Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Темы - rGoblin

Страницы: [1]
1
Стоит задача: нужно сделать ipsec-тоннель между сервером, на котором установлен CentOs версии 7 и роутером производства Cisco. Сама связь есть, но почему-то не идёт маршрутизация: не вижу ни интерфейса никакого, ни маршрутов в таблице. Кто сталкивался? ipsec настраивается в туннельном режиме

Вот кусок файла ipsec.conf, касающийся полей left и right - подозреваю, что проблема где-то там

   
    left=мой_внешний_ip
    leftsubnet=моя_подсеть
    leftauth=psk
#строку ниже пытался раскомментировать - не помогает
#    leftsourceip=мой_внутренний_ip

    right=внешний_ip_циски
    rightsubnet=подсеть_за_циской
    rightauth=psk
    righthostaccess=yes
    rightsourceip=подсеть_за_циской, ещё_один_ip_переданный_с_той_стороны_как_список_доступных_хостов

Что не так и куда копать?

2
Собрал livecd на базе CentOs7. Собирал при помощи livecd-create. В какой-то момент при записи файлов на рам диск возникает следующая ошибка: Dec  7 04:06:57 localhost kernel: device-mapper: snapshots: Invalidating snapshot: Unable to allocate exception.
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 839070)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838045
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838046)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838046
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838047)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838047
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838048)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838048
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838049)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838049
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838050)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838050
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838051)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838051
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838052)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838052
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838053)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838053
Dec  7 04:06:57 localhost kernel: EXT4-fs warning (device dm-0): ext4_end_bio:316: I/O error -5 writing to inode 155909 (offset 0 size 0 starting block 838054)
Dec  7 04:06:57 localhost kernel: Buffer I/O error on device dm-0, logical block 838054
При этом ни переполнения памяти, ни переполнения рамдиска не наблюдается - везде есть свободное место.
Грешил на битую память, но проблема повторяется на разных машинах, на которых памяти 4 гига и больше. На 2  гб проблемы нет.
Куда копать?

3
Потребовалось создать LiveCD с собственным набором программ и скриптов. Как базу использовал последнюю на данный момент сборку CentOs 7. Всё отлично собралось, за исключением одной мелочи: после загрузки live оси с флешки она остаётся подмонтированной в папке /run/initramfs/live. Сборка, которая мне нужна, предусматривает, что флешка может быть извлечена и потом вставлена снова, то есть подмонтирвоанной она быть не должна. посему вопрос - как это отключить? При создании использовал утилиту livecd-creator. Пробовал использовать livemedia-creator, но это не дало никакого результата (образ собрать не получилось)

4
При монтировании папки после запуска команды mount сервак пару минут думает, потом выдаёт ошибку mount.nfs: Input/output error
В /var/log/messages при этом появляются такие записи:
Sep 23 15:12:03 server7 kernel: lockd_up: no pid, 8 users??
Sep 23 15:12:38 server7 kernel: portmap: server localhost not responding, timed out
Sep 23 15:12:38 server7 kernel: RPC: failed to contact portmap (errno -5).
Sep 23 15:13:13 server7 kernel: portmap: server localhost not responding, timed out
Sep 23 15:13:13 server7 kernel: RPC: failed to contact portmap (errno -5).
Sep 23 15:13:48 server7 kernel: portmap: server localhost not responding, timed out
Sep 23 15:13:48 server7 kernel: RPC: failed to contact portmap (errno -5).
Куда копать? Чего курить?

5
Установка CentOS / Установка и настройка ulogd
« : Август 20, 2014, 03:14:27 pm »
 ставил ли кто ulogd для сохранения логов из iptables? Если да - подскажите, из какого репозитария брали пакет для Centos5? Интересует, по большей части, вторая версия ulogd. Также интересует вопрос настройки - как её настраивать?

6
Условия задачи: к системе примонтирован внешний том nfs в каталог /mnt/nfs_test. Назначение - архив почтового сервера, с возможностью доступа пользователей к нему.  Однако, в процессе работы почтовому серверу (стоит dovecot) необходимо блокировать некоторые файлы для обработки скопированных в эту папку писем: индексация базы данных, например. У него это не получается - при попытке заблокировать файл в логе пишется ошибка "No locks available". Почитав, понял, что для включения возможности блокировки файлов на nfs-томе надо его монтировать как-то особо, или запускать какой-то ещё демон. Подскажите, сталкивался ли к то с этим и как это сделать на CentOS? Сейчас ковыряю версию 5.10, в перспективе то же самое буду делать с 6 версией

7
На сервер ставилась CentOs 5.7, которая была обновлена до 5.8
Симптомы такие: штатная загрузка зависает, как только сервак переходит в графический режим. Попытка интерактивного запуска в первый раз, когда это случилось, дала неожиданный результат: сервер запустился без проблем. Сейчас это не помогает - запускаются все службы, на секунду появляется окно приветствия текстовой консоли, потом активируется графический режим, и - сервер зависает. Вот последние сообщения из /var/log/messages
Jul 25 18:19:02 ostap-bender pcscd: winscard.c:304:SCardConnect() Reader E-Gate 0 0 Not Found
Jul 25 18:19:02 ostap-bender last message repeated 3 times
Jul 25 18:19:02 ostap-bender kernel: [drm] Initialized drm 1.0.1 20051102
Jul 25 18:19:02 ostap-bender kernel: ACPI: PCI Interrupt 0000:00:02.0[A] -> GSI 16 (level, low) -> IRQ 185
Jul 25 18:19:02 ostap-bender kernel: [drm] Initialized i915 1.8.0 20060929 on minor 0
Вчера ещё обратил внимание, что этот сервер грузится не так, как его более новый "собрат" (там тот же ЦентОс, только 64-битный, и железо новое): во время загрузки вся информация отображается в текстовом режиме, экран после добавления каждой строчки "моргает"

Куда копать?

8
Есть проблема. Стоит на шлюзе в качестве кэширующего прокси-сервера BIND. Поставил я его тут в resolv.conf первым в списке серверов имён. И стала возникать такая проблема: сквид периодически пишет ошибку "No DNS records" при попытке разрешить имя сайта. При этом касаемо этих сайтов в логах (/var/log/messages) ничего нет. Есть только вот такие записи касаемо других сайтов:
named[8479]: network unreachable resolving 'mail.ru/A/IN': 2a00:1148:1:1322::1:a002#53Сайты, которые только что НЕ открывались, через nslookup при этом резолвятся. И тут же открываются.

Кто что может подсказать по этому вопросу?

9
Стоит задача: мониторить трафик с определённых адресов, за которыми скрываются более мелкие подсети(настроено на "железке"). При этом трафик разделяется условно на "видео" (проброшены порты с видеорегистратора) и остальной, а веб-трафик через iptables не учитывается (ибо всё завёрнуто на squid). Для решения в таблицу filter добавлены следующие команды:
-A FORWARD -s 192.168.1.202 -p tcp -m tcp --sport 25080 -j LOG --log-prefix "outcoming video "
-A FORWARD -s 192.168.1.202 -p tcp -m tcp --sport 8000 -j LOG --log-prefix "outcoming video "
-A FORWARD -s 192.168.1.202 -p tcp -m tcp --sport 9000 -j LOG --log-prefix "outcoming video "
-A FORWARD -s 192.168.1.202 -p tcp -m tcp --sport ! 25080 -j LOG --log-prefix "outcoming other "
-A FORWARD -s 192.168.1.202 -p tcp -m tcp --sport ! 8000 -j LOG --log-prefix "outcoming other "
-A FORWARD -s 192.168.1.202 -p tcp -m tcp --sport ! 9000 -j LOG --log-prefix "outcoming other "
-A FORWARD -d 192.168.1.202 -p tcp -m tcp --dport 25080 -j LOG --log-prefix "incoming video "
-A FORWARD -d 192.168.1.202 -p tcp -m tcp --dport 8000 -j LOG --log-prefix "incoming video "
-A FORWARD -d 192.168.1.202 -p tcp -m tcp --dport 9000 -j LOG --log-prefix "incoming video "
-A FORWARD -d 192.168.1.202 -p tcp -m tcp --dport ! 25080 -j LOG --log-prefix "incoming other "
-A FORWARD -d 192.168.1.202 -p tcp -m tcp --dport ! 8000 -j LOG --log-prefix "incoming other "
-A FORWARD -d 192.168.1.202 -p tcp -m tcp --dport ! 9000 -j LOG --log-prefix "incoming other "
Теперь о маршрутах. Трафик video идёт через канал, подключённый непосредственно к маршрутизатору, с которого он снимается, ибо находящийся внутри видеосервер "пронатен" через фиксированный IP-адрес. Весь остальной трафик уходит на другую "железку" (которая находится в одной подсети со шлюзом, и даже на том же интерфейсе, что и проверяемый IPшник). Чтобы завернуть трафик на нужный шлюз, на пакеты ставится маркер, который обрабатывается через таблицы и правила маршрутизации, забитые в ip rule. Физически всё работает, пакеты ходят как надо. Но....
Сегодня, анализиаруя трафик за период, я обнаружил забавную закономерность: один и тот же пакет в логах пишется три раза. Вот пример:
Dec  4 06:03:42 server7 kernel: incoming video IN=eth1 OUT=eth0 SRC=0.0.0.0 DST=192.168.1.202 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=41580 DF PROTO=TCP SPT=4820 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0
Dec  4 06:03:42 server7 kernel: incoming other IN=eth1 OUT=eth0 SRC=0.0.0.0 DST=192.168.1.202 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=41580 DF PROTO=TCP SPT=4820 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0
Dec  4 06:03:42 server7 kernel: incoming other IN=eth1 OUT=eth0 SRC=0.0.0.0 DST=192.168.1.202 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=41580 DF PROTO=TCP SPT=4820 DPT=8000 WINDOW=16384 RES=0x00 SYN URGP=0 
То же - и на пути обратно. То есть на "тройное рукопожатие" записано 9 пакетов вместо трёх. Вопросов два:
1) Как избежать такого "затроения" логов?
2) По какой причине при указанных правилах один и тот же пакет вычленяется по разным правилам?

