1. Fórum Root.cz
  2. Profil czechsys
  3. Zobrazit příspěvky
  4. Témata

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: 1 2 [3] 4 5 6
31
Server / Squid forwarding loop
« kdy: 02. 06. 2021, 10:53:22 »
Ahoj,

narazil jsem pri reseni jedne veci na neco, co jsem zatim nedogoogloval.

Kód: [Vybrat]
access.log
1622623123.458    481 client_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.460    480 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
...

cache.log
2021/06/02 10:38:43| IpIntercept.cc(137) NetfilterInterception:  NF getsockopt(SO_ORIGINAL_DST) failed on FD 297: (92) Protocol not available
2021/06/02 10:38:43| WARNING: Forwarding loop detected for:
HEAD / HTTP/1.1
Via: 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.
...
X-Forwarded-For: client_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip,...

Mam uz pripravene nove verze proxy, ale nez to pujde do produkce, chvili to potrva. Nikdo nehlasi problem, takze se nemam ceho chytnout. Nenapada nekoho, co tohle muze zpusobit? Klienti pouzivaji automatickou konfiguraci proxy via wpad.

Diky

32
Server / Squid: vypnutí logování monitoringu
« kdy: 05. 05. 2021, 16:03:58 »
Ahoj.

nejak nemuzu prijit na to, jak vypnout logovani monitoringem v access.log:

Kód: [Vybrat]
1620223314.656      0 127.0.0.1 TCP_MISS/200 1659 GET cache_object://localhost/counters - HIER_NONE/- text/plain
Loguje se mi to ve vterinovych intervalech...At zkousim dst/src/url_regex, jedineho stavu ktereho dosahnu, je, ze to prestane logovat vsechno...Nevi nekdo?

DIky

33
Sítě / Google Play nefunguje po IPv6
« kdy: 01. 04. 2021, 14:51:53 »
Ahoj,

mam tu takovou zahadu. Zkousim ipv6 nastavit primo pres L3 switche, takze veskere slaac/ra atd. je primo na nich. V ceste neni zadny firewall.

Kód: [Vybrat]
interface vlanifX
 desc "wifi ipv6"
 ipv6 enable
 ipv6 address A:B:C::1/64
 undo ipv6 nd ra halt
 ipv6 nd ra dns-server 2001:4860:4860::8888
 ipv6 nd ra dns-server 2001:4860:4860::8844
 ipv6 nd ra dns-suffix somedomain.tld
 ipv6 nd autoconfig other-flag
 dhcpv6 server somepool

Dhcpv6 pool definuje dns apod pro dhcpv6 klienty.

A ted zajimave chovani android vs windows 10 - v obou pripadech maji zarizeni pouze ipv6 adresaci (windows dhcpv6, android slaac), route, dns...vse nastaveno
- windows 10 -> play.google.com = zobrazena stranka
- android -> play.google.com = no internet connection (pritom google maps, google mail atd atd funguji, pingy na public dns, preklady, vse funguje)

Nejake napady, nez vytahnu fyzicky wireshark, nebot spojeni jinak nezobrazim :)


34
Sítě / Zkušenosti s více IP na serveru
« kdy: 18. 03. 2021, 14:17:09 »
Ahoj,

opakovane narazim na problem soubehu vice IP v ramci jednoho serveru (napr. IP per domena na nginx). Pro prichozi spojeni neni co resit. Ale pro vytvoreni odchoziho spojeni a jeste z hlediska firewallu...

Teoreticky priklad s ipv6 /64 dedikovanou na server - odchozi spojeni muze pouzit libovolnou ip z defaultni routy (pripadne vliv metriky na vice rout).

gateway ::a:1
server ::a:2/64
a.domain.tld ::a:3/64
b.domain.tld ::a:4/64

Pro odchozi se tedy pouzije :2 ci :3 ci :4 (firewall - kazda ip musi byt povolena vsemi potrebnymi smery, popr. cela /64). Pokud v default route nastavim zdrojovou ip :2, tak prichozi budou chodit na :3 ci :4, ale odchozi bude :2 (skoro ideal pro firewall - 1 ip). No jo, ale pak nekdo bude narazet na to, ze sluzba ve firewallu bude mit odchozim smerem :2, v prichozim smeru :3 (:4)...

