[freebsd] FreeBSD 12.2 reply-to перестал работать

[skeletor]

Всем привет.
После обновления с 12.1 на 12.2 перестал работать reply-to (есть 2 
провайдера и ответы уходят через тот интерфейс, откуда пришли, а не 
через route map) в файерволе pf. Причём на обоих машинах сразу с разным 
набором правил. Как видно из tcpdump'a они просто уходят согласно route 
map и никак не реагируют на правила reply-to / route-to.


Писал в freebsd...@freebsd.org, но пока нет ответа. Вдруг тут кто-то 
столкнулся с похожим знает в чём проблема и знает как решить :) . Или 
может стоит оформить bug report?


Если надо - могу привести правила, но маловероятно, что дело в них, так 
как это случилось сразу на 2-х машинах (заметил не сразу, ибо резервными 
каналами пользуемся очень редко)


PS. Сейчас сделал через костыли в виде static route, но это неудобно и 
не всегда применимо.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] php-fpm + nginx; function base64_encode

[skeletor]

05.02.2019 09:47, Alexey Krylov пишет:

Здравствуйте.

Установил ОС
uname -a
FreeBSD somehostname 11.2-RELEASE-p6 FreeBSD 11.2-RELEASE-p6 #0 r341813: Tue 
Dec 11 10:14:58 EET 2018 user@somehostname:/usr/obj/usr/src/sys/MYKERNEL  
amd64

Установил и запустил php-fpm и nginx
pkg info | gsed -n -e "/php\|nginx/p"
nginx-1.14.2,2 Robust and small WWW server
php73-7.3.0PHP Scripting Language
php73-bz2-7.3.0The bz2 shared extension for php
php73-ctype-7.3.0  The ctype shared extension for php
php73-hash-7.3.0   The hash shared extension for php
php73-json-7.3.0   The json shared extension for php
php73-mbstring-7.3.0   The mbstring shared extension for php
php73-mysqli-7.3.0 The mysqli shared extension for php
php73-openssl-7.3.0The openssl shared extension for php
php73-session-7.3.0The session shared extension for php
php73-zip-7.3.0The zip shared extension for php
php73-zlib-7.3.0   The zlib shared extension for php

создал файл
/var/www/virtual/site1/test.php


Открываю в браузере, получаю ошибку 500,
в логе
2019/02/05 09:41:34 [error] 69889#100834: *38 FastCGI sent in stderr: "PHP 
message: PHP Fatal error:
  Allowed memory size of 268435456 bytes exhausted (tried to allocate 
12298126926392233984 bytes) in
/var/www/virtual/site1/test.php on line 3" while reading response header from 
upstream, client:
192.168.1.31, server: somehost, request: "GET /my.php HTTP/1.1", upstream:
"fastcgi://unix:/var/run/php-fpm-www.sock:", host: "somehost"

Подскажите, кто нибудь использует такие версии php/nginx ошибка такая же?

-
С уважением,
Крылов Алексей
тел. +38 (067) 725 95 54
email: kry...@ukr.net
skype: krylov_alexey

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd





IMHO, nginx тут не при чём. Это похоже на баг php 7.3. Я бы не советовал 
использовать вообще 7.3, пока не выйдет, хотя бы, минорных релизов 7-10.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Upgrade 11 to 12

[skeletor]

Я пользуюсь ключем "-i" - спрашивать, обновлять ли пакет или нет.

01.03.2019 10:12, Konstantin Stefanov пишет:
Коли уж речь-то зашла. Я когда в последний раз обновлялся portmaster'ом, 
он каждый раз начинал пересобирать кучу зависимостей. Нельзя ли его 
как-то приучить, что пересобирать надо только то, что явно сказано в 
командной строке (фактически, порты с недефолтными опциями), а все 
остальное безусловно тащить при помощи pkg?



___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Перезагружается FreeBSD 10.4 MPD5 5.8-7

[skeletor]

08.01.2019 15:22, Александр Уланов пишет:

Здравствуйте!

Перезагружается FreeBSD 10.4 MPD5 5.8-7. Без особой системы - то 3-5 
дней работает нормально, а может и за день пару раз перезагрузиться. С 
нагрузкой прямой связи не заметил: То есть в моменты малого трафика 
перезагрузок не было, но и не все были в ЧНН. Да и на графиках не видно 
пиков трафика перед перезагрузкой. Самое интересное - в логах пусто. То 
есть просто обычный лог и сразу запись о начале загрузки. Как будто 
ресет нажали. Ресет не нажимали, естественно). Железо меняли - тупо 
сетёвки и SSD c FreeBSD переставили на другой сервер. Продержалось 4 дня 
и сегодня снова ребут


Описание системы:

Core 2 Quad Q9400 @ 2.66GHz
4G Memory
FreeBSD 10.4
MPD5 5.8-7
Работает только как PPTP сервер без шифрования. Радиус на отдельной 
машине. NATа нет. Шейпера нет. Какой-то хитрой маршрутизации также нет - 
сетёвка на вход, сетёвка на выход.

Сетевые igb
Пользователей ~900 в ЧНН
Трафик ~800 Мбит/с (80 Kpps) Download и 200-300 Мбит/с (60 Kpps) Upload 
в ЧНН

Ядро Generic с закомментированной # options INET6 .
Собственно только сегодня и закомментировал и пересобрал ядро без IPv6. 
На всякий случай. Пока перезагрузки больше не было.


Подскажите пожалуйста куда посмотреть для нахождения проблемы.
Уланов Александр,



Не знаю как на 10.4, но для полного отключения IPv6 на 8.1 нужно было 
ещё и удалять


optionsSCTP

иначе ipv6 всё равно присутствовал.
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Нагруженный VPN сервер

[skeletor]

04.10.2018 20:56, Eugene Grosbein пишет:

04.10.2018 17:35, skeletor write:


Учитывая, что GRE почти везде заблокирован, остаются варианты:

Неправда, что "GRE почти везде заблокирован" - правда, что он не пролазит через 
NAT
мобильных операторов связи (и ещё у некоторых). С публичными IP у GRE нет 
проблем.

Правда, и NAT в моём случае (и не только в моём) был не при чём: тесты были и с 
NAT'ом и без NAT'a и на разных провайдерах.
Осталось ещё пару провайдеров, где нормально проходит GRE, но таких единицы.


Я не верю в это и вот почему: в отсутствие NAT пакеты IP с GRE внутри
для маршрутизатора ничем вообще не отличаются от пакетов IP с TCP внутри
и роутятся точно так же и чтобы их резать, провайдеру нужно выполнять
дополнительные действия непонятно зачем, заодно нарушая RFC 1812
Requirements for IP Version 4 Routers.

Кроме NAT, я знаю только одну реальную причину, когда такое действительно может 
быть:
если пакеты GRE идут фрагментированными и за счёт этого маршрутизатор вынужден 
форвардить их
программно процессором вместо того, чтобы обрабатывать аппаратными ASIC на 
платформах типа
Cisco 7600 - и в таком случае GRE-фрагменты могут дропаться, но это решается 
отказом
от больших пакетов GRE (уменьшением MTU), чтобы они не фрагментировались.

Ну и да, ещё в ранних версиях Cisco IOS были баги, из-за которых транзитный GRE
мог тупо дропаться из-за багов в CEF, но это было очень давно.
Может быть, ваши тесты тоже уже утратили актуальность - как давно они были?
Нынешняя реальность - GRE без NAT пролазит через интернет без проблем.


В теории оно возможно так и есть. На практике, совсем иначе. Итог - GRE 
не проходит. Причин может быть много, и разбираться с каждым клиентом 
почему у него не проходит GRE - ещё то занятие.

Тесты мои проходили около 2-х лет назад.




- l2tp: что бы использовать без ipsec'a, нужно лезть в реестр винды

Не нужно, начиная с Windows Vista есть галка в свойствах VPN-подключения.

Я на 7-ке не нашёл это галочки. Подскажите, как она выглядит/называется?


У меня уже нет Vista и семерок, и на Win 8.1 я тоже её не нашел.
Может быть, я ошибся насчет галки или перепутал с чем другим за давностью 
времён,
но это и неважно - l2tp/ipsec нынче работает без проблем.



с ipsec может и без проблем работает, но вот без него (а разговор был 
именно об l2tp без ipsec) - у меня тоже не вышло запустить. после правок 
в рееестре - проблема была решена.



L2TP/IPSEC для клиента гораздо легче в настройке, так как клиент нынче
встроен практически во все платформы из коробки и нужно прописать только
адрес сервера, psk, логин и пароль для PPP.

Настройка сервера (racoon) под встроенный клиент тех же платформ не сложнее 
настройки openvpn.



Не соглашусь с вами, и вот почему: когда у вас в клиенте стоит поддержка IPsec 
и выбрать там можно только 1-2 параметра,


Вообще не нужно ничего выбирать.


это не означаете что это просто. Это ад!!! У одного только ikev2,


Назовите клиента, который не поддерживает l2tp/ipsec с ikev1.


у второго только ikev1,


Для l2tp/ipsec это нормально.


у третьего поддерживаются только некоторые cipher'ы,


И этого достаточно - серверу надо просто включить все возможности.
Ну, кроме des (3des можно оставить).


у чётвертого только сертификат,


Имя в студию.



Постараюсь вспомнить


а у пятого только pre-shared key и всё это можно узнать только отдебажив на 
стороне сервера.
И подключения каждого клиента - это квест. А, и это ещё не всё! Весёлая 
проблема клиентов за NAT'ом.
Есть патчи, но у меня они не заработали (точнее патчились, но толку 0).


Это всё устаревшая информация. Начиная с FreeBSD 11.1, всё работает из коробки.



Да, я пробовал на FreeBSD 9.X/10.X, Собственно, после этого отпала вся 
охота с ним возится.



Точно такая-же весёлая проблема и сервера за NAT'ом.


Это больше проблема виндоклиентов, которым надо редактировать реестр (и то один 
параметр),
но в контексте FreeBSD на маршрутизаторе она вообще не актуальна.


А ещё, дебаг - просто песня, понять-то что не так, не всегда можно, а если и 
можно, то непонятно как решить.
Может когда-то давно это и было просто, когда все сетапили по одному мануалу, 
но сейчас, ИМХО, уже далеко не так просто.

Теперь OpenVPN. Есть конфиг сервера, есть такой же конфиг
(где такие же cipher'ы, такие же параметры компрессии, такие же наборы 
сертификатов,...)
клиента. Всё! Вы просто отдаёте его клиенту и неважно на каком девайсе он 
запущен,
оно а 99% будет работать. Идём дальше, openvpn прекрасно работает за NAT'ом,
как клиент, так и сервер. Порог вхождения настроек значительно ниже, чем у 
IPSec'a. Дебаг и поиск проблем гораздо удобнее.


Это всё можно сформулировать короче - вы умеете готовить openvpn (есть опыт), 
но не умеете готовить IPSEC.
Нынче это совсем не сложно.

Кроме того, у openvpn есть свои недостатки. Он не совместим ни с чем, кроме 
самого себя
(попробуйте запустить его на Cisco ASA, например; а вот IPSEC там есть) и иногда
не совместим с собственными старыми версиями. Он гоняет трафик чере

Re: [freebsd] Нагруженный VPN сервер

[skeletor]

04.10.2018 15:49, Alexander Andreyev пишет:

Учитывая, что GRE почти везде заблокирован, остают7ся варианты:
Неправда, что "GRE почти везде заблокирован" - правда, что он не 
пролазит через NAT
мобильных операторов связи (и ещё у некоторых). С публичными IP у GRE 
нет проблем.
Правда, и NAT в моём случае (и не только в моём) был не при чём: тесты 
были и с NAT'ом и без NAT'a и на разных провайдерах.
Осталось ещё пару провайдеров, где нормально проходит GRE, но таких 
единицы.


А по моим наблюдениям единицы тех провайдеров где точно не пролазит...
Обычно вполне работает.
Есть такой нюанс, что GRE пролазит через NAT в одном экземпляре, т.е. 
если кто-нибудь из той-же сети уже подключен, то второму не получается.


И если игнорировать небезопасность PPTP (а ведь во многих случаях, это 
действительно не важно, важен сам транспорт), то я этот протокол таки в 
лидерах по простоте настроек. Обычно может быть настроен даже самым 
неискушенным пользователем.

___


Допустим вы правы насчёт одного пакета. Вопрос: зачем тогда ТСу 
поднимать такой сервис, который рассчитан только на одно подключение 
через NAT? Что бы потом разбираться с кучей юзеров, почему у них не 
работает подключение? Я понимаю, когда ты что-то делаешь только для себя 
и только ты один будешь использовать, но когда таких вот человек 500-1000?

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Нагруженный VPN сервер

[skeletor]

04.10.2018 12:02, Eugene Grosbein пишет:

04.10.2018 15:50, skeletor wrote:


Учитывая, что GRE почти везде заблокирован, остаются варианты:


Неправда, что "GRE почти везде заблокирован" - правда, что он не пролазит через 
NAT
мобильных операторов связи (и ещё у некоторых). С публичными IP у GRE нет 
проблем.



Правда, и NAT в моём случае (и не только в моём) был не при чём: тесты 
были и с NAT'ом и без NAT'a и на разных провайдерах.

