Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: 1 2 [3] 4 5 6
31
Sítě / Docker/k?s a vlan
« kdy: 02. 11. 2021, 13:34:45 »
Ahoj,

studuji nejake veci ohledne kontejnerizace a jednu vec mam velmi nejasnou. A to je nastaveni kontejneru ohledne vlan. Pro priklad uvadim standardni konfiguraci pro VM:
- proxmox ma bridge (treba vmbr1) nastaveny pres openvswitch
- VM dostane prirazenou virtualni sitovku na vmbr1 bridge + vlanid
- VM dostane pripadne dalsi virtualni sitovky na vmbr1 + vlanid
- sitovek muze byt 1~x

Tak a ted jak by to fungovalo v zakladnim dockeru? Pokud je docker ve VM, tak jak se resi kontejnerove site? Docker VM per vlanid nedava smysl. Hadam, ze to bude neco ve stylu udelat 1 macvlan per vlanid a danou macvlan namapovat na virtualni sitovku VM?

32
Distribuce / Debian 11 - persistent journal plus postgresql atd
« kdy: 06. 09. 2021, 14:38:46 »
Ahoj,

od deb11 je journal out-of-box persitentni. Vzhledem k tomu, ze rsyslog zatim zustava, tak se tu dostavam do situace, kde zatim nevim co a jak:

Use case:
Mam sluzbu, treba postgresql, ktera generuje velke mnozstvi logu. Velikost kolisa dle serveru od desitek MB po desitky GB. Logy mam z toho duvodu nasmerovane na jiny datovy oddil. Podobna vec muze byt treba ELK atd. Zajimaji me logy 2 dny zpet (napr.)

Analyza:
Journal ma nastaveno by default, ze maximum obsazeneho prostoru je 10% kapacity datoveho oddilu, popr. 4GB max.

Problem:
Jak vyresit umisteni logu sluzby, ktera bude logovat do persistentniho journalu? On pro mne je ten journal velmi zajimavy uz z principu - lze z nej parsovat napr. jsonem do ELK, coz se z rsyslogu dela sakra blbe (zvlast veci jako postgresql logy).

Otazka:
Resil jiz nekdo neco takoveho?

33
Server / SFTP server s administrací
« kdy: 18. 08. 2021, 12:31:45 »
Na windows je toho mraky i zdarma, ale na linux...

Koukam po mozne nahrade za proftpd+sql custom reseni. Spravovat ty konfiguracni soubory pres ansible je trosku pruda. Narazil jsem asi jen na jednoho zajimaveho kandidata - drakkan/sftpgo. Ma to snad vse, co by chtel (web administraci pro projektaky, dokonce i api na spravu, podpora pdbkf2 apod, umi sql backendy, klice/hesla/atd atd atd...). Jen je to one-man show projekt...

Co obecne potrebuju:
sftp server
virtualni uzivatele
administraci (hlavne uzivatelu)
on-premise, non-docker idealne

Pouzivate nekdo ten sftpgo, dali byste si to do produkce, mate nejaka dalsi reseni, ktera jsem neobjevil?

34
Sítě / IPv6 a DHCPv6 ve Windows 10: nedostane adresu na Wi-Fi
« kdy: 21. 07. 2021, 14:52:45 »
Ahoj,

mam windows 10 zarizeni, majici fyzickou a wifi sitovku. Zarizeni bylo testovano na ipv6 na kabelu, pak na wifi, kde jiz zustalo (kabel odpojen). Vse ok. Po uzamknuti uctu neaktivitou (mozne i kratkodobe uspani) dochazi k zvlastni situaci - zarizeni se pripojuje zpet na wifi a tentokrat nedostava ipv6 adresu. Tcpdump na dhcpv6 serveru ukazuje, ze z dhcp relay chodi mac adresa fyzickeho zarizeni, i kdyz je zarizeni pripojeno na wifi.

Setkal se s podobnym chovanim nekdo?