Nejake zkusenosti z praxe?

35
Server / Ansible - inlcude_role a defaults_from
« kdy: 02. 03. 2021, 11:13:39 »
Ahoj,

zkousim zmenit konfiguraci inventare a rozdelit roli nginx na dve role - nginx a nginx-vhost, abych je mohl spoustet nezavisle. Prvni role konfiguruje nginx, druha se stara pouze o konfiguraci vhostu. Potreboval bych ale, aby nginx-vhost obsahoval defaults/main.yml a handlers/main.yml z role nginx. Jednoducha cesta je udelat symlink, ale to se mi nechce v gitu pouzivat. Narazil jsem na toto v dokumentaci:

Kód: [Vybrat]
- include_role:
   name: "nginx"
   defaults_from: "main"
   handlers_from: "main"

Kdyz toto pouziju v nginx-vhost/tasks/main.yml, tak mi to spusti celou roli nginx. Existuje nejaky zpusob, jak dosahnout te funkcionality? Puvodne jsem chtel dosahnout neceho takoveho:

Kód: [Vybrat]
CLI: ansible-playbook ... ... --tags="nginx_vhost"

Playbook:
roles:
 - { role: "nginx", tags: "ngix_vhost" }

ale toto logicky nefunguje. A doporuceni prave bylo rozdelit tu role na dve...

36
Server / Apache 2.4 - proxypass dle ip
« kdy: 22. 01. 2021, 12:30:20 »
Ahoj,

nemuzu se trefit. Zadani je jasne - pro specificke IP nezmenit puvodni domenu, pro ostatni zmenit. Vzhledem k tomu, ze If/Else nelze pouzit v kombinaci s ProxyPass atd, mam nyni konfiguraci takto:

Kód: [Vybrat]
...
        ServerName olddomain.tld

        SSLProxyEngine On
        <Location "/path/to/script" >
            RewriteCond expr "! -R 'X.X.X.X/Y'"
            RewriteRule ^/(.*) https://newdomain.tld/$1 [P]
            ProxyPass https://newdomain.tld/path/to/script
            ProxyPassReverse /path/to/script
        </Location>
Problem tohoto je v tom, ze to presmeruje veskere pozadavky na "newdomain.tld". Nemuzu najit, jak nastavit ProxyPass tak, aby v ni byla bud puvodni adresa (v pripade "! -R ..."), nebo nova adresa - defacto staci jen zmenit fqdn pozadavku...


Netusi nekdo?
Diky.

37
Server / Subdelegace domeny
« kdy: 13. 11. 2020, 16:41:05 »
Ahoj,

chtel bych si ujasnit jednu vec v subdelegaci domeny. Normalne to nepouzivam...

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y
server nsa.sub.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b
Toto je asi standardni zpusob subdelegace. A tedka, pokud je server ns1 ci ns2 je taky autoritativni pro zonu sub.example.com, je ok, ze by to vypadalo takto:

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns ns1.example.com
sub.example.com in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y
server ns1.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
@ in ns ns1.example.com
@ in ns ns2.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b
Pripadne chybejici glue zaznamy ignorujte. Jde mi o to, ze od pohledu to vypada jako mozna smycka, je takova konfigurace mozna, spravna atd.? Cili subdomena "deleguje" na nadrazenou domenu? Nebo je lepsi reseni teto situace, kdy server spravuje obe zony, ale jsou pridany jeste dodatecne interni servery, na ktere rekurzory primo smeruji interni fqdn/reverzy? Jde o to, ze ty interni servery nejsou pak blokovany/zpomalovany pruchodem pres firewall, jako kdyby vsechny dns servery byly v "dmz".