Есть собственные соображения. Первое - затроение происходит из-за появления маркера и перекидывания пакета на другой интерфейс. То есть он три раза проходит через цепочку FORWARD таблицы filter. Но тогда почему при установке маркера он не читает порт? Кто знает - помогите разобраться. Заранее благодарен

10
Задача: есть 2 интернет-канала. Один - дорогой но хороший, второй - безлимитный, но Yota. Изначально настройка выполнена таким образом, что весь входящий web-трафик идёт по безлимитному каналу. Через второй канал идёт выгрузка больших файлов на FTP-сервера партнёров (с двух конкретных машин, правила для которых прописаны в iptables и ip rule). Там же - внешний IP, на котором висят VPN-сервер и проброшен через NAT FTP-сервер. Теперь нужно сделать, чтобы приём почты по протоколу POP3 тоже шёл через второй канал.
Шлюз: CentOS 5.5 с последними обновлениями. Второй канал воткнут прямо в него. Маршрут по умолчанию настроен на первый канал.
Что делал:
в iptables в таблице mangle прописал установку маркера для пакета, идущего из локальной сети на 110й порт почтового сервера
iptables -t mangle -I OUTPUT 3 -s 192.168.1.0/16 -p tcp --dport 110 -j MARK --set-mark 15в ip rule прописал правило, которое заворачивает пакет с маркером 15 на второй канал
ip rule add from 192.168.1.0/24 fwmark 0xf lookup channel2В таблице channel2 прописана маршрутизация всего трафика через основной шлюз второго канала.
Пока не работает. Что я забыл?

Сразу могу сказать, что схема прокидывания пакетов с установкой маркира в цепочке OUTPUT таблицы mangle до сих пор срабатывала. В частности, так настроена маршрутизация протокола gre для работы vpn-сервера.

11
Технические вопросы CentOS / Настройка pptpd
« : Октябрь 28, 2010, 11:54:22 am »
Настраивал pptpd. Делюсь опытом для тех, кто будет это делать.
начальные данные:
шлюз на CentOS 5.4, но с последними обновлениями. На машинке 2 интерфейса - локальный, через который пока осуществляется маршрутизация по умолчанию; и внешний, со статическим ip-адресом
Также на внешний сегмент прокинут NAT.
Основные правила в таблице filters в iptables уже при установке были такими
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
Установка и конфигурирование pptpd выполнялось в точности по следующей статье: http://root.blogz.name/2008/10/08/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-pptpd-%D0%BF%D0%BE%D0%B4-centos/
Теперь о том, чего там НЕ сказано - загадочная фраза "может быть понадобится настроить NAT или роутинг какой-нибудь" таит в себе следующие настройки:
во-первых, открываем общение с портом 1723 в обе стороны через iptables, а также разрешаем весь трафик по протоколу GRE
iptables -I RH-Firewall-1-INPUT 1 -s 1.1.1.1 -p tcp --sport 1732 -j ACCEPT
iptables -I RH-Firewall-1-INPUT 1 -d 1.1.1.1 -p tcp --dport 1732 -j ACCEPT
iptables -I RH-Firewall-1-INPUT 1 -p gre -j ACCEPT
После этого соединение будет установлено. Но это ещё не всё.
Чтобы пользователь видел локальную сеть, необходимо прописывать правила для его интерфейса. Тут есть два пути: первый - заранее забить эти правила в iptables. ИМХО, долго и некрассиво. Я дописал их в ip-up и ip-down, создав, соответственно, файлы ip-up.local и ip-down.local с правами 755 (rwxr-xr-x). Эти файлы вызываются из ip-up и ip-down во время исполнения скриптов (всё прописано штатно самой системой).
Текст файлов ниже:
/etc/ppp/ip-up.local
#!/bin/bash
REALDEVICE=$1
iptables -I RH-Firewall-1-INPUT 1 -i ${REALDEVICE} -j ACCEPT
iptables -I RH-Firewall-1-INPUT 1 -o ${REALDEVICE} -j ACCEPT


/etc/ppp/ip-down.local
#!/bin/bash
REALDEVICE=$1
iptables -D RH-Firewall-1-INPUT -i ${REALDEVICE} -j ACCEPT
iptables -D RH-Firewall-1-INPUT -o ${REALDEVICE} -j ACCEPT

После этого всё работает.
Да, ещё - в роутинге обязательно надо прописывать шлюз внешнего интерфейса. Иначе интерфейс никуда не достучится.
Если будут вопросы - готов ответить.

Страницы: [1]