(Vzhledem k tomu, ze by default pouziva duid-ll, tak mi nastaveni duid nepomuze bez rekonfigurace ipv6 stacku na windows.)

35
Ahoj,

chci si neco odzkouset ohledne sync/async, ale nechce se mi zatim sahat do serveru. Veskere mountpointy exportuju v rezimu sync na serveru. Co jsem na ruznych mistech dohledal, je mozne mit async/sync nastavene zvlast na serveru/klientu. Ale kdyz si pridam async do klienta(+restart), tak stale mi mi 'mount' popr. 'nfsstat -m' neukazuje ani sync, ani async, takze predpokladam, ze je to stale v rezimu sync.

Takze otazky:
1] je mozno nejak zobrazit zda je to sync/async (resp, zobrazi to vubec kdyz je to sync? async to asi zobrazi)
2] je mozne mit server sync a klient nastaven na async?

Duvod - vyvojari si stezuji, ze zmena desitek tisic souboru trva...dlouho :-)

Diky.

36
Software / Jde porovnat boot record?
« kdy: 28. 06. 2021, 17:04:06 »
Mam vice systemovych disku, ale grub se automaticky upgraduje jen na jednom. Pro zajimavost bych si chtel porovnat, co ma kazdy disk v boot recordu, tzn. co by se pak stalo, kdyby se OS startoval pres dany disk. Jde to nejak, aby to bylo lidsky citelne?

37
Sítě / IPv6 v klientské síti
« kdy: 17. 06. 2021, 12:03:01 »
Ahoj,

zkousim si hrat s klientskou siti pro nasazeni ipv6. Oproti serverum, kde mam plnou statiku, zde potrebuji dynamicke pridelovani, ale statickou ip. Abych nemusel psat veskerou konfiguraci do switche, tak jsem se rozhodl nasadit dhcpv6 - isc kea. Predavam totiz navic ntp/timezone/dns/atd informace.

No a od ted narazim na par problemu pri testovani:
1] na switchi je nastaveny relay, ktery momentalne predava link-local ipv6 klienta jako peeraddr. To samozrejme nesedi s rezervaci dle mac adresy (konfigurace interface-id resp. remote-id v relay (pro predani mac) se zatim resi)
2] klient si nastavi ipv6 adresu (gua prefix + link-local suffix) bez ohledu na to, ze ji od dhcp nedostal
3] klient ma zapnuto privacy extension (PE)

Otazky:
1] je mozne vypnout PE v AD via GPO? zatim jsem nasel jen cli prikazy
2] jak spolehlive vypnout PE v macos/linux (ubuntu)?
3] proc si klient nastavi ipv6 adresu, i kdyz mu ji dhcpv6 nepriradi? jak to zablokovat, resp. jde zablokovat, aby klient nemohl automaticky komunikovat ani pres link-local adresy bez nasazeni ruznych security reseni na blokovani portu?
4] pokud bych nechal aktivni PE (resp. rovnou stateless slaac), jak na zmeny ipv6 vuci fqdn? Jak by mi switch updatoval dns v samba ad?

Ma nekdo ipv6 jako klientskou sit bez staticke konfigurace (specialne notebooky), ktera ale pouziva statickou adresaci (jako v dhcp4)? Doporuceni pripadne kterym smerem (ne)jit?

38
Server / Squid forwarding loop
« kdy: 02. 06. 2021, 10:53:22 »
Ahoj,

narazil jsem pri reseni jedne veci na neco, co jsem zatim nedogoogloval.

Kód: [Vybrat]
access.log
1622623123.458    481 client_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.460    480 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
...

cache.log
2021/06/02 10:38:43| IpIntercept.cc(137) NetfilterInterception:  NF getsockopt(SO_ORIGINAL_DST) failed on FD 297: (92) Protocol not available
2021/06/02 10:38:43| WARNING: Forwarding loop detected for:
HEAD / HTTP/1.1
Via: 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.
...
X-Forwarded-For: client_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip,...