Осталось ещё пару провайдеров, где нормально проходит GRE, но таких единицы.


- l2tp: что бы использовать без ipsec'a, нужно лезть в реестр винды


Не нужно, начиная с Windows Vista есть галка в свойствах VPN-подключения.



Я на 7-ке не нашёл это галочки. Подскажите, как она выглядит/называется?


- мобильные клиенты точно не будут работать с ним
- openvpn: поддерживаются и мобильные и десктопные клиенты для популярных ОС 
(win/mac/linux/freebsd), легок в настройке (в 1 конфиг можно и конфиг и ключи 
запихнуть) + множество вариантов аутентификации (ключи, пароли, ключи+пароли)
- ipsec: сложен в настройке, очень капризен ко всему (качество инета, 
поддерживаемые шифры, протоколы)

Тут нужно выбрать не то, что вам по душе, а то, что смогут использовать юзера: 
если это можно юзать только под одной ОС и только после 100500 настроек конфига 
и столько же правок в самой ОС, то никому такой VPN не нужен будет. Либо, если 
сервис есть, а по факту не работает (где-то посредине между вами и юзером 
заблокирован GRE), то и тут вы быстро потеряете клиентов.


L2TP/IPSEC для клиента гораздо легче в настройке, так как клиент нынче
встроен практически во все платформы из коробки и нужно прописать только
адрес сервера, psk, логин и пароль для PPP.

Настройка сервера (racoon) под встроенный клиент тех же платформ не сложнее 
настройки openvpn.
Капризность к качеству инета - неправда, в IPSEC есть автоматическое 
преодоление NAT
за счёт прозрачной инкапсуляции в UDP.

Только всё это разговоры на другую тему, потому как когда речь идёт о тысяче 
одновременных
соединений - речь, вероятней, о провайдинге в контролируемой сети, а тут 
openvpn совсем не в тему,
так как требует уже существующего подключения для себя, в отличие от PPPoE.






Не соглашусь с вами, и вот почему: когда у вас в клиенте стоит поддержка 
IPsec и выбрать там можно только 1-2 параметра, это не означаете что это 
просто. Это ад!!! У одного только ikev2, у второго только ikev1, у 
третьего поддерживаются только некоторые cipher'ы, у чётвертого только 
сертификат, а у пятого только pre-shared key и всё это можно узнать 
только отдебажив на стороне сервера. И подключения каждого клиента - это 
квест. А, и это ещё не всё! Весёлая проблема клиентов за NAT'ом. Есть 
патчи, но у меня они не заработали (точнее патчились, но толку 0). Точно 
такая-же весёлая проблема и сервера за NAT'ом.
А ещё, дебаг - просто песня, понять-то что не так, не всегда можно, а 
если и можно, то непонятно как решить.
Может когда-то давно это и было просто, когда все сетапили по одному 
мануалу, но сейчас, ИМХО, уже далеко не так просто.


Теперь OpenVPN. Есть конфиг сервера, есть такой же конфиг (где такие же 
cipher'ы, такие же параметры компрессии, такие же наборы 
сертификатов,...) клиента. Всё! Вы просто отдаёте его клиенту и неважно 
на каком девайсе он запущен, оно а 99% будет работать. Идём дальше, 
openvpn прекрасно работает за NAT'ом, как клиент, так и сервер. Порог 
вхождения настроек значительно ниже, чем у IPSec'a. Дебаг и поиск 
проблем гораздо удобнее.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Нагруженный VPN сервер

[skeletor]

04.10.2018 11:12, Max пишет:

Добрый день, уважаемый Алл,

Подскажите, пожалуйста, под операционной системой FreeBSD нужно 
настроить VPN сервер, который будет обслуживать от 500 до 1000 
одновременных подключений.


Что посоветуете выбрать в качестве программного обеспечения.

Спасибо.




Учитывая, что GRE почти везде заблокирован, остаются варианты:

- l2tp: что бы использовать без ipsec'a, нужно лезть в реестр винды, 
мобильные клиенты точно не будут работать с ним
- openvpn: поддерживаются и мобильные и десктопные клиенты для 
популярных ОС (win/mac/linux/freebsd), легок в настройке (в 1 конфиг 
можно и конфиг и ключи запихнуть) + множество вариантов аутентификации 
(ключи, пароли, ключи+пароли)
- ipsec: сложен в настройке, очень капризен ко всему (качество инета, 
поддерживаемые шифры, протоколы)


Тут нужно выбрать не то, что вам по душе, а то, что смогут использовать 
юзера: если это можно юзать только под одной ОС и только после 100500 
настроек конфига и столько же правок в самой ОС, то никому такой VPN не 
нужен будет. Либо, если сервис есть, а по факту не работает (где-то 
посредине между вами и юзером заблокирован GRE), то и тут вы быстро 
потеряете клиентов.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Обновление FreeBSD

[skeletor]

05.07.2018 12:00, Alexey Krylov пишет:

Здравствуйте.

Прошу вас, поделитесь, как нужно правильно обновлять систему.
Каждое обновление у меня - это квест какой то.

как делаю я:
port fetch update
...
cd /usr/ports/ports-mgmt/portupdate
make install clean

===>  Installing for automake-1.16.1
===>  Checking if automake already installed
===>   An older version of automake is already installed (automake-1.15.1)
   You may wish to ``make deinstall'' and install this port again
   by ``make reinstall'' to upgrade it properly.
   If you really wish to overwrite the old port of automake
   without deleting it first, set the variable "FORCE_PKG_REGISTER"
   in your environment or the "make install" command line.
*** Error code 1

Stop.
make[4]: stopped in /usr/ports/devel/automake
*** Error code 1

===
automake установлен, но не актуален. Ок

cd /usr/ports/devel/automake
make deinstall
...
make install clean
===>   Registering installation for automake-1.16.1
Installing automake-1.16.1...
pkg-static: automake-1.16.1 conflicts with automake-wrapper-20131203 (installs 
files into the same place).  Problematic file: /usr/local/bin/aclocal
*** Error code 70

Stop.
make: stopped in /usr/ports/devel/automake





Я делаю так:

1) portsnap fetch update (обновление дерева портов)
2) portmaster -i {PKG_NAME} ("-i" что бы спрашивал, что именно обновлять)

Касательно проблем с automake, то я впервые столкнулся с ним после 
обновления на 11.2. Решил проблему так:


1) pkg_delete automake-wrapper-20131203
2) cd /usr/ports/ports-mgmt/portupdate && make install clean
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Почтовая система. Подтверждение для доставки писем. Педалька

[skeletor]

10.04.2018 22:00, Alexey Krylov пишет:

Здравствуйте.

Не знаю почему, но очень захотелось сделать "педальку", чтобы
письма доставлялись в обслуживаемые (локальные) ящики только после нажатия
на кнопку на ваб-страничке, которая отправляется отправителю при
доставке писем.

Целью является уменьшение спама.

Скажите, сталкивались ли вы с таким алгоритмом? Как он называется?
Легко ли настраивается? Гуглил, но видимо не достаточно усердно.
Может это плохая идея борьбы со спамом?

Пробовал Black/White list вести эти списки - ад,
Gray-list остановился на теории и не настроил
DNSBL - не всегда корректен и спамеры его обходят
spf,dkim настроены. Помогают, но не сильно. Спамеры освоили и это

Спасибо за помощь.



На ум приходит только mailman с принудительной модерацией.
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] FreeBSD wc -m

[skeletor]

27.12.2017 16:25, Mikhail Golub пишет:

Доброго времени суток.

Интересно просто стало ...
Почему указанная команда показывает больше результат, чем символов?
# echo test | wc -m
    5

Перевод строки считает? (но его же нет)


Если строку "test" поместить в файл (без перевода строки), то все ок:
# cat 1.txt | wc -m
    4



Он есть:

$ echo -n test | wc -m
   4

man echo:
...
 The following option is available:

 -nDo not print the trailing newline character.
...
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] syslog и много хостов

[skeletor]

syslog-ng позволяет указывать подсети. Пример:

filter f_WiFi   { netmask("10.100.51.0/255.255.254.0") or 
netmask("10.100.53.0/255.255.254.0")
or netmask("10.100.55.0/255.255.254.0") or 
netmask("10.100.57.0/255.255.254.0"); };


26.10.2017 00:17, Andrey пишет:

Доброго времени.

Нужно собирать логи с 600+ хостов

uname -a
BSD switchs 11.1-RELEASE FreeBSD 11.1-RELEASE #0 r321309

С rc.conf разобрался

syslogd_enable="YES"
syslogd_flags="-a 10.156.0.0/16:* -n -C"

а вот с конфигурацие самого сислога приходится писать очень много текста 
однообразного описывая каждый хост в сети с маской /16

+10.156.186.40
*.* /var/log/switchs-10.156.0.0.log
+*

+10.156.187.48
*.* /var/log/switchs-10.156.0.0.log
+*

и т.д. очень много раз

в man syslogd и man syslog.conf не нашел упоминания которое позволило бы 
сократить конфиг до вида

+10.156.0.0/16
*.* /var/log/switchs-10.156.0.0.log
+*

попробовал выкрутится так. писать все кроме хоста 10.156.186.253 но в лог идут 
записи и самого хоста с сислогом
-10.156.186.253
*.* /var/log/switchs-10.156.0.0.log
+*

можно скриптом сгенерить конфиг хоть для /8 сети но возможно есть решение проще?
Это я не доглядел ман или действительно сислог не умеет так как я хочу?

в перспективе обработка этих логов для отдачи заббиксу
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd



___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Трафик ходит не по таблице маршрутизации

[skeletor]

21.08.17 13:02, Andrey V. Elsukov пишет:

On 21.08.2017 12:57, Eugene Grosbein wrote:

21.08.2017 16:01, skeletor пишет:


Можно лишь сказать, что да, pf был известен подобными в прошлом
и может быть не все они исправлены.


OS 10.1-RELEASE-p5 amd64


Релиз выпущен почти три года назад, так что конкретно этот
баг вполне мог быть уже исправлен в 10.3.


Вот тут вот не так давно был похожий по описанию вопрос:
https://www.opennet.ru/openforum/vsluhforumID1/96954.html




Да, очень похоже не то. Видимо придётся обновляться.
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Трафик ходит не по таблице маршрутизации

[skeletor]

21.08.17 11:39, Eugene Grosbein пишет:

21.08.2017 15:36, skeletor пишет:

Всем привет.
Последнее время наблюдаю такую картину: часть пакетов уходит не по таблице 
маршрутизации, а в default GW. Выглядит это так:

1.1.1.1 -> 2.2.2.2 (ok)
2.2.2.2 -> 1.1.1.1 (ok)
1.1.1.1 -> 2.2.2.2 (ok)
2.2.2.2 -> 1.1.1.1 (ok)
1.1.1.1 -> 2.2.2.2 (host unreachable)
1.1.1.1 -> 2.2.2.2 (ok)
2.2.2.2 -> 1.1.1.1 (ok)
...

причём, ответ host unreachable приходит от default GW. И да, действительно, 
почему-то иногда пакеты уходят через него (примерно, каждый 10-ый/20-ый). 
Файервол PF (натит то же он), стейты не переполняются. Я даже не знаю в какую 
сторону копать.


Ни версии системы, ни конфигурации сети, ни конфигов pf.

Можно лишь сказать, что да, pf был известен подобными в прошлом
и может быть не все они исправлены.



OS 10.1-RELEASE-p5 amd64
pf слишком длинный, что бы выложить весь, могу отдельные участки.

Конфигурация сети:

office1 (1.1.1.1) <-(VPN)--> office2 <-> office3 (2.2.2.2)
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] l2tp за NAT'ом (без IPSEC)

[skeletor]

12.04.17 03:38, Irina Liakh пишет:

Добрый день всем!

Помогите, пожалуйста, разобраться, или подскажите, если это всем давно
известно)

Есть mpd, настроен как клиент, тип линка - l2tp. IPSEC не задействован.
Машина находится в LAN и NAT'ится ближайшим хопом - сервером, имеющим выход
к VPN-серверу.
Туннель поднимается, в логах все ок. Но по туннелю не ходят TCP и UDP
(пинги ходят).  При попытке установить TCP-соединение с этой машины,
tcpdump показывает исходящий SYN, входящий SYN ACK, но исходящего ACK нету,
как будто не воспринимается SYN ACK. Через время повторно уходит SYN и т.д.
С UDP похожая ситуация. Например, если запустить команду "host ...",
tcpdump показывает исходящие DNS-запросы, приходящие DNS-ответы,
но команда выдает:

# host google.com 8.8.8.8
;; connection timed out; no servers could be reached

В качестве NAT'а пробовались pf и ipfw, результат одинаковый.
Если подключить машину не через NAT, то все работает.
Система FreeBSD 10.3-RELEASE-p11 (пробовалась и 11.0), на сервере с NAT'ом -
FreeBSD 11.0.

Почему туннель не работает через NAT?
___


Если туннель поднимается, то НАТ здесь уже не причём. Все остальные 
пакеты ходят уже внутри туннеля. И здесь, либо mtu, либо файервол (может 
быть как на клиенте так и не серверной стороне).

