Příspěvky

226

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 10. 06. 2021, 09:18:21 »

Zbytecny tu cokoli radit.

227

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 12:08:35 »

Pro dynamicky menici se prefixy pouzit ULA v siti. Nasazeni proxy je sice easy, ale nepokryje to vsechny typy protokolu.

Anebo DNS.

228

Server / Re:Squid forwarding loop

« kdy: 02. 06. 2021, 13:29:20 »

Pouze, kdyz vyradim CONNECT z acl, pricemz to pravidlo mam jako prvni acl. Jinak zrejme to ma nejakou souvislost se stateful/stateless viz https://stackoverflow.com/questions/56575936/how-http-proxy-should-handle-head-requests .

Stacilo by mi prerusit tu smycku uz po prvni pruchodu, ale jeste nevim, jak toho docilit (asi Via?), aniz bych zaroven ty hlavicky pustil ven.

229

Server / Squid forwarding loop

« kdy: 02. 06. 2021, 10:53:22 »

Ahoj,

narazil jsem pri reseni jedne veci na neco, co jsem zatim nedogoogloval.

Kód: [Vybrat]

access.log
1622623123.458    481 client_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.459    481 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
1622623123.460    480 proxy_ip TCP_MISS/000 0 HEAD http://proxy_ip:3128/ - DIRECT/proxy_ip -
...

cache.log
2021/06/02 10:38:43| IpIntercept.cc(137) NetfilterInterception:  NF getsockopt(SO_ORIGINAL_DST) failed on FD 297: (92) Protocol not available
2021/06/02 10:38:43| WARNING: Forwarding loop detected for:
HEAD / HTTP/1.1
Via: 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.20), 1.1 proxy_ip (squid/3.1.
...
X-Forwarded-For: client_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip, proxy_ip,...

Mam uz pripravene nove verze proxy, ale nez to pujde do produkce, chvili to potrva. Nikdo nehlasi problem, takze se nemam ceho chytnout. Nenapada nekoho, co tohle muze zpusobit? Klienti pouzivaji automatickou konfiguraci proxy via wpad.

Diky

230

Odkladiště / Re:Firemní GMail na soukromém mobilu

« kdy: 19. 05. 2021, 08:52:34 »

Jako admin doporucuji veskere pozadavky resit s IT firmy.

231

Server / Re:Nginx: rozdělení serverů do samostatných souborů

« kdy: 11. 05. 2021, 13:29:45 »

Reverzny proxy je nginx a backend je apache 2.4.x
Cital som, ze v starsich apache 2.2.x sa pouzival mod_rpaf, ale v novsich je lepsie pouzit mod_remoteip.
Takze modul som povolil. vytvoril som /etc/apache2/mods-available/remoteip.conf, ktoreho obsahom je (a.b.c.d je IP reverzneho proxy)

Kód: [Vybrat]

RemoteIPHeader X-Real-IP
RemoteIPInternalProxy a.b.c.d

restart apache
Nefungovalo to. Ked som vsak tie 2 directivy pouzil v konfiguraku virtualhostu, tak teraz to funguje. Cize ked mam viac vhostov,  tak to musim dat do kazdeho. Asi mam nieco zle, kedze to nefunguje globalne.

A mate ten remoteip i v mods-enabled?

232

Server / Re:Audit Linuxu s Ansible

« kdy: 07. 05. 2021, 09:16:07 »

Kouknete na https://ansible-cmdb.readthedocs.io/en/latest/usage/.

Pokud byste si to chtel napsat rucne, tak https://docs.ansible.com/ansible/latest/collections/community/mysql/mysql_query_module.html treba s cyklem nad kazdym hostem inventare.

233

Server / Re:Squid: vypnutí logování monitoringu

« kdy: 06. 05. 2021, 11:20:24 »

Co takhle poslat kus konfigu? Tohle normálně funguje, takže to bude nějaké triviální přehlédnutí

acl mobil_source src 10.0.0.8/30
acl nechci_mobile dstdomain mobileads.msn.com .vserv.mobi .adwombat.com umeng.com dns.google.com
http_access deny nechci_mobile mobil_source
access_log daemon:/var/log/mobil.log mobil mobil_source !nechci_mobile

Ja jsem zkousel ruzne variace (dst/src/regex) na zaklade https://github.com/netdata/netdata/issues/548 .