Mam uz pripravene nove verze proxy, ale nez to pujde do produkce, chvili to potrva. Nikdo nehlasi problem, takze se nemam ceho chytnout. Nenapada nekoho, co tohle muze zpusobit? Klienti pouzivaji automatickou konfiguraci proxy via wpad.

Diky

39
Server / Squid: vypnutí logování monitoringu
« kdy: 05. 05. 2021, 16:03:58 »
Ahoj.

nejak nemuzu prijit na to, jak vypnout logovani monitoringem v access.log:

Kód: [Vybrat]
1620223314.656      0 127.0.0.1 TCP_MISS/200 1659 GET cache_object://localhost/counters - HIER_NONE/- text/plain
Loguje se mi to ve vterinovych intervalech...At zkousim dst/src/url_regex, jedineho stavu ktereho dosahnu, je, ze to prestane logovat vsechno...Nevi nekdo?

DIky

40
Sítě / Google Play nefunguje po IPv6
« kdy: 01. 04. 2021, 14:51:53 »
Ahoj,

mam tu takovou zahadu. Zkousim ipv6 nastavit primo pres L3 switche, takze veskere slaac/ra atd. je primo na nich. V ceste neni zadny firewall.

Kód: [Vybrat]
interface vlanifX
 desc "wifi ipv6"
 ipv6 enable
 ipv6 address A:B:C::1/64
 undo ipv6 nd ra halt
 ipv6 nd ra dns-server 2001:4860:4860::8888
 ipv6 nd ra dns-server 2001:4860:4860::8844
 ipv6 nd ra dns-suffix somedomain.tld
 ipv6 nd autoconfig other-flag
 dhcpv6 server somepool

Dhcpv6 pool definuje dns apod pro dhcpv6 klienty.

A ted zajimave chovani android vs windows 10 - v obou pripadech maji zarizeni pouze ipv6 adresaci (windows dhcpv6, android slaac), route, dns...vse nastaveno
- windows 10 -> play.google.com = zobrazena stranka
- android -> play.google.com = no internet connection (pritom google maps, google mail atd atd funguji, pingy na public dns, preklady, vse funguje)

Nejake napady, nez vytahnu fyzicky wireshark, nebot spojeni jinak nezobrazim :)


41
Sítě / Zkušenosti s více IP na serveru
« kdy: 18. 03. 2021, 14:17:09 »
Ahoj,

opakovane narazim na problem soubehu vice IP v ramci jednoho serveru (napr. IP per domena na nginx). Pro prichozi spojeni neni co resit. Ale pro vytvoreni odchoziho spojeni a jeste z hlediska firewallu...

Teoreticky priklad s ipv6 /64 dedikovanou na server - odchozi spojeni muze pouzit libovolnou ip z defaultni routy (pripadne vliv metriky na vice rout).

gateway ::a:1
server ::a:2/64
a.domain.tld ::a:3/64
b.domain.tld ::a:4/64

Pro odchozi se tedy pouzije :2 ci :3 ci :4 (firewall - kazda ip musi byt povolena vsemi potrebnymi smery, popr. cela /64). Pokud v default route nastavim zdrojovou ip :2, tak prichozi budou chodit na :3 ci :4, ale odchozi bude :2 (skoro ideal pro firewall - 1 ip). No jo, ale pak nekdo bude narazet na to, ze sluzba ve firewallu bude mit odchozim smerem :2, v prichozim smeru :3 (:4)...

Nejake zkusenosti z praxe?

