Re: [Sysadmins] squid и transparent proxying
Nikolay пишет: как 2009/04/27 10:13:59| WARNING: transparent proxying not supported 2009/04/27 10:13:59| ACHChecklist::authenticated: authentication not applicable on transparently intercepted requests. Ка это заборть ? + ему теперь перестали наривится такие вот себе описания acl spass src /etc/squid/squid_passwd Это файл с паролями для пользователей icq Не подскажет ли кто что собственно произошло ? и как это лечить ? Аутентификация не применима при прозрачном проксифицировании. У вас в PREROUTING порт 5190 заворачивает на прокси? ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] squid и transparent proxying
В сообщении от 27 апреля 2009 Владимир Кутявин написал(a): Nikolay пишет: как 2009/04/27 10:13:59| WARNING: transparent proxying not supported 2009/04/27 10:13:59| ACHChecklist::authenticated: authentication not applicable on transparently intercepted requests. Ка это заборть ? + ему теперь перестали наривится такие вот себе описания acl spass src /etc/squid/squid_passwd Это файл с паролями для пользователей icq Не подскажет ли кто что собственно произошло ? и как это лечить ? Аутентификация не применима при прозрачном проксифицировании. У вас в PREROUTING порт 5190 заворачивает на прокси? Нет - те кто авторизируют ( это клиенты icq ) - указывают прокси рукам заворачивается только 80-й порт. + при отключении http_port 192.168.0.5:3128 transparent acl spass src /etc/squid/squid_passwd всё одно 2009/04/27 10:30:36| aclParseIpData: Bad host/IP: 'icq:FKFDXVRa9tfY6' FATAL: Bungled squid.conf line 2568: acl spass src /etc/squid/squid_passwd Squid Cache (Version 3.0.STABLE13): Terminated abnormally. Но приблизительно год такой конфиг работал .. :( ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins -- С, уважением, Николай. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Переход на с AD на samba PDC
В Sat, 25 Apr 2009 22:40:43 +0500 Igor gik_altli...@mail.ru пишет: On Saturday 25 April 2009 19:24:32 you wrote: В сообщении от Пятница 24 апреля 2009 Igor написал(a): Добрый день. Возможно ли перетащить всех пользователей AD w2003 на samba PDC. Т.е. есть 2003 сервер с AD, который падает от вирусов каждые два часа. Задача поднять samba3 в качестве BDC на него слить пользователей с AD, а затем 2003 убрать совсем. Весь инет перерыл -не нашел. Кто делал - подскажите. А антивирус на сервер вы не ставите по каким причинам? :) По мне, так проще купить антивирус, чем плясать с бубном вокруг самбы и windows-клиентов. Я занимаюсь администрированием небольших фирм, и у меня везде стоит самба. Вирусы появляются везде, но с ними с успехом удавалось бороться. Новая фирма, три win2003 под 1с и домен, 15 рабочих станций под winxp. Везде стоит NOD32. И тут вдруг началось - каждые два часа не серверах стали отключаться службы Сервер и Обозреватель компьютеров. Ни NOD, ни Launch DRWEB, ни Antivir на win2003 и xp к результату не приводят. Я что там ночевать должен. Естественно первым делом все сервера на Linux, а вирусы на рабочих станциях - дело десятое. Это похоже на присутствие сетевого червя Kido. Лечится утилитами Касперского плюс установка критических обновлений. Утилиты можно бесплатно скачать с сайта Лаборатории Касперского ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] squid и transparent proxying
В сообщении от 27 апреля 2009 Владимир Кутявин написал(a): Nikolay пишет: как 2009/04/27 10:13:59| WARNING: transparent proxying not supported 2009/04/27 10:13:59| ACHChecklist::authenticated: authentication not applicable on transparently intercepted requests. Ка это заборть ? + ему теперь перестали наривится такие вот себе описания acl spass src /etc/squid/squid_passwd Это файл с паролями для пользователей icq Не подскажет ли кто что собственно произошло ? и как это лечить ? Аутентификация не применима при прозрачном проксифицировании. У вас в PREROUTING порт 5190 заворачивает на прокси? + найдена причина Apr 26 hq apt-get: squid-common-3.0.STABLE13-alt1.M50.1 installed Apr 26 hq apt-get: squid-common-2.6.STABLE22-alt1 removed - неужели в 3-м сквиде нельзя использовать парольную авторизацию ? - если можно - то как мне прикрутить пароли в нём ? ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins -- С, уважением, Николай. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] squid и transparent proxying