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Синхронизация множества мелких файлов, ncftp-3.2.5 и ftp хранилище в ДЦ Воля

[skeletor]

09.03.17 13:00, Vladislav V. Prodan пишет:


Здравствуйте.

Имею задачу синхронизировать ~ 70ГБ  (мелких) файлов
backup.dc.volia.com  - ресолвится в 2 IP.
Судя по заставке, там Pure-FTPd



Я на Воле складывал бэкапы через lftp с опцией mirror. Она пропускает 
существующие и дописывает только новые. Так же удобно, когда файл 
изменился, но имя осталось прежнее - тоже закачивает новый. Так сказать, 
rsync over ftp.

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Посоветуйте git сервер

[skeletor]

22.01.2017 16:39, Vladislav V. Prodan пишет:

Здравствуйте.

Разработчикам нужно сервер контроля версий для множества мелких
репозитариев с гибкими настройками прав доступа.
Они выбрали варианты:

 1. git
 2. Mercurial
 3. subversion


Я склоняюсь к git.
Смотрю Gitosis и Gitolite, но их похоже забросили.
Что посоветуете?



gitosis - да, забросили. А вот gitolite - не похоже. Последний коммит в 
changelog'e 2016-09-08  v3.6.6 (до этого коммит полгода назад). git 
значительно быстрее, чем mercurial, но у mercurial'a больше фич и 
возможностей.


Насчёт выбора, то я бы посоветовал gitolite (если важна скорость 
работы), так как в нём есть фича разделения прав для бранчей. К примеру, 
нужно запретить user1 делать push в мастер-ветку (в остальные можно). В 
gitosis'e вы этого не сможете настроить (просто нет такого функционала).

___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Re: [freebsd] Fw: FreeBSD 10.2 and Adaptec 6405E

[skeletor]

19.05.2016 10:52, Alexandr Khomenko пишет:

Hi, All.

aacraid0: COMMAND 0xffe0a7d318 TIMEOUT AFTER 744 SECONDS
aacraid0: shutting down controller... FAILED
aacraid0: IOP_RESET failed
...


Возможно скажу глупость, но вот здесь 
http://code.metager.de/source/xref/freebsd/sys/dev/aacraid/aacraid.c 
есть кусок кода, который "выплёвывает" ошибку IOP_RESET failed:


} else if ((aacraid_sync_command(sc,
3790AAC_IOP_RESET_ALWAYS, 0, 0, 0, 0, , _mask)) != 0) {
3791/* call IOP_RESET for older firmware */

...
else
3798/* probably timeout */
3799device_printf(sc->aac_dev, "IOP_RESET 
failed\n");

Единственное, что приходит на ум - попробовать обновить прошивку 
контроллера. Хотя сам исходник совсем не изменился в 10 по отношению к 9-ке.

Re: [freebsd] mysql 5.7 under FreeBSD 8.4

[skeletor]

15.05.2016 1:49, Eugene Grosbein пишет:


make USE_GCC=4.8



# make USE_GCC=4.8
===>   mysql57-client-5.7.12 depends on file: 
/usr/local/lib/libcrypto.so.8 - found

===>   mysql57-client-5.7.12 depends on executable: bison - found
===>   mysql57-client-5.7.12 depends on file: /usr/local/bin/cmake - found
===>   mysql57-client-5.7.12 depends on file: /usr/local/bin/clang34 - found
===>   mysql57-client-5.7.12 depends on executable: gcc48 - found
===>   mysql57-client-5.7.12 depends on file: /usr/local/bin/as - found
===>   mysql57-client-5.7.12 depends on shared library: libevent.so - 
found (/usr/local/lib/libevent.so)
===>   mysql57-client-5.7.12 depends on shared library: liblz4.so - 
found (/usr/local/lib/liblz4.so)
===>   mysql57-client-5.7.12 depends on shared library: libedit.so.0 - 
found (/usr/local/lib/libedit.so.0)

===>  Configuring for mysql57-client-5.7.12
===>  Performing out-of-source build
/bin/mkdir -p /home/ports/databases/mysql57-client/work/.build
-- Running cmake version 3.5.2
-- Could NOT find Git (missing:  GIT_EXECUTABLE)
-- Configuring with MAX_INDEXES = 64U
CMake Error at cmake/os/FreeBSD.cmake:34 (MESSAGE):
  Unsupported compiler!
Call Stack (most recent call first):
  CMakeLists.txt:162 (INCLUDE)

Re: [freebsd] mysql 5.7 under FreeBSD 8.4

[skeletor]

14.05.2016 15:21, Eugene Grosbein пишет:


Тогда уж лучше USE_GCC=48 и предварительно поставить пакетом gcc48



Не помогло:

===>>> Port directory: /usr/ports/databases/mysql57-client

===>>> This port is marked IGNORE
===>>> Unknown version of GCC specified (USE_GCC=48)

Re: [freebsd] mysql 5.7 under FreeBSD 8.4

[skeletor]

13.05.2016 16:58, Владимир Друзенко пишет:


В качества костыля попробуй добавить USE_GCC=yes в Makefile порта.



Попробовал, но получил вот такой результат:

===>   mysql57-client-5.7.12 depends on executable: gcc48 - found
===>   Returning to build of mysql57-client-5.7.12
===>   mysql57-client-5.7.12 depends on file: /usr/local/bin/as - found
===>   mysql57-client-5.7.12 depends on shared library: libevent.so - 
found (/usr/local/lib/libevent.so)
===>   mysql57-client-5.7.12 depends on shared library: liblz4.so - 
found (/usr/local/lib/liblz4.so)
===>   mysql57-client-5.7.12 depends on shared library: libedit.so.0 - 
found (/usr/local/lib/libedit.so.0)

===>  Configuring for mysql57-client-5.7.12
===>  Performing out-of-source build
/bin/mkdir -p /home/ports/databases/mysql57-client/work/.build
-- Running cmake version 3.5.2
-- Could NOT find Git (missing:  GIT_EXECUTABLE)
-- Configuring with MAX_INDEXES = 64U
-- The C compiler identification is GNU 4.8.5
-- The CXX compiler identification is GNU 4.8.5
-- Check for working C compiler: /usr/local/bin/gcc48
-- Check for working C compiler: /usr/local/bin/gcc48 -- works
-- Detecting C compiler ABI info
-- Detecting C compiler ABI info - done
-- Detecting C compile features
-- Detecting C compile features - done
-- Check for working CXX compiler: /usr/local/bin/g++48
-- Check for working CXX compiler: /usr/local/bin/g++48 -- works
-- Detecting CXX compiler ABI info
-- Detecting CXX compiler ABI info - done
-- Detecting CXX compile features
-- Detecting CXX compile features - done
CMake Error at cmake/os/FreeBSD.cmake:34 (MESSAGE):
  Unsupported compiler!
Call Stack (most recent call first):
  CMakeLists.txt:162 (INCLUDE)


-- Configuring incomplete, errors occurred!

При этом http://dev.mysql.com/doc/refman/5.7/en/source-installation.html 
указано, что:


...
A working ANSI C++ compiler. GCC 4.4.6 or later, Clang 3.3 or later 
(FreeBSD and OS X), Visual Studio 2013 or later, and many current 
vendor-supplied compilers are known to work.

...

Возможно как-то заточено под связку clang+freebsd и другие связки 
gcc+freebsd оно просто отвергает?

Re: [freebsd] Openvpn is very slow

[skeletor]

25.04.2016 14:27, Владимир Друзенко пишет:


Уже писал в рассылку, но всё же повторюсь: покажите iperf через OpenVPN
и напрямую. И конечно же нагрузку на процессор на обоих сторонах при
тестировании с OpenVPN.
На P4 в качестве клиента выдало 90Mbit/s при загрузке проца по top-у 30%
(сжатие lzo включено). И это через интернет, а не по локалке.





Вот тесты iperf'ом (тестировал на другой точке, с внешним каналом в 30 
мбит):


pptp: 2.75 Mbits/sec
openvpn:  11.5 Mbits/sec
прямой линк: 28.7 Mbits/sec

Нагрузка на CPU при этом 50-90%. Видимо не вытягивает по CPU.

Re: [freebsd] squid + kerberos

[skeletor]

04.04.2016 9:59, Golub Mikhail пишет:


Доброго времени суток.
Используйте ntlm_fake_auth - будет фейковая аутентификация в браузерах,
поддерживающих ntlm (ie, firefox точно).

А если все же хотите именно kerberos, то прокси надо указывать в
браузере явно и по тому имени, на которое выдан тикет.
Т.е., например, proxy.domain.local, а не IP 1.1.1.1 ...



Я именно так и указывал.
Проблему нашёл и решил. А заключалась она в том, что было прописано 2 
SPN записи в АД для HTTP/. Удалил лишнюю и заработало.


Всем спасибо за помощь.

Re: [freebsd] squid + kerberos

[skeletor]

02.04.2016 22:43, Eugene Grosbein пишет:



Для проверки пользователей/групп из squid в Active Directory
нет необходимости использовать Kerberos. Достаточно посылать запросы
в AD по протоколу LDAP. На примере squid 3.2, для домена COMPANY.local
и контроллера на адресе 192.168.1.3, в squid.conf:

# Проверка пароля пользователя
auth_param basic program /usr/local/adm/squid_ad_auth
auth_param basic children 10
auth_param basic realm COMPANY
auth_param basic credentialsttl 5 minutes
acl ad_user proxy_auth REQUIRED

# Проверка вхождения пользователя в группу InetPermitted
external_acl_type ad_permitted ttl=300 %LOGIN /usr/local/adm/squid_ad_group
acl ad_authorized external ad_permitted InetPermitted

Скрипт /usr/local/adm/squid_ad_auth:

#!/bin/sh

base=COMPANY
domain="dc=$base,dc=local"
dom="$base.local"
controller="192.168.1.3"
user=squid
passwordfile=/usr/local/adm/ad.pwd

exec /usr/local/libexec/squid/basic_ldap_auth -R -b "$domain" \
  -D "$user@$dom" -W "$passwordfile" -f sAMAccountName=%s -h "$controller"

В домене нужен пользователь squid, чей пароль записан в
/usr/local/adm/ad.pwd.

Скрипт /usr/local/adm/squid_ad_group:

#!/bin/sh

base=COMPANY
domain="dc=$base,dc=local"
dom="$base.local"
controller="192.168.1.3"
user=squid
passwordfile=/usr/local/adm/ad.pwd

exec /usr/local/libexec/squid/ext_ldap_group_acl -R -b "$domain" \
  -D "$user@$dom" -W "$passwordfile" \
  -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,$domain))" \
  -h "$controller" "$@"




Спасибо, Евгений. Скрипт работает, но есть 2 нюанса: при каждом открытии 
браузера приходится вбивать login/pass (что очень неудобно, поэтому и 
использовал для этого kerberos, что бы передавало login/pass юзера 
автоматически), а так же не работает аутентификация для юзеров с 
русскими логинами (не спрашивайте кто такое придумал, мне оно тоже не 
нравится)

[freebsd] squid + kerberos

[skeletor]

Всем привет.
Использую связку squid+kerberos для аутентификации юзеров из АД. squid 
собран с поддержкой


AUTH_LDAP
AUTH_SASL
GSSAPI_MIT

Из необходимых пакетов стоит:

openldap-sasl-client-2.4.44
krb5-1.14.1
cyrus-sasl-2.1.26_12
cyrus-sasl-gssapi-2.1.26_7
squid-3.5.15_1

Билет от кербероса получаю (через keytab-файл, сгенерённый на 
контроллере домена). Но вот аутентицировать юзера не могу. В логах ошибка:


ERROR: Negotiate Authentication validating user. Result: {result=BH, 
notes={message: received type 1 NTLM token; }}


Гугление вообще мало что знает, а то, что знает от разряда "у меня вот в 
такой конфигурации работает". Перепробовал много чего, в том числе и 
пересборка squid'a с системным/heimdal керберосом, но ничего не поменялось.

Рядом, на Debian'e с теми же конфигами работает. Вот конфиги:

squid.conf:
...
auth_param negotiate program 
/usr/local/libexec/squid/negotiate_kerberos_auth -s 
HTTP/proxy.domain.local@DOMAIN.LOCAL

auth_param negotiate children 50 startup=10 idle=5
auth_param negotiate keep_alive on
...

/etc/krb5.conf

[libdefaults]
default_realm = DOMAIN.LOCAL
default_keytab_name = /usr/local/etc/squid/squid.keytab

[realms]
OVOSTAR.LOCAL = {
kdc = srvad.domain.local
kdc = srvad2.domain.local
admin_server = srvad.domain.local
default_domain = domain.local
}

[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL

[logging]
  kdc = FILE:/var/log/kerberos/kdc.log
  admin_server = FILE:/var/log/kerberos/kadmin.log
  default = FILE:/var/log/kerberos/default.log


# kinit -k HTTP/proxy.domain.local@DOMAIN.LOCAL
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: HTTP/proxy.domain.local@DOMAIN.LOCAL

  IssuedExpires   Principal
Apr  2 18:36:22 2016  Apr  3 04:36:22 2016  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

[freebsd] Re: [freebsd] Опять второй пул ZFS перестал монтироваться :(

[skeletor]

28.11.2015 14:54, Vladislav V. Prodan пишет:

Здравствуйте.
Система FreeBSD 10.1 amd64, 8 ГБ памяти

Раз в полгода с пулом данным возникают проблемы.
Сейчас загрузочный пул грузится, но система подвисает на этапе загрузки
ZFS разделов из второго пула...

