Zobrazit příspěvky

31

Sítě / Re: OpenVPN neprojde ping na lokalni sit

« kdy: 12. 10. 2011, 21:32:19 »

Abych řekl, tak nevím, jak efektivně zapnout tcpdump na portu udp. Když dám

[root@gw ~]# tcpdump -ni eth0 udp port 1194
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:22:35.764729 IP 46.149.120.6.openvpn > 46.149.121.36.55280: UDP, length 53
21:22:39.805051 IP 46.149.121.36.55280 > 46.149.120.6.openvpn: UDP, length 53
21:22:45.957764 IP 46.149.120.6.openvpn > 46.149.121.36.55280: UDP, length 53

Tak tam něco chodí i když nepingám.

Řádek v konfiguračním souboru jsem odkomentoval, ale nepomohlo to, ba naopak to hází v logu klienta tuhle chybu, ale spojí se:

Kód: [Vybrat]

ROUTE: route addition failed using CreateIpForwardEntry: Jeden nebo více argumentů není správných.    [if_index=102]

Jinak vnitřní adresa je 10.10.10.1

Routovací tabulka ve win vypadá následně: http://pastebin.com/sTVst3qP

Takže to evidentně směruje na adresu routeru na kterou je připojena stanice - 192.168.88.1.

32

Sítě / OpenVPN neprojde ping na lokální síť

« kdy: 12. 10. 2011, 19:21:33 »

Dobrý den,

snažím se na domácím serveru rozjet OpenVPN. Mám server, se 2. síťovými kartami. Veřejnou a vnitřní. Klient se na server připojí, ale nepingne si lokální síť eth1. Divné je, že ani ping nedorazí na vnější síťovou kartu.

Kód: [Vybrat]

tcpdump -ni eth0 icmp - mlčí

Konfigurace serveru: http://pastebin.com/y5eFCcbX
Log serveru: http://pastebin.com/TuZYt9dn
Konfigurace klienta (Win7): http://pastebin.com/APCBSBz2
Log klienta: http://pastebin.com/PVs5Jjbg

Kód: [Vybrat]

Část fw:
#icmp(0) - echo replay - odpoved
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type 0 -j ACCEPT
$IPTABLES -A INPUT -i tap0 -p icmp --icmp-type 0 -j ACCEPT
#icmp(3) - destination unreable - nedorucitelny datagram
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 3 -j ACCEPT

#icmp(8) - echo request - zadost
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT
$IPTABLES -A INPUT -i tap0 -p icmp --icmp-type 8 -j ACCEPT

#icmp(11) - time execeed - cas doby doruceni skoncil
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 11 -j ACCEPT

#OpenVPN
$IPTABLES -A INPUT -i tap0 -j ACCEPT

# OpenVPN
$IPTABLES -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

#Povoleni NAT-maskarady v jadre
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -A FORWARD -i eth1 -o eth0 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to 46.149.120.6

Co dělám špatně? Předem všem děkuji za rady.

33

Server / Re: Vsftpd a špatný čas v logu

« kdy: 03. 10. 2011, 18:15:11 »

Dobrý den,

tak Vaše řešení nepomohlo. Používá se dle manuálu: https://security.appspot.com/vsftpd/vsftpd_conf.html hodnota YES.

Problém jsem vyřešil, měl jsem za hodnotou YES Windows odřádkování, každopádně děkuji za rady.

34

Server / Vsftpd a špatný čas v logu

« kdy: 02. 10. 2011, 15:29:02 »

Dobrý den,

narazil jsem na jeden problém s Vsftp verze: vsftpd-2.0.5-21.el5

V logu vsftpd.log ukazuje čas o 2 hodiny dopředu oproti date. Našel jsem řešení na google použít ve vsftpd.conf

Kód: [Vybrat]

use_localtime=YESBohužel při restartu služby to hodí následující chybu:

Kód: [Vybrat]

Starting vsftpd for vsftpd: 500 OOPS: bad bool value in config file for: use_localtime

Nevíte, kde by mohl být problém? V ostatních logovacích souborech je čas dle date.

Děkuji

35

Sítě / Re: IPtables nepustí PING přes NAT

« kdy: 24. 09. 2011, 12:22:13 »

Ahoj,

díky za pomoc.

36

Sítě / IPtables nepustí PING přes NAT

« kdy: 19. 09. 2011, 17:19:24 »

Dobrý den,

snažím se doma udělat jednoduchý DHCP server. Klient dostane od DHCP parametry co má, ale mám problém s iptables. Konkrétně mi neprojde ping na vnější DNS server. Udělal jsem si jednoduchý skript, ve kterém mám jen "maškarádu". Když mám nastavenou policy forward na drop ping neprojde. Změním-li policy na ACCEPT ping projde. Mohl by mi prosím někdo poradit co mám špatně ve skriptu? Jak to udělat, abych mohl mít policy FORWARD na DROP?

Skript: http://pastebin.com/GNFVhkJh
OS: CentOS 5.7
Iptables: iptables-1.3.5-5.3.el5_4.1

Mnohokrát děkuji

37

Server / Re: Postfix a kontrola příchozích zpráv

« kdy: 07. 09. 2011, 15:10:10 »

Nejsem si úplně jist, jestli jsem to pochopil, do /etc/postfix/main.cf:

Kód: [Vybrat]

smtpd_sender_restrictions = hash:/etc/postfix/access
reject_unauth_destination = hash:/etc/postfix/access

Vytvořit hash souboru access:

Kód: [Vybrat]

postmap hash:/etc/postfix/access
Restart postfixu

38

Hardware / Re: mdadm raid problem lenny

« kdy: 01. 08. 2011, 09:39:50 »

Dobrý den,

já měl tyhle disky na jedné zakázce a dělo se mi to samé, později se prodejce disků vyjádřil, že výrobce měl chybu ve firmwaru. Po nahrání firmwaru bylo vše bez problému.

39

Server / Re: vsftpd CentOS pristup z venku

« kdy: 29. 07. 2011, 07:14:58 »

Ještě mě napadá jestli nemáš uzavřen port 21 z venku ve firewallu?

40

Distribuce / Re: Ugrade CentOs 5.6 na 6

« kdy: 27. 07. 2011, 11:14:02 »

Dobrý den, nenutí mě nic. Jsem administrátorem spíše začátečníkem, ale snažím se co nejvíc proniknout do tématiky serverů na linuxu. Takže mám doma server a zkouším různé věci.

Nikdo mi bohužel nenapsal, jak nejlépe server upgradovat?

Děkuji

41

Distribuce / Re: Ugrade CentOs 5.6 na 6

« kdy: 26. 07. 2011, 17:40:33 »

Dobrý den,

děkuji myslel jsem si to. Mohl by někdo poradit, jak nejlépe upgrade provést? Běží mi na serveru standardní věci dhcp, openvpn, firewall, postfix.

Dle mě by měl postup následující:
1. Záloha /etc a uživatelských mailboxů
2. Instalace nové serveru
3. Instalace balíčků
4. Přepsání konfiguračních souborů

Nebo jak na to?

Děkuji

42

Distribuce / Upgrade CentOS 5.6 na 6

« kdy: 26. 07. 2011, 14:26:52 »

Dobrý den,
je možné provést upgrade z CentOs 5.6 na CentOs 6?

Kód: [Vybrat]

yum update - nenachází žádné aktualizace.

Pochopil jsem správně, ze stránek CentOsu, že se doporučuje nová instalace?

Děkuji

43

Server / Jak odstranit někoho ze spamlistu

« kdy: 12. 01. 2011, 12:44:13 »

Dobrý den

v konfiguraci sendmailu mám jeden ze spamových filtrů:

Kód: [Vybrat]

EATURE(dnsbl, `blackholes.five-ten-sg.com', `Mail from $&{client_addr} rejected by server.cz Mailserver; see http://www.five-ten-sg.com/blackhole.php

Až dnes se začalo komunikovat s jednou nejmenovanou firmou. E-maily k nim chodí, ale od nich k nám ne:

Kód: [Vybrat]

sendmail[1394]: ruleset=check_relay, arg1=mailout3.w1.xxx.com, arg2=127.0.0.2, relay=mailout3.w1.xxx.com [xxx.118.xxx.13], reject=553 5.3.0 Mail from xxx.118.xxx.13 rejected by server.cz Mailserver;see http://www.five-ten-sg.com/blackhole.php

Jsou na spamlistu. Je jasné, že problém je u nich, zarážející je, že na blacklist byla doména přidána v roce 2001.

Teď k otázce:
Lze ve spamlistu dělat vyjímky? Očekávám, že ne.
Případně kde zažádat o zrušení? Nikde nemohu najít odkaz a z google moc chytřejší nejsem.

Děkuji mnohokrát za rady.

44

Server / Re: Po restartu nefunguje SpamAssassin

« kdy: 16. 05. 2010, 12:41:22 »

Tak to bude 100% o právech, viz. obrázek. Takže by stačilo změnit práva na roota, ale radši by bylo lepší ten socket spustit po sa-milt? to udělám jak?

45

Server / Re: Po restartu nefunguje SpamAssassin

« kdy: 15. 05. 2010, 22:40:14 »

Dobrý den,

práva na složky jsou takhle:

ls -lad / /var /var/run /var/run/spamass-milter.sock
ls: /var/run/spamass-milter.sock: nenĂ souborem ani adresĂĄĹem
drwxr-xr-x 24 root root 4096 kvÄ/
drwxr-xr-x 28 root root 4096 bĹe 23 2009 /var
drwxr-xr-x 25 root root 4096 kvÄ/var/run

Přitom běží:

[root@sksfw ~]# ls -l /var/run | grep 'spamass.sock'
srwxr-xr-x 1 root root 0 kvÄpamass.sock
[root@sksfw ~]# ls -l /var/run | grep 'spamass-milter'
drwx------ 5 sa-milt sa-milt 4096 kvÄpamass-milter

Procesy:

[root@sksfw ~]# ps -aux | grep 'spamass-milter'
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
root 4016 0.0 0.1 13980 712 ? Ssl May13 0:00 spamass-milter -p /var/run/spamass.sock -f -b sa-milt@domena.cz
root 4927 0.0 0.1 4500 740 pts/0 S+ 20:55 0:00 grep spamass-milter
root 5535 0.0 0.1 14288 640 ? Ssl May13 0:00 spamass-milter -p /var/run/spamass.sock -f -b sa-milt@domena.cz
root 5583 0.0 0.1 43640 776 ? Ssl May13 0:00 /usr/sbin/spamass-milter -p /var/run/spamass-milter/spamass-milter.sock -f
root 6749 0.1 0.2 107600 1088 ? Ssl 00:02 1:33 /usr/sbin/spamass-milter -p /var/run/spamass-milter/spamass-milter.sock -f -b sa-milt@domena.cz

dále jsem dle logu zjistil, že nyní spamd běží pod rootem:
May 14 23:54:52 sksfw spamd[4006]: spamd: setuid to root succeeded

a dříve běžel pod sa-milt:
May 12 10:54:52 sksfw spamd[4006]: spamd: setuid to sa-milt succeeded

Posledním zjištěním je, že jsem si rozbalil 3 týdení zálohu serveru a zjistil jsem,
že v etc/sysconfig nebyly tyhle soubory: spamass-milter a spamass-milter.new. Nyní tam jsou.

spamass-milter obsahuje:
EXTRA_FLAGS="-b sa-milt@domena.cz"

Tudíž očekávám, že se spamasassin zaktualizoval a změnil svoje parametry. Mělo by
stačit aby se spouštěl socket pod jiným uživatelem sa-milt a mělo by to fungovat ne?

Je možné, že spamassin se zaktualizoval příkazem sa-update? Já myslel, že to aktualizuje jen nějaké jádro a ne celé nastavení.