Diky

38
Server / DNS: filtrování dotazů a odpovědí na některé zóny
« kdy: 06. 10. 2020, 11:09:48 »
Zdravim,

potreboval bych na verejnych dns serverech blokovat nektere typy dotazu. K tomu momentalne mam nakonfigurovany dnsdist. V ramci acl mam zablokovane dotazy na:

1] sub1.domain.tld
2] 168.192-in-addr.arpa

Problem ale nastava s ipv6. Pokud pouziji globalni adresy pro interni adresaci, tak mi skonci interni reverzy v "ip6.arpa". Dnsdist neumi pracovat s odpovedi, takze pripadny dotaz na ipv6 reverz by vratil interni sub1.domain.tld. Rad bych se vyhnul definovani kazde interni ipv6 zony pres ACL. Nezna nekdo nejaky dns balancer atd, ktery by umel resit pristup k internim zonam jak v dotazu, tak v odpovedi?

Diky.

39
Sítě / Zabbix Agent na IPv6 adrese
« kdy: 18. 08. 2020, 09:43:41 »
Ahoj,

ma nekdo zabbix-agenta na ipv6?

Protoze:
Kód: [Vybrat]
ListenIP = a:b:c::d

Listen failed: listen tcp: address a:b:c::d:10050: too many colons in address

Kód: [Vybrat]
ListenIP = [a:b:c::d]

cannot parse "ListenIP" parameter: incorrect value of ListenIP: "[a:b:c::d]"

Na google se toci veskere odkazy na ipv6 pro ServerActive.

Diky

40
Server / Postgresql monitoring
« kdy: 14. 08. 2020, 11:59:28 »
Ahoj,

pro monitoring postgresql v zabbixu pouzivam novou roli pro zabbix-agent2. Problem je toto, dokumentace tvrdi jednu vec, ale nevypada to tak... https://www.postgresql.org/docs/12/functions-admin.html

pg_ls_dir - restricted to superusers
pg_ls_waldir - access granted to superusers and pg_monitor

Kód: [Vybrat]
grant pg_monitor to zbx_user;
Vysledek:

Kód: [Vybrat]
zbx_user@postgres: ERROR: permission denied for function pg_ls dir
zbx_user@postgres: ERROR: permission denied for function pg_ls_waldir

Takze pg_monitor neumi ani pg_ls_waldir?

41
Windows a jiné systémy / SRV záznam pro active directory
« kdy: 29. 05. 2020, 09:30:49 »
Ahoj,

mam sambu AD jako sub.domain.tld. Na jake urovni musi byt nastaveny SRV zaznamy? Momentalne to mam na urovni domain.tld, nema to byt nahodou na urovni sub.domain.tld?

domain.tld mi spravuje dns na debianu.
sub.domain.tld mi spravuje samba AD ("internal dns").

Myslim si, ze by to melo byt takto:

1] na urovni domain.tld delegace zony sub.domain.tld smerem na samba AD (NS & A glue zaznamy)
2] v ramci sub.domain.tld na samba AD musi byt SRV zaznamy

Kdo vi presne?
Diky

42
Sítě / Interní IPv6 a domény ve veřejném DNS
« kdy: 22. 05. 2020, 13:03:23 »
Ahoj,

nekdo z dns fundovanejsich - jak je to v soucasnosti s pohledem na existenci internich domen/ip adres ve verejnem dns?

Z hlediska ipv4 je to jednoduche, provozujeme interni servery, takze ve verejnem dns se to neobjevi. Pokud ale zacnu kombinovat s ipv6...

Problem nastava s ipv6. Protoze adresa muze byt pouzita jako verejna ci neverejna (blokace firewallem). Ano, muzu si urcit jednu /56 jako verejne pristupnou, druhou /56 jako privatni pouziti, ale drive nebo pozdeji narazim na to, ze privatni sluzba ma byt verejnou, takze mam dve moznosti - jen nastavit firewall, nebo presunout sluzbu na verejnou ip z /56. Coz s sebou zase obnasi ruzna rizika, ze server je najednou v ruznych zonach, v kterych byt nemel (napr. prime propojeni typu "dmz" s "intranet" siti). Taktez to znamena pripadny provoz jako u ipv4 - jedny authoritative pro verejne, druhe pro privatni domeny, vcetne toho, ze to musi resit i resolvery, na co se maji pripojovat.