Сейчас загрузился с MfsBSD.
в режиме реад-онли оба пула монтируются
В режиме записи монтируется только загрузочный пул.


Любая из этих команд подвешивает ZFS и zpool (помогает только reboot)
zpool import -R /mnt/tank -f tank
zpool import -R /mnt/tank -fFX tank
zpool import -d /dev/gpt -f tank
zpool import -o altroot=/mnt/tank -o
cachefile=/mnt/zroot/boot/zfs/zpool.cache -fFX tank

truss для дебага не очень помогает.
zdb -l /dev/ada[1-3,5]
показывает, что метаданные дисков в норме

Попытка переименовать пул не проходит:
# zpool import -D -nfF -d /dev/gpt -X tank tank2
cannot import 'tank': no such pool available


Как починить пул с данными - tank, не пересоздавая его?

Спасибо.




Натыкался на такое, только у меня не подвисала ОС, а паниковало ядро. 
Помог только 1 способ: загрузка с Oracle Solaris (возможно придётся 
взять OpenIndiana или другой дистр, так как версия пула там 5000, а в 
Oracle Solaris - 37, но ход мыслей думаю понятен), и просмотр состояния 
пула. Он был в degraded (выпал один из дисков). После удаления из него 
этого диска (был mirror, стал single пул), монтирование под FreeBSD 
проходило без проблем. Единственное


Дальше ещё интереснее. Проверил диск, погонял тесты, и ... диск 
исправен. Опять вставляю его в пул и через полгода он опять "выпадает" 
таким же образом (kernel panic и всё, что выше). После вдумчивого 
пристального осмотра дисков, обнаружил, что у него кеш 16, а у остальных 
32. Замена этого диска на такой же, но с 32 решила проблему. Возможно и 
сам диск был сбойным или я недостаточно тестов провёл...

[freebsd] netgraph FreeBSD 10.2

[skeletor]

Всем привет.
Когда-то на freebsd 7-8 создавал через netgraph интерфейсы вот так:

kldload /boot/kernel/ng_ether.ko
ngctl mkpeer em0: bridge lower link0
ngctl connect em0: em0:lower upper link1
ngctl name em0:lower em0Bridge
ngctl mkpeer em0:lower eiface link3 ether
ifconfig ngeth0 link 00:11:22:33:44:55
ifconfig ngeth0 1.1.1.1/24
sysctl net.inet.ip.forwarding=1

и после этого сеть на ngeth0  работала. На FreeBSD 10.2 не работает. 
Вроде бы ничего не упустил. Возможно что-то изменилось или я что-то 
делаю не так?


tcpdump вообще не показывает никаких пакетов отправленных на ngeth0. В 
arp запись с новым МАСом появляется. Непосредственно в самой FreeBSD 
сеть ngeth0 работает.


 # kldstat
Id Refs AddressSize Name
 1   29 0x8020 179ddb0  kernel
 21 0x81a11000 3832 ng_socket.ko
 3   11 0x81a15000 b9db netgraph.ko
 41 0x81a21000 34c0 ng_bridge.ko
 51 0x81a25000 3c48 ng_eiface.ko
 61 0x81a29000 7430 ng_netflow.ko
 71 0x81a31000 93b5 if_bridge.ko
 81 0x81a3b000 53fa bridgestp.ko
 91 0x81a41000 40fa ng_ether.ko

Re: [freebsd] netgraph FreeBSD 10.2

[skeletor]

05.09.2015 16:15, Vladislav V. Prodan пишет:



5 сентября 2015 г., 16:09 пользователь skeletor <skele...@lissyara.su
<mailto:skele...@lissyara.su>> написал:

Всем привет.
Когда-то на freebsd 7-8 создавал через netgraph интерфейсы вот так:

kldload /boot/kernel/ng_ether.ko
ngctl mkpeer em0: bridge lower link0
ngctl connect em0: em0:lower upper link1
ngctl name em0:lower em0Bridge
ngctl mkpeer em0:lower eiface link3 ether
ifconfig ngeth0 link 00:11:22:33:44:55
ifconfig ngeth0 1.1.1.1/24 <http://1.1.1.1/24>
sysctl net.inet.ip.forwarding=1



А по-моему, вы сначала создаете мост на основе em0 и мосту присваиваете
  ip-MAC.

Расскажите, что вы конкретно хотите получить на выходе?




Задача: присвоить новый IP с другим MAC-адресом. Кроме как создать новый 
интерфейс через netgraph других выходов не вижу.

Re: [freebsd] netgraph FreeBSD 10.2

[skeletor]

05.09.2015 17:15, Vladislav V. Prodan пишет:



Показывайте

ngctl list
netstat -rn -I ngeth0
netstat -rn -I em0Bridge

Если используется белые адреса, замените на XX.XX.YY.YY




# ngctl list
There are 6 total nodes:
  Name: ngeth0  Type: eiface  ID: 0012   Num hooks: 1
  Name: ngeth1  Type: eiface  ID: 0014   Num hooks: 1
  Name: ngeth2  Type: eiface  ID: 0016   Num hooks: 1
  Name: ngctl1184   Type: socket  ID: 0019   Num hooks: 0
  Name: em0 Type: ether   ID: 000c   Num hooks: 2
  Name: em0Bridge   Type: bridge  ID: 000e   Num hooks: 5

# netstat -rn -I ngeth0
NameMtu Network   Address  Ipkts Ierrs Idrop 
Opkts Oerrs  Coll
ngeth  1500   00:11:22:33:44:55  426 0 0 
74 0 0
ngeth - 192.168.5.0/2 192.168.5.4481 - - 
60 - -


# netstat -rn -I em0Bridge
NameMtu Network   Address  Ipkts Ierrs Idrop 
Opkts Oerrs  Coll

Re: [freebsd] Upgrade from 9.3 to 10.1: em problem

[skeletor]

А как обновить удалённо, без KVM, сразу ядро и мир? Можно ли сразу 
проинсталлить ядро и мир, а потом просто сделать mergemaster и reboot?

[freebsd] Upgrade from 9.3 to 10.1: em problem

[skeletor]

Всем привет.
Есть сервер в облаке, с сетевыми em0,em1 на FreeBSD 9.3 i386. При 
обновлении (первая загрузка с новым ядром 10.1, но старым миром от 9.3), 
в ifconfig получаем какой-то бред, мол интерфейсы называются русскими 
буквами

T
Ж
П
Естественно, что при поднятии интерфейсов (или рестарте через 
/etc/rc.d/netif) получаем кучу ругани на название интерфейсов.

При этом, через dmesg, pciconf они нормально видятся, то есть em0/em1.
Может кто-то в курсе, почему так происходит и как это чинить?

ПС. Ребут в старое ядро возвращает сервер к жизни.

Re: [freebsd] Upgrade from 9.3 to 10.1: em problem

[skeletor]

29.11.2014 16:06, Vladislav V. Prodan пишет:


1) Ребут производить с новым ядром и новым миром.
2) i386 мало тестят
3) скриншотик бы ругани показать



1) А если новый мир не завёдется? Как мне тогда быстро откатится? С 
новым ядром есть nextboot.

Re: [freebsd] Upgrade from 9.3 to 10.1: em problem

[skeletor]

29.11.2014 16:22, Oleg V. Nauman пишет:


  Загрузитесь в single user и установите мир от 10.1


Пришлось сделать на свой страх и риск и всё стало нормально. Странно, 
конечно. Я так обновлял с 8 до 9 и проблем таких не замечал.

Re: [freebsd] Re: [freebsd] Samba4 и русские логины с пробелами

[skeletor]

24.11.2014 19:12, Vasiliy P. Melnik пишет:

на 3.6 у меня юзер с пробелом логинитсяю. Сегодня юзера создавал,
аккаунты в лдап-е. Про кальмара не скажу.


Ключевой момент здесь FreeBSD 10, а не samba. Конкретно не работает 
связка FreeBSD 10+samba 3.6. При попытке добавить в домен получаем ошибку.

Re: [freebsd] Samba4 и русские логины с пробелами

[skeletor]

24.11.2014 21:26, Vasiliy P. Melnik пишет:

У меня у юзера юид:

DN: uid=Дима епт,ou=smbUsers,dc=bfz

А систему вчера обновил только:

FreeBSD sin.bfz.kiev.ua http://sin.bfz.kiev.ua 10.1-RELEASE FreeBSD
10.1-RELEASE #0 r274786: Fri Nov 21 14:53:21 EET 2014
root@/usr/obj/usr/src/sys/GENERIC  amd64

З.Ы. я тоже удивился, что работает. Но факт.

У вас самба 4? или 3.6? Дело в том, что возможно в самбе 3.6 и работает, 
но нельзя ввести в домен. Уже думаю использовать heimdal или kerberos из 
портов и с ним уже собирать самбу. По дефолту использует системный kerberos.

Re: [freebsd] Samba4 и русские логины с пробелами

[skeletor]

Удалось ввести в домен samba3.6: проинсталлил из портов kerberos 
(security/krb5) и пересобрал самбу именно с поддержкой портового.

Но проблема с логинами с пробелами не пропала.
Может кто-то поделится своими конфигами (smb.conf, krb.conf, 
squid.conf), буду уже сравнивать методом тыка.

Re: [freebsd] soft-updates, Journaled Soft Updates for root FS

[skeletor]

05.11.2014 7:40, Eugene Grosbein пишет:

On 04.11.2014 17:22, skeletor wrote:

Всем привет.
В 10-ке по дефолту разбивка диска выделяет весь раздел под корень, без
дробления на /var, /usr, /tmp. При этом этой ФС сразу ставятся SU+J.
Handbook
(https://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/disks.html#idp59409184)
вроде как ничего плохого не сулит с использованием SU / SU+J. Интересует
теория и практика использования SU/SU+J и что предпочтительнее в плане
золой середины при пропадании питания, крешах?
Или вообще не использовать SU/SU+J для корня? На FreeBSD 8.X, например,
по дефолту не используется SU для корня.


SU+J лучше отключать, с ним есть нерешенные проблемы.
У меня есть пара серверов на девятке, у которых при КАЖДОЙ нештатной 
перезагрузке
(проблемы с питанием или паника) бьется журнал так, что оно само не в состоянии
починиться и требуется ручное вмешательство.



А если без журнала? Насколько стабильно?

[freebsd] soft-updates, Journaled Soft Updates for root FS

[skeletor]

Всем привет.
В 10-ке по дефолту разбивка диска выделяет весь раздел под корень, без 
дробления на /var, /usr, /tmp. При этом этой ФС сразу ставятся SU+J.
Handbook 
(https://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/disks.html#idp59409184) 
вроде как ничего плохого не сулит с использованием SU / SU+J. Интересует 
теория и практика использования SU/SU+J и что предпочтительнее в плане 
золой середины при пропадании питания, крешах?
Или вообще не использовать SU/SU+J для корня? На FreeBSD 8.X, например, 
по дефолту не используется SU для корня.

Re: [freebsd] soft-updates, Journaled Soft Updates for root FS

[skeletor]

04.11.2014 12:37, Slawa Olhovchenkov пишет:

On Tue, Nov 04, 2014 at 12:22:34PM +0200, skeletor wrote:


Всем привет.
В 10-ке по дефолту разбивка диска выделяет весь раздел под корень, без
дробления на /var, /usr, /tmp. При этом этой ФС сразу ставятся SU+J.
Handbook
(https://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/disks.html#idp59409184)
вроде как ничего плохого не сулит с использованием SU / SU+J. Интересует
теория и практика использования SU/SU+J и что предпочтительнее в плане
золой середины при пропадании питания, крешах?
Или вообще не использовать SU/SU+J для корня? На FreeBSD 8.X, например,
по дефолту не используется SU для корня.


использовать ZFS для всего



Про zfs в курсе, использовал бы её, но не подходит, так как диск уже 
разбит, а создавать ZFS не на всём диске, а только на отдельном разделе 
мне не очень хочется.

Нужно именно для UFS.

Re: [freebsd] PBR на PF для UDP (openvpn)

[skeletor]

08.04.2014 9:49, Eugene Grosbein пишет:

On 08.04.2014 13:43, skeletor wrote:

Нужно обратить внимание на вывод tcpdump, с которого IP отвечает openvpn.
Для UDP приложению, которое слушает любой IP (*:port), нельзя выяснить,
на который именно IP пришел запрос, поэтому нельзя ответить с него.

bind (и ntpd и другие) обходят эту проблему, создавая по отдельному сокету
для каждого IP и принимая запросы в разные сокеты.




Спасибо Евгений.
У меня действительно openvpn слушает *:2294. Запустил 2 разных демона, 
каждый из которых слушает свой IP:2294 и всё заработало.
Хотя не удобно держать по 2 демона. Других вариантов, я так понял, 
просто не существует (ну кроме как перейти на TCP)?

