Ответы пользователя по тегу FreeBSD
  • Как настроить HTTPS на Apache/2.4.41 (FreeBSD) на A+?

    athacker
    @athacker
    Qualys же отчёт выдаёт, где все косяки указывает, которые не дают повысить результат теста. Прочитайте, да исправьте, какие проблемы?
    Ответ написан
  • Возможна ли переконфигурация raid1 в raid10, gmirror - freebsd без потери данных?

    athacker
    @athacker
    В случае с gmirror -- нет, расширить RAID не удастся. Нет такого функционала. Только бэкап всех данных, потом разбивка массива в RAID10, потом возврат всех данных из бэкапа.

    Можно перейти на ZFS, там можно расширять ZMIRROR, добавляя зеркала.
    Ответ написан
    Комментировать
  • Стоит ли изучать freebsd?

    athacker
    @athacker
    Как первую unix-like систему -- да, имеет смысл осваивать фряху. Там порядка куда как больше, чем в линуксе, с его разнообразием костылей дистрибутивов и подходов к построению ОС. Как сказал один умный товарищ -- "BSD-шник сможет освоить с линукс без проблем, а вот линуксоид с BSD -- вряд ли".

    В целом, несмотря на меньшую популярность, на фряхе довольно много инсталляций. Многие интернет-провайдеры используют (ну, кроме большой четвёрки), да и в крупных конторах она тоже есть. Самосборные storage-системы строятся на фряхе часто, т. к. связка ZFS + ctld -- это прям агонь.

    Аргументы выше про то, что драйверов меньше, чем под линукс -- это правда. Но это не то, чтобы косяк-косяк, просто нужно это учитывать, и перед развёртыванием проекта и закупкой железа смотреть, что поддерживается, а что нет. В целом, всегда можно подобрать современное железо, с которым не будет проблем под фряхой.

    Софта под фряху меньше -- ну, отчасти да. Ceph, например, на фре вы не запустите. Но это довольно специфический такой софт, а всё остальное общеупотребимое -- вполне есть и отлично работает. Любые общеупотребимые сетевые сервисы на фре поднимаются без проблем. DNS/DHCP/почта/web/базы данных-- вот это вот всё.

    С астериском под BSD не помню никаких проблем, всё работало.

    IPsec под FreeBSD работает, у меня туннель уже пару лет между фряхой и микротиком постоянно поднят.

    Про то, что команда разработки FreeBSD сокращается -- это неправда.
    Ответ написан
  • Ка написать правило ipfw для rspamd?

    athacker
    @athacker
    Ну из это ошибкии вообще никак не следует, что файрвол тут при делах :-)
    Ответ написан
    Комментировать
  • Как сделать полный перенос сервера FreeBSD 9.3?

    athacker
    @athacker
    Во-первых, dump создаётся только в рамках одного раздела. Если у вас на железе более одного раздела во фре (а это почти 100% так), то нужно делать дамп каждого раздела.

    Во-вторых, если вы делали дамп на живой (запущенной оригинальной системе, а не с live cd), то нужно указывать ключ -L -- для дампа "живой" файловой системы. Но тут тоже масса нюансов -- всё сильно зависит от того, какие сервисы у вас на фряхе. Т. к. базы данных таким образом переносить чревато боком -- скорее всего, они потом не заработают.

    В третьих -- на виртуалку не нужно ставить систему. Нужно загрузиться с Live CD и просто создать и отформатировать разделы в том же виде, в каком они были на оригинальном сервере (ну, по крайней мере, каждый раздел должен быть НЕ МЕНЬШЕ, чем на исходной машине).

    Ну и в четвёртых -- если у вас в оригинале ZFS, то для ZFS вообще вся эта схема не работает, т. к. дамп не умеет бэкапить ZFS, и там всё по-другому надо делать.
    Ответ написан
    Комментировать
  • Php на freebsd почему могут глючить права доступа к файлам?

    athacker
    @athacker
    Вы бы написали, какие права получают файлы при создании из редактора, и какие права должны быть.
    Ответ написан
    Комментировать
  • Можно и нужно ли развернуть ZFS перед/при установкой FreeBSD?

    athacker
    @athacker
    FYI: Инсталлятор фряхи работает на уже загруженной и рабочей системе. Там есть консоль и всё такое. Зайдя в консоль, можете делать с дисками что угодно. Например, собрать ZFS пул нужной вам конфигурации.

    С другой стороны, инсталлятор уже умеет ставить фрю на ZFS, поэтому в общем случае, даже в консоль лазать не нужно. Возможно, там нельзя будет подключить SSD под L2ARC, но сконфигурить RAIDZ и установить туда систему -- точно можно. А L2ARC можно сконфигурировать позже, загрузившись со свежеустановленной системы.
    Ответ написан
    3 комментария
  • При включении mpd5 на Freebsd 9.1 падает исходящая скорость интернет соединения на клиентах и сервере VPN. Куда копать?

    athacker
    @athacker
    Мало исходных данных. Клиенты в интернет через этот же VPN-сервер ходят при подключении?
    Ответ написан
    Комментировать
  • Как организовать VPN для удаленных сотрудников без маршрутизации лишнего трафика?

    athacker
    @athacker
    В IPsec есть политики -- какой трафик заворачивать в туннель. Пропишите на серверной стороне IP-подсеть, в которых находятся ваши корпоративные ресурсы, и этот трафик автоматом у клиентов будет заворачиваться в туннель. Всё остальное будет идти мимо туннеля, напрямую через канал клиента.

    Копать в сторону параметров leftsubnet/rightsubnet в конфиге strongswan.
    Ответ написан
    Комментировать
  • Какой аналог systemd во FreeBsd?

    athacker
    @athacker
    Во фре вариантов-то особо нет. Не то что в этих ваших линупсах :-)

    https://www.freebsd.org/doc/ru_RU.KOI8-R/books/han...
    Ответ написан
    Комментировать
  • Как правильно прописать автозапуск бинарного файла в Cron?

    athacker
    @athacker
    Если у вас приложение запускается по service blog start, это значит, что в кроне ничего костылить не надо -- оно и так запустится при старте системы.

    И тогда возникает второй вопрос -- что вообще вы пытаетесь добиться? Какова задача?
    Ответ написан
  • Какая система лучше всего подходит для х86-роутера?

    athacker
    @athacker
    Для изучения "полностью всех сетевых нюансов" вам нужны специализированные железки с их ОС -- Cisco или Juniper.

    А так -- вы сможете изучить НЕКОТОРОЕ КОЛИЧЕСТВО сетевых настроек ДЛЯ КОНКРЕТНОЙ ОС, не более того.

    Что касается выбора системы, то при необходимости пилить роутер на обычном железе, я бы ставил BSD.
    Ответ написан
    Комментировать
  • Как организовать два активных канала интернет, FreeBSD 11?

    athacker
    @athacker
    Опция IPDIVERT в ядре лишняя, она не нужна для работы ядерного NAT. Мешать она не мешает, но на всякий случай имейте в виду -- её можно спокойно убрать.

    Первый fwd (правило 600) -- тоже не нужен, у вас и так трафик будет улетать в шлюз по умолчанию, и без этого правила.

    А не работает у вас потому, что до второго NAT-а дело не доходит никогда. Схема такая:

    1. Пришёл пакет из интернета (допустим, с внешнего IP ZZZ) на X2:3389.
    2. Первый NAT его поймал и поменяв DST IP на 192.168.0100, отправил пакет в локалку.
    3. Хост 192.168.0.100 на него ответил, и отправил ответ через свой шлюз по умолчанию (это ваша фряха).
    4. Фряха получила пакет от клиента, предназначенный для некоего внешнего адреса ZZZ. Осознала, что он предназначен для внешнего адреса, и НАПРАВИЛА ЕГО В СВОЙ DEFAULT GW. А default GW у неё -- это шлюз на стороне провайдера 1. В сторону этого провайдера смотрит интерфейс tun0
    5. Дальше пакет идёт по правилам файрвола и натыкается на правило: $cmd add 1100 nat 1 ip from any to any via tun0. Пакет под него подпадает, так как он системой отправлен через tun0. Соответственно, согласно этому правилу пакет попадает в NAT, и его SRC IP меняется с 192.168.0.100 на X2.
    6. Дальнейшая обработка продолжается (так как one_pass=0), но мы уже получили что? Что у нас есть исходящий пакет (после обработки первым натом) с IP-адреса X2, предназначенный для внешнего адреса ZZZ и улетающий через интерфейс tun0. Соответственно, второй NAT его не обрабатывает, так как под его условия (via tun1) этот пакет уже не попадает. Поэтому пакет дальше просто уходит в сторону шлюза X1, и всё


    В вашем случае самым простым способом будет выдать хосту 192.168.0.100 ещё один IP-шник (скажем, 192.168.0.101), и через провайдера 2 заворачивать пакеты именно на него. Тогда можно будет сделать так:

    $cmd nat 1 config log if tun0 reset same_ports deny_in redirect_port tcp 192.168.0.100:3389 3389
    $cmd add 1100 nat 1 ip from 192.168.0.100 to any via tun0

    # Второй NAT
    $cmd nat 2 config log if tun1 reset same_ports deny_in redirect_port tcp 192.168.0.101:3389 3389
    $cmd add 1200 nat 2 ip from 192.168.0.101 to any via tun1

    $cmd add 1300 fwd YYY.YYY.YYY.YY1 ip from YYY.YYY.YYY.YY2 to any out via tun0


    Правила схематичные, и не учитывают, что нужен обычный нат для всех остальных клиентов. Просто демонстрация, для понимания логики.
    Ответ написан
    3 комментария
  • Как лучше организовать резервный почтовый сервер?

    athacker
    @athacker
    Капец вы там с предыдущим комментатором наговорили :-)

    Для резервирования отправки вам нужно два почтовых релея и настроенный VRRP/CARP между ними. Т. е. на хостах поднимается виртуальный IP, который переедет на второй хост в случае падения первого.

    Для приёма это тоже будет работать, если у вас два физически разных канала от одного и того же провайдера. Т.е. если можно с одним IP вещать по разным каналам. Но наверное, будет логичнее подключить 2 хоста к двум разным провайдерам, на разные IP, и сделать в DNS две MX-записи с различным приоритетом (10 и 20). Если 10-ый не будет доступен, отправители снаружи будут слать почту на 20-ый.

    И да, не забывается, что помимо отправки почты наружу и получения почты снаружи есть ещё задача раздачи почты пользователям :-) Т. е. даже если у вас два SMTP-сервера, и принять почту они смогут почти гарантированно (при грамотной настройке ;-) ), то нужно ещё, чтобы они также гарантированно могли положить её на тот сервер, с которого пользователи не менее гарантированно смогут её забрать ;-) Что приводит нас к схеме либо 4-х серверов (два SMTP и два IMAP/POP3), либо трёх серверов -- два SMTP, который также раздают почту по IMAP/POP3, и один сервер-хранилище почты, подключенный к обоим серверам как общее хранилище.
    Ответ написан
  • Не работает нормально FAMP.В чем причина?

    athacker
    @athacker
    Очевидно, что ваш хост работает нормально, если по локалке всё отдаётся.

    Не очень понял, почему вы отмели идею с шейпингом на стороне провайдера. На мой взгляд, это единственная версия, которая объясняет, что происходит.

    Отдельный вопрос -- если у вас хост с серым IP, то как вам поможет DDNS? Тут чудо скорее в том, что вы вообще снаружи получаете доступ к своему компу :-)
    Ответ написан
  • Как в Nas4Free сделать перенаправление для анонсеров рутрекера?

    athacker
    @athacker
    Нужно делать DST NAT, коллега выше вам правильно ответил.

    На IPFW это можно попробовать реализовать так:

    ${cmd} add nat 1 tcp from <локальная_подсеть_или_IP> to 195.82.146.120/30 80
    ${cmd} nat 1 config if <внешний_интерфейс> redirect_port tcp 195.82.146.120:80 163.172.167.207:3128 \
    redirect_port tcp 195.82.146.121:80 163.172.167.207:3128 \
    redirect_port tcp 195.82.146.122:80 163.172.167.207:3128 \
    redirect_port tcp 195.82.146.123:80 163.172.167.207:3128
    Ответ написан
  • В чём разница между IPFW и PF firewall'ами во FreeBsd? Какой выбрать?

    athacker
    @athacker
    Почитайте мануалы по обоим. Какой покажется проще или понятнее -- тот и используйте. Для простых сценариев разницы нет. А когда наступают сложные, то обычно уже понимаешь, что тебе конкретно нужно, и каким файрволом это лучше реализовать :-)
    Ответ написан
    Комментировать
  • Как правильно сконфигурировать CARP для HA кластера на FreeBSD для маршрутизации трафика между VLAN?

    athacker
    @athacker
    Так а в чём конкретно вопрос? Выбор правильный, в качестве роутера такая связка будет работать отлично. Ничего специфического, никаких подводных камней в настройке нет -- делайте по мануалу, и всё.

    Единственный момент, который я бы сделал, наверное, это служебный трафик CARP и pfsync вынес бы в отдельный влан, который в сети нигде больше не присутствует, только на коммутаторе между этими двумя серверами. Но в принципе, это не обязательно, просто так идеологически будет правильнее -- меньше вероятность того, что враги смогуть заспуфить CARP-пакеты и сломать связку :-)
    Ответ написан
    2 комментария