Navic nase servery nebezi na bindu, takze view se nepouzivaji. Authoritative servery jiz neumoznuji blokovat interni domeny na zaklade ip adresy zdroje...

Nazory? Diky.

43
Server / Ansible - instalace balíčku a problém s uživatelem
« kdy: 15. 04. 2020, 09:10:53 »
Ahoj,

mam tu neustale problem slepice a vejce. Chci nainstalovat postgresql server balicek, samo o sobe to neni problem. Pri instalaci to vytvori /var/lib/postgresql s postgres:postgres pravy. Chci na /var/lib/postgresql mapovat jiny disk. Takze pri spusteni yml se mi vytvori/namountuje disk. A zde je ten problem.

- pokud spustim instalaci postgresql pred pripojenim disku, budu mit na disku nejakou strukturu (zabirajici misto)
- pokud nejdrive namountuji disk, nemuzu mu nastavit uzivatele, nebot jeste neexistuje

Koukal jsem do ruznych yml, ale v zadnem se tohle neresilo. Je mi jasne, ze muzu vytvorit uzivatele/adresare predem. Ale rad bych vytvoril uzivatele (popr. i adresar) primo z balicku, abych nemusel hlidat zmeny. Chtel bych neco jako "apt install postgresql --only-user"

Jde to vubec nejak?

44
Sítě / IPv6 a ULA, dotazy na default gw
« kdy: 18. 02. 2020, 11:43:58 »
Ahoj,

studuju co se da, ale nektere veci se spatne vyhledavaji. Ohledne ULA je zhruba jasno - preferovat GUA. Nojo, ale co kdyz bych chtel neco, co se nepreroutuje pokud mozno nikam (ani v lokalni siti) - treba provoz jako corosync,nfs? Link-local adresy pouzit nechci, potrebuji neco, co se nezmeni ani pri vymene hw, preklopeni bond, atd...Mohl bych na ostrovni systemy tohoto typu pouzit ipv4, ale to bych vzal az jako posledni moznost...

Ted k default gateway. Co je "jistejsi"? Nastavit statickou ipv6_prefix::1 jako gw odpovidajici danemu subnetu, nebo pouzit napr FE80::1? V situaci, kdy v dane vrf muze byt xx L3 a pocet routeru v siti (resp. L3 gw) je >1?

Diky

45
Server / Samba AD update
« kdy: 14. 02. 2020, 12:36:06 »
Ahoj,

delal to nekdo? Mam tim na mysli napr. prechod z DebX na DebY, nebo proste major verze update. Me totiz cekaji 3 dc:

1] migrace z xenu na proxmox (1 dc) - ve shodne verzi
2] update z deb8 na deb10 (3 dc)
3] zmena ip (3 dc)

Vzhledem k mnozstvi zmen vaham nad temito 2 cestami:

a] rejoin pod puvodnim fqdn
b] uplne nove dc s novymi fqdn, zrusit pak stare

Nejvice by se mi libilo a], ale vzhledem k mnozstvi zmen vaham, zda nejit cestou b].

Mam 3 dc. FSMO drzi bohuzel (ci bohudik?) ten xenovy, na proxmoxech jsou zbyle dva (ten druhy jako testovaci hlavne). Takze si to muzu zjednodusit tim, ze bych zrusil ten xenovy a nechal jen ty proxmoxove (plus pridal opet treti testovaci novy), takze pripadny scenar by mohl byt:

1] update obou proxmox dc
2] zmena ip obou proxmox dc (= rejoin)
3] prenos fsmo na jeden z tech proxmox dc
4] zrusit xen dc

Nejtezsi cast teto migraci po studovani manualu mi pripada ta zmena ip (=rejoin) a prenos fsmo...Takze, uz nekdo migroval?

Diky.


Stran: 1 2 [3] 4 5 6