Re: [freebsd] Непонятная активность

[skeletor]

22.02.2014 15:31, Andrey пишет:

Здравствуйте

sockstat -4
??  ? ?  tcp4   78.47.ххх.ххх:50496176.227.195.122:1935

и таких около 20 штук в выводе.

Это заразу подкинули ?
Как найти и убить?

uname: FreeBSD 10.0-RELEASE #0 r261721



Убить можно через tcpdrop.
Касательно знаков вопросов, вот что нашёл в сети:

The change between 8.2 and 8.3 is that sockstat now also shows
sockets that are not associated with a file descriptor.
Formerly, these were not shown, causing a discrepancy between
sockstat and netstat -a because netstat has always shown them.

In your case, the sockets on port 2049 are associated with the
kernel NFS client and server. The other TCP sockets are likely
in TIME_WAIT or a similar state.

Собственно эти соединения и обозначаются знаками вопроса.

Re: [freebsd] IPKVM ошибка подключения

[skeletor]

19.02.2014 11:18, Sergey Kobzar пишет:

On 02/19/14 10:00, skeletor wrote:


Я в своё время много чего перепробовал и нашёл утилиту
ftp://ftp.supermicro.com/utility/IPMIView, которая очень удобна.
Ещё хочу заметить, что данная ошибка у меня возникала не на всех IPMI, а
только не некоторых (на части всё было нормально).


Не со всеми SM серверами она работает. Точнее работает может и со всеми,
но на некоторых дает доступ к бесполезному минимуму фитчей.


Я не знаю, для каких вы целей используете IPMI, но я в 99% случаях 
использую только что бы подключиться к консоли сервера. Иногда ещё нужна 
проверка работоспособности FAN'ов, ребутнуть сервер по питанию и это всё 
тоже доступно через IPMIView. Возможно какие-то экзотические опции, 
вроде заведения аккаунтов или ещё что-то, что требуется 1-2 раза за всё 
время, то можно и через браузер это сделать.

У меня порядка 30 серверов SM и во всех необходимый минимум мне доступен.

[freebsd] Re: Опять надо апгрейдить системный софт? на этот раз питон

[skeletor]

25.01.2014 15:58, Vladislav V. Prodan пишет:




25 января 2014 г., 6:26 пользователь l...@lena.kiev.ua
mailto:l...@lena.kiev.ua написал:

  #cd /usr/ports/sysutils/hal
  #make clean
  /usr/ports/Mk/bsd.python.mk http://bsd.python.mk, line 558:
Malformed conditional
  (${PYTHON_REL} = 320  defined(PYTHON_PY3K_PLIST_HACK))
  /usr/ports/Mk/bsd.port.mk http://bsd.port.mk, line 6597:
if-less endif
  make: fatal errors encountered -- cannot continue
  # python -V
  Python 2.6.8

Мне кажется, что дело здесь не в версии Питона.
Какая версия фри?


FreeBSD 9.1-STABLE #0: Wed Jan 30 23:58:06 EET 2013



Дело как раз в версии питона. Что бы побороть ошибку нужна версия не 
ниже 2.7 (у меня после обновления с 2.6 на 2.7 ошибка пропала).

[freebsd] Re: Сетевая bge и 1Гбит

[skeletor]

21.08.2013 18:02, Alexander Yerenkow пишет:

Пиши сразу в каррент и заводи PR (как минимум про зависон 92).
Head пробовал? Если на нём заведётся, то или бекпортни себе дрова в
стейбл, или если возможность есть - сиди на хеде.


21 августа 2013 г., 17:52 пользователь skeletor skele...@lissyara.su
mailto:skele...@lissyara.su написал:

Есть несколько серверов HP dl560 g1. В каждом по 2 сетевые Compaq
NC7781 Gigabit Server Adapter ASIC Rev 0x001002 (инфа через sysctl
dev.bge0.%desc). А если через pciconv то Broadcom NetXtreme BCM5703X
Gigabit Ethernet

Самое главное, что нельзя эти сетевые завести на гигабите. Если
ставлю auto - получаю 100FD. Если принудительно 1000FD/HD - то
получаю no carrier. И на свиче ставит как auto, так и жёстко
прибивал - не хочет работать.

Зато под Linux - отлично поднимается гигабит (пробовал gentoo, ubuntu).

Под FreeBSD 8.4, 9.1 - одно и то же. 9.2RC2 - вообще зависает при
загрузке (на сканировании USB-устройств).

Такое наблюдается на 2-х одинаковых серверах. Чувствую, что дело в
драйвере bge, но как заставить работать на гигибите - не знаю.

Заранее спасибо.



После обновления firmware и изменения в BIOS'e опции OS с Linux - other 
OS на 9.2 завёлся гигабит на обоих серверах.
Касательно подвисонов - были вызваны сбоем дисковой подсистемы, именно 
после опроса USB и опрашивались диски.
Странно другое, что на 9.1 через небольшой таймаут 10 секунд ОС 
продолжала загружаться дальше, а вот на 9.2 намертво зависала. Диски 
SCSI собраны в RAID1.

[freebsd] Re: ZFS и mysql

[skeletor]

30.09.2013 16:21, greenh пишет:

База одного из проектов выросла примерно до 40 гиг и бекапить mysqldump
ом ее стало малореально. Было принято творческое решение перейти на zfs
и бекапы снапшотом. После переезда на существенно более мощную машину с
zfs выяснилось, что что запросы к таблицам начали выполняться примерно в
3-5 раз медленее, чем до этого.
Вопрос - может ли это быть связанно с переходом на zfs, а если да - то
как фиксить и куда смотреть?


Вполне возможно.
Я использую только InnoDB и вот какой тюнинг проводил касательно Zfs:

для самой базы и журналов:
zfs set primarycache=metadata database/mysql
zfs set secondarycache=none database/mysql
zfs set logbias=throughput database/mysql
zfs set atime=off database/mysql
zfs set recordsize=16K database/mysql

отдельно для журналов:
zfs set logbias=latency database/mysql_logs

Но учтите, что изменение Recordsize коснётся только новых данных. Старые 
же будут в 128Кб.

[freebsd] Сетевая bge и 1Гбит

[skeletor]

Есть несколько серверов HP dl560 g1. В каждом по 2 сетевые Compaq NC7781 
Gigabit Server Adapter ASIC Rev 0x001002 (инфа через sysctl 
dev.bge0.%desc). А если через pciconv то Broadcom NetXtreme BCM5703X 
Gigabit Ethernet


Самое главное, что нельзя эти сетевые завести на гигабите. Если ставлю 
auto - получаю 100FD. Если принудительно 1000FD/HD - то получаю no 
carrier. И на свиче ставит как auto, так и жёстко прибивал - не хочет 
работать.


Зато под Linux - отлично поднимается гигабит (пробовал gentoo, ubuntu).

Под FreeBSD 8.4, 9.1 - одно и то же. 9.2RC2 - вообще зависает при 
загрузке (на сканировании USB-устройств).


Такое наблюдается на 2-х одинаковых серверах. Чувствую, что дело в 
драйвере bge, но как заставить работать на гигибите - не знаю.


Заранее спасибо.

[freebsd] Re: ipsec на 9.0

[skeletor]

04.08.2013 7:30, Блогер пишет:

/usr/src/sys/i386/conf/blah: unknown option IPSEC_ESP
*** Error code 1. Почему?



Насколько я помню, то опция IPSEC-ESP актуальна только для 7 и ниже. Как 
пишут в сети с FreeBSD 7.x ESP идет сразу вместе с IPsec


Для 9.0 достаточно только опций

options IPSEC
device  crypto

[freebsd] Re: Сжатия ядра и модулей

[skeletor]

01.08.2013 13:33, Eugene Grosbein пишет:


70 мегабайт вполне хватит. Файлы *.symbols можно удалить и не ставить новые,
они никак не используются в работе и могут понадобиться только для отладки ядра.



Выбрал вариант без symbols и некоторых модулей. Действительно, всё 
уместилось почти в 90 мбайт + почистил место на пару мбайт.

Спасибо.

[freebsd] Сжатия ядра и модулей

[skeletor]

Всем привет.

Достался сервер, удалённый (очень далеко), без KVM'a. Нужно обновить 
ядро до 8.4. Но проблема в том, что в корне (/) места очень мало 
(осталось около 100 Мбайт). И для ядра GENERIC явно маловато. Обычно 
обновляю ядро через nextboot, но в этом случае ядро придёться старое 
ядро перенести, иначе новое не проинсталлится.
Почитал про kgzip, но с ним много проблем (как пишут в инете), а так же 
нашёл поддержки amd64.

Есть вариант удалять ненужные модули, но это длительно и может быть чревато.

Может есть вариант загрузить ядро не с boot-ового (у меня в качестве его 
выступает /) раздела? Или сжать ядро? Или ещё есть какие-то методы с 
возможностью загрузки и старого ядра с помощью netboot или аналога?


ОС FreeBSD 8.1 Release amd64

[freebsd] Re: panic: Solaris(panic): zfs: allocating allocated segment

[skeletor]

Всяческие попытки как-то добраться до пула через FreeBSD (Live CD, 8/9)
не увенчались успехом. Загрузился с Solaris 11.1 LiveCD
Сейчас сливаю данные на другой винт. Вот, что сказал Solaris (явно
намекая на тот сбойный винт):

# zpool status
   pool: dpool
  state: DEGRADED
status: One or more devices are unavailable in response to persistent
errors.
 Sufficient replicas exist for the pool to continue functioning
in a
 degraded state.
action: Determine if the device needs to be replaced, and clear the errors
 using 'zpool clear' or 'fmadm repaired', or replace the device
 with 'zpool replace'.
 Run 'zpool status -v' to see device specific details.
   scan: scrub repaired 64K in 0h3m with 0 errors on Sat Jun 22 17:10:17
2013
config:

 NAME STATE READ WRITE CKSUM
 dpoolDEGRADED 0 0 0
   raidz1-0   DEGRADED 0 0 0
 c7t1d0p0 ONLINE   0 0 0
 7844172536082216995  UNAVAIL  0 0 0
 c7t3d0p0 ONLINE   0 0 0

errors: No known data errors




После того, как под Solaris я вытянул данные, ребутнулся в FreeBSD и пул 
опять стал online без каких-либо намёков на панику или диски.

Мистика или магическая сила Solaris его вылечила.

[freebsd] panic: Solaris(panic): zfs: allocating allocated segment

[skeletor]

После непланового ребута сервера, при загрузке zfs пула (raidz1 из 3-ох 
дисков) получаем kernel panic как в теме.


Проверил смартом диски, на одном получил такое
197 Current_Pending_Sector  0x0012   100   100   000Old_age   Always 
  -   17

ATA Error Count: 5

Остальные диски в норме. Если надо smart - приведу.

Пришлось на время отключить zfs_enable, тогда сервер хоть загружается. 
Но при попытке сделать даже zpool list получаем kernel panic как в сабже.


При любой комбинации загрузки из 2-х (вместо 3-ох) дисков получаем тоже 
kernel panic.


Если загрузиться с livecd и сделать zpool import, то увидим пул, статус 
которого online и все диски нормально видны. Но при попытке сделать


#zpool import -o ro -f dpool

получаем опять kernel panic
Ясно одно - с пулом какая-то проблема. Не могу понять, почему ядро 
паникует даже при команде zpool list/status?


Как можно вытащить данные с этого пула?

ОС = FreeBSD 9.1 Release amd64
LiveCD = FreeBSD 9.0 Release amd64

Гугл малословен, и пару советов - заменить винт. Замена винта пока 
затруднительна в силу определённых обстоятельств.


Может это баг и его уже пофиксили?

[freebsd] Re: panic: Solaris(panic): zfs: allocating allocated segment

[skeletor]

26.06.2013 12:28, skeletor пишет:

После непланового ребута сервера, при загрузке zfs пула (raidz1 из 3-ох
дисков) получаем kernel panic как в теме.

Проверил смартом диски, на одном получил такое
197 Current_Pending_Sector  0x0012   100   100   000Old_age   Always
   -   17
ATA Error Count: 5

Остальные диски в норме. Если надо smart - приведу.

Пришлось на время отключить zfs_enable, тогда сервер хоть загружается.
Но при попытке сделать даже zpool list получаем kernel panic как в сабже.

При любой комбинации загрузки из 2-х (вместо 3-ох) дисков получаем тоже
kernel panic.

Если загрузиться с livecd и сделать zpool import, то увидим пул, статус
которого online и все диски нормально видны. Но при попытке сделать

#zpool import -o ro -f dpool

получаем опять kernel panic
Ясно одно - с пулом какая-то проблема. Не могу понять, почему ядро
паникует даже при команде zpool list/status?

Как можно вытащить данные с этого пула?

ОС = FreeBSD 9.1 Release amd64
LiveCD = FreeBSD 9.0 Release amd64

Гугл малословен, и пару советов - заменить винт. Замена винта пока
затруднительна в силу определённых обстоятельств.

Может это баг и его уже пофиксили?



Всяческие попытки как-то добраться до пула через FreeBSD (Live CD, 8/9) 
не увенчались успехом. Загрузился с Solaris 11.1 LiveCD
Сейчас сливаю данные на другой винт. Вот, что сказал Solaris (явно 
намекая на тот сбойный винт):


# zpool status
  pool: dpool
 state: DEGRADED
status: One or more devices are unavailable in response to persistent 
errors.

Sufficient replicas exist for the pool to continue functioning in a
degraded state.
action: Determine if the device needs to be replaced, and clear the errors
using 'zpool clear' or 'fmadm repaired', or replace the device
with 'zpool replace'.
Run 'zpool status -v' to see device specific details.
  scan: scrub repaired 64K in 0h3m with 0 errors on Sat Jun 22 17:10:17 
2013

config:

NAME STATE READ WRITE CKSUM
dpoolDEGRADED 0 0 0
  raidz1-0   DEGRADED 0 0 0
c7t1d0p0 ONLINE   0 0 0
7844172536082216995  UNAVAIL  0 0 0
c7t3d0p0 ONLINE   0 0 0

errors: No known data errors

Re: [freebsd] panic: Solaris(panic): zfs: allocating allocated segment

[skeletor]

1. Если это raidz1 почему не вышвырнуть битый винт и не загрузится с
остальными?


Я ж писал, что загрузка с 2-мя любыми дисками из пула приводит к kernel 
panic.




2. zpool import -o readonly=on -f -R /root -N -F pool


Дело не в опциях, а панике zfs в целом. При любом упоминалии zfs/zpool 
получаем kernel panic. Более того, пересборка мира (думал обновиться до 
9-stable) тоже вылетала в kernel panic



Если ZFS сказал бяка - лучше переформатировать.



Так и сделаю, когда солью данные.

Во всех случаях kernel panic один и тот же.

Re: [freebsd] panic: Solaris(panic): zfs: allocating allocated segment

[skeletor]

Всем спасибо за помощь.
Попробую ваши советы, если получиться потянуть время на введение сервера 
в строй.

[freebsd] ipnat и удаление правил налету

[skeletor]

В мане есть опция '-r' для удаления правил налету, без сброса сессий. Но 
как её правильно использовать не могу понять.

Хочу удалить вот такое правило:

rdr igb1 XX.XX.XX.XX/32 port 12380 - 10.5.0.252 port 80 tcp

Пробовал использовать так (но ни одно не сработало):

#ipnat -r rdr igb1 XX.XX.XX.XX/32 port 12380 - 10.5.0.252 port 80 tcp
#ipnat -r rdr igb1 XX.XX.XX.XX/32 - 10.5.0.252
#echo rdr igb1 XX.XX.XX.XX/32 port 12380 - 10.5.0.252 port 80 tcp \ 
|ipnat -r -

#echo rdr igb1 XX.XX.XX.XX/32 - 10.5.0.252 | ipnat -r -

Вообще, примеры использования ipnat не описаны или очень мало-мало описаны.

Re: [freebsd] ipnat и удаление правил налету

[skeletor]

20.06.2013 17:35, Slawa Olhovchenkov пишет:


все очень просто -- те, кто пишут XX.XX.XX.XX вместо того, что они
действительно вводят -- сами себе ищут неприятности на свою жопу, не
хотят помощи и вообще стоят в очереди в биореактор.

# ipnat -f -
rdr igb1 XX.XX.XX.XX/32 port 12380 - 10.5.0.252 port 80 tcp
Unknown host 'XX.XX.XX.XX'
rdr igb1 1.2.3.4/32 port 12380 - 10.5.0.252 port 80 tcp

# ipnat -l
List of active MAP/Redirect filters:
rdr igb1 80.80.162.0/32 port 12380 - 10.5.0.252 port 80 tcp
rdr igb1 1.2.3.4/32 port 12380 - 10.5.0.252 port 80 tcp

List of active sessions:

# ipnat -r -f -
rdr igb1 1.2.3.4/32 port 12380 - 10.5.0.252 port 80 tcp

# ipnat -l
List of active MAP/Redirect filters:
rdr igb1 80.80.162.0/32 port 12380 - 10.5.0.252 port 80 tcp

List of active sessions:




Там скрыт реальный ИП. Если вас это очень обидело или у вас из-за этого 
случился нервный срыв, приношу извинения.

Предложенный вариант сработал, спасибо.

[freebsd] isc-dhcp раздаёт зарезервированные адреса

[skeletor]

Всем привет.

Столкнулся с проблемой: есть резервации, но он упорно начинает раздавать 
их совершенно другим клиентам. Пока решение только одно: режу диапазон 
(уже кусков 6, но чувствую это не предел) выдаваемых IP. Можно конечно 
перетасовать адреса, но многие адреса завязаны на другие сервисы и 
получим лаввиную перенастройку с возможными проблемами.

Что за глюк такой странный?
Кстати, вот, нашёл у человека проблема 1 в 1 
http://forum.sysadmins.su/index.php?showtopic=40248824#entry650893


Я, почему-то думаю по другому: если адрес зарезервирован, то он не 
должен выдаваться никому, кроме нужного, при любых обстоятельствах.

[freebsd] isc-dhcp раздаёт зарезервированные адреса

[skeletor]

18.06.2013 11:46, Eugene Grosbein пишет:

On 18.06.2013 15:44, skeletor wrote:


Я, почему-то думаю по другому: если адрес зарезервирован, то он не
должен выдаваться никому, кроме нужного, при любых обстоятельствах.


Ты должен исключать зарезервированные адреса из общих пулов.




То есть именно так и никак иначе?
Странно другое, что раньше никогда с такой проблемой не встречался, хотя 
несколько лет использую isc-dhcp

[freebsd] isc-dhcp раздаёт зарезервированные адреса

[skeletor]

18.06.2013 12:00, Sayetsky Anton пишет:

18 июня 2013 г., 11:56 пользователь skeletor skele...@lissyara.su написал:
https://lists.isc.org/pipermail/dhcp-users/2010-October/012484.html
The address can be assigned to another host even if host foo is
online ! Host declarations do NOT go through the normal lease
processing, and so the server doesn't actually keep any record of
having given the address to foo. therefore, it can, and will, at
some point select that address to give to another client.



Спасибо, почитаю.
Видимо, когда свободных адресов много - маловероятно наткнуться на такую 
бяку. Но когда их мало (как у меня сейчас), то получаем очень часто 
Address already in use

[freebsd] Nagios и Read from socket failed: Connection reset by peer [preauth]

[skeletor]

Всем привет.
После обновления на 8.4, а соответственно обновления ssh до версии 6.1p1 
(использую родной, фряшный) в логах при проверки Nagios'ом 22 порта 
получаем такие сообщения (/var/log/auth):


fatal: Read from socket failed: Connection reset by peer [preauth]

Почему такие сообщения - понятно. Вопрос - можно ли как-то от них 
КОРРЕКТНО (перенаправить в другой файл - не выход) избавится? При этом 
не зарубить сообщения о попытках входа и подбора паролей.


Поставил

LogLevel ERROR

но не помогло. Вот похожая проблема - 
http://www.mail-archive.com/nagios-users@lists.sourceforge.net/msg09057.html


Ясно, что такое поведение появилось в версии ssh 6.X. В версии 5.Х 
такого не было.

Заранее спасибо.

[freebsd] Re: Fibre Channel

[skeletor]

30.05.2013 08:08, Aleksandr Lisovoy пишет:

А для каких Вы целей хотите в таком случае использовать FreeBSD`шный
тазик, мне интересно, в качестве таргета? Инициаторами будут тоже
тазики, насколько я понимаю?




Есть больше 10-ка серверов под Solaris с корзинами дисков (там настроить 
target не проблема, они успешно работают), но появился старый сервер на 
FreeBSD (его тоже нужно сделать target'ом), пересетапить на Solaris 
который, большая проблема. Initiator - тоже под Solaris.

[freebsd] Fibre Channel

[skeletor]

Всем привет.
Кто-то использовал на FreeBSD FC? Интересено использование в режиме 
Target'a. Какие HBA-карты и какое ПО использовали?

[freebsd] dovecot+exim авточистка почты

[skeletor]

Всем привет.

Есть связка dovecot+exim, настроена проверка квот на стороне exim'a. 
Настроил отсылку warning'ов при заполнении ящика на 80%. Интересует 
такая взможность (может кто сталкивался): при заполнении ящика на 95% 
начинается самоочистка ящика от старых писем до тех пор, пока ящик не 
освободится до 85%. Заказчик хочет такую фичу.
Никогда не слышал о таких возможностях MTA (а может это возможно сделать 
средствами POP3/IMAP сервера), но может существует хотя бы что-то подобное?


Заранее спасибо

[freebsd] Сетевая карта PCI Gigabit

[skeletor]

Всем привет.

Посоветуйте более-менее нормальную сетевую карту PCI Gigabit. Хотелось 
бы из разряда Intel igb, но они только PCI-express.
Карточка будет держать до 10 вланов, обслуживать локалку офиса из 200 
человек.
Нашёл вот эту intel PRO/1000 MT, но как-то с ней очень много проблем 
(сюдя по отзывам форумов), хотя какие-то решаются с дровами от яндекса, 
а какие-то - нет.


ОС FreeBSD 8.1-RELEASE

Заранее спасибо.

Re: [freebsd] Русский язык в названии файлов при архивировании tar'ом

[skeletor]

03.05.2013 15:18, Vladislav Prodan пишет:


Как победить подобное?

tar: home/august2012/data/www/.ru/articles/!!!_ �� ��� �� �, 
�� ��  .html: Can't translate pathname 
'home/august2012/data/www/.ru/articles/!!!_ �� ��� �� �, �� 
��  .html' to UTF-8

# locale
LANG=ru_RU.UTF-8
LC_CTYPE=ru_RU.UTF-8
LC_COLLATE=ru_RU.UTF-8
LC_TIME=ru_RU.UTF-8
LC_NUMERIC=ru_RU.UTF-8
LC_MONETARY=ru_RU.UTF-8
LC_MESSAGES=ru_RU.UTF-8
LC_ALL=ru_RU.UTF-8

FS - ZFS



Не через cron случайно запускаете?

Re: [freebsd] Re[2]: [freebsd] Русский язык в названии файлов при архивировании tar'ом

[skeletor]

03.05.2013 15:50, Vladislav Prodan пишет:


Нет, из консоли, ручками.
Но локали глобально определены, и cron берет оттуда значения.




Касательно системного сron'a - нет (насчёт пользовательских - локаль 
пользователя). В нём нужно отдельно прописывать локаль (на  FreeBSD 
8.2-RELEASE - точно, на остальных - не в курсе)

[freebsd] Re: [freebsd] Re[2]: [freebsd] Re[2]: [freebsd] Русский язык в названии файлов при архивировании tar'ом

[skeletor]

03.05.2013 16:04, Vladislav Prodan пишет:



  --- Исходное сообщение ---
От кого: skeletor skele...@lissyara.su
Дата: 3 мая 2013, 16:01:41



Может, вы путаете насчет русского языка в кроне? :)
Типа этого?
LANG=ru_RU.UTF-8




Спорить не буду, как это правильно называется, но скажу так: после 
установке в системном Cron'e соответствующих опций UTF-8 - русские имена 
в архивах начали нормально отображаться. До этого были крякозяблы.

[freebsd] Upgrade kernel without reboot

[skeletor]

Всем привет.

Лазил по просторам инета и наткнулся на тему 
http://forums.freebsd.org/showthread.php?t=26812 . С последнего поста в 
той теме прошло почти полтора года, вот и заинтересовался: появилась ли 
такая возможность или пока нет?
Интересует как для FreeBSD, так и Solaris (понимаю, что это оффтопик, но 
всё-таки).

Re: [freebsd] Upgrade kernel without reboot

[skeletor]

15.03.2013 11:34, Eugene Grosbein пишет:

15.03.2013 16:30, skeletor пишет:

В FreeBSD нет и вроде бы не планируется.
Я не очень представляю себе масштабы полезности такой фичи.




Полезность - получить новое ядро (включить или выключить опции или 
модули ядра, которые включаются/отключатся только через пересборку ядра) 
без downtime сервера и сервисов, которые крутятся на этом сервере.

Re: [freebsd] Upgrade kernel without reboot

[skeletor]

15.03.2013 11:42, Eugene Grosbein пишет:

15.03.2013 16:37, skeletor пишет:




Вопрос не про саму фичу, а именно про масштаб её полезности.
Только через пересборку сейчас добавляется небольшое количество
не слишком часто используемых фич типа IPSEC, остальное модулями подгружается.

С удалением фич без того, чтобы сервисы это заметили всё ещё более странно -
если сервисы фичи используют, то они точно заметят :-)
А если нет, то с удалением неиспользуемых фич можно и повременить с ребутом.
Народ вон на GENERIC живёт массово, не используя из него множество фич.

Единствоенное, что приходит на ум - запатчить драйвер/опцию, код которой 
статически
вкомпилен в ядро и применить изменение без ребута.




Возможно вы не сталкивались с необходимостью такого использования. А я 
сталкивался. Например, включение ALTQ в PF, реально нельзя было 
перегружать шлюз, а зашейпить товарища нужно было срочно. Почему так 
получилось (на шлюзе не включили в ядро ALTQ) - вопрос другой.
Вообще, такая фича, понятно не на каждый день нужна, но очень было бы 
неплохо, если бы была такая возможность.
Например, мне очень нравится nexboot, но это не значит, что я её 
использую через день.

