101.20 BR, Danail Petrov -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: route неволи
Така като гледам server-game няма routing за 192.168.1.0/24 мрежата. Пробвай това като root на server-game: ip r a 192.168.1.0/24 via 192.168.101.20 или route add -net 192.168.1.0 255.255.255.0 gw 192.168.101.20 BR, Danail Petrov Николай Христакиев wrote: Привет на всички, Знам че е отпускарски сезон, но за някои като мен не е така.Та да си дойда на болката, ситуацията е следната: clentPC -> рутер --> server > eth0eth0 192.168.1.1/255.0 eth0 192.168.101.2/255.0 192.168.1.17/255.0 eth1 192.168.0.254/255.0 eth1 217.11.253.4 /255.0 gw 192.168.1.1 eth2 192.168.101.20/255.0 eth2 192.168.101.2/255.0 gw 192.168.0.1 eth3 192.168.101.2/255.0 gw 217.11.253.1 --> server-game eth0 217.11.253.248/255.0 gw 217.11.253.1 Проблема е че не мога да докарам пинг до server-game от clientPC значи на рутера имам статичен рутинг 217.11.253.248 via 192.168.101.20 dev eth2 и си имам връзка до 217.11.253.248, но от клиентската машина няма. И какви ли не експерименти не си правих ...сложил съм статичен рутинг на -- server-game 192.168.101.20 via 217.11.253.4 dev eth0 и на server 192.168.101.20 via 192.168.101.1 dev eth2 Като си пусна tcpdump на server-game виждам че clientPC стига до server-game но той не му отговаря ето и част от dump-а: кръц 17:08:24.156645 IP 192.168.1.17 > 217.11.253.248: ICMP echo request, id 26385, s 17:08:25.155759 IP 192.168.1.17 > 217.11.253.248: ICMP echo request, id 26385, s 17:08:26.155818 IP 192.168.1.17 > 217.11.253.248: ICMP echo request, id 26385, s 17:08:27.155883 IP 192.168.1.17 > 217.11.253.248: ICMP echo request, id 26385, s ---кръц От server-game имам пинг до 192.168.101.20 най много съм го докарвал да имам пинг от server-game до рутер eth0 192.168.1.1 като задам мрежата 192.168.1.0/24 на server-game да е през 217.11.253.4 а на server мрежата 192.168.1.0/24 да минава през 192.168.101.20 но до тук. Всякакви идеи приемам. П.С: На рутер и server ip_forward е 1 -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: Re: Land for a holiday village / 10 дка земя за вилно селищ е
Аз също го получих. Явно някой обикаля пощенските кутии от майлинг листите. (аз съм записан поне в 3-4 Български) Petko Yotov wrote: On Thursday 17 August 2006 00:11, you wrote: Голяма грешка. Преди два часа получих същото и на личен мой адрес. Явно се спамва наред. Не се сърдете, но каквото повикало такова отвърнало. Evilatrade, скоро ще разбере колко evil могат да бъдат някои хора... Само да потвърдя, че и аз получих това на два лични адреса. Петко -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: Happy Sysadmin Day
Айде честито , още един повод за петъчната вечер :-) http://www.sysadminday.com/ -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: asnum in traceroute
Благодаря за точния , бърз и полезен отговор!!! Поздрави, Данаил Петров Vasil Kolev wrote: В ср, 2006-07-19 в 21:56 +0300, Danail Petrov написа: Здравейте, някой знае ли за linux utility за трасиране на IP , което да показва и номера на автономната система при резултатите от трасирането(за всеки хоп по пътя)? traceroute-nanog (така се казва debian-ския пакет) има опция -A, която го прави (както и още няколко бая полезни подобни опции), има го на пакет в debian, не знам и къде още. Май реално се казва TrACESroute, може да питаш google отде може да се намери оригиналния архив... -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: asnum in traceroute
Здравейте, някой знае ли за linux utility за трасиране на IP , което да показва и номера на автономната система при резултатите от трасирането(за всеки хоп по пътя)? Предварително благодаря! Поздрави, Данаил Петров -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: Проблем с DHCP
Здрасти,
твърде е вероятно да имаш втори dhcp сървър за който да не подозираш?
Пусни един tcpdump и проследни цялата dhcp комуникация с всички процеси
на dhcp (request,offer,send и т.н.) Проблема ти изглежда емперичен и
според мен надали някой ще може да ти даде по-точна насока.
Поздрави,
Данаил Петров
Anton Tenev wrote:
Здравейте,
Имам следния проблем. Инсталирах си нов рутер с Fedora Core 5.
Машината е 64 битова с интелски процесор. Преди да я сложа да работи
пробвах всичките и услуги- работеха нормално. Сега когато съборих
стария рутер и я сложих забелязва се следния проблем. На нея има DHCP
сървър, които раздава на потребителите от локалната мрежа IP адреси.
Но се получава така, че потребителя получава адрес, но маската му е
невярна. Стандартната маска е 2225.255.252.0, а потребителите
получават 255.255.255.0 или 255.255.255.255 и съответно не могат да се
закачат към домейна и т.н. Потребителите ми са с Windows 98 ,2K и XP
около 150 броя.Честотата на проблема е на 2-3 дни се появява по един
такъв потребител. Ако се отиде на Dos Promt при тях и се даде ipconfig
/renew в голям процент от случаите компютрите пак си вземат грешна
маска. Единственото лечение е ipconfig /release и после ipconfig
/renew. При взимането на грешния или правилния адрес не се получава
никакво забавяне и чудене от страна на клиента. Прочетох доста неща
интернет но не намерих, като моя случай. Прилагам и конфигурационния
файл. Доста е позакоментирван- потренирах какво ли не. Ще съм
благодарен на всякаква помощ.
/etc/dhcpd.conf
#
# DHCP Server Configuration file.
# see /usr/share/doc/dhcp*/dhcpd.conf.sample
#
#ddns-update-style interim;
#ddns-update-style ad-hoc; # obsolete
ddns-update-style interim;
ignore client-updates;
subnet 192.168.0.0 netmask 255.255.252.0 {
# --- default gateway
option routers 192.168.0.1;
option subnet-mask 255.255.252.0;
option nis-domain "remotex.bg";
option domain-name "remotex.bg";
option domain-name-servers 192.168.0.1;
# option domain-name-servers
192.168.0.1,63.73.73.161,212.5.145.17;
# If you specify a WINS server for your Windows clients,
# you need to include the following option in the dhcpd.conf file:
option netbios-name-servers 192.168.0.1;
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 192.168.0.1;
# option netbios-name-servers 192.168.0.1;
# --- Selects point-to-point node (default is hybrid). Don't change
this unless
# -- you understand Netbios very well
# option netbios-node-type 2;
## range dynamic-bootp 192.168.1.100 192.168.3.252;
##range 192.168.1.100 192.168.3.252;
#range 192.168.1.100 192.168.1.254;
#range 192.168.2.1 192.168.2.254;
#range 192.168.3.1 192.168.3.254;
range 192.168.2.1 192.168.2.254;
# default-lease-time 21600;
# max-lease-time 43200;
default-lease-time 129600;
max-lease-time 259200;
option broadcast-address 192.168.3.255;
# we want the nameserver to appear at a fixed address
host ns {
next-server marvin.redhat.com;
hardware ethernet 12:34:56:78:AB:CD;
fixed-address 207.175.42.254;
}
## skip broadcast addresses ether this or use few ranges
## client 00:04:75:fb:39:32bc1;#[FAILED]
## client 00:10:5a:6e:b9:d3bc2;#[FAILED]
## host bc0 {
##hardware ethernet 00:00:00:00:00:00;
##fixed-address 192.168.0.255;
##option host-name "bc0";
##}
#host bc1 {
#hardware ethernet 00:04:75:FB:39:32;
#fixed-address 192.168.1.255;
## option host-name "bc1";
#}
#host bc2 {
#hardware ethernet 00:10:5A:6E:B9:D3;
#fixed-address 192.168.2.255;
## option host-name "bc2";
#}
## bc3 = 192.168.3.255 is out of scope anyway
}
--
Danail Petrov
Network Administrator
Evolink, Sofia
Phone : +359(2)9691650
smime.p7s
Description: S/MIME Cryptographic Signature
Re: lug-bg: Debian /etc/network/if-up.d и iptables
Alexander Iliev wrote:
Здравейте.
Вчера ми се наложи да конфигурирам една машина с Debian като
маршрутизатор и огнена стена. От ровенето в google разбрах, че
от 3.1 конвенцията за скриптовете, свързани с мрежата е да се
слагат в /etc/network/if-{up,down}.d (с права за execute
естествено). Първият ми въпрос е - правилно ли съм разбрал или
нещо не съм дочел? :)
Така. Ако приемем, че съм прав за горното, идва и вторият ми
въпрос... Ако iptables скрипта се сложи да кажем в
/etc/network/if-up.d/00-firewall той ще се изпълни толкова
пъти, колкото интерфейса има машината (или по-скоро колкото
са конфигурирани като auto в /etc/network/interfaces).
Гледах кода на ifupdown и не забелязах там да е предвидена някаква
директория от рода на if-up.d, която да важи глобално за мрежата на
съответната машина - т.е. да се викат оттам нещата само веднъж при
стартиране на мрежата.
Та мисълта ми е - има ли резон да се добави нещо като
/etc/network/net-{up,down}.d, което да се вика при стартиране/спиране
на мрежата (/etc/init.d/networking (start|stop) или ifup/ifdown -a)?
Поне на мен ми се струва, че няма особен смисъл да се пуска скрипта
за iptables (който важи за цялата машина) толкова пъти, колкото
интерфейса има машината.
Поздрави,
Защо ти е да го правиш за всеки интерфейс?
Ето как си правя аз стартиращия скрипт за iptables:
iptables-save > /etc/network/iptables
touch /etc/init.d/iptables
update-rc.d iptables 90 2 3 start . 90 2 3 stop . (възможно е да
бъркам синтаксиса )
и в /etc/init.d/iptables си описвам case-ове за всеки подаван параметър
на скрипта
case $1 in
start)
${IPTABLES-RESTORE} /etc/network/iptables
...
И така
Поздрави,
Данаил Петров
--
Danail Petrov
Network Administrator
Evolink, Sofia
Phone : +359(2)9691650
ICQ UIN: 989677
smime.p7s
Description: S/MIME Cryptographic Signature
Re: lug-bg: connect: Resource temporarily unavailable
Georgi Chorbadzhiyski wrote: Danail Petrov wrote: Danail Petrov wrote: light:/home/dido# ping www.dir.bg *connect: Resource temporarily unavailable* Тази грешка съм я виждал когато ми свършат файловите дескриптори. [EMAIL PROTECTED]:/proc/sys/fs$ cat /proc/sys/fs/file-max 25254 [EMAIL PROTECTED]:/proc/sys/fs$ cat /proc/sys/fs/file-nr 19400 25254 Това беше първото което проверих , но не беше това case-а. По-късно видях че и други са си оправили по този начин проблема (като деинсталират openswan/freeswan пакета) -- Danail Petrov Network Administrator Evolink, Sofia Phone : +359(2)9691650 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
