Host.Community | hcom.link

Всем добрый вечер. Проблема следующего характера. Не могу настроить правила iptables для redsocks. TCP трафик фильтруется, ip носка, но dns по прежнему мои. Чтобы они подменялись, нужно настроить udp. Я не совсем понимаю, что и куда направлять. Поправьте меня если ошибаюсь. Как я понимаю, сначала нужно направить трафик на «redudp», то есть 127.0.0.1:10053, затем перенаправить его с этого адреса на «dnstc», то есть 127.0.0.1:5300, а с него отправить его на локальный адрес компьютера, откуда выходит весь udp трафик, то есть 127.0.0.1:53. Вопрос, правильно ли я думаю? И можно пример команды с фильтрацией udp в моем случае. А если не правильно то объяснить что неправильно и подсказать как решить эту проблему. Заранее благодарен. Redsocks.conf base { // debug: connection progress & client list on SIGUSR1 log_debug = on; // info: start and end of client session log_info = on; /* possible `log' values are: * stderr * «file:/path/to/file» * syslog:FACILITY facility is any of «daemon», «local0»...«local7» */ log = «file:/tmp/reddi.log»; // detach from console daemon = on; /* Change uid, gid and root directory, these options require root * privilegies on startup. * Note, your chroot may requre /etc/localtime if you write log to syslog. * Log is opened before chroot & uid changing. */ user = redsocks; group = redsocks; // chroot = "/var/chroot"; /* possible `redirector' values are: * iptables — for Linux * ipf — for FreeBSD * pf — for OpenBSD * generic — some generic redirector that MAY work */ redirector = iptables; } redsocks { /* `local_ip' defaults to 127.0.0.1 for security reasons, * use 0.0.0.0 if you want to listen on every interface. * `local_*' are used as port to redirect to. */ local_ip = 127.0.0.1; local_port = 31330; // `ip' and `port' are IP and tcp-port of proxy-server // You can also use hostname instead of IP, only one (random) // address of multihomed host will be used. ip = 81.165.130.165; port = 45554; // known types: socks4, socks5, http-connect, http-relay type = socks5; // login = «foobar»; // password = «baz»; } redudp { // `local_ip' should not be 0.0.0.0 as

Приветствую друзья.
Пытаюсь поднять WPA2-EAP на микротике, freeradius отрабатывает нормально при авторизации на свитчах и куче сетевых железок но вот настроить WPA2-EAP не получается.

В логе имеет:
(220) Received Access-Request Id 234 from 10.10.3.189:42134 to 172.17.0.2:1812 length 264 (220) Service-Type = Framed-User (220) Framed-MTU = 1400 (220) User-Name = «sys» (220) State = 0x9c1eed869b17f40c954b4359550f8eb4 (220) NAS-Port-Id = «radius» (220) NAS-Port-Type = Wireless-802.11 (220) Acct-Session-Id = «82000020» (220) Acct-Multi-Session-Id = «6E-3B-6B-F2-A3-84-80-A5-89-00-3D-A3-82-00-00-00-00-00-00-1D» (220) Calling-Station-Id = «80-A5-89-00-3D-A3» (220) Called-Station-Id = «6E-3B-6B-F2-A3-84:Radius» (220) EAP-Message = 0x0209002b19001703010020f6f18e3b9d1144351e61353162621a3e6de737d51713a7746737b0d5689bf84d (220) Message-Authenticator = 0x24d64cf0c1f4b2596164e3b4faca09d1 (220) NAS-Identifier = «MikroTik» (220) NAS-IP-Address = 10.10.3.189 (220) Restoring &session-state (220) &session-state:Module-Failure-Message := «No Auth-Type found: rejecting the user via Post-Auth-Type = Reject» (220) # Executing section authorize from file /radius/conf/sites-enabled/default (220) authorize { (220) policy filter_username { (220) if (&User-Name) { (220) if (&User-Name) -> TRUE (220) if (&User-Name) { (220) if (&User-Name =~ / /) { (220) if (&User-Name =~ / /) -> FALSE (220) if (&User-Name =~ /@[^@]*@/ ) { (220) if (&User-Name =~ /@[^@]*@/ ) -> FALSE (220) if (&User-Name =~ /\.\./ ) { (220) if (&User-Name =~ /\.\./ ) -> FALSE (220) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) { (220) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE (220) if (&User-Name =~ /\.$/) { (220) if (&User-Name =~ /\.$/) -> FALSE (220) if (&User-Name =~ /@\./) {

