Ответы пользователя по тегу Системное администрирование
  • Вывод результата работы сервиса Linux?

    @krosh
    journalctl -f -u myscript

    Если предположить, что Вы использовали возможности systemd.

    Либо перенаправление > логов в файл и команда tail -f
    Ответ написан
    2 комментария
  • Как перезагрузить UBUNTU SERVER при падении Apache и MySQL??

    @krosh
    monit

    если не понравится, можете на bash простой скрипт написать.
    Ответ написан
    Комментировать
  • Реально ли получить навыки по настройке windows server 2008 r2 на виртуальной машине?

    @krosh
    Реально.

    Только по сути вопроса Вы уходите с сетевое администрирование - настройка и маршрутизация сети, а на работа с самим Windows Server.

    Базовые вещи Вы сможете изучить сами, если будете ставить конкретные задачи и задавать правильные вопросы. Начальная настройка сервера - тривиальная задача, ее можно изучить по любой книге про WinServer. Только книги по 2012 сразу ищите - благо интернет помогает и можно разные издания изучить и найти те, которые более понятны.

    Если говорить про сеть, то лучше научиться разворачивать простейший linux-маршрутизатор в локальной сети. Делайте ВМ с двумя сетевыми картами и ставьте туда ОС: один в физическую локалку, другой в виртуальную (windows-сервер, клиенты). Вот и учитесь тут, и эксперементируйте.
    Ответ написан
    Комментировать
  • Как настроить iptables на vds с виртуализацией openvz?

    @krosh
    Во-первых, о каком дистрибутиве идет речь? Возможно у Вас firewalld вместо iptables, вот и не получается работать. Задавая вопросы такого типа нужно показывать, что у Вас во всех таблицах и цепочках:
    iptables-save

    Во-вторых, это логично, что в OpenVZ-контейнерах что-то не работает, т.к. используются возможности хостового ядра, а нужны Вам модуль туда не подгружен, а Вы на это не имеете прав. Если не нравится, то нужно переходить или к другому хостеру, или на KVM.

    Просто проверяйте в следующих раз так:
    lsmod |grep nf_conntrack

    В-третьих, судя по приведенной ссылке на форум хостера, у Вас ничего не получится - такая политика.

    Поэтому придется фильтровать по принципу "разрешено все, что не запрещено":
    iptables -A INPUT -p tcp -m tcp -s X.X.X.X --dport 3306 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP


    Понять, что блокировать можно так:
    netstat -lntpu
    либо nmap с другого хоста.

    Ставьте в правилах только блокировки на конкретные сервисы и не переживайте за остальное.
    Ответ написан
    Комментировать
  • Как установить Debian 9 Stretch на программный RAID1 (не ставится GRUB)?

    @krosh
    grub-install /dev/sd{o,m,n}

    Не забудьте в RAID1 GRUB поставить в MBR на все три диска.
    Ответ написан
    Комментировать
  • Какое ПО для шифрования каталогов на серверах выбрать?

    @krosh
    BitLocker.

    Не умеет только отдельные каталоги шифровать, но можно "резать" диск на разделы и мапить их пользователям.

    Но все же на серверах не актуально шифрование дисков. Займитесь управлением правами доступа.
    Ответ написан
  • Как раздать интернет на вторую сетевую карту?

    @krosh
    1. Ви-фи карта должна уметь быть точкой доступа. Не все на это способны, проверяйте.

    2. У вас типичный шлюз. Настраивайте по любой инструкции, например: https://wiki.archlinux.org/index.php/Internet_shar... Добейтесь успешной работы в пересылке пакетов из "локальной сети" в интернет и переходите к п. 3.

    3. Настройка Редсокса для локального трафика и проходящего мимо немного различается.
    # If you want to configure socksifying router, you should look at
    # doc/iptables-packet-flow.png and doc/iptables-packet-flow-ng.png and
    # wikipedia/File:Netfilter-packet-flow.svg
    # Note, you should have proper `local_ip' value to get external packets with
    # redsocks, default 127.0.0.1 will not go. See iptables(8) manpage regarding
    # REDIRECT target for details.
    # Depending on your network configuration iptables conf. may be as easy as:
    root# iptables -t nat -A PREROUTING --in-interface eth_int -p tcp -j REDSOCKS

    4. Зачем Вам это? Используйте ВПН или ТОР если переживаете о безопасности.
    Ответ написан
  • Почему при установке дополнительного ip 10.0.0.233 узел доступен, пакеты отправляются, а ответа нет(Gateway default 192.168.0.1)?

    @krosh
    Маска подсети тут ни при чем. Куда шлюзу отвечать на запросы из сети 10.0.0.0/24? Конечно по своему дефолтовому маршруту, который похоже смотрит в сеть провайдера.

    Добавьте статический маршрут на шлюзе для возврата пакетов 10.0.0.0/24 обратно в локальную сеть. Ну и правила файерволла надо проверить.

    Какой резон вешать два серых адреса из разных пространств и идти с ними в интернет?
    Ответ написан
    Комментировать
  • Корректное правило в iptables?

    @krosh
    Если уж говорите про шлюз, то частично проблемы поможет создать такая команда:
    iptables -A FORWARD -s 10.20.32.233 -j DROP

    Чтобы сломать работу в локальной сети надо почитать про протокол ARP и воспользоваться с умом методами arp spoofing.

    А пинги с шлюза идут возможно из-за того, что в цепочке правил выше стоит разрешающее правило. Ставьте дроп выше и смотрите на результат.
    Ответ написан
    Комментировать
  • Как в Wireshark фильтровать выводимые или захватываемые диапазоны IP адресов?

    @krosh
    Caprute Options -> Capture Filters -> host 192.0.5.1 -> Start

    В процессе анализа можно сохранить созданный фильтр и вводить каждый раз его не нужно будет, он будет лего доступен на панели меню.
    Ответ написан
    Комментировать
  • Проблемы с медком и iptables?

    @krosh
    Вопрос в том, откуда куда должен идти трафик? Из локальной сети на mail.shf.com.ua? или из интернета локально на шлюз?

    Фильтрация в таблице nat не рекомендуется:

    $ip -t nat -A POSTROUTING -d mail.shf.com.ua -o $EXTERNAL_IF -p tcp -m multiport --dports 80,443,465,993,995 -j MASQUERADE


    Рекомендую заменить на:

    -t nat -A POSTROUTING -j MASQUERADE
    -P FORWARD DROP
    -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A FORWARD -i $LOCAL_IF -o $EXTERNAL_IF -s $LOCAL_NET -d mail.shf.com.ua  -p tcp -m multiport --dports 80,443,465,993,995  -m comment --comment "РАЗРЕШЕНО ИСХ Почтовые протоколы + http/s" -j ACCEPT


    Если трафик идет на шлюз, а не транзитный, то смотрите процесс на порту:
    netstat -antp |grep 465

    У Вас в правилах бардак. Надо бы сначала из причесать, а уже потом разбираться. Скорей всего из-за этого что-то и не работает. А бардак просто от незнания.

    Почему используете MASQUERADE, а не SNAT? Внешний адрес динамический?

    Проблема таких скриптов, в том, что не ясно какой набор правил будет в итоге. А если работа скрипта прервется на полпути? Где очистка цепочек перед загрузкой новых правил? Политики по умолчанию? Используйте iptables-save, iptables-restore. Либо генерируйте сценарием файл с правилами, а грузите есть через iptables-restore.

    Нужно хотя бы iptables -L --line-numbers показать, чтобы фактическое состояние смотреть, а не то, что в скрипте прописано.

    Хотите разобраться? Сохраните все правила и очистите все цепочки и начинайте настройку именно с открытия нужных портов и маскарадинга трафика. Потом усложняйте правила.

    В блоке #cam уж используйте multiport, они же есть в других правилах ниже.

    80 порт Вы редиректите на прокси, а 443/https маскарадите. Будьте последовательны в своих намерениях. Либо пользуйте прокси на все порты, либо используйте НАТ/маскардинг для всего трафика.
    Ответ написан
  • Как настроить перенаправление iptables?

    @krosh
    Цепочку INPUT не проходят транзитные пакеты.
    В цепочке FORWARD у Вас пока политика разрешает все, поэтому в правилах там нет смысла. После смены политики по умолчанию не забудьте дополнить обратными правилами, с портом источника 22513.

    Пинги до В идут?
    Порт открыт, подключение с А возможно?
    Маршрут до В прописан?
    На В есть блокировка входящих? Надо разрешить доступ А на порт 22513.

    Покажите
    cat /proc/sys/net/ipv4/ip_forward
    iptables -t nat -S
    iptables -S FORWARD
    ip route sh
    Ответ написан
    Комментировать
  • Настройка правил Iptables?

    @krosh
    Рекомендую использовать dnsmasq.

    Конфиг не смотрел, раз tcp-трафик ходит, то все работает.
    Ответ написан
    Комментировать
  • Что за ошибка nmap "rttvar has grown to over 2.3 seconds decreasing to 2.0"?

    @krosh
    RTT = round trip time, значение промежутка времени, в течении которого будет ожидаться ответ на запрос, перед тем как прекратить попытки или совершить еще одну. Вычисляется для каждого хоста (и группы хостов) отдельно.

    Посмотрите в лог:
    nmap -d2 -vv -p8000 -iL ip_part2.txt -oG res_part2.txt --host-timeout 500 > tmpnmap1.log


    Ошибка появляется постоянно или иногда? Возможно это из-за перебоев в доставке.
    Еще можно посмотреть с опцией -T1 будет ошибка или нет?
    Ответ написан
    6 комментариев