Любые обсуждения по этой теме. Само-пиар или резюме публиковать на другие наши проекты, например host.camp или vm.center. Тут только клиентские запросы на помощь.
  • Дата создания
    17 марта 2019
  • Топиков
    908
  • Ограничение на постинг
    0.000
  • Категория:
    Администрирование и настройка

Тонкая настройка WebRTC и Loopback адаптера?

Всем добрый вечер. Есть вот такая инструкция для 'тонкой настройки' WebRTC, на виртуальной машине под Windows. Нужно сделать так же, только под локальный хост на Ubuntu. Что было сделано? Прописаны правила iptables, для блокировки лишнего udp трафика:
iptables -A OUTPUT -o lo -j ACCEPT #Разрешаем локальный трафик iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #Разрешаем трафик для DNS сервера iptables -A OUTPUT -p udp -j DROP #Запрещаем остальной udp трафик
Далее по идеи нужно настроить маршрут, и вот тут возникли проблемы. Скажем, что я хочу, чтобы мой внешний WebRTC был 127.0.0.1. Я прописываю следующие route add -net 127.0.0.1 netmask 255.255.255.255 gateway 100.76.74.62 ppp0 Но ничего не изменилось(networking перезапускал). Вот что говорит команда ifconfig :enp3s0 Link encap:Ethernet HWaddr 4c:72:b9:46:d9:53 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo Link encap: Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:2149 errors:0 dropped:0 overruns:0 frame:0 TX packets:2149 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:144334 (144.3 KB) TX bytes:144334 (144.3 KB) ppp0 Link encap: Протокол PPP (Point-to-Point Protocol) inet addr:100.76.74.62 P-t-P:0.0.0.0 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:392596 errors:0 dropped:0 overruns:0 frame:0 TX packets:244084 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:510464211 (510.4 MB) TX bytes:22995525 (22.9 MB) wlp4s0 Link encap:Ethernet HWaddr 00:08:ca:f9:2d:e2 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
wlp4s0 — это внутренняя сетевая карта. ppp0 — usb модем(в этом примере он выступает в роли устройства, через которое осуществлен выход в интернет), enp3s0 — lan кабель. Вопрос: что я делаю не так? И так ли вообще делаю? Что скажите?
UDP: 127.0.0.1 взят для примера. Насколько я правильно понял, для нужного ip нужно менять адрес lo адаптера и изменять под него настройки соответственно.

Стоит ли использовать Mailgun для надежности доставки?

Интересует общественное мнение, стоит ли предпочесть сервис Mailgun обычной отправке через phpmail (выделенный сервер) для писем из Prestashop с одной единственной целю — повысить надежность и вероятность доставки. Писем совсем не много, использовать бесплатный тариф (10000 писем/месяц) даже на 25% не удастся.

Как запретить пользователю ftp заходить на сервер по ssh?

Есть сервер ubuntu 16, на нем vsftps и ssh. Созданы два юзера media — для входа по ssh и ftp — для входа по ftp. Но дело в том, что я по ssh могу зайти и от ftp-юзера. Как запретить пользователю ftp заходить по ssh? dev/null в /etc/passwd не помогает, т.е. закрывается и ssh и ftp.

media:x:1000:1000:media,,,:/home/media:/bin/bash
sshd:x:121:65534::/var/run/sshd:/usr/sbin/nologin
ftp:x:1001:1001:,,,:/home/ftp:/dev/null

Ansible проблемы при написании первого плейбука?

— — hosts: host become: yes become_method: sudo become_user: user tasks: — name: Create test dir file: > path={{ item }} state=directory with_items: — ./ansibletest — name: Create test file file: > path={{ item }} state=touch with_items: — ./ansibletest/test.txt — shell: echo «test» > ./ansibletest/test.txt — shell: cat ./ansibletest/test.txt register: out — debug: var=out.stdout_lines — name: Copy to WWW root copy: > src={{ item }} dest=/var/www/ force=yes owner=www-data mode=0755 with_items: — ./ansibletest/test.txt — name: View ls -l /var/www shell: ls -l /var/www/ register: out — debug: var=out.stdout_lines
Вывод в консоли:
$ ansible-playbook ~/test.yml PLAY [host] ****************************************************************** TASK [setup] ******************************************************************* ok: [123.123.123.123] TASK [Create test dir] ********************************************************* ok: [123.123.123.123] => (item=./ansibletest) TASK [Create test file] ******************************************************** changed: [123.123.123.123] => (item=./ansibletest/test.txt) TASK [command] ***************************************************************** changed: [123.123.123.123] TASK [command] ***************************************************************** changed: [123.123.123.123] TASK [debug] ******************************************************************* ok: [123.123.123.123] => { «out.stdout_lines»: [ «test» ] } TASK [Copy to WWW root] ******************************************************** failed: [123.123.123.123] (item=./ansibletest/test.txt) => {«failed»: true, «item»: "./ansibletest/test.txt", «msg»: «Unable to find './ansibletest/test.txt' in expected paths.»} to retry, use: --limit @/home/user/test.retry PLAY RECAP ********************************************************************* 123.123.123.123: ok=6 changed=3 unreachable=0 failed=1
Во-первых: нет запроса sudo привилегий (а должен быть?).
Во-вторых:
«Unable to find './ansibletest/test.txt' in expected paths.»
Я это ЕБ@@ЕЕ сообщение не могу 3 часа победить… Как я только пути не прописывал — не работает…

Как запустить 2 приложения на одном порту для nginx?

Поднимаю несколько сайтов на одной машине. Нашел конфиг с настройкой nginx:

server { listen 80 default; server_name site1.ru; location ~* \.(jpg|jpeg|gif|png|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|tar|wav|bmp|rtf|swf|ico|flv|txt|xml|docx|xlsx)$ { root /var/www/site1.ru; index index.html index.php; access_log off; expires 30d; error_page 404 = @fallback; proxy_cache_valid 404 1m; } location ~ /\.ht { deny all; } location / { proxy_pass 127.0.0.1:8080/; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-for $remote_addr; proxy_set_header Host $host; proxy_connect_timeout 60; proxy_send_timeout 90; proxy_read_timeout 90; proxy_redirect off; proxy_set_header Connection close; proxy_pass_header Content-Type; proxy_pass_header Content-Disposition; proxy_pass_header Content-Length; } location @fallback { proxy_pass 127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-for $remote_addr; proxy_set_header Host $host; } } server { listen 80 default; server_name site2.ru; location ~* \.(jpg|jpeg|gif|png|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|tar|wav|bmp|rtf|swf|ico|flv|txt|xml|docx|xlsx)$ { root /var/www/site2.ru; index index.html index.php; access_log off; expires 30d; error_page 404 = @fallback; proxy_cache_valid 404 1m; } location ~ /\.ht { deny all; } location / { proxy_pass 127.0.0.1:8080/; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-for $remote_addr; proxy_set_header Host $host; proxy_connect_timeout 60; proxy_send_timeout 90; proxy_read_timeout 90; proxy_redirect off; proxy_set_header Connection close; proxy_pass_header Content-Type; proxy_pass_header Content-Disposition; proxy_pass_header Content-Length; } location @fallback { proxy_pass 127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-for $remote_addr; proxy_set_header Host $host; } }
Читать дальше

Почему при установке дополнительного ip 10.0.0.233 узел доступен, пакеты отправляются, а ответа нет(Gateway default 192.168.0.1)?

[root@CentOS7 ~]# tcpdump -np icmp 09:58:11.495982 IP 10.0.0.233 > 216.58.214.238: ICMP echo request, id 5940, seq 1, length 64 09:58:12.495906 IP 10.0.0.233 > 216.58.214.238: ICMP echo request, id 5940, seq 2, length 64 09:58:13.495984 IP 10.0.0.233 > 216.58.214.238: ICMP echo request, id 5940, seq 3, length 64 09:58:14.496363 IP 10.0.0.233 > 216.58.214.238: ICMP echo request, id 5940, seq 4, length 64 09:58:15.496502 IP 10.0.0.233 > 216.58.214.238: ICMP echo request, id 5940, seq 5, length 64
проверял командой ping -I 10.0.0.233 google.com
Маска 255.255.255.0. Это потому что разные диапазоны адресов(01.0.0.0-126.0.0.0 и 192.0.0.0-222.0.0.0)? Объясните пожалуйста

Как раздать интернет на вторую сетевую карту?

Доброго дня всем. Есть компьютер, подключенный к роутеру по wi-fi, который через него выходит в сеть. На компьютере настроена внутренняя сеть на фильтрацию трафика через Socks (redsocks — TCP + DNS Socks Proxy — UDP(через TCP). Задача: раздать интернет с этого локального компьютера на другую внешнюю сетевую карту(wi-fi адаптер подключенный к этому компьютеру), со всеми его настройками. То есть, чтобы когда подключился к внешней сетевой карте с другого устройства, имел такое же соединение с интернетом как и сам компьютер, если я правильно понимаю, выходил в сеть через него. Как такое сделать? Просто создать wi-fi соединение по типу 'точка-доступ' не получается, точнее получается, но трафик не фильтруется всеми теми правилами, которые присущие этому компьютеру. Что делать? С помощью чего? Перенаправление маршрута с помощью route+iptables? Подскажите, запутался немного(если можно, с примерами). Правила Redsocksiptables -t nat -N REDSOCKS iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 6666 iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner %username% -j REDSOCKS
Вот что выдает команда ifconfig(с дополнительным адаптером):
enp3s0 Link encap:Ethernet HWaddr 4c:72:b9:46:d9:53 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo Link encap: Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:132 errors:0 dropped:0 overruns:0 frame:0 TX
Читать дальше

Как правильно прописать стат. маршрут к внутреней подсети?

Есть хост-машина 10.10.1.4. Есть виртуальный ubuntu-serv c двумя интерфейсами eth1 10.10.1.6 бридж с хостовой машиной и eth0 192.168.1.0/24 внутренняя подсеть. Мне нужно пинговать с хост-машина машину во внутренней сети за ubuntu-serv-ером 192.168.1.2. С машини 192.168.1.2 машина 10.10.1.4 пингуется, но ненаоборот, прописывал стат. маршрут на 10.10.1.4

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.1.6

Не помогло.
Вот правила вирт машины:

LOCAL_IF=eth1
LOCAL_NET=«192.168.1.0/24»

INET_IF=eth0
INET_NET=«10.10.1.6»

# INPUT RULES
$ip -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A INPUT -i lo -j ACCEPT
$ip -A INPUT -p icmp -j ACCEPT
$ip -A INPUT -p tcp --dport 4491 -j ACCEPT
$ip -A INPUT -p udp --dport 53 -j ACCEPT

# FORWARD RULES

$ip -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A FORWARD -p icmp -j ACCEPT

# NAT PREROUTING
$ip -t nat -A PREROUTING -s $INET_IF -j MASQUERADE

# NAT POSTROUTING
$ip -t nat -A POSTROUTING -s $LOCAL_NET -j MASQUERADE

Как осуществить доступ с машины 10.10.1.4 к машине 192.168.1.2 которая за роутером 10.10.1.6

Не заводится firewall на ubuntu-server-16?

Создал себе скрипт в init.d
#! /bin/sh ### BEGIN INIT INFO # Provides: firewall # Required-Start: $syslog $all # Required-Stop: # Default-Start: 2 3 4 5 # Default-Stop: # Short-Description: Fill iptables rules ### END INIT INFO ip=/sbin/iptables LOCAL_IF=eth1 LOCAL_NET=«192.168.1.0/24» INET_IF=eth0 INET_IP=10.10.1.6/24 PATH=/sbin:/usr/sbin:/bin:/usr/bin. /lib/init/vars.sh. /lib/lsb/init-functions do_start() { $ip -A INPUT -p tcp --dport 4491 -j ACCEPT $ip -P INPUT DROP } do_stop (){ $ip -F $ip -t nat -F } case "$1" in start) do_start ;; restart|reload|force-reload) echo «Error: argument '$1' not supported» >&2 exit 3 ;; stop) do_stop ;; *) echo «Usage: $0 start|stop» >&2 exit 3 ;; esac
Сделал его исполняемым дал права, дальше пишу: /etc/init.d/start выдает:
[....] Starting firewall (via systemctl): firewall.serviceJob for firewall.service failed because the control process exited with error code. See «systemctl status firewall.service» and «journalctl -xe» for details. failed!

Пишу systemctl status firewall.service выдает:
● firewall.service — LSB: Fill iptables rules Loaded: loaded (/etc/init.d/firewall; bad; vendor preset: enabled) Active: failed (Result: exit-code) since Fri 2017-03-10 22:50:23 EET; 58s ago Docs: man:systemd-sysv-generator(8) Process: 2424 ExecStart=/etc/init.d/firewall start (code=exited, status=203/EXEC) Mar 10 22:50:23 gateway-office systemd[1]: Starting LSB: Fill iptables rules… Mar 10 22:50:23 gateway-office systemd[1]: firewall.service: Control process exited, code=exited status=203 Mar 10 22:50:23 gateway-office systemd[1]: Failed to start LSB: Fill iptables rules. Mar 10 22:50:23 gateway-office systemd[1]: firewall.service: Unit entered failed state. Mar 10 22:50:23 gateway-office systemd[1]: firewall.service: Failed with result 'exit-code'.

Пишу systemctl enable firewall.service выдает:
firewall.service is not a native service, redirecting to systemd-sysv-install Executing /lib/systemd/systemd-sysv-install enable firewall

В инете ничего дельного нет, iptables переустанавливал. Ядро 4.4.0-66-generic. Версия iptables 1.6.0-2ubuntu3

VPN (IPSEC) в DMZ?

Есть Windows Server 2012R2 с поднятым RRAS и VPN сервером (IPSEC). На нём крутятся пара сервисов — ip телефония, видеорегистратор (все на виртуалках). До недавнего времени был подключен напрямую в интернет. VPN работал, проблем не было. Сейчас сервер подключили через какую-то кривую точку доступа (Alcatel Lucent I-240W-A). Добавил на этой точке доступа сервак в DMZ. Сервисы продолжили работать через DMZ, но с Windows 7 клиента нет соединения с VPN (винда сообщает, что впн сервер не отвечает). В логах файрвола соединение принимается:

2017-03-10 19:56:36 ALLOW UDP 93.72.90.52 192.168.1.103 500 500 0 — - — - — - — RECEIVE
2017-03-10 19:56:36 ALLOW UDP 93.72.90.52 192.168.1.103 4500 4500 0 — - — - — - — RECEIVE

Что интересно, что с андроида (телефон находится в той же сети и за тем же роутером, что компьютер на винде) впн соединяется и работает стабильно:

2017-03-10 19:58:49 ALLOW UDP 93.72.90.52 192.168.1.103 500 500 0 — - — - — - — RECEIVE
2017-03-10 19:58:49 ALLOW UDP 93.72.90.52 192.168.1.103 1024 4500 0 — - — - — - — RECEIVE
2017-03-10 19:58:51 ALLOW UDP 93.72.90.52 192.168.1.103 39187 1701 0 — - — - — - — RECEIVE

На винде соединение настроено верно, тут видимо DMZ не пускает обратно от сервера пакеты. До дмз, когда сервер был подключен напрямую соединение с винды подымалось. Как заставить работать виндовс клиенты?