Доброго времени суток господа.
Подскажите как быть с samba.
Суть проблемы такова, что мне приходится администрировать сервер на ubuntu server 14.04.5 LTS. На нём установлена файлопомойка, виртуальные машины, и интернет шлюз.
Собственно с файлопомойкой возникли трудности. Все машины(Windows 7) в сети ходят на неё без проблем, а новый компьютер никак не может войти на сервер.
Проблема еще и в том что предыдущий админ установил samba не из репозиториев похоже, а собирал в ручную.
В итоге в папке /usr/local/samba/ лежат все файлы:
root@ns:/usr/local/samba# ls bin etc include lib private samba.sh sbin share var
В папке etc соответственно конфиг:
root@ns:/usr/local/samba# cat etc/smb.conf [global] #---------------- Логи max log size = 300 debug level = 1 log file = /usr/local/samba/var/log.%m #---------------- Общие настройки netbios name = SERVER workgroup = DTP server string = DTP file server time server = True wins support = yes domain master = yes domain logons = yes preferred master = yes local master = yes logon script = %U.bat logon home = \\%L\%U\profile os level = 34 max open files = 10000 #---------------- Доступ на общем уровне и права на ресурсы hosts allow = 172.16.5.0/255.255.255.0 valid users = nobody, @smbusers, @smbadmins interfaces = 172.16.5.0/24 bind interfaces only = true write list = @smbadmins admin users = @smbadmins public = no writable = no guest account = nobody #----------------- Имена файлов и атрибуты dos charset = CP866 unix charset = UTF-8 create mask = 0775 directory mask = 0775 force create mode = 0775 unix extensions = no wide links = yes acl group control = yes inherit owner = yes inherit permissions = yes inherit acls = yes acl allow execute always = yes passdb backend =

Как строить графики я знаю.
Как получить хотя бы примерное среднее значение?
Подскажите пожалуйста формулу, а то функция
sys_getloadavg
мне выдаёт
array(3) { [0]=> float(1.01) [1]=> float(0.94) [2]=> float(1.15) }
почитал документацию, но ни чего нормального я не нашёл.
Прошу помочь в 2 вопросах:
1. Написать формулу расчёта примерного среднего значения(точность не важна)?
2. Не вызовет ли данная функция sys_getloadavg лишней нагрузки на сервер?

Добрый день, коллеги.

Задача: с ТСД подключаемся по RDP к windows 7 professional x64. Нужно чтобы автоматом запускалась определенная информационная база 1С под конкретным пользователем, причем отключался explorer.exe (Проводник windows). После закрытия окна 1С — автоматическое завершение сеанса пользователя.

Что имеем:
1. Подключение есть
2. Снятие процесса explorer.exe
3. Запуск 1С Предприятие со всеми нужными параметрами.
Все это в одном bat-файле:
@echo off
taskkill /f /IM explorer.exe
«C:\Program Files (x86)\1cv8\common\1cestart.exe» enterprise /S «192.168.201.80\wood_local» /N «1cuser» /P «123» /RunModeOrdinaryApplication

Вопрос в том, чтобы дождаться окончания работы 1С и выйти из сеанса пользователя (например shutdown /l), но
команда start /WAIT не работает корректно (вероятно из-за кавычек в параметрах).

В bat-файлах не силен. Гугл рассказывает про Win Server 2003-2008 и RemoteApp, но здесь просто рабочая станция.
Подскажите способ решения?