234

Server / Squid: vypnutí logování monitoringu

« kdy: 05. 05. 2021, 16:03:58 »

Ahoj.

nejak nemuzu prijit na to, jak vypnout logovani monitoringem v access.log:

Kód: [Vybrat]

1620223314.656      0 127.0.0.1 TCP_MISS/200 1659 GET cache_object://localhost/counters - HIER_NONE/- text/plain

Loguje se mi to ve vterinovych intervalech...At zkousim dst/src/url_regex, jedineho stavu ktereho dosahnu, je, ze to prestane logovat vsechno...Nevi nekdo?

DIky

235

Server / Re:NFS na routeru

« kdy: 03. 05. 2021, 09:31:25 »

Chces se neco naucit? Tak nejdrive googluj, teprve pak se ptej. Najdi si jak se konfiguruje nfs server, nfs client a potrebne vztahy.

236

Server / Re:NFSv4 na CentOS 7.9 Pacemaker Clusteru

« kdy: 29. 04. 2021, 08:07:28 »

klient mountuje takto:

Kód: [Vybrat]

 nfs4 vers=4.0,minorversion=2,noauto,x-systemd.automount,x-systemd.device-timeout=10,timeo=14,actimeo=1,x-systemd.idle-timeout=60min 0 0

Zkusil jste povolit nfs3 na zkousku, jak by se to chovalo? NFS cluster nemam virtualizovany.

237

Server / Re:NFSv4 na CentOS 7.9 Pacemaker Clusteru

« kdy: 26. 04. 2021, 12:15:44 »

crm configure show:

Kód: [Vybrat]

primitive nfs-kernel-server systemd:nfs-server \
        meta target-role=Started

238

Server / Re:NFSv4 na CentOS 7.9 Pacemaker Clusteru

« kdy: 23. 04. 2021, 15:42:18 »

@czechsys:
Zřejmě se jedná o konfiguraci NFS3, kde existuje notifikace klientu, že je nějaká změna, ale u NFS4 to není.

Nemyslim si (navic nfs3 mam sice zapnute z urcitych duvodu, ale vsichni klienti mountuji nfs4 only)

Ten klient navazuje s spojeni s virtual switchem nebo s nfs serverem? Protoze kazde spojeni se navazuje na kombinaci ip/mac. Takze pokud je to klient, tak v pripade zmeny mac na to musi neco zareagovat a tedy se tu zmenu musi dozvedet ze site.

239

Server / Re:NFSv4 na CentOS 7.9 Pacemaker Clusteru

« kdy: 23. 04. 2021, 15:35:01 »

mě není jasný jak u NFSv4 dojde k přenosu stavu (locky) mezi servery...
Vím, že u NFSv3 to jde, když máš shared IP, jedeš přes UDP a máš na sdíleném storage, myslím že, /var/lib/nfs..

@czechsys:

tobě to jede na nfs4+, tcp a jsi schopný udělat transparentní failover za provozu?

Měl jsem za to, že u NFSv4 bez proprietárního serveru (pNFS?) HA udělat nejde, ale určitě bych si to rád nechal rozmluvit a zjistil jak to jde.

Ano, mam nfs4 nad tcp.

Mam /var/lib/nfs jako symlink odkazujici na exportovany drbd disk, takze po prehozeni disku pacemakerem jiz startujici nfs vidi obsah toho adresare na novem masteru tak, jak ho videl puvodni master. Navic nfs4 pouziva urcitou logiku pro locky (viz grace-time v uvodnim prispevku), takze se locky poresi.

Transparentni failover jsem schopen provest s minimalni dobou vypadku 10s + delta, kde delta zavisi na dobe preklopeni drbd/nfs atd.

240

Server / Re:Problém s NFSv4 na Centos 7.9 Pacemaker Clusteru

« kdy: 23. 04. 2021, 14:38:42 »

Hm a vedi ti klienti, ze se zmenila mac te virtualky? Neni problem v tom virtualnim switchi?

Mam 2 node nfs server nad deb9 taky s pcm, ale tyhle problemy neexistovaly.