В сообщении от 27 апреля 2009 Nikolay написал(a): Доброго дня. Вот с утра проапгрейдился и теперь имею небольшую проблему ... - система Linux hq 2.6.28-srv-std-alt2 #1 SMP Thu Feb 5 12:16:20 UTC 2009 x86_64 GNU/Linux настроена на rpm ftp://ftp.altlinux.org/pub/distributions/ALTLinux/5.0/branch x86_64 classi rpm ftp://ftp.altlinux.org/pub/distributions/ALTLinux/5.0/branch noarch classi Всё работает на ура но вылезли некоторые мелкие детали как 2009/04/27 10:13:59| WARNING: transparent proxying not supported 2009/04/27 10:13:59| ACHChecklist::authenticated: authentication not applicable on transparently intercepted requests. Ка это заборть ? + ему теперь перестали наривится такие вот себе описания acl spass src /etc/squid/squid_passwd Это файл с паролями для пользователей icq Не подскажет ли кто что собственно произошло ? и как это лечить ? Просьба - вероятно, к сборщику пакета - по поводу транспарент - включить при сборке --prefix=/usr/local/squid --enable-ssl --enable-linux-netfilter сейчас мы имеем squid -v |egrep -o ([^ ]+(netf|STAB)[^ ]+) 3.0.STABLE13 без поддержки, а вот с паролями пока непонятно. И я думаю, возможно не у меня одного такая проблема ? или ещё никто не апдэйтился ? -- С, уважением, Николай. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] squid и transparent proxying
Nikolay пишет: + найдена причина Apr 26 hq apt-get: squid-common-3.0.STABLE13-alt1.M50.1 installed Apr 26 hq apt-get: squid-common-2.6.STABLE22-alt1 removed - неужели в 3-м сквиде нельзя использовать парольную авторизацию ? - если можно - то как мне прикрутить пароли в нём ? Вот здесь - acl spass src /etc/squid/squid_passwd - он у вас ищет ip-адреса, а не пароли. Что у вас в `/etc/squid.conf | grep auth`? ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] squid и transparent proxying
В сообщении от 27 апреля 2009 Владимир Кутявин написал(a): /etc/squid.conf | grep auth cat /etc/squid/squid.conf | grep auth|grep -v ^# auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours Гм - но ведь acl spass src /etc/squid/squid_passwd - spass - вроде как описание паролей - или я что то путаю ? -- С, уважением, Николай. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] squid и transparent proxying
В сообщении от 27 апреля 2009 Владимир Кутявин написал(a): Вообще, src в acl используется для указания ip-адресов отправителей. Странно, но у вас не прописана программа аутентификации, именно она должна использовать файл паролей. И странно, как все работало :) http://squid.opennet.ru/FAQ/my/FAQrus-23.html Я дико извиняюсь - с утра малость перепутал сервера :( cat /etc/squid/squid.conf | grep auth|grep -v ^# auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/squid_passwd auth_param basic credentialsttl 2 hours auth_param basic casesensitive off auth_param basic children 30 acl auth1 proxy_auth icq acl auth1 proxy_auth icq2 acl auth1 proxy_auth icq3 http_access allow CONNECT auth1 http_access allow auth1 icq_dst http_access allow auth1 icq_dst Сейчас по доке перепроверяю конфигурацию ... -- С, уважением, Николай. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] squid и transparent proxying
Nikolay пишет: В сообщении от 27 апреля 2009 Владимир Кутявин написал(a): /etc/squid.conf | grep auth cat /etc/squid/squid.conf | grep auth|grep -v ^# auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours Гм - но ведь acl spass src /etc/squid/squid_passwd - spass - вроде как описание паролей - или я что то путаю ? Вообще, src в acl используется для указания ip-адресов отправителей. Странно, но у вас не прописана программа аутентификации, именно она должна использовать файл паролей. И странно, как все работало :) http://squid.opennet.ru/FAQ/my/FAQrus-23.html ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
а можно чутка по подробнее где эти доки находятся... просто у меня они почему-то не находятся... а пути /usr/local/share/doc/openvpn/easy-rsa вообще не существует... find -name *doc ./var/lib/vz/private/1/usr/share/doc ./var/lib/vz/private/1/usr/local/doc ./var/lib/vz/private/2/usr/share/doc ./var/lib/vz/private/2/usr/local/doc ./var/lib/vz/root/2/usr/share/doc ./var/lib/vz/root/2/usr/local/doc ./usr/share/vim/vimfiles/doc ./usr/share/vim/doc ./usr/share/qt4/doc ./usr/share/doc ./usr/share/doc/vim-common-7.2.026/doc ./usr/share/doc/dhcp-3.0.6/doc ./usr/share/texmf/doc ./usr/local/doc ./usr/lib/qt4/doc ./doc ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
On Mon, 27 Apr 2009 14:18:22 +0400 admin931@ wrote: а можно чутка по подробнее где эти доки находятся... просто у меня они почему-то не находятся... Там, где установлен пакет openvpn - по-видимому, внутри соответствующего VE. $ rpm -ql openvpn | grep README /usr/share/doc/openvpn-2.0.9/README /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8 а пути /usr/local/share/doc/openvpn/easy-rsa вообще не существует... Такого действительно не существует. Если нужен easy-rsa - ищите в openvpn-doc. find -name *doc ./var/lib/vz/private/1/usr/share/doc Вот где-нибудь здесь, ./var/lib/vz/private/2/usr/share/doc или здесь. ./doc А это откуда взялось в корневом каталоге??? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postfix header_checks
