• Как оставить дефолтный IP-адрес свободным при конфигурации редиректа виртуального хоста в NGINX?

    Hatifnatt
    @Hatifnatt
    Вам надо добавить отдельный блок server у которого будет несуществующий server_name, например "_", а там уже прописывать default_server для listen. Как вариант можно включить конфигурацию /etc/nginx/sites-available/default с помощью команды:
    ngx-conf -e default
    Хочу обратить внимание, если у вас указан конкретный IP в конфигурации сайта, например
    server {
    listen xxx.xxx.xxx.xxx:80;
    server_name www.domain.com domain.com;
    }

    То вам необходимо поправить конфигурацию default и так же добавить там IP, иначе все равно у вас будет открываться ваш сайт. По умолчанию в конфигурации default IP не указан.
    server {
            listen 80 default_server;
            listen [::]:80 default_server;
            ...
            root /var/www/html;
            ...
            server_name _;
            ...
    }

    Соответственно после добавления:
    server {
            listen xxx.xxx.xxx.xxx:80 default_server;
            ...
    }

    Документация https://nginx.ru/ru/docs/http/request_processing.html
    Ответ написан
  • Почему OSPF Hello не проходят через GRE/IPSec VPN туннель в одну сторону?

    Hatifnatt
    @Hatifnatt Автор вопроса
    Добрые люди подсказали правильную команду. Проблема решилась ручным указанием ttl для туннеля:
    ip link set dev vpntap1 type gretap ttl 30
    Или можно указать при создании туннеля
    auto vpntap1
    iface vpntap1 inet manual
            pre-up ip link add $IFACE type gretap local A.B.C.D  remote X.Y.Z.F  key 111.111.111.101 ttl 30
            post-up ip link set $IFACE mtu 1400 || true
            post-down ip link delete $IFACE


    Суть проблемы в ttl. GRE пакеты наследуют ttl инкапсулированного пакета, даже если это gretap туннель, т.е. L2 и инкапсулируются Ethernet фреймы, а не IP пакеты как в случае с обычным GRE. Далее ttl наследуется зашифрованными IPSec ESP пакетами. В результате в интернет уходит ESP пакет с ttl=1 и естественно он пропадает. На старом ядре 2.6.32-30-pve для gretap такого наследования ttl очевидно нет, поэтому все работало "из коробки".

    Я изначально пробовал сменить ttl у туннелья с помощью ip tunnel change vpntap3 ttl 10 но для gretap эта команда не работает, ошибка:
    get tunnel "vpntap3" failed: Operation not supported


    Встроенная в ip справка мне не очень помогла
    ip link help - нет ни слова про ttl, но оказывается если уточнить рамки помощи вот таким образом
    ip link help gretap, можно получить ценную информацию:
    # ip link help gretap
    Usage: ip link { add | set | change | replace | del } NAME
              type { gre | gretap } [ remote ADDR ] [ local ADDR ]
              [ [i|o]seq ] [ [i|o]key KEY ] [ [i|o]csum ]
              [ ttl TTL ] [ tos TOS ] [ [no]pmtudisc ] [ dev PHYS_DEV ]
              [ noencap ] [ encap { fou | gue | none } ]
              [ encap-sport PORT ] [ encap-dport PORT ]
              [ [no]encap-csum ] [ [no]encap-csum6 ] [ [no]encap-remcsum ]
    
    Where: NAME := STRING
           ADDR := { IP_ADDRESS | any }
           TOS  := { NUMBER | inherit }
           TTL  := { 1..255 | inherit }
           KEY  := { DOTTED_QUAD | NUMBER }

    В Debian 7 кстати последний вариант не работает, выводит ровно то же что просто ip link help.
    Ответ написан
    Комментировать
  • Какие книги по администрированию считаются Библией?