42
Server / Ansible - inlcude_role a defaults_from
« kdy: 02. 03. 2021, 11:13:39 »
Ahoj,

zkousim zmenit konfiguraci inventare a rozdelit roli nginx na dve role - nginx a nginx-vhost, abych je mohl spoustet nezavisle. Prvni role konfiguruje nginx, druha se stara pouze o konfiguraci vhostu. Potreboval bych ale, aby nginx-vhost obsahoval defaults/main.yml a handlers/main.yml z role nginx. Jednoducha cesta je udelat symlink, ale to se mi nechce v gitu pouzivat. Narazil jsem na toto v dokumentaci:

Kód: [Vybrat]
- include_role:
   name: "nginx"
   defaults_from: "main"
   handlers_from: "main"

Kdyz toto pouziju v nginx-vhost/tasks/main.yml, tak mi to spusti celou roli nginx. Existuje nejaky zpusob, jak dosahnout te funkcionality? Puvodne jsem chtel dosahnout neceho takoveho:

Kód: [Vybrat]
CLI: ansible-playbook ... ... --tags="nginx_vhost"

Playbook:
roles:
 - { role: "nginx", tags: "ngix_vhost" }

ale toto logicky nefunguje. A doporuceni prave bylo rozdelit tu role na dve...

43
Server / Apache 2.4 - proxypass dle ip
« kdy: 22. 01. 2021, 12:30:20 »
Ahoj,

nemuzu se trefit. Zadani je jasne - pro specificke IP nezmenit puvodni domenu, pro ostatni zmenit. Vzhledem k tomu, ze If/Else nelze pouzit v kombinaci s ProxyPass atd, mam nyni konfiguraci takto:

Kód: [Vybrat]
...
        ServerName olddomain.tld

        SSLProxyEngine On
        <Location "/path/to/script" >
            RewriteCond expr "! -R 'X.X.X.X/Y'"
            RewriteRule ^/(.*) https://newdomain.tld/$1 [P]
            ProxyPass https://newdomain.tld/path/to/script
            ProxyPassReverse /path/to/script
        </Location>

Problem tohoto je v tom, ze to presmeruje veskere pozadavky na "newdomain.tld". Nemuzu najit, jak nastavit ProxyPass tak, aby v ni byla bud puvodni adresa (v pripade "! -R ..."), nebo nova adresa - defacto staci jen zmenit fqdn pozadavku...


Netusi nekdo?
Diky.

44
Server / Subdelegace domeny
« kdy: 13. 11. 2020, 16:41:05 »
Ahoj,

chtel bych si ujasnit jednu vec v subdelegaci domeny. Normalne to nepouzivam...

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server nsa.sub.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Toto je asi standardni zpusob subdelegace. A tedka, pokud je server ns1 ci ns2 je taky autoritativni pro zonu sub.example.com, je ok, ze by to vypadalo takto:

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns ns1.example.com
sub.example.com in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server ns1.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
@ in ns ns1.example.com
@ in ns ns2.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Pripadne chybejici glue zaznamy ignorujte. Jde mi o to, ze od pohledu to vypada jako mozna smycka, je takova konfigurace mozna, spravna atd.? Cili subdomena "deleguje" na nadrazenou domenu? Nebo je lepsi reseni teto situace, kdy server spravuje obe zony, ale jsou pridany jeste dodatecne interni servery, na ktere rekurzory primo smeruji interni fqdn/reverzy? Jde o to, ze ty interni servery nejsou pak blokovany/zpomalovany pruchodem pres firewall, jako kdyby vsechny dns servery byly v "dmz".

Diky

45
Zdravim,

potreboval bych na verejnych dns serverech blokovat nektere typy dotazu. K tomu momentalne mam nakonfigurovany dnsdist. V ramci acl mam zablokovane dotazy na:

1] sub1.domain.tld
2] 168.192-in-addr.arpa

Problem ale nastava s ipv6. Pokud pouziji globalni adresy pro interni adresaci, tak mi skonci interni reverzy v "ip6.arpa". Dnsdist neumi pracovat s odpovedi, takze pripadny dotaz na ipv6 reverz by vratil interni sub1.domain.tld. Rad bych se vyhnul definovani kazde interni ipv6 zony pres ACL. Nezna nekdo nejaky dns balancer atd, ktery by umel resit pristup k internim zonam jak v dotazu, tak v odpovedi?

Diky.

Stran: 1 2 [3] 4 5 6