Re: [freebsd] Upgrade kernel without reboot

[skeletor]

15.03.2013 11:47, Anton Yuzhaninov пишет:

On 03/15/13 13:37, skeletor wrote:

Сейчас это теоретически тоже удобно было бы иметь, но небольшое удобство
не стоит тех громадных усилий, которые нужно потратить разработчикам
ядра на реализацию и поддержку такой возможности. Лучше эти силы
потратить на более полезные вещи.



В линуксе, например, такая возможность есть - kexec. Сам пока не 
использовал.

Re: [freebsd] Upgrade kernel without reboot

[skeletor]

15.03.2013 11:57, Anton Yuzhaninov пишет:


Шлюз лучше дублировать; carp+pfsync в этом помогут.

А зашейпить можно было и через dummunet.



Это всё понятно, но не всегда бывают ситуации, когда есть дублирующий 
сервер.
Касательно той ситуации именно так и было сделано: пришлось заюзать (ещё 
один файервол, помимо pf) ipfw для очередей. Кривовато, но работало.

Re: [freebsd] Обработка пакета ipfw - pf

[skeletor]

05.03.2013 15:12, Yuriy B. Borysov пишет:


В связи с чем вопрос, в каком порядке пакеты проходят фильтры, если
оба активны?



http://www.opennet.ru/tips/info/1431.shtml

Re: [freebsd] После обновления php 5.3.5 --5.3.21 php-fpm стал падать

[skeletor]

24.01.2013 14:41, Vladislav Prodan пишет:

...

[24-Jan-2013 14:36:05] WARNING: [pool XXX2] child 25037 exited on signal 11 
(SIGSEGV) after 10.152233 seconds from start
[24-Jan-2013 14:36:05] NOTICE: [pool XXX2] child 25053 started
[24-Jan-2013 14:36:05] WARNING: [pool XXX2] child 25051 exited on signal 11 
(SIGSEGV) after 2.157797 seconds from start
[24-Jan-2013 14:36:05] WARNING: failed processes threshold (10 in 600 sec) is 
reached, initiating reload
[24-Jan-2013 14:36:05] NOTICE: reloading: execvp(/usr/local/sbin/php-fpm, 
{/usr/local/sbin/php-fpm})
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=16, 
/var/run/php.mail.YYY.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=16, 
/var/run/php.mail.YYY.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=18, 
/var/run/php.XXX2.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=18, 
/var/run/php.XXX2.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=20, 
/var/run/php.YYY.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=20, 
/var/run/php.YYY.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=22, 
/var/run/php.YYY2.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=22, 
/var/run/php.YYY2.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=24, 
/var/run/php.socket
[24-Jan-2013 14:36:05] NOTICE: using inherited socket fd=24, 
/var/run/php.socket
[24-Jan-2013 14:36:05] NOTICE: fpm is running, pid 25054
[24-Jan-2013 14:36:05] NOTICE: ready to handle connections
[24-Jan-2013 14:36:08] WARNING: [pool XXX2] child 25072 exited with code 1 
after 2.641039 seconds from start
[24-Jan-2013 14:36:08] NOTICE: [pool XXX2] child 25139 started
[24-Jan-2013 14:36:09] WARNING: [pool XXX2] child 25074 exited on signal 11 
(SIGSEGV) after 3.447159 seconds from start
[24-Jan-2013 14:36:09] NOTICE: [pool XXX2] child 25140 started
[24-Jan-2013 14:36:09] WARNING: [pool XXX2] child 25073 exited on signal 11 
(SIGSEGV) after 4.121774 seconds from start
[24-Jan-2013 14:36:09] NOTICE: [pool XXX2] child 25141 started
...

Набор модулей тотже.
по php -m падений не видно...




Не пробовали truss'ить?

[freebsd] tar + конвертация UTF8-CP1251 имём файлов

[skeletor]

Есть NAS, подключённый к серверу, на котором храняться рабочие папки 
юзеров. С помощью сервера делается бэкап (tar+bzip2) папок. Юзеры все 
виндовые. Пока всё нормально (если нужно достать из бэкапа что-то, 
распаковываем на сервере и ложим в нужную папку), но юзерам почему-то 
понадобилось очень часто распаковывать архивы и доставать файлы из 
бэкапа. Было выдвинуто быстрое решение - положить эту задачу на самих 
юзеров. Как итог, юзер себе качает архив бэкапа и начинает 
распаковывать. Имена файлов естественно битые, так как кодировки не 
совпадают.

Пока есть 2 варианта решения:
1) искать возможность при архивации конвертировать имена файлов в CP1251
2) менять кодировку на самом NAS'e (там урезанный линукс, доступ есть)

Пока склоняюсь к п1, но если ничего не найду - придёться разбираться в п2.

Может у кого-то есть какие-то идеи по этому поводу? Или может есть ещё 
варианты решить эту задачу?


ОС FreeBSD 8.2, locale - UTF8 (спецом, что бы нормально виделись имена 
файлов через сервер)

[freebsd] Quagga-RE vs Quagga

[skeletor]

Всем привет.

Планируется использование BGP (приём и анонс пока только нескольких 
подсетей, в будущем может и full view). Увидел в портах Quagga-RE. 
Почитал, что мол та же Quagga, только стабильнее и получше (особенно 
касается BGP и OSPF). Кто использовал RE-версию? Действительно ли 
получше будет, чем не -RE версия?
В первую очередь интересует стабильность, скорость тоже интересует, но 
уже на втором плане.


Заранее спасибо.

[freebsd] portsnap fetch update

[skeletor]

Последнее время начал замечать, что выполнение данной команды означает 
скачивание с нуля всех портов, а не только новых. Раньше качало только 
разницу. При этом, файлы снапов в папке /var/db/portsnap/files имеют 
дату запуска portsnap fetch update, то есть я так понял они качаются 
заново. Данное поведение замечал и на 8.X и на 9.0

У всех так? Это нормально?

Re: [freebsd] portsnap fetch update

[skeletor]

06.12.2012 12:42, Eugene V. Boontseff пишет:

06.12.2012 14:34, skeletor пишет:
Это только один раз после известной компроментации.
Дальше, все снова, как обычно.



Да, видимо так и есть.
Всем спасибо, помогли разобраться.

Re: [freebsd] Сервер закрывается на 2 часа

[skeletor]

  А если попробовать в файерволе включить простое правило логирования
  входящих пакетов по какому-то шаблону с котоорго вы заходите
  удаленно? В лог что-то попадает? Если нет -- укртелеком чудит.



Отличная идея.

 Какие именно соединения не проходят из мира - http? smtp? ssh?
 В чём именно выражается проблема - таймаут? TCP RST? ICMP unreachable?

Никакие не проходят. Через пару часов скажу, как отвечает сервак в 
период сна

Re: [freebsd] Сервер закрывается на 2 часа

[skeletor]

06.11.2012 11:52, Eugene Grosbein пишет:



Никакие это какие? Какие пробовал?



tcp: 22, 80
udp: 53
icmp

Других портов, которые кем-то слушаются - нету.

Re: [freebsd] Сервер закрывается на 2 часа

[skeletor]

С укртелекомом лет 5 назад было похожее - каждый день в 17.54
переставали ходить пакеты на 80 порт, после звонка в суппорт через
полчаса все восстанавливалось. Ситуация продолжалась месяца два.



А что произошло через 2 месяца? Само пропало?

[freebsd] Сервер закрывается на 2 часа

[skeletor]

Всем привет.
Есть сервер на FreeBSD 9.0-RELEASE amd64. На нём поднимается pppoe 
сессия на укртелеком (модем в режиме бриджа). Сервер работает нормально, 
но начиная с 16.15 и до 18.15 сервер перестаёт быть виден из интернета. 
То есть как-будто блокируются все входящие соединения (файервол на время 
сделал полностью открытым). При этом интернет у людей, который за 
сервером - есть. Так же не прерывался пинг, пущенный с сервера в мир в 
период его закрытия на 2 часа.


Что пробовал: перезапускал по крону ppp в период недоступности, писал 
статистику mtr, netstat, сессии ната (pfctl -ss) - проблем и потерь нет.


Ещё страннее, после перевода часов 28-го октября, 2 часа астрала 
сдвинулись и теперь это с 13.15 до 15.15 (очень странно, почему сдвиг 
произошёл на 3 часа, вместо 1-го).


Конечно, несколько раз смотрел кроны (кромер рутового нету других).

Есть такие версии:
- взломали сервак и вживили червя
- глючит модем или глючит укртелеком
- у кого-то из клиентов - вирус

Никто не сталкивался с таким или похожим?

[freebsd] Re: Сервер закрывается на 2 часа

[skeletor]

05.11.2012 16:23, Alexander Yerenkow пишет:






а помониторить процессы на нём нельзя в это окно?
Какого рода у вас доступ, извне или изнутри?



Доступ у меня извне. Касательно процессов - упустил (создал скрипт, буду 
мониторить).

[freebsd] Re: [ОТ] Датацентр в Киеве

[skeletor]

Colocall - посмотрел на сайте. Какие-то цены у них неправильные. ДЦ
Бункер - подумал шутка.

Воля - из предыдущего опыта (не ДЦ) как-то не внушает доверия...



Colocall - я бы не советовал. У них часто проблемы с питанием в одной из 
гермозон (может в остальных всё нормально, но там где стояли когда-то 
наши серваки как раз были проблемы): АВР хоть и есть, но автоматом не 
заводиться, кондиционер часто тёк на нашу стойку (просто жуть) ну и 
много других мелочей в частности недоступности саппорта ночью/на 
выходных (они находятся совершенно в другом месте, за ними нужно ехать 
на своём транспорте, забирать и везти их на Леонтовича - я реально был в 
шоке от такого отношения)

Вообщем если там проблемы с питанием - то 99% будет downtime.

Да, VPS у Воли очень плохие, а вот как ДЦ для своих серверов - очень 
даже ничего ну и саппорт тоже адекватный.


Ещё как вариант - Wnet: ДЦ не очень большой, зато отзывы знакомых были 
положительные.


Итог (ИМХО): Воля или Wnet.

[freebsd] Оптимальное число inode для UFS

[skeletor]

Кто какие значения использует? Или может оставляете по умолчанию?
Планируется организовать файловое хранилище, на очень много маленьких 
файликов и боюсь упереться в ограничение out of inodes.

[freebsd] Re: Оптимальное число inode для UFS

[skeletor]

25.07.2012 16:20, Alexander Yerenkow пишет:


Конкретику давай. сколько винтов, каких, как их будешь соединять,
какие файлы хранить будешь, по каким протоколам отдавать.
Вопрос рода Сколько стоит квартира? А то думаю брать. :)




Я ж написал, что буду хранить много маленьких файликов (1-2 кб). 
Протокол здесь ни к чему (ИМХО).
Возможно ты не понял суть: при очень-очень большом количестве файлов 
могут просто исчерпаться inod'ы и всё (при этом свободное место может 
быть). Больше ты не сможешь записать на эту ФС ничего, пока не почистишь 
старые inod'ы.
Пока планирую брать 2 шт. по 2 Tb и загонять их в железный RAID-1. 
Большой объём здесь особо не нужен, важно что будет храниться оченьи 
очень много маленьких файликов.

[freebsd] Re: Убить неубиваемый по kill -9 процесс

[skeletor]

28.05.2012 15:24, Sayetsky Anton написал:

В каком состоянии процессы? D убить никак.


состояние разные: zombie, idle, disk wait, idle interrupt thread

[freebsd] Re: Убить неубиваемый по kill -9 процесс

[skeletor]

28.05.2012 15:37, Andrey V. Elsukov написал:


Ну вообще, это зависит от того, в каком состоянии находятся эти процессы.
Продемонстрируйте, хотя бы вывод ps/top/procstat на них.



Вот кусок top'a

 1682 backup  1  440  5828K   236K tx-tx  1 110:23  0.00% cat
 2503 backup  1  440  5828K   236K tx-tx  3 109:42  0.00% cat
50227 root1  760  9928K   380K zfs 0 102:05  0.00% find
12071 root1  760  9928K   280K zfs 3  85:49  0.00% find
99032 root1  700  9928K   280K zfs 2  83:37  0.00% find
 2123 root1  520  9928K   280K zfs 3  63:05  0.00% find

Вот куски procstat'a

   38 0 0 0 0   6 -tx-tx_s  -   zfskern
 2123 1  2114  2114 0   1 root zfs   FreeBSD ELF64 find
 2503  2502  2502  2502 0   1 backup   tx-tx_q  FreeBSD ELF64 cat
12071 1 12062 12062 0   1 root zfsFreeBSD ELF64 find
16601 16600 16600 16600 0   1 root sbwaitFreeBSD ELF64 sshd

Вот куски ps

 2123 root D 63:04.54 find -s / ! ( -fstype ufs -or -fstype zfs
 2502 backup   IWs0:00.00 bash -c cat -  /backup/sysbackup
 2503 backup   D109:42.99 cat -
12071 root D 85:49.18 find -s / ! ( -fstype ufs -or -fstype zfs
16068 root Ds 0:00.02 sshd: backup [priv] (sshd)
16069 sshd IW 0:00.00 sshd: backup [net] (sshd)
16600 backup   Ds 0:00.02 sshd: backup [priv] (sshd)
16601 sshd IW 0:00.00 sshd: backup [net] (sshd)

Re: [freebsd] Re: Убить неубиваемый по kill -9 процесс

[skeletor]

28.05.2012 15:59, Alexander Yerenkow написал:

Не SUJ случаем?