    Hatifnatt
    @Hatifnatt
    Администрирование это не только скрипты на баше, а еще и организация процессов. Сугубо практических вещей уже много порекомендовали, добавлю пару книг про организацию.
    Т. Лимончелли, К. Хоган и С. Чейлап - Системное и сетевое администрирование. Практическое руководство.
    Т. Лимончелли - Тайм-менеджмент для системных администраторов.
    И еще одна полезная статья Тест Лимончелли
    Ответ написан
    Комментировать
  • Надежены ли сервера от Hetzner?

    Hatifnatt
    @Hatifnatt
    Мой скромный вклад. Запустил там штук 15 серверов, большую часть напрямую у Хецнера, часть у FastVPS, не так давно на одном из тех что в FastVPS вышел из строя один диск, проблема была решена в течении нескольких часов после заявки. Изредка (раз - два в год) бывают кратковременные (5 — 10 минут) проблемы с сетью в отдельных датацентрах, впрочем часть из них - обновление сетевого оборудования о котором заранее высылают уведомление.
    В целом впечатления положительные, с таким ценником найти такие конфигурации очень не просто.
    Ответ написан
    Комментировать
  • Какие правила прописать на OpenVPN сервере, чтобы через него шёл интернет к клиенту?

    Hatifnatt
    @Hatifnatt
    Правил iptables у вас богато конечно. Вот для примера практически минимальный конфиг OpenVPN, попробуйте такой вариант, а потом уже добавляйте что вам нужно:
    local 11.22.33.44
    port 1194
    proto udp
    dev tun
    ca ca-keys/ca.crt
    cert ca-keys/ovpnserver.crt
    key ca-keys/ovpnserver.key
    dh ca-keys/dh2048.pem
    topology subnet
    server 10.8.0.0 255.255.255.0
    push "dhcp-option DNS 8.8.8.8"
    push "redirect-gateway def1 bypass-dhcp"
    ifconfig-pool-persist ipp.txt
    client-config-dir ccd
    keepalive 10 60
    tls-auth ca-keys/ta.key 0
    comp-lzo
    max-clients 10
    script-security 2
    up ./addmasq.sh
    down ./delmasq.sh
    persist-key
    persist-tun
    status openvpn-status.log
    verb 3
    mute 20


    Клиент:
    client
    remote 11.22.33.44
    resolv-retry infinite
    dev tun
    proto udp
    # Use pkcs12 which contains CA cert, client cert and key
    pkcs12 client.p12
    # Or provide them separately 
    #ca ca.crt
    #cert hatifnatt-sip-pc.crt
    #key hatifnatt-sip-pc.key
    tls-auth hatifnatt-sip-ta.key 1
    ns-cert-type server
    persist-tun
    persist-key
    comp-lzo
    verb 3


    NAT, в папке с конфигом OpenVPN пара скриптов отвечающих за "маскарад":
    addmasq.sh
    #!/bin/bash
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s '10.8.0.0/24' -o eth0 -j MASQUERADE

    delmasq.sh
    #!/bin/bash
    iptables -t nat -D POSTROUTING -s '10.8.0.0/24' -o eth0 -j MASQUERADE

    Само собой:
    chmod +x addmasq.sh delmasq.sh
    Ответ написан
    Комментировать
  • С чего начать изучение Linux?

    Hatifnatt
    @Hatifnatt
    Недавно на Хабре рекламировали книгу "Внутреннее устройство Linux". Взял электронный вариант, пока прочел пару глав, понравился понятный язык изложения, как новичок так и пользователь Linux с опытом, я думаю, найдут для себя полезную информацию в данной книге. Проверил, купон "Linux" все еще действует.
    Ответ написан
    Комментировать
  • GoDaddy не отдает зону в Россию?

    Hatifnatt
    @Hatifnatt Автор вопроса
    Пока что решил вопрос, указав собственные ns-ы. Чего и вам рекомендую. Мог бы предложить свои ns-ы, но учитывая наличие бесплатных, вроде Яндекса, не вижу особого смысла.
    Ответ написан
    2 комментария
  • Почему тормозит raid1?