Установил XenServer на виртуалку и все настроил. Создаю виртуалку на XenServer'e так как описано здесь — grantmcwilliams.com/tech/virtualization/xcp-howtos… Все вроде устанавливается и работает.

xe vm-list:

uuid ( RO): ccf7e124-d83a-44b9-afad-5e3a2d5d72a9
name-label ( RW): Control domain on host: XenServer
power-state ( RO): running

uuid ( RO): 18feb036-e484-603a-7009-11bf3cd7a6c3
name-label ( RW): CentOS7
power-state ( RO): halted

uuid ( RO): f506e7ed-77df-14d3-24d6-5c253eba6daa
name-label ( RW): Ubuntu 12.04
power-state ( RO): running

Проблема в том, что после рестарта виртуалки не могут поднятся — не находит загрузочный диск.

The bootloader returned an error
vm: 18feb036-e484-603a-7009-11bf3cd7a6c3 (CentOS7)

Страница содержит контент, но почему то возвращает код 404. Можно ли как нибудь это исправить?
HTTP/1.1 404 Not Found
Server: nginx/1.10.1
Date: Mon, 31 Oct 2016 08:22:29 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/7.0.8
Cache-Control: private, must-revalidate
pragma: no-cache
expires: -1
X-Frame-Options: SAMEORIGIN
Set-Cookie: laravel_session=eyJpdiI6InM2V1dyNU55Y0NBNnhGZks4VUlnVmU0TFVYZVE5S0NrYitMZUtOSjVBN2c9IiwidmFsdWUiOiJGeWZcL3dESlBzNmNGNmdwN1VENEhTZWhNR1ZRUmhOQkk0R3RkQ0preW4xc25CY216MTBhTTF0TnRDMWRXc3ZKTnpLVE1ZUm9tTEROSGtMSUhcL1wvb1Fjdz09IiwibWFjIjoiYTMyYTY5YjgzMzQyNThlNGUxNDc5NzVlMzAwZTlhZDg4ZTk5ODI0YmZjNDU3NjhiZmMxODUzNTQzZGI5MDA3NiJ9; expires=Mon, 31-Oct-2016 10:22:29 GMT; Max-Age=7200; path=/; HttpOnly

Страница: eco-stolica.ru/дератизация/крысы/как-бороться-в-частном-доме

Поднял в организации прозрачный прокси squid 3.5.8 для ограничения доступа к сайтам, в идеале надо сделать так, чтобы можно было заходить только на 2 https сайта и 2 http. Прокси прозрачный, работает с http и https, представленный ниже конфиг отлично работает в сценарии черного списка, вырезает все записанные сайты. А вот как преобразовать конфиг так, чтобы все работало ровно наоборот, ума не приложу, если меняешь
http_access deny whitelist на http_access deny !whitelist и
ssl_bump terminate blocked на ssl_bump terminate !blocked
то должным образом работает фильтрация только http трафика, а если строку
http_access deny !whitelist
ставить после
http_access allow localnet, а не перед ней, то корректно отрабатывают правила фильтрации только https трафика.
В общем, запутался в одной сосне, помогите кто-нибудь)

Конфиг кальмара:

acl localnet src 2.2.2.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp

Настраивал прием почты на сервер.
При приеме письма в логах так:
… 2016-10-27 23:20:50 1bzs6U-0003ap-3T info@mydomain.net R=dnslookup T=remote_smtp H=mail.mydomain.net [40.68.156.154] X=TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128 DN=«C=XX,ST=XX,L=XX,O=XX,OU=XX,CN=Proj,EMAIL=root@Proj.mymail695.a9.internal.cloudapp.net» C=«250 OK id=1bzs6U-0003ap-3T» 2016-10-27 23:20:50 1bzs6T-0003ac-T6 Completed 2016-10-27 23:20:50 1bzs6U-0003ay-92 DKIM: d=gmail.com s=20120113 c=relaxed/relaxed a=rsa-sha256 [verification succeeded] 2016-10-27 23:20:50 1bzs6U-0003ay-92 info@mydomain.net R=dnslookup T=remote_smtp H=mail.mydomain.net [40.68.156.154] X=TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128 DN=«C=XX,ST=XX,L=XX,O=XX,OU=XX,CN=Proj,EMAIL=root@Proj.mymail695.a9.internal.cloudapp.net» C=«250 OK id=1bzs6U-0003ay-92» 2016-10-27 23:20:50 1bzs6U-0003ap-3T Completed 2016-10-27 23:20:50 1bzs6U-0003b3-Gv DKIM: d=gmail.com s=20120113 c=relaxed/relaxed a=rsa-sha256 [verification succeeded] 2016-10-27 23:20:50 1bzs6U-0003b3-Gv info@mydomain.net R=dnslookup T=remote_smtp H=mail.mydomain.net [40.68.156.154] X=TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128 DN=«C=XX,ST=XX,L=XX,O=XX,OU=XX,CN=Proj,EMAIL=root@Proj.mymail695.a9.internal.cloudapp.net» C=«250 OK id=1bzs6U-0003b3-Gv» 2016-10-27 23:20:50 1bzs6U-0003ay-92 Completed 2016-10-27 23:20:50 1bzs6U-0003bC-MT DKIM: d=gmail.com s=20120113 c=relaxed/relaxed a=rsa-sha256 [verification succeeded] 2016-10-27 23:20:50 1bzs6U-0003bC-MT info@mydomain.net R=dnslookup T=remote_smtp H=mail.mydomain.net [40.68.156.154] X=TLS1.2:DHE_RSA_AES_128_CBC_SHA1:128 DN=«C=XX,ST=XX,L=XX,O=XX,OU=XX,CN=Proj,EMAIL=root@Proj.mymail695.a9.internal.cloudapp.net» C=«250 OK id=1bzs6U-0003bC-MT» 2016-10-27 23:20:50 1bzs6U-0003b3-Gv Completed 2016-10-27 23:20:50 1bzs6U-

Здравствуйте, друзья!
Имеется офисная сеть, организованная по следующей схеме:

Хотим иметь отдельный доступ к видеонаблюдению извне. Отдельный, то есть не связанный с офисной сетью, чтобы в случае получения доступа к видеонаблюдению злоумышленника, он не смог заодно попасть и внутрь офисной сети.
То, что придумали на сегодняшний день, выглядит следующим образом:
У нас два интернет-провайдера на случай перебоев с одним из них. Провайдера 1 не трогаем, у провайдера 2 заказываем второй IP-адрес, собираем то, что представлено на втором рисунке (после замены чем-то рабочим блока «Что-то») и отключаем коммутатор офисной сети от коммутатора видеонаблюдения. Логика следующая: доступ к видеонаблюдению будем осуществлять по второму ip-адресу провайдера 2, для остальной сети ничего не изменится (её защита обеспечивается уже дальше — маршрутизатором и прокси-сервером). Ну и соответственно, чтобы не забивать интернет-канал, доступ к видеонаблюдению из внутренней сети тоже должен осуществляться не «через интернет», а внутри блока «Что-то».

Следовательно, блок «что-то» должен:
1. На вход WAN получать поток с 2 ip адресами и разделять его на 2 LAN выхода (на каждый LAN свой ip)
2. Уметь пробрасывать порты. Видимо, это уже будет роутер, на WAN которого будет приходить шнурок с ip адресом для видеонаблюдения. Желательно ещё, чтобы он пробрасывал порты только для набора ip-адресов, с которых к нему осуществляется доступ, а остальным ip-адресам «отказывал».
3. Проводить обмен данными между сетями внутри себя, а не «через интернет».

Блоком «Что-то» можно заменить и наш маршрутизатор, если это будет правильнее.
Подскажите, пожалуйста, какое оборудование, или набор оборудования нам нужно купить, и где искать необходимые настройки?
Спасибо!