Нет, zfs. грешу на него.

[freebsd] Re: Убить неубиваемый по kill -9 процесс

[skeletor]

Всем спасибо.
К сожалению ждать больше нет времени, так как скоро будут заливаться 
важные бэкапы, решил ребутнуть. Корректно не захотел уходить, висел 
минут 30, дольше сил не хватило ждать, сделал резет (сервер в ДЦ, КВМа 
нету, так что что там происходило на консоли - не могу сказать)
Есть подозрения, что если zfs лочит диск (и подвисает или просто долго 
держит залоченным), то сделать unlock можно только через reset. Ещё вот 
попробую сделать как в статье http://habrahabr.ru/post/92701/ (благо 
рейд зеркальный)

[freebsd] Перегенерация кореневого сертификата

[skeletor]

Подходит время на expire кореневого сертификата. Как можно безболезненно 
перегенерировать новый? Дело в том, что клиентов много, и всем заново 
генерировать новые - не выход.

Сертификат используется для доступа к сайту.

[freebsd] Re: Перегенерация кореневого сертификата

[skeletor]

24.05.2012 14:44, Vasiliy P. Melnik написал:

по сути вопроса я так понимаю, что сертификат самосгенереный и
самоподписаный.


Да


а если сертификат импортирован в винду


Да


каким-то образом этот новый сертификат в эту винду еще раз импортировать.


Вот именно этого и хочется избежать

[freebsd] ipfw+ipnat+limit dst-addr

[skeletor]

Всем привет.
Есть связка ipfw+ipnat (используется только для NAT). Захотелось ввести 
ограничения на количество исходящих\входящих подключений в интернет. 
Собираю такую конструкцию:


ipfw add check state
ipfw add allow all from 10.10.10.15 to any limit dst-addr 20
ipfw add deny all from 10.10.10.15 to any

По счётчикам ipfw show вижу, что правило срабатывает. Так же смотрю ipfw 
-d show и считаю, сколько динамических правил создалось для 10.10.10.15 
и вижу, что их количество превышает 20.
Так же смотрю сессии NAT через ipnat -l и тоже их количество превышает 
20 для данного ИПа. Делаю заключение, что ограничение может и работает, 
но неправильно, так как у юзера более 1000 подключений.
Поскольку фактически у меня 2 файервола (ipfw и ipfilter), то нужно 
смотреть ещё и порядок прохождения пакета через файерволы. Нашёл статью 
http://www.opennet.ru/tips/info/1431.shtml , если верить которой


на вход: ipfilter, pf, ipfw
на выход: ipfw, pf, ipfilter

То есть иными словами подключения юзера 10.10.10.15 в инет НАТятся 
раньше, чем они доходят до правила


ipfw add allow all from 10.10.10.15 to any limit dst-addr 20

?

Попробовал по другому (пробовал с in/out и без них):

ipfw add check state
ipfw add allow all from 10.10.10.15 to any via $int_if limit dst-addr 20
ipfw add deny all from 10.10.10.15 to any


но ограничения так и не срабатывают.
То есть по идее они хоть как должны сначала пройти через это правило, 
так как оно написано для внутреннего интерфейса, а потом уже будут 
НАТится на внешнем.


Ещё как вариант - это писать ограничения непосредственно в ipfilter (не 
тестировал)


Подскажите, где я ошибся и как всё-таки заставить работать ограничения?

ПС. FreeBSD Release 8.1 amd64
Сейчас этот сервер в работе, поэтому что-то кардинальное смогу сделать 
только вечером.


Заранее спасибо.

[freebsd] Драйвера от яндекса для em/igb

[skeletor]

Есть несколько вопросов:

1) Насколько они оправданы (реально ли лучше родных?) для использования 
на High Load серверах?
2) Существуют ли сейчас в природе или после перевода своих серверов на 
linux уже перестали разрабатывать и так же убрали и те, которые были.

Просто инет кишит ссылками на yandex team который сейчас недоступен.

Re: [freebsd] Re: routing 2 ifaces

[skeletor]

11.04.2012 08:09, Mykola Dzham написал:


Это подтверждает только то, что вы двое наблюдали какую-то хрень.
Система по умолчанию отправляет пакет согласно роутингу, а не откуда
пришел запрос. Так что или продемонстрируйте route -n get и tcpdump,
демонстрирующие что у Вас оно ходит не по роутингу, или прекращайте
дезинформировать людей.



Именно какую-то хрень!
Если посмотреть tcpdump, то пакеты уходят согласно таблице маршрутизации 
(как и должно быть), но при этом в host IP подменяется тем IP на которых 
пришёл запрос. При этом ответ будет уже идти с int2, хотя в src host 
будет указан ip1 (ip на интерфейсе int1)

Что бы не быть голословным приведу то, что просят.

Приведу пример, когда запрос приходит на один интерфейс, а сервер на 
него отвечает через другой (согласно таблице маршрутизации)


XX.XX.XX.85 - IP удалённого хоста, с которого будем производить проверку 
нашего 2-канального сервера

AA.AA.AA.161 - шлюз для первого канала
AA.AA.AA.162 - IP на первом канале сервере (сетевая igb0)
BB.BB.BB.9 - шлюз для второго канала
BB.BB.BB.10 - IP на втором канале сервере (сетевая igb1)

# route -n get XX.XX.XX.85
   route to: XX.XX.XX.85
destination: XX.XX.XX.0
   mask: 255.255.254.0
gateway: BB.BB.BB.9
  interface: igb1
  flags: UP,GATEWAY,DONE,STATIC
 recvpipe  sendpipe  ssthresh  rtt,msecmtuweightexpire
   0 0 0 0  1500 1 0

Как видим, ответ должен уйти через второй канал.
Запускаем ping на первый канал (то есть ответ должен уйти через второй 
канал) и смотрим tcpdump:


# tcpdump -i igb0 -t -v -n 'host XX.XX.XX.85 and ip proto \icmp'
tcpdump: listening on igb0, link-type EN10MB (Ethernet), capture size 96 
bytes
IP (tos 0x0, ttl 58, id 56746, offset 0, flags [none], proto ICMP (1), 
length 84)
XX.XX.XX.85  AA.AA.AA.162: ICMP echo request, id 1589, seq 0, 
length 64
IP (tos 0x0, ttl 58, id 56816, offset 0, flags [none], proto ICMP (1), 
length 84)
XX.XX.XX.85  AA.AA.AA.162: ICMP echo request, id 1589, seq 1, 
length 64


а что в этот момент твориться на втором канале:

# tcpdump -i igb1 -t -v -n 'host XX.XX.XX.85 and ip proto \icmp'
tcpdump: listening on igb1, link-type EN10MB (Ethernet), capture size 96 
bytes
IP (tos 0x0, ttl 64, id 58291, offset 0, flags [none], proto ICMP (1), 
length 84)

AA.AA.AA.162  XX.XX.XX.85: ICMP echo reply, id 1589, seq 13, length 64
IP (tos 0x0, ttl 64, id 58420, offset 0, flags [none], proto ICMP (1), 
length 84)

AA.AA.AA.162  XX.XX.XX.85: ICMP echo reply, id 1589, seq 14, length 64

Как видим, запрос приходит на один канал, а ответ уходит через второй 
(ну согласно таблице маршрутизации). Интересно так же посмотреть, что 
покажет tcpdump на XX.XX.XX.85:


# tcpdump -i em0 -t -v -n '(host AA.AA.AA.162 or host BB.BB.BB.10) and 
ip proto \icmp'
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 
bytes
IP (tos 0x0, ttl 64, id 8102, offset 0, flags [none], proto ICMP (1), 
length 84)
XX.XX.XX.85  AA.AA.AA.162: ICMP echo request, id 22837, seq 0, 
length 64
IP (tos 0x0, ttl 60, id 26758, offset 0, flags [none], proto ICMP (1), 
length 84)

AA.AA.AA.162  XX.XX.XX.85: ICMP echo reply, id 22837, seq 0, length 64
IP (tos 0x0, ttl 64, id 8114, offset 0, flags [none], proto ICMP (1), 
length 84)
XX.XX.XX.85  AA.AA.AA.162: ICMP echo request, id 22837, seq 1, 
length 64
IP (tos 0x0, ttl 60, id 26879, offset 0, flags [none], proto ICMP (1), 
length 84)

AA.AA.AA.162  XX.XX.XX.85: ICMP echo reply, id 22837, seq 1, length 64

то есть для конечно хоста достаточно то, что удалённый хост представился 
нужным ему IP. Соответственно он делает вывод, что всё ок и сервер 
доступен.
Показывать tcpdump, если запрос пришёл на тот интерфейс с которого уйдёт 
(согласно таблице маршрутизации) смысла не вижу, так как там картина 
будет ясна.


Возможно я где-то неправ или ошибся, но такая схема работает.
Критика приветствуется.

[freebsd] Re: routing 2 ifaces

[skeletor]

11.04.2012 17:39, Vadim S. Goncharov написал:



Для нормальной диагностики следует приводить эту самую команду ping, и
на какой из машин она запускается.


Я ж писал (возможно не совсем точно выразился)

Запускаем ping на первый канал (то есть ответ должен уйти через второй 
канал) и смотрим tcpdump:  и так же приводил пояснение


AA.AA.AA.162 - IP на первом канале сервере (сетевая igb0)
XX.XX.XX.85 - IP удалённого хоста, с которого будем производить проверку 
нашего 2-канального сервера


что значит, что запускаю я команду ping AA.AA.AA.162 с хоста XX.XX.XX.85



А это вот вообще где? В описании двухканального сервера никаких em0 не
было.



Тоже писал

Интересно так же посмотреть, что покажет tcpdump на XX.XX.XX.85:  
собственно em0 это интерфейс на XX.XX.XX.85




А теперь немного от себя.
Изначально вопрос был не совсем правильно сформулирован в корне ну и 
соответственно дальше начал тоже развиваться в неправильном русле.
И так: для того, что бы пакет отправлялся в нужный интерфейс всё-таки 
нужно fwd/reply-to. Но для того, что бы сервер был виден по обеим 
каналам - совсем не обязательно присутствие fwd/reply-to (как показывают 
исследования) = то есть оно-то будет работать, но возможны ньюансы\проблемы.


Лично я это понял именно так.

Re: [freebsd] routing 2 ifaces

[skeletor]

10.04.2012 15:19, Vasiliy P. Melnik написал:

hi.

сеть построена на влан-ах, физический интерфейс один в транке, на него
заходит 2 инета от разный провайдеров.
На интерфейсах прописаны айпишники и в рц.конф прописан один дефаулт.

Раньше для того, чтобы пакеты улетали в нужный интерфейс приходилось
делать вот так:

pass in quick on $inet_iface reply-to ($inet_iface $inet_gw) proto tcp
fromTRUSTED-HOSTS  to $inet_ip port ssh
pass in quick on $binet_iface reply-to ($binet_iface $binet_gw) proto
tcp fromTRUSTED-HOSTS  to $binet_ip port ssh


З.Ы. вот и теперь вопрос возник:
1)  работает из-за того, что сетка на вланах (с какого бы  перепугу?).
2)  какие-то настройки у провайдера.


З.Ы.Ы. проверить больше не где - только один сервак с двумя интерфейсами


У меня именно с такими правилами когда-то работало с 2-мя USB-модемами 
(использовались как внешние каналы). Если честно - не совсем понятен вопрос.

Re: [freebsd] routing 2 ifaces

[skeletor]

10.04.2012 15:32, Vasiliy P. Melnik написал:


ссори :)

вопрос в том, что сейчас работает и без правил


Кстати, а как проверяли: перегружали сервер или просто перечитывали 
правила? Возможно оно каким-то образом поддерживало ещё сессию?


Более того, я заметил такую же штуку и в ipfw. :)

Re: [freebsd] routing 2 ifaces

[skeletor]

10.04.2012 17:02, Vadim S. Goncharov написал:


Я не заметил, последний раз проверял на 9.0R - всё так же требуется
пересборка ядра для ipfw fwd. Что-то у вас неучтенное, если само
работает, показывайте конфигурацию, что ли.



На этих системах работает

$ uname -srm
FreeBSD 8.1-RELEASE amd64
$ uname -srm
FreeBSD 8.1-RELEASE i386

Re: [freebsd] PF уже умеет SMP или нет?

[skeletor]

27.03.2012 08:59, Nick Kostirya пишет:


А что в OpenBSD уже прикрутили SMP?



А я не говорил, что прикрутили. Мне интересно, как обстоят дела не 
только во FreeBSD, но и в OpenBSD.


27.03.2012 09:07, Eugene Grosbein пишет:
 Да, они сейчас борятся с giant lock, как фря после четверки.

А где об этом можно почитать?