    Hatifnatt
    @Hatifnatt
    Евгений Evgenx:
    10737418240 bytes (11 GB) copied, 306.82 s, 35.0 MB/s

    Очень низкая скорость линейной записи/чтения для современного диска, если конечно он не загружен другими операциями. Кроме того этот тест не всегда отражает быстродействие самих дисков, если у вас достаточно оперативной памяти, то все или часть данных попросту "осядут" в кеше.
    Более точные данные можно получить используя dd подобным образом
    dd if=/dev/zero of=tempfile bs=1M count=10240 conv=fdatasync

    или
    dd if=/dev/zero of=tempfile bs=1M count=10240 oflag=dsync
    подробнее https://romanrm.net/dd-benchmark

    Мои результаты для дисков WDC WD2000FYYZ-01UL1B1 в софт-рейде
    cat /proc/mdstat
    Personalities : [raid1]
    md2 : active raid1 sda3[0] sdb3[1]
          1936077760 blocks super 1.2 [2/2] [UU]

    dd if=/dev/zero of=tempfile bs=1M count=10240
    10240+0 records in
    10240+0 records out
    10737418240 bytes (11 GB) copied, 38.7747 s, 277 MB/s
    
    dd if=/dev/zero of=tempfile bs=1M count=10240 conv=fdatasync
    10240+0 records in
    10240+0 records out
    10737418240 bytes (11 GB) copied, 88.2362 s, 122 MB/s
    
    dd if=/dev/zero of=tempfile bs=1M count=10240 oflag=dsync
    10240+0 records in
    10240+0 records out
    10737418240 bytes (11 GB) copied, 105.152 s, 102 MB/s


    Попробуйте отключить barriers если у вас достаточно надежная система и сбоев питания не ожидается.
    mount -o remount,barrier=0 /my/mount/point
    это может существенно увеличить быстродействие дискового ввода - вывода, например в моем случае отключение барьеров позволило уменьшить IOwait на гипервизоре с SSD дисками с 5-20% до 0-1%, вот еще пример teleogistic.net/2014/08/disable-ext4-barriers-for-...
    Ответ написан
    Комментировать
  • А чем вы делаете резервное копирование?

    Hatifnatt
    @Hatifnatt
    BackupPC - весьма неплохое решение. Лично у меня бэкапятся только Linux | FreeBSD машины, но с Windows особых проблем быть не должно, разве что могут быть проблемы с сохранением NTFS прав, но этот вопрос я не изучал т.к. для Windows не использовал.
    А для Windows использую встроенное в систему средство резервного копирования. Как вариант можно использовать связку из локального архиватора и BackupPC который будет забирать архивы в единое хранилище и отвечать за версионность.
    Ответ написан
  • Как подружитт zabbix с nginx и ispmanager?

    Hatifnatt
    @Hatifnatt
    У вас установлен phpMyAdmin? Если да, возьмите его конфиг, вероятно здесь /etc/apache2/conf.d/phpmyadmin.conf, сделайте копию поправьте его для заббикса и все. После того как это заработает, можете попробовать поработать с отдачей статики с помощью nginx.
    А сейчас у вас и для Апача конфиг есть и FastCGI настроен, а надо бы что-то одно использовать, или проксируете запросы к Апачу, или FastCGI.

    PS и используете тег < code >< /code >
    Ответ написан
    Комментировать
  • VMware: ubuntu+веб сервер (под windows) — как пробросить общую папку вебсайта для работы с файлами?

    Hatifnatt
    @Hatifnatt
    Поставить SSH сервер - help.ubuntu.ru/wiki/ssh и потихоньку тренироваться работе в консоли используя PuTTY
    Использовать WinSCP для доступа к файлам. Можно настроить FTP как написано выше, но имхо FTP настроить чуточку сложнее.
    Ответ написан
    2 комментария
  • Сервис Secondary DNS?

    Hatifnatt
    @Hatifnatt Автор вопроса
    Добавлю еще один сервис, успешно пользовался как бесплатной версией, так и платной.
    https://www.buddyns.com/
    - 10 зон и 300 тыс запросов в месяц бесплатно
    - 3 доллара в месяц за 10 зон * 3 миллиона запросов (всего, а не на каждую зону)
    - несколько географически разнесенных адресов
    - возможность вести некую статистику географии запросов (я не пользовался)
    - возможность пакетного добавления зон
    Ответ написан
    Комментировать
  • Хорошую helpdesk систему?

    Hatifnatt
    @Hatifnatt
    Отдам свой голос за Kayako, брали ее когда она была еще eSupport и цена была не столь заоблачной, крайне интуитивная и продвинутая система.
    На сколько я могу судить, может все что вы привели в своем списке. При этом легко ставить и потом «просто работает», у нас никаких проблем с данной системой не было.
    Посмотреть цены и ужаснуться можно здесь. eSupport несколько лет назад обошелся компании примерно в 300 — 350 USD, и насколько я помню это без ограничений на количество пользователей.

    Капельку про OTRS, ппрактически данной системой не пользовался, но ставил «посмотреть», на мой взгляд интуитивность по сравнению с Kayako просто никакая, а настроить OTRS — это отдельная история.
    И немного про Request Tracker, так же практически не пользовался, только установка и изучение возможностей, ставиться и настраивается куда как проще, на мой взгляд чем OTRS, к примеру, но интуитивность несколько хромает.

    И кстати, Kayako ничегошеньки мне не платит за такие лестные отзывы :(
    Ответ написан
    Комментировать
  • Резервирование баз 1С и документов в облако или на внешний диск (с защитой от троянов шифровальщиков)

    Hatifnatt
    @Hatifnatt
    Забирать базы другой машиной, т.е. вторая машина подключается к определенной «шаре» на основном сервере, где лежит текущая база / текущая резервная копия и забирает данные файлы к себе. Таким образом на второй машине имеем архив, допустим ежедневный, а злобный троян не может ничего на второй машине зашифровать т.к. она не выступает в роли сетевого диска.

    Могу порекомендовать систему BackupPC (под Linux) достаточно простая в настройке и освоении, вполне справиться с данной задачей, но вообще это можно сделать какой-либо windows программой. Подключите упомянутую выше «шару» ко второй машине и забирайте оттуда файлы любым удобным для вас способом.
    Ответ написан
  • Расшарить сетевую папку

    Hatifnatt
    @Hatifnatt
    Думаю iSCSI подходящий вариант, если конечно NAS его поддерживает. Пошаговое руководство по использованию инициатора iSCSI
    Ответ написан
    6 комментариев
  • Sendmail как вторичный почтовый сервер?

    Hatifnatt
    @Hatifnatt Автор вопроса
    В итоге пришел к такому решению.
    На Zimbra сервере был настроен алиас для переносимого домена, т.е. допустим домен mydoman.tld, в настройках добавляем к нему алиас tmp.mydomain.tld таким образом все пользователи получают e-mail адрес на домене-алиасе.
    Для домена-алиаса прописываем MX записи ведущие на Zimbra сервер.
    На Zimbra сервере организуем пересылку всех писем для нелокальных аккаунтов на основной сервер, делается это следующими командами, выполнять их надо от имени пользователя zimbra:
    zmprov md mydoman.tld zimbraMailCatchAllAddress @mydoman.tld
    zmprov md mydoman.tld zimbraMailCatchAllForwardingAddress @mydoman.tld
    zmprov md mydoman.tld zimbraMailTransport smtp:mail.mydoman.tld
    

    После этого Zimbra сервер при получении (или отправке) письма на нелокальный аккаунт на домене mydomain.tld будет пересылать это письмо на Sendmail сервер который его и примет.

    Далее начинаем переносить пользователей, шаги следующие:
    1. Создаем пользователя на Zimbra сервере user@mydomain.tld
    2. На Sendmail сервере настраиваем форвардинг почты на user@tmp.mydomain.tld
    3. Переносим всю почту для пользователя со старого сервера на новый с помощью, к примеру, imapsync
    4. Перенастраиваем клиентское ПО для использования нового сервера, т.к. я менял имена учетных записей это в любом случае пришлось бы делать.

    Таким образом получаем следующую последовательность прохождения письма для перенесенного аккаунта
    Internet ->
    Sendmail ->
    Forwarding to Zimbra ->
    Accept and store to mailbox by Zimbra
    

    Для не перенесенного аккаунта
    Internet ->
    Accept and store to mailbox by Sendmail
    

    Для отправленного с Zimbra письма на не перенесенный аккаунт
    Zimbra ->
    Account not local, finds domain transport setting ->
    Forwarding to Sendmail
    

    Для отправленного с Zimbra письма на перенесенный аккаунт
    Zimbra ->
    Account local ->
    Accept and store to mailbox by Zimbra
    

    Таким образом мы имеем 2 работающих сервера и спокойно можем переносить аккаунты хоть поштучно, в моем случае аккаунтов было не много, поэтому большинство действий выполнял вручную, но вообще все можно автоматизировать конечно Zimbra вполне управляется из командной строки.

    После того как все учетные записи перенесены остается несколько действий.
    1. Изменить MX записи для основного домена чтоб они вели на Zimbra сервер.
    2. Удалить правила, что прописывали выше для пересылки писем для не локальных аккаунтов на другой сервер
      zmprov md mydoman.tld zimbraMailCatchAllAddress ""
      zmprov md mydoman.tld zimbraMailCatchAllForwardingAddress ""
      zmprov md mydoman.tld zimbraMailTransport lmtp:zimbra.mydomain.tld:7025


    Возможно подробности в которых я все описал избыточны, но лично у меня все эти почтовые потоки никак в голове не укладывались, вероятно кому-то еще такая подробность тоже не помешает. Ссылка на Zimbra Wiki в нагрузку, там есть важное замечание про зацикливание писем при не корректной настройке.
    Ответ написан
    Комментировать
  • Отправка снимка экрана на e-mail одной кнопкой

    Hatifnatt
    @Hatifnatt Автор вопроса
    Кстати разработчики Greenshot вняли моим просьбам и теперь можно в ini файле указать e-mail по-умолчанию.
    Для этого указываем опции:

    Destinations=EMail
    MailApiTo=your@mail.tld
    

    Для меня это стало решением моего вопроса.
    Ответ написан
    Комментировать
  • Sendmail как вторичный почтовый сервер?

    Hatifnatt
    @Hatifnatt Автор вопроса
    Ну похоже придется все же использовать дополнительный, временный домен для пересылки, не могу найти решения чтоб sendmail пересылал часть почты на другой сервер с таким же доменом.
    Ответ написан
    Комментировать
  • user-frendly WIKI CMS ?

    Hatifnatt
    @Hatifnatt
    Отдам голос за Dokuwiki, выбирал wiki для ведения собственных заметок и how-to-шек где-то пол года назад, в итоге на dokuwiki остановился. Все просто и удобно, достаточно легко поддерживать, работает без использования базы данных, что можно отнести как к плюсам так и наверное к минусам. С добавлением нескольких плагинов превращается в весьма удобный инструмент.

    По пунктам
    — иерархия категорий есть
    — на мой взгляд все просто, разметка легкая в освоении, картинки тоже приложить дело не хитрое
    — в поиске заявлены требуемые фичи ru:search
    Ответ написан
    Комментировать
  • Моделирование кинематических схем?

    Hatifnatt
    @Hatifnatt
    Есть такой движок 2D моделирования Phun
    Пример на YouTube
    Ответ написан
    Комментировать