Владимир пишет: Max Ivanov пишет: законных отправителей (@mail.ru @yandex.ru @gmail.com) легко обходят smtpd_helo_restrictions, скрывая информацию о хосте отправителя на этапе установления соединения. При чём тут helo ? Речь об анализе IP-адреса SMTP-отправителя. Опять же, если смотреть все Received, срежется куча нормальной почты, которая идёт от клиентов через сервера провайдеров. Проверять надо именно того, кто пытается доставить на сервер. Именно. Неважно за какими nat кто сидит, какие smtp proxy по пути появились. Коннект на 25 порт приходит с какого-то определнного адреса, при коннекте передается HELO имя. Об этом и речь. Если smtp client сидит за проксирующем сетевым устройством, то поле helo_hostname не передается. Смысл прокси, если есть нарушение протокола? Прокси можно организовать на MTA, который отдаст в helo/ehlo то, что пожелает администратор (PTR, все дела). Возможно нарушив SPF. PIX скрывает баннер SMTP-сервера, ответ на приветствие, при подключении к нему. Само подключение с защищаемого сервера идет валидным (что от него и требуется). -- Anton Kvashin ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] cacti part #2
Александр Леутин пишет: В основном срубало на запуске пуллера. В логах сообщение о том что скрипт затребовал памяти свех того что указано в лимите. Скажите, а сколько у вас хостов в Cacti? Сколько источников данных? Как часто запускается поллер и с какой периодичностью происходит сбор данных? На старой работе под BSD cacti опрашивало в общей сложности 260+ хостов... (cisco,dlink, ну и простые тазики на базе bsd,linux и десятка 2 на windows). на всё хваьтало ксеончика с 512 МБ ОЗУ... потом до гига дорасло. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] cacti part #2
On 27.04.2009 22:34, Anton Gorlov wrote: В основном срубало на запуске пуллера. В логах сообщение о том что скрипт затребовал памяти свех того что указано в лимите. Скажите, а сколько у вас хостов в Cacti? Сколько источников данных? Как часто запускается поллер и с какой периодичностью происходит сбор данных? На старой работе под BSD cacti опрашивало в общей сложности 260+ хостов... (cisco,dlink, ну и простые тазики на базе bsd,linux и десятка 2 на windows). на всё хваьтало ксеончика с 512 МБ ОЗУ... потом до гига дорасло. Ну не мало. Может нужно spine использовать? Пробовал? -- WBR, Dubrovskiy Vyacheslav smime.p7s Description: S/MIME Cryptographic Signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
Nikolay A. Fetisov пишет: On Sun, 26 Apr 2009 23:06:09 +040 Для VE следует проверить передачу в неё устройства net/tun с правами на чтение и запись, ... собственно вопрос, как это проверить и как передать в случае если оно не передавалось Перед запуском VE в HN должен быть загружен модуль tun. вопрос аналогичен... с доками разобрался спасибо. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
Здравствуйте admin...@rambler.ru В сообщении от 28 апреля 2009 admin...@rambler.ru написал(a): вопрос аналогичен... 1. - Вручную. Перед загрузкой udev modprobe tun 2. Можно поместить в /erc/modules строчку tun. Возможно есть и более язящные способы работы с модулем tun. -- А ещё говорят так (fortune): Let us live!!! Let us love!!! Let us share the deepest secrets of our souls!!! You first. С уважением Хихин Руслан signature.asc Description: This is a digitally signed message part. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] ve-openvpn-server _ VS_ school_server
On Tue, 28 Apr 2009 02:38:03 +0400 admin931@ wrote: Nikolay A. Fetisov пишет: On Sun, 26 Apr 2009 23:06:09 +040 Для VE следует проверить передачу в неё устройства net/tun с правами на чтение и запись, ... собственно вопрос, как это проверить HN# grep DEVNODES /etc/vz/conf/1234.conf DEVNODES=net/tun:rw и как передать в случае если оно не передавалось HN# vzctl set 1234 --save --devnodes net/tun:rw -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Явное указание м одуля для сетевой карты
Здравствуйте! Столкнулся с проблемой подвисания модуля sky2 (для сетевой карты) под нагрузкой. Жалуюсь на этот модуль не я один - видимо, модуль не доработан. При переключении карты на гигабитный порт загружается модуль skge, с которым, похоже проблем нет. Сетевых карточек несколько, но все перевести на гигабит нет возможности. Возник вопрос - как можно форсировать использование модуля skge для всех карточек? -- С уважением, Шигапов Ринат инженер-программист ООО Невод тел. (342)2196960 JabberID: dxist эт ya.ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Явное указание модуля для сете вой карты
On Вторник 28 апреля 2009 09:16:51 Шигапов Ринат wrote: Столкнулся с проблемой подвисания модуля sky2 (для сетевой карты) под нагрузкой. Жалуюсь на этот модуль не я один - видимо, модуль не доработан. При переключении карты на гигабитный порт загружается модуль skge, с которым, похоже проблем нет. Сетевых карточек несколько, но все перевести на гигабит нет возможности. Возник вопрос - как можно форсировать использование модуля skge для всех карточек? Поместить упоминание о sky2 в /etc/modprobe.d/blacklist-net, а в /etc/net/ifaces/eth0/options (или как там у вас интерфейс называется) прописать MODULE=skge -- WBR, Michael A. Kangin ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins